Aggregator

A massive 2.7 billion records containing sensitive user data, including Wi-Fi network names, passwords, IP addresses, and device identifiers, were exposed in a massive IoT security breach linked to Mars Hydro, a China-based grow light manufacturer, and LG-LED SOLUTIONS LIMITED, a California-registered firm. The unprotected database, discovered by cybersecurity researcher Jeremiah Fowler and reported to […]

The post Massive IoT Data Breach Exposes 2.7 Billion Records, Including Wi-Fi Passwords appeared first on Cyber Security News.

1.概览

近日，国产AI大模型DeepSeek（深度求索）线上服务受到大规模网络攻击，多次出现服务中断等情况。引发了国内安全业界的关注。根据奇安信XLab实验室监测报告，发现僵尸网络RapperBot和HailBot[1]针对DeepSeek发动了DDoS攻击。为了更有效地研判风险，支撑对相关攻击的防范，安天CERT从“赛博超脑”平台样本库中提取了上述两个僵尸网络所使用的僵尸木马样本，进行了进一步分析工作。

2.样本分析

2.1 RapperBot与HailBot的前世——Mirai

RapperBot与HailBot两个僵尸网络都是僵尸网络Mirai的源码泄露的产物。Mirai僵尸网络在2016年首次被发现，迅速引发了广泛关注。其命名源自日语中的“未来”。与传统以Windows系统肉鸡为主的僵尸网络不同，Mirai感染控制网络摄像头、家用路由器和其他物联网设备，用于构建僵尸网络体系[2]。在2016年，因其引发的“DYN事件”[3]而浮出水面，Mirai的三名作者Paras Jha，Josiah White和Dalton Norman，均为美国人。三人经营了一家名为Protraf Solutions LLC的公司，对外宣称提供DDoS攻击防护，实际上则利用僵尸网络发动DDoS攻击，进行敲诈等牟利活动。三名人员在2018年，被美国阿拉斯加法院判处5年缓刑、2500小时社区服务，赔偿12.7万美元，并需自愿放弃犯罪期间获取的加密货币。

Mirai专门针对物联网（IoT）设备实施自动化渗透植入，如路由器、网络摄像头和数字视频录像机（DVR），这些设备往往在安全运营视角之外，或者为家庭设备，普遍存在未修改默认密码或采取简易密码、固件版本陈旧等问题。通过密码破解、漏洞攻击，Mirai获取设备的访问权限，并将恶意代码上传至设备中运行，将其转变为受控的僵尸节点[4]。该僵尸网络的一个突出特点是其模块化设计和自更新能力，这使得它能够迅速适应不断变化的安全环境，并增加新的攻击手段。设备被Mirai感染后会自动执行扫描探测任务，并尝试将恶意软件传播至其他设备中，进而构建起一个个庞大的僵尸网络[5]。

2016年9月30日，Mirai僵尸网络源代码在GitHub平台公开泄露。攻击者已基于源码进行定制化改造，衍生出多个变种家族，其中包括RapperBot、HailBot，攻击者改造手段包括但不限于主控域名替换（规避安全厂商封禁）、登录认证机制伪装（仿冒合法设备流量）、通信协议字段混淆（如修改上线心跳包结构以绕过检测规则）等。由于源代码的高度可复用性，全球黑产团伙得以低成本构建“同源异构”的僵尸网络集群——这些变种虽在表层功能上呈现差异，但其核心感染逻辑、C2指令体系与攻击模块均继承自Mirai原始架构，导致其背后操控组织的关联性溯源较为困难。

2.2 RapperBot僵尸网络

RapperBot是一种基于Mirai源代码二次开发的僵尸网络，具有多种版本，可在ARM、MIPS、SPARC和x86等不同架构处理器下运行。由于其早期样本中嵌有一个指向说唱视频的链接，因此被命名为“RapperBot”。

图2‑1 RapperBot早期样本中嵌有一个指向说唱视频的链接

代码中字符串“follow me on instant gram @2tallforfood, pause it. Fuck Bosco.”翻译为“在Instgram上找到我@2tallforfood,暂停，FuckBosco”而@2tallforfood 是在Youtube频道ALL URBAN CENTRAL (城市中心）的一个歌手的账户，该账户在Youtube只有2个2021年前的视频：@2TallForFood - Diamonds Is Lit (Official Video) [6]（钻石闪亮）和 @2tallforfood - I Am Da Bag (Official Video) （我是一个大包）。而Fuckbosco[7]是该歌手的另外一首歌曲的名字。该歌手为小众歌手，其的视频观看人数到报告发布时点不超过500次。

Youtube频道ALL URBAN CENTRAL (城市中心）是2014年成立的美国音乐娱乐频道，主要类型有音乐Rap和Hip HOP 以及名人新闻。订阅用户大约3百万，该频道的视频大都在6分钟以内，频道总视频被浏览次数为20亿次以上。靠订阅收取费用。在美国音乐类排名4000名左右。

图2‑2 RapperBot早期样本中嵌入链接指向的视频

2.2.1 样本标签

表2‑1 RapperBot早期版本样本标签

病毒名称

Trojan/Linux.Mirai[Backdoor]

MD5

9E331675D780AF4585857B1F95B40CBB

处理器架构

i386

文件大小

66.47  KB（68068字节）

文件格式

ELF

数字签名

无

加壳类型

无

VT首次上传时间

2022-06-17  08:10:19

VT检测结果

38/64

表2‑2 RapperBot新变种样本标签

病毒名称

Trojan/Linux.Mirai[Backdoor]

MD5

BEC7596CFB1225900673398ABB24FFA8

处理器架构

i386

文件大小

80.47  KB（82400字节）

文件格式

ELF

数字签名

无

加壳类型

无

VT首次上传时间

2024-07-02  02:21:30

VT检测结果

37/63

说明：由于安天AVL SDK反病毒引擎有较强预处理能力，能以较少高质量规则检测变形后的衍生样本，截至本文撰写时RapperBot样本检测结果均为Mirai，特此说明。

2.2.2 传播方式

2.2.2.1 SSH暴力破解

RapperBot僵尸网络家族中的一些变种通过SSH暴力破解的方式进行传播，在早期样本中，其凭据列表被硬编码在文件中，其后的新变种变更为从C2服务器中获取凭据列表。成功暴力破解SSH服务器后，RapperBot执行Shell命令替换该服务器中的~/.ssh/authorized_keys文件，从而保持对受害服务器的远程访问。

图2‑3 硬编码在文件中的部分SSH暴力破解凭据列表

2.2.2.2 Telnet默认口令探测

部分RapperBot僵尸网络变种会通过Telnet基于设备默认口令的方式进行探测，目标设备关键词、默认用户名称以及密码被硬编码在文件中。

图2‑4 硬编码在样本文件中的Telnet用户名/口令表

从相关样本尝试暴力破解的硬编码信息可知，此类RapperBot变种的目标大多为常见的网络设备和IoT物联网设备等。

表2‑3 RapperBot内置用户探测登录的服务、用户名、口令和可能的关联设备表（表格内容基于DeepSeek整理输出，并做人工修订，特此说明）

服务/模块

用户名

密码

可能关联的服务/品牌/设备类型

tc login

dnsekakf2$$

""（空）

DASAN定制网络设备

tc login

dnsekakf2$$

dnsekakf2$$

DASAN 定制网络设备

tc login

user

1234

DASAN 定制网络设备

tc login

admin

TeleCom_1234

中国电信定制设备

tc login

admin

TJ2100Npassword

Tejas Networks TJ2100N光猫或网关

tc login

admin

admin

多种主流网络设备

tc login

&unk_19130

1234

可能为部分摄像头等物联网

soc1

default

Default

多种工业产品和软件

soc1

default

password

多种工业产品和软件

TAG

default

password

疑似物联网设备

PXICPU

default

password

部分工业嵌入式控制器设备

TX25

default

password

疑似某种无线设备

PK

admin_404A03Tel

zyad5001

ZyXEL(合勤)路由器

PK

admin_404A03Tel

Centurylink

ZyXEL(合勤)路由器

PK

admin_404A03Tel

QwestM0dem

ZyXEL(合勤)路由器

PK

admin

Centurylink

ZyXEL(合勤)路由器

PK

admin

QwestM0dem

ZyXEL(合勤)路由器

PK

admin

zyad5001

ZyXEL(合勤)路由器

abloom

nobody

""（空）

Abloom品牌物联网设备

abloom

admin

Abloom

Abloom品牌物联网设备

abloom

root

Abloom

Abloom品牌物联网设备

SAP

nobody

""（空）

SAP系统测试环境或物联网设备

SAP

admin

Admin

SAP NetWeaver应用服务器

RG-

ftp

Video

网络录像机（NVR）或IP摄像头

buildroot login

default

Default

多种嵌入式Linux系统

mico

root

""（空）

嵌入式系统

2.2.3 行为分析

RapperBot早期版本支持执行的DoS攻击方式较少，包括TCP STOMP攻击以及UDP泛洪攻击等。RapperBot新变种支持接收的指令与早期样本相似，但能够支持执行更多种类的DoS攻击。

表2‑4 早期版本及新变种指令功能对比

指令码

RapperBot早期版本功能

RapperBot新变种功能

1

保持连接状态

上线包

2

停止DoS攻击并终止运行

响应包

3

执行DoS攻击

心跳包

4

停止DoS攻击

执行DoS攻击

5

无

停止DoS攻击并终止运行

6

无

关闭C2连接

当攻击者进行DoS攻击时，通过选择预先设定的序号执行对应的功能函数，从而执行具体的DoS攻击。由此可以看出，RapperBot相关样本支持接收的指令功能以发起DoS攻击为主，并且从其早期至今的发展过程中，其开发者对RapperBot的DoS攻击功能进行了逐步完善，从而支持完成大范围的DDoS攻击活动。

表2‑5 RapperBot新变种支持多种DoS攻击

攻击指令

DoS攻击类型

攻击说明介绍

0

UDP泛洪攻击

通过发送大量UDP数据包消耗受害者网络带宽。

1

UDP数据包伪造

攻击者向目标服务器发送大量伪造的UDP数据包，欺骗服务器进行响应，消耗受害者网络带宽。

2

GRE-IP泛洪攻击

通过大量封装有IP网络数据包的GRE协议数据消耗受害者网络带宽。

3

GRE-Eth泛洪攻击

通过大量封装有Eth网络数据包的GRE协议数据消耗受害者网络带宽。

4

SYN泛洪攻击

通过发送大量SYN数据包，使服务器创建具有大量处于半连接状态的请求，消耗系统内存和CPU资源。

5

ACK泛洪攻击

通过发送具有随机源端口、目的端口及数据等信息的ACK数据包消耗受害者网络带宽。

6

ACK-PSH泛洪攻击

通过带有PSH标记的ACK响应与服务器建立连接，发送大量请求消耗受害者的网络带宽。

7

TCP泛洪攻击

通过发送大量TCP数据包消耗受害者网络带宽。

8

HTTP泛洪攻击

攻击者向目标服务器发送大量的HTTP报文，消耗受害者网络带宽和服务器资源。

2.3 HailBot僵尸网络

HailBot是一种基于Mirai源代码二次开发的僵尸网络，可在ARM、x86、x64、MIPS等不同架构处理器下运行。由于其运行时向控制台输出“hail china mainland”，故命名为HailBot僵尸网络。

2.3.1 样本标签

表2‑6 HailBot早期版本样本标签

病毒名称

Trojan/Linux.Mirai[Backdoor]

MD5

C4526600A90D4E1EC581D1D905AA6593

处理器架构

x64

文件大小

68.6  KB (70,295 字节)

文件格式

BinExecute/Linux.ELF[:X64]

数字签名

无

加壳类型

无

VT首次上传时间

2024-02-23  06:43:16

VT检测结果

41/66

表2‑7 HailBot新变种样本标签

病毒名称

Trojan/Linux.Mirai[Backdoor]

MD5

2DFE4015D6269311DB6073085FD73D1B

处理器架构

ARM

文件大小

74.7  KB (76,572 字节)

文件格式

BinExecute/Linux.ELF[:ARM]

数字签名

无

加壳类型

无

VT首次上传时间

2024-09-23  18:35:26

VT检测结果

42/63

说明：由于安天AVL SDK反病毒引擎有较强预处理能力，能以较少高质量规则检测变形后的衍生样本，截至本文撰写时HailBot样本检测结果均为Mirai，特此说明。

2.3.2 行为分析

HailBot在运行时会向控制台输出“hail china mainland”，显然带有栽赃陷害的中国，掩盖自身来源的目的其表述方式也明显不符合中文语言逻辑。

图2‑5 HailBot向控制台输出特定字符串

Mirai系列僵尸程序上线时会发送上线数据包给C2服务器，Mirai 原有的上线数据包为四个字节，内容为|00 00 00 01|，HailBot将其修改为八个字节|31 73 13 93 04 83 32 01|，使C2服务器能识别其流量来自 HailBot，同时也规避了被安全扫描机制用原有上线包探测发现。

图2‑6 HailBot连接到C2时会先发送八个特定的字节

HailBot利用漏洞进行传播。其中长期使用的包括CVE-2017-17215漏洞，该漏洞存在于特定版本路由器的UPnP（通用即插即用）服务中，攻击者可以通过发送特制的HTTP请求来利用此漏洞，从而在设备上执行任意代码。

图2‑7 HailBot漏洞利用部分载荷

HailBot的早期版本具有3种TCP攻击方式和1种UDP攻击方式，最新版本则升级到5种TCP攻击方式和3种UDP攻击方式。从而让攻击者有了更多的攻击方式选择和组合的空间，带来更大的威胁。

表2‑8 旧版本HailBot指令

指令号

功能

影响

0

TCP泛洪攻击

通过创建连接发送大量500至900字节的TCP请求消耗受害者网络带宽。

1

UDP泛洪攻击

通过大量的UDP请求消耗受害者网络带宽。

2

GRE  IP泛洪攻击

通过大量封装有IP网络数据包的GRE协议数据消耗受害者网络带宽。

3

SYN泛洪攻击

通过发送大量SYN数据包，使服务器创建具有大量处于半连接状态的请求，消耗系统内存和CPU资源。

表2‑9 新版本HailBot指令

指令号

功能

影响

0

TCP泛洪攻击

创建连接发送大量500至900字节的TCP请求消耗受害者网络带宽。

1

SSDP泛洪攻击

利用简单服务发现协议（SSDP）发送大量“发现消息”请求使受害者进行响应，消耗受害者内存和CPU资源。

2

GRE  IP泛洪攻击

发送大量封装有IP网络数据包的GRE协议数据消耗受害者网络带宽。

3

SYN泛洪攻击

发送大量SYN数据包，使服务器创建具有大量处于半连接状态的请求，消耗系统内存和CPU资源。

4

UDP泛洪攻击（512字节）

发送大量512字节的UDP请求消耗受害者网络带宽。

5

UDP泛洪攻击（1024字节）

发送大量1024字节的UDP请求消耗受害者网络带宽。

6

TCP  STOMP泛洪攻击

发送创建连接发送大量768字节数据消耗受害者网络带宽。

7

TCP  ACK泛洪攻击

发送具有随机源端口、目的端口及数据等信息的ACK数据包消耗受害者网络带宽。

除此之外，HailBot也在加密方面有所变化。在早期的版本中，HailBot使用简单的异或算法对C2地址、攻击载荷等字符串进行加密，其中异或用的字节为常量并硬编码在程序中。

图2‑8 早期版本HailBot加密算法

在后续的版本中，HailBot转用chacha20流密码加密算法对字符串进行加密，增加了字符串加密的强度，减少了字符串的静态特征，使其更加难以被检测分析。

图2‑9 HailBot中chacha20轮操作代码

3.总结

综合样本分析，HailBot与RapperBot的攻击模式主要依赖其控制的海量僵尸节点（肉鸡集群），通过高频发送伪造请求数据包，持续消耗目标主机的带宽资源、TCP连接池容量及连接处理所需的CPU算力。这种攻击方式虽属于传统DDoS（分布式拒绝服务）范畴，但至今仍是互联网基础设施的核心威胁之一。其根本矛盾在于：防御方的资源天然存在上限（如计算性能、网络吞吐量），而攻击方可通过自动化扫描、恶意代码注入等手段，以近乎零边际成本持续扩张僵尸网络规模，形成攻防双方的资源不对称性。

DeepSeek在全球爆火后，其在短时间内经历用户量、API调用量及并发请求的指数级增长，导致底层基础设施始终处于高负载临界状态。在此背景下，叠加大规模DDoS攻击（如通过僵尸网络发起海量文本生成请求），直接引发服务响应延迟激增、API限流熔断甚至集群过载宕机，严重影响了用户体验与业务连续性。

对互联网资源服务提供者来说，防范DDoS攻击的方法是相对成熟的，需要将资源投入和常态化的安全运营深入结合，需要服务方、基础设施提供者和监管机构进行多方配合协同。即包括部署更具弹性的分布式、多区域、多链路的服务架构、使用负载均衡器设备和策略、增强带宽和硬件设施，提升系统吞吐能力等；也包括完善安全监测、流量清洗、进行相关安全策略动态调整等。

对政企机构的安全运营来说，要加强防护，避免设备成为僵尸网络的肉鸡，也同时为遏制僵尸网络扩散做出了贡献。及时发现处置感染节点是非常重要的工作，从本文分析来看，终端和IoT设备的基础安全治理是关键，包括默认密码的修改、管控网络设备和IoT设备管理端口的访问策略、及时进行固件补丁升级等，而端云侧需要部署具有有效防护能力的杀毒、EDR、CWPP等安全产品，构建系统的安全基石。

对监管机构来说，DDoS治理涉及大量的资源联动，特别是国际治理协同，其治理难度会进一步增加。需要完善更强有力的国家安全和公共安全层面的技术资源和体系能力。

在改善基础防护、安全治理工作的同时，我们需要进一步关注研究新技术的风险演化。新技术的发展始终与安全威胁的动态演化有三种绑定方式：带来新威胁、推动传统威胁升级、自身成为攻击目标。生成式人工智能和大模型技术也不例外，其推动了传统攻击技术的自动化水平提升、带来了深度伪造等攻击技术的迅速成熟、自身也成为高价值目标。

人工智能服务场景与传统Web服务（如CGI动态页面或搜索引擎）相比，生成式AI的单次交互算力消耗显著更高，且开放的API接口极易被攻击者滥用为算力资源黑洞。大模型平台的业务特性与风险场景呈现显著特殊性，从而让我们需要进一步警惕算力资源攻击风险。为支撑高并发推理请求与长上下文交互，平台需部署大规模GPU集群及实时调度系统。攻击者可针对此类算力密集型、低延迟敏感的特性，设计低流量高杀伤力的精准攻击链，例如：恶意构造模型参数查询（如触发高维张量计算），单次请求即可消耗数倍于常规任务的GPU资源；上下文注入攻击，通过植入特定提示词（prompt）迫使模型执行递归解析，引发CPU/内存资源枯竭。此类攻击的成本效益比远超传统DDoS（无需海量僵尸节点即可瘫痪服务），且更易绕过基于流量阈值的防护策略。

与此同时，我们还需要进一步关注大数据平台的数据安全风险：由于大模型训练与推理过程中涉及的多租户数据交织存储、微调参数残留等问题，可能引发敏感信息泄露（如用户隐私数据通过模型输出侧信道泄露）。在数据标柱的过程中，夹带恶意代码的文件未经清洗，可能引发标注工程师工作环境和数据平台的病毒感染传播、系统性能损耗、乃至数据被勒索失窃等风险。需要考虑加强待标注语料文件数据的病毒清洗、增强东西向的细粒度隔离控制能力和安全检测防护能力，进而增强大模型平台的威胁对抗能力。

因此，大模型平台的安全建设需实现双轨并进：一方面完善基础架构安全：在云主机、容器集群、API等层面强化防御、监测、资源隔离等机制，即有效防御渗透入侵风险，也辅以弹性扩缩容及实时熔断机制，抵御资源耗尽型攻击；另一方面需要从架构、设计、业务逻辑和编码优化层面改善安全能力，包括但不限于：通过提示词注入检测、推理过程沙箱化、数据血缘追踪等技术，在模型交互层构建纵深防御体系。将安全能力深度嵌入技术架构与业务流之中。

而历史证明，应对新技术风险的安全增益，往往来自新技术本身，从历史上看，互联网全面提升了攻击可达性成为大规模攻击事件的温床；但也同样提升了安全运营的敏捷性。云计算平台引入了整体倾覆式风险，但也带来了更大的资源弹性和统一高效的安全治理。人工智能技术也在快速改变着网络安全能力和样貌。安天自身也是网络安全业内积极拥抱大模型技术的实践者，我们的澜砥威胁分析垂直大模型[8]，聚焦二进制样本分析特征工程场景，突破了token上下文限制，并已经能够在CPU场景下运行。安天计算机病毒分类百科，也是我们借助自身特征工程和知识体系的自动化运营结果。在我们所不擅长的领域，我们同时采取了积极拥抱优秀国产大模型的策略，本报告的编写我们就使用了DeepSeek作为辅助。

从《黑神话：悟空》上线，到DeepSeek 爆火，中国的信息技术正在不断缔造新的传奇。与此同时，也伴随着网络攻击接踵而至。而战胜这些风险，正是验证了新生事物的不可战胜和远大前途。安天作为长期为网信产业体系提供共性安全能力的民企国家队，愿意为战略新兴产业提供更多的共性安全基因，为伟大的新生事物护航。

4.IOC

MD5

71B4C3FE502E6C6D5EF5E420D52D2729

C4526600A90D4E1EC581D1D905AA6593

6C6D1CCCE5946F0AA68F9E0C438C1E21

B1E0B2C046D4CB7F0A0DD87054A17AC4

6B8A9D6335D056E20DCD794B265074E3

AB2C4A13D1FE946003FFCB7DDEC064D0

9E331675D780AF4585857B1F95B40CBB

EFA786F2B6F0F267F717145FAF48A95B

EF9EBF4D5A1A44D0DB92DE06D3DCE7A1

BEC7596CFB1225900673398ABB24FFA8

参考链接

[1]奇安信.僵尸网络进场，针对DeepSeek 网络攻击再升级[R/OL].(2025-01-30)

https://mp.weixin.qq.com/s/NM-zCyA4m5WJeAjPwUmYYg

[2]ANTONAKAKIS M, APRIL T, BAILEY M, 等. Understanding the Mirai Botnet[R/OL]. (2017-08-16)

https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/antonakakis

[3]维基百科. DDoS attacks on Dyn[R/OL] .(2016)

https://en.wikipedia.org/wiki/DDoS_attacks_on_Dyn

[4]安天. 计算机病毒百科Mirai对应词条[R/OL] .(2016)

https://www.virusview.net/malware/Trojan/Linux/Mirai

[5]安天. 安天追影小组分析Mirai变种新传播方式[R/OL].(2016-12-19)

https://www.antiy.cn/research/notice&report/research_report/608.html

[6]Diamonds Is Lit (Official Video)

https://www.youtube.com/watch?v=fPu9hTClNWQ

[7]Fuckbosco

https://soundcloud.com/xxdannyflandersxx/fuckbosco2-a-danny-flanders-special-release

[8]安天. 2024年人工智能技术赋能网络安全应用测试：安天垂直大模型在恶意软件检测场景初露锋芒[R/OL].(2024-09-23)

https://www.antiy.cn/About/news/20240923.html

国家发展改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知

发改数据〔2025〕18号

各省、自治区、直辖市、新疆生产建设兵团发展改革委、数据管理部门、党委网信办、工业和信息化主管部门、公安厅（局）、市场监管局（厅、委）：

为深入贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，推动高质量发展和高水平安全良性互动，国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局制定了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，现印发给你们，请结合实际抓好落实。

国家发展改革委

国家数据局

中央网信办

工业和信息化部

公安部

市场监管总局

2025年1月6日

关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案

数据流通安全治理规则是数据基础制度的重要内容。为贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，更好统筹发展和安全，建立健全数据流通安全治理机制，提升数据安全治理能力，促进数据要素合规高效流通利用，释放数据价值，提出如下意见。

一、总体要求

以习近平新时代中国特色社会主义思想为指导，深入落实党的二十大和二十届二中、三中全会精神，全面贯彻总体国家安全观，统筹数据高质量发展和高水平安全，坚持系统思维、底线思维，将安全贯穿数据供给、流通、使用全过程，落实国家数据分类分级保护制度，明晰数据流通中的安全治理规则，加强数据流通安全技术应用和产业培育，完善权益保护和责任界定机制，提升安全治理能力，防范数据滥用风险，坚决维护国家安全，保护个人信息和商业秘密，以成本最小化实现安全最优化，推动数据高质量发展和高水平安全良性互动，充分释放数据价值，促进数据开发利用。到2027年底，规则明晰、产业繁荣、多方协同的数据流通安全治理体系基本构建，数据合规高效流通机制更加完善，治理效能显著提升，为繁荣数据市场、释放数据价值提供坚强保障。

二、主要任务

（一）明晰企业数据流通安全规则。支持企业通过编制数据资源目录、分析流通过程安全风险、制定分类分级保护措施等方式，提升数据治理能力。鼓励企事业单位设立首席数据官，加强数据治理和数据开发利用。数据处理者应按照国家有关规定识别、申报重要数据，并依法接受监管部门的监督检查。对确认为重要数据的，相关地区、部门应当及时向数据处理者告知或公开发布。数据处理者对外提供重要数据时，应按照相关法律法规、行业主管部门要求，采取必要的安全保护措施，切实维护国家安全、经济运行、社会稳定、公共健康和安全。鼓励开展数据脱敏等研究，对于经脱敏等技术处理后，依据所属行业领域的分类分级标准规范重新识别为一般数据的，可按照一般数据开展流通交易。

（二）加强公共数据流通安全管理。政务数据共享过程中，数据提供方按照“谁主管、谁提供、谁负责”的原则，明确政务数据共享范围、用途、条件，承担数据提供前的安全管理责任，探索建立数据接收方数据安全管理风险评估制度，确保数据在安全前提下有序共享。数据接收方按照“谁经手、谁使用、谁管理、谁负责”的原则，承担数据接收后的安全管理责任。有关地方和部门开展公共数据授权运营的，应依据有关要求明确公共数据授权运营机构的安全管理责任，建立健全数据安全管理制度，采取必要安全措施，加强关联风险识别和管控，保护公共数据安全。

（三）强化个人数据流通保障。完善个人数据权益保障机制。对于个人数据流通，应当依法依规取得个人同意或经过匿名化处理，不得通过强迫、欺诈、误导等方式取得个人同意。制定个人信息匿名化相关标准规范，明确匿名化操作规范、技术指标和流通环境要求。鼓励采用国家网络身份认证公共服务等多种方式，强化个人信息保护。健全个人信息保护投诉、举报、受理、处置渠道。

（四）完善数据流通安全责任界定机制。数据提供方应当确保数据来源合法，数据接收方应严格按照要求使用数据，防止超范围使用。鼓励供需双方在数据流通交易合同中约定各自权责范围，清晰界定权责边界。探索建立数据流通安全审计和溯源机制，融合应用数字水印、数据指纹、区块链等技术手段，高效支撑数据流通过程中的取证和定责。支持在自由贸易试验区（港）等地方开展先行先试，围绕数据流通交易溯源机制、重点场景安全治理标准、重点场景安全责任界定机制等，探索新型治理模式，提高治理效能。

（五）加强数据流通安全技术应用。支持数据流通安全技术创新，完善数据流通安全标准，引导企业按照数据分类分级保护要求，采取不同的安全技术开展数据流通。对于不涉及风险问题的一般数据，鼓励自行采取必要安全措施进行流通利用。对于未认定为重要数据，但企业认为涉及重要经营信息的，鼓励数据提供方、数据接收方接入和使用数据流通利用基础设施，促进数据安全流动。对于重要数据，在保护国家安全、个人隐私和确保公共安全的前提下，鼓励通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式，依法依规实现数据价值开发。

（六）丰富数据流通安全服务供给。繁荣数据安全服务市场，壮大数据安全治理服务规模，创新数据安全服务业态。支持数据安全服务机构加强基础理论研究、核心技术攻关和产品创新应用，向规模化、专业化、一体化方向发展，提升安全服务效能，降低应用成本。培育数据流通安全检测评估、安全审计等服务，健全有利于数据流通主体互信的市场化机制。丰富数据托管等服务供给，研究探索为数据安全提供保险保障的可行方案，鼓励有条件的企业拓展面向中小企业的数据安全托管服务。

（七）防范数据滥用风险。依法严厉打击非法获取、出售或提供数据的黑灰产业，加强敏感个人信息保护，限制超出授权范围使用个人信息。依法依规惩处利用数据开展垄断、不正当竞争等行为，维护各方主体权益和市场公平竞争秩序。在国家数据安全工作协调机制统筹协调下，加强重点行业领域数据安全风险监测，持续增强风险分析、监测和处置能力，防范发生系统性、大范围数据安全风险，维护国家安全和经济社会稳定。研究完善数据流通安全事故或纠纷处置机制，提升流通风险应对能力。

强化部门协同，加强数据安全、个人信息保护等方面的执法协同，推动行政执法信息共享、情况通报和协同配合，提高监管效能。组织发布数据流通安全治理典型案例，充分发挥示范作用，营造“一地创新、全国共享”“一企创新、多企复用”的创新环境，促进数据安全有序流通。

文章来源自：国家发展改革委

Palo Alto Networks has disclosed a critical vulnerability (CVE-2025-010) in its PAN-OS software that could allow attackers to bypass authentication on the management web interface. This flaw, which has been assigned a CVSS Base Score of 8.8, poses a significant risk to organizations using affected versions of PAN-OS. The vulnerability stems from an authentication bypass […]

The post Palo Alto PAN-OS 0-Day Vulnerability Let Attackers Bypass Web Interface Authentication appeared first on Cyber Security News.