▸国家网信办就《促进分布式数字身份互通互认应用规定》公开征求意见，旨在建立健全分布式数字身份公共服务体系

▸国家网信办等三部门联合公布《网络数据安全风险评估办法》，规范评估机构行为与责任

▸供应商泄露上千万用户数据，甲方赔偿超2.3亿元，凸显供应链数据安全风险

▸美商务部发布车联网供应链最新'白名单'与豁免规则，建立获批供应商登记册

▸Solon框架、Mongoose、Apache Calcite Avatica等多款开源组件被曝高危漏洞

📋

监管动态

4条

国家网信办《促进分布式数字身份互通互认应用规定》公开征求意见 政策

为促进分布式数字身份创新发展和互通互认应用，建立健全分布式数字身份公共服务体系，支撑国家区块链网络基础共性服务能力建设，国家网信办会同有关部门起草了《促进分布式数字身份互通互认应用规定（征求意见稿）》，现向社会公开征求意见。该规定旨在规范分布式数字身份的应用，推动其与现有身份认证体系的融合。

📎 安全内参 · 2026-06-18

国家网信办等三部门联合公布《网络数据安全风险评估办法》 政策

国家网信办、工信部、公安部联合公布《网络数据安全风险评估办法》。办法明确，鼓励相关评估机构通过认证，评估机构须公正客观地作出风险判断，并对所出具的风险评估报告真实性、有效性、完整性负责。同时规定，评估机构不得转委托其他机构开展风险评估，需在限定时间内完成评估。此举旨在规范数据安全评估市场，提升评估质量。

📎 安全内参 · 2026-06-19

国家网信办印发《实施网络安全标识的产品目录（第一批）》及相关实施规则 政策

国家网信办、工信部、公安部联合印发《实施网络安全标识的产品目录（第一批）》及相关实施规则。该目录根据《网络安全标识管理办法》制定，明确了首批需要实施网络安全标识的产品范围，旨在通过标识管理提升产品安全水平，保障消费者权益。相关实施规则对标识的申请、使用、监督等环节进行了详细规定。

📎 安全内参 · 2026-06-18

国办发布《关于加强监管防范风险促进私募投资基金高质量发展的指导意见》 政策

国务院办公厅发布《关于加强监管防范风险促进私募投资基金高质量发展的指导意见》。意见强调要加强监管、防范风险，促进私募基金高质量发展。内容涵盖加强私募基金准入管理、规范资金募集、强化投资运作监管、健全风险处置机制等多个方面。该意见旨在引导私募基金行业回归本源，服务实体经济。

📎 中国政府网 · 2026-06-17

🚨

安全事件

3条

供应商泄露上千万用户数据，甲方赔偿超2.3亿元 紧急

一起因供应商数据泄露导致的巨额赔偿案件引发关注。某甲方企业因第三方供应商泄露了上千万用户数据，最终被法院判决赔偿超过2.3亿元。该事件凸显了供应链数据安全管理的极端重要性，企业在选择和管理供应商时，必须将数据安全能力作为核心评估指标，并建立严格的合同约束与审计机制。

📎 安全内参 · 2026-06-19

国家金监总局发布《关于银行业保险业人工智能安全开发应用的指导意见》 高

国家金融监督管理总局发布《关于银行业保险业人工智能安全开发应用的指导意见》。指导意见要求金融机构统筹发展和安全，推动AI应用合规、透明、可信赖，加强分类分级管理，有效应对AI发展带来的风险挑战。该意见对金融行业AI应用的安全开发、测试、部署、监控等全生命周期提出了明确要求。

📎 安全内参 · 2026-06-18

特朗普签署AI国安备忘录，重塑AI军情运用体系 高

美国总统特朗普签署人工智能国家安全备忘录，旨在重塑AI在国防与情报领域的运用体系。备忘录强调采纳、适配、可靠、问责四大原则。此举承认了美国防务和情报系统对前沿AI模型（如Anthropic）的依赖，并试图在产业松绑与安全嵌入之间寻求平衡，标志着美国AI军事化应用进入新阶段。

📎 安全内参 · 2026-06-18

🔓

漏洞预警

3条

Solon框架模板漏洞深度剖析与修复实战 高

安全研究人员披露了轻量级Java开发框架Solon中的一个模板处理漏洞。该漏洞源于Solon灵活的渲染器映射机制，攻击者可利用恶意构造的模板文件实现任意代码执行。该漏洞影响使用Beetl、FreeMarker、Velocity等模板引擎的Solon应用。建议用户立即升级至最新版本，并审查模板文件来源。

📎 安全脉搏 · 2026-06-19

Mongoose 搜索注入漏洞分析 高

Node.js MongoDB对象建模工具Mongoose被曝存在搜索注入漏洞。漏洞源于对`$where`运算符的不当处理，攻击者可通过精心构造的查询语句注入恶意JavaScript代码，导致数据泄露或服务器被控制。所有使用Mongoose的Node.js应用均受影响，建议开发者避免使用`$where`运算符或升级至修复版本。

📎 安全脉搏 · 2026-06-18

Apache Calcite Avatica 远程代码执行漏洞（CVE-2022-36364） 高

Apache Calcite Avatica JDBC驱动程序被曝存在远程代码执行漏洞（CVE-2022-36364）。漏洞允许攻击者通过`httpclient_impl`连接属性指定恶意类名，从而在服务端执行任意代码。尽管该漏洞于2022年披露，但近期仍有大量系统未修复。建议所有使用Apache Calcite Avatica的用户立即检查版本并应用补丁。

📎 安全脉搏 · 2026-06-18

⚠️

风险提示

2条

算力互联网安全风险与治理路径研究 中

中国信通院发布研究报告，深入分析了算力互联网面临的安全风险。报告指出，随着算力网络的快速发展，数据跨境流动、多租户隔离、算力调度安全、供应链安全等问题日益突出。研究提出了包括零信任架构、安全评估、标准制定在内的综合治理路径，为产业界提供了重要的参考框架。

📎 安全内参 · 2026-06-19

美商务部发布车联网供应链最新'白名单'与豁免规则 中

美国商务部发布车联网供应链新规，首次建立'获批供应商登记册'（Approved Supplier Registry）机制。车载连接系统（VCS）硬件或受控软件及其供应商需被共同列入该登记册，方可获得豁免。此举旨在对特定供应链节点实施逐案审查与动态控制，将对中国车联网企业出海构成新的合规挑战。

📎 安全内参 · 2026-06-18

✅

安全建议

3条

1

紧急：立即排查并修复Solon框架、Mongoose、Apache Calcite Avatica等组件的已知漏洞。鉴于Solon框架模板漏洞和Mongoose搜索注入漏洞可导致远程代码执行，建议相关开发团队在24小时内完成版本升级或应用临时缓解措施。

2

重要：全面审查第三方供应商的数据安全能力。针对'供应商泄露上千万用户数据，甲方赔偿超2.3亿元'事件，企业应重新评估所有涉及用户数据处理的外部供应商，建立更严格的合同条款、安全审计和应急响应机制，避免因供应链安全漏洞导致巨额赔偿。

3

建议：关注并研究《网络数据安全风险评估办法》及《促进分布式数字身份互通互认应用规定》等新规要求。建议法务与安全团队联合解读新规，评估现有业务合规差距，并着手建立或完善数据安全风险评估体系与分布式数字身份管理策略。