2025年第29周安全周报 | 本周安全要闻速览

全国网络安全标准化技术委员会归口的《网络安全技术网络安全产品互联互通第5部分：行为信息格式》等9项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，现将该9项标准征求意见稿面向社会公开征求意见。截止时间为2025年9月12日24:00前。

英国国家网络安全中心（NCSC）近日宣布启动一项新的“漏洞研究计划”，旨在加强与外部网络安全研究人员的合作，提升对软件和硬件系统中潜在漏洞的识别与理解能力。NCSC表示，该项目旨在建立一个结构化的外部协作机制，将重点邀请外部安全研究人员参与，聚焦于特定技术产品中的安全性缺陷。研究人员将在遵循“公平流程”的前提下进行漏洞披露，同时还需向NCSC提交在研究过程中所使用的工具和方法的详细信息，以帮助制定更高效的安全研究实践框架。NCSC表示，未来计划将该计划扩展至人工智能等新兴技术领域，进一步增强其在前沿技术应用中的漏洞发现能力。

澳大利亚政府已正式将 AS IEC 62443 系列标准采纳为国家标准，用于加强能源、水利、交通、医疗设备和楼宇自动化等关键基础设施的运营技术（OT）环境的安全防护。此举旨在应对日益复杂且频繁的网络攻击，防止对社会运行基础系统造成破坏。该标准基于国际标准IEC 62443转化而来，专为工业自动化与控制系统设计，提供模块化、基于角色的网络安全框架，适用于资产所有者、服务提供商及产品供应商，并符合澳大利亚本地监管要求。其覆盖系统全生命周期，有助于降低因网络攻击导致服务中断的风险，保障公众健康与社会稳定，同时促进智能能源、智能制造和智慧城市的发展。最新发布的第1-6部分将探讨该标准在工业物联网（IIoT）中的应用。IEC持续更新该系列标准以适应新兴技术发展。通过采纳该标准，澳大利亚正积极构建面向未来的网络安全体系，确保关键基础设施具备抵御高级威胁的能力，降低长期停电带来的公众影响和声誉风险。

美国国家标准与技术研究院（NIST）下属国家网络安全卓越中心（NCCoE）发布了《运营技术（OT）安全系列》的首份草案《SP 1334：降低 OT 环境中便携式存储介质的网络安全风险》。该草案聚焦工业控制系统中USB存储设备的使用，提出一套实用、可执行的安全指导策略，公众意见征集将持续至8月14日。该文件强调，尽管USB设备在数据隔离环境中具有便捷性，但其未经授权使用可能导致恶意软件传播、数据泄露，甚至关键基础设施被攻破。为应对这些威胁，NIST提出了包括程序控制、物理控制、技术控制及介质传输和消毒在内的多层控制策略：程序控制：规定必须由组织授权采购USB设备，禁止外部来源设备；建议使用FIPS加密认证设备，并建立完整的生命周期管理机制。物理控制：要求设备存放于安全位置，标签清晰标明用途与权限，并实施访问审计。技术控制：建议通过系统配置禁用未授权端口，使用自动化软件进行恶意软件扫描，启用写保护和禁用自动运行功能。数据传输与消毒：建议在组织间传输设备时加密并使用哈希验证文件完整性，同时规定详细的清理与处置流程。NIST还强调了OT与IT融合的趋势，指出原本孤立的OT设备正在接入更广泛网络，需要针对性强化安全策略和员工培训，以应对工业系统新出现的攻击面。

参议院情报委员会批准了2025财年《情报授权法案》，其中首度对美国电信行业设定基础网络安全要求，以防范类似黑客组织“盐台风”对多家美国电信网络的入侵。本次立法建立了覆盖18个情报机构的统一标准，要求电信服务供应商必须达到最低安全防护水平，包括端点加固、流量监测和应急响应能力。报告指出，去年“盐台风”事件暴露出美国通信基础设施的薄弱环节，促使拜登政府及情报委员会成员呼吁出台强制性网络安全标准。虽然该提案在早前曾一度被搁置，本周众议院已通过口头表决，指定国家电信和信息管理局（NTIA）为全国通信网络安全的领导机构。情报授权法案还拟利用情报界的巨额采购力量，强化供应链审查和安全服务的质量控制，以减轻“盐台风”所带来的反情报风险。该法案为美国情报社区安排了数十亿美元的年度预算，并为各部门制定了明确的政策指导条款。鉴于其敏感性质，法案全文的公开版本预计将在参议院正式通过后数周内对外公布。立法者表示，此举不仅填补了电信业网络防御的监管空白，也为美政府在数字间谍和网络攻防领域提供了更强有力的法理支持。

欧盟委员会宣布与摩尔多瓦达成新的数字合作协议，重点聚焦网络安全、虚假信息防范和跨境通信便利化，以应对来自俄罗斯等外部势力的混合威胁。这是丹麦担任欧盟轮值主席国期间促成的首项网络协议，标志着双方在数字领域协作迈入新阶段。根据《欧盟-摩尔多瓦联合宣言》，欧盟授权摩尔多瓦使用其网络安全储备，为欧盟《网络团结法》下的首次区域性安全支持，确保该国在9月议会选举前具备应对重大网络事件的能力。此外，欧盟承诺继续通过网络快速反应小组、混合快速反应小组等机制，提升摩尔多瓦的抵御虚假信息和网络攻击的能力。在数字互联方面，摩尔多瓦将加入欧盟的“像在家一样漫游”区，未来摩尔多瓦与欧盟用户之间的电话、短信和数据通信将不再产生额外费用，推动人员和商业交流。同时，摩尔多瓦已纳入欧盟“受信任电子签名第三国名单”，提升双边商业文书互认的效率。为增强信息生态韧性，欧盟还支持欧洲数字媒体观察站FACT在摩尔多瓦设立新中心，推动反虚假信息研究与公众教育，强化社会整体对外部干扰的抵御力。

俄罗斯政府正筹备针对包括通信服务在内的外国软件实施新限制的提案。该提案已纳入总统普京5月与企业代表会晤后批准的清单，要求内阁在9月1日前提交关于“对在俄罗斯使用不友好外国生产软件施加额外限制”的建议。普京公开支持限制包括Zoom在内的外国通信服务的使用，强调西方IT公司虽然声称退出俄罗斯市场，但实际上仍在运营，称“我们需要扼杀他们……我们必须予以回击”。此言论反映出俄方对外国产品的强硬态度。与此同时，俄罗斯加快发展本土数字通信基础设施。今年7月，政府指定VK旗下通信平台公司为国家信息交换服务的运营商，基于其开发的Max平台提供即时通讯、语音视频通话、大文件传输和商业服务等功能。Max平台自2025年3月上线，用户已超过200万。市场分析机构J'son & Partners Consulting预测，至2028年，俄罗斯企业通信市场规模将从2023年的810亿卢布几乎翻倍至1640亿卢布，国内开发商解决方案销售额预计增长四倍，市场份额由45%增至91%。另一方面，Telegram Messenger已启动根据2021年《登陆法》在俄罗斯设立代表处的程序，向俄罗斯联邦信息和通信监管局（Roskomnadzor）提交注册和用户反馈渠道申请，显示部分外国服务试图合规以维持市场准入。整体来看，俄罗斯正加速推动本土替代品发展，同时对外国通信服务施加更严格管控，其未来命运将在9月1日前逐渐明朗。

美国参议院军事委员会希望国防部审查其在美国网络司令部之外运用网络作战力量的方式。该委员会提出的年度国防政策法案（执行摘要已于近日公布）包含一项条款，要求国防部长审查未来网络作战的兵力运用概念。目前，该法案的完整文本尚未公开。美国国会相关高级官员指出，迄今为止，网络作战及其相关部队主要集中在战略层级。但他们表示，数字化作战正在不断演化，战术级网络作战等新形态正在逐步出现。事实上，国防部已于2022年底更新了网络作战条令，首次纳入“远征网络空间作战”的定义，即指“需将网络空间部队部署至物理作战域内执行的网络空间作战”。这一变化具有重要意义。多年来，网络作战的授权始终集中在政府高层，主要原因在于担心此类行动可能带来意想不到的后果，或扩散至原本不在目标范围的网络。