网络空间安全动态(202544期)
编者按:网安动向热讯,本期有九点值得关注:一是国家网信办、公安部就《大型网络平台个人信息保护规定》公开征求意见;二是国家网信办就《网络安全标识管理办法》及相关产品目录公开征求意见;三是全国网安标委就个人信息识别、去标识化、匿名化等3项网络安全标准实践指南公开征求意见;四是工信部印发《高标准数字园区建设指南》,明确四方面重点建设任务;五是特朗普签署行政令启动人工智能“创世纪计划”;六是美CISA等多机构联合发布《防弹防御:防范托管服务商的风险》指南;七是美CISA发布保护关键基础设施免受无人机系统威胁的新指南;八是英国发布《AI for Science战略》,投资1.37亿英镑推动人工智能驱动科学发现;九是德国发布首份《太空安全与保障战略》。
数据前沿快讯,本期有三点建议关注:一是国家数据局启动国企数据资源开发利用试点工作,12家央企为首批试点;二是中央空管办加强规范低空管理系统建设,构建“国家—省—市”三级低空监管体系;三是美国防信息系统局拨款约9.31亿美元推进数据中心现代化。
网安事件聚焦,本期有两方面内容建议关注:一是供应链屡遭黑客攻击,多家大型企业数据泄露。本期介绍:意大利国铁集团供应商Almaviva遭黑客入侵,2.3TB数据泄露;迪拜哈利法塔的消防安保供应商遭黑客攻击,1TB内部数据失窃;西班牙伊比利亚航空因供应商安全漏洞导致客户数据泄露。二是互联网基础设施仍存在故障风险,影响范围甚广。本期介绍:Cloudflare因配置错误导致全球网络故障,引发数小时互联网中断;朝鲜黑客组织Kimsuky与Lazarus联手利用0Day漏洞攻击全球关键行业;陕西某公司涉无人机管理平台遭攻击导致数据泄露被罚。
网安风险警示,本期有六点建议关注:一是趋势科技发布《网络威胁AI化:2026年安全预测》报告;二是美CISA警告Oracle高危漏洞正被积极利用;三是微软Azure Bastion中存在高危满分漏;四是开源数据可视化和监控工具Grafana修复满分高危漏洞;五是知名npm包Markdown to PDF存在满分漏洞;六是FACTION渗透测试报告生成与协作框架存在远程代码执行漏洞。
一、网安动向热讯
(一)国家网信办、公安部就《大型网络平台个人信息保护规定》公开征求意见
11月22日,国家互联网信息办公室、公安部发布《大型网络平台个人信息保护规定(征求意见稿)》,并向社会公开征求意见,意见反馈截止日期为2025年12月22日。该规定旨在规范大型网络平台个人信息处理活动,明确将注册用户超5000万或月活跃用户超1000万的平台纳入监管范围。国家网信部门将会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新。该规定要求大型网络平台设立由管理层担任的个人信息保护负责人,该负责人须具备中国国籍且无境外永久居留权。平台须将在境内收集的个人信息存储在符合安全标准的数据中心,并为用户行使个人信息权利提供便捷途径。此外,平台还需接受合规审计,并在发生重大安全事件时接受第三方专业机构监督。(信息来源:网信中国)
(二)国家网信办就《网络安全标识管理办法》及相关产品目录公开征求意见
11月21日,国家互联网信息办公室发布《网络安全标识管理办法》(征求意见稿)和《实施网络安全标识的产品目录(第一批)》(征求意见稿),并向社会公开征求意见,意见反馈截止日期为2025年12月6日。该办法旨在提升产品的网络安全能力,加强消费者权益保护,维护网络安全和公共利益,涵盖总则、标识实施、监督管理、附则等内容。总则明确制定目的、适用范围、管理原则及部门职责。标识实施规定标识等级、内容、样式、检测、备案及有效期等要求,如网络安全标识分基础级、增强级、领先级,对应一星、二星、三星,产品生产者依规则检测、备案后使用标识。监督管理强调相关部门监督职责,对违规行为有撤销备案、公告等处理措施。附则说明相关定义、排除产品及施行日期。国家网信办、工信部负责网络安全标识管理工作,分批制定公布《实施网络安全标识的产品目录》。(信息来源:网信中国)
(三)全国网安标委就个人信息识别、去标识化、匿名化等3项网络安全标准实践指南公开征求意见
11月24日消息,全国网安标委发布《个人信息识别指南》《个人信息去标识化指南》《个人信息匿名化指南》等3项个人信息保护系列实践指南征求意见稿,旨在为个人信息处理者提供具体、可操作的实施细则,以保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。《个人信息识别指南》给出了个人信息识别方法,对个人信息识别要素进行了阐释和示例。《个人信息去标识化指南》明确了脱敏与假名化两种主要的去标识化技术路径,给出了假名化的实现框架、流程步骤、安全保障措施,以及常见类型个人信息脱敏示例等。《个人信息匿名化指南》给出了匿名化的判断规则、实现方式、适用场景,以及个人信息匿名化参考案例、匿名化处理涉及的技术等。意见反馈截止日期为2025年12月7日。(信息来源:全国网安标委)
(四)工信部印发《高标准数字园区建设指南》,明确四方面重点建设任务
11月21日消息,工业和信息化部印发《高标准数字园区建设指南》,为园区开展数字化转型、探索数字化整体提升路径提供指引。指南明确,高标准数字园区依托国务院或省级人民政府批准设立的、以制造业和生产性服务业为主导产业的各类园区或“园中园”开展建设,并提出了产业数字化水平高、专业服务品质高、运营管理效率高、基础设施能级高等“四高”标准。指南提出,到2027年,建成200个左右高标准数字园区,实现园区规上工业企业数字化改造全覆盖,并将重点开展四方面建设任务:推进产业数字化转型;加强园区数字化服务;完善园区数字化管理;夯实数字化支撑能力。(信息来源:工信微报)
(五)特朗普签署行政令启动人工智能“创世纪计划”
11月24日,美总统特朗普签署了一项行政命令,正式启动人工智能“创世纪计划”,旨在利用人工智能变革科学研究方式、加速科学发现。该命令指示美能源部创建一个人工智能实验平台,整合美国超级计算机和独特数据资产,以生成科学基础模型并为机器人实验室提供支持。该命令指示总统科学与技术事务助理协调这项国家计划,并整合联邦政府各部门的数据和基础设施。美能源部长、总统科学与技术事务助理以及人工智能与加密技术特别顾问将与学术界和私营部门的创新者合作,支持并加强“创世纪计划”。(信息来源:美白宫网站)
(六)美CISA等多机构联合发布《防弹防御:防范托管服务商的风险》指南
11月19日,美网络与基础设施安全局(CISA)与国家安全局、国防部网络犯罪中心、联邦调查局及国际合作伙伴合作,共同发布了《防弹防御:防范托管服务商的风险》指南,旨在帮助互联网服务提供商和网络防御者减轻防弹托管提供商引发的网络犯罪活动。该指南聚焦于识别和阻断攻击者常用战术,包括利用合法远程管理工具(如RMM软件)进行隐蔽渗透、滥用云服务实施横向移动,以及通过钓鱼邮件投放恶意载荷等手段。(信息来源:美CISA网站)
(七)美CISA发布保护关键基础设施免受无人机系统威胁的新指南
11月19日,美CISA发布了三份关于无人机安全的新指南:《关键基础设施无人机系统检测技术指导》《关键基础设施所有者和运营商的可疑无人机系统活动指导》以及《坠落无人机系统安全处理注意事项》,旨在帮助关键基础设施所有者和运营商理解并缓解与无人机系统相关的风险。上述指南由政府合作伙伴、无人机专家及来自关键基础设施领域的行业代表共同制定,是美CISA的“Be Air Aware™”资源的一部分,旨在提升对无人机所构成的网络和物理威胁的认识,并为管理无人机对关键基础设施和公共聚会的风险提供切实可行的解决方案。美CISA的“Be Air Aware™”资源旨在赋能关键基础设施所有者和运营商,提供更好地保护系统和资产所需的信息。(信息来源:美CISA网站)
(八)英国发布《AI for Science战略》,投资1.37亿英镑推动人工智能驱动科学发现
11月20日,英国科学、创新和技术部(DSIT)发布《AI for Science战略》,宣布将在未来5年内投入1.37亿英镑,推动AI技术在科学研究中的深度应用,加速从新药研发到清洁能源等关键领域的研发突破,确保英国在全球AI科学革命中保持领先地位。该战略围绕发展AI驱动科学的前沿能力和确保英国保持全球科学领导地位两大核心目标展开,并确立了3大核心支柱:数据—构建AI就绪的科学数据生态;算力—提供世界级超级计算资源;人才与文化—培养跨学科新一代科学家。(信息来源:英国政府网站)
(九)德国发布首份《太空安全与保障战略》
11月24日消息,德国发布首份《太空安全与保障战略》,提出10项跨部门优先事项及3类战略行动,以及未来5年内投资410亿美元用于太空安全,旨在打造独立自主的太空攻防能力。10项优先事项包括:强化德国与欧洲航天基础设施的运行能力;支持发展快速响应、韧性和创新的航天工业;支持科技创新以实现军事航天作战能力;实现太空域网络作战和电磁频谱作战能力;通过整合与共享等方式缩小能力差距;发展和加强德国天基情监侦能力,减少对外依赖,确保国家具备军事行动能力;推动德国太空系统融入北约;促进德国利用欧洲航天基础设施;军民协同发展德国太空态势感知能力;在联合国框架下制定负责任的国家太空行为规范。3类战略行动包括:识别太空风险并制定应对方案、促进国际合作并构建可持续秩序及打造威慑力并增强防御能力。(信息来源:国防科技要闻)
二、数据前沿快讯
(十)国家数据局启动国企数据资源开发利用试点工作,12家央企为首批试点
11月25日消息,国家数据局会同国务院国资委启动了国有企业数据资源开发利用试点工作,明确了12家中央企业为首批试点牵头单位,联合民营企业、科研院所、专业服务机构等共同承担试点任务。试点涉及能源电力、交通物流、新材料、绿色低碳等传统和新兴领域,围绕数据资源开发利用和人工智能创新应用,重点打造一批典型数据应用场景,旨在通过数据效能提升行动,增强国有企业数据治理能力,到2027年实现数据开发利用水平显著提升,服务超10万家中小企业的目标。实施国有企业数据效能提升行动,重点围绕创新数据管理机制、培育壮大数据产业、赋能产业转型升级、优化创新环境4个方面,部署了10项重点任务。(信息来源:国家数据局)
(十一)中央空管办加强规范低空管理系统建设,构建“国家—省—市”三级低空监管体系
11月24日消息,中央空管办制定出台《国家级和省、市级低空飞行综合监管服务平台功能要求(1.0版)》《国家级和省、市级低空飞行综合监管服务平台信息交互规范(1.0版)》,对低空管理系统建设加强规范。新规确立了“国家—省—市”三级一体化架构,旨在统一有人与无人、国家与民用航空器的管控。核心在于构建跨部门统一数据底座,横向打通公安、民航等部门系统,实现飞行信息按需共享。在技术层面,文件强调利用人工智能与大数据模型,强化航迹预测、冲突预警及电子围栏等监管功能。(信息来源:新华社)
(十二)美国防信息系统局拨款约9.31亿美元推进数据中心现代化
11月21日消息,美国防信息系统局(DISA)拨款约9.31亿美元,推进其国防云实例(DCI)计划下的数据中心现代化。此举是DISA云环境的核心组成部分,旨在加强对国防部及其合作伙伴关键任务行动的支持。DCI计划旨在补充联合作战云能力,确保全球行动的数据主权并简化指挥控制功能。(信息来源:启元洞见)
三、网安事件聚焦
(十三)意大利国铁集团供应商Almaviva遭黑客入侵,2.3TB数据泄露
11月20日消息,意大利国家铁路运营商FS Italiane Group的数据因其IT服务商Almaviva遭网络攻击而泄露。黑客声称已窃取2.3TB数据并在暗网论坛公开,包括机密文档和敏感企业信息,内容涵盖内部共享文件、多公司代码库、技术文档、公共实体合同、人力资源档案、财务数据以及FS集团多家公司的完整数据集。Almaviva已向意大利警方、国家网络安全机构和数据保护机构报告此事件,调查仍在进行中。目前尚不清楚泄露数据中是否包含乘客信息,以及是否影响其他客户。(信息来源:BleepingComputer网)
(十四)迪拜哈利法塔的消防安保供应商遭黑客攻击,1TB内部数据失窃
11月21日消息,全球最高建筑迪拜哈利法塔的消防系统服务商NAFFCO公司遭网络攻击。知名勒索软件组织INC Ransom声称窃取了该公司高达1TB的内部数据,导致其陷入严重的安保与声誉危机。泄露数据可能包含公司运营细节、年度合同清单、与客户公司的个别合同、员工名单及身份信息。NAFFCO公司总部位于迪拜,是海湾地区消防设备及安防工程系统领域的生产供应商,客户涵盖政府机构、民防部门和应急响应组织等。(信息来源:安全内参)
(十五)西班牙伊比利亚航空因供应商安全漏洞导致客户数据泄露
11月23日消息,西班牙旗舰航空公司伊比利亚航空因供应商系统遭未授权访问,导致客户数据泄露,包括客户姓名、邮箱、忠诚卡识别号,但账户登录凭证、密码及银行支付卡信息暂未被波及。此前有威胁行为者在黑客论坛声称获取77GB伊航数据并欲以15万美元出售。事件发生后,伊航启动安全协议,对客户账户关联邮箱增加保护,监测系统可疑活动,通知相关部门并与供应商协同调查。目前无数据被欺诈使用证据,伊航已通知受影响客户,并建议其留意可疑通信。(信息来源:安全内参)
(十六)Cloudflare因配置错误导致全球网络故障,引发数小时互联网中断
11月20日消息,网络安全公司Cloudflare因配置错误遭全球网络故障,导致包括ChatGPT、社交媒体平台X、美国能源监管机构和新泽西交通局等在内的大量网站和服务无法访问,影响了约20%的全球互联网流量。Cloudflare作为网络安全基础设施,为超过8100万个网站提供安全防护和流量路由服务,其故障不仅导致网站无法访问,还可能引发数据泄露和业务连续性风险。Cloudflare已采取多项措施,加强配置保护,优化代理错误处理,防止诊断工具过度使用系统资源。(信息来源:SecurityOnline网)
(十七)朝鲜黑客组织Kimsuky与Lazarus联手利用0Day漏洞攻击全球关键行业
11月22日消息,朝鲜黑客组织Kimsuky和Lazarus已联手发起攻击行动,通过将社会工程学与0Day漏洞利用相结合的系统性攻击手段,窃取敏感情报和加密货币,威胁全球组织机构安全。攻击专门针对区块链钱包,通过扫描系统内存获取浏览器扩展和桌面应用程序中存储的私钥及交易数据。完成攻击目标后,两个组织会通过共享基础设施协同清除攻击证据,使用合法系统进程覆盖恶意文件并删除攻击日志。国防、金融、能源和区块链行业机构面临最高风险。(信息来源:FreeBuf网)
(十八)陕西某公司涉无人机管理平台遭攻击导致数据泄露被罚
11月23日消息,陕西某无人机技术公司开发、使用的无人机管理平台遭黑客网络攻击,平台内存储的部分数据被窃取。陕西西安公安网安部门在依法立案侦查时发现,该公司无人机管理平台存在安全漏洞,且公司内部未建立全流程数据安全管理制度,未组织开展数据安全教育培训,缺乏必要的技术防护措施。针对该公司不履行数据安全保护义务的违法行为,陕西西安公安机关依据《中华人民共和国数据安全法》,依法追究了该公司的法律责任并责令其限期改正。(信息来源:公安部网安局)
四、网安风险警示
(十九)趋势科技发布《网络威胁AI化:2026年安全预测》报告
11月25日,趋势科技发布《网络威胁AI化:2026年安全预测》报告,重点分析了将塑造2026年及未来网络威胁态势的关键趋势。报告指出,网络安全正迈入一个由自动化与持续互联共同塑造的新时代,企业正积极采用AI工具以提升效率、强化决策并释放新的价值。当今组织依赖庞大的云平台、第三方供应商与互联系统网络,而其中许多超出了其直接控制范围。随着企业不断将AI与自动化融入运营,在创新与安全之间取得平衡将成为未来数年的关键挑战之一。该报告探讨了这些力量如何重塑威胁态势,以及2026年重大风险可能出现的六大领域,即AI威胁、APT威胁、企业威胁、云威胁、勒索软件与漏洞。报告认为,每个领域都显示出一个愈发清晰的趋势:网络威胁正变得比以往任何时候都更快速、更自动化、更具协同性。(信息来源:趋势科技网站)
(二十)美CISA警告Oracle高危漏洞正被积极利用
11月21日消息,美CISA发布严重警告,称Oracle Identity Manager远程代码执行漏洞CVE-2025-61757(CVSS评分9.8)正被积极利用。该漏洞被追踪为零日漏洞,已被实际用于攻击,对联邦企业构成重大风险。攻击者可通过该漏洞绕过身份验证直接访问Groovy脚本编译端点,利用Groovy的注解处理功能,在编译时注入恶意代码实现远程执行,无需任何身份验证。美CISA要求联邦民事行政部门机构必须在2025年12月12日前修复该漏洞。(信息来源:BleepingComputer网)
(二十一)微软Azure Bastion中存在高危满分漏洞
11月24日消息,微软Azure Bastion中存在严重漏洞CVE-2025-49752(CVSS评分10.0),可导致远程攻击者绕过认证机制并提升至管理员权限,影响2025年11月20日及之前版本。攻击者成功利用该漏洞则无需物理访问权限、特殊权限或者用户交互,即可攻陷整个Bastion基础设施及与其连接的虚拟机。该漏洞对依赖Azure Bastion以管理员权限安全访问云基础设施的组织机构带来严重风险。Azure Bastion是微软提供的一项管理服务,为Azure中的虚拟机提供RDP和SSH安全连接服务,广泛部署于企业。微软表示已完全缓解该漏洞,用户无需采取任何措施。(信息来源:代码卫士)
(二十二)开源数据可视化和监控工具Grafana修复满分高危漏洞
11月23日消息,Grafana发布安全更新修复了安全漏洞CVE-2025-41115(CVSS评分10.0),因跨域身份管理系统(SCIM)配置缺陷可致权限提升,影响Grafana Enterprise 12.0.0至12.2.1版本。该漏洞存在于SCIM组件中,支持自动化用户配置与管理功能,在特定配置下可能引发权限提升或用户身份冒充风险。Grafana是一款流行的开源数据可视化和监控工具,支持多种数据源,如Prometheus、Graphite、InfluxDB等。鉴于漏洞的严重性,建议用户立即安装补丁以规避潜在风险。(信息来源:TheHackerNews网)
(二十三)知名npm包Markdown to PDF存在满分漏洞
11月24日消息,知名npm包Markdown to PDF存在严重安全漏洞CVE-2025-65108(CVSS评分10.0),攻击者可通过构造恶意的Markdown前端元数据,在目标系统上实现任意JavaScript代码执行,受影响版本为md-to-pdf 5.2.5之前的所有版本。任何使用该工具处理不可信Markdown内容的应用程序、构建系统或云服务均面临严重风险。该npm包每周下载量逾4.7万次,用于将Markdown文档转换为PDF文件。目前该漏洞已修复,建议用户立即升级至5.2.5或更高版本。(信息来源:FreeBuf网)
(二十四)FACTION渗透测试报告生成与协作框架存在远程代码执行漏洞
11月26日消息,FACTION渗透测试报告生成与协作框架存在远程代码执行漏洞CVE-2025-66022(CVSS评分9.6),影响1.7.1及以下版本。攻击者可利用未认证的/portal/AppStoreDashboard端点上传恶意扩展包,并通过扩展框架的生命周期钩子机制执行任意系统命令,实现对目标服务器的完全控制。攻击者无需登录即可上传恶意扩展,结合生命周期钩子机制实现远程命令执行,攻击路径简单、危害严重,极易被用于构建持久化后门或横向渗透。目前尚未发现明确的在野利用证据,建议相关组织立即采取升级与加固措施,防范潜在的供应链攻击或内部渗透事件。(信息来源:GitHub网)
