热点速报

1、《民营经济促进法》正式实施：立法赋能民营经济高质量发展

5月20日，《民营经济促进法》正式实施。作为我国第一部专门关于民营经济发展的基础性法律，该法积极回应民营企业关切，并作出针对性制度安排，对于促进民营经济高质量发展，意义重大、影响深远。本报记者邀请法学和经济学领域多位学者对《民营经济促进法》正式实施的重大意义进行深入解读。学者们认为，这部法律围绕公平竞争、投资融资促进、科技创新、规范经营、服务保障、权益保护等方面建立完善相关制度机制，将持续优化稳定、公平、透明、可预期的民营经济发展环境。

来源：中国社会科学报

2、经济日报金观平：法治护航民营经济重在落实

5月20日，民营经济促进法正式施行。这是我国第一部专门关于民营经济发展的基础性法律，其实施充分彰显党和国家促进民营经济发展的坚定决心，以法治的稳定性增强民营企业发展的确定性。我国民营经济具备相当规模、占有很重分量，推动民营经济高质量发展具备坚实基础。民营经济促进法将政策和实践中行之有效的一系列经验做法确定为法律制度，并创下第一次将坚持“两个毫不动摇”写入法律、第一次明确民营经济的法律地位等多个“第一次”，这将进一步发挥法治固根本、稳预期、利长远的保障作用，护航民营经济发展。

来源：经济日报

3、2030年我国数据产业规模将达7.5万亿元

近日，记者从2025数据安全发展大会上获悉，我国将培育壮大一批数据要素产业链上下游企业，预计到2030年，我国数据产业规模将达到7.5万亿元。

来源：数据交易网

4、美国企图全球禁用中国先进计算芯片，中方回应！

商务部新闻发言人就美国企图全球禁用中国先进计算芯片发表谈话：中方注意到，美国商务部近日发布指南，以所谓推定违反美出口管制为由，企图在全球禁用中国先进计算芯片，包括特定的华为昇腾芯片。美方措施是典型的单边霸凌和保护主义做法，严重损害全球半导体产业链供应链稳定，剥夺其他国家发展先进计算芯片和人工智能等高科技产业的权利。

来源：商务部网站

5、四部门启动“剑网2025” 专项行动

近日，国家版权局、工业和信息化部、公安部、国家互联网信息办公室四部门联合启动打击网络侵权盗版“剑网2025”专项行动，这是全国持续开展的第21次打击网络侵权盗版专项行动。自2005年起，国家版权局等部门针对网络侵权盗版的热点难点问题，聚焦网络细分领域，查处了一批侵权盗版大案要案，有效打击和震慑了网络侵权盗版行为，营造了良好的网络版权秩序，保护了互联网企业版权合法权益。本次专项行动于5月至11月开展。

来源：国家版权局网站

6、2025年全球道德黑客会议

2025年最值得参加的道德黑客会议。

来源：https://mp.weixin.qq.com/s/V6CTeH5o5sjXgle605KFvg

7、鸿蒙电脑，正式发布！

中国科技企业华为19日在成都正式发布两款鸿蒙电脑，这是鸿蒙操作系统首次在电脑端正式发布。鸿蒙操作系统是首个实现移动端与桌面端生态统一的中国国产操作系统。自主可控的电脑操作系统是电子信息产业的重要底座。清华大学国情研究院副研究员杨竺松说，鸿蒙电脑的发布标志着中国在电脑操作系统领域迈出关键一步，这是中国电子信息产业的一个重大突破。

来源：新华社

8、Pwn2Own 2025柏林赛落幕！29个零日漏洞曝光，百万奖金花落谁家？

2025年Pwn2Own柏林黑客大赛已经落下帷幕，这场备受瞩目的网络安全竞赛吸引了众多顶尖安全研究人员参与。经过三天的激烈角逐，参赛者们凭借发现和利用29个零日漏洞  的出色表现，共获得了107.875万美元的奖金，同时也暴露出了一些漏洞碰撞的情况。

资料来源：https://mp.weixin.qq.com/s/zliokG9Yb00RzE5n-fvaJg

9、网安卫士竟“变身”木马黑客！警惕网络敲诈勒索

原本从事网络安全工作的工程师，竟干起黑客的勾当，利用木马病毒“黑”掉企业网络系统，索要数字加密货币作“赎金”……近日，浙江杭州市上城区人民法院一审宣判了一起特殊的敲诈勒索案件，四名被告分别以犯敲诈勒索罪、侵犯公民个人信息罪被判处有期徒刑。 

来源：新华社

10、国家数据局：统筹数据发展和安全 持续推进数据要素市场化价值化

5月16日至18日，以“瓯江论数 数安未来”为主题2025数据安全发展大会在浙江省温州市召开。国家数据局局长刘烈宏在大会主论坛的致辞中表示，数据领域情况新、变化快，理论、实践和认识都处于发展进程中，做好数据工作需要紧跟时代步伐，持续用力，迭代创新。并希望各方重点做好持续加强数据基础制度改革创新、加快探索数据流通利用基础设施建设、大力推进数据要素市场化价值化实践三方面工作。

来源：新华财经

11、公安部计算机信息系统安全产品质量监督检验中心检测发现35款违法违规收集使用个人信息的移动应用

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，在应用宝中35款移动应用存在违法违规收集使用个人信息情况，现通报如下。

来源：https://mp.weixin.qq.com/s/4JB4OJw3yDWKh_9Fe2-klQ

12、2025数据安全发展大会召开

。2025年5月16日至18日，以“瓯江论数 数安未来”为主题的2025数据安全发展大会在温州市瓯海区举行。大会由温州市人民政府主办，浙江大学计算机科学与技术学院、世界青年科学家联合会协办，温州市数据局、瓯海区人民政府、赛迪工业和信息化研究院（集团）有限公司、北京赛迪网信息技术有限公司等单位承办。汇聚国内外顶尖学者、行业领袖及企业代表，围绕数智融合、模型赋能、产业蝶变展开深度探讨，打造了一场覆盖数据安全、人工智能、产业创新等多领域的顶级盛会。

来源：2025数据安全发展大会

13、工业和信息化部党组书记、部长李乐成《求是》杂志撰文：大力促进中小企业高质量发展

中小企业是经济活力与韧性的重要源泉。中小企业和民营企业互为主体，民营企业中90%以上是中小企业，中小企业中90%以上是民营企业。党中央、国务院高度重视民营企业和中小企业发展。习近平总书记对促进中小企业发展工作作出一系列重要指示批示，强调要为中小企业发展营造良好环境，加大对中小企业支持力度，着力在推动企业创新上下功夫，激发涌现更多专精特新中小企业。工业和信息化系统要将促进民营企业与中小企业发展同研究、同部署、同推进，落实好促进中小企业发展的政策措施，以实际行动促进中小企业高质量发展。

来源：中国电子信息产业发展研究院

14、习近平对“十五五”规划编制工作作出重要指示

中共中央总书记、国家主席、中央军委主席习近平近日对“十五五”规划编制工作作出重要指示强调，科学制定和接续实施五年规划，是我们党治国理政一条重要经验，也是中国特色社会主义一个重要政治优势。编制和实施“十五五”规划，对于全面落实党的二十大战略部署、推进中国式现代化意义重大。要坚持科学决策、民主决策、依法决策，把顶层设计和问计于民统一起来，加强调研论证，广泛凝聚共识，以多种方式听取人民群众和社会各界的意见建议，充分吸收干部群众在实践中创造的新鲜经验，注重目标任务和政策举措的系统性整体性协同性，高质量完成规划编制工作。

来源：新华社

政策法规

1、国家市场监管总局发布《网络交易合规数据报送管理暂行办法》

市场监管总局印发《网络交易合规数据报送管理暂行办法》，自2025年4月25日施行，旨在规范网络交易合规数据报送和管理活动，提高网络交易监管效能，促进平台经济持续健康发展。《办法》共二十一条，主要规定了网络交易合规数据报送范围、报送时限、报送层级，网络交易合规数据利用和管理等内容。

来源：市场监管总局

2、国务院2025年预备制定网络安全等级保护条例

国务院办公厅近日印发《国务院2025年度立法工作计划》，其中多项内容和网络与信息安全相关，包括制定政务数据共享条例，预备制定网络安全等级保护条例、终端设备直连卫星服务管理条例，预备修订政府信息公开条例、互联网信息服务管理办法、反间谍法实施细则，推进人工智能健康发展立法工作。此前公安部于2018年6月公布《网络安全等级保护条例（征求意见稿）》对外公开征求意见，时隔7年后，该文件终于迎来新进展。

来源：中国政府网

3、中共中央 国务院印发《党政机关厉行节约反对浪费条例》

近日，中共中央、国务院印发了修订后的《党政机关厉行节约反对浪费条例》（以下简称《条例》），并发出通知，要求各地区各部门认真遵照执行。通知指出，《条例》修订坚持以习近平新时代中国特色社会主义思想为指导，坚持目标导向和问题导向相结合，与时俱进完善党政机关经费管理、国内差旅、因公临时出国（境）、公务接待、公务用车、会议活动、办公用房、资源节约等规定，强化厉行勤俭节约、反对铺张浪费责任落实，进一步拧紧党政机关带头过紧日子的制度螺栓，对于深入贯彻中央八项规定精神、持续深化纠治“四风”具有重要意义。

来源：央视网

4、中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》

近日，中央网信办、国家发展改革委、工业和信息化部联合印发《2025年深入推进IPv6规模部署和应用工作要点》（以下简称《工作要点》）。 《工作要点》要求，坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的二十大和二十届二中、三中全会精神，完整准确全面贯彻新发展理念，以全面推进IPv6技术创新与融合应用为主线，增强内生发展动力，完善技术产业生态，有力支撑网络强国建设。

来源：网信中国

5、工信部等九部门联合印发《关于加快推进科技服务业高质量发展的实施意见》

日前，经国务院同意，工业和信息化部、国家发展改革委、教育部、科技部、财政部、市场监管总局、金融监管总局、国家知识产权局、中国科协联合印发《关于加快推进科技服务业高质量发展的实施意见》（以下简称《实施意见》），以创新驱动、市场导向、融合发展、系统推进、质量为先为原则，壮大服务主体，优化发展生态，提升服务能力，实现规模增长和质效提升，加快科技成果转化和产业化，有力支撑科技创新和产业创新融合发展。

来源：工信微报

6、《数字中国建设2025年行动方案》近日印发

近日，国家数据局综合司印发了《数字中国建设2025年行动方案》（以下简称《行动方案》），要求各地区结合实际认真贯彻落实。《行动方案》是国家数据局首次向地方数据管理部门印发的指导开展数字中国建设的文件。。

来源：国家数据局

7、四川经信厅等8部门印发《四川省脑机接口及人机交互产业攻坚突破行动计划（2025—2030年）》

脑机接口及人机交互是生物智能与机器智能深度融合的前沿技术，是重塑未来医疗健康、工业制造、教育培训、消费娱乐等领域形态的颠覆性技术，已成为全球科技竞争和产业竞争的新制高点。为抢占未来产业发展先机，加快形成新质生产力，培育高质量发展新动能，制定本行动计划。

资料来源：四川经济和信息化厅

8、广东省工信厅、广东省通管局印发《广东省工业和信息化领域企业信息安全能力提升行动方案（2025-2027年）》

（粤工信工业互联网函〔2025〕18号）各地级以上市工业和信息化局，深圳市通信管理局，有关单位：为加快提升全省工业和信息化领域企业信息安全保障能力，以高水平信息安全护航新型工业化高质量发展。广东省工业和信息化厅、广东省通信管理局制定了《广东省工业和信息化领域企业信息安全能力提升行动方案（2025-2027年）》，现印发给你们，请按照任务分工抓好落实。

来源：广东省工业和信息化厅

安全漏洞

1、ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件

研究人员发现ChatGPT存在一个严重安全漏洞（编号CVE-2025-43714），攻击者可利用该漏洞将恶意SVG（可缩放矢量图形）和图像文件直接嵌入共享对话中，可能导致用户遭受复杂的钓鱼攻击或接触到有害内容。该漏洞影响截至2025年3月30日的所有ChatGPT系统版本。安全专家发现，当用户重新打开或通过公开链接共享对话时，ChatGPT会错误地执行SVG代码，而非将其作为代码块中的文本显示。这种行为实际上在该AI平台中创建了一个存储型跨站脚本（XSS）漏洞。

资料来源：https://mp.weixin.qq.com/s/uYqYJER2uSoEh-pqEsFfFg

2、高危WordPress插件漏洞威胁超1万个网站安全

近日，超过1万个使用WordPress建站的网站，因一款名为Eventin的热门插件存在致命漏洞，正面临黑客无需密码就能自封"站长"的极端风险。这个编号为CVE-2025-47539的漏洞犹如给网络罪犯发"万能钥匙"，可能引发网站数据泄露、页面篡改甚至沦为黑客工具等连锁危机。

资料来源：https://mp.weixin.qq.com/s/ULBjXkjb4C_ZVPz-6zejXw

3、NVIDIA ConnectX权限问题漏洞

NVIDIA ConnectX是一系列智能网络接口卡。NVIDIA ConnectX存在权限问题漏洞，该漏洞源于权限问题处理不当，攻击者可利用该漏洞导致拒绝服务、数据篡改和信息泄露。

参考来源：https://www.cnvd.org.cn/flaw/show/CNVD-2025-09694

4、Dell PowerScale OneFS默认密码漏洞

Dell PowerScale OneFS是美国戴尔（Dell）公司的一个操作系统。Dell PowerScale OneFS存在默认密码漏洞，该漏洞源于默认密码使用，攻击者可利用该漏洞导致高权限账户被接管。

参考来源：https://www.cnvd.org.cn/flaw/show/CNVD-2025-09399

5、CISA最近将Chrome漏洞标记为被积极利用

周四,CISA警告美国联邦机构保护其系统免受利用Chrome网络浏览器中高严重性漏洞的持续攻击。Solidlab安全研究员Vsevolod Kokorin发现了这个漏洞(CVE-2025-4664),并于5月5日在线分享了技术细节。released security updates谷歌周三发布了安全更新以修补它。

参考链接：https://mp.weixin.qq.com/s/B6I7ANufs4TFuqZBjPJJlw

6、glibc漏洞使数百万Linux系统面临代码执行风险

GNU C库(glibc)中新报告的漏洞,是无数Linux应用程序的基本组成部分,它详细介绍了静态setuid二进制文件的共享库加载机制中可能可利用的弱点。 跟踪为CVE-2025-4802,environment该漏洞源于静态setuid二进制文件在通过 dlopen进行动态库调用时不正确使用LD_LIBRARY_PATH环境变量。

资料来源：https://mp.weixin.qq.com/s/IS7bwFJHiCJq777_hyxIag

7、Pwn2Own大赛：黑客利用JavaScript零日漏洞攻破Firefox的技术细节

Mozilla已紧急修复Firefox浏览器中的两个关键零日漏洞（zero-day vulnerability），这两个漏洞均在上周柏林举行的Pwn2Own 2025黑客大赛中被成功利用。

资源来源：https://mp.weixin.qq.com/s/4kSX3HRzpS4a4u7joCcqvQ

8、黑客发起全球间谍行动，政府邮箱被利用XSS漏洞入侵

近日，安全研究人员披露，一个名为“RoundPress”的全球网络间谍活动正在持续展开，攻击者通过Webmail服务中的数个XSS漏洞，对全球多国政府和关键机构发起邮件窃密攻击。该行动被认为与黑客组织 APT28（又称“Fancy Bear”或“Sednit”）有关。

资料来源：https://mp.weixin.qq.com/s/lA_qL1LkVw1p5PEviBQPOw

9、谷歌Chrome曝高危漏洞，可导致账户接管与MFA绕过

Chrome用户需立即更新浏览器以修复一个正被利用实施账户接管攻击的高危漏洞。在某些环境下，攻击者甚至能借此绕过多因素认证（MFA，Multi-Factor Authentication）。该漏洞编号为CVE-2025-4664，影响136.0.7103.113之前的所有Chrome版本，是谷歌周三更新中修复的四个漏洞之一。谷歌在公告中仅表示："已知CVE-2025-4664漏洞的利用代码已在野出现"，这解释了为何要打破常规更新周期发布紧急补丁。

资料来源：https://mp.weixin.qq.com/s/gDcsOowokhq_rhA9TcXctw

安全事件

1、曝光：国内某打印机官方软件感染窃密木马超半年

在至少长达六个月的时间里，Procolored打印机附带的官方软件中被发现包含恶意软件，包括远程访问木马（RAT）和加密货币窃取程序。Procolored是一家提供数字打印解决方案的厂商，产品涵盖直喷膜（DTF）、紫外DTF、紫外打印机以及直喷服装（DTG）打印机。该公司因提供经济高效的织物打印方案而受到广泛认可。

资料来源：https://mp.weixin.qq.com/s/RZqnehLsZb9ToZ1S6RYC7Q

2、黑客组织SECT0R16高调宣称入侵控制多国水务SCADA系统

2025年5月19日至20日监测暗网发现，黑客组织SECT0R16对乌克兰、意大利及波兰三国的三处水务设施发起连环网络攻击，暴露出工业控制系统（ICS）的致命短板。该组织通过Telegram宣称，其利用乌克兰阿帕特尔里卡胡斯特温泉度假村儿童泳池控制系统的“多因素认证缺失”漏洞，直接操控水温与压力参数；同日攻破意大利米兰及波兰格但斯克的水务SCADA系统，通过篡改水泵运行周期、强制激活手动冲洗功能及伪造传感器数据，干扰水处理流程并掩盖攻击痕迹。尽管未引发重大安全事故，但三起事件均指向共性隐患——弱口令防护、网络隔离失效及设备监控盲区。攻击者借实时界面截图与操作细节高调宣扬技术能力，以跨国协同的精准打击模式，将旅游、水务等民生领域SCADA系统转化为地缘网络威慑的试验场，凸显关键基础设施“数字阀门”失控的全局性风险。此前，SECTOR16组织还曾入侵美国德克萨斯州石油设施SCADA系统。

资料来源：https://mp.weixin.qq.com/s/PnwskaaeB0OPAEvCWASOhg

3、黑客组织攻击某高校官网，导致泄露300万学生敏感信息

近日，一个自称为“Computer Niggy Exploitation”的黑客组织对美国著名高等学府纽约大学（NYU）的官方网站发动了网络攻击。该组织声称此举旨在揭露纽约大学在招生过程中存在的所谓“种族歧视”问题，但同时也暴露了数百万纽约大学申请者的敏感信息。

来源：IT之家

4、玛莎百货遭网络攻击重创 客户数据在攻击中被盗

英国最大的跨国商业零售集团玛莎百货（Marks and Spencer）证实，客户数据信息在上个月的一次网络攻击中被盗，当时有人使用勒索软件对服务器进行加密。 这次攻击发生在2025年4月22日，严重影响了该零售商1400家门店的业务运营，迫使其停止接受在线订单。此次攻击是由DragonForce恶意软件附属机构进行的，他们利用了Scattered Spider社会工程学战术，侵入了玛莎百货的网络，目的是破坏其网络。在攻击期间，攻击者对公司服务器上托管的VMware ESXi虚拟机进行了加密。

资料来源：https://mp.weixin.qq.com/s/bdzXXtqStS49eK1gj-gxhg

5、官方首次披露！医院患者因网络攻击遭受临床伤害

官方数据显示，英国国家医疗服务体系（NHS）在2024年发生的两起网络攻击事件中受到影响，导致患者面临临床伤害风险。这些数据是英国政府依据《网络与信息系统（NIS）条例》进行记录，并可通过《信息自由法》申请获取的。尽管数据未具体说明事件细节，但凸显了以牟利为目的的网络攻击对公共安全构成的威胁日益严峻。

资料来源：https://mp.weixin.qq.com/s/ANqI1ZrQPB93JjUFn4E2VA

6、科威特遭受攻击：230多个域名用于复杂的网络钓鱼行动

在一份新发布的威胁情报报告中,Hunt.io研究人员详细介绍了针对科威特关键部门的积极和复杂的网络钓鱼活动,包括渔业,电信和保险。该行动于2025年初首次确定,目前正在进行,并雇用了230多个域名来欺骗用户并收集敏感凭据。

资料来源：https://mp.weixin.qq.com/s/TfUZfpH1UjLbjPQ2dIJyDQ

7、云存储大规模数据泄露事件，全球2000亿文件暴露在公网

网络安全公司Cyble的研究人员发出警告，多个主流云服务商因存储桶配置错误导致约2000亿份文件可被公开访问。研究人员在漏洞分析过程中，共识别出分布在七大云平台上的66万个未受保护的存储桶。

资料来源：https://mp.weixin.qq.com/s/55rcxt1EwvUkBgRxw06Fqw

8、我国某科技公司遭网络攻击，境外“黑手”被锁定！

今天（20日），广东省广州市公安局天河区分局发布警情通报称，广州某科技公司自助设备的后台系统遭受网络攻击并被上传多份恶意代码。接警后，公安机关立即开展调查，提取相关样本，依法固定电子证据。经对网络攻击手法和相关恶意代码样本开展技术分析，现已初步判定该事件为境外黑客组织发起的网络攻击活动。

资料来源：央视新闻

9、预计损失高达28亿元，知名金融机构遭网络攻击泄露客户敏感数据

Coinbase披露称，网络犯罪团伙收买了一批公司海外客服人员，窃取约百万客户的敏感数据以实施社会工程攻击，试图诱骗对方转账汇款，目前客户损失规模尚未公布，据悉客户密码、私钥等信息未泄露；Coinbase表示将对被骗汇款的客户进行赔偿，并设立2000万美元基金用于悬赏攻击者线索，预计该事件的补救措施和客户赔偿总支出最高需要28.8亿元。

资料来源：https://mp.weixin.qq.com/s/ab801jFR8l98F98FMNL8mg

10、Coinbase遭黑客攻击，数据泄露损失最高将达4亿美元

Coinbase向美国证券交易委员会（SEC）提交的文件证实，恶意承包商窃取了不到1%平台用户的个人数据，并索要2000万美元赎金。2025年5月11日，该公司收到威胁行为者的勒索邮件，对方声称掌握了客户及内部数据。攻击者承认通过收买海外支持岗位的承包商，利用其合法访问权限从Coinbase内部系统提取信息。

资料来源：https://mp.weixin.qq.com/s/uovkS4XnOneesPsBqEXXUQ

风险预警

1、VPN厂商毁约，“终身订阅”的本质是骗局？

近日，VPN服务商VPNSecure因单方面取消用户终身订阅权限引发轩然大波。其新东家InfiniteQuant Ltd以“收购时未知存在终身订阅”为由拒绝履约，并强行将用户账号降级为付费订阅模式。这一事件不仅暴露了“终身订阅”商业模式的脆弱性，更将网络服务行业长期存在的信任危机推至台前。

资料来源：https://mp.weixin.qq.com/s/MsEqTmcqKt3IE4xx_loiDw

2、勒索软件团伙越来越多地使用Skitnet剥削后恶意软件

勒索软件团伙成员越来越多地使用一种名为Skitnet(“Bossnet”)的新恶意软件,在被破坏的网络上进行隐秘的剥削后活动。 自2024年4月以来,该恶意软件已在RAMP等地下论坛上出售,但根据Prodaft研究人员的说法,自2025年初以来,它开始在勒索软件团伙中获得显着的吸引力。

资料来源：https://mp.weixin.qq.com/s/01wLgQPJtRy7ZJSoxfkGUg

3、Linux擦除器恶意软件隐藏在GitHub上的恶意Go模块

安全研究人员最新发现，供应链攻击的目标是Linux服务器，其磁盘擦除恶意软件隐藏在GitHub上发布的Golang模块中。该活动于上个月被发现，并依赖于三个恶意Go模块，其中包括“高度混淆的代码”，用于检索远程有效载荷并执行它们。

资料来源：https://mp.weixin.qq.com/s/ojoFYavTIoxFyQHGDKc8rQ

4、美国联邦调查局警告：AI语音诈骗正冒充政府高官行骗

美国联邦调查局（FBI）近日发布警告称，网络犯罪分子正利用人工智能（AI）生成的语音备忘录，冒充美国高级官员实施"语音钓鱼（vishing）"和"短信钓鱼（smishing）"攻击，目标直指政府现任/前任官员及其联系人。

来源：https://mp.weixin.qq.com/s/0ThzYkGrvPyM2BJ0nq4Kvg

5、日本通过法案允许在未明确情况下开展网络攻击行动

日本政府于本月17日正式通过《积极网络防御法》，标志着该国在网络安全领域政策方向发生重大转变。新法明确赋予执法与军方部门在网络空间中“先发制人”的权力，允许其在未遭受明确攻击的情况下主动渗透并破坏“敌对服务器”，以遏制潜在威胁。该法案最早于2022年提出，被视为日本试图摆脱长期以来“防御为主”网络政策的重要节点。长期以来，日本网络安全政策遵循宪法第九条所确立的和平主义原则，强调不主动发动任何形式的攻击行为。此次立法则是近年来对第九条“防御范围”重新解读的延伸，与此前自卫队对外支援权限的扩展形成呼应。

资料来源：https://mp.weixin.qq.com/s/TbYmXSH2FjMKi8zWQcQY_w

6、公安部公布十大高发电信网络诈骗类型

近年来，公安部聚焦人民群众深恶痛绝的电信网络诈骗犯罪，持续组织开展“云剑”“断卡”“断流”“拔钉”和打击缅北涉我电信网络诈骗犯罪等一系列打击行动，统筹推进打防管控建各项措施，打击治理工作取得明显成效，电信网络诈骗犯罪上升势头得到有效遏制。据统计，2023年，电信网络诈骗受害者的平均年龄为37岁，18岁至40岁的占比62.1%，41岁至65岁的占比33.1%，刷单返利、虚假网络投资理财、虚假购物服务、冒充电商物流客服、虚假征信等10种常见的电信网络诈骗类型发案占比近88.4%，其中刷单返利类诈骗是发案量最大和造成损失最多的诈骗类型，虚假网络投资理财类诈骗的个案损失金额最大，虚假购物服务类诈骗发案量明显上升，已位居第三位。

资料来源：公安部新闻传媒

7、新型.NET三阶段部署攻击Windows，嵌入位图资源传播恶意载荷

自2022年初以来，一种复杂的.NET多阶段恶意软件加载程序持续针对Windows系统发起攻击，成为传播信息窃取程序和远程访问木马等危险载荷的分发渠道。该加载程序采用复杂的三阶段部署机制，在向受感染设备投递恶意软件的同时有效规避检测。研究人员发现，该威胁持续进化，最新版本已采用更高级的混淆技术来隐藏其活动痕迹。

资料来源：https://mp.weixin.qq.com/s/pkkS0cVaLHN72g0wm4lL7Q

技术前沿

1、深度研究 | 如何利用可信数据空间赋能企业数据流通安全

当前，数据正在成为驱动企业创新与增长的核心引擎。然而，当企业跨越组织边界共享数据时，就会遇到一个不可避免的矛盾：数据价值的最大化需要流动与共享，而数据安全与隐私保护却要求严格控制与封闭。供应链协同、精准营销、联合风险控制等高价值场景中，企业既渴望通过数据共享释放"乘数效应"，又担忧数据泄露、滥用和合规风险。可信数据空间作为一种新兴的技术与治理框架，正成为解决这一矛盾的关键桥梁。

资料来源：https://mp.weixin.qq.com/s/PIFhL4GsSQskONjEC0vY0A

2、【汉诺威观察】开放自动化的下一个目标是实现工业5.0

还记得工业4.0是怎么提出的吗？那是在2013年的汉诺威工业博览会上由德国提出的。如今十多年过去了，在2025年汉诺威工博会上，我们看到了很多厂商和组织在提工业5.0的理念。相比工业4.0强调自动化、物联网和智能工厂，工业5.0更加强调人机协作、可持续性和生产系统的韧性。各个厂商都有各自的技术和方案，比如协作机器人（Cobots  ）、AI与生成式工具和边缘计算与工业智联网等。

参考来源：https://mp.weixin.qq.com/s/Vr8mDUjTVg957hV-vECJRA

3、后量子公钥密码研究的问题与挑战

在密码应用中，由于对密钥尺寸和签名加密结果大小的限制性需求以及对清晰安全性论证的必备需要，那些基础困难问题简洁且研究充分的算法，如RSA、ECC，被选择作为公钥密码应用标准。但这些标准算法不能抵抗即将到来的量子计算攻击，于是密码界不得不下大力气研究所谓的后量子密码，即量子计算应用后仍然安全的公钥密码。基于格、纠错码、多变量、杂凑树等问题的公钥密码目前被认为是后量子密码，它们的研究历史并不短，大部分早在上世纪70年代末或80年代初就已经和RSA、ECC等密码同时开始了研究，格密码的设计研究要晚一些，到现在也有三十年的历史了。但是，这些后量子密码的基础困难问题复杂、参数多、密钥尺寸大，目前的研究远不如RSA和ECC充分，有很多问题没有搞清楚。

来源：密码学报-中英文

4、数世咨询：2025年度中国数字安全价值图谱正式发布

今日推出，基于价值理念的《中国数字安全价值图谱》。自2016年业界首张网络安全全景图推出之后到现在，绝大多数研究机构的全景图或图谱均是"基于产品"而来，是一本厂商大全。厂商大全首次解决了复杂众多的安全产品及其主流厂商的全貌问题，对于甲方而言，采购了一堆产品就能够提升安全防御水平吗？答案显然是不能。产品只是工具，而工具是人来用的，监管和用户真正关心的是安全能力。于是，数世咨询于2020年推出了"基于能力"理念的《中国数字安全能力图谱》。

资料来源：https://mp.weixin.qq.com/s/NyJe56UKQNsGa42W-sb4tg

5、2024年美国太空安全领域发展动向分析

随着太空领域的战略价值不断提升，太空资产在国家安全和经济社会发展中的重要性日益凸显，太空领域的安全问题得到世界强国普遍关注和重视。美国已经发射和部署了大量的太空资产，仍持续加速太空技术与装备的发展。研究2024年美国在太空安全领域重要事件，发现美国调整太空政策更加强调主动竞争与对抗，通过深化军民融合策略激发商业航天的创新力和灵活性，大规模部署卫星，提升太空域感知能力，发展军民两用的在轨服务技术，并利用人工智能等前沿技术不断推动太空装备发展。综上，2024年美国不断强化太空军事能力，增强了太空领域的攻防主动权。

来源：战术导弹技术

6、研究分析丨新型工业化背景下的工业控制系统信息安全风险评估

党的二十大报告提出，到2035年基本实现新型工业化。在推动新阶段新型工业化进程中，数字化、智能化成为工业企业技改升级的重要抓手。继工业互联网赋能之后，工业企业围绕“数字化转型”“智能化升级”，加强新一代信息技术与工业生产的集成应用，加速发展新质生产力。网络化是数字化、智能化的基础资源保障和数据要素来源，经典工业控制系统模型在网络化背景下已发生改变，能否针对工业控制系统实施信息安全风险控制、防范化解网络和数据安全风险隐患，成为工业企业顺利实现转型升级的关键因素。

来源：https://mp.weixin.qq.com/s/HZ-erSFMlbktvVX4kjTqXw

7、标准解读 |《电信网和互联网数据异常行为监测技术要求和测试方法》

电信及互联网企业掌握着庞大的重要数据，更需要加强数据安全建设，对数据采集、传输、存储、使用、共享等各个主要环节的异常行为进行深度分析、精准告警和及时响应。通过数据异常行为监测能够实时监测数据的流动和使用情况，识别违规使用或数据滥用行为，提高数据安全防护的主动性和有效性。为了规范数据异常行为监测工作应具备的技术能力，对异常行为监测技术能力的设计、研发、测试、评估和验收等提供依据，并为企业采购数据异常行为监测系统时提供标准参考，中国信息通信研究院安全研究所联合中国移动、中国电信、中国联通以及数据安全能力提供商等单位共同完成了行业标准YD/T 4246-2023《电信网和互联网数据异常行为监测技术要求与测试方法》研制工作，目前已正式发布。

来源：https://mp.weixin.qq.com/s/6Q4bkaHE33DBsJs96HMe9w