一、 国家安全动态、政策和法规

定期了解国家安全动态、政策和法规，以及相关行业规范标准，有助于完善单位自身的信息安全管理体系。
以下是2025年12月份国家新发布的法规政策以及行业相关动态：

1.1 《数据安全技术 电子产品信息清除技术要求》强制性国家标准获批发布

发布来源：中国网信网
发布时间：2025年12月13日
发布链接：
https://www.cac.gov.cn/2025-12/13/c_1767269721368254.htm
内容概要：
2025年12月2日，中央网信办提出并归口的《数据安全技术 电子产品信息清除技术要求》强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，将于2027年1月1日起正式实施。
附件内容详情请看链接：
https://std.samr.gov.cn//gb/search/gbDetailed?id=44F3E6F8202EB68DE06397BE0A0A3836&_refluxos=a10

1.2 关于对《网络安全标准实践指南——网络数据标签标识技术规范（征求意见稿）》公开征求意见的通知

发布来源：全国网安标委
发布时间：2025-12-19
发布链接：
https://mp.weixin.qq.com/s/fxtoVoq-XAytAKJYmq0CHA
内容概要：
为落实《网络数据安全管理条例》，帮助数据处理者使用网络数据标签标识技术提高网络数据安全管理水平，秘书处组织编制了《网络安全标准实践指南——网络数据标签标识技术规范（征求意见稿）》。
根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，秘书处现组织对《网络安全标准实践指南——网络数据标签标识技术规范（征求意见稿）》面向社会公开征求意见。如有意见或建议，请于2026年1月1日前反馈至秘书处。联系人：王寒生 010-64102730 wanghs@cesi.cn

1.3 关于发布完成个人信息收集使用优化改进App清单的公告（2025年第6批）

发布来源：中国网络空间安全协会
发布时间：2025-12-23
发布链接：
https://mp.weixin.qq.com/s/FgKueZJ-QCrmJRhV3AkD1w
内容概要：
为规范App收集使用个人信息行为，保护个人信息权益，推动形成全社会共同维护个人信息安全的良好环境，中国网络空间安全协会组织指导酒店服务、网络社区、女性健康、远程会议和投资理财等5类6款App运营方，对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规，重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了优化改进。6款App运营方已在应用商店或者官网上架优化改进版本（名单及版本号附后），并承诺升级版本持续保持合规水平。现将App清单公布如下：

1.4 关于对《网络安全标准实践指南——粤港澳大湾区（内地、澳门）个人信息跨境处理保护要求（征求意见稿）》公开征求意见的通知

发布来源：全国网安标委
发布时间：2025-12-22
发布链接：
https://mp.weixin.qq.com/s/aL34Zz13ykHqBkRg808rCQ
内容概要：
为促进粤港澳大湾区个人信息跨境安全有序流动，推动粤港澳大湾区高质量发展，落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》中粤港澳大湾区个人信息跨境安全认证工作，依据备忘录、内地认证文件和属地法律法规，秘书处组织编制了《网络安全标准实践指南——粤港澳大湾区（内地、澳门）个人信息跨境处理保护要求（征求意见稿）》。
根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，秘书处现组织对《网络安全标准实践指南——粤港澳大湾区（内地、澳门）个人信息跨境处理保护要求（征求意见稿）》面向社会公开征求意见。如有意见或建议，请于2026年1月5日前反馈至秘书处。联系人：王寒生 010-64102730 wanghs@cesi.cn
附件内容详情请看链接：
https://mp.weixin.qq.com/s/aL34Zz13ykHqBkRg808rCQ

二、 境内安全事件

汇总本月发生的重大安全事件，分析事件的发生原因、影响和对应解决方案，可提高对相应事件的应对能力，实现“防患于未然”。

2.1 吉林某医药公司数据安全违规被罚

事件日期：2025-12-15
泄露数据：大量公民个人信息
事件概况：
2025年12月，吉林长春公安网安部门在网络安全检查中发现某医药公司在经营过程中存储大量公民个人信息，却存在数据安全“四大皆空”（无制度、无培训、无技术措施、无应急预案）的严重问题，未履行数据安全保护义务，存在重大泄露风险，长春公安依据《中华人民共和国数据安全法》第二十七条、第四十五条规定，对该公司依法追究法律责任、给予行政处罚并责令限期改正。
如何防范：
管理上：
1、建立健全数据安全治理体系：任命数据安全负责人，制定全流程数据安全管理制度、风险评估机制和应急响应预案；定期开展数据安全教育培训，提升全员合规意识。
2、实施数据分类分级管理：对公民个人信息尤其是健康医疗数据进行分类分级，最小化收集、使用和存储；加强第三方供应商审核，避免供应链风险。
3、强化责任落实与审计：将数据安全纳入企业绩效考核，定期内部审计并接受外部监管；发生隐患立即报告并配合调查。
技术上：
1落实网络安全等级保护：对存储个人信息的系统进行定级、备案、测评和整改，部署防火墙、入侵检测、加密传输等技术措施。
2、加强访问控制与监测：实施最小权限原则、多因素认证、访问日志审计；启用数据泄露检测工具（DLP），实时监控异常行为和数据外流。
3、定期漏洞扫描与备份：开展渗透测试、漏洞修复；对重要数据进行加密存储和异地备份，确保发生事件时快速恢复并减少损失。

2.2 受 Red Hat 红帽遭黑客入侵连带影响，日产福冈泄露约 21000 名客户信息

事件日期：2025-12-24
泄露数据：约有 21000 名客户个人信息数据
事件概况：
2025年12月，日产汽车宣布因第三方供应商Red Hat的自管GitLab实例于9月遭黑客入侵（Crimson Collective声称负责），导致日产福冈销售公司（原福冈日产）的约21000名客户个人信息泄露，包括姓名、地址、电话号码、部分邮箱及销售相关信息，但不含信用卡等金融数据。该事件为供应链攻击典型案例，目前无二次利用证据，日产已向受影响客户个通知并呼吁警惕诈骗。
如何防范：
管理上：
1、加强第三方供应商风险管理：选型时评估供应商安全成熟度，签订包含安全审计、事件通报义务的合同；定期进行供应商安全评估和渗透测试。
2、建立供应链攻击响应机制：要求供应商实时通报事件，制定应急预案；最小化数据共享，仅提供必要信息，避免在开发环境中存储生产客户数据。
3、提升内部治理：实施数据分类分级，禁止敏感信息外传；开展员工和供应商安全意识培训；购买网络责任保险覆盖供应链风险。
技术上：
1、数据最小化和隔离：开发环境中使用匿名化或测试数据代替真实客户信息；实施零信任架构，限制第三方访问范围。
2、加强凭证与访问控制：强制多因素认证（MFA）、秘密轮换和监控；定期扫描代码仓库泄露凭证（如使用TruffleHog工具）；启用GitLab等平台的访问日志和异常检测。
3、监控与响应：部署SIEM系统监控第三方流量和异常行为；定期备份数据并测试恢复；事件后立即隔离受影响环境，进行取证分析并修补漏洞。

2.3 快手遭遇罕见大范围网络攻击，直播安全防线被“击穿”

事件日期：2025-12-22
事件概况：
2025年12月22日晚，快手平台遭遇了一次由约1.7万个被控账号同时发起的大规模、自动化黑灰产攻击，大量违规内容通过直播间瞬时涌入，导致平台的人工与半自动审核体系被“击穿”，应急处置近两小时才通过无差别关播控制态势。此事件暴露了传统安全防御面对高度组织化“内容洪流”时的脆弱性，为行业敲响了必须建立以智能风控为核心、覆盖全链路的自动化主动防御体系的警钟。
如何防范：
管理上：
1、应急机制：建立明确的应急流程，当违规内容超过预设阈值时，系统能自动触发熔断（如暂停特定账号段开播、限制异常推流）。此次事件中，因缺乏有效熔断，导致只能采取最后的“无差别关播”。
2、组织协同：打破部门壁垒，明确安全、审核、技术等团队在应急状态下的决策与执行流程，缩短响应时间。本次事件反映出跨部门协同低效，导致处置滞后。
3、风险意识：不应仅满足合规，需定期模拟自动化攻击、接口漏洞利用等极端场景，检验并优化防御体系。
4、行业协作：推动跨平台联防联控，共享违规账号、设备指纹等黑灰产特征信息，提升行业整体防御能力。
技术上：
1、账号与权限：加固注册、登录及实名认证环节，防范撞库、绕过认证等攻击。强化对批量新号、异常设备、异地登录等高风险行为的实时识别与拦截。
2、内容审核：提升AI审核模型对批量、跨直播间协同违规等新型攻击模式的识别能力。优化异步审核链路，防止高并发下审核队列堆积、结果回传延迟导致的系统失效。
3、接口安全：重点加固直播推流接口，强化权限校验与加密，防止被黑产直接利用注入违规内容。加强对接口调用的异常行为监测。
4、防御理念：改变依赖人工的被动模式，构建全流程自动化防御体系，利用AI实现智能感知、自动研判和极速响应，对抗黑产的自动化攻击。

2.4 黑客利用域名抢注诱导用户下载Win11激活陷阱

事件日期：2025-12-25
事件概况：
2025年12月，黑客通过域名抢注（typosquatting）手段注册与知名开源Windows激活工具Microsoft Activation Scripts（MAS）官网“get.activated.win”极度相似的虚假域名“get.activate.win”（仅少一个“d”），诱导用户在PowerShell中输入命令时拼写错误，从而自动下载并执行恶意PowerShell脚本，感染Cosmali Loader恶意软件。该loader可投放加密货币挖矿程序和XWorm远程访问木马，导致系统资源消耗、数据泄露甚至完全失控，已有受害者在Reddit报告异常弹窗警告。
如何防范：
管理上：
1、优先购买并使用微软正版许可证，避免使用任何第三方激活工具（包括开源MAS），以杜绝合规与安全风险。
2、组织内部制定严格政策：禁止员工在公司设备上运行未知PowerShell脚本或激活工具；通过教育培训提升用户安全意识，强调域名拼写检查和避免“免费激活”诱惑。
3、监控员工设备激活状态和异常行为，建立审计机制；若为企业环境，统一部署卷许可（KMS/MAK）或Microsoft账户管理。
技术上：
1、仔细核对域名：激活命令使用完整正确URL（get.activated.win），建议复制粘贴而非手动输入；可先ping域名验证。
2、启用Windows Defender实时保护、PowerShell日志记录（启用Script Block Logging）和AMSI（反恶意软件扫描接口），阻挡恶意脚本执行。
3、安装可靠防病毒软件，保持系统更新；限制PowerShell执行策略（Set-ExecutionPolicy Restricted）；若疑似感染，立即隔离设备、重装系统并扫描恶意痕迹。