网络空间安全动态(202510期)
编者按:网安动向热讯,本期有九点值得关注:一是国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》;二是美国再将54家中国公司列入“实体清单”,人工智能、超算成重点打击目标;三是特朗普推出国家复原力战略,优先提升基础设施抵御网络攻击能力;四是美联邦通信委员会宣布对多家中国关联企业展开国家安全调查;五是美国防部推进6G技术军事应用;六是美网络司令部举办史上最大规模“网络卫士”演习;七是加拿大政府推出“国家网络安全认证计划”;八是英NCSC设定2035年为后量子密码学迁移的最后期限;九是瑞典政府发布《国家网络安全战略2025—2029年》。
数据前沿快讯,本期有五点值得关注:一是以高质量数据促进人工智能发展,国家数据局将开展四方面工作;二是我国今年拟制修订41项数据领域国家标准;三是全国数据标准化技术委员会2025年第一次“标准周”活动在成都举行;四是欧盟发布《欧洲健康数据空间条例》;五是美军太空部队发布《2025年数据与人工智能战略行动计划》。
网安事件聚焦,本期有两方面内容建议关注:一是境外发动的网络攻击往往带有明确的政治图谋、军事意图或情报窃取目的,其攻击行为呈现出高度的组织性和目的性。本期介绍:中国网络安全产业联盟发布《美情报机构针对全球移动智能终端实施的监听窃密活动》报告;“台独”势力通过资通电军对大陆实施网络攻击和渗透;伊朗航运业遭黑客攻击,116艘船只通信系统瘫痪;黑客组织HellCat利用过期凭证大规模攻击Jira服务器;乌克兰国防部门遭DCRat恶意软件攻击。二是随着网络攻击日益猖獗,重要信息系统的大规模 数据泄露风险持续攀升。本期介绍:黑客声称获取Oracle公司600万条记录,但Oracle否认存在违规行为;美亚利桑那州西部联盟银行发生数据泄露事件。
网安风险警示,本期有五点建议关注:一是应用软件Kubernetes的Ingress NGINX控制器存在5个高危漏洞,可致集群被接管;二是流行Web应用框架Next.js存在中间件授权绕过漏洞;三是企业级备份和灾难恢复解决方案Veeam Backup & Replication中存在严重漏洞;四是AMI BMC软件漏洞可能导致远程认证绕过;五是mySCADA myPRO系统存在操作系统命令注入漏洞。
一、网安动向热讯
(一)国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》
3月22日消息,国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。《办法》明确了应用人脸识别技术处理人脸信息的处理规则。一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。此外,《办法》还对应用人脸识别技术处理人脸信息的基本要求、人脸识别技术应用安全规范、监督管理职责等作出了规定。(信息来源:人民日报)
(二)国家密码管理局发布《电子认证服务使用密码管理办法(征求意见稿)》
3月21日,国家密码管理局就《电子认证服务使用密码管理办法(征求意见稿)》向社会公开征求意见。征求意见稿包括总体要求、许可审批、运行规范、监督检查、法律责任和附则共6个方面内容,共23条。征求意见稿规定,采用商用密码技术提供电子认证服务,应当依法取得《电子认证服务使用密码许可证》。国家密码管理局负责对全国电子认证服务使用密码行为实施监督管理。县级以上地方各级密码管理部门负责对本行政区域的电子认证服务使用密码行为实施监督管理。征求意见时间为2025年3月21日至4月21日。(信息来源:国家密码管理局)
(三)香港通过保护关基设施条例,运营者不更新系统最高可罚500万港元
3月21日消息,香港立法会批准了首部专门针对关键基础设施计算机系统网络安全的法案—《保护关键基础设施(电脑系统)条例草案》。根据该法案,运营者若未能及时更新系统,最高可被罚款500万港元(约466万元人民币)。该法案涵盖被认为对社会正常运作至关重要的八大领域,包括能源、信息技术、银行及金融服务、海运、陆路运输、航空运输、医疗服务和通信及广播服务。此外,其他涉及关键社会及经济活动的基础设施运营者,如管理大型体育或表演场馆、科研园区的机构等,也被纳入法案范围。该法案不具有域外效力,仅适用于大型机构,不会影响大多数中小企业或普通市民。(信息来源:安全内参)
(四)美国再将54家中国公司列入“实体清单”,人工智能、超算成重点打击目标
3月26日,美商务部工业与安全局(BIS)在其官方网站发布两项最终规则,再次以国家安全和外交政策为由,大幅扩大其出口管制“实体清单”,共将全球80个实体列入其中。此次行动中,中国成为最主要的目标,共有54家中国(含中国香港、中国台湾地区)实体被新列入该清单,凸显了美国在高科技领域对华限制措施的进一步升级。分析美商务部公布的列入理由可以发现,此次行动精准指向了多个中国重点发展的前沿科技领域,包括人工智能(AI)与先进计算、量子技术、高超音速武器与军事现代化等。(信息来源:安全内参)
(五)特朗普推出国家复原力战略,优先提升基础设施抵御网络攻击能力
3月20日消息,美总统特朗普发布行政命令,推出国家复原力战略,旨在增强各州、地方政府和公民应对网络攻击及恶劣天气事件的能力。该战略明确了提高国家复原力的优先事项和方法,简化了美联邦准备和响应政策,使州和地方能更好理解需求。行政命令要求审查前总统拜登政府的多项政策,包括关键基础设施安全和供应链复原力相关备忘录,并启动国家风险登记册,以识别和量化国家基础设施面临的风险,同时要求总统国家安全事务助理在90天内发布国家复原力战略,并在180天内审查所有关键基础设施政策,提出修订建议。(信息来源:全球技术地图)
(六)美联邦通信委员会宣布对多家中国关联企业展开国家安全调查
3月22日消息,美联邦通信委员会(FCC)表示,正在调查中国9家通讯科技公司(华为、中兴通讯、杭州海康威视、中国移动、中国电信、海能达通信、大华股份、太平洋网络通信、中国联通),以确定其是否试图规避在美运营限制。此前,这些企业已被纳入FCC“受管制清单”,但美方认为其可能通过技术维护、第三方合作等非监管领域持续渗透美国市场。此次调查是FCC新成立的国家安全委员会采取的首个重大举措,若调查证实上述企业确实存在规避行为,或将采取更严格的限制措施。(信息来源:泛半导体之家)
(七)美国防部推进6G技术军事应用
3月21日消息,美国防部未来G办公室副主任马兰·麦克林在Elastic公共部门峰会上表示,美国防部正将研发重点转向6G技术,以进一步提升美军在边缘领域的新能力,主要工作包括:一是尝试“集成传感与通信”概念,利用网络中所有物体的射频信号感知周围环境,增强对无人机的探测和管理能力。麦克林称,发展6G技术无需投资大量新设备,可利用现有基础设施,以降低成本;二是通过开放式无线接入网络推动模块化和互操作性创新。2024年11月,美国防部已授予休斯网络系统公司650万美元合同,在得克萨斯州开发Open RAN原型,以测试和评估军事应用领域的先进无线能力。(信息来源:国防科技要闻)
(八)美网络司令部举办史上最大规模“网络卫士”演习
3月21日消息,美网络司令部于2025年3月12日至18日完成了第11届年度“网络卫士”演习的第一阶段。此次演习旨在模拟真实场景,让参演人员演练全面部队整合的内部和外部参谋流程;模拟了美网络司令部在危机期间支持影响多个地理责任区域的全球场景;测试参谋人员在困境中就行动方案、兵力调动以及与机构和盟军伙伴分担负担做出决策的能力;提供了测试各作战功能流程的机会,帮助美网络司令部改善任务中网络攻防行动的规划、整合和执行;激励各作战司令部相互协调,并为指挥官们提供了经验教训,以评估未来部队管理在指挥控制、权限和信息共享方面的挑战和差距。(信息来源:奇安网情局)
(九)美NIST将HQC作为量子后加密的备用算法
3月21日消息,美国家标准与技术研究院(NIST)发布《NIST IR 8545:后量子密码标准化进程第四轮状态报告》,选择汉明准循环(HQC)算法作为后量子加密的备用算法。HQC算法基于准循环码设计,其安全性依赖于准循环码的解码难题。与BIKE、Classic McEliece等其他候选算法相比,HQC在解码失败率分析方面展现出了更高的成熟度和稳定性,能够更有效地满足适应性选择密文攻击下的不可区分性安全要求。(信息来源:美NIST网站)
(十)加拿大政府推出“国家网络安全认证计划”
3月23日消息,加拿大政府效仿美国的“网络安全成熟度模型认证”计划,推出“国家网络安全认证计划”(CPCSC),以保护承包商的系统、网络和应用程序中的非密联邦合同信息。CPCSC将分阶段实施:第一阶段(2025年3月)将推出1级网络安全认证和2级网络安全认证的实施标准;第二阶段(2025年秋季)起,将要求部分国防合同通过1级网络安全认证(包括通过1级自我评估工具的认证);第三阶段 (2026年春季)起,将要求部分国防合同通过2级网络安全认证,并发布3级网络安全认证的相应标准;第四阶段(2027年)起,逐步将3级网络安全认证要求纳入少数合同的选定国防提案中,并由国防部开展3级网络安全认证。(信息来源:中国网安)
(十一)英NCSC设定2035年为后量子密码学迁移的最后期限
3月20日消息,英国家网络安全中心(NCSC)发布新指南,敦促各组织在2035年前将其系统、服务和产品完全迁移到后量子密码学,以应对量子计算机带来的未来威胁。该指南为组织提供了明确的路线图,分为三个阶段:2028年前完成发现与评估,2031年前执行高优先级升级并完善计划,2035年前完成全面迁移。此次迁移主要针对大型组织、关键国家基础设施运营商和拥有定制IT系统的公司,中小型组织则可通过服务提供商的常规升级实现迁移。(信息来源:InfoSecurityMagazine网)
(十二)瑞典政府发布《国家网络安全战略2025—2029年》
3月26日消息,瑞典政府发布《国家网络安全战略2025—2029年》,对未来五年的国家网络安全建设进行了整体谋划,以应对日益复杂的网络安全威胁,提升国家整体网络安全水平。该《战略》提出了3大支柱:一是系统高效的网络安全工作。二是网络安全知识和能力提升。三是加强网络安全事件的预防处置。《战略》还明确了当前面对的重要挑战及应对举措,要求进一步增加关键基础设施的网络安全防护水平和主动防御能力。(信息来源:安全内参)
(十三)韩国已加入北约科学技术组织伙伴关系
3月19日消息,北约官网披露,韩国已于3月1日正式加入北约科学技术组织伙伴关系。该伙伴关系旨在促进前沿科技领域联合研究和开发,韩国加入该伙伴关系后将参加北约科技委员会,并参与医学、传感、网络安全、推进和电力系统等领域研究项目。据悉,本次瑞士、乌克兰也加入了该伙伴关系,此前澳大利亚与日本分别于2015年和2020年加入该伙伴关系。(信息来源:北约官网)
二、数据前沿快讯
(十四)以高质量数据促进人工智能发展,国家数据局将开展四方面工作
3月24日,国家数据局局长刘烈宏在中国发展高层论坛2025年年会上表示,国家数据局将充分调动社会各方力量,积极推动高质量数据集建设,持续增加数据供给,推动“人工智能+”行动赋能千行百业,打造包容开放的创新环境。刘烈宏提出,国家数据局将重点做好四方面工作:一是持续推进基础制度供给。二是持续推进高质量数据供给。三是持续推进数据基础设施建设。四是持续推进数据领域国际合作深化。(信息来源:新华社)
(十五)我国今年拟制修订41项数据领域国家标准
3月19日,国家数据局发布消息,我国今年拟制修订41项数据领域国家标准,涵盖高质量数据集、数据基础设施建设、城市全域数字化转型等领域,关系到人工智能、数据流通利用、智慧城市等产业行业的发展。全国数据标准化技术委员会提出,要积极支持民营企业参与数据领域国家标准制定;加快推动数据治理、数字科技和基础设施建设等重点领域的标准研制,多出标准、快出标准、出好标准。(信息来源:国家数据局)
(十六)全国数据标准化技术委员会2025年第一次“标准周”活动在成都举行
3月19日,全国数据标准化技术委员会2025年第一次“标准周”活动在成都举行。国家数据局党组书记、局长刘烈宏指出,标准是规范经济和社会发展的重要工具。数据标准能够有效支撑数据基础制度落地、促进数据资源的高效开发利用、激发全域数字化转型动力、引领数字科技发展和基础设施建设、促进数据跨境流动。2025年,全国数标委要抓好四方面工作。一是搭建多元融合协作生态,建设“国家—行业—地方”联动机制。二是加快重点标准制修订,要多出标准、快出标准、出好标准。三是团结社会各方力量,充分发挥企业、高校和科研机构等多方主体作用,形成全社会共同推进标准化工作的良好氛围。四是深化数据领域国际标准合作,积极与国外高水平标准化组织建立合作机制。(信息来源:国家数据局)
(十七)欧盟发布《欧洲健康数据空间条例》
3月24日消息,欧盟发布《欧洲健康数据空间(EHDS)条例》,该条例将于3月26日起正式生效。EHDS旨在通过法规框架,使欧盟公民的匿名化健康数据能够被用于科学研究、健康政策制定等目的。该框架的核心是打破数据孤岛,促进健康数据在欧盟范围内的共享与再利用,从而推动医疗创新和公共卫生的进步。EHDS条例生效后,将根据数据类型和使用情况分阶段实施。2029年3月将启动第一组优先类别在主要用途下的数据交换。2031年3月,EHDS将扩展到更多数据类别。(信息来源:数安律苑)
(十八)美军太空部队发布《2025年数据与人工智能战略行动计划》
3月19日,美太空部队发布《2025年数据与人工智能战略行动计划》,标志着其从“太空服务”向“数据与AI驱动的数字军种”全面转型。战略以建立全域数据治理体系、培育AI驱动文化、加速技术应用及强化跨领域合作四大支柱为核心,重点修复统一数据库(UDL)以整合商业与军事数据,突破“数据孤岛”困境。UDL转型为敏捷开发模式,计划年内接入作战系统,提升太空态势感知与威胁响应能力。(信息来源:网络安全与人工智能研究中心)
三、网安事件聚焦
(十九)中国网络安全产业联盟发布《美情报机构针对全球移动智能终端实施的监听窃密活动》报告
3月25日消息,中国网络安全产业联盟(CCIA)发布《美情报机构针对全球移动智能终端实施的监听窃密活动》报告。《报告》从11个章节,详细披露美情报机构不遗余力针对全球移动智能终端和通讯体系,构建全方位的攻击渗透能力,从SIM卡、固件、操作系统等网络产品,到数据线、Wi-Fi、蓝牙、蜂窝网络、GPS等数据接口,再到大型互联网和IT厂商的数据中心,乃至整个移动产业生态体系无孔不入,大肆窃取人员、账号、设备、链路、位置等数据,对全球移动智能终端实施的大规模、长时间的监听窃密行动,严重危害全球各国网络安全和国家安全。(信息来源:CCIA网安产业联盟)
(二十)“台独”势力通过资通电军对大陆实施网络攻击和渗透
3月18日消息,“台独”势力通过资通电军对大陆实施网络攻击和渗透活动。台湾资通电军是台当局防务部门直接管辖的“第四军种”,负责组建网络战队、雇佣社会黑客、网安公司等外协力量,执行民进党当局下达的网络作战指令,对大陆和港澳地区开展窃密、破坏、反宣活动。国家安全部已公开4名资通电军成员身份,这是国家安全部近年来第二次曝光台湾资通电军现役人员的信息。(信息来源:国家安全部)
(二十一)伊朗航运业遭黑客攻击,116艘船只通信系统瘫痪
3月21日消息,伊朗航运业遭重大网络攻击事件,导致116艘伊朗船只通信系统瘫痪。一个名为LabDookhtegan的黑客组织宣称对此次攻击负责,目标直指伊朗国家油轮公司(50艘)和伊朗伊斯兰共和国航运公司(66艘)运营的船舶,攻击者通过清除VSAT卫星通信系统的存储设备实施破坏。LabDookhtegan组织此前以泄露伊朗政府机密著称,自2019年曝光伊朗间谍组织APT34的黑客工具后,持续公开大量政府内部文件,此次攻击标志着其策略从信息泄露转向直接破坏。(信息来源:启明星辰)
(二十二)黑客组织HellCat利用过期凭证大规模攻击Jira服务器
3月24日消息,瑞士全球解决方案提供商Ascom证实其IT基础设施遭网络攻击,黑客组织HellCat利用被盗凭证针对全球Jira服务器发起一系列入侵行动。黑客组织HellCat声称窃取了约44GB数据,包括多个产品源代码、各种项目详情、发票、机密文档以及工单系统中的问题记录。Ascom表示,此次入侵仅影响其技术工单系统,对公司业务运营未造成影响,客户和合作伙伴无需采取任何预防措施。(信息来源:中科汇能)
(二十三)乌克兰国防部门遭DCRat恶意软件攻击
3月20日消息,乌克兰计算机应急响应小组(CERT-UA)警告称,攻击者正在利用Dark Crystal RAT(DCRat)对乌克兰国防部门进行攻击,目标包括国防工业综合体企业的员工和乌克兰国防军代表。攻击者通过Signal消息应用程序分发包含恶意会议记录的存档文件,包含诱饵PDF和基于.NET的加密程序DarkTortilla,后者解密并启动DCRat恶意软件。DCRat是一种远程访问木马,可执行任意命令、窃取信息并对受感染设备进行远程控制。CERT-UA将此活动归因于威胁集群UAC-0200,该集群自2024年以来一直活跃。(信息来源:TheHackerNews网)
(二十四)黑客声称获取Oracle公司600万条记录,但Oracle否认存在违规行为
3月22日,网络安全公司CloudSEK监测到针对Oracle Cloud基础设施的大规模网络攻击事件,约600万条敏感记录泄露,波及超14万名租户。攻击者“rose87168”自2025年初开始活动,利用Oracle Fusion Middleware 11G的子域名漏洞实施入侵,窃取包含JKS密钥库、加密单点登录凭证及企业管理器密钥的敏感数据,并在暗网论坛出售。技术分析显示,攻击可能利用2021年披露的CVE-2021-35587漏洞实施横向渗透。Oracle官方否认云基础设施遭入侵,声称泄露凭证不适用于其云平台。安全专家建议受影响租户立即执行凭证轮换、开展全面取证调查,并加强威胁情报监控。(信息来源:HackRead网)
(二十五)美亚利桑那州西部联盟银行发生数据泄露事件
3月20日消息,总部位于美亚利桑那州凤凰城的西部联盟银行因第三方文件传输工具漏洞,导致超2万人个人信息在2024年被窃取,包括客户姓名、出生日期、社会保险号、金融账户、驾驶执照、纳税人识别及护照等敏感信息。该银行直到2025年1月27日才得知数据遭泄露,并于3月向缅因州和加利福尼亚州的监管机构提交违规通知。此次数据泄露事件与黑客组织Clop针对供应商Cleo的软件攻击有关,西部银行迅速启动事件响应流程,并为受影响客户提供一年免费隐私保护服务。(信息来源:SecurityLab网)
四、网安风险警示
(二十六)应用软件Kubernetes的Ingress NGINX控制器存在5个高危漏洞,可致集群被接管
3月24日消息,以色列网络安全公司Wiz发现Kubernetes的Ingress NGINX Controller中存在5个高危漏洞CVE-2025-1097、CVE-2025-1098、CVE-2025-24513、CVE-2025-24514和CVE-2025-1974(CVSS评分9.8)。攻击者可利用上述漏洞未授权访问Kubernetes集群中所有命名空间存储的机密信息,从而导致集群被接管。Kubernetes是一个用于自动部署,扩展和管理容器化应用程序的开源系统。目前,上述漏洞已被修复,建议用户尽快更新到最新版本。(信息来源:云原生计算基金会)
(二十七)流行Web应用框架Next.js存在中间件授权绕过漏洞
3月24日消息,研究人员发现Next.js 14.2.25及15.2.3之前版本存在一个严重的中间件授权绕过漏洞CVE-2025-29927(CVSS评分9.1)。攻击者可通过在请求中添加x-middleware-subrequest头部,绕过中间件的授权和认证检查,访问受保护的资源或绕过安全控制,可能导致信息泄露、恶意数据访问等安全风险。Next.js是一个基于React的流行Web应用框架,提供服务器端渲染、静态网站生成和集成路由系统等功能,支持快速构建高性能的全栈应用,广泛应用于企业级应用和内容驱动的网站。目前,官方已发布修复该漏洞,建议受影响用户尽快更新。(信息来源:启明星辰安全简讯)
(二十八)企业级备份和灾难恢复解决方案Veeam Backup & Replication中存在严重漏洞
3月21日消息,研究人员发现Veeam的Backup &Replication产品中存在严重漏洞CVE-2025-23120(CVSS评分9.9),可导致攻击者远程执行任意代码,Backup & Replication 12.3.0.310及之前版本12 builds均受影响。CVE-2025-23120源于Veeam在处理反序列化机制时的不一致性,导致允许反序列化的类为内部反序列化提供了途径,而内部反序列化本应采用基于黑名单的机制来防止对高风险数据的反序列化。Veeam Backup & Replication是一款企业级备份和灾难恢复解决方案,主要用于虚拟化环境中的数据保护。Veeam建议升级到修复该漏洞的版本12.3.1(build 12.3.1.1139)。(信息来源:代码卫士)
(二十九)AMI BMC软件漏洞可能导致远程认证绕过
3月23日消息,AMI的基板管理控制器(BMC)软件的Redfish接口中存在严重漏洞(CVE-2024-54085),波及的设备包括HPE Cray XD670和Asus RS720A-E11-RS24U服务器等。当Redfish接口直接暴露在互联网上时,其CVSS评分高达10.0。攻击者可通过操纵HTTP标头值来绕过安全控制,成功利用该漏洞的攻击者可完全远程控制受影响的服务器,部署恶意软件或勒索软件,篡改固件,甚至通过过压条件物理损坏硬件,制造无限重启循环,导致受害者无法恢复。AMI已发布补丁,建议各组织机构进行固件更新。(信息来源:FreeBuf网)
(三十)mySCADA myPRO系统存在操作系统命令注入漏洞
3月23日消息,瑞士安全公司PRODAFT披露影响mySCADA myPRO系统的两个操作系统命令注入漏洞:CVE-2025-20014和CVE-2025-20061(CVSS评分均为9.3),攻击者可通过包含版本参数或包含电子邮件参数的特制POST请求,在受影响的系统上执行任意命令。myPRO是一种广泛应用于工业技术环境中的监控与数据采集系统。建议企业立即部署安全补丁、实施SCADA系统与IT网络隔离、强化身份验证措施及持续监控异常行为。(信息来源:TheHackerNews网)
