要闻速览

1、数据安全国标体系日趋完善，44项标准护航《网络数据安全管理条例》落地

2、《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南公开征求意见

3、工信部：关于防范Morte僵尸网络的风险提示

4、“比特币女王”在伦敦获刑11年，涉洗钱73亿美元加密货币

5、8家银行因网络安全/数据安全被罚，涉国有行、股份行、城农商行等

6、近20亿邮箱密码现身撞库列表，HIBP发布Synthient数据集预警

一周政策要闻

数据安全国标体系日趋完善，44项标准护航《网络数据安全管理条例》落地

2025年1月1日，《网络数据安全管理条例》（以下简称《条例》）生效施行、规定了开展网络数据处理活动及其安全监管须遵守的各项要求。全国网络安全标准化技术委员会（TC260）作为负责网络安全和数据安全国家标准的专业技术组织，围绕数据安全和个人信息保护，已经发布44项国家标准，正在制定2项强制性国家标准和15项推荐性国家标准，研制发布2项委员会技术文件和22项网络安全标准实践指南，网安标委秘书处分析了《条例》标准化需求，梳理出69项标准文件可为《条例》37项条款落地实施提供支撑，供各方参阅。

《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南公开征求意见

为有效应对人工智能技术快速发展与应用带来的新风险、新挑战，全国网络安全标准化技术委员会秘书处组织编制了《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南。

根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，秘书处现组织对《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南面向社会公开征求意见。如有意见或建议，请于2025年11月21日前反馈至秘书处。

消息来源：全国网安标委 关于对《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南公开征求意见的通知

业内新闻速览

工信部：关于防范Morte僵尸网络的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)近日监测到Morte僵尸网络持续活跃，该威胁已运作至少6个月，采用"加载器即服务(LaaS)"模式，主要攻击SOHO路由器、物联网设备及Oracle WebLogic、WordPress、vBulletin等企业应用。

Morte僵尸网络采用三种攻击手段:一是通过Web界面命令注入，滥用ntp、syslog、hostname等未过滤参数执行恶意shell命令：二是暴力破解设备默认凭证(如admin:admin)：三是利用已知漏洞，包括CVE-2019-16759(vBulletin预认证远程代码执行)和CVE-2019-17574(WordPress Popup Maker插件漏洞)等。

成功入侵后，攻击者首先释放轻量级shell脚本作为投放器，随后部署跨架构二进制文件(如morte.x86、morte.x86_64)，借助BusyBox工具实现多平台兼容。通过计划任务和进程注入技术建立持久化控制后，最终部署基于JSON-RPC协议的加密货币挖矿模块，劫持设备CPU/GPU资源。此外，该僵尸网络支持HTTP C2轮询，在数十个IP间轮换以逃避追踪，可执行DDoS攻击、数据窃取或将被控设备访问权转售黑市。

工信部建议相关单位立即排查修复漏洞，禁用默认凭证，关闭不必要的路由器诊断页面，更新防病毒软件并定期备份数据。

“比特币女王”在伦敦获刑11年，涉洗钱73亿美元加密货币

英国伦敦萨瑟克刑事法院近期对 “比特币女王” 中国籍女子钱志敏（又名 Yadi Zhang）作出判决，其因洗钱73亿美元（约530亿元人民币）获刑11年8个月。该案涉及针对12.8万名中国中老年人的虚假投资骗局，是英国警方破获的最大规模加密货币洗钱案。

钱志敏于2014至2017年间在华运作 “每日分红”“保本收益” 类虚假投资计划，骗取资金达73亿美元，2018年伪造证件逃往英国后，通过转换比特币、购置房产等方式洗钱。2023年9月，英国警方搜查其伦敦住所，查获6.1万枚比特币（当时价值约73.9亿美元），创下全球最大单笔加密货币扣押纪录；2024 年 4 月钱志敏被捕，同案犯简雯、Seng Hok Ling 因协助转移非法资产分别获刑6年8个月、4年11个月。英国警方及安全部长均强调，此案彰显了加密货币犯罪的可追踪性，也对金融犯罪者形成有力警示。

消息来源：环球时报 https://baijiahao.baidu.com/s?id=1848641150772901169&wfr=spider&for=pc

8家银行因网络安全/数据安全被罚，涉国有行、股份行、城农商行等

安全内参11月13日消息，据《银行科技研究社》统计，近期又有8家银行因网络安全、数据安全及信用信息管理等问题，被中国人民银行各地分行依法行政处罚。此次被罚机构涵盖国有银行、股份制银行、城商行、农商行及村镇银行，处罚集中在9月至10月期间。
其中，宁波甬城农商银行因涉及违反网络安全管理规定等8类违法情形，被处以262.05万元罚款，为此次被罚金额最高的机构；民生银行厦门分行、浙江海盐农商银行分别被罚147.96万元、158.3万元，江西银行苏州分行、无锡滨湖兴福村镇银行等也因同类违法事由，被处以数万元至数十万元罚款，部分机构同时被叠加警告或通报批评。值得注意的是，涉事村镇银行背后多由城商行或农商行控股，例如宁夏宁东本富村镇银行的最大股东为龙江银行（持股81.63%），无锡滨湖兴福村镇银行的实际控股方则是江苏常熟农商银行。《银行科技研究社》指出，今年以来银行领域网络安全、数据安全相关罚单持续增加，此类问题已成为监管重点，银行需进一步强化合规管理以防范风险。

近20亿邮箱密码现身撞库列表，HIBP发布Synthient数据集预警

知名数据泄露通知服务Have I Been Pwned（HIBP）近日与威胁情报公司Synthient合作，新增了一个规模庞大的数据集——“Synthient Credential Stuffing Threat Data”，涵盖19.6亿个账户。该数据集包含近20亿个唯一电子邮件地址及约13亿个密码，均源自此前多起数据泄露事件，并被整合为用于凭证填充（credential stuffing）攻击的列表。据HIBP披露，这些凭证并非源于单一服务的直接入侵，而是由Synthient从互联网各类恶意来源系统性收集并聚合而成。攻击者通常利用此类列表发起自动化登录尝试，针对在多个平台重复使用相同密码的用户账户实施攻击。尽管该事件标注时间为2025年4月，但此类数据往往需历经数月乃至数年方能公开，并经HIBP验证后纳入平台。
值得注意的是，这并非Synthient数据首次出现在HIBP平台。2025年10月，HIBP已收录名为“Synthient Stealer Credentials”的另一数据集，包含1.83亿条从窃密木马（stealer malware）日志中提取的凭证；而本次数据则主要源自撞库攻击所用列表的汇总，而非实时恶意软件感染所致。
安全专家建议收到通知的用户立即更换重复使用的密码、启用双因素认证，并杜绝跨平台复用相同密码。需特别强调的是，此次事件并不意味着Gmail、Hotmail等邮件服务商遭受直接入侵，所谓“20亿Gmail账户被黑”等说法实属误导性信息。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！