【壹周快报】121家，通过商用密码检测机构资质申请材料审查的机构名单公示；电信巨头疑似被窃取2.3 GB内部数据

锐成信息壹周快报，汇总了本周的热点资讯、安全事件，保证大家不错过本周的每一个重点!本周重点关注：121家，通过商用密码检测机构资质申请材料审查的机构名单公示；西班牙电信巨头遭数据泄露，疑似2.3 GB内部数据被窃取。

【热点资讯】

1、7部门联合发布《食品工业数字化转型实施方案》

近日，工业和信息化部等7部门联合发布《食品工业数字化转型实施方案》，旨在主动适应和引领新一轮科技革命和产业变革，加快推进新型工业化，指导食品工业数字化转型升级，推动食品工业高质量发展。方案在重点任务重提到「强化网络和数据安全保障」，鼓励企业开展工业互联网安全分类分级管理，研究制定食品工业重要数据识别指南，强化重要数据识别和目录备案、数据安全风险评估、事件应急处置等工作，加强网络和数据安全防护能力建设，提升网络和数据安全防护水平。

• 资料来源：工业和信息化部
• 资料链接：https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_5b1d644caf3f44549a53361a996bc3eb.html/

2、121家，通过商用密码检测机构资质申请材料审查的机构名单公示

近日，国家密码管理局发布了《关于对通过商用密码检测机构（商用密码应用安全性评估业务）资质申请材料审查的机构名单进行公示的通知》，公示了通过商用密码检测机构资质申请材料审查的机构，共有121家。

商用密码应用安全性评估，简称密评，是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。只有取得商用密码检测机构(商用密码应用安全性评估业务)资质的机构才能够开展密评业务。

• 资料来源：国家密码管理局
• 资料链接：https://www.oscca.gov.cn/sca/xwdt/2025-06/10/content_1061269.shtml

3、NIST发布新的零信任实施指南：《实施零信任架构》

近日，NIST 国家网络安全卓越中心 (NCCoE) 发布了最终实践指南《实施零信任架构》（NIST SP 1800-35），概述了 NCCoE 与 24 家供应商合作展示端到端零信任架构所取得的成果和最佳实践，展示了19个零信任架构实施示例，以应对这些独特的挑战。可帮助企业从中获得的最佳实践和经验教训，节省时间和资源。

4、NIST 发布网络安全白皮书45《硬件安全结构的衡量标准和方法》

近日，美国国家标准与技术研究院（NIST）发布网络安全白皮书45《硬件安全结构的衡量标准和方法》，采用了一种综合方法和两个关键度量标准--威胁度和敏感度--来分析不同的硬件弱点以及可以利用这些弱点的特定攻击模式。该方法有助于设计工程师更好地了解不同的硬件弱点和攻击模式，具有可扩展性和适应性，可随着新出现的攻击模式和硬件漏洞而发展，以支持开发更安全的未来硬件设计，同时帮助识别和缓解现有系统中的漏洞。

【安全事件】

1、西班牙电信巨头遭数据泄露，疑似2.3 GB内部数据被窃取

据cybersecuritynews消息，西班牙电信巨头Telefonica遭网络攻击，攻击者未经授权访问了内部票务系统，并声称窃取了约2.3 GB的敏感数据，包括员工的电子邮件和姓名，以及500,000个Jira问题的摘要等。Telefonica声称其正在调查，并已采取措施阻止任何未经授权的访问。此次数据泄露事件凸显了电信行业日益严峻的网络安全挑战，警示企业要加强端点安全，实施强有力的凭证管理政策，并教育员工识别社交工程策略。

2、开源工具TeamFiltration被滥用，对8万多个微软Entra ID账户发动账户接管攻击

据thehackernews消息，网络安全研究人员发现了一个新的账户接管（ATO）活动，网络攻击者利用开源工具TeamFiltration，对8万多个微软Entra ID账户发动账户接管攻击。据悉，攻击者利用位于不同地理区域的微软Teams API和亚马逊网络服务（AWS）服务器发起用户枚举和密码喷射尝试。攻击活动表现出集中爆发，针对单个云环境中的多个用户的特点，凸显了开源工具被滥用的风险。

3、保险巨头伊利披露网络安全事件，发出网络钓鱼警报

据infosecurity-magazine消息，近日，保险巨头美国伊利保险公司披露一起网络安全事件和相关的网络中断，表示发现了不寻常的网络活动，并提醒客户遵循最佳做法：请勿点击任何来历不明的链接，也不要通过电话或电子邮件提供个人信息。伊利保险同时表示已立即采取了应对措施，以保护系统和数据安全。

4、网络攻击者持续利用ConnectWise ScreenConnect工具部署恶意软件

据cybersecuritynews消息，网络攻击者持续利用合法的远程监控和管理（RMM）工具 ConnectWise ScreenConnect来部署针对全球金融组织的复杂恶意软件活动。攻击者以发票为主题的网络钓鱼电子邮件作为主要发送机制，利用ConnectWise的合法数字签名来逃避检测，建立对被入侵系统的持久远程访问。这使得企业面临双重挑战，既要通过合法的远程访问工具保持运行效率，又要防止被恶意行为者利用。

部分图文内容来源网络，仅供传播交流