【壹周快报】新修订《网络安全法》通过，1月1日起施行；会计巨头安永数据泄露，4TB SQL Server备份在Azure上公开

锐成信息壹周快报，汇总了本周的热点资讯、安全事件，保证大家不错过本周的每一个重点!本周重点关注：新修订《网络安全法》通过，2026年1月1日起施行；《数据安全技术 数据安全保护要求》征求意见稿发布，并公开征求意见；会计巨头安永数据泄露，4TB SQL Server备份在Azure上公开曝光。

【热点资讯】

1、《数据安全技术 数据安全保护要求》征求意见稿发布，并公开征求意见

近日，由全国网络安全标准化技术委员会秘书处组织编纂的国家标准《数据安全技术 数据安全保护要求》征求意见稿发布，并发布了公开征求意见的通知。此标准规定了数据安全保护的通用要求和重要数据、核心数据专门保护要求，用于指导各行业领域、各地区、各部门和数据处理者在数据分类分级的基础上开展数据安全保护工作。

• 资料来源：全国网络安全标准化技术委员会秘书处
• 资料链接：
• https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20251031084754&norm_id=20231220163350&recode_id=59812

2、新修订《网络安全法》通过，2026年1月1日起施行

2025年10月28日，新修订《网络安全法》通过，自2026年1月1日起施行。修改的主要内容包括充实网络安全工作指导原则、增加促进人工智能应用与发展的内容、强化在个人信息保护方面做好与民法典和个人信息保护法的衔接、加强关键信息基础设施保护、加大处罚力度等多方面的内容。

3、160家，商用密码检测机构（商用密码应用安全性评估业务）目录更新发布

2025年10月27日，国家密码管理局发布了国家密码管理局公告（第53号），更新发布了《商用密码检测机构（商用密码应用安全性评估业务）目录》，用以取代2024年11月11日发布的《商用密码检测机构（商用密码应用安全性评估业务）目录》。目录中一共包含了160家组织机构，这些机构均取得了商用密码应用安全性评估业务（简称密评）资质，可以面向社会开展商用密码应用安全性评估业务。

• 资料来源：国家密码管理局
• 资料链接：https://www.oscca.gov.cn/sca/xwdt/2025-10/27/content_1061299.shtml

4、《关于在国家数据基础设施建设先行先试中加强场景应用的实施方案》发布

2025年10月30日，国家数据局印发《关于在国家数据基础设施建设先行先试中加强场景应用的实施方案》，旨在深入贯彻关于建设和运营国家数据基础设施，促进数据共享的改革任务，落实《国家数据基础设施建设指引》，以场景建设、技术创新牵引驱动国家数据基础设施高水平建设和高质量发展。方案中特别提到：强化数据安全保障。先行先试建设任务承担单位要加强数据基础设施安全能力建设，落实数据分类分级、个人信息保护、网络安全等级保护等要求，保障场景建设数据安全、业务安全。

• 资料来源：国家数据局
• 资料链接：https://www.nda.gov.cn/sjj/zwgk/zcfb/1030/20251030112445906094192_pc.html

【安全事件】

1、会计巨头安永数据泄露，4TB SQL Server备份在Azure上公开曝光

据cybersecuritynews消息，网络安全公司Neo Security在例行资产测绘活动中发现，一个属于全球会计巨头安永（EY）的4TB SQL Server备份文件被发现可以在Microsoft Azure上公开访问。Neo Security选择在周末期间执行负责任披露流程，经过多次尝试后最终通过LinkedIn与安永的计算机安全事件响应团队（CSIRT）取得联系。安永方面响应迅速且专业，在一周内完成了问题的排查与修复。该事件警示企业，必须借助持续资产测绘与可视化工具，在攻击者之前主动识别自身的数据暴露风险，方能掌握安全先机。

2、国家电网运营商Svenska kraftnät确认遭数据泄露，部分信息被未授权第三方获取

据cyberpress消息，瑞典国家电网运营商Svenska kraftnät确认遭数据泄露，将某些信息暴露给未经授权第三方。该事件于2025年10月26日披露，与臭名昭著的Everest勒索软件团伙有关。Svenska kraftnät已迅速向瑞典警方报案，并启动全面调查以确定泄露数据范围及潜在影响，并与多家专注于网络安全及关键基础设施保护的政府机构取得联系。Svenska kraftnät同时强调瑞典电力基础设施仍保持正常运行，全国电力输送与分配未受影响。此次事件反映出针对欧洲关键基础设施的网络攻击持续升级，态势令人担忧。

3、塔塔汽车公司数据泄露，AWS密钥致超70+TB敏感信息和试驾数据暴露

据cybersecuritynews消息，安全研究员Eaton Zvere披露了塔塔汽车公司系统中的关键漏洞，这些漏洞暴露了超过70TB的敏感数据，包括客户个人信息、财务报告和车队管理细节。这些漏洞是在2023年的道德黑客攻击中发现的，但直到现在才公开，漏洞根源在于对外公开网站中嵌入了硬编码的AWS访问密钥，允许未经授权访问数百个云存储桶。此类安全疏失削弱了车主对其数据管理能力的信任。专家呼吁加强代码审查和密钥轮换机制，以防类似数据暴露事件重演。

4、 微软WSUS关键漏洞遭利用，全球2800个实例在线暴露

据cybersecuritynews消息，黑客正在积极利用微软Windows Server Update Services（WSUS）中的一个关键漏洞，该漏洞被追踪为CVE-2025-59287，CVSS 3.1得分为9.8，允许在未打补丁的WSUS服务器上执行远程代码，可能使攻击者完全控制企业网络。截至2025年10月27日，监控全球扫描数据的公司已经通过端口8530和8531在线识别出至少2800个暴露的WSUS实例，尽管并非所有实例都可能存在漏洞。对此，微软建议安装最新更新并通过防火墙限制WSUS端口访问，最理想的方式是仅限内部VPN使用。

部分图文内容来源网络，仅供传播交流