一、政策形势

1、《数据安全技术 数据安全风险评估方法》国家标准获批发布

近日，由TC260（全国网络安全标准化技术委员会）归口的国家标准《数据安全技术 数据安全风险评估方法》（标准号GB/T 45577-2025）正式发布，并于2025年11月1日起正式实施。

https://std.samr.gov.cn//gb/search/gbDetailed?id=33D40F1161195D92E06397BE0A0A5B93

2、《网络安全技术 SM2密码算法加密签名消息格式》等9项国家标准（征求意见稿）面向社会公开征求意见

近日，由全国网络安全标准化技术委员会归口的《网络安全技术 SM2密码算法加密签息名消格式》《网络安全技术 密码应用标识》《网络安全技术 二元序列随机性检测方法》《网安安全技术 秘密分享技术机制》等9项国家标准已形成标准征求意见稿，并面向社会公开征求意见。

https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

3、《个人信息保护合规审计管理办法》将于2025年5月1日起施行

《合规审计办法》所规定的合规审计主要包括内部合规审计和外部合规审计两类，前者主要是个人信息处理者内部机构定期对个人信息处理情况进行合规审计，后者则是指基于监管部门的监管要求或个人信息处理者自行委托，由专门机构进行独立的合规审计。《合规审计办法》的功能定位不能简单理解为个人信息保护法的“重复规定”或“内容重述”，而是应当理解为个人信息保护义务履行方式的标准化。

从具体内容来看，《合规审计办法》并没有“一刀切”地限定审计主体、审计流程、审计次数，而是强调根据个人信息安全风险实际状况选择必要的合规审计模式。

https://mp.weixin.qq.com/s/mQf-swco72-SudKMeyvmRA

4、《可信数据空间 技术架构》技术文件对外发布

该技术文件规范了可信数据空间技术架构，明确了可信数据空间在国家数据基础设施中的定位，描述了可信数据空间作为一种数据流通利用基础设施的核心技术特征、最小功能集合以及关键业务流程，适用于指导地方、行业、领域、企业开展可信数据空间的规划、建设、运营和管理。

https://mp.weixin.qq.com/s/-R3E_CVFV9ONKIzRVhQG9Q

5、国家数据局印发构建数据基础制度更好发挥数据要素作用2025年工作要点

工作要点落实“数据二十条”任务部署，一是建立保障权益、合规使用的数据产权制度方面，加快数据产权制度建设进度，推进公共数据、企业数据、个人数据确权授权使用，通过数据要素综合试验区开展基础制度试验探索，积极参与数据产权领域国际规则制定。二是建立合规高效、场内外结合的数据要素流通和交易制度方面，完善数据市场规则体系，制定数据流通交易标准示范合同、促进数据交易机构高质量发展的政策文件，鼓励各类主体扩大数据需求、加强数据供给，支持培育多类型数据市场主体，完善数据市场基础设施建设。三是建立体现效率、促进公平的数据要素收益分配制度方面，推进数据市场化价值化、建立健全公共数据价格管理制度、营造公平市场环境。四是建立安全可控、弹性包容的数据要素治理制度方面，推动《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》落地落实，逐步构建更加完善的数据流通安全治理体系，支持数据流通安全技术应用创新，依法依规培育数据流通安全服务市场。

https://mp.weixin.qq.com/s/bZcM5MnkQ4bNW2UjGe9mmA

6、中央网信办等四部门印发《2025年提升全民数字素养与技能工作要点》

近日，中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2025年提升全民数字素养与技能工作要点》（以下简称《工作要点》）。

《工作要点》部署了6个方面16项重点任务。一是健全数字人才培育体系，包括培养复合型人工智能人才、完善高水平人才培育体系、壮大应用型技能人才队伍、增强劳动者数字工作能力。二是拓展数字经济增长空间，包括释放数字消费潜力、激发企业数字动能。三是构建普惠包容数字社会，包括推进数字助老助残行动、促进教学资源开放共享、实施数字公益志愿项目。四是打造智慧便捷数字生活，包括强化人工智能应用赋能、丰富新型数字应用场景。五是营造安全有序数字环境，包括健全人工智能治理机制、强化法治道德规范意识、筑牢网络安全防护屏障。六是完善协同联动工作格局，包括深化多方协作机制、加强国际交流合作。

https://mp.weixin.qq.com/s/pV6OC4lufKPWErqJeeIzKw

二、数据安全事件

1、违反网络安全管理规定，山东某工商银行分行被罚款57.8万元

4月21日，中国人民银行东营市分行发布一则行政处罚决定信息公示表。公示表显示，中国工商银行股份有限公司东营分行存在以下四项违法违规行为：1.违反账户管理规定；2.违反网络安全管理规定；3.占压财政存款或者资金；4.未按规定履行客户身份识别义务。

因上述违法违规行为，该分行被中国人民银行东营市分行给予警告，并处以罚款57.8万元。

http://jinan.pbc.gov.cn/jinan/120967/120985/120994/5487627/5678613/index.html

2、Storm-1977利用AzureChecker工具攻击教育云进行挖矿

2025年4月27日，研究人员披露黑客组织Storm-1977近一年来针对教育行业云租户发起密码喷洒攻击。攻击者使用名为AzureChecker.exe的CLI工具，连接外部服务器sac-auth.nodefunction[.]vip，获取AES加密的目标列表。该工具还读取包含账号密码组合的accounts.txt文件，验证凭证后入侵目标云环境。在成功入侵后，攻击者部署了200多个加密货币挖矿容器，严重影响受害机构资源与安全。

https://thehackernews.com/2025/04/storm-1977-hits-education-clouds-with.html

3、Lazarus APT 利用1day漏洞攻击韩国目标

Lazarus APT 组织自 2024 年 11 月以来一直在进行 “Operation SyncHole” 攻击活动，主要针对韩国的软件、IT、金融、半导体制造和电信行业的组织。攻击者利用韩国软件中的漏洞和水坑攻击策略，成功入侵了至少六家组织。攻击的第一阶段主要利用了 ThreatNeedle 和 wAgent 恶意软件，而第二阶段则引入了 SIGNBT 和 COPPERHEDGE。攻击者通过韩国在线媒体网站引导目标用户访问攻击者控制的网站，利用 Cross EX 软件中的漏洞执行恶意脚本，注入恶意软件。此外，攻击者还利用 Innorix Agent 软件中的漏洞进行横向移动，进一步扩大攻击范围。

https://securelist.com/operation-synchole-watering-hole-attacks-by-lazarus/116326/

4、Outlaw犯罪团伙利用弱SSH凭证在Linux环境中部署IRC后门

Kaspersky 在巴西的一起事件响应中发现一个名为 Outlaw（也称 Dota）的网络犯罪团伙利用弱或默认的 SSH 凭证针对 Linux 环境进行攻击。攻击者通过 SSH 突破后，下载名为 tddwrt7s.sh 的脚本，该脚本负责下载 dota.tar.gz 文件，其中包含多个恶意工具。这些工具包括一个用于杀死其他挖矿程序的脚本、一个用于维持持久性的脚本以及一个 IRC 基础的后门客户端。该客户端伪装成 rsync 进程，连接到 IRC 服务器，等待攻击者的命令。此外，攻击者还部署了修改版的 XMRig 挖矿程序，用于在后台挖掘 Monero 加密货币。Outlaw 的攻击目标主要集中在北美和欧洲，但也影响了亚洲和南美洲的部分地区。

https://securelist.com/outlaw-botnet/116444/

5、Veeam发布报告：勒索软件攻击智能化加剧 愈发难以阻止

勒索软件表现出攻击精细化与持久性：勒索软件攻击呈现策略多样化趋势，除传统加密勒索外，攻击者更多转向数据窃取与双重勒索模式，入侵到攻击触发间隔缩短至数小时，尤其针对防御薄弱企业。Veeam报告显示，尽管受攻击企业比例从75%微降至69%，但威胁持续加剧，仅10%的受害企业能恢复90%以上数据，57%仅恢复不足50%，威胁仍然存在。

防御协同与恢复能力成关键：企业通过强化IT与安全团队协作、完善事件响应计划提升韧性。数据显示，重视数据弹性的组织恢复速度提升7倍。报告鼓励各组织采用 3-2-1-1-0 数据弹性规则，确保备份在恢复之前不可变且没有恶意软件。

网络安全预算、数据恢复投入不足：尽管安全预算占比增至IT总支出31%，但恢复投入仅占28%，这也暴露了能力建设失衡，表明在构建主动恢复能力方面存在潜在的脆弱性。

https://mp.weixin.qq.com/s/1DP13JaSvL7Tgb3PymgdQQ

三、技术、产品与市场

1、开源！思科专为安全而构建的大模型Foundation-sec-8b

在2025年4月29日的RSAC大会上，思科执行副总裁兼首席产品官Jeetu Patel宣布其安全大模型即日起正式开源。

Jeetu Patel指出：思科为其人工智能之旅的一个重要里程碑而感到自豪。我们新成立的基金会人工智能小组旨在为网络安全领域带来世界级的、特定领域的人工智能基础设施，我们自豪地推出其第一个版本：Llama-3.1-FoundationAI-SecurityLLM-base-8B（Foundation-sec-8b），这是一个80亿个参数、开放权重的大型语言模型（LLM），专为安全而构建。 

https://mp.weixin.qq.com/s/xFf7eovBTM_quQAn33C5Aw

2、《全国数据资源调查报告（2024年）》正式发布

4月29日，《全国数据资源调查报告（2024年）》在第八届数字中国建设峰会上正式发布。报告显示，我国数据资源规模优势持续扩大，数据资源开发利用活跃度稳步提升，各类主体加快人工智能布局投入，数据要素市场化、价值化进程进一步提速。

一是数据资源规模加速增长。2024年，全国数据生产量达41.06泽字节（ZB），同比增长25%。智能家居、智能网联汽车、无人机等智能设备数据增速位居前列。二是数据存储结构持续优化。全国数据存储总量为2.09泽字节（ZB），同比增长20.81%。存储空间利用率为61%。结构化数据增速大幅超过非结构化数据存储增速，表明数据资源开发利用的程度明显提高。三是算力基础设施建设加快布局。全国算力总规模达280EFLOPS（每秒百亿亿次浮点运算），八大国家枢纽节点算力总规模达175EFLOPS。智能算力在算力总规模中占比提升至32%。四是公共数据资源开发利用步伐加快。政务数据共享持续深化，共享枢纽平台累计支撑调用超5400亿次，有力支撑“高效办成一件事”改革。全国地市级以上地方公共数据开放平台数量增长7.5%，开放的数据量增长7.1%。国家公共数据资源开发利用“1+3”政策文件发布后，各省（区、市）、计划单列市中，超六成启动授权运营工作。五是企业数据资源开发利用提速。活跃数据总量同比提升22.73%，活跃数据总量占存储数据总量的比重为62.04%。企业数据要素在企业内部关键环节，如技术研发、生产协同、产品营销、售后服务等环节发挥了重要作用，产业链供应链韧性不断提升。六是数据促进人工智能加速发展。开发或应用人工智能的企业数量同比增长36%，高质量数据集数量同比增长27.4%，有力支撑人工智能训练和应用。利用大模型的数据技术企业和数据应用企业同比分别增长57.21%、37.14%。

https://mp.weixin.qq.com/s/52lFOt1mkuNGFe8rRS6eWA

3、国家数据局发布《数字中国发展报告（2024年）》

近日，国家数据局会同有关单位系统总结2024年数字中国建设重要进展和工作成效，编制形成《数字中国发展报告（2024年）》（以下简称《报告》）。《报告》提出，2024年数字中国建设总体呈现发展基础进一步夯实、赋能效应进一步强化、数字安全和治理体系进一步完善、数字领域国际合作进一步深化等四方面特点。

《报告》指出，数字安全和治理体系进一步完善，出台《网络数据安全管理条例》，印发《促进和规范数据跨境流动规定》。车联网安全治理形成“检测—防护—管理”闭环。数据标准化工作迈出坚实步伐，成立全国数据标准化技术委员会，发布《国家数据标准体系建设指南》。

https://mp.weixin.qq.com/s/-N78kq7C_tcPVwRbqTiF-w

4、国家互联网信息办公室发布《中国网络法治发展报告（2024年）》

4月27日，国家互联网信息办公室组织召开发布会，公开发布《中国网络法治发展报告（2024年）》。中央网信办副主任、国家网信办副主任杨建文指出，《中国网络法治发展报告（2024年）》是首部国家部门层面发布的网络法治综合性年度报告，既是《中国网络法治三十年》报告的续篇，也是中国网络法治发展年度报告的开篇，对于充分展现网络法治建设新进展新成效，奋力谱写网络法治建设新篇章具有重要意义。

https://mp.weixin.qq.com/s/UpZLSO1CFS9XFOQ080DhvA

5、数据安全关键技术与产业应用评价工业和信息化部重点实验室学术委员会2025年度工作会议在京召开

2025年4月25日上午，数据安全关键技术与产业应用评价工业和信息化部重点实验室（以下简称“重点实验室”） 学术委员会2025年度工作会议在北京成功召开。

会议中，北京理工大学网络空间安全学院党委书记祝烈煌作题为《面向数据要素流通的隐私保护计算技术》的主题分享，他指出数据流通迫切需要安全可信保障，而隐私计算技术可以破解数据开放共享困局。目前，隐私计算正向着多种协议融合的趋势演进，同时隐私计算还可以在数据集泄漏、模型鲁棒性、数据推理隐私泄漏等风险问题上对大模型技术起到良好赋能作用。

https://mp.weixin.qq.com/s/VC7leyRRKYVXiGBmVzUc9A

6、第二届武汉网络安全创新论坛开幕

近日，以“融合·创新·突破”为主题的第二届武汉网络安全创新论坛在湖北省武汉市开幕。中央网信办副主任、国家网信办副主任王京涛出席会议并致辞。

王京涛指出，当前，网络空间国际国内风险密切关联，网上网下风险深度交织，技术、内容、管理风险相互嵌套，传统风险与新型风险紧密耦合。面对网络安全新形势、新任务，我们要加快构建大网络安全工作格局。一是要创新国家网络安全防御理念，加快构建纵深布防的国家网络安全防御体系；二是要创新网络安全防护技术，打造满足新需要护航新技术的安全基座；三是要创新产业发展支持政策，着力推动网络安全产业健康有序发展；四是要创新教育科技人才一体化发展模式，大力培育网络安全实战人才。

https://mp.weixin.qq.com/s/M7BjwFT7WA5Lsg9k66RpBw

7、第二届“长城杯”信息安全铁人三项赛（防护赛）总决赛圆满收官

4月28日，在第八届数字中国建设峰会期间，第二届“长城杯”信息安全铁人三项赛（防护赛）总决赛在福建福州举办。

本届大赛以“智能防护，开启数字安全新时代”为主题，经过线上初赛、半决赛的激烈角逐，来自84所高校的100支参赛队伍、近400名参赛学生会师总决赛。

本次总决赛评比出一、二、三等奖和专项奖。来自广州大学、南京邮电大学通达学院、合肥师范学院的队伍获得一等奖；来自浙江师范大学、吉林大学、国防科技大学、哈尔滨工业大学、西北工业大学、西北大学、山东警察学院、安徽工业经济职业技术学院、北京航空航天大学、中山大学、五邑大学、安徽大学、上海交通大学、南昌航空大学科技学院、广东外语外贸大学等15所高校的队伍获得二等奖；来自东南大学无锡校区的队伍获得逆向分析专项奖，来自南京航空航天大学的队伍获得人工智能专项奖，来自电子科技大学的队伍获得网络渗透专项奖；此外，来自全国高校的79支队伍获得三等奖。

https://mp.weixin.qq.com/s/BzAfUX0AvaMYl4cGPumLNQ