【壹周快报】7项网络安全国家标准获批发布；珠宝巨头Pandora遭网络攻击，客户敏感信息泄露

锐成信息壹周快报，汇总了本周的热点资讯、安全事件，保证大家不错过本周的每一个重点!本周重点关注：7项网络安全国家标准获批发布；珠宝巨头Pandora遭网络攻击，客户敏感信息泄露。

【热点资讯】

1、7项网络安全国家标准获批发布

近日，由全国网络安全标准化技术委员会归口的7项网络安全国家标准获批发布，他们分别是GB/T 19714-2025《网络安全技术 公钥基础设施 证书管理协议》、GB/T 19771-2025《网络安全技术 公钥基础设施 PKI组件最小互操作规范》、GB/T 20520-2025《网络安全技术 公钥基础设施 时间戳规范》、GB/T 31722-2025《网络安全技术 信息安全风险管理指导》、GB/T 34942-2025《网络安全技术 云计算服务安全能力评估方法》、GB/T 45940-2025《网络安全技术 网络安全运维实施指南》、GB/T 45958-2025《网络安全技术 人工智能计算平台安全框架》。

• 资料来源：全国网络安全标准化技术委员会
• 资料链接：https://www.tc260.org.cn/front/postDetail.html?id=20250804155822

2、工信部等8部门印发《机械工业数字化转型实施方案》

近日，工业和信息化部等8部门印发《机械工业数字化转型实施方案》，部署了12项重点任务。其在重点任务「加强网络与数据安全治理」中提到：实施工业互联网安全分类分级管理，推动企业落实《工业互联网安全分类分级管理办法》《工业控制系统网络安全防护指南》要求，开展自主定级、分级防护、符合性评测、安全整改等全环节工作，指导重点企业加强网络安全监测手段建设，加强重要工业控制系统安全防护，提升网络安全综合保障能力。推动研制重点细分行业重要数据识别等标准规范，指导企业开展重要数据识别和目录备案，落实分级保护、风险评估、监测应急等要求，应用数据安全技术产品，强化数据安全保障，提升保护能力。

• 资料来源：工业和信息化部
• 资料链接：https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_5669b7e2b4084b7094abb00e7271b7ca.html

3、《金融基础设施监督管理办法》发布

近日，中国人民银行、证监会发布《金融基础设施监督管理办法》，自2025年10月1日起施行，旨在落实《统筹监管金融基础设施工作方案》工作部署，加强金融基础设施统筹监管，建立健全安全高效的金融基础设施体系。管理办法第十八条提到：金融基础设施运营机构应当加强数据安全管理，承担数据安全管理主体责任，建立和完善有效的内部数据安全管理制度和问责办法，对金融基础设施参与者的业务数据、相关资料，以及提供服务过程中产生的其他数据进行保护，确保数据不被损毁、非法窃取及非法使用，不得侵害个人信息权益。

• 资料来源：中国人民银行网
• 资料链接：http://www.pbc.gov.cn/tiaofasi/144941/144957/5798411/index.html

4、《湖北省数据条例》发布，10月1日起施行

近日，《湖北省数据条例》发布，2025年10月1日起施行。条例旨在规范数据处理活动，保护数据权益，保障数据安全，促进数据流通利用，推动数字湖北建设，适用于湖北省行政区域内数据权益保护、资源管理、流通利用、产业发展、安全和相关保障措施等。

• 资料来源：湖北省数据局
• 资料链接：https://sjj.hubei.gov.cn/bmdt/sjjyw/sj/202508/t20250807_5740848.shtml

【安全事件】

1、珠宝巨头Pandora遭网络攻击，客户敏感信息泄露

据bleepingcomputer消息，近日，丹麦珠宝巨头Pandora确认遭受网络攻击，导致其客户敏感信息泄露。Pandora在致受影响客户的数据泄露通知函中表示，其遭受网络攻击，使用的第三方平台泄露了一些客户信息，并表示攻击已经停止，还进一步加强了安全措施。值得一提的是，近段时间以来，已发生多起针对珠宝、香包等知名品牌的网络攻击事件。

2、HTTP/1.1关键漏洞，数百万网站面临恶意接管风险

据cybersecuritynews消息，HTTP/1.1协议存在一项重大安全漏洞，可能使数千万网站面临通过精密请求序列混淆攻击被恶意接管的潜在风险。这一存在数十年的基础协议存在根本性缺陷，导致服务器无法明确区分相邻请求的边界，攻击者可借此操纵网络流量并攻陷整个基础设施体系。对此，建议将反向代理与源服务器之间的上游连接迁移至HTTP/2协议，通往后端服务器的上游连接也必须采用HTTP/2才能有效防范攻击。

3、15,000个TikTok近似域名被滥用，用以窃取用户凭证并传播恶意软件

据thehackernews消息，网络安全研究人员近日揭露一场针对TikTok电商用户的全球性恶意活动，网络攻击者使用与TikTok官方域名高度相似的仿冒域名，然后通过Meta平台投放广告，以及利用AI生成模仿网红或官方品牌大使的TikTok视频，诱使用户误以为正在与正规合作方或真实平台互动，从而窃取用户凭证并传播恶意软件。目前已识别超过15,000个此类钓鱼网站，其中绝大多数托管在.top、.shop和.icu等顶级域名下。

4、思科遭黑客攻击，其官网注册用户资料被窃取

据cybersecuritynews消息，思科日前证实遭遇网络攻击，恶意攻击者成功窃取了数量不明的思科官网注册用户基础资料。思科披露，此次数据泄露源于员工遭遇精密设计的语音钓鱼（vishing）攻击。思科于2025年7月24日监测到该事件，但密码、财务信息及企业机密数据等敏感信息未被波及。但该事件揭示出：针对员工的社会工程学攻击正日益成为渗透企业系统的突破口，威胁态势持续升级。

部分图文内容来源网络，仅供传播交流