一、政策形势

1、国家密码管理局公告（第53号）-更新发布《商用密码检测机构（商用密码应用安全性评估业务）目录》

国家密码管理局依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》，于2025年10月27日更新发布《商用密码检测机构（商用密码应用安全性评估业务）目录》，用以取代2024年11月11日国家密码管理局公告（第49号）发布的《商用密码检测机构（商用密码应用安全性评估业务）目录》。未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。

现有目录共160家测评机构。 

https://www.oscca.gov.cn/sca/xwdt/2025-10/27/content_1061299.shtml

2、等级保护标准体系再完善：六项新技术公安行标正式发布

近日，涵盖边缘计算、大数据、IPv6、区块链、云计算及5G接入安全领域的六项网络安全等级保护公安行业标准正式发布，并于2026年2月1日起正式实施。这些标准聚焦新技术领域安全痛点，从安全扩展要求、测评扩展要求等维度进一步完善我国网络安全等级保护标准体系，为新技术场景下的安全防护提供技术指引。  

http://gzwangan.com/?p=4727

二、数据安全事件

1、近半数地球同步卫星传输未加密数据

加州大学圣地亚哥分校和马里兰大学的研究团队发现，近半数地球同步卫星传输未加密数据，导致敏感的消费者、企业和军事通信面临被截获风险。

研究人员使用价值800美元的卫星接收器进行了为期三年的监测，发现大量未加密数据在太空与地面间传输，包括私人通话、短信和机上Wi-Fi流量。

1. 敏感数据大规模暴露

专家们截获了来自地球同步卫星的未加密数据，包括T-Mobile的通话和短信、机上Wi-Fi流量、关键基础设施通信，甚至美国和墨西哥的军事数据。

研究团队强调，他们并未主动拦截任何通信，只是被动接收卫星向其接收天线传输的信号。研究人员已将发现告知相关企业和机构，部分迅速解决了问题，但仍有部分尚未修复。T-Mobile等公司迅速增加了加密措施，但美国一些关键基础设施运营商仍未保护其系统。

2.低成本设备即可实施监控

任何人只需花费几百美元购买消费级硬件就能被动观察这些数据。全球有数千个地球同步卫星转发器，单个转发器的数据可能覆盖地球表面40%的区域。

3.电信运营商后传链路暴露隐私

研究人员发现，电信运营商使用未加密的卫星回传链路导致偏远地区基站塔的私人数据暴露。仅使用一台800美元的天线，他们就截获了来自T-Mobile、AT&T墨西哥和Telmex的信号。短短九小时内，他们就捕获了2700多个电话号码以及T-Mobile用户的单边通话和短信，显示出数千英里外的攻击者可以多么轻易地窃听敏感的蜂窝通信。

https://securityaffairs.com/183404/hacking/unencrypted-satellites-expose-global-communications.html

2、会计巨头安永4TB SQL Server备份文件在微软Azure平台遭公开泄露

网络安全公司Neo Security在例行资产测绘中发现，全球会计巨头安永一份容量达4TB的SQL Server备份文件在微软Azure平台上处于公开可访问状态。该事件凸显出即使资源充足的企业也可能无意中将敏感数据暴露在互联网自动化扫描工具之下。

Neo Security首席研究员使用底层工具分析被动网络流量时发现了该文件。仅通过获取元数据的HEAD请求就显示出惊人数据量——4TB容量相当于数百万份文档或整个图书馆的信息储量。文件命名规范明确显示为SQL Server备份（.BAK格式），这类文件通常包含完整数据库转储，包括架构、用户数据以及关键的嵌入式密钥（如API密钥、凭证和身份验证令牌）。

安永在一周内专业高效地完成问题排查与修复，其成熟应对在充斥否认与拖延的行业中实属罕见。但该事件暴露出系统性云漏洞——Azure便捷的数据库导出功能可能因ACL（访问控制列表）配置错误，导致私有存储因误操作转为公开。

https://cybersecuritynews.com/ey-data-leak/

三、技术、产品与市场

1、产业数纽联盟2025年四季度工作会议在上海数据交易所召开

10月28日，产业数纽联盟2025年四季度工作会议在上海数据交易所召开，汇聚多家数纽中心，分享数据应用与协同的最新实践，探讨下一阶段产业数纽联盟发展的新路径，推动建设全国一体化数据市场。

上海数据交易所携手行业和区域数纽中心等数据市场主体成立产业数纽联盟，致力于到2030年实现“互联1万个源，覆盖1万PB数据，撬动1万亿资产”的发展蓝图，成为一体化数据市场的重要组成部分。

https://mp.weixin.qq.com/s/Nts4jm1dl4mHdF3BOOCI_w

2、工信部通报！2025年第6批：42款APP及SDK存在侵害用户权益行为

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，对APP、SDK违法违规收集使用个人信息等问题开展治理。 

https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2025/art_7948a7aff6e44ca3b6e9e14636f971c9.html

3、主流AI浏览器普遍存在致命漏洞

本周，Brave浏览器团队发布报告，详细披露了他们在Comet和Fellou两款AI浏览器中发现的间接提示注入漏洞。

在Fellou浏览器的测试中，研究人员将恶意指令（例如“打开Gmail”）简单地以白色文字写入网页的白色背景中。当用户要求浏览器“总结”这个页面时——一个非常常见的AI使用场景——浏览器便会“遵照”这些恶意指令：

l  打开用户的Gmail。

l  抓取用户收件箱中最新一封邮件的主题行。

l  将该主题行数据作为查询字符串，附加到一个由研究人员控制的URL上，从而实现用户敏感数据的即时外泄。

更令人担忧的是，即便是OpenAI自家的Atlas浏览器也未能幸免。安全研究员Johann Rehberger通过在一个在线Word文档底部添加隐藏指令，成功诱使Atlas浏览器从亮色模式切换到了暗色模式。虽然这个操作本身无害，但它证明了Atlas同样会盲目执行来自不可信文档源的指令。

https://mp.weixin.qq.com/s/Z7p99RsXPuGF3X95-CpUQA