2025年第36周安全周报 | 本周安全要闻速览
● 《人工智能生成合成内容标识办法》9月1日正式实施,AI生成合成内容必须添加标识
由国家网信办、工业和信息化部、公安部、国家广播电视总局四部门联合发布的《人工智能生成合成内容标识办法》9月1日起正式施行,明确规定了所有AI生成的文字、图片、视频等内容都必须添加标识。截至目前,我国已有490余款大模型在国家网信办完成备案,240余款大模型在省级网信办完成登记,我国生成式人工智能产品的用户规模已达2.3亿人。“办法”明确定义,人工智能生成合成内容是指利用人工智能技术生成、合成的文本、图片、音频、视频、虚拟场景等信息,各大互联网平台在内容上架或上线时要进行审核,核验生成合成内容标识,对未标识或疑似生成内容要添加风险提示,从而在传播端阻断虚假信息扩散。“办法”与《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等法规充分衔接。服务提供者在履行算法备案、安全评估等手续时,相关材料可能涉及标识的技术细节,如水印算法、元数据格式、服务商编码等,这些信息能够帮助执法部门在发现违法内容时快速识别内容来源,追踪到服务提供者或者用户。
来源:网信中国
● 6 项 AI 生成内容标识标准实践指南发布,覆盖音视频等多类型
全国网络安全标准化技术委员会秘书处日前发布网安秘字〔2025〕118 号通知,正式发布《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等 6 项网络安全标准实践指南。此次发布旨在贯彻落实《人工智能生成合成内容标识办法》,同时结合强制性国家标准 GB 45438—2025《网络安全技术 人工智能生成合成内容标识方法》要求,为生成合成服务提供者、内容传播服务提供者提供实操参考,指导其开展 AI 生成合成内容标识相关活动。6 项指南各有侧重,其中 4 项分别明确人工智能生成合成视频文件、文本文件、图片文件、音频文件的元数据隐式标识方法,1 项为元数据隐式标识安全防护技术指南,还有 1 项是 AI 生成合成内容检测框架(第 1 部分)。这些指南覆盖 AI 生成内容的主要类型,既明确标识方法,又提供安全防护及检测方向,为规范 AI 生成内容管理提供关键技术支撑。
来源:全国网络安全标准化技术委员会
● 两部门联合印发《关于推进“宽带林草”建设的通知》
近日,工业和信息化部、国家林业和草原局联合印发《关于推进“宽带林草”建设的通知》(以下简称《通知》)。《通知》提出,到2027年底,林场(所)驻地通4G/5G网络比例达到90%,人口聚居区、重点防火瞭望塔等重要点位4G/5G网络覆盖水平明显提升,国家级自然保护地等范围内的关键点位基本实现宽带网络覆盖,穿越林区和草原的国道和重点省道沿线按需实现4G/5G网络覆盖。《通知》聚焦4方面部署了9项任务。一是深化重要点位网络覆盖。深化人口聚居区网络覆盖,加快向5G和千兆光网升级。深化林草防火点位网络覆盖,按需扩展移动宽带网络、移动物联网等覆盖范围。二是加强重点区域网络建设。加强生产经营区域、自然保护地网络建设,提升重要点位网络接入能力,支撑加快数字化管理运营。三是优化网络建设施工环境。优化林区通信基础设施审批流程,进一步做好林区和草原通信基础设施建设项目要素保障工作,协调减免设计、评估等各类相关费用。四是提升网络维护和使用水平。加强通信基础设施运行维护,及时发现并处理故障隐患。鼓励为林区森林防火预警监测系统等信息化项目提供网络和算力等支持。为了保障推进“宽带林草”建设有关工作任务有效落实,《通知》提出,将建立协调机制、分类组织实施、强化工作引导、加强配套支持、促进合作共享5个方面提供保障措施。
来源:工业和信息化部
● 国家密码管理局发布《国家密码管理局商用密码行政检查事项清单》
根据《中华人民共和国密码法》、《商用密码管理条例》及相关商用密码管理规章,现发布《国家密码管理局商用密码行政检查事项清单》,自发布之日起施行,2024年7月19日发布的《国家密码管理局关于发布〈国家密码管理局商用密码随机抽查事项清单(2024年版)〉的公告》(国家密码管理局公告第47号)同时废止。
来源:国家密码管理局
● 全国首个市级“人工智能局”揭牌成立
近日,浙江省温州市举行全市人工智能创新发展大会,会上正式挂牌成立温州市人工智能局。此前,浙江省委机构编制委员会办公室已批复同意温州市数据局加挂温州市人工智能局牌子。据悉,这是全国首个挂牌的市级人工智能局。据介绍,该局主要职责包括拟定并组织实施全市人工智能发展规划和政策,统筹推进全市算力、语料、算法等相关基础设施布局建设,牵头推进全市“人工智能+行动”,以及开展人工智能领域企业、人才引育服务等。浙江省副省长、温州市委书记张振丰指出,人工智能是引领新一轮科技革命和产业变革的战略性技术。抓住AI机遇就是抢占“勇立时代潮头”的新赛道、激活“城市跨越赶超”的新动能、打开“产业涅槃重生”的新空间。
来源:数字国资
● 美国德州通过网络安全新法,小企业遭遇信息泄露可获专门援助
德克萨斯州近日签署了一项全新的网络安全法律,旨在提升本州小企业在数据泄露和网络攻击事件中的应对与恢复能力。该法案将为受影响的小型企业提供专门的法律、技术和信息支持,帮助其在应对不断增长的网络威胁时拥有更强的保护与资源保障。据介绍,新网络安全法案要求德州州务卿办公室与州级网络安全协调员合作,建立小企业网络应急援助项目。一旦发生数据泄露或网络入侵事件,符合条件的小企业可免费获得事件响应咨询、法律合规指导、损害评估以及恢复数据的技术建议。该举措不仅降低了小企业雇佣专业网络安全服务的经济负担,更提升了小企业整体的网络安全防护水平。在技术细节层面,法律鼓励小企业加强关键资产保护、定期备份数据,并实施多因素认证等基本安全措施。同时,该法案推动建立信息共享机制,便于企业及时接收最新威胁情报和防护建议,以尽早防范新型网络攻击手段。德州立法者指出,小企业通常是勒索软件、钓鱼攻击等网络威胁的高发目标,由于资源有限,自主防护能力较弱,数据泄露事件带来的损失往往难以承受。此次法案的实施有望改变小企业在面对网络安全威胁时的脆弱局面,提升其数字时代的生存与竞争能力。这一立法举措也为其他州提供了值得借鉴的中小企业网络安全治理范本。
来源:KSAN
● 关键账号密码被盗,金融巨头超9.2亿元资金遭转账窃取
有黑客未授权访问了巴西央行实时支付系统(Pix)的运行环境,试图从Evertec旗下巴西子公司Sinqia S.A.盗取1.3亿美元(约合人民币9.29亿元)。Evertec是一家在纽交所上市的拉美金融科技巨头,是拉丁美洲、波多黎各和加勒比地区的主要交易处理商。Sinqia于2023年被Evertec收购,这家公司总部位于巴西圣保罗,同样为上市公司,专注于为银行和金融机构提供金融软件及IT服务。Evertec在向美国证券交易委员会(SEC)提交的文件中披露,黑客于8月29日攻破了Sinqia的系统,并试图发起未经授权的交易。SEC文件写道:“2025年8月29日,Evertec旗下的巴西子公司Sinqia S.A.在巴西央行实时支付系统Pix的环境中发现了未经授权的活动。”文件进一步指出:“在发现事件后,Sinqia立即依据其事件响应协议,停止了Pix环境中的交易处理,并与外部网络安全取证专家展开合作。”
来源:安全内参
● 知名轮胎制造商普利司通遭网络攻击,事件调查已启动
9月1日,Bridgestone Americas 官方证实,其部分设施遭遇网络攻击。目前,该公司已针对这一网络事件展开调查,相关情况正处于持续核实与推进中。作为一家在美洲地区有重要业务布局的企业,Bridgestone Americas 此次部分设施受网络攻击,引发了行业对企业网络安全防护的关注。不过,截至目前,官方暂未披露此次网络攻击的具体技术手段,如是否涉及 ransomware(勒索软件)、phishing(钓鱼攻击)等常见攻击方式,也未公布受影响设施的具体数量、所在区域,以及攻击是否对生产运营、数据安全造成实质性影响,是否有核心业务数据泄露等关键信息。
来源:wrdw
● 美国CISA联合NSA及19国发布SBOM联合指南 推动软件供应链透明化与全球安全协作
美国 CISA 联合 NSA 及 19 个国际合作伙伴发布《网络安全软件物料清单(SBOM)共同愿景》联合指南,核心推动软件供应链透明化与全球 SBOM 协作应用。指南明确 SBOM 对软件全链条(生产商、采购方、运营方等)的价值,包括降低风险、优化漏洞管理、节省成本,提出跨行业跨国界推广、统一技术实现、整合至安全流程三大目标,强调其是软件 “设计即安全” 的必要条件;同时提及 SBOM 在国家网络安全中的作用,且不预设各国政策,仅提供技术与实践框架。此外,指南还给出 SBOM 生成(如利用构建工具、源代码仓库、二进制分析)、利用(与 VEX 数据结合、整合至现有管理工具)及落地建议(新手组织需战略规划、借助现代化工具),并关联上月 CISA 发布的 2025 年 SBOM 最低要素草案,形成 SBOM 推广的完整实践体系,旨在通过国际协作强化全球软件供应链安全。
来源:Industrial Cyber
● 国土安全立法者推进立法以增强网络弹性,延长CISA 2015
美国众议院国土安全委员会于周三召开审议会议,推进多项聚焦网络安全与国家安全的法案,核心包括:1. 重新授权即将于2025年9月30日到期的2015年《网络安全信息共享法》(CISA 2015),该法案为公私部门网络威胁信息共享提供框架,被视为集体网络防御关键工具,相关《WIMWIG 法案》由委员会主席加巴里诺提出,获电信、科技等行业广泛支持;2. 审议《PILLAR 法案》,拟重新授权 “州和地方网络安全拨款计划”,助力基层政府构建网络防御,尤其关注 AI 系统韧性与 “安全设计” 原则;3. 审议《管道安全法》,将 TSA 保护管道免受网络与恐怖威胁的职责立法;4. 还审议了《生成式人工智能恐怖主义风险评估法》《国土安全部情报轮岗计划与执法支持法》等,分别聚焦 AI 反恐风险、情报共享协作与隐私保护。此前 7 月已有机构警示 CISA 2015 到期将危害国家网络安全,此次审议为法案延期与落地奠定基础。
来源:Industrial Cyber
