网络空间安全动态(202543期)
编者按:网安动向热讯,本期有十二点值得关注:一是国家市场监管总局就《互联网平台反垄断合规指引(征求意见稿)》公开征求意见;二是我国完成第一阶段6G技术试验;三是特朗普政府即将推出包含六大支柱的新网络安全战略;四是欧盟发布《欧洲民主之盾》与《欧盟公民社会战略》两项倡议;五是欧盟拟推进立法强制淘汰华为和中兴设备;六是英国启动量子技术扶持计划旨在确保其在全球量子领域保持领导地位;七是欧盟数据保护监管机构发布《人工智能系统风险管理指南》;八是美战争部将14个关键技术领域精简为6个;九是美政府遴选美网络司令部和国家安全局最高领导人;十是英启动《网络安全与韧性(网络和信息系统)法案》立法程序;十一是美议员制定《2025年通过限制非法伙伴关系和策略来捍卫国际安全法案》以破坏所谓敌对方之间的安全合作;十二是美韩实施第二次联合网络安全演习。
数据前沿快讯,本期有三点建议关注:一是自然资源部发布《卫星导航定位基准站管理办法》;二是《汽车数据出境安全评估方法》团体标准发布;三是欧盟拟大幅放宽《通用数据保护条例》部分规定并推迟《人工智能法案》关键条款实施时间。
网安事件聚焦,本期有两方面内容建议关注:一是大量敏感数据的泄露严重威胁个人隐私及企业运营。本期介绍:罗技公司遭Clop勒索攻击致1.8TB数据被窃;英国维多利亚时代影像档案馆超30万条用户数据遭泄露;意大利工业气体生产商SIAD遭勒索攻击,159GB数据疑泄露;日本日立旗下数字工程服务商GlobalLogic约9720名员工数据遭泄露。二是政府部门及关键基础设施遭网络攻击,引发系统安全风险。本期介绍:肯尼亚政府遭网络攻击,多个部委官网被篡改;俄罗斯港口运营商数字基础设施遭网络攻击。
网安风险警示,本期有六点建议关注:一是国家漏洞库CNNVD发布关于微软多个安全漏洞的通报;二是美CISA警告工业控制Lуnх+网关存在身份认证绕过漏洞;三是美IBM多款产品存在代码执行漏洞;四是Desktop Alert PingAlert应用服务器存在身份认证绕过漏洞;五是华硕DSL系列路由器存在身份认证绕过漏洞;六是开源聊天机器人构建平台Typebot存在安全特性绕过漏洞。
一、网安动向热讯
(一)国家市场监管总局就《互联网平台反垄断合规指引(征求意见稿)》公开征求意见
11月18日消息,市场监管总局就《互联网平台反垄断合规指引(征求意见稿)》现向社会公开征求意见,意见反馈截止日期为2025年11月29日。《指引》明确了互联网平台、平台经营者等相关概念,要求平台经营者遵循针对性、全面性、穿透性、持续性原则承担合规主体责任,重点对垄断协议、滥用市场支配地位、经营者集中、滥用行政权力排除限制竞争四类反垄断风险进行识别,同时从风险评估、全流程防控、规则审查、算法筛查、配合调查等方面规范风险管理,并建立合规管理机构、汇报、培训、考核、监督等合规保障机制,该指引为非强制性,供平台经营者及相关行业协会结合自身特点参考使用。(信息来源:国家市场监督管理总局)
(二)我国完成第一阶段6G技术试验
11月14日消息,我国已连续四年组织开展6G技术试验,目前已完成第一阶段6G技术试验,形成超过300项关键技术储备。我国6G技术试验分为三个阶段:第一阶段是关键技术试验阶段,明确6G主要技术方向;第二阶段是技术方案试验阶段,将面向典型场景及性能指标,研发6G原型样机;第三阶段是系统组网试验阶段,将研发6G预商用设备,开展6G关键产品测试。6G是未来十年全球最重要的新一代综合性数字信息网络基础设施,将实现通信、感知、计算、智能等多技术融合创新,服务对象从人、机、物拓展到智能体,服务空间从地面拓展到空天地一体化,实现“万物智联、数字孪生”的目标。(信息来源:工信微报)
(三)特朗普政府即将推出包含六大支柱的新网络安全战略
11月18日,美国家网络总监肖恩・凯恩克罗斯透露,特朗普政府即将推出的国家网络安全战略设有六大支柱。目前已披露四项:一是塑造对手行为,美国将通过影响对手对于代价和后果的考量,塑造对手的行为。在AI技术兴起、网络威胁日益猖獗的今天,美国必须向对手发出明确的信号,使其理解开展恶意网络活动需要承担的后果;二是加强与工业界的合作,美国将优化网络安全监管,向各行各业清晰传达政府认为该行业领域的优先事项和需要重点保护的对象,并与工业界一道,调配充足资源以保护关键资产;三是推动联邦政府现代化,美国将启动新技术试点项目、加快新技术采购、利用国家实验室测试新技术;四是扩大网络安全人才队伍,美国现有超过50万个网络安全人才缺口,迫切需要协调工业界、学术界、职业学校和风险投资的激励措施,加强网络安全人才培养。该战略相比拜登政府2023年侧重监管的版本更为简短,更注重对网络对手行为作出充分回应,体现出强硬的进攻性倾向。目前正由国家网络总监办公室跨部门推广并收集反馈,但未明确发布时间表。(信息来源:奇安网情局)
(四)欧盟发布《欧洲民主之盾》与《欧盟公民社会战略》两项倡议
11月13日消息,欧盟委员会发布《欧洲民主之盾》与《欧盟公民社会战略》两项倡议。其中,《欧洲民主之盾》以维护信息空间完整性、强化制度与媒体生态、提升社会韧性与参与为三大支柱,通过建立民主复原力中心、事实核查网络等举措筑牢民主防线。《欧盟公民社会战略》聚焦促进公民社会参与、强化支持保护、保障资金可持续三大目标,为公民社会组织提供平台、资源与安全保障。两项倡议内外兼顾,推动欧盟及成员国、公民社会等多方协同,巩固内部民主支柱,打击跨境干预、助力全球公民社会发展。(信息来源:欧盟委员会网站)
(五)欧盟拟推进立法强制淘汰华为和中兴设备
11月11日消息,欧盟委员会提出一项立法提案,以强制成员国逐步淘汰电信网络中的华为、中兴等中国设备。此举旨在将欧盟委员会在2020年提出的关于限制移动网络中使用高风险供应商的建议转化为强制性规则,对于不遵守规定的成员国,欧盟可能根据“欧盟法律侵权程序”进行财务处罚。此外,欧盟委员会还在考虑限制“全球门户”海外基础设施投资项目的资金,以阻止非欧盟国家在项目中使用华为设备。(信息来源:综合彭博社)
(六)英国启动量子技术扶持计划旨在确保其在全球量子领域保持领导地位
11月12日消息,英政府启动量子技术扶持计划,旨在加速量子技术在医疗、交通、国防、能源等关键领域的规模化应用,助力国家经济增长与产业升级,确保英国在全球量子领域保持领导地位。该计划拟同步推进科研基础设施建设与国际合作布局,包括通过英国创新署的“量子传感任务启动奖”,向14个研究项目提供1400万英镑资金,以支持下一代传感器的研发;在原子武器机构启动新的核防御与安全量子中心,并重新启动英国苏格兰与美国加州的量子与光子学合作伙伴关系。(信息来源:量科网)
(七)欧盟数据保护监管机构发布《人工智能系统风险管理指南》
11月14日消息,欧盟数据保护监管机构发布《人工智能系统风险管理指南》,旨在协助欧盟机构、部门和办事处在开发、采购和部署涉及个人数据处理的人工智能系统时识别并减轻风险。指南强调责任制原则,提出针对公平性、安全性等风险的识别与技术应对措施,结合ISO 31000:2018风险管理框架和人工智能系统全生命周期方法,指南突出“可解释性与可说明性”作为合规前提,并针对偏见、数据质量不足、算法不透明等高风险环节提出防范建议。(信息来源:EDPS网站)
(八)美战争部将14个关键技术领域精简为6个
11月17日消息,美战争部负责研究与工程副部长埃米尔·迈克尔正式宣布,将“关键技术领域”清单从14项大幅削减至6项。此举旨在集中资源,加速研发项目,在三年或更短时间内交付对战局影响最大、见效最快的技术。新的六大关键技术领域包括:应用人工智能、生物制造、对抗性后勤技术、量子与战场信息主导、大规模定向能和大规模高超音速。(信息来源:启元洞见)
(九)美政府遴选美网络司令部和国家安全局最高领导人
11月13日消息,美印太司令部副司令约书亚・鲁德凭借特种作战背景、高层力荐及印太战略适配性,成为网络司令部司令兼国家安全局局长的热门候选人。鲁德提出“网络化竞争”为战争核心趋势,强调信息与认知作战、无人机大众化、穿透打击三大“元趋势”需依托一体化架构实现高效协同,并警示信息革命已成为重要竞争手段。此外,网络国家任务部队(CNMF)司令洛娜・马洛克与陆军网络司令部副司令马修・伦诺克斯分别有望升任网络司令部副司令与CNMF司令,共同构建美军网络战指挥体系的新三角。(信息来源:奇安网情局)
(十)英启动《网络安全与韧性(网络和信息系统)法案》立法程序
11月13日消息,英政府提出《网络安全与韧性(网络和信息系统)法案》,旨在改革现有法规,以提升抵御网络攻击的能力。新法案主要措施包括:一是扩大监管范围,首次将数据中心、托管服务提供商等纳入监管范围;二是加强监管权力,赋予监管机构指定“关键供应商”的权力,并对严重违规行为实施更严厉的处罚;三是赋予国务大臣指导监管机构采取行动的权力,可在存在威胁国家安全的情况下采取具体措施预防网络攻击;四是设立强制报告制度,受监管实体必须在24小时内向监管机构和国家网络安全中心报告重大网络事件。目前英政府已向议会提交法案进行一读,该法案预计在2026年获得王室批准,届时将更新英国《2018年网络和信息系统条例》。(信息来源:安全内参)
(十一)美议员制定《2025年通过限制非法伙伴关系和策略来捍卫国际安全法案》以破坏所谓敌对方之间的安全合作
11月12日消息,美国会两院议员联合制定《2025年通过限制非法伙伴关系和策略来捍卫国际安全法案》,以破坏中国、俄罗斯、伊朗和朝鲜等所谓敌对方之间的安全合作,包括武器转让、技术共享、网络行动、虚假信息传播和规避制裁等。法案同时要求美政府通过机构协调采取统一应对措施,指示政府制定一项全政府战略,并要求国家情报总监提交一份报告,评估敌对方合作及其对美国利益的影响。(信息来源:MeriTalk网)
(十二)美韩实施第二次联合网络安全演习
11月17日消息,美网络司令部与韩国网络作战司令部于17日至21日在美马里兰州实施第二次联合网络安全演习,以加强两国在应对潜在的敌方网络安全威胁时的联合战备态势。在联演期间,美韩海军将进行反潜追踪和打击、自由攻防、航空反潜等科目的演练,以加强海上联合防卫态势。美韩两国在2022年11月的第54次美韩安保会议上就实施网络同盟演习达成一致,并于2024年1月实施首次演习。韩国防部表示,此次演习将在网络联盟训练、网络威胁情报共享、共同参与多国网络安全演习等领域继续扩大合作。(信息来源:韩联社)
二、数据前沿快讯
(十三)自然资源部发布《卫星导航定位基准站管理办法》
11月19日消息,自然资源部发布《卫星导航定位基准站管理办法》,自2026年1月1日起施行。《办法》共二十三条,从统筹全链条全环节管理的角度,对基准站的管理原则、监管职责、布局规划、建设条件、备案要求、运行维护、分类服务、数据管理、监督检查和法律责任等作出明确规定,确保基准站建设、运行维护和相关数据管理纳入法治化轨道。《办法》明确,卫星导航定位基准站数据实行分类分级管理,并对建设单位、运行维护单位、使用卫星导航定位基准站数据的单位应当依法承担的数据安全保密责任进行了规定,要求上述单位建立数据安全保障制度,依法采取相应的技术措施、保密措施等,对收集、存储、使用、加工、传输、提供的数据进行全流程数据安全保护。建设单位、运行维护单位还应当定期对数据安全开展风险评估,提供涉密数据时应当按照涉密测绘成果管理有关规定执行。(信息来源:自然资源部)
(十四)《汽车数据出境安全评估方法》团体标准发布
11月17日消息,中国出入境检验检疫协会综合质量服务标准化技术委员会发布《汽车数据出境安全评估方法》团体标准并即时实施。该标准明确了数据出境的资格审核、范围界定、风险分级等核心要求,细化了操作流程与测试方法,降低企业应用成本与合规难度,填补了汽车行业数据出境安全评估的具体操作标准空白,为企业合规出海提供了明确指引。《评估方法》解决了企业实操难题、帮助各类数据处理者建立标准化合规体系,强化个人信息与重要数据安全保护,助力企业提升出海竞争力,推动汽车产业高质量发展与数字经济全球化协同并进。(信息来源:新京报)
(十五)欧盟拟大幅放宽《通用数据保护条例》部分规定并推迟《人工智能法案》关键条款实施时间
11月19日消息,一份泄露的欧盟委员会提案显示,欧盟正推动大幅修改《通用数据保护条例》部分规定。该提案的主要修改措施包括:一是收窄对于个人数据的界定,允许企业“出于合法利益目的”将个人数据用于AI模型训练。修改后,询问用户是否同意接收Cookie的弹窗将会消失,更多企业可在未经用户同意的情况下收集和使用用户数据,相关合规成本将降低。二是缩小敏感数据范围,对于通过浏览习惯等非直接提问方式获得数据的保护措施有所放宽,但基因数据和生物识别数据仍将受到强化保护。三是将《人工智能法案》针对高风险AI系统(可能对健康、安全或基本权利构成严重风险)的监管宽限期延长1年,至2027年正式生效实施。该提案旨在通过简化多项数据保护规定,减轻欧洲企业在激烈全球竞争下的合规成本,但批评人士认为部分规定过分迎合美国及其主要科技公司的要求,不利于个人数据和隐私的保护。上述提案还需经过欧盟议会和各成员国批准,才能最终成为法律。(信息来源:德国之声网)
三、网安事件聚焦
(十六)罗技公司遭Clop勒索攻击致1.8TB数据被窃
11月15日消息,硬件配件巨头罗技公司确认遭Clop勒索攻击,1.8TB数据被窃,包含部分员工和消费者信息,以及客户与供应商的相关资料。罗技表示,事件发生后已立即联合外部网络安全公司展开调查与响应,确认此次事件未对产品、业务运营或生产制造造成影响。目前,罗技公司已对导致此次数据泄露的第三方零日漏洞进行修复。(信息来源:IT之家)
(十七)英国维多利亚时代影像档案馆超30万条用户数据遭泄露
11月13日消息,英国维多利亚时代影像档案馆因一个被遗弃的Elasticsearch数据库泄露超30万条用户数据,包括用户姓名、邮箱地址及部分实体住址,以及近4.4万条客户咨询记录,该数据库无需认证即可访问,时间跨度从2006年至今。档案馆表示此次数据泄露未涉及金融账户或密码,但泄露数据仍构成重大隐私威胁,攻击者可能利用上述信息实施精准网络钓鱼攻击。(信息来源:Cybernews网)
(十八)意大利工业气体生产商SIAD遭勒索攻击,159GB数据疑泄露
11月12日消息,勒索软件组织Everest Group声称已入侵意大利主要工业气体生产商SIAD窃取159GB数据,并在其暗网泄密站点上设置为期8天的公开泄露倒计时。SIAD公司业务覆盖食品、医疗、汽车等多个行业,若事件属实可能导致生产中断引发供应链波动。截至目前,SIAD尚未对此次泄露作出回应。(信息来源:安全内参)
(十九)日本日立旗下数字工程服务商GlobalLogic约9720名员工数据遭泄露
11月13日消息,日本日立旗下数字工程服务商GlobalLogic确认,其Oracle EBS平台遭网络攻击,导致约9720名员工及合同工的个人信息泄露,包括姓名、出生日期、国籍、护照/身份证号、银行账号以及社会安全号等敏感信息。攻击者利用Oracle EBS零日漏洞,通过多阶段Java植入实现未授权访问,攻击最早可追溯至7月10日。GlobalLogic强调,此次事件仅波及Oracle平台,未影响其他系统。(信息来源:BleepingComputer网)
(二十)肯尼亚政府遭网络攻击,多个部委官网被篡改
11月18日消息,肯尼亚政府确认遭网络攻击,包括内政部、卫生部、教育部、能源部、劳工部及水资源部等在内的多个政府官网被攻击者篡改,并悬挂种族主义信息长达数小时。肯尼亚政府称,此次攻击疑似由自称‘PCP@肯尼亚’的组织实施,目前已启动事件响应与恢复程序,协同相关部门减轻影响并恢复平台访问,系统正处于持续监控状态。截至目前,尚未有任何黑客组织宣称对此次攻击负责。(信息来源:HackerNews网)
(二十一)俄罗斯港口运营商数字基础设施遭网络攻击
11月17日消息,俄罗斯港口运营商PortAlliance确认其数字基础设施遭网络攻击,导致运营中断3天。攻击者利用来自全球超过1.5万个独立IP地址的僵尸网络发动分布式拒绝服务攻击。目前,该运营商未将此次攻击归因于特定黑客组织,表示其相关设施仍正常运行,所有关键系统未受影响。(信息来源:安情视界)
四、网安风险警示
(二十二)国家漏洞库CNNVD发布关于微软多个安全漏洞的通报
11月13日消息,国家漏洞库(CNNVD)发布关于微软多个安全漏洞的通报,其中微软产品本身漏洞63个,影响到微软产品的其他厂商漏洞7个,微软Microsoft Windows、Microsoft Windows等多个产品和系统受影响。CNNVD对这些漏洞进收录,评价危害等级,其中超危漏洞1个,高危漏洞48个,中危漏洞21个。目前,微软官方已经发布漏洞修复补丁,建议用户尽快采取修补措施。(信息来源:CNNVD安全动态)
(二十三)美CISA警告工业控制Lуnх+网关存在身份认证绕过漏洞
11月15日消息,美CISA通报通用工业控制Lynx+网关存在身份认证绕过漏洞CVE-2025-58083(CVSS评分10.0),攻击者可利用该漏洞通过网络远程访问设备的嵌入式Web服务器,绕过身份验证,直接执行敏感操作。美CISA建议相关机构启动风险评估,采取临时缓解措施,并密切跟踪官方补丁与修复方案,防止漏洞被恶意利用。(消息来源:美CISA网站)
(二十四)美IBM多款产品存在代码执行漏洞
11月13日消息,美IBM官方发布安全通告,披露其AIX和VIOS系统中NIM服务器服务存在远程代码执行漏洞CVE-2025-36250(CVSS评分10.0),攻击者可通过网络远程访问目标系统,绕过安全机制并执行任意命令,实现对系统的完全控制。截至目前官方已发布补丁,建议用户开展资产排查与补丁部署,同时加强网络边界防护与日志审计,防范潜在攻击。(信息来源:IBM官网)
(二十五)Desktop Alert PingAlert应用服务器存在身份认证绕过漏洞
11月14日消息,安全研究机构披露Desktop Alert PingAlert存在身份认证绕过漏洞CVE-2025-54339(CVSS评分10.0),6.1.0.11至6.1.1.2版本受影响。攻击者可通过网络远程发送特制请求,绕过身份验证机制,无需合法凭证即可访问受保护的管理接口或功能模块,进而完全控制目标系统。目前暂无明确证据表明该漏洞已被在野广泛利用,但鉴于其可远程绕过认证且无需用户交互,可能被APT组织或自动化攻击工具用于横向移动或持久化渗透。目前官方已发布补丁,建议用户立即更新。(消息来源:DesktopAlert网)
(二十六)华硕DSL系列路由器存在身份认证绕过漏洞
11月13日消息,华硕发布安全公告,披露其DSL系列路由器存在身份认证绕过漏洞CVE-2025-59367(CVSS评分9.8)。攻击者可绕过正常登录流程,直接访问敏感管理接口,实现未授权访问,导致设备被完全控制、配置被篡改、内网被渗透。截至目前官方尚未发布补丁,建议用户优先升级固件或实施网络层防护,防止潜在入侵事件发生。(信息来源:华硕官网)
(二十七)开源聊天机器人构建平台Typebot存在安全特性绕过漏洞
11月13日消息,安全研究机构披露开源聊天机器人构建平台Typebot在3.13.1之前的版本中存在严重SSRF漏洞CVE-2025-64709(CVSS评分9.6)。攻击者通过注入自定义请求绕过身份验证机制,进而获取临时AWS IAM凭证,控制整个Kubernetes集群,造成云环境全面沦陷。目前官方已发布新版本,建议受影响用户立即更新。(信息来源:GitHubSecurityAdvisory网)
