网络空间安全动态(202524期)
编者按:网安动向热讯,本期有八点值得关注:一是国家网信办发布《网信部门行政处罚裁量权基准适用规定》;二是《治安管理处罚法》修订通过,违规出售或提供个人信息将面临处罚;三是《关键信息基础设施商用密码使用管理规定》全文公布;四是北约成员国一致同意未来十年国防支出提升至GDP 5%,其中1.5%用于网络安全;五是加拿大政府以所谓“国家安全”为由命令海康威视关闭在加业务;六是德国数据保护机构要求苹果谷歌下架DeepSeek应用;七是美国会推出《禁用敌对人工智能法案》,旨在隔离外国对手人工智能技术对美联邦政府构成的安全风险;八是美参议院否决特朗普AI监管禁令。
数据前沿快讯,本期有三点值得关注:一是国家网信办发布《数据出境安全评估申报指南(第三版)》;二是欧盟委员会发布《执法部门有效合法获取数据路线图》;三是越南通过《个人数据保护法》,禁止个人数据交易。
网安事件聚焦,本期有两方面内容建议关注:一是地缘冲突引发的网络攻击活动持续,金融机构和关键基础设施依然是攻击者的重点目标。伊朗APT组织对以色列科学家实施AI钓鱼攻击;APT组织Blind Eagle利用Proton66针对哥伦比亚金融机构发起攻击;挪威一处水坝重要运营系统遭黑客入侵,水流和阀门系统被远程操控。二是数据泄露事件高发频发,涉及食品零售、政府机构和企业等多个领域。全球食品零售巨头确认发生数据泄露事件,影响超220万人;黑客组织称从美联邦监狱局窃取320GB的敏感数据;巴黎迪士尼乐园发生数据泄露,64GB机密文件被曝光;瑞士苏黎世非营利组织遭勒索软件攻击,联邦数据面临泄露风险。
网安风险警示,本期有五点建议关注:一是思科称身份服务引擎及被动身份连接器存在两个未认证的远程代码执行漏洞;二是Gogs远程命令注入漏洞安全风险通告;三是美CISA将Citrix NetScaler漏洞纳入已知被利用漏洞目录;四是WinRAR目录穿越漏洞安全风险通告;五是兄弟等品牌在内的742款打印机存在漏洞。
一、网安动向热讯
(一)国家网信办发布《网信部门行政处罚裁量权基准适用规定》
6月27日消息,国家互联网信息办公室发布《网信部门行政处罚裁量权基准适用规定》,自2025年8月1日起施行。《规定》明确,行政处罚裁量权基准是指网信部门在实施行政处罚时,按照裁量涉及的违法行为的事实、性质、情节、社会危害程度、当事人主观过错等因素,对法律、法规、规章中的原则性规定或者具有一定弹性的执法权限、裁量幅度等内容进行细化量化而形成的具体执法尺度和标准。《规定》提出,网信部门行政处罚裁量权基准划分为不予处罚、减轻处罚、从轻处罚、一般处罚、从重处罚等裁量阶次。《规定》明确,省、自治区、直辖市和设区的市、自治州网信部门可以结合工作实际制定本行政区域内的行政处罚裁量权基准。上级网信部门应当通过行政执法情况检查、行政执法案卷评查等方式,对下级网信部门行使行政处罚裁量权工作进行监督。(信息来源:网信中国)
(二)《治安管理处罚法》修订通过,违规出售或提供个人信息将面临处罚
6月27日,十四届全国人大常委会第十六次会议表决通过治安管理处罚法修订草案。新修订的治安管理处罚法共6章144条,包括总则、处罚的种类和适用、违反治安管理的行为和处罚、处罚程序、执法监督、附则,自2026年1月1日起施行。此次修订把组织、领导传销活动;以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉,损害社会公共利益;以抢控驾驶操纵装置等方式干扰公共交通工具正常行驶等列入应处罚行为,回应了近年来出现的新型社会治安问题。还将虐待所监护、看护的幼老病残人员,违反国家有关规定向他人出售或者提供公民个人信息等行为列为侵犯人身权利、财产权利的行为并给予处罚。(信息来源:新华社)
(三)《关键信息基础设施商用密码使用管理规定》全文公布
6月27日消息,国家密码管理局、国家互联网信息办公室和公安部联合发布第5号令,公布《关键信息基础设施商用密码使用管理规定》,自2025年8月1日起正式实施。《规定》共25条。主要内容包括:规定适用范围,明确管理部门职责,明确保护工作部门职责,明确运营者总体责任,明确商用密码使用具体要求,明确监督检查及法律责任等。《规定》第四条明确,关键信息基础设施发生涉及商用密码的重大网络安全事件或者发现涉及商用密码的重大网络安全威胁时,保护工作部门应当及时向国家密码管理部门、国家网信部门、国务院公安部门报告,指导运营者开展应急处置,必要时开展商用密码应用安全性评估。第十条明确,关键信息基础设施应当按照国家数据安全保护、个人信息保护有关要求,使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。(信息来源:国家密码管理局)
(四)北约成员国一致同意未来十年国防支出提升至GDP 5%,其中1.5%用于网络安全
6月26日消息,在海牙举行的北约峰会上,成员国一致同意未来十年内将国防开支提高至本国GDP的5%,其中3.5%将用于传统核心防务,其余1.5%将涵盖网络安全、物流与供应链弹性等“间接国防”支出,会议首次将网络安全系统纳入扩大的国防预算范畴。北约成员国表示,此举旨在应对俄乌战争以及中国在全球范围内的系统性挑战。北约秘书长马克·吕特表示,安全早已超越传统战场,技术、网络等成为关键领域。我外交部发言人郭嘉昆表示,北约有关人士渲染国际地区紧张局势、诋毁中国正常军力建设,无非是为北约大幅增加军费、肆意越界扩权、图谋东进亚太寻找借口。中方敦促北约纠正错误的对华认知,停止操弄涉华议题。(信息来源:环球时报)
(五)加拿大政府以所谓“国家安全”为由命令海康威视关闭在加业务
6月27日,加拿大政府正式命令中国视频监控制造商海康威视停止在加运营,理由是出于国家安全考虑。此项禁令不仅禁止该公司在加拿大继续开展业务,还要求加拿大政府机构不得采购其设备,并对现有部署进行彻查,最终将予以拆除。加拿大工业部长梅拉妮·若利表示,此举基于安全和情报机构经过多轮审查所提供的信息,是对关键基础设施潜在风险的防范措施。(信息来源:光明网)
(六)德国数据保护机构要求苹果谷歌下架DeepSeek应用
6月27日消息,德国数据保护专员梅克·坎普发布声明,要求苹果公司和谷歌公司从其在德国的应用商店下架中国公司研发的AI大语言模型DeepSeek应用,理由是该应用涉嫌将用户个人数据非法传输至中国。谷歌公司表示已收到通知并正在评估,苹果公司则暂未做出回应。DeepSeek方面也未对媒体的置评请求作出答复。德国当局并未设定具体的处理期限,但此举可能对DeepSeek在欧洲市场的运营造成深远影响。(信息来源:环球网)
(七)美国会推出《禁用敌对人工智能法案》,旨在隔离外国对手人工智能技术对美联邦政府构成的安全风险
6月26日消息,美国会两党议员共同提出《禁用敌对人工智能法案》,旨在隔离外国对手人工智能技术对美联邦政府构成的安全风险。该法案的核心是要求联邦采购安全委员会创建一个“联邦敌对人工智能清单”,列出由特定国家等外国对手控制的人工智能公司及产品,并明确禁止美国联邦机构采购或使用清单上的系统。法案以DeepSeek为例指出了数据安全风险。该清单需在法案颁布后60天内制定并定期更新,同时规定了用于研究或国家安全等目的的有限豁免条件。此举被视为美国将供应链安全审查模式延伸至人工智能领域的最新举措。(信息来源:启元洞见)
(八)美参议院否决特朗普AI监管禁令
7月1日,美参议院以99票赞成,1票反对的压倒性优势,将“在未来十年禁止各州对AI实施监管”的条款从特朗普力推的“大美丽”法案中移除。“大美丽”法案包含多项条款,其中有一项为“在未来十年内禁止各州对人工智能实施监管”的条款,提出未来十年内将实行“州级人工智能监管冻结期”,各州及地方政府在此期间将被全面禁止制定、执行针对人工智能模型、系统或自动化决策技术的特定法规。微软、OpenAI及谷歌等科技巨头曾大力游说支持实施AI监管禁令,其核心论点是联邦统一监管能够有效降低企业合规成本,避免分散立法抑制技术创新,以此巩固美国在全球AI竞争中的领先地位。此次参议院的否决决定意味着,至少在短期内,AI监管将呈现更加分散化的格局,各州可依据本地需求制定差异化规则,对科技资本过度扩张产生有效制衡。(信息来源:赛博研究院)
(九)欧盟发布《欧盟2024网络安全指数》报告
6月26日消息,欧盟发布《欧盟2024网络安全指数》相关报告。欧盟网络安全指数(EU-CSI)是欧盟网络安全局(ENISA)与成员国合作开发的工具,用于描述成员国和欧盟的网络安全态势。EU-CSI充分利用现有数据和信息,深入分析各成员国的网络安全成熟度和能力,同时帮助发现成员国之间相互学习的机会,还可作为定量和定性评估NIS2指令第18条规定的整个欧盟网络安全能力和资源成熟度的基础。EU-CSI所包含的数据收集自成员国相关当局、根据适用法律框架向ENISA报告的数据(如事件报告)、ENISA的《网络安全威胁状况报告》以及ENISA和欧盟委员会的其他出版物。(信息来源:天极智库)
(十)伊朗立法禁止使用“星链”互联网服务,违者可能面临监禁或鞭刑
6月29日消息,伊朗伊斯兰议会已通过一项新立法,对未经许可使用电子通讯工具,包括使用马斯克旗下SpaceX公司运营的“星链”卫星互联网服务将被定为犯罪行为,违者可能面临罚款、鞭刑或最高两年的监禁,伊朗担心“星链”卫星联网服务可能被以色列间谍利用。该法律共包含九条内容,对一系列被视为威胁国家安全的行为将进行严厉处罚。根据该法律,任何与以色列或其他敌对国家的“情报或行动合作”都将被视为犯罪,可判处死刑。此外,若个人参与生产、运输、使用致命或非常规武器、军用级无人机或机器人、实施网络攻击或破坏关键基础设施,且其行为意图协助敌对实体等行为,同样可能被判死刑。(信息来源:环球网)
二、数据前沿快讯
(十一)国家网信办发布《数据出境安全评估申报指南(第三版)》
6月27日消息,为指导和帮助数据处理者规范有序申报数据出境安全评估,国家互联网信息办公室编制了《数据出境安全评估申报指南(第三版)》,对数据处理者申报数据出境安全评估需要提交的相关材料进行了优化简化,明确数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容。数据处理者因业务需要向境外提供重要数据和个人信息,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》和《促进和规范数据跨境流动规定》,按照申报指南申报数据出境安全评估。评估结果有效期届满,符合申请延长评估结果有效期条件的,数据处理者可以在有效期届满前60个工作日内提出延长评估结果有效期申请。数据处理者可以通过线上方式申报。(信息来源:网信中国)
(十二)欧盟委员会发布《执法部门有效合法获取数据路线图》
6月28日消息,欧盟委员会发布《执法部门有效合法获取数据路线图》,阐述欧盟执法部门合法有效获取数据的前进方向。欧盟委员会指出,当前执法部门获取关键刑事数据时面临五大现实困境:数据时效性困境;跨境法律冲突困境;数字取证技术困境;数据加密困境和数据处理能力困境。鉴于当前85%的刑事调查均依赖电子证据,执法部门亟需构建现代化工具体系与法律框架,以在充分保障基本权利的前提下实现数据合法获取。路线图聚焦六大重点领域:数据留存、合法拦截、数字取证、解码技术、标准化建设和人工智能执法应用。(信息来源:欧盟委员会)
(十三)越南通过《个人数据保护法》,禁止个人数据交易
6月26日,越南国会通过《个人数据保护法》,将于2026年1月1日起正式生效。该法禁止买卖个人数据,违反者可能面临其非法所得收入10倍的罚款,而违反跨境数据传输规定的行为则可能面临最高达上一年度收入5%的处罚。此外,该法还禁止通过滥用个人数据来破坏国家安全或公共秩序、阻碍数据保护工作、将数据保护用于非法目的、非法收集或分享数据、允许他人滥用其数据,或故意泄露、丢失或篡取个人数据等行为。(信息来源:新华社)
三、网安事件聚焦
(十四)伊朗APT组织对以色列科学家实施AI钓鱼攻击
6月27日消息,伊朗伊斯兰革命卫队支持的APT42组织针对以色列记者、网络安全专家及计算机科学家发起新一轮定向钓鱼攻击。此次攻击不仅延续了APT42一贯以社交工程为主的策略,更是首次明确利用人工智能辅助生成通信内容,大幅提升了欺骗的可信度,攻击者部署了大量伪装域名与仿真页面,甚至使用WebSocket技术实时窃取输入信息。安全机构Palo Alto Networks警告称,虽然目前尚未观察到更广泛的攻击浪潮,但APT42等组织极有可能将目标从情报人物扩展至基础设施、承包商与供应链等。(信息来源:安全内参)
(十五)APT组织Blind Eagle利用Proton66针对哥伦比亚金融机构发起攻击
6月30日消息,网络安全公司Trustwave SpiderLabs披露,长期活跃于南美洲的APT组织Blind Eagle被证实利用俄罗斯防弹托管服务Proton66,针对哥伦比亚及厄瓜多尔的金融实体发起攻击,包括Bancolombia、BBVA、Banco Caja Social和Davivienda等。该组织通过注册与Proton66关联的IP地址域名,构建一个以Visual Basic Script(VBS)文件为核心的攻击链,受害者访问伪造页面后,系统会静默下载加密恶意软件,最终部署具备键盘记录、数据窃取功能的远程访问木马。攻击者还搭建了僵尸网络控制面板,支持受感染设备管理、数据回传等典型RAT功能,形成完整的攻击闭环。(信息来源:TheHackerNews网)
(十六)挪威一处水坝重要运营系统遭黑客入侵,水流和阀门系统被远程操控
7月1日消息,挪威一处水坝重要运营系统在今年4月遭黑客入侵,攻击者掌握了最小水流控制系统的指令权限,并成功访问了水坝的阀门关闭机制,导致阀门被完全开启,直到数小时后,事件才被发现并得到遏制。该水坝是当地水资源管理和水力发电系统中的关键组成部分。此次攻击具有高度针对性,精准锁定关键控制点,如事件未及时被控制,阀门在未授权情况下完全开启,可能导致水流失控,造成洪水、基础设施损毁,甚至危及周边社区的安全,对下游造成严重影响。此次入侵事件被认为是近年来该国关键基础设施遭遇的最严重网络入侵事件之一。目前该事件已由挪威国家刑事调查局调查,相关部门正努力确认攻击者身份,并评估整体影响范围。(信息来源:安全内参)
(十七)全球食品零售巨头确认发生数据泄露事件,影响超220万人
6月30日消息,全球食品零售巨头Ahold Delhaize确认,在去年11月针对美国系统的勒索攻击中超220万人的个人身份信息(姓名、出生日期、联系方式、社保/护照/驾照号码等)、财务信息及健康信息遭泄露,目前已通知受影响人员,并提供两年的免费信用监控和身份保护服务,但拒绝评论是否涉及勒索软件或支付赎金。Ahold Delhaize在欧洲、美国及印尼运营超9400家门店,雇佣逾39.3万名员工。勒索组织INC Ransom声称已从Ahold Delhaize的系统中窃取文件样本,该组织自2023年7月开始运作,迄今已攻击超250个公共及私营实体。(信息来源:TheHackerNews网)
(十八)黑客组织称从美联邦监狱局窃取320GB的敏感数据
6月27日消息,黑客组织在热门数据泄露论坛发帖称,已入侵美联邦监狱局(BOP)服务器,并窃取大量敏感数据,包含总量超320GB的多个数据库,涉及相关人员姓名、性别、种族、注册号码、社会安全号码、医疗详情、风险因素、所在监狱、事故报告以及释放计划等诸多内容。BOP作为美执法机构,管理着美所有联邦监狱,拥有超3.5万名员工,关押着约16万名囚犯。BOP表示正在调查该事件。(信息来源:CyberNews网)
(十九)巴黎迪士尼乐园发生数据泄露,64GB机密文件被曝光
6月27日消息,勒索软件组织Anubis宣称,通过入侵与迪士尼乐园合作的第三方公司系统,成功窃取巴黎迪士尼乐园高达64GB的内部数据,包含约3.9万份游乐园工程文件,文件详细记录了“冰雪奇缘”“加勒比海盗”“巴斯光年”等热门主题游乐设施的建设与翻新计划等。截至目前,巴黎迪士尼乐园方面尚未就此事做出公开回应,也无从得知Anubis是否已索要赎金。(信息来源:TheHackerNews网)
(二十)瑞士苏黎世非营利组织遭勒索软件攻击,联邦数据面临泄露风险
7月1日消息,瑞士国家网络安全中心(NCSC)通报称,总部位于苏黎世的非营利健康基金会Radix的系统遭勒索软件组织Sarcoma攻击,约1.3TB数据被攻击者发布在暗网。Radix确认攻击发生于6月16日,目前已对所有加密数据启动备份恢复流程,但未透露具体受影响人数,并表示暂无证据表明合作伙伴敏感数据遭波及。因Radix拒绝支付赎金,勒索组织于6月29日公开全部窃取数据。NCSC称,Radix作为提供健康教育与推广服务的非营利组织,其客户包含多个联邦部门,勒索组织可能利用被盗数据发动钓鱼攻击,企图窃取密码、信用卡号等敏感信息,具体受影响单位及数据范围还在调查中。(信息来源:CyberNews网)
四、网安风险警示
(二十一)思科称身份服务引擎及被动身份连接器存在两个未认证的远程代码执行漏洞
6月29日消息,思科发布安全公告,警告其身份服务引擎(ISE)及被动身份连接器(ISE-PIC)存在两个未认证的远程代码执行漏洞CVE-2025-20281和CVE-2025-20282(CVSS评分均10.0)。其中,漏洞CVE-2025-20281是由于特定API对用户输入验证不足,未认证攻击者可构造恶意API请求,以root权限执行任意操作系统命令,影响ISE与ISE-PIC的3.3和3.4版本;漏洞CVE-2025-20282是因内部API文件校验机制缺陷,攻击者可向特权目录上传任意文件并以root权限执行,仅影响3.4版本。成功利用上述漏洞,可在无需用户交互或认证凭证的情况下完全接管设备。思科称目前尚未发现漏洞遭利用情况,但强烈建议修复。(信息来源:TheHackerNews网)
(二十二)Gogs远程命令注入漏洞安全风险通告
6月19日消息,奇安信CERT监测到官方修复Gogs远程命令注入漏洞CVE-2024-56731(CVSS评分9.9),由于在CVE-2024-39931的补丁中仅添加了对路径是否为.git目录的检查,但未对后续步骤中的符号链接进行检查,远程非特权攻击者可通过创建指向.git目录的符号链接,进而重写.git目录下的任意文件,最终实现远程命令执行,可能导致服务器失陷或数据泄露。Gogs是一款开源的自托管Git服务,提供了简单易用的Web界面,帮助用户轻松管理代码仓库,支持多种认证方式和权限管理,适用于个人开发者及团队协作。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十三)美CISA将Citrix NetScaler漏洞纳入已知被利用漏洞目录
7月1日消息,美网络安全与基础设施安全局(CISA)已将编号为CVE-2025-6543(CVSS评分9.2)的Citrix NetScaler内存溢出漏洞纳入其已知被利用漏洞目录。该漏洞源于对输入验证不足,攻击者可通过发送特制请求触发拒绝服务,导致设备进入无法正常提供服务状态。受影响设备包括配置为VPN虚拟服务器、ICA Proxy、Clientless VPN(CVPN)、RDP Proxy等系统。美CISA要求联邦机构最晚于7月21日完成修复,同时强烈建议私营企业自查并修复该漏洞,以防范攻击。(信息来源:TheHackerNews网)
(二十四)WinRAR目录穿越漏洞安全风险通告
7月1日消息,奇安信CERT监测到WinRAR目录穿越漏洞CVE-2025-6218(CVSS评分8.8)POC已公开,该漏洞存在于WinRAR处理压缩文件中文件路径的过程中。攻击者可利用精心构造的文件路径,使WinRAR进程遍历到任意目录,从而造成敏感信息泄露等危害。WinRAR是一款广泛使用的文件压缩和解压缩工具,支持多种压缩格式,包括RAR和ZIP。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十五)兄弟等品牌在内的742款打印机存在漏洞
6月30日消息,研究人员Rapid7发现,兄弟(Brother)公司的689个打印机机型以及富士胶片商业创新、理光和东芝TEC公司的53个其它机型的共计742款打印机存在安全漏洞CVE-2024-51978。Rapid7发现受影响的打印机在制造过程中,使用了基于设备序列号的定制算法生成默认密码,攻击者可利用多种方法泄露目标打印机的序列号,然后使用该算法生成默认管理员密码并登录。一旦成功登录,攻击者可能重新配置打印机、访问存储的扫描文件和读取地址簿,还可利用其它7个系列漏洞进行远程代码执行、窃取凭据并远程控制打印机。Brother表示,该漏洞无法通过固件完全修复,但已要求更改所有受影响型号的制造过程,受影响型号的用户应立即更改默认管理员密码,并应用固件更新。(信息来源:代码卫士)
