2025年8月,工信部、应急管理部联合举办“工业互联安全杯”攻防演练,全国100家重点工业企业、30支安全厂商团队参与,模拟勒索病毒攻击、生产数据篡改等15类典型攻击场景,旨在提升工业互联网数据安全实战防护能力。此次演练是我国规模最大的工业数据安全攻防演练,覆盖汽车、能源、装备制造等6大关键行业。 演练采用“真实环境+模拟攻击”的模式,在不影响正常生产的前提下,搭建与企业生产系统一致的仿真环境。攻击团队采用“供应链渗透+零日漏洞利用”等高级攻击手段,对工业控制系统(ICS)、生产执行系统(MES)等核心系统发起攻击;防守团队则通过安全监测、应急处置、数据恢复等环节进行应对,演练结果纳入企业安全评估体系。 演练暴露出行业普遍存在的安全短板。30%的企业存在工业协议未加密、50%的企业缺乏生产数...
2025年8月,欧盟委员会发布《通用数据保护条例》(GDPR)修订草案,拟新增“数据主权保障”“AI数据治理”等章节,同时强化对跨境数据流动的管控力度。据毕马威测算,若草案正式实施,全球跨国企业的欧盟区域数据合规成本将平均增加30%,其中科技、金融行业受影响最大。 修订草案的核心变化体现在三个方面:一是扩大数据主权管辖范围,将“在欧盟境内拥有5000名以上用户的境外企业”纳入监管,较此前“境内设立机构”的标准大幅放宽;二是对AI数据处理提出特殊要求,明确使用个人数据训练AI模型需获得“明示同意”,并建立模型数据溯源机制;三是提高罚款上限,针对严重违规行为的罚款金额从全球营业额的4%提升至6%,单次罚款最高可达2亿欧元。 草案对跨境数据流动设置了更严格的“充分性认定”标准,要求合作国家的数据保...
2025年8月,工信部联合公安部发布《车联网数据安全传输技术规范》,明确要求车路协同(V2X)场景下的数据传输需全面采用国密算法体系,标志着我国车联网数据安全进入标准化防护阶段。该规范的实施将有效化解V2V(车对车)、V2I(车对路侧设备)通信中的数据篡改、身份伪造等风险,为L4级自动驾驶的规模化应用奠定安全基础。 规范构建了“身份认证-加密传输-完整性校验-隐私保护”的全链路防护体系。在身份认证环节,车辆(OBU)和路侧设备(RSU)需通过基于SM2算法的数字证书验证身份,证书撤销列表(CRL)实时更新确保失效设备无法接入;数据传输阶段,车辆位置、速度等敏感数据采用SM4对称加密算法加密,紧急制动信号等关键指令附加SM3哈希摘要和SM2签名,防止篡改和窃听;隐私保护方面,要求车辆采用动态假名证书机制,每30秒...
2025年7月,国家网信办发布《元宇宙数据安全管理规范(试行)》,针对元宇宙场景下的虚拟身份数据、虚拟资产数据、交互行为数据等制定安全要求,这是全球首部针对元宇宙数据安全的专项规范。目前腾讯幻核、字节跳动绿洲等10家头部元宇宙平台已启动合规改造,预计2025年底前完成全部整改。 规范聚焦元宇宙数据安全的三大核心场景。在虚拟身份安全方面,要求平台采用“区块链+生物识别”的双重认证机制,虚拟身份与真实身份的绑定需获得用户明确授权,同时防止虚拟身份被盗用和伪造;虚拟资产安全方面,明确虚拟货币、数字藏品等虚拟资产的数据需上链存证,确保资产归属清晰、交易可追溯;交互行为数据方面,要求平台对用户语音、动作等敏感数据进行加密存储,留存期限不得超过6个月。 技术落地推动行业合规。百度希壤推...
2025年6月1日,《人脸识别技术应用安全管理办法》(以下简称《办法》)正式生效,这是我国首部针对人脸识别技术的专项安全管理规范。《办法》明确了人脸识别技术应用的“合法、正当、必要”原则,对公共安全、政务服务、商业营销等8大高风险场景作出严格限制,要求实现相同目的存在其他非人脸识别技术方式的,不得将人脸识别作为唯一验证方式,从源头防范个人生物信息泄露风险。 《办法》构建了全流程安全管控体系,核心条款包括三方面:一是采集环节实行“单独同意”制,需向用户明确告知采集目的、范围和保存期限,获得用户书面或电子形式的单独同意,禁止强制捆绑其他服务要求用户授权;二是存储环节要求采用加密存储、访问权限分级管控等技术措施,人脸信息保存期限不得超过业务必要期限,最长不超过2年,到期必须...
2025年7月,工信部、应急管理部联合启动“工业数据安全守护行动”,明确到2027年底,实现全国规模以上工业企业数据安全防护覆盖率达100%,重点行业核心数据泄露事件发生率下降90%。此次行动聚焦汽车、能源、装备制造等6大关键行业,是我国首次针对工业互联网数据安全开展的全国性专项治理。 行动提出建立“工业数据安全分类分级管控体系”,将工业数据分为生产操作、研发设计、经营管理三类,其中生产操作数据作为核心数据,要求采用“本地加密存储+离线备份”模式。同时明确企业主体责任,要求工业企业设置专职数据安全负责人,每半年开展一次应急演练,并将安全投入纳入生产成本,占比不低于IT预算的15%。 在技术支撑方面,国家工业信息安全发展研究中心将建设“工业数据安全监测预警平台”,接入全国50个重点工业行业的...
2025年6月,平安保险联合百度安全推出国内首单“AI大模型安全责任险”,为某AI企业提供1亿元保额,覆盖大模型训练数据侵权、生成内容违法、系统安全漏洞等风险,标志着数据安全保险从传统领域向新兴技术领域延伸。据保险业协会统计,2025年上半年数据安全保险保费收入达15.6亿元,同比增长230%,其中新兴技术领域保费占比达25%。 该保险产品的创新之处在于“风险精准定价+全流程风险管控”。保险公司通过百度安全的AI风险评估系统,从训练数据合规性、模型安全防护能力、生成内容审核机制等10个维度对企业进行评估,安全能力越强的企业保费越低,最高可享受40%的保费优惠。同时,保险公司为投保企业提供免费的AI安全监测服务,实时预警风险,降低安全事件发生率。 传统数据安全保险也在不断升级。人保财险推出“工业数据安全...
2025年6月,国民技术宣布第四代可信计算芯片NS350 v32/v33系列正式量产,该芯片符合我国TCM 2.0标准并兼容TPM2.0国际标准,可广泛应用于PC、服务器、工业控制等终端设备,标志着我国终端数据安全硬件防护能力实现新突破。目前联想、同方等主流终端厂商已完成适配,预计2025年出货量将突破1000万片,市场占有率提升至35%。 NS350芯片的核心优势在于“硬件级可信根”构建。芯片内置独立的安全加密模块,支持SM2、SM3、SM4国密算法,通过主动屏蔽层和环境传感器实现物理防攻击,可有效抵御故障注入、侧信道攻击等硬件攻击手段。在启动过程中,芯片会对终端固件、操作系统进行完整性度量,只有通过验证的程序才能运行,从源头阻止恶意代码植入。 在具体应用中,NS350芯片展现出强大适配能力。在国产终端领域,芯片已兼容龙芯、飞腾等主流国...
2025年6月,国家卫生健康委联合国家网信办发布《医疗数据安全指南》国家标准,这是我国首部针对医疗数据安全的强制性国家标准,将于2026年1月1日正式实施。标准明确了医疗数据收集、存储、使用、传输等各环节的安全要求,其中电子病历数据需满足“传输加密+存储加密+访问加密”的三重防护标准。 标准将医疗数据分为个人健康信息、诊疗数据、科研数据三类,其中个人健康信息作为敏感数据,要求医疗机构采用“去标识化+匿名化”双重处理后才能用于科研;诊疗数据需实时备份,备份节点与生产节点的距离不低于50公里,防止自然灾害导致数据丢失。同时,标准严格限制医疗数据出境,明确境外医疗合作中数据传输需通过国家医疗数据安全审查。 为推动标准落地,国家卫生健康委建立了医疗数据安全评估机制,要求三级医院每年度开...
2025年5月,中国人民银行联合中国科学技术大学宣布,我国首个金融量子安全通信网络在合肥建成并投入使用。该网络采用量子密钥分发(QKD)技术,实现了银行间交易数据的“无条件安全”传输,标志着量子加密技术正式进入金融数据安全商用阶段。量子安全网络覆盖合肥市内20家银行机构、50个营业网点,核心节点间采用量子光纤连接,传输距离达100公里,密钥生成速率达10Mbps,较传统加密技术提升100倍。在实际测试中,网络成功抵御了基于量子计算的破解攻击,交易数据传输延迟控制在10毫秒以内,满足金融高频交易的实时性要求。与传统加密技术相比,量子加密具有“不可窃听、不可破解”的天然优势。传统RSA加密算法在量子计算机面前的安全周期已缩短至数月,而量子密钥基于量子力学原理,任何窃听行为都会改变量子状态,从而被实时...
