2025年第21周安全周报 | 本周安全要闻速览

为了加强电子印章规范管理,推动电子印章应用,服务政务活动和经济社会数字化发展,根据《中华人民共和国电子签名法》、《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及印章管理有关法律法规,国家密码管理局会同有关部门研究起草了《电子印章管理办法(征求意见稿)》,现向社会公开征求意见。征求意见时间为2025年5月21日至2025年6月21日。

欧盟网络安全局(ENISA)于5月19日发布《网络压力测试手册》，为落实《NIS2指令》提供标准化操作框架。该手册定义网络压力测试为"评估组织抵御重大网络事件及恢复关键服务能力的系统性方法"，提出五步实施流程：目标界定、方案设计、测试执行、差距分析及政策建议，并附欧盟卫生部门实践案例。手册强调该方法可识别个体机构漏洞及跨行业系统性风险，支持监管机构通过量化评估、跨境协作（如能源/金融联合测试）强化关键领域韧性。ENISA指出，该工具弥补传统审计耗时耗力缺陷，可与渗透测试、红队演练等方法组合应用，其轻量化特性尤其适合评估物联网等复杂系统的互联风险。此次发布是ENISA继上周推出欧盟漏洞数据库(EUVD)后，完善NIS2合规体系的又一举措。

全球信息技术行业协会CompTIA宣布推出全新认证项目SecOT+，旨在解决运营技术（OT）领域网络安全技能短缺问题，推动IT与OT技术融合。该认证面向车间技术人员、工业工程师及网络安全从业者，聚焦制造与关键基础设施环境中的威胁检测与响应能力培养，覆盖风险评估、合规框架、遗留系统保护、第三方风险管理及安全配置强化五大核心领域。CompTIA首席技术推广官James Stanger指出，SecOT+目标包括加速OT人才入行、促进传统OT人员理解IT安全原则、助力IT专业人员掌握OT防护技能，并推动IT与OT团队高效协作。他强调，认证内容由行业实践驱动，将映射当前工控安全最佳实践，帮助组织优化风险管理与工作流程。此外，SecOT+有望为政策制定者提供可扩展的实施框架，推动工业网络安全标准（如NIS2、CMMC 2.0）的落地。面对业界对“单一认证能否弥合IT/OT文化鸿沟”的质疑，Stanger表示，SecOT+通过众包行业专家智慧，以教育推动变革，目标成为“IT与OT的统一理论”。与此同时，SANS研究所同期推出首门OT渗透测试面授课程ICS613，计划于8月25日启动测试版，进一步填补工业安全实战培训缺口。

荷兰政府批准了一项新法律，将包括数字间谍活动在内的更广泛的间谍行为定为犯罪，以保护国家安全、关键基础设施和敏感技术。这项新立法于上周末通过，扩展了现有的间谍法，将泄露不属于国家机密的敏感信息，或代表外国政府从事损害荷兰利益的活动，也定为刑事犯罪。违法者最高可判处8年监禁，严重者甚至可能被判处12年监禁。司法和安全部长戴维·范威尔表示，荷兰必须加强抵御来自国外的攻击和威胁的能力。今年4月，荷兰当局宣布计划对寻求接触荷兰学术机构敏感技术的研究人员和学生实施审查程序，以防止外国政府获取其知识产权用于商业和军事目的。荷兰情报机构去年对中国针对西方政府和国防公司的网络间谍活动规模发出了警告。同时，俄罗斯的活动也引发了荷兰的担忧，荷兰安全部门在4月份的一份报告中披露，受俄罗斯政府支持的黑客在今年和去年的攻击中试图破坏荷兰的关键基础设施。此外，荷兰的其他机构也面临俄罗斯的敌对行为，包括试图渗透国际刑事法院和国际化学武器监督机构，这两个机构都位于海牙。

韩国信息安全产业协会(KISIA)与共同民主党当日签署政策协议，确立网络安全作为国家战略出口产业的地位。协议以"没有网络安全就没有人工智能时代"为主题，提出四大核心政策：构建安全可信的AI应用社会、确保国家战略技术安全、建立AI时代网络安全人才生态系统、将网络安全培育为国家战略出口产业。具体措施包括：投入1万亿韩元并购基金支持产业发展、研发AI及量子等新技术安全解决方案、建设信息安全人才管理平台等。KISIA会长赵永哲表示，为实现"2030年成为全球第三大信息安全产业"目标，需要政府10万亿韩元支持。民主党信息通信委员长李政铉强调，信息安全是守护韩国数字主权的核心资产。约10家信息安全企业代表出席签约仪式，共同探讨加强民间网络安全体系的政策方向。