网络空间安全动态(202546期)
编者按:网安动向热讯,本期有十一点值得关注:一是国家网信办就《网络数据安全风险评估办法(征求意见稿)》公开征求意见;二是第二届中国—东盟数字治理对话在北海举办,中方发布数字治理合作倡议;三是11项网络安全国家标准获批发布;四是民航局发布《关于推动“AI+民航”高质量发展的实施意见》;五是美发布新版《美国国家安全战略》;六是美国会发布2026财年美国国防授权法案最终折衷文本;七是美CISA、澳大利亚网络安全中心等多机构联合发布《AI在运营技术中安全集成原则》指南;八是美CISA推出新平台IEP,以加强行业参与和协作;九是欧盟委员会就建立人工智能监管沙盒的规则草案征求意见;十是英德宣布1400万英镑联合投资,深化量子科技合作;十一是澳大利亚发布《国家AI计划》以引导AI技术的应用、治理与发展。
数据前沿快讯,本期有两点建议关注:一是国资委部署开展国资央企领域可信数据空间系统建设试点工作;二是我国已建成高质量数据集总量超500PB。
网安事件聚焦,本期有两方面内容建议关注:一是勒索组织攻击等导致大量数据泄露,带来较大安全隐患。本期介绍:华硕供应商遭勒索组织攻击,1TB数据被窃取;美最大临终关怀机构Vitas Healthcare遭网络攻击致超30万人信息泄露。二是漏洞利用、系统故障仍严重影响网络及系统安全,需引起高度重视。本期介绍:React2Shell漏洞遭大规模利用,超7.7万IP受影响;俄罗斯境内数百辆保时捷因预装卫星安全系统突发故障陷入瘫痪。
网安风险警示,本期有四点建议关注:一是国家网络安全通报中心揭露跨境APT新动向;二是美CISA等多部门联合全球伙伴发布预警,敦促严防亲俄黑客攻击关键基础设施;三是Apache Tika存在满分XML外部实体注入漏洞;四是XWiki Details Summary存在宏远程代码执行漏洞。
一、网安动向热讯
(一)国家网信办就《网络数据安全风险评估办法(征求意见稿)》公开征求意见
12月6日,国家互联网信息办公室发布《网络数据安全风险评估办法(征求意见稿)》,向社会公开征求意见。该办法共二十五条,旨在规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用,明确了安全评估主管部门、数据处理者、第三方机构等主体在各个环节开展网络数据安全风险评估的具体责任和要求。该办法主要内容包括:境内开展网络数据安全风险评估需遵守本办法,定义为风险识别、分析、评价等活动;各主管部门按“谁管业务谁管数据安全”原则组织本行业评估,每年1月底前报年度计划;重要数据处理者每年评估,重大变化及时评估,一般数据处理者至少每3年评估;可自行或委托认证第三方机构评估,同一机构及关联方不得连续3次以上评估同一主体;重要数据处理者评估后10个工作日内报送报告,主管部门可抽查;存在较大风险、数据泄露等情形需委托认证机构评估;核心数据、涉密数据评估按国家规定执行等。意见反馈截止时间为2026年1月5日。(信息来源:网信中国)
(二)第二届中国—东盟数字治理对话在北海举办,中方发布数字治理合作倡议
12月4日,第二届中国—东盟数字治理对话在广西北海举行,本次对话以“加强交流协作,促进互联互通”为主题,设置“网络安全”“人工智能治理”“数据跨境流动”三项议题。中方在会议期间发布《中方关于深化中国—东盟数字治理合作的倡议》。该倡议立足2025年9月习近平主席提出的全球治理倡议,面对数字化发展带来的发展不平衡、规则不健全、秩序不合理等问题挑战,旨在通过加强团结协作提升区域数字治理能力和水平,助力构建更为紧密的中国—东盟命运共同体,将在网络安全、人工智能治理和数据跨境流动等三个方面开展合作,具体包括:建立高效网络安全应急响应机制,协助处置跨境网络安全事件;落实《全球人工智能治理倡议》,在人工智能风险应对、治理标准化等领域合作,防范技术滥用;深化数据跨境流动政策交流,构建开放包容、安全非歧视的数据流通环境等。(信息来源:网信中国)
(三)11项网络安全国家标准获批发布
12月5日消息,国家市场监督管理总局、国家标准化管理委员会发布2025年第32号、33号《中华人民共和国国家标准公告》,2项网络安全相关强制性国家标准和9项推荐性国家标准正式发布。2项强制性国家标准为《数据安全技术 电子产品信息清除技术要求》和《儿童手表技术安全要求》,于2027年1月1日起正式实施。9项推荐性国家标准为《网络安全技术 公钥密码应用技术体系框架》《网络安全技术 标识密码认证系统密码及其相关安全技术要求》《网络安全技术 网络安全产品互联互通第2部分:资产信息格式》《网络安全技术 网络安全产品互联互通第3部分:告警信息格式》《数据安全技术 数据接口安全风险监测方法》《网络安全技术 网络安全试验平台体系架构》《信息技术 安全技术 网络安全 第6部分:无线网络访问安全》《信息技术 安全技术 网络安全 第7部分:网络虚拟化安全》《数据安全技术 数据交易服务安全要求》,于2026年7月1日起正式实施。(信息来源:全国网安标委)
(四)民航局发布《关于推动“AI+民航”高质量发展的实施意见》
12月6日消息,民航局发布《关于推动“AI+民航”高质量发展的实施意见》,明确了“AI+民航”高质量发展的总体要求,坚持“创新驱动、安全可控,需求导向、场景赋能,基础先行、重点突破,系统布局、协同推进”的总体原则,深入推进AI创新赋能行业发展。意见提出,到2027年,率先实现AI与民航安全、运行、出行、物流、监管、规划建设等领域融合发展,民航AI核心支撑要素建设初见成效;到2030年,实现AI与民航各领域广泛深度融合,民航AI治理体系和安全保障体系逐步完善,AI成为推动民航高质量发展的强劲引擎。(信息来源:中国信息安全)
(五)美发布新版《美国国家安全战略》
12月5日,美白宫发布新版《美国国家安全战略》,提出“一切均以美国优先为原则”,明确美国的对外政策、国防政策和情报政策必须遵循十项基本原则:一是聚焦核心国家利益;二是以实力求和平;三是不干涉主义倾向;四是灵活的现实主义;五是国家首要;六是主权和尊重;七是均势;八是亲美国工人;九是公平;十是能力和才能。该战略认为,中美已成为“近乎势均力敌”的对手,中美经贸关系长期处于不平衡状态,美国寻求重新调整中美经济关系。该战略指出,美国应与区域政府和企业合作,建设可扩展且具有韧性的能源基础设施,并加强现有和未来的网络通信系统;美国政府与私营部门的关键关系有助于持续监控美国网络(包括关键基础设施)面临的持续威胁,实时发现、溯源和响应网络防御和进攻性网络行动,同时保护美国经济的竞争力并增强美国科技行业的韧性。(信息来源:美白宫网站)
(六)美国会发布2026财年美国国防授权法案最终折衷文本
12月7日消息,美众议院军事委员会和参议院军事委员会共同发布2026财年美国国防授权法案的最终折衷文本,授权拨款预算约9010亿美元,包含一系列涉网络空间相关政策条款,主要涉及网络作战、网络安全、信息技术和数据管理、人工智能,以及报告和其他事项等五个方面。在网络作战方面,授权美网络空间司令部司令在美国防部网络政策助理部长的授权、指导和控制下,负责直接控制和管理网络任务部队的训练、装备、运行,并维持所需资源的规划、编制、预算和执行;要求美国防部开展一次或多次桌面推演,以制定和评估美军网络部队正在研发的网络能力作战运用概念等。在网络安全方面,要求美国防部为高级官员和执行敏感任务的人员提供具有增强型网络安全保护的移动电话,制定并实施一项国防部范围内的政策,以规范AI和机器学习系统及应用的网络安全和相关治理等。在信息技术和数据管理方面,要求美国防部向负有操作授权责任的部门提供指导,每年向国会提交统一数据链战略年度报告等。在人工智能方面,要求美国防部设立“AI模型评估和监督跨职能团队”“AI沙箱环境工作组”“AI未来指导委员会”等机构等。在报告和其他事项方面,要求美网络空间司令部审查对AI能力投资以及相关投资与该司令部AI路线图的一致性;要求美国防部开展一项关于利用军事能力增加敌方攻击网络空间国防关键基础设施的成本从而降低其攻击动机的研究等。目前,美众议院和参议院的谈判代表已就该法案达成妥协,后续两院将通过同一版本,并由总统签署后即正式成为法律。(信息来源:奇安网情局)
(七)美CISA、澳大利亚网络安全中心等多机构联合发布《AI在运营技术中安全集成原则》指南
12月3日,美网络安全与基础设施安全局(CISA)与澳大利亚信号局网络安全中心,联合美国家安全局人工智能安全中心、联邦调查局,以及加拿大、德国、荷兰、新西兰、英国等国网络安全机构,共同发布《AI在运营技术中安全集成原则》指南,旨在为关键基础设施所有者和运营商提供将AI融入运营技术环境的实用信息,平衡AI技术红利与安全风险。该指南概述了四项核心原则:一是理解人工智能,通过专项培训提升人员风险意识,并构建涵盖设计、开发、部署及运维全周期的安全人工智能开发生命周期管理体系;二是评估AI应用场景,统筹管理数据安全风险,明确供应商责任,并系统应对人工智能集成所面临的近期与长期挑战;三是构建AI治理与保障体系,将人工智能纳入现有安全框架,实施模型持续测试与评估,并确保符合相关法规与合规性要求;四是嵌入AI运行监督与安全机制,建立有效监督机制以确保系统安全稳定运行,提升运营透明度,并将人工智能纳入事件响应流程。(信息来源:美CISA网站)
(八)美CISA推出新平台IEP,以加强行业参与和协作
12月4日,美CISA推出行业参与和协作平台(IEP),旨在促进CISA与开发创新和安全技术的公司之间结构化的双向沟通,使CISA能够更好地理解技术生态系统中的新兴解决方案,同时为行业提供一条清晰透明的渠道。该平台允许包括产业界、非营利组织、学术界、政府合作伙伴及研究界在内的组织,通过结构化流程请求与CISA主题专家进行对话,介绍新技术和能力,为CISA开展市场调研、掌握跨行业新兴技术动态提供参考。目前重点关注四大领域,包括信息技术与安全控制、数据与分析及存储管理、通信技术,以及后量子密码学等推动CISA使命落地的新兴技术与下一代能力。(信息来源:美CISA网站)
(九)欧盟委员会就建立人工智能监管沙盒的规则草案征求意见
12月2日,欧盟委员会就建立人工智能监管沙盒的规则草案征求意见。该草案涉及人工智能监管沙盒的建立、发展、实施、运营和监督,旨在落实《人工智能法案》中关于AI监管沙盒的规定,通过建立统一规则,支持在受控环境中对创新AI系统进行开发、训练、验证和真实世界测试。其目标是增强法律确定性、促进合规、推动负责任创新,并特别关注中小企业和初创企业的市场准入,同时帮助监管机构更好理解AI技术带来的机遇与风险。任何符合资格的AI提供者或潜在提供者均可申请参与沙盒,申请需满足系统未上市或计划重大修改等条件,遴选将基于监管挑战、创新性、公共利益、项目成熟度等标准,并在三个月内通知结果,申请人有权申诉。目前草案正在征集意见阶段,意见反馈截止日期为2026年1月6日。(信息来源:欧盟委员会网站)
(十)英德宣布1400万英镑联合投资,深化量子科技合作
12月5日,英国和德国宣布1400万英镑联合投资,将深化量子技术领域的合作,支持量子技术研发与标准化,释放量子科技的巨大潜力。此次合作包括3项核心举措:两国将于明年年初联合启动总额为600万英镑的量子研发资助计划,英国创新局和德国工程师协会分别出资300万英镑;英国将投入800万英镑用于支持英国弗劳恩霍夫应用光子学中心的前沿研发,助力量子技术成果更快走向市场;英国国家物理实验室与德国联邦物理技术研究院签署了谅解备忘录,以进一步强化双方在量子计量与标准化方面的协作,并为全球量子标准化倡议提供有力支撑。(信息来源:英国政府网站)
(十一)澳大利亚发布《国家AI计划》以引导AI技术的应用、治理与发展
12月4日消息,澳大利亚政府发布《国家AI计划》,建立全国性协调框架,为AI技术的应用、治理与发展划定长期路线图,旨在确保技术服务于民生与经济增长,同时巩固澳大利亚在全球AI生态系统中的地位。该计划提出了三大目标:一是抓住发展机遇,通过扩大高速网络连接、10亿澳元技术投资基金及国际合作,到2030年建成支持AI创新的数字基础设施;二是扩大技术效益,依托国家AI中心推动行业参与,通过技能培训与公共服务数字化,培育具备AI能力的企业与劳动力;三是保障国民安全,依托现有法律框架与新成立的3000万澳元AI安全研究所,防范偏见、隐私泄露等风险,并履行国际承诺。(信息来源:澳大利亚工业、科学与资源部网站)
二、数据前沿快讯
(十二)国资委部署开展国资央企领域可信数据空间系统建设试点工作
12月10日消息,国务院国资委印发《关于开展国资央企领域可信数据空间系统建设试点工作的通知》,旨在加快推动中央企业数据要素市场化价值化进程,充分发挥国资央企在国家数据要素市场化配置改革中的带动作用。该试点工作核心任务是推进国资央企领域跨行业、跨企业可信数据空间互联互通和生态共建,促进企业数据资源开放融合和跨域赋能,培育国资央企领域更多高价值数智赋能应用场景。国资央企领域可信数据空间按照“共建、共创、共享、共用”模式建设运营,构建在三大电信运营商提供的国资央企专属公有云算力设施和数据传输网络设施之上。(信息来源:国资视点)
(十三)我国已建成高质量数据集总量超500PB
12月4日消息,国家数据局最新数据显示,截至三季度末,我国已建成高质量数据集总量超500PB,赋能AI模型不断提升性能、创新持续加速。国家数据局局长刘烈宏在2025科创大会上表示,高质量数据集是数智创新的关键资源,国家数据局联合26个部委共同制定政策文件,以场景应用为导向,推动各行业领域高质量数据集建设;部署了140项先行先试任务,初步实现了“‘AI+’到哪里,高质量数据集建设和应用就到哪里的良好氛围”;全社会需要加大数据领域投入,培育“为高质量数据付费”的意识,将为数据要素市场化配置改革注入新的动力。(信息来源:央视新闻)
三、网安事件聚焦
(十四)华硕供应商遭勒索组织攻击,1TB数据被窃取
12月5日消息,台湾科技巨头华硕证实,其一家供应商遭Everest勒索组织入侵,致华硕部分手机摄像头源代码遭泄露。Everest声称窃取了共计1TB数据,不仅涉及华硕,还牵涉到软件公司ArcSoft和芯片制造商高通。被窃数据可被利用成为攻击驱动程序、固件、系统或第三方集成的入口,对广泛使用这些硬件或软件的企业和家庭用户造成严重影响。华硕随后证实泄露发生在供应链侧,但强调涉及的源代码并不影响华硕终端产品、企业内部系统或用户隐私数据。(信息来源:SecurityAffairs网)
(十五)美最大临终关怀机构Vitas Healthcare遭网络攻击致超30万人信息泄露
12月9日消息,美最大营利性临终关怀连锁机构Vitas Healthcare遭网络攻击,致超30万人信息泄露。攻击者通过被盗用的供应商账户,在9月21日至10月27日期间持续访问其系统,下载了大量患者及近亲的敏感信息。此次泄露数据包括患者及前患者的姓名、地址、电话号码、出生日期、驾驶执照号码、社会保障号码、医疗记录、保险信息以及亲属联系方式等核心个人身份信息。目前暂无勒索软件组织宣称对此事件负责,Vitas已通过专门数据泄露通知网站向公众披露事件详情,但具体技术细节及后续补救措施尚未完全公开。(信息来源:SecurityWeek网)
(十六)React2Shell漏洞遭大规模利用,超7.7万IP受影响
12月6日消息,React2Shell远程代码执行漏洞(CVE-2025-55182)遭大规模利用,超7.7万个暴露在互联网的IP地址易受攻击,其中约2.3万个位于美国,涉及多个行业,引发全球安全危机。据悉,目前已有181个不同IP尝试利用该漏洞,流量主要来自荷兰、中国、美国、香港等地区,攻击者多使用PowerShell命令如“40138*41979”测试漏洞,确认后通过base64编码下载第二阶段脚本,部署Cobalt Strike信标或Snowlight、Vshell恶意软件,实现远程访问、横向移动及敏感信息窃取。(信息来源:BleepingComputer网)
(十七)俄罗斯境内数百辆保时捷因预装卫星安全系统突发故障陷入瘫痪
12月6日消息,俄罗斯境内数百辆保时捷汽车因原厂卫星安全系统故障陷入瘫痪。据经销商Rolf透露,自11月28日起,因车载VTS模块失去卫星连接,车辆错误触发防盗机制,导致发动机突然熄火或供油被切断。故障表现为车辆警报单元完全锁定,导致车辆无法启动和移动。受影响的车主必须将车辆拖至授权服务中心,技术人员需要拆卸警报模块并进行手动复位。保时捷的警报系统集成了先进的远程信息处理技术,包括通过保时捷通讯管理系统平台实现的卫星追踪以及可选的互联服务。这些功能依赖于空中软件更新和远程诊断,而网络安全专家认为此类功能可能成为潜在的攻击入口。(信息来源:代码卫士)
四、网安风险警示
(十八)国家网络安全通报中心揭露跨境APT新动向
12月3日,国家网络与信息安全信息通报中心揭露一批境外恶意网址和IP地址,这些资源被境外黑客组织用于对华持续发起网络攻击,威胁类型涵盖后门植入与僵尸网络构建。恶意地址归属地主要涉及美国、英国、德国、荷兰等九个国家。通报显示,RemCos远程管理工具及其变种具备键盘记录、截屏和密码窃取功能,可通过后门实现远程控制。Mirai及其变种MooBot则是典型的Linux僵尸网络病毒,通过Telnet/SSH暴力破解和IoT漏洞(如CVE-2022-28958)传播,组建僵尸网络后可发起大规模DDoS攻击。通报建议各联网单位详细分析浏览器记录和DNS请求,部署流量检测设备追踪可疑通信,对受攻击设备进行勘验取证。同时要求在威胁情报产品中及时更新规则,拦截上述恶意地址访问,并对社交平台和电子邮件中的可疑文件保持警惕,必要时向公安机关报告配合溯源。(信息来源:国家网络安全通报中心)
(十九)美CISA等多部门联合全球伙伴发布预警,敦促严防亲俄黑客攻击关键基础设施
12月9日,美网络安全与基础设施安全局(CISA)、联邦调查局等多部门联合全球合作伙伴发布《亲俄黑客组织对美国及全球关键基础设施发动投机性攻击》的网络安全咨询,警告亲俄黑客行动组织正对全球关键基础设施发动投机性攻击,呼吁相关组织立即采取防护措施。该咨询指出,亲俄黑客行动组织以提升曝光率为目标,通过放大恶意活动、捏造攻击指控等方式扩大影响。其攻击策略以便捷访问和已知漏洞为核心,不针对特定目标,而是采用广泛无差别的简单攻击方法,覆盖水处理设施、油井系统等多个关键领域,对基本服务构成持续扰乱性威胁。这类组织已成功利用监督控制与数据采集网络漏洞发动攻击,部分案例中还结合DDoS攻击辅助入侵,同时通过安全性薄弱的面向互联网虚拟网络计算连接,非法访问关键基础设施的操作技术控制设备。(信息来源:美CISA网站)
(二十)Apache Tika存在满分XML外部实体注入漏洞
12月9日,Apache Tika存在一个严重的XML外部实体注入(XXE)漏洞CVE-2025-66516(CVSS评分10.0),影响Apache Tika核心模块、Tika解析器模块和Tika PDF解析模块。攻击者可通过在PDF文件中嵌入精心构造的XFA文件,利用该漏洞执行恶意的外部实体调用,从而导致敏感数据泄露或系统被远程控制,给用户和系统带来重大的安全威胁。pache Tika是一个开源的内容分析工具,用于从各种文档格式中提取文本和元数据。它支持多种文件类型,包括PDF、Microsoft Office文档、HTML、XML等。目前官方已修复该漏洞,建议用户定期更新。(信息来源:TheHackerNews网)
(二十一)XWiki Details Summary存在宏远程代码执行漏洞
12月8日消息,启明星辰监测到XWiki-pro-macros Details Summary宏远程代码执行漏洞CVE-2025-65036(CVSS评分8.3)。攻击者可利用该漏洞通过创建一个包含Groovy代码的异步宏的详情宏页面,随后由管理员将该页面通过Details Summary宏包含到其他页面中,从而执行恶意代码。该漏洞可导致攻击者在没有编程权限的情况下,通过构造特定页面内容进行恶意操作,从而在系统中执行未经授权的代码,进而危害系统安全。XWiki是一个开源的企业级知识管理和协作平台,允许用户创建、管理和共享内容。目前官方已修复该漏洞,建议用户尽快更新。(信息来源:启明星辰)
