网络空间安全动态（202545期）

      编者按：网安动向热讯，本期有八点值得关注：一是习近平：健全网络生态治理长效机制，持续营造风清气正的网络空间；二是庄荣文：推动网信事业高质量发展，开创网络强国建设新局面；三是国务院新闻办公室发布《新时代的中国军控、裁军与防扩散》白皮书；四是网信部门依法集中查处一批存在人工智能生成合成内容标识违法违规问题的移动互联网应用程序；五是美战争部发布《运营技术零信任》安全指南文件；六是欧盟与韩国宣布将继续深化在人工智能、网络威胁信息共享等方面的合作；七是澳大利亚成立人工智能安全研究所；八是北约启动2025年度“网络联盟”集体网络防御演习。

       数据前沿快讯，本期有两点建议关注：一是五部门联合印发关于加强数据要素学科专业建设和数字人才队伍建设的意见；二是美国防信息系统局推进数据中心混合云架构现代化升级。

      网安事件聚焦，本期有两方面内容建议关注：一是涉及电商、制造业、科教等多领域大规模数据泄露事件频发，给企业和民众带来巨大经济损失。本期介绍：韩国电商巨头Coupang公司3370万用户信息遭泄露；日本朝日集团确认约200万客户及员工数据遭黑客窃取；美钢铁制造巨头库珀遭黑客入侵，330GB数据被窃取；哈佛大学AAD系统遭攻击致高价值数据被泄露；OpenAI因其分析供应商遭短信钓鱼攻击致部分用户数据泄露。二是美、英等国多个政府机构遭不同程度网络攻击，引发民众对数字化服务的担忧。本期介绍：英国伦敦多家市政厅遭网络攻击致服务中断；美国十余州的市政紧急警报系统因供应商遭网络攻击被迫中断服务。

      网安风险警示，本期有五点建议关注：一是网络安全巨头Palo Alto：2026年网络安全趋势预测；二是React Server Components远程代码执行漏洞安全风险通告；三是美CISA将OpenPLC ScadaBR纳入KEV目录；四是华硕紧急修复启用AiCloud路由器的严重认证绕过漏洞；五是开源地理信息系统服务器GeoServer XML存在外部实体注入漏洞。

      一、网安动向热讯

       （一）习近平：健全网络生态治理长效机制，持续营造风清气正的网络空间

       11月28日，中共中央政治局就加强网络生态治理进行第二十三次集体学习。中共中央总书记习近平在主持学习时强调，网络生态治理是网络强国建设的重要任务，事关国家发展和安全，事关人民群众切身利益。要健全网络生态治理长效机制，着力提升治理的前瞻性、精准性、系统性、协同性，持续营造风清气正的网络空间。习近平强调，网络生态治理在国家治理中占有重要地位。要在党中央集中统一领导下，健全网络综合治理格局，形成治理合力。当前人工智能、大数据等新技术新应用不断涌现，给网络生态治理带来挑战，也提供新的支持条件。要鼓励网信领域新技术发展，促进研发成果转化和应用场景落地。要完善分级分类的安全监管机制，筑牢网络安全和数据安全防线。（信息来源：新华社）

       （二）庄荣文：推动网信事业高质量发展，开创网络强国建设新局面

       12月2日消息，中央网信办主任庄荣文在深入学习贯彻党的二十届四中全会精神时，就落实“十五五”规划建议关于加强网络、数据领域国家安全能力建设以及人工智能安全和治理部署时强调：一是强化网络安全保障。加强网络安全统筹协调和顶层设计，持续构建大网络安全工作格局。加快国家网络安全防御体系建设，强化关键信息基础设施安全保护。加强网络安全风险监测预警能力建设，常态化做好12387网络安全事件报告平台运行，统筹做好重大活动网络安全保障。发挥网络安全审查、云计算服务安全评估作用，提高供应链安全水平。不断提升网络安全教育技术产业融合发展实力。二是强化数据安全防护。加强网络数据治理，完善网络数据分类分级保护、安全风险评估等基础制度。优化数据跨境管理，指导重点行业领域加快制定数据跨境流动合规指引，支持自由贸易试验区等制定发布数据出境负面清单。加强个人信息保护，常态化开展互联网应用程序等个人信息安全检测评估，严厉打击侵犯个人信息违法犯罪活动。三是强化人工智能安全治理。网信部门着力深化人工智能安全治理，积极推动生成式人工智能发展和管理，截至2025年12月1日，已有663款大模型服务完成备案。下一步，要更好统筹发展和安全，提升人工智能安全治理水平。（信息来源：网信中国）

       （三）国务院新闻办公室发布《新时代的中国军控、裁军与防扩散》白皮书

       11月27日，国务院新闻办公室发布《新时代的中国军控、裁军与防扩散》白皮书。在网络安全方面，白皮书指出，白皮书指出，外空、网络、人工智能等新兴领域是人类发展的新高地、战略安全的新焦点、全球治理的新疆域。中国主张，在各国普遍参与的基础上，发挥联合国主渠道作用，推动形成具有广泛共识的新兴领域全球治理体系框架和标准规范，增强发展中国家代表性和发言权。在网络领域，白皮书系统阐释网络主权原则，反对从实力地位出发“主宰网络空间”；反对肆意攻击别国关键基础设施；反对将意识形态和军事同盟引入网络空间。在人工智能领域，白皮书倡导以人为本、智能向善发展理念，主张大国应本着慎重负责的态度在军事领域研发和使用人工智能技术，确保武器系统始终处在人类控制之下，防止“机器杀人”的伦理惨剧。（信息来源：新华社、环球时报）

      （四）公安部就《公安机关网络空间安全监督检查办法》公开征求意见

       11月29日，公安部发布《公安机关网络空间安全监督检查办法(征求意见稿)》，面向社会公开征求意见，意见反馈截止日期为2025年12月28日。意见稿主要包括六方面内容：一是明确监督检查对象，包括对网络安全、信息安全、数据安全的监督检查，明确监督检查对象包括网络运营者、数据处理者和个人信息处理者等。二是明确监督检查方式，包括线上巡查和线下核查。三是明确监督检查内容，主要对被检查对象是否履行法定的网络安全、信息安全、数据安全义务等情况进行检查。四是明确监督检查频次，要求对网络安全等级保护三级以上的网络运营者、关键信息基础设施运营者，每年开展一次监督检查。五是明确检查结果运用，对监督检查发现的网络安全、信息安全、数据安全问题隐患，公安机关可以采取督促整改、发送公安提示函、通报处置、约谈等措施，也可以依法进行处罚。六是明确相关法律责任。（信息来源:公安部官网）

      （五）网信部门依法集中查处一批存在人工智能生成合成内容标识违法违规问题的移动互联网应用程序

       11月28日消息，针对部分网站平台未有效落实人工智能生成合成内容标识规定要求相关问题，网信部门集中查处一批违法违规移动互联网应用程序。主要情形包括：一是人工智能生成合成服务提供者未对生成合成的内容添加显式标识；提供生成合成内容导出功能时，未在文件中添加显式标识；在生成合成内容的文件元数据中，未添加包含属性信息、服务提供者名称或者编码、内容编号等制作要素信息的隐式标识；隐式标识添加位置不规范等。二是网络信息内容传播服务提供者未落实隐式标识核验、在发布内容周边添加显著提示标识相关要求；未在生成合成内容传播活动涉及的文件元数据中添加属性信息、传播平台名称或编码、内容编码等传播要素信息；未向用户提供声明生成合成内容的功能等。（信息来源：中国网信网）

      （六）美战争部发布《运营技术零信任》安全指南文件

       12月2日消息，美战争部发布《运营技术零信任》安全指南文件，明确如何在运营技术（OT）中实施零信任原则。该指南列出105项零信任活动及能力成果，其中84项为必须达到的“目标级”要求，21项为更高标准的高级要求。内容按照七大支柱分类，包括用户、设备、应用与工作负载、数据、网络与环境、自动化与编排，以及可视性与分析。此次发布的指南将适用范围扩展至运营技术，即所有与物理环境交互或控制相关设备的可编程系统。该指南指出，OT环境涵盖设施控制系统、电网、能源管理、交通系统，以及部分武器系统或关键基础设施组件。战争部计划在2026年初发布更新的零信任战略，并将进一步制定针对武器系统和关键国防基础设施的专项指南文件。（信息来源：Meritalk网）

      （七）欧盟与韩国宣布将继续深化在人工智能、网络威胁信息共享等方面的合作

       11月28日消息，欧盟和韩国共同举办第三届数字伙伴关系理事会，宣布进一步推进新兴数字技术合作。双方将继续在半导体、6G、人工智能和量子技术等新兴技术领域开展联合研究和创新，包括在人工智能领域保持密切的监管合作，加强数据空间信息交流、网络威胁信息共享、软件供应链安全以及物联网产品安全认证方面的合作，提升未来竞争力和技术领先地位，增强关键技术韧性。（信息来源：欧盟委员会官网）

       （八）韩国发布AI监管协调路线图

       12月1日消息，韩国国务总理秘书室与国务调整室联合发布《新产业监管合理化第一号路线图（AI领域）》，意图通过挖掘产业监管痛点，消除阻碍人工智能发展的监管壁垒。该路线图主要内容包括：一是消除AI学习数据的法律不确定性，如发布著作权“合理使用”指南、公共数据开放、公共著作权利用。二是优化AI基础设施建设监管。三是促进自动驾驶与机器人服务的商业化，如扩大自动驾驶实证区、放宽机器人监管。四是确立“高影响AI”概念与招聘规范，如明确“高影响AI”定义、制定发布AI招聘指南。韩国相关部门将根据该路线图设定的时间表推进上述法律修订和指南制定工作。（信息来源：网络与数据法实务）

       （九）澳大利亚成立人工智能安全研究所

       12月2日消息，澳大利亚成立人工智能安全研究所，以应对前沿人工智能系统的新威胁。该研究所将通过动态风险应对、技术影响评估、政府协同行动、公众指南制定及国际承诺履行等核心职能，构建针对新兴人工智能技术的全方位防护体系。作为推进“人工智能安全科学”建设的关键举措，澳大利亚通过加入人工智能安全研究所国际网络，与加拿大共同牵头人工智能生成内容风险研究议程，并参与前沿系统联合测试。同时，澳大利亚积极贡献于《国际人工智能安全报告》等国际合作机制，并联合Gradient Institute和CSIRO等澳国内科研机构开展专项研究，确保人工智能发展既安全可控又符合人类价值观。（信息来源：澳大利亚工业、科学与资源部）

       （十）北约启动2025年度“网络联盟”集体网络防御演习

       11月28日，北约盟军转型司令部在爱沙尼亚塔林启动2025年度“网络联盟”演习，旨在演练和检验将网络空间融入盟军行动和任务的能力。此次演习汇集了29个北约盟国、7个伙伴国、欧盟以及来自学术界和产业界的1300多名参演人员和合作者。演习重点是北约、盟国和伙伴国在网络空间内外威慑、防御和应对威胁的能力，旨在检验网络作战人员开展集体网络行动、信息共享机制、事件响应以及将网络空间融入多域作战的能力。通过复杂而真实的场景挑战参演团队，包括针对关键基础设施、云服务、政府网络、军事行动的攻击，以及针对天基系统和支持基础设施的网络攻击，以检验参与者的检测、响应和缓解能力。（信息来源：奇安网情局）

       二、数据前沿快讯

       （十一）五部门联合印发关于加强数据要素学科专业建设和数字人才队伍建设的意见

       12月2日消息，国家发展改革委、国家数据局等五部门联合发布《关于加强数据要素学科专业建设和数字人才队伍建设的意见》。意见提出，以国家战略为牵引，健全数据要素学科专业。以产业发展为导向，推进数据行业职业教育。以有组织科研为支撑，繁荣数据领域学术研究。以应用场景为载体，促进数据领域产学研用协同。国家数据局会同教育部、国家发展改革委、科技部强化组织推进数据要素学科专业建设和数字人才队伍建设，建立常态化工作联系机制，共同营造政产学研协同培养数字人才的良好环境。（信息来源：国家数据局）

       （十二）美国防信息系统局推进数据中心混合云架构现代化升级

       12月1日消息，美国防信息系统局（DISA）授予慧与（HPE）公司一份为期10年、总额近10亿美元的协议，将通过混合多云架构全面升级DISA的数据中心基础设施。本次现代化建设将依托HPE的绿湖平台，在DISA现有数据中心内部署安全的私有云环境，以提升数据管理能力、简化IT架构并强化人工智能与数据分析应用。该项目属于DISA“云实例计划”的一部分，与“联合战斗云能力”互补，旨在为美军提供更灵活、更安全的多云与混合云技术支撑，帮助军事指挥部门在未来战场获得更高的数据主权与决策优势。HPE公司的私有云方案采用零信任架构，将支持DISA多类型关键任务负载，并强化其在远程与受限环境下执行指挥控制任务的计算自主性。（信息来源：Meritalk网）

      三、网安事件聚焦

       （十三）韩国电商巨头Coupang公司3370万用户信息遭泄露

       11月30日，韩国有关部门正在调查电商巨头Coupang公司发生的一起数据泄露事件，此次事件导致约3370万个（该国人口为5170万）账户信息外泄，包括姓名、电话号码、电子邮箱、收货地址及部分订单记录，但支付信息与登录凭证未受影响。Coupang称，未经授权的攻击者自6月24日起通过海外服务器发起攻击并逐步扩大攻击规模，发现异常后已立即向韩国个人信息保护委员会、警方及互联网安全局报告，并启动应急响应，建议用户定期修改密码、启用双因素认证。（信息来源：IT之家）

       （十四）日本朝日集团确认约200万客户及员工数据遭黑客窃取

       11月28日消息，日本朝日集团确认9月份发生的网络攻击事件导致约200万客户及员工数据遭黑客窃取。攻击者通过集团场地内的网络设备非法接入数据中心网络，同时部署勒索软件，对多台运行中的服务器及部分接入网络的电脑设备进行数据加密。此次事件导致朝日集团旗下多家工厂停产，啤酒、饮料及食品的接单与出货完全停摆，企业需通过电话、传真等传统方式处理业务，对日本整个行业供应链造成的连锁影响还在持续扩大。（信息来源：安全威胁纵横）

      （十五）美钢铁制造巨头库珀遭黑客入侵，330GB数据被窃取

       11月25日，美钢铁制造巨头库珀公司遭黑客入侵，其FTP服务器完整数据（总量达330GB）被窃取并在暗网以2.85万美元价格出售。泄露内容涉及亚马逊俄亥俄州数据中心与马萨诸塞州分拣中心的结构设计图纸，以及沃尔玛配送中心、普布利克斯冷链仓库等多项重要工程的模型与技术文件。库珀是亚马逊等科技巨头的直接承包商。研究人员表示，专有技术图纸的流失，可能对基础设施建设的商业秘密与安全防护构成严重威胁。（信息来源：HackerNews网）

      （十六）哈佛大学AAD系统遭攻击致高价值数据被泄露

       11月25日消息，哈佛大学承认其校友与发展系统AAD遭攻击，导致部分在校生、校友、教职工及捐赠者的个人信息外泄。黑客通过语音钓鱼攻击窃取系统中的传记类信息、活动出席记录以及详细捐赠数据等。AAD系统是哈佛维持其全球影响力的核心数据库，记录了全球政商精英与哈佛的人际网络图谱、资金往来细节及私密社交轨迹等。哈佛大学在声明中表示，已在第一时间采取措施，切断攻击者对系统的访问权限，目前正与第三方网络安全专家及执法部门共同展开调查。（信息来源：IT之家）

       （十七）OpenAI因其分析供应商遭短信钓鱼攻击致部分用户数据泄露

       11月28日消息，OpenAI正在通知部分ChatGPT API客户，称由于其分析供应商Mixpanel遭短信钓鱼攻击，部分有限的可识别信息被泄露，包括API账号中填写的姓名、与API账号关联的电子邮件地址、根据API用户浏览器推测得出的大致位置（城市、州、国家），以及用于访问API账号的操作系统及浏览器信息等。但ChatGPT或其他产品的用户聊天内容、API请求、API使用数据、密码、凭据、API密钥、支付信息或身份证件等信息未被波及。OpenAI已启动调查，以确定事件的影响范围，并将Mixpanel从其生产服务中移除。（信息来源：安全内参）

      （十八）英国伦敦多家市政厅遭网络攻击致服务中断

       11月27日消息，英国伦敦肯辛顿-切尔西、威斯敏斯特及哈默史密斯-富勒姆三家市政厅因共享IT系统遭网络攻击，导致电话、邮件等服务中断，部分公共服务受限。上述三家市政厅已向英国信息专员办公室报备，并联合英国国家网络安全中心进行调查。哈克尼区市政厅虽未直接受此次事件影响，但已将内部网络安全威胁等级上调至极高，并提醒员工警惕钓鱼攻击。目前官方已启动应急响应，事件仍在调查中。（信息来源：安全威胁纵横）

       （十九）美国十余州的市政紧急警报系统因供应商遭网络攻击被迫中断服务

       11月27日消息，美国知名风险管理公司Crisis24确认，旗下供美国各州和地方政府、警察部门及消防机构所使用的紧急通知平台OnSolve CodeRED遭网络攻击，平台内数据遭窃取，包括姓名、电话号码、电子邮件地址以及用于CodeRED用户资料的密码等。攻击导致美国十余州的市政紧急警报系统被迫中断服务。科罗拉多州、蒙大拿州、俄亥俄州等多地市政机构均向居民发出警告，要求其更改注册该平台告警时使用的密码。INC勒索软件组织宣布对此次攻击负责，并在其暗网发布疑似被盗数据的截图。（信息来源：安全内参）

      四、网安风险警示

       （二十）网络安全巨头Palo Alto：2026年网络安全趋势预测

       12月1日消息，网络安全巨头Palo Alto预言在AI经济下，网络安全将迎来六大新格局。一是新型欺骗时代，AI身份面临的威胁。身份作为企业信任的基石，将在2026年的AI经济中成为首要战场，攻击面已不再只是网络或应用，而是身份本身。二是新型内部威胁，保护AI代理。2026年将迎来一种全新且不可替代的AI治理工具的大规模企业级采用，既是战略必然，也蕴含固有风险。三是新机遇，解决数据可信问题。在2026年，“数据投毒”将成为新的攻击前沿，因为攻击被植入了支撑企业核心智能的数据本身，威胁从数据泄露向更深层次演变，传统边界已不再有效。四是新法律责任，AI风险与高管问责。在2026年，AI驱动的竞争将撞上法律现实的高墙，围绕“AI失误后谁来负责”的争议，将从理论讨论转变为法律判例，形成一种全新的、直接面向高管的责任标准，用于治理AI企业。五是新倒计时，量子迫切性。到2026年，政府的强制要求将推动关键基础设施及其供应链全面启动向后量子密码学的过渡。六是新连接，浏览器成为新型工作空间。浏览器正在从信息汇集工具演变为代理式平台，能够代表用户执行复杂任务，但基于浏览器的威胁正在急速攀升。（信息来源：安全内参）

       （二十一）React Server Components远程代码执行漏洞安全风险通告

       12月4日消息，奇安信CERT监测到官方修复React Server Components远程代码执行漏洞CVE-2025-55182和Next.js远程代码执行漏洞CVE-2025-66478（CVSS评分10.0），主要影响react-server-dom-webpack的Server Actions功能。由于在解析客户端提交的表单时缺少安全校验，攻击者可通过构造恶意表单请求，直接调用Node.js内置模块，从而在服务器上执行任意系统命令、读写任意文件，甚至完全接管服务。React是由Meta开源、用于构建用户界面的JavaScript库。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。（信息来源：奇安信CERT）

       （二十二）美CISA将OpenPLC ScadaBR纳入KEV目录

       12月1日消息，美网络安全与基础设施局(CISA)将影响OpenPLC ScadaBR的一个跨站脚本漏洞CVE-2021-26869纳入已知被利用漏洞(KEV)目录。该漏洞可通过system_settings.shtm影响该软件的Windows和Linux版本，包括OpenPLC ScadaBR至1.12.4和OpenPLC ScadaBR至0.9.1。该漏洞已遭活跃利用，美CISA要求联邦机构在2025年12月19日前修复。（信息来源：代码卫士）

       （二十三）华硕紧急修复启用AiCloud路由器的严重认证绕过漏洞

       12月28日消息，华硕发布新固件修复了9个漏洞，其中一个严重认证绕过漏洞CVE-2025-59366影响启用了AiCloud的路由器。CVE-2025-59366可由Samba功能的意外副作用触发，导致在无需授权的情况下执行特定函数。未经授权的远程攻击者可组合利用该漏洞发动无需用户交互的复杂度较低的攻击活动。AiCloud是基于云的远程访问特性，配置在许多款华硕路由器中，可将路由器转换为用于远程媒体流和云存储的私有云服务器。华硕建议所有用户尽快将路由器固件立更新至最新版本。（信息来源：代码卫士）

      （二十四）开源地理信息系统服务器GeoServer XML存在外部实体注入漏洞

       11月26日消息，研究人员发现开源地理信息系统服务器GeoServer（主要用于发布、共享和编辑地理空间数据）存在XML外部实体注入漏洞CVE-2025-58360(CVSS评分8.2)，该漏洞源于应用程序通过特定的/geoserver/wms接口接收XML输入，但未对输入进行充分的清理或限制，允许攻击者在XML请求中定义外部实体。如被配置不当的XML解析器处理时，可能引发攻击，导致机密数据泄露、服务拒绝及端口扫描等严重安全问题。官方已发布修复补丁，建议用户及时更新。（信息来源：启明星辰）