2025年第28周安全周报 | 本周安全要闻速览
● 全球首个跨境数据空间标准IEEE P1988正式启动
7月10日,在“2025数据空间创新发展研讨会”上,下一代互联网国家工程中心联合国际数据空间协会(IDSA)、IEEE标准协会共同正式启动IEEE P1988跨境数据空间国际标准的构建。该标准致力于构建一个高效、安全、可扩展的数据流通和共享环境,确保数据在不同领域和地区之间的可信共享,完善数据产业生态体系并指导相关重点行业跨境数据流通,构建全球数据合作新秩序。IEEE P1988由下一代互联网国家工程中心于2025年2月发起立项,并于3月27日获得IEEE标准协会正式批准。标准以“互操作性、信任机制、规则内生、隐私保护、跨域协作”为核心,面向包括政府、企业、科研机构在内的多方数据主体,定义了一套通用的数据空间模型与接口协议,涵盖数据共享、访问控制、身份管理、审计追踪等关键能力。技术架构层面,IEEE P1988基于IDSA国际数据空间架构和DSP连接协议,融合IPv6虚拟专网以及数据沙箱、隐私计算和区块链等多重数据保护能力,形成一个支持分布式部署、灵活接入、安全可控的数据互联平台。
来源:下一代互联网工程中心
● 新加坡推出三项新举措,助力企业在可信生态中保护数据并部署AI
7月7日,新加坡发布三项新举措——新版全球AI保障沙盒、《隐私增强技术采纳指南》以及《新加坡数据保护标准》——以体现其在构建可信生态、实现技术(尤其是AI)安全与负责任部署方面的坚定承诺。这些举措由数码发展与信息部长兼网络安全与智慧国事务主管部长赵美心(Josephine Teo)在2025年个人数据保护峰会(PDP Summit 2025)上宣布,旨在在为企业释放创新潜力的同时设立必要的规范边界,让公众对新技术的使用充满信心。通过建立个人数据保护标准和推广隐私增强技术(PETs)的应用,新加坡致力于在不损害个人隐私的前提下推动AI对数据的安全训练。1、新加坡一直走在推动PETs应用的前沿,本次推出的《PETs采纳指南》正是支持企业采纳该类技术的重要举措。2、通过“全球AI保障沙盒”,新加坡资讯通信媒体发展管理局(IMDA)还将为企业试验负责任AI应用提供工具、资源和安全环境。3、在数据保护方面,现有的数据保护信任标志(DPTM)认证将被提升为《新加坡数据保护标准》国家标准,树立数据保护卓越的基准。
来源: 数据信任与治理
● 电力行业迎来网络安全新规,CIP-015-1国际标准获批
近期,唐纳德・特朗普总统签署了一项规模庞大的和解法案,其中包含多项与网络安全和人工智能相关的条款。该法案被称为 “宏伟美丽法案”,在相关领域投入巨资。在国防与安全领域,法案为网络司令部的人工智能项目拨款 2.5 亿美元,为国防高级研究计划局的国防网络安全项目提供 2000 万美元,还为 APEX 加速器及国防部 “师徒计划” 投入 9000 万美元。在海军造船方面,4.5 亿美元将用于应用自主系统;1.24 亿美元将用于提升测试资源管理中心的人工智能能力。此外,国防部将获得 2 亿美元,用于借助人工智能加速财务报表审计。其他重点领域也获支持,1.15 亿美元将通过人工智能加速核国家安全任务,国土安全部负责的边境安全工作获 61.7 亿美元,其中人工智能驱动的系统将助力打击非法毒品流通。非国防安全类网络支出中,500 亿美元投向农村医疗,部分可用于技术相关培训;能源部获 1.5 亿美元研发 “变革性” 人工智能模型,并需联合国家实验室与企业整理科学数据,以推动新能源技术及下一代微电子研发。值得注意的是,参议院删除了共和党提出的限制各州监管人工智能的争议性禁令及其他部分网络条款。
来源:安全牛
● 纽约出台一项新网络安全法规,事件强制报告要求成焦点
纽约州出台了一项新的网络安全法,旨在加强网络安全防护,尤其是在地方层面的报告要求上做出明确规定。该法案的核心在于提升对网络安全事件的响应速度与处理效率,保障居民信息安全。从报告时间来看,一旦发生特定的网络安全事件,相关机构需在规定时间内迅速上报,避免延误。这一举措能让监管部门及时掌握情况,快速做出应对决策,防止事态恶化。报告内容方面,涵盖了事件类型、影响范围、受影响数据等关键信息。详细的报告内容有助于监管部门全面评估事件的严重性,从而调配相应资源,采取针对性措施。在技术细节上,法案对数据加密、访问控制等安全措施也有涉及,要求机构在日常运营中落实这些措施,降低网络安全风险。纽约州通过明确地方报告要求等一系列规定,试图构建更完善的网络安全防护体系。随着该法案的实施,预计将对纽约州的网络安全环境产生积极影响,为其他地区提供借鉴。
来源:安全牛
● IT分销巨头英迈遭勒索攻击服务瘫痪近一周,中国客户订单或受扰乱
跨国IT分销巨头英迈遭勒索攻击,业务服务已瘫痪近一周,官方最新公告称目前攻击已被遏制,最早的异常出现在7月3日,当时多家解决方案提供商、经销商及托管服务提供商(MSP)发现英迈官网无法访问,致使他们无法在线提交订单。近年来,勒索软件攻击者频繁选择节假日长周末,针对高价值组织发动攻击。服务中断持续超过两天后,英迈于7月5日晚间发布声明,证实客户的担忧属实,并确认此次中断确由勒索软件所致。受影响系统已得到修复,正在努力恢复上线;由于服务瘫痪,大量客户无法在线提交订单,官方后续称中国等部分国家的订单已可通过电话或邮件处理;有消息人士透露,疑似SafePay勒索软件组织通过英迈内部的Palo Alto VPN平台入侵进内网,英迈的下游客户担忧可能被牵连攻击。
来源:安全内参
● 俄罗斯拟强制标注AI生成内容,违规或面临高额罚款和刑事责任
俄罗斯社会经济分析与发展计划研究所(ISAPR)已向总理米舒斯京提交提案,建议对人工智能生成内容实行强制标注制度,旨在遏制深度伪造传播,保护公众免受误导。若违规,企业或将面临最高相当于年营业额 3% 的罚款,类似非法处理个人数据的处罚等级。该提案已获俄罗斯数字发展部正式回应,副部长肖伊托夫指出,当前首要任务是明确“AI内容”“深度伪造”等法律定义,并构建内容创作、发布和分发的合法框架。数字发展部建议建立标签监管机制,明确执行主体和技术标记手段,在“国家数据经济”项目与“对话区域”系统内推进。还提出对未经同意制作或使用 AI 合成图像与语音的行为追究刑责。专家对此表示警惕,认为全标记技术尚不成熟,执行难度大,呼吁结合事实核查、隐性水印等方式提升检测效果。部分评论认为,标签制度对中小内容创作者可能是竞争优势,但刑责建议需谨慎执行,以免误伤合法用户。
来源: SecurityLab
● 联合国网络安全OEWG最后会议召开,7月11日或通过最终报告草案
联合国网络安全不限成员名额工作组(OEWG)第11次会议已于7月7日在纽约启动,并将于7月11日闭幕,目标是通过一份全体成员国一致同意的最终报告。OEWG成立于2019年,由俄罗斯倡议,旨在制定国家在信息空间中的负责任行为规则。报告草案由主席、新加坡外交官布尔汉·加福尔起草,长达56页,指出OEWG在“大国竞争与政治紧张加剧”的背景下,仍成功就诸多关键议题达成共识。草案重申联合国政府专家组(GGE)提出的11项网络行为准则,如不得攻击关键基础设施、不得在IT产品中植入后门、不得庇护网络攻击行为体等。同时新增建议包括保护水下电缆与卫星系统,以确保全球互联网连通性。尽管报告无法律约束力,俄罗斯持续推动制定具有法律约束力的《国际信息安全公约》,主张基于主权与不干涉原则防止网络冲突、增强发展中国家网络能力,但该倡议面临西方国家质疑,尚未取得实质进展。此外,OEWG已实施一项重要务实成果——建立“全球CERT联络点登记册”,成为联合国首个普遍适用的网络信任机制。该平台发布于联合国裁军事务厅网站,用于国家应急响应小组之间的快速信息交换。当前讨论也涉及OEWG机制未来发展。俄罗斯建议建立具有法律起草权的常设机构,多国代表虽支持长期平台设想,但对权限范围仍存争议。
来源:SecurityLab
● 新西兰政府发布首个国家级AI战略,加速创新与负责任应用
新西兰政府今日发布首份国家人工智能(AI)战略《新西兰人工智能战略:信心投资》,旨在为企业提供清晰的路线图,以推动AI在农业、医疗和教育等重点领域的应用与创新,并确保技术发展安全、负责任。作为经合组织唯一尚未制定AI战略的成员国,新西兰此次通过“轻触式”监管模式,避免新增专门立法,而是依托现有隐私、消费者保护与人权法规,降低企业准入门槛。政府同时发布了《负责任AI指南》,参照OECD原则,强调透明度、问责制与公众信任,并承诺密切跟踪国际治理动态。战略将重点放在提升企业AI采纳与本地化能力,鼓励私营部门率先行动,并通过技能培训与咨询支持,解决人才短缺和部署不确定等障碍。政府估算,到2038年AI或为新西兰GDP贡献高达760亿新元。除私营部门外,政府也将在公共服务中试点AI应用,由数字化政府部长牵头探索优化政务流程。下一步,新西兰将持续与产业界、学术界和社区协作,定期更新《负责任AI指南》,并及时消除法律与实践障碍,确保AI技术公平包容地造福毛利族群与所有社区。这一战略将助力新西兰在小型发达经济体中脱颖而出,实现创新驱动的可持续增长。
来源:Securitybrief
● 美国FERC批准NERC可靠性标准CIP‑015‑1,扩大内部网络安全监控范围
美国联邦能源监管委员会(FERC)发布最终行动通知,批准北美电力可靠性公司(NERC)提交的拟议可靠性标准CIP‑015‑1,并指示在该标准基础上进行关键修改,以将内部网络安全监控(INSM)范围从仅限电子安全边界内,扩展至电子门禁控制或监控系统(EACMS)与物理门禁控制系统(PACS)。FERC强调,仅依赖电子安全边界内的监控将留下可靠性漏洞,攻击者可利用边界外系统渗透至核心网络。因此,委员会要求NERC在最终规则生效后12个月内完成修订。FERC在联邦公报中进一步澄清,“CIP网络环境”不仅涵盖边界内流量,也应包括电子安全边界之外的EACMS与PACS之间连接,以防止边界外攻击破坏门禁系统后假借可信通信侵入内部。委员会重申,该修订将改善对东西向通信的可视性与攻击检测能力,强化大容量电力系统的可靠性。此外,FERC拒绝了行业组织OpenPolicy关于自愿采用扩展INSM实践的建议,指出责任实体可在合规之外自选其他实践,但在标准起草时须充分响应第887号命令中的指令。FERC还提醒,各责任实体应自行设定事件警报阈值并记录基线,以减少误报与警报疲劳,同时保留必要文档以供审计。该标准预计于2025年9月2日生效,届时所有高影响及具有外部可路由连接的中等影响BES网络系统需全面实施INSM。FERC强调,通过此举,电力行业可更有效地检测和应对内部网络威胁,提升整体安全态势。
来源:Industrial Cyber
