2025年11月安全月报
发布时间:2025-11-28
2025年11月份网络安全月报
以下是2025年11月份国家新发布的法规政策以及行业相关动态:
发布时间:2025-11-04
发布链接:
https://www.cac.gov.cn/2025-11/04/c_1763895196597274.htm
内容概要:
为做好十五运会和残特奥会保障工作,决定自11月4日至12月20日开展“清朗·十五运会和残特奥会网络环境整治”专项行动,集中整治以下6类突出问题:
(一)散布涉十五运会和残特奥会及相关地区公共政策、社会民生领域虚假信息,捏造可能引起恐慌的灾难事故、违法犯罪、食品产品质量问题、疫情防控等谣言,特别是在权威辟谣信息发布后仍大肆造谣传谣的行为。
(二)片面、歪曲传播赛事期间可能出现的突发事件信息,假冒当事人或相关人员身份发声,关联翻炒旧闻旧事。
(三)发布抹黑“一国两制”制度言论,散布有关人群、民族、地域歧视的信息,挑拨地域对立、煽动群体对立,恶意损害香港、澳门、广州、深圳等主要赛事举办地及相关地区形象。
(四)未经许可擅自开展涉十五运会和残特奥会相关互联网新闻信息服务活动。利用人工智能技术制作和发布有关虚假赛事视频,以及关联赛事和运动员、教练员、裁判员等的不实信息。
(五)使用相同或者相似名称、域名、标识、页面等假冒仿冒十五运会和残特奥会的网站、移动应用程序、快应用、小程序;在账号名称、头像、简介、直播间或短视频背景等环节假冒仿冒相关地区官方机构、新闻媒体等。
(六)组织“人肉搜索”,故意泄露运动员、教练员、裁判员等个人隐私信息,诱导实施网络暴力;实施拉踩引战、互撕谩骂等体育饭圈不良行为,影响运动员备战和赛事举办。
发布时间:2025-11-06
发布链接:
https://www.cac.gov.cn/2025-11/06/c_1764156698314535.htm
内容概要:
《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。现公开发布第十四批境内深度合成服务算法备案信息,具体信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。
附件内容详情请看链接:
https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=NUtqEIwGiCjGm2Bhl20cvCFI27RlUZyudkgJPPjvD5VGZZjqXr8Wo7i2mgzm3QZyfM~pygTz~ImSsOvoHHLjkzZS2/Bjnic3oqu3HpPj8kk=&fText=%E5%A2%83%E5%86%85%E6%B7%B1%E5%BA%A6%E5%90%88%E6%88%90%E6%9C%8D%E5%8A%A1%E7%AE%97%E6%B3%95%E5%A4%87%E6%A1%88%E6%B8%85%E5%8D%95%EF%BC%882025%E5%B9%B411%E6%9C%88%EF%BC%89
发布时间:2025-11-11
发布链接:
https://www.cac.gov.cn/2025-11/11/c_1764585284364412.htm
内容概要:
促进生成式人工智能服务创新发展和规范应用,网信部门会同有关部门按照《生成式人工智能服务管理暂行办法》要求,持续开展生成式人工智能服务备案工作。截至2025年11月1日,新增73款生成式人工智能服务在国家网信办完成备案,对于通过API接口或其他方式直接调用已备案模型能力的生成式人工智能应用或功能,由地方网信办开展登记,本阶段新增35款完成登记。截至11月1日,累计有611款生成式人工智能服务完成备案,306款生成式人工智能应用或功能完成登记
附件内容详情请看链接:
https://www.cac.gov.cn/2024-04/02/c_1713729983803145.htm
发布时间:2025-11-22
发布链接:
https://www.cac.gov.cn/2025-11/22/c_1765543463511624.htm
内容概要:
为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进平台经济健康发展,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规,国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:
1.登录中国网信网(www.cac.gov.cn),进入首页“网信要闻”查看文稿。
2.登录公安部官网(www.mps.gov.cn),进入首页“调查征集”查看文稿。
3.通过电子邮件方式发送至:shujuju@cac.gov.cn。
4.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编100048,并在信封上注明“大型网络平台个人信息保护规定征求意见”。
意见反馈截止时间为2025年12月22日。
附件内容详情请看链接:
https://www.cac.gov.cn/2025-11/22/c_1765543463511624.htm
事件概况:
为规范App收集使用个人信息行为,保护个人信息权益,推动形成全社会共同维护个人信息安全的良好环境,中国网络空间安全协会组织指导网络游戏、网络借贷、网络约车、问诊挂号、安全管理、输入法等6类7款App运营方,对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了优化改进。
7款App运营方已在应用商店或者官网上架优化改进版本(名单及版本号附后),并承诺升级版本持续保持合规水平。现将App清单公布如下:
如何防范:
管理上:
1、定期法规合规检查:建立定期的法规合规检查流程,确保App的所有功能和操作都符合相关的隐私保护法规。
2、建立用户投诉渠道:设立用户投诉渠道,确保用户能够方便地提出隐私相关的问题和投诉。
3、内部员工培训:进行内部员工培训,使所有员工都了解隐私政策和合规操作的必要性。
技术上:
1、公开收集使用规则:完善App的用户协议和隐私政策,确保明确、详尽地公开收集使用规则。引入用户友好的界面,以便用户能够轻松访问并理解隐私政策,明确数据收集和处理的目的。
2、合规数据收集与处理:审查并更新数据收集和处理的流程,确保其符合相关法规和用户隐私保护的必要原则。采用数据最小化原则,只收集并处理必要的用户信息,减少不必要的数据采集。
3、数据加密和安全措施:引入端到端的数据加密技术,确保用户敏感信息在传输和存储过程中的安全性。加强对用户数据的安全控制,限制有权限的人员和系统能够访问敏感信息。
事件概况:
火绒安全发布技术分析报告,揭露 360 旗下硬件检测软件鲁大师及其关联产品如小鸟壁纸等,利用复杂的云控技术进行流量劫持和隐私侵害。报告指出,这些软件在未经用户明确同意的情况下,弹窗推广其他应用、篡改电商网页链接、弹出带渠道分成标识的搜索框、安装伪装成正常应用的浏览器扩展,甚至通过浏览器弹窗页游进行推广,给用户带来严重隐私风险和安全隐患。
火绒安全指出,鲁大师系列软件的核心恶意技术是基于云端控制,根据用户所在地区、操作系统和环境特征动态调整推广策略。例如,北京地区的用户通常弹窗更少,而软件还会擅自读取浏览器历史记录进行分析。用户访问过技术类网站、消费者保护网站或 360 创始人周鸿祎的微博等行为,会被用作判断条件,以减少弹窗频率。未经授权读取浏览器历史记录涉及大量隐私内容,可能导致严重的数据泄露风险。虽然这类行为在国内部分“垃圾软件”中并不罕见,但报告强调,鲁大师及其关联软件将这种推广行为推向了极致,手段复杂且隐蔽。从十年前起,类似的云控技术已被多款软件使用,包括高速下载器等,即便用户取消捆绑安装,仍可能被继续推广其他软件。
如何防范:
1、提高安全意识,谨慎下载和安装软件,尽量从官方渠道获取。
2、可考虑使用注重隐私保护的安全软件,防范类似的隐蔽侵害行为。
一、 国家安全动态、政策和法规
定期了解国家安全动态、政策和法规,以及相关行业规范标准,有助于完善单位自身的信息安全管理体系。以下是2025年11月份国家新发布的法规政策以及行业相关动态:
1.1 关于开展“清朗·十五运会和残特奥会网络环境整治”专项行动的通知
发布来源:中国网信网发布时间:2025-11-04
发布链接:
https://www.cac.gov.cn/2025-11/04/c_1763895196597274.htm
内容概要:
为做好十五运会和残特奥会保障工作,决定自11月4日至12月20日开展“清朗·十五运会和残特奥会网络环境整治”专项行动,集中整治以下6类突出问题:
(一)散布涉十五运会和残特奥会及相关地区公共政策、社会民生领域虚假信息,捏造可能引起恐慌的灾难事故、违法犯罪、食品产品质量问题、疫情防控等谣言,特别是在权威辟谣信息发布后仍大肆造谣传谣的行为。
(二)片面、歪曲传播赛事期间可能出现的突发事件信息,假冒当事人或相关人员身份发声,关联翻炒旧闻旧事。
(三)发布抹黑“一国两制”制度言论,散布有关人群、民族、地域歧视的信息,挑拨地域对立、煽动群体对立,恶意损害香港、澳门、广州、深圳等主要赛事举办地及相关地区形象。
(四)未经许可擅自开展涉十五运会和残特奥会相关互联网新闻信息服务活动。利用人工智能技术制作和发布有关虚假赛事视频,以及关联赛事和运动员、教练员、裁判员等的不实信息。
(五)使用相同或者相似名称、域名、标识、页面等假冒仿冒十五运会和残特奥会的网站、移动应用程序、快应用、小程序;在账号名称、头像、简介、直播间或短视频背景等环节假冒仿冒相关地区官方机构、新闻媒体等。
(六)组织“人肉搜索”,故意泄露运动员、教练员、裁判员等个人隐私信息,诱导实施网络暴力;实施拉踩引战、互撕谩骂等体育饭圈不良行为,影响运动员备战和赛事举办。
1.2 国家互联网信息办公室关于发布第十四批深度合成服务算法备案信息的公告
发布来源:中国网信网发布时间:2025-11-06
发布链接:
https://www.cac.gov.cn/2025-11/06/c_1764156698314535.htm
内容概要:
《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。现公开发布第十四批境内深度合成服务算法备案信息,具体信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。
附件内容详情请看链接:
https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=NUtqEIwGiCjGm2Bhl20cvCFI27RlUZyudkgJPPjvD5VGZZjqXr8Wo7i2mgzm3QZyfM~pygTz~ImSsOvoHHLjkzZS2/Bjnic3oqu3HpPj8kk=&fText=%E5%A2%83%E5%86%85%E6%B7%B1%E5%BA%A6%E5%90%88%E6%88%90%E6%9C%8D%E5%8A%A1%E7%AE%97%E6%B3%95%E5%A4%87%E6%A1%88%E6%B8%85%E5%8D%95%EF%BC%882025%E5%B9%B411%E6%9C%88%EF%BC%89
1.3 关于发布生成式人工智能服务已备案信息的公告
发布来源:中国网信网发布时间:2025-11-11
发布链接:
https://www.cac.gov.cn/2025-11/11/c_1764585284364412.htm
内容概要:
促进生成式人工智能服务创新发展和规范应用,网信部门会同有关部门按照《生成式人工智能服务管理暂行办法》要求,持续开展生成式人工智能服务备案工作。截至2025年11月1日,新增73款生成式人工智能服务在国家网信办完成备案,对于通过API接口或其他方式直接调用已备案模型能力的生成式人工智能应用或功能,由地方网信办开展登记,本阶段新增35款完成登记。截至11月1日,累计有611款生成式人工智能服务完成备案,306款生成式人工智能应用或功能完成登记
附件内容详情请看链接:
https://www.cac.gov.cn/2024-04/02/c_1713729983803145.htm
1.4 国家互联网信息办公室、公安部关于《大型网络平台个人信息保护规定(征求意见稿)》公开征求意见的通知
发布来源:中国网信网发布时间:2025-11-22
发布链接:
https://www.cac.gov.cn/2025-11/22/c_1765543463511624.htm
内容概要:
为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进平台经济健康发展,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规,国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:
1.登录中国网信网(www.cac.gov.cn),进入首页“网信要闻”查看文稿。
2.登录公安部官网(www.mps.gov.cn),进入首页“调查征集”查看文稿。
3.通过电子邮件方式发送至:shujuju@cac.gov.cn。
4.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编100048,并在信封上注明“大型网络平台个人信息保护规定征求意见”。
意见反馈截止时间为2025年12月22日。
附件内容详情请看链接:
https://www.cac.gov.cn/2025-11/22/c_1765543463511624.htm
二、 境内安全事件
汇总本月发生的重大安全事件,分析事件的发生原因、影响和对应解决方案,可提高对相应事件的应对能力,实现“防患于未然”。2.1 中国网络空间安全协会关于发布完成个人信息收集使用优化改进App的清单
事件日期:2025-11-10事件概况:
为规范App收集使用个人信息行为,保护个人信息权益,推动形成全社会共同维护个人信息安全的良好环境,中国网络空间安全协会组织指导网络游戏、网络借贷、网络约车、问诊挂号、安全管理、输入法等6类7款App运营方,对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了优化改进。
7款App运营方已在应用商店或者官网上架优化改进版本(名单及版本号附后),并承诺升级版本持续保持合规水平。现将App清单公布如下:
如何防范:
管理上:
1、定期法规合规检查:建立定期的法规合规检查流程,确保App的所有功能和操作都符合相关的隐私保护法规。
2、建立用户投诉渠道:设立用户投诉渠道,确保用户能够方便地提出隐私相关的问题和投诉。
3、内部员工培训:进行内部员工培训,使所有员工都了解隐私政策和合规操作的必要性。
技术上:
1、公开收集使用规则:完善App的用户协议和隐私政策,确保明确、详尽地公开收集使用规则。引入用户友好的界面,以便用户能够轻松访问并理解隐私政策,明确数据收集和处理的目的。
2、合规数据收集与处理:审查并更新数据收集和处理的流程,确保其符合相关法规和用户隐私保护的必要原则。采用数据最小化原则,只收集并处理必要的用户信息,减少不必要的数据采集。
3、数据加密和安全措施:引入端到端的数据加密技术,确保用户敏感信息在传输和存储过程中的安全性。加强对用户数据的安全控制,限制有权限的人员和系统能够访问敏感信息。
2.2 火绒曝光360旗下鲁大师及相关软件进行流量劫持
事件日期:2025-11-11事件概况:
火绒安全发布技术分析报告,揭露 360 旗下硬件检测软件鲁大师及其关联产品如小鸟壁纸等,利用复杂的云控技术进行流量劫持和隐私侵害。报告指出,这些软件在未经用户明确同意的情况下,弹窗推广其他应用、篡改电商网页链接、弹出带渠道分成标识的搜索框、安装伪装成正常应用的浏览器扩展,甚至通过浏览器弹窗页游进行推广,给用户带来严重隐私风险和安全隐患。
火绒安全指出,鲁大师系列软件的核心恶意技术是基于云端控制,根据用户所在地区、操作系统和环境特征动态调整推广策略。例如,北京地区的用户通常弹窗更少,而软件还会擅自读取浏览器历史记录进行分析。用户访问过技术类网站、消费者保护网站或 360 创始人周鸿祎的微博等行为,会被用作判断条件,以减少弹窗频率。未经授权读取浏览器历史记录涉及大量隐私内容,可能导致严重的数据泄露风险。虽然这类行为在国内部分“垃圾软件”中并不罕见,但报告强调,鲁大师及其关联软件将这种推广行为推向了极致,手段复杂且隐蔽。从十年前起,类似的云控技术已被多款软件使用,包括高速下载器等,即便用户取消捆绑安装,仍可能被继续推广其他软件。
如何防范:
1、提高安全意识,谨慎下载和安装软件,尽量从官方渠道获取。
2、可考虑使用注重隐私保护的安全软件,防范类似的隐蔽侵害行为。
上一篇: 2025年10月漏洞通告 下一篇:返回列表
返回列表
