一、政策形势
1、中国民航局发布《民航领域数据分类分级要求》
近日,中国民用航空局发布了《民航领域数据分类分级要求》。
《民航领域数据分类分级要求》规定了民航领域数据分类分级的基本原则、数据分类规则、数据分级规则及实施流程的要求,适用于指导民航领域数据处理者开展民航领域数据分类分级工作。
http://www.caac.gov.cn/XXGK/XXGK/BZGF/HYBZ/202507/t20250724_228059.html
2、《湖北省数据条例》10月1日施行
7月31日,《湖北省数据条例》(以下简称《条例》)经湖北省十四届人大常委会第十九次会议表决通过,将于2025年10月1日起施行。
《条例》分为总则、数据权益保护、数据资源管理、数据流通、数据产业和应用、数据安全、保障措施、法律责任、附则等九章,共六十九条,涵盖数据工作全链条。
在数据安全和保障方面。《条例》推动构建政府、企业、社会多方协同的数据安全治理模式,将安全贯穿数据供给、流通、使用等全过程。强化基础保障,从推动数据基础设施建设、统筹资金保障、加强数据领域人才培养、推进数据要素市场信用体系建设、实行包容审慎监管等方面,完善数据发展和治理的保障措施。
http://news.10jqka.com.cn/20250731/c670052603.shtml
3、上海市印发《2025 年上海市公共数据开放工作方案》
近日,上海市数据局正式印发《2025年上海市公共数据开放工作方案》,明确以“体系完备、量质齐升、价值释放、生态共赢”为目标,推动公共数据开放提质增效。
方案围绕开放机制、数据质量、平台功能、生态建设四大维度,明确“十二项”重点任务 。从规范开放流程,明确年度计划与指导目录、修订实施细则,到完善分类分级机制、推动清单动态调整;从聚焦民生领域扩大开放、开展数据质量提升行动,到打造优质数据集、升级平台界面与功能,再到探索 AI 融合应用、建立多维评估体系、创新服务模式及以赛事引导开发利用,全方位夯实数据开放基础,并积极确保数据开放的安全保障建设。
https://mp.weixin.qq.com/s/V3ULi0qmhyu3AjH0dkxlvg
二、数据安全事件
1、成都网信办通报3起网络和数据安全违法违规行为
7月30日,“网信成都”发布了三起因未履行网络和数据安全保护义务而受行政处罚的典型案例。
案例一:工作发现,我市某商贸企业OA系统被境外黑客篡改并张贴政治标语。经调查核实,该企业OA系统未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施,且未制定内部管理制度和操作规程,未制定网络安全事件应急预案,导致OA系统遭受网络入侵,登录页面被篡改并传播,造成不良影响。根据《中华人民共和国网络安全法》第二十一条、第二十五条、第五十九条,对该公司处以2.5万元罚款,对相关网络安全责任人处以5千元罚款。
案例二:工作发现,我市某增值电信企业所属信息系统疑似发生数据泄露。经调查核实,该企业存储个人敏感信息的相关信息系统ElasticSearch数据库9200端口存在未授权访问漏洞,且日志配置文件未配置日志服务,未健全网络安全和数据安全管理制度。根据《中华人民共和国数据安全法》第二十七条、第四十五条规定,给予该企业警告处罚,并处5万元罚款。
案例三:工作发现,我市某互联网企业所属信息系统疑似发生数据泄露。经调查核实,该企业存储大量消费金融领域个人敏感信息的MySQL数据库3306端口存在弱口令漏洞,且未建立健全全流程数据安全管理制度,未采取相应的技术措施和其他必要措施保障数据安全。根据《中华人民共和国数据安全法》第二十七条、第四十五条规定,给予该企业警告处罚,并处15万元罚款。
https://mp.weixin.qq.com/s/15bzl-Z5bsFrvvbsnHaRCQ
2、俄航空公司遭黑客攻击 大量航班被迫取消
据新华社消息,俄罗斯国际航空公司7月28日在社交媒体上发布消息说,因公司信息系统遭黑客攻击发生故障,近50对往返航班被取消。
据《生意人报》报道,两个黑客组织声称入侵了俄国际航空公司的企业网络长达一年之久。黑客组织表示摧毁了约7000台物理服务器和虚拟服务器,入侵了关键系统,控制了包括管理层在内的员工个人电脑,复制了大量数据。
俄国际航空公司表示,专家团队正在努力将风险降至最低,尽快恢复正常运营。被取消航班的旅客可以申请退款或改签未来10天内的其他航班。
目前,莫斯科检察部门正在对该事件展开调查。
https://tv.cctv.com/2025/07/29/VIDELtSq67cciafr6GVdz7k1250729.shtml
3、法国造船公司Naval Group疑似遭受数据泄露
近期,有威胁行为者在一个知名的数据泄露论坛上宣布了Naval Group疑似数据泄露事件。据攻击者声称,他们已经获得了法国潜艇和护卫舰使用的作战管理系统(CMS)的访问权限。
Naval Group是欧洲国防领域的重要参与者,员工超过15,000人,年收入超过50亿美元(43亿欧元)。它的两大股东是法国政府和泰雷兹集团。
根据攻击者在数据泄露论坛发布的帖子,网络犯罪分子声称他们拿到了:
l 为军舰CMS系统提供动力的源代码
l 网络数据
l 不同限制级别的技术文档
l 开发人员虚拟机的访问权限
l 机密通信
https://mp.weixin.qq.com/s/nWhC8UapOqSINpmo6f-s_Q
三、技术、产品与市场
1、数达安全AI大模型方案荣膺AI创业大赛“成长潜力奖”
在刚刚揭晓的第三届人工智能产品应用创新创业大赛中,数达安全(北京)科技有限公司凭借创新力作——《基于AI大模型的数据安全智能风险监测系统》,从激烈角逐中脱颖而出,成功斩获大赛重磅奖项——“成长潜力奖”!
https://mp.weixin.qq.com/s/mkbk-cObp-yd6Z3X2f6qmw
2、数达安全《数据库透明加密系统》杀入ISC.AI 2025全球十强
在刚刚揭晓的全球顶级科技赛事——ISC.AI 2025创新独角兽沙盒大赛中,数达安全凭借自主研发的《数据库透明加密系统(DS-TDE)》以硬核技术实力,强势闯入「数字安全创新赛道」决赛十强!
http://field.10jqka.com.cn/20250724/c669872771.shtml
3、国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司
近日,据网信中国消息,英伟达算力芯片被曝出存在严重安全问题。此前,美议员呼吁要求美出口的先进芯片必须配备“追踪定位”功能。美人工智能领域专家透露,英伟达算力芯片“追踪定位”“远程关闭”技术已成熟。为维护中国用户网络安全、数据安全,依据《网络安全法》《数据安全法》《个人信息保护法》有关规定,国家互联网信息办公室于2025年7月31日约谈了英伟达公司,要求英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交相关证明材料。
https://mp.weixin.qq.com/s/4SfjclOEbZOcus-TXc0KUw
4、Lab1 发布《2025年数据泄露分析报告》
Lab 1是一个大规模应用人工智能和数据科学来识别和分析数据泄露风险的平台。
Lab1最新发布的《2025年数据泄露分析报告》通过对1297起泄露事件中超过1.41亿份文件进行内容级分析,对公开文件的结构、敏感性和功能进行了分类,创建了供业务、风险和安全领导者参考的年度基准。以下是该报告核心观点的部分摘录。
1. 数据泄露分析
1) 客户与企业PII成主要泄露目标
个人和公司数据,特别是包含个人身份信息(PII)、工资单和简历的人力资源文件,在82%的数据泄露事件中占据了显著地位。
此外,67%的事件涉及与客户服务、支持或沟通相关的文件和记录,其中电子邮件泄露尤为突出,占比达86%。
2) 财务数据泄露加剧双重欺诈风险
93%的泄露事件涉及财务文件,这类文件占所有泄露文件的41%。财务文件通常包含银行详细信息、税务标识符或发票信息,是暗网市场上欺诈、勒索和转售的主要目标。其中银行对账单(占49%)和国际银行账号(IBAN)(占36%),是可能促进身份欺诈、支付重定向和授权欺诈的常见项目。三分之二(66%)的事件涉及与客户服务交互和支持相关的通信和记录,包括客户详细信息,如联系方式、地址等。泄露包含个人数据的客户服务记录不仅可能导致有针对性的网络钓鱼、身份盗窃,还可能因为违反相关法律法规而面临巨额罚款、法律诉讼以及客户信任的降低。
2. 泄露爆炸半径分析
在一次数据泄露事件中波及多个组织,通常称为“爆炸半径”,它会显著放大系统性风险、加重监管义务并加剧声誉损害。在分析的1297起事件中,受影响组织数量的中位值高达482个,显示出巨大的爆炸半径。其中影响范围最广的事件波及超过173万个组织,而影响最小的事件则仅涉及单个实体。其中金融服务业平均爆炸半径为4,468家机构。
