文章总结： 2025年11月底，国内外网络安全领域动态频发。国内发布两大新规强化数据安全监管，包括大型网络平台个人信息保护规定和网络安全标识管理办法。同时，多款主流系统曝出高危漏洞，二次放号机制导致明星信息被盗。国际上，Cloudflare全球服务故障、日本朝日啤酒、瑞典IT服务商和美国AIPAC相继发生数据泄露事件，GitLab紧急修复AI功能漏洞。文章建议企业加强政策合规、漏洞防护和供应链安全管理，个人需注意二次放号风险。 综合评分： 86 文章分类： 政策法规,数据安全,漏洞预警,安全大事件,数据泄露

国内两大新规强化数据安全，国际巨头泄露事件频发

原创

信息安全新动态

信息安全新动态

2025年12月1日 09:01 江西

一周网安速览（11.24-11.30）

01

国内板块

（政策先行，漏洞与事件双预警）

一、政策法规：两大重磅征求意见稿公开，数据安全监管再升级

1. 《大型网络平台个人信息保护规定（征求意见稿）》发布

发布时间：2025年11月24日

核心内容：明确大型网络平台需建立个人信息保护负责人制度（要求中国国籍、无境外永久居留权，具备五年以上相关经验），赋予负责人决策否决权；境内收集数据原则上境内存储，发生100万以上个人信息泄露需强制第三方审计；细化个人信息可携带权，平台需在30个工作日内以机器可读格式完成信息转移①。

政策意义：填补《个人信息保护法》在大型平台场景的操作空白，强化平台数据安全主体责任。

2. 《网络安全标识管理办法（征求意见稿）》公开征求意见

发布时间：2025年11月21日（意见反馈截止12月6日）

核心内容：将具有互联网联网功能的产品纳入标识管理，分基础级、增强级、领先级三级认证；三星级产品需通过第三方渗透性测试；伪造、冒用标识将被撤销备案，一年内不予受理新申请②。

政策意义：首次建立网络安全产品分级标识体系，助力消费者识别安全能力，倒逼企业提升产品安全水平。

二、高危漏洞：多款主流系统曝安全隐患，官方紧急发布补丁

1. Microsoft 11月安全更新修复63个漏洞，5个高危可远程执行代码

披露时间：2025年11月28日

漏洞详情：包含29个特权提升漏洞、16个远程执行代码漏洞，其中5个高危漏洞可被攻击者直接远程控制设备，涉及Windows操作系统、Office办公套件等核心产品，影响个人用户及企业级部署③。

修复建议：立即通过系统自动更新或微软官网下载补丁，未及时修复的设备面临数据窃取、系统被篡改风险。

2. Apple iOS/iPadOS、华为HarmonyOS曝隐私与数据安全漏洞

披露时间：2025年11月28日

漏洞详情：Apple iOS/iPadOS存在缓存处理不当漏洞，可能导致恶意应用跟踪用户行为；华为HarmonyOS和EMUI存在数据机密性漏洞，可能造成用户数据完整性受损④。

修复建议：苹果用户升级至最新系统版本，华为用户通过“我的华为”APP检测并安装系统安全更新。

三、典型网络安全事件：二次放号引发明星信息被盗，暴露行业漏洞

1. 演员王灿手机号遭二次放号，个人信息被盗用开通花呗

发生时间：2025年11月24日

事件详情：演员杜淳妻子王灿通过微博爆料，其使用的手机号因“二次放号”机制，被前任用户遗留的花呗账户关联，连日遭遇催债电话轰炸。经查，该手机号前任用户停用前未解绑金融账户，运营商仅解除移动服务绑定，未同步清理第三方平台关联⑤。

行业警示：我国每年约4000万手机号进入二次放号流程，黑产利用历史泄露数据，2元即可购买身份证照片，配合手机号即可完成部分平台实名认证。

02

国际板块

（巨头故障+供应链攻击，安全风险持续发酵）

一、重大网络安全事件：全球服务商 outage+多行业数据泄露

1. Cloudflare全球服务故障，波及数千企业用户

发生时间：2025年11月24日

事件详情：全球知名网络安全服务商Cloudflare发生大规模服务降级，核心产品（包括访问控制、路由、安全连接服务）出现响应缓慢及间歇性中断，影响全球数千家依赖其服务的企业，暴露互联网基础设施集中化风险。Cloudflare确认此次事件为内部故障，非外部攻击导致⑥。

影响范围：电商、金融、政务类网站受影响显著，部分地区用户无法正常访问目标服务。

2. 日本朝日啤酒数据泄露影响1.9万人，源于9月黑客攻击

披露时间：2025年11月29日

事件详情：日本最大啤酒生产商朝日集团控股披露，9月发生的网络攻击已导致1.9万用户个人信息泄露，包括姓名、联系方式及部分消费记录。该公司经三个月调查确认数据泄露范围，已通知受影响用户并加强系统防护⑦。

行业背景：近期全球食品饮料行业成为攻击热点，黑产通过窃取用户数据实施精准诈骗。

3. 瑞典IT服务商遭攻击，200余地区市政系统受影响

发生时间：2025年11月28日

事件详情：瑞典IT系统供应商Miljö Data遭网络攻击，导致其服务的80%瑞典市政系统出现访问故障，涉及200多个地区的政务办理、民生服务等功能。攻击者窃取150万用户数据，包括居民身份信息及公共服务记录⑧。

攻击特点：利用供应链漏洞突破防御，凸显第三方服务商安全防护薄弱问题。

4. 美国AIPAC遭遇第三方数据泄露，涉数百人敏感信息

披露时间：2025年11月24日

事件详情：美国以色列公共事务委员会（AIPAC）披露，其外部供应商系统遭未授权访问，导致数百人相关信息泄露。由于涉及政治游说场景，泄露信息可能被用于针对性骚扰或影响操作⑨。

应对措施：AIPAC已联合供应商开展调查，强化访问控制措施并通知受影响人员。

二、高危漏洞：GitLab紧急修复AI功能漏洞，可泄露项目机密

披露时间：2025年11月25日（补丁发布时间）

漏洞详情：GitLab发布紧急补丁修复多个安全漏洞，最严重漏洞存在于Duo代码审查AI功能中，攻击者可在合并请求评论中植入恶意指令，诱使AI泄露机密议题信息。此外还修复授权绕过、信息泄露、XSS等9个漏洞，影响了社区版及企业版多个版本⑩。

修复建议：立即升级至GitLab 18.5.2、18.4.4或18.3.6版本，关闭未使用的AI代码审查功能。

03

本周防护核心建议

1. 政策合规层面：企业需重点关注两大征求意见稿，提前梳理个人信息处理流程，建立负责人制度及数据安全审计机制，预留合规整改时间。

2. 漏洞防护层面：优先修复Microsoft、Apple、华为等主流系统高危漏洞，企业级用户需对GitLab、云服务等关键组件开展全面漏洞扫描。

3. 个人安全层面：定期核查手机号关联的金融账户，更换二次放号的用户需逐一解绑第三方应用；避免随意点击陌生催款、通知类链接，通过官方渠道核实信息。

4. 供应链安全层面：企业需加强第三方服务商安全评估，在合同中明确安全责任，定期开展供应链渗透测试，避免“一托了之”。

04

本文案例出处

①https://www.cac.gov.cn/2025-11/24/c_1765712237407284.htm

②https://www.cac.gov.cn/2025-11/21/c_1765450099503494.htm

③https://nic.oit.edu.cn/info/1038/4481.htm

④http://www.shturl.cc/38919c096320b978ae9bcc7fa8136563

⑤http://m.toutiao.com/group/7576631699988857344/?upstream_biz=doubao

⑥http://www.shturl.cc/3bc6ef4a6b48e35bb886654754826749

⑦http://www.shturl.cc/575e428329d981989b3a53b68fbe190b

⑧http://www.shturl.cc/575e428329d981989b3a53b68fbe190b

⑨http://www.shturl.cc/3bc6ef4a6b48e35bb886654754826749

⑩https://blog.csdn.net/FreeBuf_/article/details/154826055

声明

转载声明：本平台部分公开资料源于互联网，转载是为传递信息和网络分享，不代表平台观点，也不保证真实性、不提供建议。除原创及特别说明外，推送内容来自网络和主流媒体，版权归原作者。若发现侵权，请联系我们，将尽快核实并删除。

网络安全，人人有责

信息安全新动态

微信号丨ThinventS2

查看原文：《国内两大新规强化数据安全，国际巨头泄露事件频发》