2025年第32周安全周报 | 本周安全要闻速览

近日，全国数据标准化技术委员会（以下简称“全国数标委”）秘书处面向社会公开征求《全国一体化算力网 智算中心算力池化技术要求》《全国一体化算力网 安全保护要求》2项技术文件意见。至此，全国一体化算力网9项技术文件已全部发布，全国一体化算力网标准体系建设基本完善。前期，为深入贯彻落实《关于深入实施“东数西算”工程 加快构建全国一体化算力网的实施意见》等政策文件，国家数据局指导全国数标委秘书处完成全国一体化算力网算力并网、数据资源管理与调度、算力多量纲计费、算力算效衡量、算力运营服务、算力监测接口、算力中心能力等7项技术文件的研制并公开征求意见。新公开的《全国一体化算力网 智算中心算力池化技术要求》《全国一体化算力网 安全保护要求》2项技术文件，进一步提高全国一体化算力网算力调度的效能和安全，定义了算力资源抽象、资源池化管理、任务式资源申请与调度、业务编排等功能，提出了构建算力网多层次、全方位、可持续的安全保护能力要求。

近日，国家市场监督管理总局、国家标准化管理委员会发布的2025年第19号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的7项国家标准正式发布。标准具体内容如下：

1.GB/T 19714-2025《网络安全技术 公钥基础设施 证书管理协议》：该标准出了公钥基础设施(PKI)中证书管理协议的结构和内容，规定了证书产生和管理所需要的协议消息格式；适用于公钥基础设施相关产品的研制，以及用于指导公钥基础设施相关产品的设计、开发和管理。

2.GB/T 19771-2025《网络安全技术 公钥基础设施 PKI组件最小互操作规范》：该标准规定了公钥基础设施组件最小互操作的基本功能要求和数据格式要求，描述了测试评价方法；适用于电子签名、电子签章、身份管理等活动中PKI的设计、开发、测试及其应用。

3.GB/T 20520-2025《网络安全技术 公钥基础设施 时间戳规范》：该标准给出了时间戳系统组成、时间戳的内容和申请颁发流程，规定了时间戳安全要求，描述了相应的测试评价方法；适用于时间戳系统及其应用的设计、开发与测试。

4.GB/T 31722-2025《网络安全技术 信息安全风险管理指导》：该标准提供了指导,以帮助组织: 满足GB/T22080—2025有关应对信息安全风险活动的要求;实施信息安全风险管理活动，特别是信息安全风险评估和处置。适用于所有组织，无论其类型、规模或领域。

5.GB/T 34942-2025《网络安全技术 云计算服务安全能力评估方法》：该标准确立了依据GB/T31168—2023开展评估的原则、实施过程，描述了针对各项具体安全要求进行评估的方法；适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估，也为云服务商在进行自评估时提供参考。

6.GB/T 45940-2025《网络安全技术 网络安全运维实施指南》：该标准提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件和运维业务建立过程，给出了运维管理、识别、防护、监测分析、事件处置、协同和效果评估等网络安全运维主要工作环节实施内容；适用于网络安全运维提供方和需求方，用于网络安全运维的实施提供指导，并为网络安全运维需求方、第三方机构对网络安全运维实施效果和网络安全运维能力进行评估提供参考。

7.GB/T 45958-2025《网络安全技术 人工智能计算平台安全框架》：该标准确立了人工智能计算平台的安全框架，规定了安全功能、安全管理和角色安全职责；适用于人工智能计算平台的设计、建设、应用和运维。以上标准将于2026年2月1日起正式实施。

美国能源部（DOE）宣布开放“2026年运营技术（OT）防御者奖学金”申请，旨在培养专注于保护关键能源基础设施的网络防御人才。该奖学金项目由DOE网络安全、能源安全与应急响应办公室（CESER）发起，与爱达荷国家实验室（INL）及民主防御基金会网络与技术创新中心（CCTI）合作支持。申请截止日期为8月22日。获选者将参与涵盖情景驱动实战演练的全年线下课程，获得与DOE、CISA、FBI、NSA等联邦机构网络专家的紧密交流机会，深入掌握OT领域针对网络威胁的应对策略和技术。项目面向能源行业资产所有者/运营商中高级管理人员，要求申请者拥有决策权，能够影响组织网络安全战略，并获得领导支持，且须为美国公民，持有联邦安全许可。今年5月，CISA、FBI、EPA及DOE联合发现针对美国关键基础设施OT和工业控制系统的网络攻击，进一步凸显了提升能源行业网络防御能力的迫切性。该奖学金项目致力于增强美国能源部门的网络安全韧性，促进防护能力升级。

美国国家标准与技术研究院（NIST）通过国家网络安全卓越中心（NCCoE）发布了《供应链可追溯性：制造元框架》（NIST IR 8536）第二份公开草案，旨在增强美国制造业供应链的完整性和可追溯性。该元框架通过结构化记录、链接和安全交换跨不同制造环境的供应链事件数据，支持利益相关者验证产品来源，满足法律与合同合规要求。框架引入加密验证的可追溯性链，确保数据防篡改和真实性，同时允许组织基于受控披露原则共享必要信息，保护敏感知识产权与商业秘密。该设计平衡了透明度与保密性，提升供应链风险管理能力。框架强调使用通用数据本体和可信数据存储库，促进跨行业数据互操作和一致性，增强供应链的可视性和安全性。它支持捕获制造、运输等关键事件，形成连续的产品谱系追踪链，帮助利益相关者进行合规审计、假冒检测及风险评估。尽管该框架为复杂多层供应链提供了安全可信的数据交换基础，但仍面临互操作性、隐私保护和验证机制等方面的改进挑战。公众意见征询将持续至2025年9月1日，相关各方可参与完善。

8月1日，俄罗斯实施新法，允许用户退订群发短信。但由于法律未明确区分短信类型，多家运营商选择屏蔽几乎所有自动商业信息（A2P），不仅广告短信被阻止，银行通知、服务验证码也受影响。MTS网站信息显示，启用该选项后，仅保留紧急部门与“Gosuslugi”短信，其余确认码与银行提示均被屏蔽。T2、MegaFon同样确认收到退订请求后会屏蔽所有来自非常规号码的短信，仅保留法律或政府强制信息。VimpelCom则称仍转发银行与政务短信，但业内人士指出执行差异明显。法律界认为，问题在于缺乏分类细则，运营商为避免罚款采取“一刀切”做法。数字发展部已介入，称禁令应可随时撤销并向所有用户开放。受影响企业正寻找替代方案：Hot-WiFi计划改用银行 ID 或电话授权，俄罗斯邮政增加推送通知，铁路系统保持多渠道通知。部分科技和电商公司暂未披露应对策略。此举虽有助减少垃圾短信，但对依赖短信双因素认证（2FA）的服务构成潜在安全与可用性挑战。

英国国家网络安全中心（NCSC）发布了网络评估框架第四版（CAF v4.0），旨在帮助关键服务提供商增强网络风险管理和整体韧性。该框架采用结构化方法，支持内部或经认证的外部机构对关键职能部门的网络风险应对能力进行全面评估。CAF v4.0引入四项重要更新：新增章节深入分析攻击者方法与动机，强调软件安全开发与维护，强化安全监控与威胁搜寻能力，以及扩展人工智能相关网络风险的覆盖范围。NCSC监管支持团队成员Stephen D指出，该框架主要面向能源、医疗、交通、数字基础设施及政府部门，助力其满足法律与监管要求，特别是NIS法规。自CAF v3.2以来，框架采用范围迅速扩大，覆盖英国几乎所有网络监管机构及关键基础设施的国家网络安全保障计划（GovAssure）。CAF坚持结果导向、避免形式主义的“复选框”式评估，兼容多种网络安全标准，并允许设定切合实际且经济高效的安全目标。CAF通过41项贡献成果及相应的良好实践指标（IGP）进行细致评估，依赖专家判断结合行业具体情况，灵活应用于不同组织。框架支持定制行业特定要素，以满足各行业独特的网络安全需求。NCSC同时与监管机构合作，制定解读CAF评估结果的方法，突出关键安全优先事项。此外，NCSC警示，随着人工智能技术发展，英国关键系统面临的网络威胁加剧，数字鸿沟扩大可能导致部分组织难以适应新的风险环境，呼吁加强网络安全韧性建设以应对未来挑战。

维基百科正式通过新政策，允许管理员立即删除明显由生成式人工智能编写的低质量文章，以保护百科全书免受低质内容泛滥的冲击。以往删除页面通常需一周讨论，新规将AI生成内容纳入“快速删除”机制，与无意义词组、广告等相同处理。新规设定两大判定标准：其一，文本含有典型AI生成提示语，如“截至模型训练的最后日期…”、“作为大型语言模型，我不能…”，显示内容未经人工审查；其二，引用明显虚假或无关的来源，例如将计算机技术论文列为甲虫研究参考，或附上空白/无关链接。政策发起人伊利亚斯·勒布莱指出，AI可在数分钟内批量生成破坏性内容，威胁维基的共识与协作精神。此前更广泛的AI防控方案因难以精确识别而受阻，此次措施依赖可量化信号，被视为可行的折中。勒布莱承认，该政策只是临时性“创可贴”，但首次确立了复制粘贴未经核实的语言模型产物违背维基原则。未来规则或将随技术与舆论变化调整。