2025年第22周安全周报 | 本周安全要闻速览
● 工信部等三部门印发《电子信息制造业数字化转型实施方案》
日前,工业和信息化部、国家发展改革委、国家数据局联合印发《电子信息制造业数字化转型实施方案》,着力拓展电子信息制造业数字化转型、智能化升级的广度和深度,巩固电子信息制造业稳增长内生动力,不断提升电子信息技术和产品对其他行业数字化转型赋能力度,助力推动新型工业化和制造强国建设。《实施方案》落实中央经济工作会议和《制造业数字化转型行动方案》有关工作部署,强调要坚持创新引领、统筹谋划、因业制宜、安全有序,深化数字技术应用,推动生产方式和组织形态变革,加快电子信息制造业高端化、智能化、绿色化、融合化发展。《实施方案》明确提出,到2027年,规模以上电子信息制造业企业关键工序数控化率超过85%,典型场景解决方案全面覆盖,服务能力明显增强。到2030年,建立较为完备的电子信息制造业数据基础制度体系,形成一批标志性智能产品,数字服务和标准支撑转型的环境基本完善,向全球价值链高端延伸取得新突破。还发布了覆盖电子信息制造业数字化转型、电子信息技术和产品赋能其他行业数字化转型两个方面的15个典型场景。强调,要加强统筹协调、加大资金保障、强化分析评价、加强宣传推广、加强行业数字化人才培养,为电子信息制造业数字化转型提供坚实保障。
来源:工信微报
● 国务院、中央军委公布实施《重要军工设施保护条例》
国务院、中央军委日前公布《重要军工设施保护条例》,自2025年9月15日起施行。旨在保护重要军工设施的安全,保障重要军工设施的使用效能和军工科研、生产等活动的正常进行,加强国防现代化建设。《条例》共7章51条,主要规定了以下内容:一是明确重要军工设施范围和各方责任。二是规范重要军工设施保护区划定。三是明确重要军工设施的保护措施。四是强化重要军工设施管理单位责任义务。五是加强各方面保障监督。
来源:央广网
● 《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》等两项标准发布
根据《中华人民共和国个人信息保护法》《网络数据安全管理条例》《个人信息保护合规审计管理办法》等法律法规要求,为支撑个人信息保护合规审计工作,落实合规审计中专业机构相关规定,秘书处组织编制了《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》和《网络安全标准实践指南——个人信息保护合规审计要求》。《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》从基本条件、管理能力、专业能力、人员能力、场所与设备资源能力五个方面规范了专业机构提供个人信息保护合规审计服务的能力要求,可用于规范专业机构个人信息保护合规审计活动。《网络安全标准实践指南——个人信息保护合规审计要求》提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的总体要求、实施流程、内容和方法,适用于个人信息处理者和专业机构开展个人信息保护合规审计活动。
来源:全国网络安全标准化技术委员会
● 《网络安全合规咨询服务规范》地方标准获批发布
近日,广东省市场监督管理局批准发布《网络安全合规咨询服务规范》地方标准,将于2025年7月11日起实施。该标准由广东省网络空间安全协会作为主导单位,广东省科学技术厅作为标准归口省级行政主管部门和提出单位,广东省网络空间安全标准化技术委员会作为归口标准化技术委员会基于前期标准研究成果起草网络安全合规咨询服务标准,针对数据安全合规咨询、个人信息保护合规咨询等网络安全合规咨询服务,明确了数据安全合规咨询、个人信息保护合规咨询等网络安全合规咨询服务应具备的能力要求。该标准的发布实施,对相关服务专业机构及服务行为的规范化管理,推进网络安全社会化服务体系构建,切实提升企事业单位网络安全、数据安全及个人信息保护能力具有重要意义。相关使用单位在提供数据安全合规咨询、个人信息保护合规咨询等网络安全合规咨询服务时,可将本标准作为服务工作依据,规范服务过程,提升服务质量,助力国家网络安全社会化服务体系建设。
来源:广东省网络空间安全协会
● 《网络交易平台收费行为合规指南》面向社会征求意见
为规范网络交易平台向平台内经营者收取佣金、抽成、会员费、技术服务费、信息服务费、营销推广费等收费行为,维护平台内经营者合法权益,促进平台经济健康有序发展,近日,市场监管总局研究起草了《网络交易平台收费行为合规指南(征求意见稿)》,并向社会公开征求意见。《指南》共28条,主要内容包括5个方面:一是明确平台收费要遵循的原则;二是倡导降低平台内经营者负担;三是强化平台合规自律;四是规范平台收费行为。五是加强监督与实施。其中,在“强化平台合规自律”方面,要求平台按照有关规定,落实合规管理主体责任,健全合规管理组织、配备合规管理人员,建立不合理收费风险识别评估、防范收费风险的事前合规审核等机制,提升平台收费合规管理能力。
来源:新华视点
● 美国政府启动NIST国家漏洞数据库审计,解决积压问题
美国商务部监察长办公室(DoC)近日发布备忘录,宣布对国家标准与技术研究院(NIST)管理的国家漏洞数据库(NVD)进行审计,旨在解决去年形成的大量漏洞积压问题。此次审计将重点检查NIST处理NVD提交的程序,评估其管理流程的有效性,并确定需要改进的领域,以防止类似积压问题再次发生。商务部代理审计与评估助理监察长Kevin D. Ryan在致代理技术标准副部长Craig Burkhardt的备忘录中详细说明了即将进行的审计。NVD在过去一年面临重大挑战,主要是由于2024年初支持其运营的一个关键合同终止,导致大量未分析的漏洞积压。因此,越来越多新识别的漏洞未经NVD团队检查,造成了严重的分析瓶颈。2025年4月,NVD项目经理Tanya Brewer和NIST计算机安全部门主管Matthew Scholl在VulnCon会议上分享了NVD的最新进展,宣布了NVD处理漏洞方式的多项改进,并表示正在制定新策略来解决积压问题,包括自动化更多数据分析任务,以及探索AI驱动的辅助方法。
来源:Infosecurity Magazine
● 多国政府联合发布SIEM/SOAR实施指南,敦促组织优先采用安全分析平台
多个国家政府机构近日联合发布咨询建议,敦促各组织优先实施安全信息与事件管理(SIEM)和安全编排、自动化与响应(SOAR)平台。这份由美国、英国、澳大利亚和加拿大等国家政府机构发布的指南,旨在帮助企业高管和网络安全从业者在这些平台的采购和实施决策过程中提供指导。该咨询建议强调了SIEM和SOAR在集中收集和分析关键数据方面的重要性,指出这些平台能够帮助组织检测网络安全事件,并通过警报提示及时干预,确保事件响应人员能够访问记录事件经过的数据。此次发布的指南包含三份文档:面向高管的SIEM和SOAR平台实施指南;面向从业者的平台采购、建立和维护指南;以及SIEM日志摄取优先级指南,详细说明了特定日志源类别的日志记录指导。咨询建议警告称,实施SIEM和SOAR平台是一个"密集且持续的过程",需要高技能人员支持。主要挑战包括防止警报疲劳,确保SIEM仅在真实网络安全事件发生时产生警报,以及确保SOAR仅对实际安全事件采取适当行动。针对采购决策,机构建议组织注意不同SIEM和SOAR产品的潜在隐藏成本。例如,大多数SIEM定价模型基于数据摄取量,"对于没有摄取上限的产品,如果不仔细管理摄取量,组织可能会产生巨大成本。"
来源:Infosecurity Magazine
● 印度强化视频监控设备安全监管,要求摄像头厂商开放源代码
印度出台新规,要求所有IP摄像机制造商,包括中国海康威视、大华、小米等,必须通过政府实验室的测试,并提交硬件、软件及源代码以确保网络安全。此举源于国家安全担忧,尤其针对中国摄像头可能将视频数据传输至境外服务器的风险。尽管规则未明确点名,但中国仍为重点监管对象。企业多次请求延期未果,因测试周期长、缺少认可实验室及须披露机密信息而难以合规。印度视频监控市场规模预计2030年将增至70亿美元,德里地区摄像头数量已超25万台,且80%部件依赖中国制造。新规定要求设备具备反黑客保护、加密和内置恶意软件检查,且政府有权在工厂现场检查源代码。印度虽然未采取禁令措施,但监管趋严趋势明显。北京对此表示批评,指责印度以安全为由歧视中国企业。此举反映印度对数字主权和技术基础设施控制的重视,以及对潜在安全风险的高度警惕。
来源:SecurityLab
● 俄罗斯拟出台VPN统一监管政策企业VPN或受冲击
俄罗斯数字发展部部长马克苏特·沙达耶夫在TAdviser峰会上宣布,将在未来六个月内制定VPN服务使用统一政策。目前俄罗斯已封锁近200个"不友好"VPN服务,但VPN流量占比仍在持续上升。新政策旨在规范VPN使用,预计具体细则将于2024年秋季公布。值得注意的是,现行封锁措施已对企业正常运营所需的商用VPN造成影响。俄罗斯自2023年起将VPN访问禁止信息列为网络安全威胁,并采用技术手段进行阻断。2024年3月更立法禁止传播绕过网络封锁的方法。新政策的出台可能进一步影响企业远程办公和跨境数据流通。
来源:Securitylab
● 美国国防部强化网络安全实战培训 8140指令推动技能认证体系革新
美国国防部正通过8140指令改革网络安全人才培训体系,要求72个网络安全岗位人员必须通过学位、认证或培训项目证明专业能力。Pluralsight公司IT安全课程总监Bri Frost透露,新框架特别强调实战能力评估,其认证培训包含模拟攻击实验室,学员需在虚拟环境中实操入侵检测、流量分析等防御技能。随着AI加剧网络安全威胁,国防部要求技术人员持续更新技能。目前已有13个重点岗位建立标准化培训路径,其中网络防御分析师等核心职位需通过"技能智商"测试评估实操水平。该体系突破传统证书考核模式,通过沙盒环境模拟真实攻击场景,使学员能直接将培训成果应用于工作实践。专家指出,这种强调实战的培训对应对瞬息万变的网络威胁至关重要。
来源:Breaking Defense
