一.国家安全动态、政策和法规

定期了解国家安全动态、政策和法规，以及相关行业规范标准，有助于完善单位自身的信息安全管理体系。
以下是2026年4月份国家新发布的法规政策以及行业相关动态：

一.1.三部门联合印发《网络安全标识管理办法》

发布来源：
中国网信网
发布时间：
2026年04月10日
发布链接：
https://www.cac.gov.cn/2026-04/10/c_1777558393316312.htm
内容概要：
2026年4月2日，国家互联网信息办公室、工业和信息化部、公安部联合印发《网络安全标识管理办法》，自2026年7月1日起施行。
办法明确网络安全标识是反映产品网络安全能力水平的信息标识，适用于具有互联网联网功能的产品，实行目录管理，坚持自愿参与原则。标识按网络安全能力由低到高分为基础级（一星）、增强级（二星）、领先级（三星），规定了标识的基本内容、检测要求和备案流程，其中三星级产品需通过第三方机构渗透性测试。办法同时明确了监督管理职责，对伪造冒用标识、虚假检测等违规行为设定了撤销备案、公告惩戒、行政处罚等措施，网络关键设备和网络安全专用产品不列入实施目录。

一.2.十部门联合公布《促进和规范电子单证应用规定》

发布来源：
中国网信网
发布时间：
2026年04月17日
发布链接：
https://www.cac.gov.cn/2026-04/17/c_1778166821033721.htm
内容概要：
2026年4月17日，国家网信办、工业和信息化部、公安部等十部门联合公布《促进和规范电子单证应用规定》，自 2026 年 9 月 1 日起施行。该规定旨在落实相关法律法规要求、对接国际高标准经贸规则，提升货物贸易和运输数字化水平。规定明确坚持发展与安全并重、促进创新与依法治理相结合的原则，提出鼓励电子单证在贸易、物流、金融等领域推广应用，支持技术创新与标准制定，推动信息互认共享。同时对电子单证系统的可靠性、安全性作出明确要求，规范数据出境行为，并建立分类分级监督管理制度，明确了相关主体的法律责任。

一.3.《人工智能应用伦理安全指引》1.0 版（征求意见稿）公开征求意见通知

发布来源：
全国网络安全标准化技术委员会
发布时间：
2026年4月17日
发布链接：
https://www.tc260.org.cn/portal/article/2/0e3933e11d904f4b93c4dcc348f9b61c
内容概要：
2026 年 4 月 17 日，全国网络安全标准化技术委员会发布通知，就其组织制定的技术文件《人工智能应用伦理安全指引》1.0版（征求意见稿）面向社会公开征求意见。通知明确，意见反馈截止时间为2026年4月26日24时，提供了《人工智能应用伦理安全指引》1.0 版（征求意见稿）及对应的编制说明附件供下载查阅，此次征求意见依据《全国网络安全标准化技术委员会技术文件制订工作程序》开展。

一.4.中央网信办通报33款App个人信息收集使用问题

发布来源：
中国网信网
发布时间：
2026年4月27日
发布链接：
https://www.cac.gov.cn/2026-04/17/c_1778166821033721.htm
内容概要：
2026年4月27日，中央网信办依据《网络安全法》《个人信息保护法》等法律法规，结合2026年个人信息保护系列专项行动部署，对检测发现存在个人信息收集使用违法违规问题的33款 App（含小程序）予以通报。通报指出，相关产品主要存在四类问题：15款无个人信息收集使用规则或首次运行未提示用户阅读；2款未逐一列出收集使用个人信息的SDK且未取得用户同意；4款违反必要原则收集与服务无关的个人信息；12款未提供有效账号注销途径或设置不合理注销条件。中央网信办要求相关运营者于通报发布之日起15个工作日内完成整改，逾期将依法依规开展处置处罚。

一.5.三部门开展2026年个人信息保护系列专项行动

发布来源：
中国网信网
发布时间：
2026年04月02日
发布链接：
https://www.cac.gov.cn/2026-04/02/c_1776867645836849.htm
内容概要：
2026年4月2日，中央网信办、工业和信息化部、公安部联合发布公告，部署开展 2026 年个人信息保护系列专项行动。此次行动聚焦 App、SDK 及互联网广告、教育、交通、卫生健康、金融等重点领域，针对未公开收集使用规则、未经同意收集信息、超范围收集权限、强制使用人脸识别、个人信息泄露等典型违法违规问题开展专项治理，同时严厉打击公共服务、金融借贷等领域侵犯公民个人信息的违法犯罪活动。公告要求对情节严重、拒不整改的主体依法从严处理，并将根据实际工作动态调整治理重点，切实保障公民个人信息安全。

一.6.网信办对个人信息保护政策法规问答（2026年4月）

发布来源：
网信中国
发布时间：
2026年04月29日
发布链接：
https://mp.weixin.qq.com/s/EPq55lqn8_xMGcrLxXQnZw
内容概要：
2026年4月2日，中央网信办、工业和信息化部、公安部联合发布公告，部署开展 2026 年个人信息保护系列专项行动。此次行动聚焦 App、SDK 及互联网广告、教育、交通、卫生健康、金融等重点领域，针对未公开收集使用规则、未经同意收集信息、超范围收集权限、强制使用人脸识别、个人信息泄露等典型违法违规问题开展专项治理，同时严厉打击公共服务、金融借贷等领域侵犯公民个人信息的违法犯罪活动。公告要求对情节严重、拒不整改的主体依法从严处理，并将根据实际工作动态调整治理重点，切实保障公民个人信息安全。
 

二.境内安全事件

汇总本月发生的重大安全事件，分析事件的发生原因、影响和对应解决方案，可提高对相应事件的应对能力，实现“防患于未然”。

二.1.国家网络安全通报中心发布软件供应链投毒紧急预警

发布日期：
2026年4月10日
发布来源：
https://mp.weixin.qq.com/s/bdhBSMtbnIxGJ2pJBEB-hw
事件概况：
2026年4月10日，国家网络安全通报中心发布近期多起供应链投毒事件安全风险分析，指出近期集中爆发针对API研发工具Apifox、Python开发库LiteLLM、JavaScript HTTP 库Axios的投毒攻击，覆盖开源软件仓库和商用工具两大核心场景，其中Axios投毒事件因大量AI应用及插件生态依赖，风险进一步向终端用户蔓延。此类攻击具有隐蔽性强、影响范围广、危害程度高、传播速度快的特点，可造成凭据窃取、远程代码执行、敏感数据泄露等后果。通报从攻击对象、路径、危害、检测难度四个维度分析了风险成因，并从甄别安装来源、加强开发环境管理、强化风险防范处置三方面提出针对性安全防护建议。
如何防范：
一、甄别安装来源渠道。仅从官方仓库、官方渠道下载安装包和工具，谨慎下载安装第三方镜像、网盘、论坛等不明来源资源。重要组件建议使用稳定版本，初次安装或者更新前应核对官方发布的校验信息，确保未被篡改。
二、加强开发环境管理。为不同项目搭建独立运行环境，避免将开发运维环境直接暴露在互联网，减少恶意代码获取系统权限、窃取信息或破坏文件的可能，不随意执行未知命令。
三、强化风险防范处置。关注供应链官方安全公告和权威部门发布的安全预警信息，及时采取安装补丁、升级版本、更新配置等方式消除危害影响。官方未发布漏洞补丁前，可按规范操作回退至历史稳定版本，并清理本地缓存文件，防止恶意程序驻留。

二.2.南昌市网信办依法对某企业作出行政处罚

发布日期：
2026年4月30日
发布来源：
https://mp.weixin.qq.com/s/R9vP1tm6QqxXE6GK-TBh-w
事件概况：
2026年4月30日，南昌市网信办发布通报，公布对辖区内某企业网络安全违法案件的行政处罚结果。此前接上级网信部门通报，该企业所属IP存在向境外IP高频、持续发起SSH远程通联的异常跨境大流量传输行为，南昌市网信办于3月5日正式立案调查。经现场勘验、远程采样技术分析及笔录问询，查明该企业未履行网络安全保护义务，存在服务器被境外不法分子通过暴力破解非法获取账户权限、服务器日志留存周期未满六个月等违法行为，违反《中华人民共和国网络安全法》第二十三条规定。4月28日，南昌市网信办依据该法第六十一条，对该企业作出警告并罚款的行政处罚，并表示将持续加大网络安全、数据安全等领域执法力度。
如何防范：
一、强化账户与远程访问安全管控，禁用弱口令、通用默认口令，全面推行多因素认证，将SSH等远程管理服务的默认端口修改为非知名端口，限制仅授权 IP 地址访问，设置登录失败自动锁定策略，严禁将服务器远程管理端口直接暴露在公网。
二、严格落实日志留存要求，确保服务器、网络设备等的运行日志、安全日志留存期限不少于6个月，规范日志存储、备份与审计流程，定期开展日志分析排查异常行为。
三、建立常态化安全监测与漏洞管理机制，部署入侵检测、入侵防御系统，实时监测跨境通联、异常登录等可疑流量，定期对服务器及应用系统开展漏洞扫描和渗透测试，及时修复高危漏洞。
四、健全应急处置与人员培训体系，制定网络安全事件应急预案并定期演练，发生安全事件第一时间采取阻断、溯源等措施并向网信部门报告，同时定期对员工开展网络安全培训，提升安全防范意识和技能。