网络空间安全动态(202548期)
编者按:网安动向热讯,本期有八点值得关注,一是中央网信办召开构建网络空间命运共同体十周年座谈会;二是国家网信办发布《数字化绿色化协同转型发展报告(2025)》;三是美全面禁止进口外国新款无人机,大疆、道通等中企受影响,我外交部回应;四是美总统特朗普签署9010亿美元《国防授权法案》;五是特朗普签署《赢得6G竞赛》总统备忘录;六是美战争部将xAI公司的Grok模型引入美陆军部定制化人工智能平台GenAI.mil;七是日本政府正式通过新版《网络安全战略》;八是澳大利亚国家人工智能中心发布《明确人工智能生成内容:企业指南》。
数据前沿快讯,本期有两点建议关注:一是国家数据局发布《基于“一次性授权采集、多领域安全流通”场景的公共数据流通安全管理实践案例》;二是《网络安全标准实践指南——数据库联网安全要求》发布。
网安事件聚焦,本期有两方面内容建议关注:一是针对石油、水务、金融等关键基础设施的网络攻击激增,给企业和政府造成巨大损失和影响。本期介绍:委内瑞拉国家石油公司遭网络攻击致运营瘫痪;罗马尼亚国家水务机构遭BitLocker勒索软件攻击;法国国家邮政局遭DDoS攻击,导致核心数字系统下线;英医疗服务技术供应商内部服务器遭黑客入侵;互联网平台快手遭黑灰产团伙饱和式攻击。二是因外部攻击和内部疏漏导致的数据泄露使企业面临巨大安全风险。本期介绍:日产汽车因供应商Red Hat公司服务器受陷致1.2万名客户数据泄露;悉尼大学数据库泄露超2万名教职人员信息。
网安风险警示,本期有五点建议关注:一是HPE OneView软件中存在满分漏洞;二是开源自动化工具n8n存在远程代码执行漏洞;三是FreeBSD rtsold存在远程命令注入漏洞;四是新型UEFI漏洞影响华硕等多个品牌主板;五是pgAdmin 4存在远程命令执行漏洞。
一、网安动向热讯
(一)中央网信办召开构建网络空间命运共同体十周年座谈会
12月22日,中央网信办召开构建网络空间命运共同体十周年座谈会。会议坚持以构建网络空间命运共同体理念为引领,深入学习贯彻习近平总书记重要讲话精神,交流认识体会,总结经验成效,分析形势任务,推动构建网络空间命运共同体迈向更高水平。会议指出,习近平总书记2015年亲自出席第二届世界互联网大会开幕式并发表主旨演讲,创造性提出构建网络空间命运共同体理念。十年来,在习近平总书记的亲自擘画、亲自推动下,构建网络空间命运共同体理念从构想转化为行动、从愿景转化为现实,数字基础设施互联互通不断加强,网络文明交流互鉴持续深化,数字经济创新发展成效显著,网络空间安全防护能力明显提升,全球互联网治理体系变革深入推进。会议强调,深入学习贯彻构建网络空间命运共同体理念,要深化理念阐释,推动这一重要理念更加深入人心;要引导创新实践,总结推广优秀实践案例;要强化协调协作,更好汇聚全球互联网发展治理合力。(信息来源:网信中国)
(二)国家网信办发布《数字化绿色化协同转型发展报告(2025)》
12月19日消息,国家网信办发布《数字化绿色化协同转型发展报告(2025)》,系统阐述数字化与绿色化协同发展(双化协同)的理论框架、实践进展与未来路径,核心内容聚焦双化协同发展的战略意义与实施框架。报告指出,数字化绿色化协同发展旨在通过数字技术与绿色发展的深度融合,构建人与自然和谐共生的可持续新范式。报告强调,通过“数字化赋能绿色化”提升生态环境监测与城市治理智能化水平;通过“绿色化牵引数字化”倒逼数字基础设施低碳化;通过催生智慧能源、绿色智慧交通等数绿融合新业态,培育新质生产力。报告对未来发展提出系统性展望,“十五五”期间,双化协同将从局部场景向全域生态演进,重点包括强化顶层设计、推动城市与区域尺度的系统重构,以及构建覆盖生产、生活、治理领域的智慧低碳运行生态,以支撑双碳目标与高质量发展。(信息来源:国家网信办)
(三)三部门联合印发《互联网平台价格行为规则》
12月20日消息,国家发展改革委、市场监管总局、国家网信办联合印发《互联网平台价格行为规则》,以健全互联网平台常态化价格监管机制,规范相关价格行为,保护消费者和经营者合法权益,推动平台经济创新和健康发展。该规则共7章29条,重点包括经营者自主定价、经营者价格标示行为、经营者价格竞争行为、消费者价格权益保护和监督机制等。该规则适用于平台经营者、平台内经营者在中华人民共和国境内通过互联网平台等信息网络销售商品或者提供服务等经营活动中的价格行为。本规则自2026年4月10日起施行,有效期为5年。(信息来源:央视新闻)
(四)中国船级社更新三部网络安全指南,强化船舶网络安全体系
12月17日消息,中国船级社(CCS)《船舶网络安全指南》《船舶网络防火墙检验指南》《船舶网络交换机检验指南》(2025)正式生效。新版《船舶网络安全指南》在2024版基础上,增加2024年7月1日前签订建造合同船舶的网络安全附加标志及要求,并结合CCS认可经验,将比较成熟的经验纳入指南,从而更加丰富CCS相关检验要求。新版《船舶网络防火墙检验指南》新增防火墙安全能力与分级要求,优化功能及检验要求,提升与统一要求的适配性。新版《船舶网络交换机检验指南》从功能、性能、安全性维度明确要求,规范交换机使用。三份指南共同完善CCS船舶网络安全检验技术体系,为关键设备检验、网络安全能力提升提供强有力的支撑。(信息来源:安全内参)
(五)美全面禁止进口外国新款无人机,大疆、道通等中企受影响,我外交部回应
12月22日消息,美联邦通信委员会(FCC)宣布,将所有外国制造的无人机及其关键零部件列入其“受关注清单”。该清单认定相关企业(包括大疆、道通等中国无人机制作商)对美国国家安全构成“不可接受的风险”,今后将不再批准任何新型外国无人机或核心组件在美国的销售与进口许可。FCC强调,这一措施不影响此前已获批准的设备型号,消费者仍可继续合法使用已购入的无人机。FCC声称其决定基于白宫牵头、多个联邦机构参与的跨部门安全评估结果。我外交部回应:“中方坚决反对美方泛化国家安全概念,划设歧视性清单,无理打压中国企业。美方应纠正错误做法,为中国企业经营提供公平、公正、非歧视的环境。”(信息来源:综合环球网、外交部官网)
(六)美总统特朗普签署9010亿美元《国防授权法案》
12月18日,美总统特朗普正式签署2026财年《国防授权法案》(NDAA)。该法案将美国军费支出提升至9010亿美元。该法案为美网络司令部提供数亿美元资金支持,具体拨款包括:约7300万美元用于数字作战、3000万美元用于未指定活动,3.14亿美元用于其总部的运营与维护。该法案主要内容包括提高美国现役军人薪酬,支持在美国西南边境部署国民警卫队和现役部队以拦截非法移民和毒品,开发“金穹”导弹防御系统和提升军事战备水平等措施。该法案还强制要求国防部高级官员使用具备增强网络安全保护(如数据加密)的手机,并列出关键基础设施依赖“受关注外国实体”组件的清单,强化国家关键基础设施防护,以应对日益复杂的网络威胁。(信息来源:新华网)
(七)特朗普签署《赢得6G竞赛》总统备忘录
12月19日,特朗普签署《赢得6G竞赛》总统备忘录,旨在确保美国在6G发展领域的领导地位。该备忘录指出,6G网络将实现连接速度的显著提升、超低延迟以及更高的数据传输容量,并将成为未来十年尖端技术发展的基石,涵盖人工智能、机器人、植入式技术等众多前沿领域。备忘录主要内容包括:一是要求立即制定计划,将目前使用7.125-7.4GHz频段的联邦系统迁移,以便释放频谱供全功率商用6G使用。有关联邦机构在12个月内提交迁移计划,在释放这一关键优质频段供美国产业使用的同时,保护国家安全任务。二是要求立即对2.69-2.9GHz和4.4-4.94GHz两个关键频段展开研究,以进一步释放更多频谱供全功率商用6G使用。三是要求美国国务卿及政府其他成员通过外交途径,推进美国在6G领域的领导地位。该备忘录所提出的频谱重新分配方案,将为美国及其盟友提供关键信息。(信息来源:美白宫网站)
(八)美战争部将xAI公司的Grok模型引入美陆军部定制化人工智能平台GenAI.mil
12月23日消息,美战争部宣布一项重大技术转型计划,正式与马斯克旗下的AI公司xAI达成合作协议,核心是将xAI的前沿能力套件引入美陆军部近期推出的定制化人工智能平台GenAI.mil,旨在为300万军人和文职人员提供更强大的智能支持。根据该计划,基于Grok模型系列的前沿AI系统将直接嵌入GenAI.mil生态,通过技术手段增强决策优势。该项目预计于2026年初完成初步部署,届时符合条件的军方人员将能够在影响等级5的安全环境下使用相关功能。此外,该合作还赋予陆军部人员通过X平台获取实时全球信息的能力,将为军事行动和日常运营提供决定性的信息情报优势。(信息来源:美战争部网站)
(九)美NIST发布《网络安全框架人工智能配置文件》(草案)
12月19日消息,美国家标准与技术研究院(NIST)发布《网络安全框架人工智能配置文件》(草案),旨在帮助组织将NIST网络安全框架,特别是CSF2.0应用到人工智能技术的安全且负责任的使用中,目标是在加快AI普及的同时,降低AI快速发展带来的网络安全风险。该指南草案提供了将AI安全与网络防御实践对接的方法和建议,覆盖三个相互重叠的重点领域:确保AI系统自身的安全、利用AI增强网络防御、防范AI驱动的网络攻击。此次发布的草案旨在收集公众反馈,最终指南将为企业部署和利用AI提供一份“安全说明书”,帮助组织在挖掘AI价值的同时将网络安全风险降至最低,从而增强安全韧性并提升公众对AI应用的信心。(信息来源:美NIST网站)
(十) 日本政府正式通过新版《网络安全战略》
12月23日,日本政府正式通过新版《网络安全战略》,确立未来五年(2025–2030)网络安全政策框架。在全球网络攻防态势日益紧张、技术快速演进的背景下,日本将网络安全定位为国家安全与社会稳定的核心要素,体现出从传统防御性安全向“主动网络防御与国家中心防护”的政策转向。新版战略明确构建以国家为核心的网络防御体系,政府将整合警察、内务省、安全机构、防卫省和自卫队等力量,实现跨部门协同联动,以应对重大网络攻击事件,同时在机构设置上做出重要调整,成立国家网络安全办公室,并将所有网络威胁情报集中在该机构,以便迅速识别、评估和处理攻击事件。新版战略还就加强政府与私营部门的协同机制、网络安全人才培养及国际合作等作出明确规定。(信息来源:参考消息)
(十一)澳大利亚国家人工智能中心发布《明确人工智能生成内容:企业指南》
12月17日消息,澳大利亚国家人工智能中心(NAIC)发布《明确人工智能生成内容:企业指南》的指导文件,针对创建、修改或部署人工智能生成文本、图像、音频和视频的组织提供自愿性最佳实践方法。该指南概述了企业可以用来展示何时以及如何使用人工智能来创建或修改内容的三种透明度机制:标签标注(指使用可见文本告知用户内容是由人工智能生成或人工智能辅助生成的);水印技术(将可见或不可见的信息嵌入数字内容中,以追踪其来源或验证其真实性);元数据记录(包括记录有关内容的描述性信息以及有关其创建或修改的详细信息)。NAIC指出,使用人工智能生成或修改内容的企业必须遵守现行的法律法规义务,包括与消费者保护、隐私、网络安全和知识产权相关的义务等。(信息来源:DataGuidance网)
二、数据前沿快讯
(十二)国家数据局发布《基于“一次性授权采集、多领域安全流通”场景的公共数据流通安全管理实践案例》
12月20日消息,国家数据局发布《基于“一次性授权采集、多领域安全流通”场景的公共数据流通安全管理实践案例》。案例对公共数据进行分类分级,建立数据元目录清单,并基于不同安全级别确定不同安全保护措施,做到数据共享过程中精细化安全管控。针对海量数据集中存储后数据加密和高效访问需求难以兼顾的问题,案例参照国家标准提出了以权限管控为基础、多种安全措施相配套的安全保障方案。案例以建立数据元目录清单方式,结合精细化权限管控策略,以及数据加密、应急预案等管理和技术保障措施,解决数据重复性采集、多部门管理界定不清等问题,使公共数据高效流动。(信息来源:国家数据局)
(十三)《网络安全标准实践指南——数据库联网安全要求》发布
12月19日消息,全国网安标委发布《网络安全标准实践指南——数据库联网安全要求》,以应对基于公共网络数据库联网过程中和联网状态下的安全风险,减少因安全防护措施不足、安全配置不当、管理不当引发的数据泄露等安全事件。本《实践指南》规定了数据处理者使用数据库系统连接至公共网络场景下的安全技术要求、安全管理要求,适用于指导数据处理者使用数据库系统接入公共网络开展数据处理活动,也可为评估机构提供参考。(信息来源:全国网安标委)
三、网安事件聚焦
(十四)委内瑞拉国家石油公司遭网络攻击致运营瘫痪
12月18日消息,委内瑞拉国家石油公司(PDVSA)确认遭网络攻击,导致其出口业务受干扰,但攻击仅针对行政系统,运营领域未受影响。委内瑞拉是世界主要产油国之一,也是全球重要的石油出口国,PDVSA公司负责监管该国的石油生产、炼制和出口,以及天然气的勘探与生产。PDVSA发表声明,指责美国以及委内瑞拉国内阴谋者策划了此次攻击,是美国政府公开战略的一部分,旨在通过武力和海盗行为掠夺委内瑞拉石油,其目的是“破坏国家稳定”。(信息来源:安全内参)
(十五)罗马尼亚国家水务机构遭BitLocker勒索软件攻击
12月23日消息,罗马尼亚国家水务管理机构确认遭勒索软件攻击,导致约1000台计算机系统无法使用,包括地理信息系统应用服务器、数据库服务器、Windows工作站、Windows Server、电子邮件和网络服务器以及域名服务器等,工作人员被迫使用电话和无线电进行通信。该国网络安全局表示,包括大坝和防洪设施在内的水利技术基础设施等运营技术系统未受影响。初步技术评估显示,攻击者使用了合法的Windows工具BitLocker试图勒索该机构。目前,攻击者已发出勒索信息,要求在七天内取得联系。但该机构强调,不与勒索组织进行接触或谈判。(信息来源:HackerNews网)
(十六)法国国家邮政局遭DDoS攻击,导致核心数字系统下线
12月23日消息,法国国家邮政局证实遭DDoS攻击,其网站和移动应用陷入瘫痪,核心数字系统下线,配送服务放缓,部分在线业务中断,但无证据表明用户数据遭泄露。此次攻击还波及旗下金融机构法国邮政银行,该银行提醒用户,网上银行及移动应用访问功能受影响,但门店POS机刷卡支付、ATM取款业务运行正常。法国邮政局表示,目前已采取多项措施恢复各项服务。(信息来源:HackerNews网)
(十七)英医疗服务技术供应商内部服务器遭黑客入侵
12月21日消息,英医疗技术服务公司DXS International确认其办公服务器遭未经授权访问,但其临床服务未受影响。该公司为全英格兰全科医生诊所和初级保健网络提供临床决策支持和转诊管理工具,其软件在英国国家医疗服务体系(NHS)中广泛使用。DXS表示,目前正与NHS网络安全团队合作进行调查,尚未发现NHS患者数据遭泄露的情况报告,已通知英国数据保护监管机构,并强调此次事件不会对其财务状况造成影响。(信息来源:HackerNews网)
(十八)互联网平台快手遭黑灰产团伙饱和式攻击
12月22日,互联网平台快手遭黑灰产团伙发起的饱和式攻击。当日晚上22点,据称约1.7万个批量注册或被盗账号被恶意利用,上千个直播间集中推送涉黄、血腥暴力等违规直播内容,部分违规直播间观看人数突破十万量级。针对此次突发安全事件,快手23日0时启动紧急处置预案,关停全平台直播推流并实施封闭管控,至23日0时45分,平台直播推流功能恢复正常。快手已将相关情况上报给主管部门,并向公安机关报警。(信息来源:北京日报)
(十九)日产汽车因供应商Red Hat公司服务器受陷致1.2万名客户数据泄露
12月23日消息,日产汽车有限公司证实,因供应商美国企业软件公司Red Hat的数据泄露事件导致其1.2万名客户信息被泄露,包括姓名、住址、电话号码及电子邮箱地址等,但信用卡详情等财务信息未受影响。Red Hat公司的数据服务器在今年9月遭越权访问,导致数据遭泄露,随后证实被泄数据包含日产福冈销售有限公司的客户信息。黑客组织Crimson Collective曾宣称,已从Red Hat私有GitHub代码仓库中窃取了570GB的数据,包含2.8万个项目文件及800多份敏感数据的客户互动报告。攻击者可利用此类信息对客户网络发起针对性攻击。日产声明称,遭入侵的Red Hat环境中除已确认受影响的数据外未存储其它信息,目前没有证据表明泄露信息被滥用。(信息来源:代码卫士)
(二十)悉尼大学数据库泄露超2万名教职人员信息
12月22日消息,悉尼大学披露一起数据泄露事件,黑客入侵该校一个内部代码库平台,该平台主要用于软件开发,但同时存储了一个已停用系统的历史数据,包含截至2018年9月该校员工的姓名、出生日期、电话号码、家庭住址等,涉及约2.05万名现任及前任教职工、关联人员,以及2010年至2019年的历史数据集。该校表示,已采取措施确保系统安全,目前尚无证据表明泄露数据被滥用。该校已向相关部门通报此事。(信息来源:HackerNews网)
四、网安风险警示
(二十一)HPE OneView软件中存在满分漏洞
12月20日消息,研究人员发现HPE OneView软件中存在安全漏洞CVE-2025-37164(CVSS评分为10.0),允许未经身份验证的攻击者远程代码执行,影响11.00版本之前的所有软件版本。HPE OneView是一款IT基础设施管理软件,旨在简化IT运营并通过集中式仪表板界面控制系统。目前,HPE已修复上述漏洞,并针对OneView虚拟设备和Synergy Composer2提供了可应用于OneView 5.20至10.20版本的修复补丁,建议用户及时更新。(信息来源:HackerNews网)
(二十二)开源自动化工具n8n存在远程代码执行漏洞
12月22日消息,研究人员发现n8n的工作流表达式评估系统中存在一个严重的远程代码执行漏洞CVE-2025-68613(CVSS评分9.9)。攻击者可利用该漏洞在n8n进程的权限下执行任意代码,从而实现完全控制受影响实例的目的,可能导致敏感数据泄露、工作流修改以及系统级操作的执行。n8n是一个开源的工作流自动化工具,旨在帮助用户通过图形化界面设计和自动化各种任务。目前,官方已发布修复补丁,建议用户及时更新。(信息来源:启明星辰)
(二十三)FreeBSD rtsold存在远程命令注入漏洞
12月23日消息,奇安信CERT监测到官方修复FreeBSD rtsold远程命令注入漏洞CVE-2025-14558(CVSS评分9.8),由于FreeBSD的rtsol(8)和rtsold(8)程序在处理路由器通告消息中的“域名搜索列表”选项时,未对输入内容进行任何验证或转义,导致攻击者可通过在RA消息中嵌入恶意shell命令,在目标系统上以root权限执行任意命令。该漏洞允许同一局域网内的攻击者远程执行代码,从而完全控制受影响主机。FreeBSD是一个高性能、高稳定性的开源操作系统,被全球众多顶级互联网服务和产品使用。目前该漏洞PoC已公开。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十四)新型UEFI漏洞影响华硕等多个品牌主板
12月22日消息,研究人员发现华硕、技嘉、微星、华擎等主板厂商的部分型号存在UEFI固件漏洞CVE-2025-11901、CVE-2025-14302至14304,可被利用绕过早期启动阶段的内存保护机制进行直接内存访问(DMA)攻击。漏洞源于UEFI固件在初始化时未能正确配置输入/输出内存管理单元(IOMMU)。UEFI和IOMMU旨在提供安全基础,防止外围设备进行未授权的内存访问,从而有效确保支持DMA的设备在操作系统加载前无法操控或探查系统内存。目前,各厂商已发布安全公告及固件更新,建议用户尽快采取措施。(信息来源:BleepingComputer网)
(二十五)pgAdmin 4存在远程命令执行漏洞
12月19日消息,启明星辰集团VSRC监测到pgAdmin 4中存在一个远程命令执行漏洞CVE-2025-13780(CVSS评分9.3)。该漏洞出现在PLAIN恢复元命令过滤器中,由于该过滤器未能正确识别以UTF-8字节顺序标记或其他特殊字节序列开头的SQL文件中的元命令。当pgAdmin通过psql file命令调用SQL文件时,psql会去除这些字节并执行其中的命令,从而可能导致远程命令执行。pgAdmin是一个用于管理和开发PostgreSQL数据库的开源图形化工具,用于执行SQL查询、管理数据库对象、生成报表和备份/恢复数据库等操作。目前,官方已发布修复补丁,建议用户及时更新。(信息来源:启明星辰)
