网络空间安全动态(202534期)
编者按:网安动向热讯,本期有九点值得关注:一是国家主席习近平向2025世界智能产业博览会致贺信;二是网络安全法修正草案已提请全国人大常委会会议审议,强化网络安全法律责任;三是国家网信办持续深入整治违规开展互联网新闻信息服务乱象;四是工信部等六部门联合部署开展汽车行业网络乱象专项整治行动;五是2025年国家网络安全宣传周将于9月15日至21日在全国范围举行;六是FCC宣布撤销中国信通院等多家中国实验室测试认证许可;七是美人工智能公司Anthropic禁止中国控股公司使用Claude等人工智能服务;八是美国家网络总监首次公开讲话提出实施“全国家防御”,将网络风险转给对手;九是美战争部发布实施《网络安全成熟度模型认证计划》的最终《国防联邦采购条例补充规则》。
数据前沿快讯,本期有四点值得关注:一是数据安全技术相关2项网络安全国家标准获批发布;二是全国数标委发布高质量数据集、全国一体化算力网、数据基础设施、可信数据空间等4个方向19项技术文件;三是全国一体化算力网监测调度试验验证平台正式发布;四是欧盟委员会发布欧盟-巴西数据传输充分性认定草案。
网安事件聚焦,本期有两方面内容建议关注:一是个人信息泄露事件频发,凸显了网络安全领域个人信息保护的重要性。公安网安部门依法查处迪奥(上海)公司未依法履行个人信息保护义务案;巴基斯坦政府就大量公民敏感数据泄露事件展开调查;日本情报机构PSIA遭大规模数据泄露,2.3TB敏感信息疑被窃取;美漏洞管理与网络安全公司Tenable确认其数据遭泄露。二是政府、国际组织和关键基础设施等成为网络攻击的重灾区,亟需采取防范措施。伊朗黑客组织对数十国外交机构实施网络间谍活动;全球最大轮胎制造商普利司通遭网络攻击,引发生产中断;捷豹路虎遭网络攻击,生产线紧急停摆。
网安风险警示,本期有六点建议关注:一是工信部:关于防范WinRAR路径遍历高危漏洞的风险提示;二是美CISA发布安全公告,称霍尼韦尔、三菱等关键基础设施产品存在严重漏洞;三是美CISA发布警告称TP-Link与WhatsApp漏洞遭活跃利用;四是加拿大通信公司Sangoma的FreePBX服务器存在关键零日漏洞;五是SAP S/4HANA企业资源规划软件中存在严重漏洞;六是轻量级C语言JSON解析库cJSON存在JSON解析漏洞。
一、网安动向热讯
(一)国家主席习近平向2025世界智能产业博览会致贺信
9月5日,2025世界智能产业博览会在重庆开幕,主题为“人工智能+”和“智能网联新能源汽车”,国家主席习近平致贺信。习近平指出,当前,人工智能技术加速迭代演进,正在深刻改变人类生产生活方式、重塑全球产业格局。中国高度重视人工智能的发展和治理,积极推动人工智能科技创新与产业创新深度融合,赋能经济社会高质量发展,助力提升人民群众生活品质。习近平强调,人工智能应该是造福全人类的国际公共产品。中国愿同世界各国广泛开展人工智能领域国际合作,加强发展战略、治理规则、技术标准等方面的对接协调,促进智能产业健康蓬勃发展,让智能成果更好惠及各国人民。(信息来源:新华社)
(二)网络安全法修正草案已提请全国人大常委会会议审议,强化网络安全法律责任
9月8日,网络安全法修正草案首次提请全国人大常委会会议审议。此次修改重点强化网络安全法律责任,加大对违法行为处罚力度,加强与数据安全法、个人信息保护法、行政处罚法等相关法律有机衔接,科学设置网络运行安全、网络信息安全等不同类型违法行为的法律责任。在完善不依法履行网络运行安全保护义务行为的法律责任方面,修正草案区分造成大量数据泄露、关键信息基础设施丧失局部功能等严重情形,以及造成关键信息基础设施丧失主要功能等特别严重情形,参照数据安全法有关规定,提高罚款幅度。(信息来源:新华社)
(三)国家网信办持续深入整治违规开展互联网新闻信息服务乱象
9月10日消息,国家网信办持续加强互联网新闻信息服务管理,规范网上新闻传播秩序,督促网站平台强化新闻信息内容管理,处置一批违法违规账号,并通报假冒仿冒新闻单位、违规开展新闻采编、冒用新闻栏目照片、发布虚假不实信息等部分典型案例。下一步,网信部门将持续加大违规开展互联网新闻信息服务乱象整治力度,依法从严处置问题突出的平台和账号,大力营造清朗网络空间。(信息来源:网信中国)
(四)工信部等六部门联合部署开展汽车行业网络乱象专项整治行动
9月10日消息,工业和信息化部、中央社会工作部、中央网信办、国家发展改革委等六部门近日联合印发《关于开展汽车行业网络乱象专项整治行动的通知》,决定在全国范围内开展为期3个月的汽车行业网络乱象专项整治行动。本次专项整治行动将集中整治非法牟利、夸大和虚假宣传、恶意诋毁攻击等网络乱象,提升涉汽车企业网络乱象处置质效,督促企业规范营销宣传行为,营造良好舆论环境,护航汽车产业高质量发展。《通知》要求各级部门要加强组织领导和协调联动:网络平台企业深入开展自查自纠,加强对采用生成式人工智能技术等的网络水军、“黑嘴”的甄别管控;行业协会要引导行业加强自律建设;汽车企业要深入开展自查,自觉抵制网络水军、“黑公关”“黑嘴”及“饭圈”粉丝等网络乱象;要形成合力,持续净化汽车行业网络舆论环境。(信息来源:工信微报)
(五)2025年国家网络安全宣传周将于9月15日至21日在全国范围举行
9月8日消息,2025年国家网络安全宣传周将于9月15日在昆明市开幕,主题是“网络安全为人民,网络安全靠人民——以高水平安全守护高质量发展”。网安周期间,还将举办网络安全技术高峰论坛、网络安全博览会暨网络安全产品和服务国际推介会、网络安全和信息化人才招聘会、网络安全及数字产业投资会、主题日和网络安全“七进”活动。全国网安标委标准周活动也将同期举行,将邀请国内外知名专家围绕数据安全、隐私保护、人工智能等领域标准化实践进行分享交流,以标准助力全球网络安全治理与合作。(信息来源:网信中国)
(六)FCC宣布撤销中国信通院等多家中国实验室测试认证许可
9月8日,美联邦通信委员会(FCC)在其官网宣布,撤销多家中国实验室对进入美国市场电子产品的测试认证许可。FCC要求发射无线电频率的电子设备都必须获得在美国使用的认证,此前这些实验室为进入美国市场的电子产品提供FCC安全认证。此次禁止措施涉及的中国实验室包括:重庆信息通信研究院、中国质量认证中心车联网技术服务有限公司、威凯检测技术有限公司及上海分部、莱茵技术-商检(宁波)有限公司、UL美华认证有限公司、广州赛西光电标准检测研究院有限公司、中国信息通信研究院、上海市计量测试技术研究院、中检集团南方测试股份有限公司。(信息来源:人民邮电报)
(七)美人工智能公司Anthropic禁止中国控股公司使用Claude等人工智能服务
9月5日消息,美人工智能公司Anthropic宣布将停止向中国控股公司提供Claude等人工智能服务。该限制措施是美人工智能企业首次推出此类政策,旨在防止中国军方与情报部门间接利用前沿人工智能能力。限制范围涵盖所有直接或间接由中国实体控制(占股比例超过50%)的企业,包括在境外设立的子公司、云服务中转实体或具有中国背景投资主体的组织,可能波及字节跳动、腾讯、阿里巴巴等,反映出美对中国企业在新加坡等地设立子公司、规避出口审查获取美方技术的警惕。此外,新政策同样适用于俄罗斯、伊朗和朝鲜等美“对手国家”。(信息来源:全球技术地图)
(八)美国家网络总监首次公开讲话提出实施“全国家防御”,将网络风险转给对手
9月9日,美国新任国家网络总监肖恩·凯恩克罗斯在比灵顿网络峰会上首次公开发表演讲中承诺带头采取“全国家方法”来保卫美国网络空间,表示美国必须采取更加主动和全国统一的措施来遏制针对本国关键基础设施、企业和公民的外国网络攻击,并将网络风险负担从美国人身上转移到对手身上。肖恩称美国“最具侵略性和能力的对手是中国”。他提出以下优先事项:一是重新授权即将到期的《2015年网络安全信息共享法案》;二是制定政策,推进联邦系统快速现代化,为后量子未来做好准备;三是简化网络法规和合规负担,确保私营部门能够将资源集中在有意义的行动和资产上,以优化网络防御和韧性;四是加强网络劳动力建设。(信息来源:MeriTalk网)
(九)美战争部发布实施《网络安全成熟度模型认证计划》的最终《国防联邦采购条例补充规则》
9月9日,美战争部发布最终《国防联邦采购条例补充规则》,实施《美国联邦法规》第32章第170.3节中所述的《网络安全成熟度模型认证计划》(CMMC)。最终规则使战争部采购包含CMMC评估要求,确保国防承包商妥善保护战争部的联邦合同信息和受控非机密信息。CMMC计划旨在为国防承包商和政府提供一致的方法来评估对战争部网络安全要求的遵守情况。(信息来源:美战争部网站)
(十)美CISA、NSA和19个国际合作伙伴联合发布《面向网络安全软件物料清单的共同愿景》指南
9月3日,美网络安全与基础设施安全局(CISA)、国家安全局(NSA)和19个国际合作伙伴联合发布《面向网络安全软件物料清单(SBOM)的共同愿景》指南。该指南强调SBOM在识别软件组件内风险方面的重要性,并鼓励软件生产商、购买者和运营商将其集成到安全实践中,鼓励跨国家和部门协调SBOM技术实施,以促进互操作性、降低复杂性并实现规模化采用。美CISA表示,此举标志着在加强全球软件供应链透明度和安全性方面迈出了重要一步。(信息来源:美CISA网站)
(十一)美CISA提出通用漏洞披露(CVE)项目愿景
9月10日,美CISA发布了《CISA战略重点:面向网络安全未来的通用漏洞披露(CVE)质量》路线图。路线图确定了提升该项目的优先事项,以满足全球网络安全社区的需求。CISA称其标志着CVE项目从增长时代过渡到质量时代,该战略重点将增强信任、提高响应能力并提升漏洞数据质量。CISA对CVE项目未来的愿景包括:扩大社区合作伙伴关系、政府资助、现代化、透明度和沟通、提升数据质量。(信息来源:美CISA网站)
(十二)美人工智能基础设施方面取得两项重大进展
9月4日消息,美国家科学基金会(NSF)宣布在美国人工智能基础设施方面取得两项重大进展:启动“综合数据系统与服务”(IDSS)项目,以构建国家级数据系统;遴选10个数据集纳入“国家人工智能研究资源试点”(NAIRR Pilot)。IDSS项目将资助开发和运营强大的国家级系统及相关服务,让全美研究人员能够访问、使用和共享科学数据。NAIRR Pilot涵盖激光雷达地形测绘、微生物组数据、软件供应链图等多个领域,其中多项将与NAIRR Pilot合作平台实现深度集成。(信息来源:美NSF网站)
(十三)美空军部发布《未来网络战略》
9月3日,美空军部发布《未来网络战略》,强调以更高比例采用商用技术建设具备抗攻击能力和全球快速传输的数据基础设施,核心在于以机密商业解决方案替代定制化系统,以经验证的商用现成品/技术加速部署并改善作战人员体验。在数据传输方面,战略提出整合低轨卫星、5G与暗光纤,保障在基础设施薄弱地区的安全连接,并通过多通道提升带宽弹性以保持决策优势。同时,战略明确将重点投资人工智能、高级网络安全、边缘计算和5G等技术,引入行业领先的商用现成品/技术与即服务模式,优化非关键任务的运维与成本。(信息来源:奇安网情局)
(十四)英国防部重组网络与特种作战司令部
9月1日消息,英国防部重组网络与特种作战司令部(CSOC),以增强英国维护国内外安全的能力。英CSOC在原战略司令部的基础上,将国防网络和专业作战能力统一整合,确保武装部队实时准备在陆地、海洋、空中、太空和网络空间等所有领域做出响应。英CSOC为国防部提供至关重要且具颠覆性的能力,以支持英国政府的国家安全目标,包括全天候指挥和执行英国防部和武装部队的一体化行动,保卫英国并支持北约,同时确保作战部队战备力,以随时应对全球局势。(信息来源:英国政府网站)
二、数据前沿快讯
(十五)数据安全技术相关2项网络安全国家标准获批发布
9月6日,国家市场监督管理总局、国家标准化管理委员会发布2项网络安全国家标准,将于2026年3月1日起正式实施。一是《数据安全技术 个人信息跨境处理活动安全认证要求》,规定了跨境处理个人信息时相关方遵守的基本原则、基本要求和个人信息主体权益保障要求。适用于跨境处理个人信息的相关方规范自身个人信息跨境处理活动。二是《数据安全技术 数据安全和个人信息保护社会责任指南》,提供组织在数据安全与个人信息保护方面的社会责任指南,涵盖治理、合规、创新、公平运营、用户权益、公益参与及信息披露,适用于组织自查与第三方评价。(信息来源:全国网安标委)
(十六)全国数标委发布高质量数据集、全国一体化算力网、数据基础设施、可信数据空间等4个方向19项技术文件
9月8日消息,全国数标委发布高质量数据集、全国一体化算力网、数据基础设施、可信数据空间等4个方向19项技术文件,以充分发挥标准在高质量数据集和国家数据基础设施建设方面的规范和引导作用。其中高质量数据集方向包括《高质量数据集 建设指南》等4项技术文件;全国一体化算力网方向包括《全国一体化算力网 算力并网技术要求》等9项技术文件;数据基础设施方向包括《数据基础设施 安全能力通用要求》等3项技术文件;可信数据空间方向包括《可信数据空间 数字合约技术要求》等3项技术文件。(信息来源:全国数标委)
(十七)全国一体化算力网监测调度试验验证平台正式发布
9月3日消息,国家数据局正式发布全国一体化算力网监测调度试验验证平台,旨在将全国分散的算力整合起来,提供更加普惠的算力服务。国家数据局表示,该平台已初步实现对“东数西算”、八大枢纽、十大集群、三大运营商、超算互联网等的监测调度,覆盖全国900多个算力设施。(信息来源:央视新闻)
(十八)欧盟委员会发布欧盟-巴西数据传输充分性认定草案
9月5日,欧盟委员会发布一份充分性认定草案,旨在为欧盟-巴西之间的数据跨境传输提供更大的法律确定性与可靠性。该草案特别强调了巴西国家数据保护局(ANPD)的作用,提议承认巴西在个人数据保护方面提供了与欧洲法律框架“基本等同”的水平。在巴西方面,ANPD也正处于审查欧盟充分性认定的最后阶段,认为欧盟-巴西充分性认定覆盖范围前所未有,是欧盟有史以来开展的最全面的一次充分性认定过程。下一步,欧盟将推进通过充分性认定所需的最终步骤,包括征求欧洲数据保护委员会的意见,以及获得成员国代表委员会的批准。(信息来源:IAPP网站)
三、网安事件聚焦
(十九)公安网安部门依法查处迪奥(上海)公司未依法履行个人信息保护义务案
9月9日,今年5月,多家媒体报道法国时尚消费品牌迪奥发生数据泄露事件,中国大陆地区用户也陆续收到迪奥官方警示短信。对此,公安网安部门对迪奥(上海)公司依法开展行政调查。经查,迪奥(上海)公司存在三项违法事实:一是未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,违规向法国迪奥总部传输用户个人信息。二是向法国迪奥总部提供用户个人信息前,未向用户充分告知其个人信息境外接收方的处理方式,未取得用户“单独同意”。三是未对收集的个人信息采取加密、去标识化等安全技术措施。属地公安机关依据个人信息保护法规定,对迪奥(上海)公司依法予以行政处罚。(信息来源:国家网络安全通报中心)
(二十)巴基斯坦政府就大量公民敏感数据泄露事件展开调查
9月9日消息,巴基斯坦国家网络犯罪调查局对近期曝光的手机SIM卡数据泄露事件进行全面调查。此前媒体报道称,包括该国内政部长纳克维在内的大量SIM卡持有者的数据(身份证照片、通话记录、身份证件甚至国际旅行记录等)在网络上公开出售。手机定位信息售价500卢比,手机数据记录售价2000卢比,而出国旅行信息则高达5000卢比,部分情况下甚至可通过简单的谷歌搜索轻松获取。该国内政部长要求在两周内完成对此事件的调查。(信息来源:安全内参)
(二十一)日本情报机构PSIA遭大规模数据泄露,2.3TB敏感信息疑被窃取
9月6日消息,一名自称“FreedomSecurity1337”的黑客在暗网论坛上声称已窃取并泄露了日本情报机构PSIA的完整数据库,总量高达2.3TB。泄露内容包括人员信息、财务记录、武器数据、车辆登记及超过98万条涉及反间谍、反恐、国内极端主义及海外行动等高度敏感记录。该黑客疑似为俄罗斯背景,目前尚未确定其是否为单独行动或与特定黑客组织关联。(信息来源:CN-SEC中文网)
(二十二)美漏洞管理与网络安全公司Tenable确认其数据遭泄露
9月8日消息,美漏洞管理与网络安全公司Tenable确认其数据遭泄露,成为近期针对Salesforce与Salesloft Drift集成的大规模数据盗窃活动的受害者之一。攻击者通过Salesforce客户关系管理实例的未经授权访问,窃取客户支持相关数据。泄露的信息包括客户在提交支持工单时的主题行与简要描述,以及姓名、公司邮箱、电话号码和地理位置等标准业务联系信息。Tenable强调其核心漏洞管理产品和Tenable One平台未受影响,敏感数据未遭泄露。Tenable已采取多重补救措施,并向受影响客户提供技术支持。(信息来源:GBhacker网)
(二十三)伊朗黑客组织对数十国外交机构实施网络间谍活动
9月4日消息,研究人员发现与伊朗情报部有关的黑客组织Homeland Justice利用104个被盗的政府电子邮件账户,对全球数十国外交机构发送以政府公务为诱饵的钓鱼邮件,实施网络间谍活动。此类邮件已被发送给以色列、德国、加拿大和日本等40多国的大使馆、领事馆或政府部门。该黑客组织还攻击了至少10个知名国际组织,包括联合国毒品和犯罪问题办公室、联合国儿童基金会和非洲联盟等。(信息来源:TheHackerNews网)
(二十四)全球最大轮胎制造商普利司通遭网络攻击,引发生产中断
9月2日,全球最大轮胎制造商普利司通北美分公司(BSA)遭网络攻击,涉及南卡罗来纳州艾肯县两家工厂及加拿大魁北克省乔利埃特工厂,引发生产中断。BSA拥有50家工厂,5.5万名员工。普利司通声明称攻击在早期阶段即被遏制,客户数据未遭泄露,为减轻供应链风险,正加速恢复运营,确保市场产品供应稳定。目前暂无任何勒索软件组织宣称对此次事件负责。(信息来源:BleepingComputer网)
(二十五)捷豹路虎遭网络攻击,生产线紧急停摆
9月7日消息,英国豪华车制造商捷豹路虎(JLR)遭网络攻击。为阻止攻击扩散,公司主动关停全球多地核心系统,两大主力工厂生产线紧急停摆,索利哈尔工厂和哈利伍德工厂被关停。此外,零售与交付系统也受到影响,许多经销商的新车交付和注册流程中断。JLR强调客户数据安全性未受威胁,目前正按计划逐步重启全球应用程序,但未提供具体时间表。截至目前尚未有勒索软件组织宣称对此事负责。(信息来源:英国《卫报》)
四、网安风险警示
(二十六)工信部:关于防范WinRAR路径遍历高危漏洞的风险提示
9月9日消息,工信部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,WinRAR软件存在路径遍历高危漏洞,已被利用进行网络攻击。由于WinRAR存在路径验证缺陷,允许特制压缩文件解压时绕过用户指定路径,写入至文件系统的其他位置,进而实现任意代码执行,受影响版本为WinRAR<7.13。WinRAR是德国RARLAB公司开发的压缩文件管理工具,广泛用于数据压缩、备份和文件传输。目前,WinRAR官方已修复漏洞并发布软件更新公告。NVDB建议相关单位和用户及时升级至最新版本。(信息来源:NVDB网站)
(二十七)美CISA发布安全公告,称霍尼韦尔、三菱等关键基础设施产品存在严重漏洞
9月5日消息,美CISA发布5个工业控制系统安全公告,称霍尼韦尔、三菱等关键基础设施产品存在严重漏洞。其中,三菱电机Iconics数字解决方案存在多种内存和处理程序相关漏洞,包括变量未初始化、内存缓冲区操作限制不当等。攻击者利用这些漏洞,可导致信息泄露、服务拒绝或远程代码执行。霍尼韦尔OneWireless WDM的控制数据访问组件存在内存缓冲区漏洞(CVE-2025-2521)和资源敏感信息漏洞(CVE-2025-2522),可被攻击者利用,造成严重后果。美CISA建议用户和管理员尽快采取缓解措施。(信息来源:安全牛)
(二十八)美CISA发布警告称TP-Link与WhatsApp漏洞遭活跃利用
9月5日消息,美CISA发布警告,称黑客正积极利用TP-Link与WhatsApp两个高危漏洞发起攻击,已将二者列入已知被利用漏洞目录。TP-Link漏洞影响TP-Link TL-WA855RE V5 WiFi扩展器,允许同一网络下的未经身份验证攻击者发送TDDP_RESET POST请求,触发设备工厂重置并重启以获取控制权。WhatsApp漏洞涉及WhatsApp iOS/Mac客户端,由“链接设备同步消息授权不完整”引发,可允许无关用户触发目标设备处理任意URL内容,已被用于高级间谍软件活动。美CISA建议联邦机构尽快采取相应措施。(信息来源:CyberNews网)
(二十九)加拿大通信公司Sangoma的FreePBX服务器存在关键零日漏洞
9月6日消息,加拿大通信公司Sangoma的FreePBX服务器存在关键零日漏洞CVE-2025-57819(CVSS评分10)。由于对用户提供的数据进行不充分的过滤,攻击者可利用该漏洞访问FreePBX管理员面板,实现数据库操作和远程代码执行。美CISA已将该漏洞添加至已知被利用漏洞目录中,要求联邦机构在9月19日之前修补该漏洞。(信息来源:SecurityWeek网)
(三十)SAP S/4HANA企业资源规划软件中存在严重漏洞
9月5日,荷兰国家网络安全中心警告称,SAP S/4HANA企业资源规划软件中存在一个严重漏洞CVE-2025-42957(CVSS评分9.9),影响所有SAP S/4HANA版本。攻击者可利用该漏洞将任意ABAP代码注入系统,绕过必要的授权检查,完全破坏系统。目前该漏洞已遭利用,建议企业管理员尽快安装补丁,并通过实施分段、备份和SAP特定的监控来加强防御。(信息来源:安帝Andisec)
(三十一)轻量级C语言JSON解析库cJSON存在JSON解析漏洞
9月8日消息,轻量级C语言JSON解析库cJSON存在高危漏洞CVE-2025-57052(CVSS评分9.8)。攻击者可构造畸形JSON指针绕过数组边界检查,导致内存越界访问、段错误、权限提升或拒绝服务攻击。受影响软件包括处理JSON指针的Web API,依赖轻量级解析器的嵌入式/IoT设备,和需要结构化JSON输入的桌面/服务器应用。目前该漏洞已修复,建议用户及时更新。(信息来源:FreeBuf网)
