网络空间安全动态(202528期)
编者按:网安动向热讯,本期有五点值得关注:一是国家互联网信息办公室发布《国家信息化发展报告(2024年)》;二是国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司;三是工业和信息化领域人工智能安全治理标准体系建设指南发布;四是美网络司令部集成各军种项目开展联合网络武器研发;五是英政府计划禁止公共和关基企业支付勒索赎金。
数据前沿快讯,本期有三点值得关注:一是民航局连发两项数据安全标准,8月1日起正式实施;二是欧盟发布AI训练数据披露模板,要求披露训练数据来源与处理机制;三是印度推出2025年DPDP规则草案。
网安事件聚焦,本期有两方面内容建议关注:一是网络攻击威胁持续上升,对政府、国防、金融、教育等多个行业带来严重影响。APT组织Patchwork针对土耳其国防承包商发起鱼叉钓鱼攻击,该组织长期攻击中国高校;俄罗斯航空因大规模网络攻击停飞,超50个航班被迫取消;美明尼苏达州圣保罗市遭严重网络攻击;伊朗两家主要银行数据遭擦除;法国电信巨头Orange遭网络攻击致服务中断;黑客劫持亚马逊AI编程助手,植入数据擦除代码。二是外部攻击与内部安全风险叠加导致的大规模数据泄露事件层出不穷,持续引发民众对信息安全的担忧。瑞典公民及企业超1亿条敏感数据因Elasticsearch服务器配置错误遭泄露;某公募基金惊现“S级信息安全事故”,薪资数据等大规模信息被泄露;法国海军集团遭黑客勒索,军事机密泄露威胁国家安全;约会安全应用Tea遭黑客入侵,7.2万用户隐私照片泄露;安联人寿确认黑客入侵第三方CRM,140万客户数据外泄。
网安风险警示,本期有四点建议关注:一是工信部:关于防范Windows SPNEGO扩展协商安全机制远程代码执行超危漏洞的风险提示;二是知识管理平台XWiki存在SQL注入漏洞;三是美CISA警告PaperCut打印软件高危漏洞遭积极利用;四是微软研究人员发现macOS Spotlight漏洞可泄露苹果公司情报数据。
一、网安动向热讯
(一)国家互联网信息办公室发布《国家信息化发展报告(2024年)》
7月30日,《国家信息化发展报告(2024年)》(以下简称《报告》)发布会在京召开。《报告》提出,2025年是“十四五”规划收官、“十五五”规划谋篇布局之年,也是全面深化网信领域改革、推进网络强国建设的关键一年。要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,深入贯彻党的二十届三中全会精神和2025年全国两会精神,以更大力度、更实举措推进信息化发展迈上新台阶。一是坚持自立自强,加快推动网络信息技术创新和产业生态发展;二是坚持驱动引领,加快推动信息化赋能新质生产力发展;三是坚持为民惠民,加快推动信息化发展成果更多更公平惠及全民;四是坚持系统观念,加快优化完善信息化健康可持续发展的环境;五是坚持全球视野,加快推进多层次网络空间国际交流合作。(信息来源:中国新闻网)
(二)国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司
7月31日,国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司,英伟达算力芯片被曝存在严重安全问题。此前,美议员呼吁要求美出口的先进芯片必须配备“追踪定位”功能。美人工智能领域专家透露,英伟达算力芯片“追踪定位”“远程关闭”技术已成熟。为维护中国用户网络安全、数据安全,依据《网络安全法》《数据安全法》《个人信息保护法》有关规定,国家互联网信息办公室于7月31日约谈了英伟达公司,要求英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交相关证明材料。(信息来源:网信中国)
(三)工业和信息化领域人工智能安全治理标准体系建设指南发布
7月25日消息,工业和信息化部人工智能标准化技术委员会第一次成员大会在北京召开。会上,标委会发布了《工业和信息化领域人工智能安全治理标准体系建设指南(2025版)》。指南以人工智能赋能新型工业化为主线,遵循统筹发展和安全的基本原则,旨在构建工信领域人工智能安全治理体系。指南将完善人工智能标准工作的顶层设计,强化全产业链标准工作的协同性,统筹推进标准的研究、制定、实施以及国际化进程,为推动我国人工智能产业高质量发展提供坚实技术支撑。下一步,标委会将深入推进人工智能安全治理标准体系建设,加大在治理能力、基础安全、网络安全、数据安全、算法模型安全、应用安全、赋能安全等重点领域的标准研制力度,积极参与国际标准法规协调制定,推进关键标准的宣贯实施。(信息来源:工信微报)
(四)关于开展“清朗·整治‘自媒体’发布不实信息”专项行动的通知
7月24日,中央网信办在全国范围内启动为期2个月的“清朗·整治‘自媒体’发布不实信息”专项行动。重点整治四类突出问题:一是恶意蹭炒误导公众问题。涉热点舆情或公众人物时,假冒当事人等蹭炒热点。涉重大舆情、突发事件时,无中生有,干扰舆论。发布财经、军事、外交等重要领域信息时,胡编乱造,误导认知。二是多种手段歪曲事实问题。如利用人工智能生成合成技术欺骗公众,对旧闻旧事恶意炒作,借助网络黑灰产等渠道操纵榜单。三是不做标注以假乱真问题。对涉及国内外时事、公共政策、社会事件等信息,未标注或未准确标注信息来源,发布无实际依据内容,标注错误信息来源或矩阵账号互相引用标注,导致公众无法追溯真实来源。四是专业领域信息不实问题。不进行专业资质认证歪曲解读专业内容。(信息来源:中国政府网)
(五)“两高一部”发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》
7月28日消息,最高人民法院、最高人民检察院、公安部联合召开新闻发布会,发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》和依法惩治帮助信息网络犯罪活动及相关犯罪典型案例,并回答记者提问。《意见》共五部分,十六条,就办理帮信犯罪及其关联犯罪的总体要求、依法认定帮信犯罪、准确把握刑事政策、坚持综合治理等问题进行了全面系统规定。(信息来源:最高人民法院)
(六)《政务大模型应用安全规范》技术文件公开征求意见
7月28日消息,由国家工业信息安全发展研究中心、中国电子技术标准化研究院、国家信息技术安全研究中心等单位起草的《政务大模型应用安全规范》技术文件面向社会公开征求意见。本文件规定了政务大模型应用的安全要求,包括模型选用、模型部署、模型运行等,适用于政务大模型的选用、部署及运行活动,可为政务大模型应用安全提供指导。意见或建议反馈截止时间为8月11日24:00前。(信息来源:全国网安标委)
(七)《网络安全技术 工业控制系统网络安全防护能力成熟度模型》等5项国家标准公开征求意见
7月29日消息,全国网络安全标准化技术委员会就《网络安全技术 工业控制系统网络安全防护能力成熟度模型》《网络安全技术 嵌入式操作系统安全规范》《网络安全技术 操作系统安全技术规范》《网络安全技术 移动互联网未成年人模式技术要求》《数据安全技术 未成年人产品和服务个人信息保护要求》5项国家标准征求意见稿面向社会公开征求意见。意见或建议反馈截止日期为9月27日24:00前。(信息来源:全国网安标委)
(八)《网络安全标准实践指南——扫码点餐个人信息保护要求》公开征求意见
7月24日消息,全国网安标委就《网络安全标准实践指南——扫码点餐个人信息保护要求(征求意见稿)》面向社会公开征求意见。该指南提出了扫码点餐服务个人信息处理的基本原则,规定了总体要求和个人信息保护要求,给出了扫码点餐服务各方责任范围和必要个人信息范围,适用于餐饮商家规范扫码点餐服务个人信息处理活动,也适用于第三方评估机构等参考。扫码点餐服务应遵循合法、正当、必要和诚信原则;公开、透明原则;目的明确原则和最小必要原则。意见反馈截止时间为8月4日前。(信息来源:全国网安标委)
(九)关于发布《网络安全标准实践指南——摇一摇广告触发行为安全要求》的通知
7月26日消息,全国网络安全标准化技术委员会发布《网络安全标准实践指南——摇一摇广告触发行为安全要求》的通知。《指南》规定了移动智能终端摇一摇广告个人权益保障的基本原则和触发行为安全要求,适用于规范摇一摇广告的展示和触发行为,也可为移动智能终端、App、第三方SDK等个人信息处理者或评估机构提供参考。App运营者和第三方广告SDK运营者提供摇一摇广告触发及相关功能时,应符合第三方广告SDK运营者设置显著的摇动手机图标、动画,或者包含“摇动”等文字引导语清晰明确用户需要执行的操作;第三方广告SDK运营者清晰明确说明用户在执行相应的操作或完成指定的动作后可能引发的结果;App运营者自行提供摇一摇广告的,遵守对第三方广告SDK运营者提出的要求等要求。(信息来源:数安行)
(十)美网络司令部集成各军种项目开展联合网络武器研发
7月29日消息,根据美网络司令部最新2026财年预算申请文件,美网络司令部拟于2025财年、2026财年向“网络武器和工具”项目拨款5.35亿美元,以开发定制软件和硬件解决方案,使美网络部队能够在“持续交战”战略指导下,访问和影响关键的外国对手网络空间系统。“网络武器和工具”项目2025财年涉及到五个分项目:即网络武器有效载荷;联合网络武器通用服务;联合开发环境;数据管理和网络武器工具/硬目标。(信息来源:奇安网情局)
(十一)美网络司令部举行“网络旗帜25-2”多国网络演习
7月26日消息,美网络司令部在弗吉尼亚州萨福克联合作战中心启动“网络旗帜25-2”多国网络演习。此次演习为期1个月,汇集了20多个美国伙伴国,旨在加强网络防御行动能力。演习期间,各团队在模拟真实网络威胁的环境中工作,包括供应链入侵、勒索软件和零日攻击等,并专注于检测、隔离和清除网络上的对手存在。此次演习以前期努力为基础,寻求超越传统的“五眼”联盟拓展多国合作,汇聚全球各地的网络作战人员,通过分享经验教训和最佳实践提高集体网络防御能力。(信息来源:奇安网情局)
(十二)英政府计划禁止公共和关基企业支付勒索赎金
7月27日消息,英内政部与国家网络安全中心宣布一项提案,计划禁止支付勒索软件赎金,以打击网络犯罪并保护公众安全。根据该提案,英公共部门机构以及关键国家基础设施的运营方,包括国民健康服务、地方政府和学校等,将被禁止支付与勒索软件相关的赎金。此外,其他计划支付赎金的企业也被要求提前通知英国政府,以便政府在支付前为其提供指导和支持。英政府表示,此举旨在打击网络犯罪分子的商业模式,增强国家安全,并保护关键服务和企业免受干扰。(信息来源:IT之家)
二、数据前沿快讯
(十三)民航局连发两项数据安全标准,8月1日起正式实施
7月30日消息,中国民用航空局发布《民航领域数据分类分级要求》与《民用航空数据安全监测预警技术要求》两项行业标准,并将于2025年8月1日起正式实施。两份标准紧密围绕民航领域数据安全,从数据分类分级的基础规范到数据安全监测预警的技术操作,构建起较为完善的防护体系,为行业数据处理者提供了全面、细致且具有实操性的指导,对于推动民航行业数字化转型、保障数据安全、维护行业稳定发展具有重要意义。(信息来源:中国民用航空局)
(十四)欧盟发布AI训练数据披露模板,要求披露训练数据来源与处理机制
7月24日消息,欧盟委员会发布《通用人工智能模型训练内容公共摘要说明与模板》,以落实《人工智能法案》(AI Act)第53条第1款第(d)项对训练数据透明度的要求。该模板是AI Act下首个针对通用人工智能(GPAI)模型训练内容披露的官方实施指引,将于2025年8月2日起正式适用。GPAI模型提供者需按照欧盟AI办公室制定的标准化模板,向公众披露其模型训练数据的摘要信息。模板由以下三部分构成:基本信息、数据来源和数据处理机制。(信息来源:欧盟委员会)
(十五)印度推出2025年DPDP规则草案
7月28日消息,印度推出2025年数字个人数据保护(DPDP)规则草案,旨在平衡个人权利与合法数据使用。草案提出,在能力建设与公众意识方面,通过网络安全意识月、“CyberShakti计划”等活动普及安全实践,聚焦女性网络安全人才培养。在关键基础设施保护上,印度计算机应急响应小组(CERT-In)和印度国家关键信息基础设施保护中心加大审计监控力度。在应对网络威胁方面,CERT-In制定网络危机管理计划,发布指导文件助力各级机构应对攻击。国家层面由网络安全协调员统筹,依托立法框架强化跨领域协作,全面提升网络安全韧性。(信息来源:Opengov Asia网)
三、网安事件聚焦
(十六)APT组织Patchwork针对土耳其国防承包商发起鱼叉钓鱼攻击,该组织长期攻击中国高校
7月28日消息,网络安全威胁组织Patchwork被指针对土耳其国防承包商发起新一轮鱼叉钓鱼攻击,旨在窃取战略情报。Arctic Wolf实验室技术报告指出,攻击者通过伪装成会议邀请函的恶意LNK文件实施五阶段攻击链,目标锁定对无人载具系统感兴趣的机构,以及某未具名的精确制导导弹系统制造商。Patchwork(亦名APT-C-09、APT-Q-36、白象组织等)被评估为印度背景的国家级黑客组织,该组织自2009年活跃至今,长期针对中国、巴基斯坦等南亚国家发动攻击。2025年初至今,其持续攻击中国高校。(信息来源:TheHackerNews网)
(十七)俄罗斯航空因大规模网络攻击停飞,超50个航班被迫取消
7月29日消息,俄罗斯航空公司被迫取消超过54个往返航班,严重影响国内出行。俄检察机关已确认航空公司业务中断系黑客攻击所致,并已启动刑事调查。俄航表示,技术人员正在努力将影响降到最低,并尽快恢复正常运营。名为“沉默的乌鸦”的黑客组织声明,称此次攻击行动是与“白俄罗斯网络游击队”联合实施。乌克兰官方目前尚未对此进行回应。“沉默的乌鸦”此前曾声称对俄罗斯多个关键目标发动攻击,包括房地产数据库、国有电信公司和莫斯科市政府IT部门等。(信息来源:安全内参)
(十八)美明尼苏达州圣保罗市遭严重网络攻击
7月29日消息,美明尼苏达州首府圣保罗市遭严重网络攻击,导致全市数字服务和关键系统大范围中断,在线支付功能瘫痪,图书馆、娱乐中心等服务暂时无法使用,部分市政服务因系统访问受限出现延迟或中断,但紧急服务未受波及。圣保罗市官员表示,目前正与当地、州及联邦合作伙伴紧密协作,全力调查攻击源头并恢复全部功能。由于事件规模和复杂性超出内部及商业应对能力,圣保罗市29日向州政府请求支援。明尼苏达州州长签署紧急行政命令,启动国民警卫队网络部队提供网络保护支持,以协助解决危机并确保重要市政服务持续运行。(信息来源:BleepingComputer网)
(十九)伊朗两家主要银行数据遭擦除
7月25日消息,一位高级工程师透露,在为期12天的以伊战争期间发生的一次网络攻击,彻底摧毁了伊朗塞帕银行和帕萨加德银行的数据,导致全国范围内的服务中断,并迫使伊朗银行软件供应商Dotin启动紧急响应流程。伊朗最大的加密货币交易所Nobitex也确认,在战争期间遭网络攻击,超9000万美元被窃取。亲以色列黑客组织“掠夺者麻雀”声称对此次攻击负责,该组织曾攻击伊朗燃料基础设施。(信息来源:安全内参)
(二十)法国电信巨头Orange遭网络攻击致服务中断
7月29日,法国电信运营商Orange安全部门检测到其信息系统遭网络攻击,随即将受感染系统与网络主体隔离,此举导致法国本土部分商业客户及消费者服务的管理平台出现运营中断。Orange作为服务欧洲、非洲及中东2.94亿用户的行业巨头,通过Orange Business品牌为跨国企业提供IT服务。Orange强调,目前调查尚未发现客户数据或企业敏感信息被盗的证据,已向执法部门报案并提起诉讼。(信息来源:BleepingComputer网)
(二十一)黑客劫持亚马逊AI编程助手,植入数据擦除代码
7月28日消息,研究人员发现黑客在亚马逊生成式AI编程助手Amazon Q Developer的Visual Studio Code扩展中植入了数据擦除代码。该免费扩展通过AI帮助开发者编写代码、调试、创建文档和自定义配置,在Microsoft Visual Studio Code市场的安装量已近百万。研究人员表示,攻击者的目的并非造成实际破坏,而是警示AI编码工具的安全风险。亚马逊随后启动调查并修复了Amazon Q的VS Code扩展问题,阻止了针对VS Code版Amazon Q扩展的代码篡改企图,确认客户资源未受影响,建议用户升级版本加以防范。(信息来源:HackerNews网)
(二十二)瑞典公民及企业超1亿条敏感数据因Elasticsearch服务器配置错误遭泄露
7月25日消息,研究人员发现一个无需身份验证的公开数据库暴露了瑞典公民及企业超过1亿条敏感记录,时间跨度覆盖2019至2024年,数据总量达200GB以上。泄露数据包含姓名、出生日期、身份证号、国内外地址轨迹、移民信息、债务记录及连续五年的所得税数据等。该数据库的异常暴露源于Elasticsearch集群的权限控制失效。研究人员推测,数据可能通过合法商业许可提供给下游合作伙伴,却因运维疏忽导致服务器向公共互联网完全开放访问。(信息来源:CyberNews网)
(二十三)某公募基金惊现“S级信息安全事故”,薪资数据等大规模信息被泄露
7月25日消息,一则微博爆料声称某公募基金出现S级信息安全事故,该基金财务部及固收二部共19名员工的核心隐私数据及工薪资明细被大规模泄露,核心岗位财务、固收、IT等部门多人薪酬曝光,数据详尽。企业员工工号、登录账号、姓名、职级、月薪(精确到分)等敏感信息被外传,堪称个人隐私与商业机密的“双重泄露”。此次事件暴露出公募基金在数据安全管理上存在重大漏洞:一是权限管控失效;二是敏感数据未脱敏;三是内部传输缺乏加密。(信息来源:FreeBuf网)
(二十四)法国海军集团遭黑客勒索,军事机密泄露威胁国家安全
7月26日消息,法国国防工业巨头海军集团陷入重大网络安全危机。身份不明的攻击者在数据泄露论坛上宣称入侵该公司,并威胁泄露涉及军舰作战管理系统(CMS)的敏感数据。攻击者声称获取的数据包括CMS源代码、技术文档、开发人员虚拟机访问权限及保密通信记录,并附上13GB数据样本(内含合同文件、疑似CMS内部信息及2003年潜艇监控系统视频)作为凭证。此次事件对法国国防安全构成技术层面(潜艇与护卫舰CMS源代码的泄露可能削弱法军战术优势)和战略层面(敏感文档的扩散或被敌对势力用于逆向工程或网络攻击)双重风险。(信息来源:CyberNews网)
(二十五)约会安全应用Tea遭黑客入侵,7.2万用户隐私照片泄露
7月26日消息,主打女性用户安全的约会评论应用Tea确认发生重大数据泄露事件,超7.2万张用户照片被黑客获取并传播。泄露数据包含两类敏感图像:即1.3万张用于账户验证的自拍及身份证件照和5.9万张来自用户发布内容、评论和私信图片。此次事件源于4chan用户发现并传播了暴露的数据库,黑客通过未明确说明的漏洞获取了存储用户照片的后台资源。Tea公司回应称已紧急聘请第三方网络安全团队,24小时推进系统加固,并宣称已实施额外安全措施且修复数据问题,呼吁用户尽快更新。(信息来源:启明星辰)
(二十六)安联人寿确认黑客入侵第三方CRM,140万客户数据外泄
7月28日消息,安联人寿确认黑客入侵第三方云客户关系管理系统,导致140万客户个人数据泄露。安联人寿表示已采取行动遏制并减轻事件影响,同时通知美联邦调查局,目前尚无证据表明其内部网络或核心系统(包括保单管理系统)遭入侵,安联人寿已通知受影响个人并提供专项支持。此次事件疑似与黑客组织ShinyHunters有关,该组织以出售窃取自大型机构的数据而闻名,此前受害者包括Tokopedia、微软、桑坦德银行、Ticketmaster及AT&T等。(信息来源:SecurityAffairs网)
三、网安风险警示
(二十七)工信部:关于防范Windows SPNEGO扩展协商安全机制远程代码执行超危漏洞的风险提示
7月25日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,Windows SPNEGO扩展协商(NEGOEX)安全机制存在远程代码执行超危漏洞CVE-2025-47981。NEGOEX是微软提供的一种认证协议安全机制,用于网络通信中的身份验证协商。由于其存在堆缓冲溢出问题,未经身份验证的攻击者可以通过向服务器发送恶意消息利用该漏洞,在无需用户交互的情况下远程执行代码,Windows 10/11,Windows Server 2008/2012/2016/2019/2022/2025等均受影响。微软官方已修复漏洞并发布安全公告,建议相关单位和用户尽快排查。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十八)知识管理平台XWiki存在SQL注入漏洞
7月25日消息,XWiki getdeleteddocuments.vm存在SQL注入漏洞CVE-2025-32429(CVSS评分9.8),攻击者可通过getdeleteddocuments.vm的sort参数注入SQL语句操纵数据库查询,导致数据泄露、数据篡改或拒绝服务等。XWiki Platform是一款基于Java的企业级开源Wiki与知识管理平台,支持结构化数据、脚本编写、权限管理,并可作为协作门户或文档中心运行。目前该漏洞POC已在互联网上公开,鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十九)美CISA警告PaperCut打印软件高危漏洞遭积极利用
7月28日消息,美网络安全与基础设施安全局(CISA)发出紧急警告,称攻击者正利用PaperCut NG/MF打印管理软件中的高危漏洞CVE-2023-2533发起跨站点请求伪造攻击,通过诱骗具有管理员权限的用户点击恶意链接,即可更改系统安全设置或执行任意代码。该漏洞于2023年6月被修补,但目前仍被攻击者积极利用,PaperCut软件在全球拥有庞大用户基础,覆盖超过7万个组织的1亿多用户,涉及教育、企业等多领域。CISA未披露当前攻击的具体细节,但已将该漏洞纳入其已知被利用漏洞目录,并要求联邦民事行政部门在2025年8月18日前完成系统修补。(信息来源:BleepingComputer网)
(三十)微软研究人员发现macOS Spotlight漏洞可泄露苹果公司情报数据
7月29日消息,微软研究人员发现攻击者可利用已修复的一个macOS漏洞CVE-2025-31199绕过“透明性、同意和控制(TCC)”安全检查并窃取敏感的用户信息,如“苹果情报”相关信息以及和iCloud账号相关联设备的远程信息。这些信息包括但不限于照片和视频元数据、精确的地理位置数据、人脸和人类可识别数据等。TCC是一种安全技术和隐私框架,通过为macOS提供对苹果设备上各种应用程序对个人数据的访问和使用的控制,阻止应用程序访问用户的私人数据。苹果已在发布的macOS Sequoia 15.4中修复上述漏洞。(信息来源:代码卫士)
