▸国办发文重塑私募监管，强调穿透式监管与数据安全红线

▸供应商泄露千万用户数据，甲方赔偿超2.3亿元，供应链安全警钟长鸣

▸国家网信办发布《网络数据安全风险评估办法》，明确评估机构责任

▸AI赋能网络攻击沿‘单体智能’与‘群体智能’双路径演进，安全格局面临重塑

▸国家安全部警告软件‘供应链投毒’，上游污染下游传导模式成新威胁

📋

监管动态

3条

国办发文重塑私募监管，强调穿透式监管与数据安全红线 政策

国务院办公厅发布《关于加强监管防范风险促进私募投资基金高质量发展的指导意见》，强调对私募基金实施穿透式监管，并明确将数据安全纳入合规红线。意见要求私募机构建立数据分类分级保护制度，加强投资者个人信息保护，防范数据泄露和滥用风险。此举标志着金融监管与数据安全治理的进一步深度融合，对金融信息服务商的数据处理活动提出更高要求。

📎 中国政府网 · 2026-06-19

《网络数据安全风险评估办法》正式公布，评估机构责任明确 政策

国家网信办等三部门联合公布《网络数据安全风险评估办法》。办法明确，评估机构开展风险评估应公正客观，对出具报告的真实性、有效性、完整性负责，且不得转委托。同时鼓励评估机构通过认证。该办法为数据安全风险评估活动提供了明确的法律依据和操作规范，将有效提升我国数据安全治理的规范化水平。

📎 安全内参 · 2026-06-19

《金融信息服务数据分类分级指南》发布，重要数据双轨判定原则引关注 政策

《金融信息服务数据分类分级指南》发布，提出了重要数据的‘双轨判定’原则。该原则结合数据主体性质（法人/非法人组织）与服务对象（金融市场参与者）进行综合判定，对同花顺、Wind等金融信息服务商的数据处理活动产生直接影响。指南旨在平衡金融数据流动与安全，为行业提供更精细化的合规指引。

📎 安全内参 · 2026-06-19

🚨

安全事件

3条

供应商泄露千万用户数据，甲方赔偿超2.3亿元 紧急

一起因供应商泄露用户数据引发的巨额赔偿案引发关注。某甲方企业因第三方供应商安全漏洞导致上千万用户数据泄露，最终被判赔偿超过2.3亿元。此案凸显了供应链数据安全风险的巨大代价，甲方企业需对供应商的数据安全能力承担连带责任，强化供应链安全审查与合同约束已刻不容缓。

📎 安全内参 · 2026-06-19

5月新增12家银行因网络安全/数据安全被罚，罕见出现3个‘双罚’ 高

2026年5月，金融监管机构对银行业网络安全与数据安全违规行为持续高压态势，当月新增12家银行被罚，其中3家银行出现罕见的‘双罚’案例（即同时对机构和个人进行处罚）。处罚事由多涉及个人信息收集使用不规范、系统安全防护不足等，显示出监管对金融数据安全‘穿透式’追责的决心。

📎 安全内参 · 2026-06-19

网络攻击智能化重塑安全格局：AI沿‘单体智能’与‘群体智能’双路径演进 高

安全内参发文指出，AI赋能网络攻击正沿‘单体智能’（如Mythos大模型）与‘群体智能’（如MDASH多模型协同）两条技术路径并行演进。AI不仅提升了攻击的自动化与隐蔽性，更从根本上改变了攻击能力上限。传统基于规则的防御体系面临严峻挑战，安全行业需加速构建AI驱动的主动防御与协同响应能力。

📎 安全内参 · 2026-06-19

🔓

漏洞预警

2条

Apache Calcite Avatica 远程代码执行漏洞（CVE-2022-36364）分析 高

Apache Calcite Avatica JDBC驱动程序存在远程代码执行漏洞（CVE-2022-36364）。攻击者可通过构造恶意的`httpclient_impl`连接属性，利用JDBC驱动创建任意HTTP客户端，从而实现远程代码执行。该漏洞影响范围广泛，使用相关组件的应用系统需尽快排查并升级至安全版本。

📎 安全脉搏 · 2026-06-19

Solon框架模板漏洞深度剖析与修复实战 中

轻量级Java开发框架Solon被曝存在模板处理漏洞。该漏洞源于其灵活的渲染器映射机制，攻击者可利用特制模板实现任意代码执行。Solon框架在Spring Boot替代场景中应用日益广泛，使用Beetl、FreeMarker等模板引擎的项目需重点关注，及时应用官方补丁或采取临时缓解措施。

📎 安全脉搏 · 2026-06-19

⚠️

风险提示

2条

国家安全部：警惕软件‘供应链投毒’攻击 紧急

国家安全部发布警告，提醒各界警惕软件‘供应链投毒’攻击。攻击者通过劫持开发者账号、篡改开源代码、污染安装包等方式，将恶意程序植入软件全生命周期，形成‘上游污染、下游传导’的攻击模式。此类攻击隐蔽性强、影响面广，对关键信息基础设施安全构成严重威胁。

📎 安全内参 · 2026-06-19

国家网络安全通报中心：防范假冒公安机关恶意应用程序攻击 紧急

国家网络安全通报中心发布预警，发现一款假冒公安机关的恶意应用程序。该APP内置木马程序，通过社会工程学诱导用户下载，可窃取支付信息并远程控制用户设备。建议用户仅通过官方渠道下载应用，并警惕任何要求提供敏感权限或信息的‘公安’类应用。

📎 安全内参 · 2026-06-19

✅

安全建议

5条

1

紧急：立即排查内部系统是否使用Apache Calcite Avatica组件，针对CVE-2022-36364漏洞进行版本确认与升级。同时，鉴于‘假冒公安机关APP’和‘供应链投毒’风险，建议安全团队立即更新终端防护策略，并发布全员安全通告，提醒员工警惕不明来源的安装包和异常权限请求。

2

紧急：针对‘供应商泄露千万用户数据，甲方赔偿超2.3亿元’事件，建议所有涉及第三方数据处理的企业立即启动供应链安全专项审计。重点审查与供应商签订的合同中关于数据安全责任、应急响应及赔偿条款，并对核心供应商的数据安全能力进行重新评估。

3

重要：关注《网络数据安全风险评估办法》与《金融信息服务数据分类分级指南》的正式发布，法务与合规部门应牵头对照新规，梳理本机构的数据资产，特别是重要数据的识别与判定流程，确保数据安全风险评估活动符合最新监管要求。

4

重要：面对‘AI赋能网络攻击’的演进趋势，建议安全团队引入AI驱动的威胁检测与响应工具，并开展针对AI攻击场景的红蓝对抗演练，提升对‘单体智能’与‘群体智能’攻击模式的防御能力。

5

建议：针对Solon框架漏洞，开发团队应排查项目依赖，确认是否使用受影响版本，并制定修复计划。同时，建议建立开源组件漏洞监控机制，确保对第三方框架的安全风险做到早发现、早处置。