网络空间安全动态(202535期)
编者按:网安动向热讯,本期有六点值得关注:一是国家互联网信息办公室发布《国家网络安全事件报告管理办法》;二是国家网信办发布《大型网络平台设立个人信息保护监督委员会规定》,并向社会公开征求意见;三是国家网信办发布《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法(征求意见稿)》;四是《人工智能安全治理框架》2.0版正式发布;五是美众议院通过《2026财年国防授权法案》,包含网络安全与人工智能政策条款;六是中美就妥善解决TikTok问题达成基本框架共识。
数据前沿快讯,本期有七点值得关注:一是国家能源局发布《能源行业数据安全管理办法(试行)》,并向社会公开征求意见;二是《数据安全国家标准体系(2025版)》和《个人信息保护国家标准体系(2025版)》正式发布;三是《网络安全标准实践指南——互联网平台停服数据处理安全要求》发布;四是《网络安全标准实践指南——学术科技服务平台数据安全要求》发布;五是《网络安全标准实践指南——扫码点餐个人信息保护要求》发布;六是欧盟《数据法》正式生效;七是欧洲数据保护委员会通过了《数字服务法》和《通用数据保护条例》之间相互作用的指南。
网安事件聚焦,本期有两方面内容建议关注:一是个人信息泄露事件频发,加强网络安全领域个人信息保护任重道远。越南信用研究所超1.6亿条公民信用数据遭黑客组织窃取;巴基斯坦知名AI公司116GB敏感数据遭泄露;古驰、巴黎世家等奢侈品牌数百万客户数据遭窃。二是网络攻击形式和手段不断翻新,勒索软件攻击依然猖獗,对国家,企业,个人造成严重影响。疑似朝鲜Kimsuky组织借AI伪造韩军方身份证实施精准网络钓鱼攻击;巴拿马经济和财政部遭INC勒索软件攻击;美德克萨斯州乌瓦尔迪市公立学区遭勒索软件攻击被迫关闭。
网安风险警示,本期有六点建议关注:一是Sophos AP6系列无线接入点固件中存在认证绕过漏洞;二是开源生成式AI开发平台FlowiseAI存在高危漏洞;三是LangChain框架Go语言实现版本存在高危漏洞;四是Magento开源电商平台及其企业版Adobe Commerce存在严重漏洞;五是西门子SIMATIC虚拟化即服务平台存在严重安全漏洞;六是Windows版Google Drive桌面应用存在安全漏洞。
一、网安动向热讯
(一)国家互联网信息办公室发布《国家网络安全事件报告管理办法》
9月15日消息,国家互联网信息办公室发布《国家网络安全事件报告管理办法》(以下简称《办法》),自2025年11月1日起施行。《办法》共十四条,主要对网络安全事件报告适用范围、监管职责、报告主体、报告流程、报告时限、报告内容等提出规范要求。《办法》所指网络安全事件是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。《办法》适用范围和事件报告主体为在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者。《办法》还明确,对迟报、漏报、谎报或者瞒报网络安全事件造成重大危害后果的运营者依法从重处罚;对采取合理必要的防护措施,有效降低网络安全事件影响和危害,并按照规定及时报告的运营者,可视情从轻或不予追究责任。(信息来源:中国网信网)
(二)国家网信办发布《大型网络平台设立个人信息保护监督委员会规定》,并向社会公开征求意见
9月12日,国家互联网信息办公室发布《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》,并向社会公开征求意见。《规定》共31条,旨在指导规范大型网络平台设立、运行个人信息保护监督委员会,对个人信息保护情况进行监督,促进大型网络平台个人信息保护合规水平的提升,强化个人信息保护。《规定》明确,个人信息保护监督委员会对大型网络平台的个人信息保护合规制度体系建设情况、平台或产品个人信息保护规则制修订情况、敏感个人信息保护情况等14个重点事项进行监督。监督委员会由大型网络平台服务提供者设立,主要由外部成员组成,外部成员不低于三分之二。《规定》还明确了大型网络平台服务提供者配合履职要求、提供履职保障的义务;委员会信息公开及撤销制度和信息报送机制,国家网信部门等的监管职责和公众监督举报机制等。《规定》的意见反馈截止时间为2025年10月12日。(信息来源:中国网信网)
(三)国家网信办发布《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法(征求意见稿)》
9月16日,国家网信办就《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法(征求意见稿)》(以下简称《办法》)公开征求意见。《未成年人网络保护条例》(以下简称《条例》)明确了网络平台对未成年人的普遍性保护义务,并在第20条对未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台提出了特殊义务要求。《办法》落实《条例》要求,细化了具体认定标准、认定流程和相关工作要求,压紧压实网络平台未成年人网络保护主体责任,更好守护未成年人健康成长。意见反馈截止日期为2025年10月15日。(信息来源:中国网信网)
(四)《人工智能安全治理框架》2.0版正式发布
9月15日,全国网络安全标准化技术委员会、国家计算机网络应急技术处理协调中心在2025年国家网络安全宣传周主论坛上联合发布了《人工智能安全治理框架》2.0版。《框架》2.0版在2024年9月发布的《人工智能安全治理框架》1.0版基础上,结合一年来人工智能技术发展和应用实践,持续跟踪风险变化,完善优化风险分类,研究探索风险分级,动态调整更新防范治理措施。《框架》2.0版的发布,有利于顺应全球人工智能发展潮流,统筹技术创新与治理实践,在人工智能安全、伦理、治理等方面不断深化共识,促进形成安全、可信、可控的人工智能发展生态,构建跨国界、跨领域、跨行业的协同治理格局。(信息来源:中国网信网)
(五)美众议院通过《2026财年国防授权法案》,包含网络安全与人工智能政策条款
9月12日消息,美众议院以231票比196票通过《2026财年国防授权法案》,新增一系列关于网络安全和人工智能的政策条款。一是要求国防部为其使用的人工智能驱动技术创建软件物料清单;二是授权国防部设立12个生成式人工智能工作线;三是要求国家安全局(NSA)就其下属网络安全协调中心的工作计划提供一份简报;四是允许NSA与私营部门共享威胁情报;五是要求国防部研究国民警卫队在联邦和州级网络安全事件响应中的作用;六是要求所有联合作战司令部每年向国会报告,说明网络司令部向其提供支援的充分性;七是授权拨款1435.5亿美元资金,用于人工智能、网络安全等领域的研发活动。(信息来源:美国会山网站)
(六)中美就妥善解决TikTok问题达成基本框架共识
9月14日至15日,中美双方经贸团队在西班牙马德里举行会谈,双方积极落实两国元首通话重要共识,充分发挥中美经贸磋商机制作用,在相互尊重、平等协商的基础上,就TikTok等双方关注的经贸问题进行了坦诚、深入、建设性的沟通。中国商务部国际贸易谈判代表兼副部长李成钢表示,中美双方就以合作方式妥善解决TikTok问题、减少投资障碍、促进有关经贸合作等达成了基本框架共识。中美双方经贸会谈的成果来之不易,应共同维护来之不易的中美经贸磋商成果,推动双边经贸关系健康、稳定、可持续发展。(信息来源:国际金融报)
二、数据前沿快讯
(七)国家能源局发布《能源行业数据安全管理办法(试行)》,并向社会公开征求意见
9月10日消息,国家能源局就《能源行业数据安全管理办法(试行)(征求意见稿)》向社会公开征求意见。《办法》依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规制定,旨在规范能源行业数据处理活动,筑牢数据安全防线,同时促进数据合规开发利用。《办法》适用于我国境内能源行业数据处理活动及安全监督管理,全文共六章三十六条,明确能源行业数据分为一般、重要、核心三级,系统界定国家能源局、省级能源主管部门及能源数据处理者的职责,从数据目录管理、全生命周期保护、监测预警与应急处置、监督检查等方面构建完整管理体系,为能源行业数据安全保驾护航,推动行业在安全合规前提下实现数字化高质量发展。《办法》的意见反馈截止时间为2025年10月10日。(信息来源:国家能源局)
(八)《数据安全国家标准体系(2025版)》和《个人信息保护国家标准体系(2025版)》正式发布
9月15日,全国网络安全标准化技术委员会正式发布《数据安全国家标准体系(2025版)》和《个人信息保护国家标准体系(2025版)》。《数据安全国家标准体系(2025版)》在梳理数据安全国家标准研制现状、分析数据安全标准需求的基础上编制而成,主要包括基础共性、数据安全技术和产品、数据安全管理、数据安全服务、产品和服务数据安全、行业与应用数据安全六大类标准,旨在为有效保障数据安全、促进数字经济高质量发展提供安全标准依据。《个人信息保护国家标准体系(2025版)》在数据安全国家标准体系的基础上,以个人信息权益保护为核心,具体由基础共性、个人信息保护技术、个人信息保护管理与权益保障、个人信息保护测评和认证、产品和服务个人信息保护、行业与应用个人信息保护六大类标准组成。(信息来源:全国网安标委)
(九)《网络安全标准实践指南——互联网平台停服数据处理安全要求》发布
9月16日,全国网安标委发布《网络安全标准实践指南——互联网平台停服数据处理安全要求》,以规范互联网平台停服数据处理活动,保障数据安全,促进数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。该指南提出了互联网平台停服网络数据处理通用安全要求,个人信息处理安全要求和重要数据处理安全要求,用于指导互联网平台数据处理者开展数据安全保护工作,也可为主管部门和第三方评估机构提供参考。(信息来源:全国网安标委)
(十)《网络安全标准实践指南——学术科技服务平台数据安全要求》发布
9月16日,全国网安标委发布《网络安全标准实践指南——学术科技服务平台数据安全要求》,以规范学术科技服务平台数据处理活动,保障数据安全,促进学术科技数据依法合理有效利用,保护个人、组织合法权益,维护国家安全和社会公共利益。该指南提出了学术科技服务平台运营者开展数据处理活动的安全保护要求,及其应履行的安全责任和义务,适用于规范学术科技服务平台运营者数据处理活动,也可为有关主管监管部门组织开展相关检查评估提供参考。(信息来源:全国网安标委)
(十一)《网络安全标准实践指南——扫码点餐个人信息保护要求》发布
9月16日,全国网安标委发布《网络安全标准实践指南——扫码点餐个人信息保护要求》,以指导餐饮商家规范扫码点餐服务个人信息处理活动,减少因扫码点餐造成的个人权益损害问题,该指南规定了扫码点餐服务个人信息保护总体要求和具体要求,适用于规范餐饮商家扫码点餐服务个人信息处理活动。(信息来源:全国网安标委)
(十二)欧盟《数据法》正式生效
9月12日,欧盟《数据法》在所有成员国正式生效。《数据法》适用于欧盟全体成员国,旨在通过使数据更加易于访问和使用,鼓励数据驱动创新,提高数据可用性,增强欧盟数字经济,促进竞争性数字市场。该法主要内容包括:一是确保了数字经济参与者之间数据价值分配的公平性,赋予联网产品用户更大的数据控制权;二是保持对数据技术投资人的激励,规定了企业之间共享数据法定义务的一般条件;三是明确提高欧洲云市场公平竞争的措施,保护公司免受数据共享不公平合同条款的影响;四是建立相关机制,使公共部门在规定的紧急情况下要求企业提供数据,并制定明确的使用规则;五是引入保障措施,避免第三国政府机构违反欧盟或成员国法律访问非个人数据;六是定义互操作性的基本要求,确保数据无障碍流动。该法的生效实施将从根本上改变企业对数据的认知、管理和利用方式,对云计算、物联网、汽车、医疗、航空、金融等多个行业领域的商业模式和运营流程同时带来了机遇和挑战。(信息来源:安全内参)
(十三)欧洲数据保护委员会通过了《数字服务法》和《通用数据保护条例》之间相互作用的指南
9月12日,欧洲数据保护委员会(EDPB)通过了《数字服务法》(DSA)和《通用数据保护条例》(GDPR)之间相互作用的指南。这是EDPB首次发布的关于GDPR和欧盟最近通过的数字法律之间相互作用的指南。DSA旨在补充GDPR的规则,以确保数字空间中对基本权利的最高保护,主要目标是创造一个更安全的网络环境。DSA中包含的一些条款涉及中介服务提供商对个人数据的处理,并引用了GDPR的概念和定义,适用于网络中介服务,如搜索引擎和平台。该指南有助于理解如何在DSA义务的背景下适用GDPR。EDPB还提供了有关各监管机构之间跨监管合作的实际指导,以协调执法,从而为中介服务提供商提供更多法律确定性,并最终保护个人的权利和自由。(信息来源:EDPB网)
三、网安事件聚焦
(十四)越南信用研究所超1.6亿条公民信用数据遭黑客组织窃取
9月11日消息,黑客组织ShinyHunters声称已成功入侵并窃取了越南信用研究所超过1.6亿条公民信用数据,包括个人身份信息、信用支付记录、风险分析、信用卡信息、军人证件、政府证件、税务识别号、收入报表以及债务信息等,并贴出相关数据的出售信息。该研究所负责管理越南国家信用信息中心(CIC),该中心隶属于越南国家银行,承担着国家信用登记职能,负责收集、处理、存储和分析信用信息;预防并降低信用风险等。目前,CIC尚未就此事进行正式回应。(信息来源:安全内参)
(十五)巴基斯坦知名AI公司116GB敏感数据遭泄露
9月12日消息,美网络安全机构Cybernews的研究人员发现,一个与Vyro AI相关的未受保护Elasticsearch服务器在公网暴露。Vyro AI总部位于巴基斯坦,其应用总下载量超过1.5亿,每周可生成350万张图片。该服务器实时泄露了公司三款应用ImagineArt、Chatly以及Chatbotx的116GB用户日志,包括用户在应用中输入的AI提示词、持有者身份验证令牌和用户代理信息等,攻击者可利用这些数据锁定并接管用户账号。(信息来源:安全内参)
(十六)古驰、巴黎世家等奢侈品牌数百万客户数据遭窃
9月15日消息,知名奢侈品集团开云集团确认数据遭泄露,旗下古驰、巴黎世家和亚历山大·麦昆等多个奢侈品牌受影响。遭泄露数据包括客户姓名、联系方式、地址和消费记录等。黑客组织ShinyHunters声称对此次攻击负责,并公开了包含数千条客户信息的被盗数据样本。开云集团已向相关数据保护机构通报此事,依规定通知受影响客户,但未公开具体受影响国家及人数,并强调此次数据泄露未涉及银行账号、信用卡资料等财务信息。(信息来源:FreeBuf网)
(十七)疑似朝鲜Kimsuky组织借AI伪造韩军方身份证实施精准网络钓鱼攻击
9月15日消息,网络安全公司Genians披露,疑似朝鲜政府背景的黑客组织Kimsuky利用人工智能工具ChatGPT生成伪造的韩国军事机构身份证图像,用于升级鱼叉式网络钓鱼攻击。Kimsuky通过结合社会工程学与AI生成内容,构建了更隐蔽的攻击链:从仿冒官方域名、伪造高仿真证件,到植入恶意脚本,形成完整渗透路径。该组织冒充韩国国防相关机构,以办理军方官员身份证发放任务为由,通过电子邮件发送包含伪造身份证样本的钓鱼链接,诱导目标点击后部署恶意软件,实现数据盗窃和远程控制。(信息来源:InfoSecurity网)
(十八)巴拿马经济和财政部遭INC勒索软件攻击
9月11日,巴拿马经济和财政部(MEF)披露,其一台工作站计算机可能遭恶意软件攻击,在检测到异常后立即激活既定安全协议,并加强整个IT系统的预防措施。MEF负责财政政策制定、公共支出调控、债务管理及巴拿马运河收入管理。勒索软件组织INC Ransom声称对MEF发起攻击并窃取超1.5TB敏感数据,包括电子邮件、财务文件、预算明细等,并公开泄露文件样本作为攻击凭证。MEF在声明中指出,其中央系统及平台均未受损,核心系统运营未受影响。(信息来源:BleepingComputer网)
(十九)美德克萨斯州乌瓦尔迪市公立学区遭勒索软件攻击被迫关闭
9月16日,美德克萨斯州乌瓦尔迪市公立学区遭勒索软件攻击,导致其服务器瘫痪,严重干扰电话、空调控制、摄像头监控、访客管理及教学系统运行,影响约5000名学生及多个关键系统。事件发生后,学区已向联邦调查局、保险网络安全团队等机构报告,并启动全面调查以追溯恶意软件来源及评估数据泄露风险。为保障安全,学校关闭网站并停课4天。截至目前,尚无勒索软件组织宣称对此次事件负责。(信息来源:TheRecord网)
四、网安风险警示
(二十)Sophos AP6系列无线接入点固件中存在认证绕过漏洞
9月11日消息,Sophos发布安全公告,称SophosAP6系列无线接入点固件中存在认证绕过漏洞CVE-2025-10159(CVSS评分9.8)。该漏洞允许能够访问接入点管理IP地址的攻击者获得管理员级权限,可导致全网范围的入侵、恶意配置篡改及敏感流量监控。Sophos表示该漏洞是在内部安全测试中发现的,尚未被主动利用。目前该漏洞已修复,建议用户尽快升级至最新版本。(信息来源:CyberSecurity网)
(二十一)开源生成式AI开发平台FlowiseAI存在高危漏洞
9月15日消息,广泛用于构建AI代理和LLM工作流的开源生成式AI开发平台FlowiseAI存在高危漏洞CVE-2025-58434(CVSS评分9.8)。由于该平台的密码找回端点在未经认证或验证的情况下,可直接返回包含有效密码重置临时令牌在内的敏感信息,攻击者可借此为任意用户生成重置令牌并直接修改密码,最终实现完全账户接管。目前FlowiseAI尚未发布补丁,建议采取临时防护措施加强防御。(信息来源:FreeBuf网)
(二十二)LangChain框架Go语言实现版本存在高危漏洞
9月15日消息,LangChain的Go语言实现版本存在高危漏洞CVE-2025-9556(CVSS评分9.8分),LangChainGo采用的Gonja是基于Go语言的Python Jinja2模板引擎实现,攻击者可通过Gonja模板引擎实现任意文件读取,通过精心构造的提示词嵌入此类指令诱使系统读取敏感文件。在允许用户自由提交提示词的场景中,攻击者无需特权或后端访问权限,仅凭恶意输入即可窃取系统数据。目前官方已修复漏洞,建议用户立即升级至最新版本。(信息来源:FreeBuf网)
(二十三)Magento开源电商平台及其企业版Adobe Commerce存在严重漏洞
9月11日消息,Adobe发布了紧急补丁,称Magento开源电商平台及其企业版Adobe Commerce存在严重漏洞CVE-2025-54236(CVSS评分9.1),允许未经身份验证的攻击者在无需用户交互的情况下劫持用户账户,甚至在服务器上执行任意代码,可能引发Magecart式攻击和支付数据盗窃。该公司表示,尚未发现该漏洞在野利用案例,建议相关组织立即更新补丁。(信息来源:安全牛)
(二十四)西门子SIMATIC虚拟化即服务平台存在严重安全漏洞
9月15日消息,西门子SIMATIC虚拟化即服务(SIVaaS)平台存在一个严重安全漏洞CVE-2025-40804(CVSS评分9.1)。SIVaaS会在没有任何身份验证的情况下暴露网络共享,允许攻击者在未经授权的情况下访问或修改敏感数据,可导致关键工业数据泄露,或使攻击者篡改自动化配置等。SIVaaS广泛用于自动化系统的集中虚拟化,实现运营技术与信息技术的集成,以及对工业环境的标准化监控。目前该漏洞已遭利用,西门子敦促受影响客户尽快修复该漏洞。(信息来源:SecurityOnline网)
(二十五)Windows版Google Drive桌面应用存在安全漏洞
9月11日消息,Windows版Google Drive桌面应用存在安全漏洞,当多用户共用设备时,已登录用户无需凭证即可完全访问其他用户的云端文件,该漏洞在办公室、高校等多用户环境中尤为危险。攻击者可利用该漏洞窃取合同、财务记录、HR文档或源代码等敏感文件,导致数据泄露、篡改或删除。目前谷歌尚未修复该漏洞,建议用户避免在共享计算机上使用Google Drive桌面应用、对Windows用户配置文件实施严格权限控制、仅在专用终端设备上使用该应用程序等措施加以防范。(信息来源:FreeBuf网)
