网络空间安全动态(202554期)
编者按:网安动向热讯,本期有十二点值得关注:一是公安部就《网络犯罪防治法(征求意见稿)》向社会公开征求意见;二是美参议院通过《2025年打击露骨伪造图像和未经同意的编辑法案》;三是美国防部将国防创新委员会和国防科学委员会合并为科技创新委员会;四是美国防部向国会提供修订版网络兵力生成模型实施方案;五是美军已成立“非动能效应小组”来指导网络行动;六是美军利用标准化网络事件分析框架保障关键基础设施安全;七是美得克萨斯州更新“禁用技术清单”;八是英国国家网络安全中心发布关基单位严重威胁应对指南;九是英NCSC发布“不可原谅”漏洞判定指南;十是爱尔兰拟立法为执法部门使用间谍软件提供法律依据;十一是欧盟和日本在布鲁塞尔举行第七次网络对话;十二是欧盟委员会对X启动新的正式调查。
数据前沿快讯,本期有四点建议关注:一是工信部等八部门联合印发《汽车数据出境安全指引(2026版)》;二是兰德智库发布《北约数字能力赋能系列报告》;三是美国SpaceX与xAI公司启动合并谈判;四是美SpaceX推出基于“星链”空间态势感知系统Stargaze。
网安事件聚焦,本期有两方面内容建议关注:一是安防、能源等关键领域依然是网络攻击首要目标。本期介绍:俄罗斯安防巨头Delta遭网络攻击;伊朗黑客兜售可攻击能源设施的控制框架。二是公共服务机构乃至商业化攻击工具平台均可成为数据泄露之地,安全防护仍为重中之重。本期介绍:法France Travail泄露4300万公民求职信息被罚超500万欧元;Exploit Pack全套漏洞利用代码遭泄露。
网安风险警示,本期有四点建议关注:一是国家安全部提醒NFC“贴贴”的潜在安全风险;二是工作流自动化平台n8n存在2个高危漏洞;三是SmarterTools SmarterMail存在远程代码执行漏洞;四是Ivanti披露其EPMM中的2个零日漏洞。
一、网安动向热讯
(一)公安部就《网络犯罪防治法(征求意见稿)》向社会公开征求意见
1月31日,公安部就《网络犯罪防治法(征求意见稿)》向社会公开征求意见,意见反馈截止时间为3月2日。征求意见稿进一步明确实名制等要求,任何个人、组织不得实施干扰、破坏实名制的行为,遏制网络犯罪“物料供应”黑灰产;对网络支付、引流推广等黑灰产业链条予以法律规制,为打击治理网络犯罪生态提供进一步法律支撑;按照网络服务提供者的业务规模、技术能力等设置相应的网络犯罪防治义务,并督促其建立健全防范、发现网络犯罪的制度、措施。(信息来源:新华网)
(二)美参议院通过《2025年打击露骨伪造图像和未经同意的编辑法案》
2月2日消息,美参议院通过《2025年打击露骨伪造图像和未经同意的编辑法案》,旨在整治未经同意的私密数字伪造行为。法案明确,“私密数字伪造”指:针对可识别个人的私密伪造视频,且全部或部分虚假;通过软件、AI等技术生成或对真实图像进行修改操纵;从理性人视角看,与个人真实视频难以区分。无论内容是否标注“伪造”,均纳入管控范围。核心条款围绕“赋予诉讼权、明确救济措施”展开。法案规定,可识别个人有权对未经同意的私密数字伪造行为提起民事诉讼。在救济措施方面,法案提供“禁令+经济赔偿+费用保障”三重支持。法案允许受害者匿名起诉。(信息来源:安全内参)
(三)美国防部将国防创新委员会和国防科学委员会合并为科技创新委员会
1月29日消息,美国防部对现有咨询委员会进行重大改革,将国防创新委员会和国防科学委员会合并为新的科技创新委员会(STIB)。STIB将设立两个常设小组委员会:战略选择小组委员会将负责确定科技领域内的概念、能力、战略和行动方案,以重新平衡成本和收益,加强威慑,确保美国作战优势;国家安全创新小组委员会将负责审查和建议创新路径、新兴和颠覆性技术、战略和管理方面的商业最佳实践、组织设计、人力资本、决策和规模化,同时利用美国更广泛的创新生态系统来保障国家安全。(信息来源:美国防部网站)
(四)美国防部向国会提供修订版网络兵力生成模型实施方案
1月28日,美国防部在美参议院军事委员会举行的听证会上,向国会提供修订版网络兵力生成模型实施方案。修订版实施方案提出,美军网络人才培养方式无法跟上网络空间快速发展且竞争日益激烈的步伐;美对手正在大力投资网络能力并组建专业网络部队,美军传统的兵力生成模式无法充分满足网络空间作战的独特需求。方案详述了“网络司令部2.0”计划的三大支柱、七项特质和三大赋能机构。三大支柱包括:领域精通,专业化,敏捷性。七项特质为:定向招聘与评估,招募和留任激励措施,定制化敏捷训练,定制化指派管理,专业任务组,综合性总部与作战支援,以及优化的部队轮换模式。三大赋能机构包括网络人才管理机构,高级网络培训与教育中心,和网络创新战中心。(信息来源:奇安网情局)
(五)美军已成立“非动能效应小组”来指导网络行动
1月30日消息,美军已成立“非动能效应小组”,旨在将网络战、电子战和其他非物理毁伤的破坏性手段,更广泛地与前线作战任务整合,比如抓捕委内瑞拉领导人马杜罗。美联合参谋部梅塞尔准将1月28日出席联邦参议院军事委员会网络安全小组听证会时,首度揭露该新单位的存在,表示该小组正在协助把网络作战纳入美军日后执行特战任务与行动的核心之一,最终目标是将“所有非动能手段整合、协调且同步到任何全球行动的计划和执行中”。(信息来源:DefenseOne网)
(六)美军利用标准化网络事件分析框架保障关键基础设施安全
2月2日消息,美约翰·霍普金斯应用物理实验室开发名为“控制系统行为警报集”(BAS/CS)的网络安全框架。框架从多个层面解决工控系统技术、协议和网络安全解决方案种类繁多导致的信息共享和威胁识别差异性挑战,通过分析行为、标记系统事件并应用复杂规则提供报警来增强防御能力。该实验室表示,该架构实现了在数据和规则两方面的厂商无关性,通过使用通用语言使各方都能了解系统实际状况,从而可以替换传感器和信息源并采用最先进的技术,持续运行并针对威胁发出警报。目前BAS/CS已通过“提高工业控制系统的态势感知”(MOSAICS)部署用于保护美海军控制系统。(信息来源:奇安网情局)
(七)美得克萨斯州更新“禁用技术清单”
1月26日,美得克萨斯州州长阿博特更新该州“禁用技术清单”,新增26家中国科技实体,包括Moonshot AI、StepFun、MiniMax等,矛头直指AI领域。阿里巴巴、百度、小米,拼多多、Shein、TP-Link、海信和TCL等硬件基础设施和国民级消费应用同样在列。此次禁令作出明确刚性要求,得州政府雇员严禁在任何政府所属设备及网络中,使用上述被认定为“存在安全威胁”的软硬件产品。阿博特表示,此举是基于“得州网络司令部”的风险评估,旨在防范中国通过相关技术收集、利用数据并发动网络攻击。根据禁令要求,得州所有政府机构及公立大学将执行即刻卸载、禁止采购、隔离访问等措施。(信息来源:综合美得州政府网站、半导体产业洞察)
(八)英国国家网络安全中心发布关基单位严重威胁应对指南
1月28日,英国国家网络安全中心(NCSC)发布关基单位严重威胁应对指南,指导组织如何在“严重网络威胁”环境下生存并恢复。根据该指南,严重网络威胁指针对英国关键基础设施发起的蓄意且极具扰乱或破坏性的网络攻击,此类攻击意图对系统、数据或基础设施造成严重损害,通常引发行业、政府乃至社会的连锁反应。指南强调网络韧性不是消除所有风险,而是系统(包括人员、流程和技术)能够在遭遇挫折的情况下继续运转的能力。指南涵盖增强网络韧性四个互补的活动领域,包括制定全组织范围的应对策略和计划;通过监控和情报共享提升态势感知;加强系统和网络,以减少漏洞并实现快速升级;确保在中断期间能够维持运营和恢复能力。(信息来源:英NCSC网站)
(九)英NCSC发布“不可原谅”漏洞判定指南
2月2日消息,英NCSC发布“不可原谅”漏洞判定指南,提出将软件漏洞划分为“可原谅”与“不可原谅”。该指南称,20年未变的漏洞率已成为软件行业的“顽疾”,尽管软件复杂性在增加,但某些容易发现且反复出现的漏洞体现了对安全开发实践的系统性漠视,这些“不可原谅的漏洞”应被大规模打击。为此,NCSC引入实施难度评分模型作为评估一个漏洞是否“可原谅”的评定标准,从成本、知晓普及度、技术可行性三个维度对缓解措施进行打分。(信息来源:安全内参)
(十)爱尔兰拟立法为执法部门使用间谍软件提供法律依据
1月30日消息,爱尔兰政府宣布正在推进《通信(拦截和合法访问)法案》,拟为执法机构调查严重犯罪和国家安全威胁时使用间谍软件等高侵入性监控技术,建立明确而系统的法律依据。新法案将显著扩展“合法拦截”的定义和适用范围。涵盖范围包括所有形式的通信,无论是否加密;通信内容本身;以及与通信相关的元数据。公告首次在立法层面承认并规范使用计算机和移动设备间谍软件的合法性,强调新法律将配套“强有力的法律保障措施”。此外,还将引入一项技术性条款,允许执法部门使用电子扫描设备,精确定位并记录移动设备的识别数据,以追踪其至特定区域。(信息来源:网空闲话plus)
(十一)欧盟和日本在布鲁塞尔举行第七次网络对话
1月29日消息,欧盟和日本在布鲁塞尔举行第七次网络对话。双方介绍了网络安全方面的最新政策和监管动态,包括新兴技术和关键技术、关键基础设施的抗灾能力、事件报告、网络危机管理和网络防御等领域;探讨介于欧盟《网络弹性法案》和日本JC-STAR标签计划之间,如何进一步合作实现协同增效。国际层面,双方回顾探讨了在多边和区域论坛上进行的合作,特别是在联合国全球机制方面,以促进国家在网络空间的负责任行为,并讨论了各自对网络能力建设和向伙伴国家提供援助的方法,聚焦印度洋-太平洋地区。对话期间,欧盟和日本还举行了一次关于对恶意网络活动外交回应的圆桌会议。对话确认了欧盟-日本在网络问题上合作的范围和深度不断扩大。(信息来源:欧盟委员会网站)
(十二)欧盟委员会对X启动新的正式调查
1月26日,欧盟委员会宣布根据《数字服务法》(DSA)对X启动新的正式调查,加大对该平台使用其AI聊天机器人Grok的监管审查。此举源于外界对Grok AI图像生成和推荐功能可能使欧盟用户接触到非法且有害内容的担忧,包括性露骨图片以及可能构成儿童性虐待材料的材料。该调查与2023年12月首次启动正在进行的调查扩展同步进行。委员会将审查X是否根据DSA在欧盟平台评估并缓解了部署Grok功能所带来的系统性风险,包括非法内容的传播、性别暴力相关的负面影响以及对用户身心健康的严重后果。如果X未能对其服务做出实质性调整,可能会实施临时措施。委员会还有权作出不合规决定,或接受X的承诺以纠正正在调查的问题。(信息来源:安情视界)
(十三)韩国公布首个全面的量子产业发展路线图
1月29日,韩国公布该国首个全面的量子产业发展路线图,旨在2035年建立起完善的量子产业生态系统,并跻身全球顶尖量子芯片制造商之列。韩科学技术信息通信部(MSIT)宣布,政府计划在未来九年内培育2,000家量子企业,并培养10,000名量子领域的专业人才。技术研发方面,韩计划在2028年开发出国产“全栈量子计算机”,并整合到AI应用中,推动汽车、制药和金融等关键行业的工业创新。此外,韩国政府宣布将在全国范围内建立五个量子产业集群,作为“量子转型”的前沿阵地,以促进先进工业与尖端量子技术的深度融合。MSIT已成立汇集SK Telecom,Samsung Electronics,LG Electronics,Kookmin Bank等行业巨头的“量子技术委员会”。(信息来源:量子客)
(十四)以色列公布国家网络保护法案草案
1月28日消息,以色列政府公布《2026年国家网络保护法案》草案,这是近年来以色列政府第三次尝试固化国家网络安全监管框架。其核心是正式设立以色列国家网络局(INCD),作为一个独立的OT机构负责协调国家网络防御工作。该局将运营国家CERT和一个国家安全行动中心以监控网络威胁。法案赋予当局在严重网络攻击期间的实质性权力,包括向受影响的组织发布具有约束力指令等。该法案为通信、能源、医疗和水利基础设施等关键领域的“关键组织”确立了强制性的网络安全要求,组织必须达到与国际认可框架一致的基线防护标准,并向相关部门报告重大网络事件。法案还包含隐私保护措施,在网络行动中获取的个人数据将仅限于网络安全目的,且保留时间限制为两年。法案一经颁布,大部分规定将在公布3个月后生效,对关键组织的某些要求将在12个月后生效。(信息来源:PearlCohen网)
(十五)第六届“天府杯”国际网络空间安全大赛开幕
1月29日,第六届“天府杯”国际网络空间安全大赛在成都开幕。本届“天府杯”由国家网络与信息安全信息通报中心指导,四川省网络与信息安全信息通报中心、成都市网络与信息安全信息通报中心、成都天府新区投资集团有限公司主办,公安部第三研究所、上海海盾安全技术培训中心承办。中央和地方网络安全主管部门代表、院士专家以及知名企业代表出席开幕式。公安部三所代表国家反计算机入侵和防病毒研究中心发布国家网络空间云社区,该社区聚焦漏洞收录与线上技术交流,助力网络运营者构筑网络安全防线。本届大赛开设漏洞防护赛和全行业赛两大赛道,皆于当日拉开帷幕。(信息来源:国家网络安全通报中心)
二、数据前沿快讯
(十六)工信部等八部门联合印发《汽车数据出境安全指引(2026版)》
2月3日消息,工信部、国家网信办、国家发改委、国家数据局、公安部、自然资源部、交通部、市场监管总局等八部门联合印发《汽车数据出境安全指引(2026版)》,以推动建立高效便利安全的汽车数据跨境流动机制,提升汽车数据出境便利化水平,推动构建汽车产业高质量发展和高水平安全良性互动格局。《安全指引》规定了汽车数据出境活动管理方式和适用条件,提出九类豁免情形,面向研发设计、生产制造、驾驶自动化、软件升级、联网运行等业务场景细化重要数据判定规则,明确开展数据出境安全评估、订立个人信息出境标准合同或者通过个人信息出境认证的工作要求,并从管理制度、技术防护、日志管理、应急处置等方面提出保护要求,指导企业规范开展数据出境活动,提升汽车数据安全保护水平。(信息来源:工信微报)
(十七)兰德智库发布《北约数字能力赋能系列报告》
1月21日消息,兰德智库发布《北约数字能力赋能系列报告》,围绕国防数字化能力构建,聚焦波兰、芬兰、瑞典、爱沙尼亚四国实践,分析了四国在战略规划、技术应用、军民协同等方面的举措与挑战。报告认为,国防数字化是涵盖技术、流程、组织和人才的系统工程,单一技术采购无法实现真正的数字化转型;成功的国防数字化需要战略统筹、军民协同、人才支撑和持续投入的有机结合,同时需平衡技术自主与联盟合作、短期需求与长期发展的关系。报告提出兼顾投入效益、技能培育、联盟互操作性的发展建议,强调北约成员国需借鉴四国实践经验,通过协同合作提升整体国防数字化能力,为联盟集体防御提供有力支撑。(信息来源:兰德智库网站)
(十八)美国SpaceX与xAI公司启动合并谈判
1月30日消息,美国SpaceX与xAI公司启动合并谈判,将对“星链”、Grok大模型以及X平台进行垂直整合,为轨道数据中心建设提供支持。分析指出,轨道平台可持续获取太阳能,绕开地面电网与审批瓶颈;真空环境下可通过辐射直接散热,避免地面数据中心高昂的冷却能耗;同时不再受制于土地、地方政治与基础设施扩容周期。若合并完成,Grok将能够直接运行在“星链”与“星盾”体系之上,成为首个太空原生大模型。(信息来源:全球技术地图)
(十九)美SpaceX推出基于“星链”空间态势感知系统Stargaze
1月30日消息,美SpaceX推出新型空间态势感知系统Stargaze,显著提升低地球轨道卫星运行的安全性和可持续性,其筛查数据将在未来几周免费向更广泛的卫星运营商社区提供。该系统自主检测并聚合轨道物体的观测数据,以近乎实时的方式生成所有检测到的物体的精确轨道估计值以及位置和速度预测。这些预测整合到一个太空交通管理平台中,该平台能够识别太空中物体之间的潜在近距离接近情况,并生成交会数据消息。该系统能够在几分钟内给出碰撞预警筛查结果,而当前行业的常规标准则需要数小时。(信息来源:Starlink网)
三、网安事件聚焦
(二十)俄罗斯安防巨头Delta遭网络攻击
1月28日消息,俄罗斯安防巨头遭疑似源自境外“敌对国家”“大规模、协调且有组织”的网络攻击,导致其面向家庭、企业和车辆的安全警报与监控服务大面积中断,公司官网及客服热线瘫痪,数万客户涌向社交媒体寻求帮助。Delta承认部分服务曾暂时中断,但强调没有证据表明客户个人数据被泄露,表示其技术团队正在努力恢复系统。Delta是俄罗斯最大的安全系统供应商之一,为家庭、企业和车辆提供报警和安全系统。(信息来源:安情视界)
(二十一)伊朗黑客兜售可攻击能源设施的控制框架
2月2日消息,Lab52研究人员在一个名为“黑市卡特尔”的TOR可访问平台上发现由自称“APT IRAN”兜售的工具包,被宣传为“迄今为止最全面的工业和军事控制网络框架”。该工具宣称具备“精确操控配电系统”能力,包括“选择性电路控制、负载平衡破坏和设备压力测试”等功能,通过针对IEC61850和IEC61970等标准工业协议,旨在让攻击者获得对物理电网的细粒度控制。研究人员发现“APT IRAN”与伊朗武装力量分支伊斯兰革命卫队存在关联。在该框架上市前一天,该组织宣布将专门针对“美利坚合众国的安全隐患”进行演示。Lab52称,时间点、描述和协议定位表明其真实能力。(信息来源:FreeBuf网)
(二十二)法France Travail因泄露4300万公民求职信息被罚超500万欧元
1月29日消息,法国国家信息与自由委员会(CNIL)因其未能妥善保护求职者数据,对国家就业服务机构France Travail处以500万欧元的罚款。事件缘于France Travail在2024年初发生的一起数据泄露事件,导致该平台积累20多年的求职者个人信息泄露。2024年3月,France Travail披露,攻击者窃取多达4300万人的敏感数据,包括姓名、出生日期、国家保险号码、电子邮件地址、家庭住址和电话号码。虽然此次数据泄露并未影响银行信息或账号密码,黑客也未获取完整的求职者档案,这些档案中可能包含敏感的健康数据。CNI要求France Travail记录纠正措施,并提供详细的实施时间表。若未遵守CNIL的命令,在该政府机构证明其已解决安全问题之前,将每天被处以5000欧元的罚款。(信息来源:BleepingComputer网)
(二十三)Exploit Pack全套漏洞利用代码遭泄露
2月2日消息,欧洲知名自动化渗透测试框架和漏洞利用库Exploit Pack全套漏洞利用代码遭泄露。黑客声称利用了Exploit Pack官方网站上的漏洞,访问并窃取受限数据,并称能访问包括新旧版本在内的全套漏洞利用程序。该黑客发布一份文件列表,称其包含Exploit Pack完整漏洞库、Shellcode脚本、源代码,并威胁后续将发布“内核包”和“控制包”漏洞。(信息来源:DailyDarkWeb网)
四、网安风险警示
(二十四)国家安全部提醒NFC“贴贴”的潜在安全风险
2月2日消息,国安部发文提醒,NFC(近场通信)“贴贴”这项“一触即通”的技术,可能在无形中成为信息泄露乃至危害国家安全的潜在渠道。一是涉密信息泄露的“近距离通道”。政府机关、军工单位、科研院所等敏感区域若有搭载NFC功能的存储介质,且未配备其他的防护措施,一旦被专业攻击者近距离接触,其中存储的工作数据、涉密文件等,会被他人在短时间内读取复制,且该行为难以被常规安防手段察觉,最终造成“无感”泄密。二是关键设施系统的“穿透式威胁”。NFC模块作为设备间数据交互的核心载体,若未采取有效加密防护措施,可被攻击者通过中间人攻击等方式截获传输数据,引发后续篡改与植入风险。三是数据安全治理的“系统性挑战”。NFC技术产生的海量用户数据、设备数据与交互数据,若加密强度不足或未加密传输,将导致数据被截获、破解。部分境外开发的搭载NFC功能的应用程序可能将收集到的敏感数据远程传输至境外服务器,以规避我数据安全监管。一旦这些数据被境外间谍情报机关获取、利用,将给国家安全带来风险隐患。为此,国安部建议强化安全意识,完善权限管理,提升技术能力。(信息来源:国家安全部)
(二十五)工作流自动化平台n8n存在2个高危漏洞
1月29日消息,工作流自动化平台n8n存在2个高危漏洞。其中CVE-2026-1470(CVSS评分9.9)为eval表达式注入漏洞,可导致经过身份验证的用户通过传递特殊构造的JavaScript代码,绕过表达式沙箱机制并在n8n的主要节点上实现完整的远程代码执行。CVE-2026-0863(CVSS评分8.5)为eval表达式注入漏洞,可导致经过身份验证的用户绕过n8n的python-task-executor沙箱限制,在底层操作系统上运行任意Python代码。利用这些漏洞,攻击者可劫持整个n8n实例,包括在“内部”执行模式下运行的场景。n8n督促用户切换为外部模式,确保n8n和任务运行进程之间的适当隔离,并及时更新版本。(信息来源:代码卫士)
(二十六)SmarterTools SmarterMail存在远程代码执行漏洞
1月28日消息,SmarterTools SmarterMail存在远程代码执行漏洞CVE-2026-24423(CVSS评分9.8)。漏洞源于ConnectToHub API接口未对访问者进行身份验证。攻击者通过构造特定请求,诱导SmarterMail服务器指向恶意HTTP服务器,可远程执行任意命令,完全控制受影响的系统,导致数据泄露、服务中断等严重后果。SmarterMail是一款由SmarterTools公司开发的企业级邮件服务器软件,适用于Windows平台。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十七)Ivanti披露其EPMM中的2个零日漏洞
1月29日消息,Ivanti警告在Ivanti End point Manager Mobile(EPMM)中的2个代码注入漏洞CVE-2026-1281(CVSS评分9.8)和CVE-2026-1340(CVSS评分9.8)已在零日攻击中被利用。攻击者利用2漏洞,能够在EPMM设备上执行任意代码,进而访问存储在平台上的大量信息,包括管理员和用户姓名、用户名和电子邮件地址,以及移动设备识别号等。如果启用位置跟踪,攻击者还可访问GPS坐标和最近蜂窝塔的位置等设备位置数据。这些漏洞已在EPMM12.8.0.0版本中修复,将在2026年第一季度晚些时候发布。目前Ivanti已发布缓解措施的技术指南,建议及时跟进。(信息来源:BleepingComputer网)
