网络空间安全动态（202517期）

      编者按：网安动向热讯，本期有六点值得关注：一是财政部、工业和信息化部发布《关于做好2025年中小企业数字化转型城市试点工作的通知》；二是公安部发布《关于对网络安全等级保护有关工作事项进一步说明的函》；三是美商务部宣布撤销拜登政府的《AI扩散规则》，升级对华芯片管制；四是美国会众议院高票通过《删除法案》；五是欧盟与新加坡签署《数字贸易协定》；六是英政府正式推出自愿性《软件安全实践准则》。

      数据前沿快讯，本期有六点值得关注：一是国务院常务会议审议通过《政务数据共享条例（草案）》；二是央行发布《中国人民银行业务领域数据安全管理办法》；三是自然资源部印发《地理信息数据分类分级工作指南（试行）》；四是三部门：全面推行以专项信用报告替代有无违法违规记录证明；五是EDPB与EDPS发表联合信函，支持欧盟委员会简化GDPR记录保存义务的提案；六是以色列隐私保护局就关于“隐私保护法对AI系统的适用性”的指南草案征求意见。

     网安事件聚焦，本期有两方面内容建议关注：一是网络空间已成为地缘安全竞合的常态化对抗领域。本期介绍：巴基斯坦对印度发动大规模网络攻击；APT组织WaterPlum升级OtterCookie恶意软件，攻击全球金融机构；黑客组织Scattered Spider针对云服务平台展开攻击；麒麟勒索软件组织重点攻击医疗、金融等关键行业的虚拟化平台；美多部门就针对美国石油和天然气行业的网络攻击发出警告。二是随着网络攻击的日益猖獗，大规模数据泄露的风险也愈加突出。本期介绍：LockBit勒索软件组织暗网附属管理面板遭入侵，谈判记录等被曝光；迪奥确认发生数据泄露事件；英国教育巨头培生集团遭网络攻击，数百万用户信息恐遭窃取。

     网安风险警示，本期有五点建议关注：一是工信部CSTIS提醒：防范恶意VS Code扩展程序的风险；二是Ubiquiti UniFi Protect摄像头存在远程代码执行漏洞；三是思科多款无线控制器产品中存在满分漏洞；四是微软修复Azure和Power Apps四大高危漏洞；五是WordPress OttoKit插件存在未认证权限提升漏洞。

      一、网安动向热讯

      （一）财政部、工业和信息化部发布《关于做好2025年中小企业数字化转型城市试点工作的通知》

      5月12日，财政部、工业和信息化部发布《关于做好2025年中小企业数字化转型城市试点工作的通知》。重点任务包括围绕企业需求，突出转型实效；供需双向发力，强化专业供给；鼓励探索创新，加强路径引领；强化机制创新，夯实要素保障；加强经验总结，持续优化举措。今年将选择34个左右的城市开展第三批试点工作，试点城市应为地级市及以上，包括各省（区）的省会城市、其他地级市，直辖市所辖区县。已纳入前两批试点范围的城市不得重复申报。第三批城市试点实施期两年，自实施方案批复之日起开始计算。（信息来源：工信部网站）

      （二）公安部发布《关于对网络安全等级保护有关工作事项进一步说明的函》

      5月6日消息，公安部发布《关于对网络安全等级保护有关工作事项进一步说明的函》，对3月8日部署的网络安全等级保护工作进一步说明，要求各级单位深化系统备案更新、数据资源摸底及风险整改。该文件主要对网络安全等级保护工作中五个方面的关键问题进行了释疑：一是系统备案动态更新工作相关问题，包括备案地选择、备案证明的更新及有效期等；二是“第五级网络系统”的定义与具体适用问题；三是数据摸底调查工作的开展方法与规范问题；四是测评报告与重大风险的判定依据及相关概念问题；五是网络安全等级保护工作方案的内容、范围及上报问题。（信息来源：央广网）

      （三）美商务部宣布撤销拜登政府的《AI扩散规则》，升级对华芯片管制

      5月14日消息，美商务部工业和安全局（BIS）宣布正式启动程序，撤销拜登卸任前一周发布的《AI扩散规则》（原定于5月15日生效)。拜登政府的《AI扩散规则》为用于驱动处理AI计算数据中心的芯片建立了“三级许可制度”，以限制各个国家和地区获取先进AI芯片。特朗普政府认为该规则过于复杂，阻碍美国企业创新，并破坏美国与部分国家的外交关系。在废止《AI扩散规则》的同时，BIS宣布了三项强化AI芯片出口管制的新措施：明确指出在全球任何地方使用华为Ascend芯片均违反美国出口管制；警告公众允许美国AI芯片用于中国AI模型训练和推理的潜在后果；指导美国企业如何保护供应链不被转移。（消息来源：网络法前哨）

     （四）美国会众议院高票通过《删除法案》

      5月7日消息，美国会众议院高票通过《删除法案》。该法案明确将AI生成的信息内容纳入监管范围，旨在打击未经当事人同意传播私密影像等隐私内容，以及通过深度伪造技术合成色情内容的行为。该法案将未经本人同意在网络上发布真实和AI伪造的露骨性图像定为联邦犯罪，强调“同意拍摄”不等于“同意传播”，要求网络平台建立快速响应机制，明确心理损害可作为定罪依据，并通过引入公共利益例外和司法审查加以平衡，进一步强化平台责任和受害者救济。下步，该法案将由美总统特朗普签署为法律，这将是美国首个联邦层面的AI监管法案。（信息来源：CAICT互联网法律研究中心）

     （五）美海军陆战队公布《AI实施计划》

      5月8日，美海军陆战队公布《AI实施计划》，列出了实现数字化转型的关键目标和任务时间表。五大战略目标包括：一是战术创新。构建AI应用概念评估体系，部署“数字化转型团队”。二是培育能够胜任AI领域工作的专业人才队伍。改革人才培养机制，整合AI培训资源，完善人才保留激励政策。三是实现大规模AI部署。构建数据架构框架，组建新的AI基础设施运营规划团队，改革风险管理框架，加强AI系统的网络安全防御。四是推进AI治理体系建设。将AI治理纳入指挥官执行监督考察。五是深化产学研合作。建立新型合作协议，评估建立新数字化转型中心的可行性并制定试点计划。（信息来源：DefenseScoop网）

      （六）美国防部计划扩编14支网络任务部队团队

      5月12日消息，美网络司令部透露，美国防部将于2028年9月前，在原有的133支网络任务部队团队的基础上再扩编14支新的网络团队，目前已根据计划完成12支团队的组建。此次扩编是自2012年该部队创建以来首次大规模扩充，旨在应对现代网络战挑战。新增团队将分布在陆军（4支）、空军（6支）及海军（4支）中。各军种网络部队指挥官兼任各自联合部队总部—网络机构的指挥官，负责为指定作战司令部提供网络支援、规划和作战行动。其中，空军负责欧洲、太空和战略司令部，陆军负责北方、非洲和中央司令部，海军负责南方、印太司令部和美驻韩部队，海军陆战队继续为特种作战司令部和联合特遣部队—阿瑞斯提供支持，美网络司令部下属的联合部队总部-国防部信息网络负责为美运输司令部提供支持。（信息来源：奇安网情局）

     （七）欧盟与新加坡签署《数字贸易协定》

      5月7日，欧盟与新加坡签署《数字贸易协定》。该协定旨在增强欧盟与新加坡之间的数字连接，促进端到端的数字贸易。该协定实施后，将通过制定数字贸易和跨境数据流动规则，为公民和企业提供更明确的法律保障。同时，该协定还将通过加强双边经济联系，提升欧盟与新加坡的关系。下一步，该协定将由欧盟委员会提交至欧洲议会审议。（信息来源：新加坡贸易工业部网站）

      （八）英政府正式推出自愿性《软件安全实践准则》

      5月9日消息，英政府正式推出自愿性《软件安全实践准则》，概述了四大主题（安全的设计开发、构建环境、安全部署和维护、与客户沟通）下的14项供应商原则，为市场软件安全性和弹性设定了统一基线，旨在帮助软件供应商与其客户减少供应链攻击以及与韧性相关事件发生的可能性和影响，补充相关国际方法和现有标准以限制跨境运营组织的合规负担。该准则体现了国际上普遍认可的最佳实践，涵盖了美国安全软件开发框架和欧盟《网络弹性法案》所阐述的最佳实践以及该领域现行的指南和正式标准。（信息来源：GOV.UK网站）

      二、数据前沿快讯

      （九）国务院常务会议审议通过《政务数据共享条例（草案）》

      5月9日，国务院总理李强主持召开国务院常务会议。会议审议通过《政务数据共享条例（草案）》。会议指出，要在确保数据安全基础上打通数据壁垒，推动公共服务更加普惠便捷。要构建全国一体化政务大数据体系，推动数据资源融合应用，更好赋能社会治理和繁荣产业生态，增强经济发展新动能。（信息来源：新华社）

      （十）央行发布《中国人民银行业务领域数据安全管理办法》

      5月9日，中国人民银行发布《中国人民银行业务领域数据安全管理办法》，自6月30日起施行。《办法》共七章五十六条：第一章明确《办法》制定依据、适用范围、管理原则、工作机制等；第二章对数据资源目录、分类分级、制度建设、操作规程等方面作出规定；第三章对数据收集、存储、使用、加工、传输、公开、删除等环节明确安全管理规定；第四章从数据存储保护、数据备份、数据传输安全、算法风险防控等方面明确安全技术规定；第五章对数据处理活动的风险监测、通报预警、评估与审计、事件分级、响应处置等方面作出规定；第六章对中国人民银行及其分支机构的监督管理责任落实和数据处理者违反规定行为的处置作出规定；第七章对术语定义、解释权、施行日期作出规定。（信息来源：第一财经）

      （十一）自然资源部印发《地理信息数据分类分级工作指南（试行）》

      5月7日，自然资源部印发《地理信息数据分类分级工作指南（试行）》。《指南》包括四方面主要内容：一是明确地理信息数据分类分级原则。在数据分类、数据分级、目录管理与更新等各环节均应遵循“科学实用、综合判定、动态更新”原则。二是确定数据分类规则。将地理信息数据分为基础地理信息数据、遥感影像数据和专题地理信息数据三大类，大类下再细分若干中类，同时可根据数据管理实际和应用服务场景再细化分类。三是提出数据分级规则。确定了识别地理信息数据分级因素、开展数据影响分析和综合评估定级的分级规则，同时给出了重要数据、核心数据识别的判定指标。四是明确分类分级管理要求。规定了地理信息重要数据目录申报、审核、认定等相关工作程序，以及动态更新情形与更新管理等若干要求。（信息来源：中国自然资源报）

      （十二）三部门：全面推行以专项信用报告替代有无违法违规记录证明

      5月7日，国家发展改革委、公安部、国家数据局三部门发布通知，全面推行以专项信用报告替代有无违法违规记录证明。开展以专项信用报告替代有无违法违规记录的证明是使用基于信用信息共享平台汇集的各领域违法违规信息形成的专项信用报告，替代多个行政机关单独出具的有无违法违规记录的证明。各省（区、市）专项信用报告应至少涵盖行政处罚（含简易程序作出的行政处罚）、行政强制、严重失信主体名单和刑事裁判（犯罪记录）等信息。对地方政府产生的相关信用信息，各省级社会信用体系建设牵头部门要会同数据管理部门，按照国家有关数据共享标准，加强相关信用信息的归集共享；对中央国家机关产生的相关信用信息，通过全国信用信息共享平台推送给省级信用牵头部门。按照“谁产生、谁负责”原则，强化数据质量管理，建立数据异议反馈、核查修正机制，持续提高数据的全面性、真实性和准确性。（信息来源：国家发展改革委网站）

      （十三）EDPB与EDPS发表联合信函，支持欧盟委员会简化GDPR记录保存义务的提案

      5月8日，欧盟数据保护委员会（EDPB）和欧洲数据保护监督机构（EDPS）发表联合信函，表示支持欧盟委员会提出的关于简化《通用数据保护条例》（GDPR）记录保存义务的提案。该提案建议将GDPR第30条第5款项下的豁免范围从目前适用于员工人数少于250人的企业或组织，扩大至员工人数少于500人的中小型公司和非营利组织；修改规定在数据处理“可能对自然人的权利和自由造成高风险”的情形下不得适用豁免条款；拟删除某些目前作为豁免限制条件的例外规定，特别是删除与“偶发性处理”相关的表述，并可能删除与“特殊类别数据处理”相关的表述；若为履行就业、社会保障或社会救助法律义务而处理特殊类别的个人数据，无须承担记录此类处理活动的义务。（信息来源：智法专研）

     （十四）以色列隐私保护局就关于“隐私保护法对AI系统的适用性”的指南草案征求意见

      5月8日，以色列隐私保护局发布关于“隐私保护法对AI系统的适用性”的指南草案，并公开征求公众意见。该草案系统阐释了隐私保护法核心原则在AI领域的适用性，强调该法律适用于AI开发和部署的所有阶段。草案提出了多项要求：一是更高的披露义务。组织必须明确告知数据主体AI处理的目的、方法及访问的数据类型，且须在个人与非人类“机器人”交互时通知个人；二是问责机制。组织应指定专员管理与AI相关的隐私问题，以进行数据保护影响评估并制定生成式AI使用策略；三是数据安全要求。在履行数据安全职责时，组织必须应对与AI相关的特定风险；四是数据主体权利。隐私权延伸至AI和AI生成的数据；五是在线个人数据挖掘的限制。未经数据主体知情同意，禁止挖掘在线可用于AI训练的个人数据。（信息来源：Lexology网）

      三、网安事件聚焦

      （十五）巴基斯坦对印度发动大规模网络攻击

      5月10日，巴基斯坦媒体称，巴基斯坦对印度发动该地区历史上规模最大、最复杂的网络攻击，摧毁了印度数字基础设施的关键要素，主要成果包括：印度能源行业的十个数据采集与监控系统被成功攻破；1744台网络服务器被彻底摧毁；多个消费者电力门户网站无法访问；铁路ICT基础设施、德里天然气配电公司和克什米尔电力配电公司的关键服务均遭到破坏；超120台路由器和1310台IP摄像头遭到破坏；13个政府和110个企业网站被黑；国防和敏感数据被窃取和泄露；超2500个监控摄像头被攻破；三大知名新闻频道遭破坏和中断。目前，印度方面尚未证明此消息的真实性。此外，巴基斯坦安全部门消息人士称，巴基斯坦通过网络攻击导致印度70%的电网瘫痪。印度新闻信息局则驳斥称此消息纯属谣言，并敦促公众保持警惕。（信息来源：奇安网情局）

      （十六）APT组织WaterPlum升级OtterCookie恶意软件，攻击全球金融机构

      5月12日消息，研究人员发现，APT组织WaterPlum正通过OtterCookie的升级版恶意软件针对全球金融机构、加密货币平台和金融科技公司等发起攻击。该恶意软件是WaterPlum组织此前投放的BeaverTail和InvisibleFerret等恶意负载的后续变种，历经多次迭代，已发展为适配Windows和macOS系统的多模块窃密程序。目前v4版本新增了凭证窃取与沙箱检测功能。其中一个窃密模块专门针对Google Chrome登录凭证，利用Windows数据保护API解密并提取密码。另一个窃密模块则专注于浏览器存储的钱包数据，收集与MetaMask、Google Chrome、Brave以及macOS钥匙串相关的文件。（信息来源：SecurityOnline网）

     （十七）黑客组织Scattered Spider针对云服务平台展开攻击

      5月9日消息，网络安全研究人员发现知名黑客组织Scattered Spider正针对Klaviyo、HubSpot和Pure Storage等主流云服务平台展开新一轮攻击。该组织通过高度仿真的钓鱼网站（尤其针对Okta认证页面）窃取凭证，采用动态DNS域名（如klv1.it[.]com）规避检测，单个钓鱼站点存活时间缩短至5—30分钟，部署升级版Spectre RAT木马，采用XOR多层混淆算法并支持13种控制指令。目前已确认耐克、T-Mobile等30余家知名企业遭攻击。安全专家建议相关企业重点核查卸载指令和新增C2服务器等特征的异常网络流量。（信息来源：CybersecurityNews网）

      （十八）麒麟勒索软件组织重点攻击医疗、金融等关键行业的虚拟化平台

      5月9日消息，安全公司趋势科技发现，麒麟勒索软件组织采用新型.NET加载器NETXLOADER作为核心武器，绕过常规检测将恶意载荷直接注入内存。典型攻击链始于网络钓鱼，通过NETXLOADER植入SmokeLoader模块，最终部署麒麟勒索软件。其重点攻击医疗、金融等关键行业的VMware ESXi虚拟化平台。麒麟勒索软件组织于4月攻击了72家机构，较年初增长超200%，美国、印度等国成为重灾区。（信息来源：SecurityLab网）

      （十九）美多部门就针对美国石油和天然气行业的网络攻击发出警告

      5月7日消息，美网络安全与基础设施安全局（CISA）、联邦调查局（FBI）、环境保护局（EPA）和能源部（DoE）就针对美国石油和天然气行业的网络攻击联合发出警告。CISA强调，一些技术不太复杂的攻击者正瞄准美国关键基础设施部门（尤其是能源和交通系统）的工业控制系统/监控与数据采集系统（ICS/SCADA）发动攻击。这些攻击虽采用基本入侵技术，但关键基础设施组织网络安全环境状况不佳，可能导致服务中断甚至物理损坏。CISA、FBI、EPA和DoE敦促关键基础设施组织立即采取措施，改善网络安全态势。（信息来源：安全威胁纵横）

      （二十）LockBit勒索软件组织暗网附属管理面板遭入侵，谈判记录等被曝光

      5月7日消息，LockBit勒索软件组织暗网附属管理面板遭黑客入侵，攻击者篡改了该组织的暗网基础设施，并泄露了完整数据库，包含近6万比特币地址、4422条受害者谈判记录及75名成员明文密码的SQL数据库。安全研究人员已确认泄露事件的真实性。目前尚不确定入侵者身份及攻击方式。（信息来源：BleepingComputer网）

      （二十一）迪奥确认发生数据泄露事件

      5月12日，法国奢侈品集团LVMH旗下品牌迪奥向用户发送短信，表示其发生数据泄露事件，有未经授权的第三方获取了迪奥持有的部分客户数据。泄露数据包括客户姓名、性别、手机号码、电子邮箱、邮寄地址、消费金额、偏好及其他该品牌收集的用户信息。但被访问数据库中不包含银行账户详情、国际银行账户号码或信用卡等财务信息。迪奥客服人员称，本次事件发生在亚洲范围，涉及的客户信息主要是在迪奥线下精品店、网站、小程序上创建账户购物时，同意使用条款、销售条款、隐私政策而收集的。迪奥提醒中国客户高度谨慎，建议对任何可疑通信保持警惕。（信息来源：极目新闻）

      （二十二）英国教育巨头培生集团遭网络攻击，数百万用户信息恐遭窃取

      5月9日消息，教育巨头培生集团发表声明承认遭网络攻击，攻击者窃取了数TB数据，包括客户信息、财务数据、支持票据和源代码，影响数百万人。培生集团称被盗数据大部分为“遗留数据”，并表示已在系统中部署额外安全措施，包括增强安全监控和身份验证。培生集团总部位于英国，是全球最大的学术出版、数字学习工具和标准化评估提供商之一。（信息来源：启明星辰安全简讯）

      四、网安风险警示

      （二十三）工信部CSTIS提醒：防范恶意VS Code扩展程序的风险

      5月9日消息，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者频繁利用伪造的VS Code扩展程序对JavaScript和Python开发者实施攻击，已造成多起企业数据泄露及系统被控事件。恶意VS Code扩展程序通过仿冒代码优化工具、智能脚本生成器等实用功能进行伪装，执行加密货币挖矿、窃取用户数据及实施远程控制。值得注意的是，该恶意扩展在激活前会智能检测调试环境与安全工具来规避分析。建议相关单位及用户立即组织排查已安装的扩展程序，限制VS Code进程的非必要外联行为，禁用可疑扩展功能。（信息来源：CSTIS平台）

     （二十四）Ubiquiti UniFi Protect摄像头存在远程代码执行漏洞

      5月8日消息，Ubiquiti UniFi Protect摄像头系统被爆存在严重远程代码执行漏洞CVE-2025-23123（CVSS评分10.0）。攻击者通过利用该漏洞，仅需接入管理网络即可完全控制摄像头设备，实现窃听监控、篡改录像或渗透内部系统。该漏洞威胁到UniFi Protect相机和其应用程序的完整性,这些应用程序广泛部署在企业和家庭监控设置中。目前厂商已发布4.75.62版本固件修复漏洞，建议用户及时更新。（信息来源：CybersecurityNews网）

      （二十五）思科多款无线控制器产品中存在满分漏洞

      5月8日消息，思科发布紧急安全公告，称其多款无线控制器产品中存在满分漏洞CVE-2025-20188（CVSS评分10.0）。该漏洞源于固件中嵌入硬编码JSON Web Token，可使未认证攻击者通过特制HTTPS请求实现任意文件上传和root权限命令执行。受影响产品包括Catalyst 9800系列无线控制器、9300/9400/9500系列交换机嵌入式控制器等。思科表示尚未发现野外利用案例，建议用户立即升级固件或临时禁用相关功能。（信息来源：SecurityLab网）

      （二十六）微软修复Azure和Power Apps四大高危漏洞

      5月9日消息，微软披露并修复影响Azure DevOps、Azure自动化、Azure存储和Power Apps的四个高危漏洞。其中最严重的CVE-2025-29813（CVSS评分10.0）存在于Azure DevOps管道中，该漏洞允许攻击者将短期作业令牌转换为长期令牌以提升权限。其他三个漏洞包括：Azure自动化服务中的权限提升漏洞CVE-2025-29827（CVSS评分9.9）、Azure存储资源提供程序中的SSRF漏洞CVE-2025-29972（CVSS评分9.9）、Power Apps中的SSRF信息泄露漏洞CVE-2025-47733（CVSS评分9.1）。尽管微软称所有漏洞已在平台层面完成修复，用户无需采取额外措施，安全专家仍建议企业加强云环境监控，防范潜在威胁。（信息来源：CybersecurityNews网）

      （二十七）WordPress OttoKit插件存在未认证权限提升漏洞

      5月6日消息，WordPress插件OttoKit（活跃安装超10万）被曝存在未认证权限提升漏洞CVE-2025-27007（CVSS评分9.8）。攻击者可利用该漏洞，仅凭管理员用户名，通过REST API创建管理员账号并完全接管网站。问题源于create_wp_connection()函数未进行权限检查，且用户认证凭证验证不充分，使得未认证攻击者能够建立连接，最终导致权限提升。该漏洞在披露后一小时内即被利用，影响营销、电商等广泛场景。建议用户立即升级至1.0.83版本。（信息来源：SecurityOnline网）