2025年第37周安全周报 | 本周安全要闻速览

近日，国家市场监督管理总局、国家标准化管理委员会发布的2025年第21号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的2项国家标准正式发布，将于2026年3月1日起正式实施。1.GB/T 46068-2025《数据安全技术 个人信息跨境处理活动安全认证要求》，该标准规定了跨境处理个人信息时相关方遵守的基本原则、基本要求和个人信息主体权益保障要求；适用于跨境处理个人信息的相关方规范自身个人信息跨境处理活动,也适用于主管部门、第三方机构等组织对个人信息处理者跨境处理个人信息的活动进行监督、管理、认证和评估。2.GB/T 46071-2025《数据安全技术 数据安全和个人信息保护社会责任指南》，该标准提供组织在数据安全与个人信息保护方面的社会责任指南，涵盖治理、合规、创新、公平运营、用户权益、公益参与及信息披露，适用于组织自查与第三方评价。

美国联邦通信委员会（FCC）于9月9日在其官网宣布，撤销多家中国实验室对进入美国市场电子产品的测试认证许可。FCC要求发射无线电频率的电子设备都必须获得在美国使用的认证，此前这些实验室为进入美国市场的电子产品提供FCC安全认证。根据FCC发布的信息，此次禁止措施涉及的中国实验室包括：重庆信息通信研究院、中国质量认证中心车联网技术服务有限公司、威凯检测技术有限公司及上海分部、莱茵技术-商检(宁波)有限公司、UL美华认证有限公司、广州赛西光电标准检测研究院有限公司、中国信息通信研究院、上海市计量测试技术研究院、中检集团南方测试股份有限公司。人民邮电报评论认为，这是一次典型的科技霸权行为。此前，美方已多次泛化国家安全概念，滥用出口管制和“长臂管辖”，严重扰乱了全球产供链稳定。

美国 CISA 计划 2026 年 5 月前敲定《2022 年关键基础设施网络事件报告法》（CIRCIA）实施细则，核心动作包括简化规则、协调与其他网络法规的冲突，以减轻行业负担。CIRCIA 要求关键基础设施运营方在重大网络事件 72 小时内、赎金支付 24 小时内通知 CISA，法案源于 2021 年殖民管道等重大攻击事件，此前 CISA 已发布拟议规则并完成 60 天意见征集。此次延长期限参考了公众意见，旨在进一步吸纳行业反馈，避免重复或宽泛要求，确保规则符合国会意图。众议院国土安全委员会、科技行业等均支持延长期限，强调需平衡安全与行业负担，同时推进跨部门法规协调，以提升美国关键基础设施网络安全应对能力。

美国2015年《网络安全信息共享法》（CISA 2015）将于9月30日到期，议员正加速推动其重新授权，以防法案失效削弱关键基础设施领域的威胁信息共享。众议院国土安全委员会已全票通过 10 年延期提案，新增 “与 AI 开发者、未参与计划的基建运营方一次性信息共享” 条款；参议院内部存在分歧，部分议员提 “纯延期” 提案，主席兰德・保罗则可能新增 “禁止 CISA 审查网络言论” 条款。该法案获两党及特朗普提名的 CISA 局长人选支持，金融、科技等行业游说团体也敦促尽快获批，强调法案的责任保护与反垄断豁免是企业共享威胁信息的关键，失效将严重影响网络安全生态。

欧盟普通法院驳回法国政客拉通贝的诉求，维持《欧美跨大西洋数据隐私框架》有效性，该框架支撑每年 9000 亿欧元跨大西洋数据相关跨境业务，2023 年取代被欧盟法院裁定无效的前身框架。拉通贝质疑美国 “数据保护审查法院” 缺乏独立性、美情报机构大规模收集数据应废除框架，但法院认定审查机构足够独立且美情报机构受司法审查，故驳回诉求。不过隐私倡导者仍质疑框架保障薄弱，且特朗普政府解雇相关监督委员会民主党成员导致该委员会无法达法定人数，或为未来挑战框架埋下伏笔。该裁决虽可上诉，但目前为欧美数据流动及美国科技公司带来利好。

美国国防部发布最终规则，修订《国防联邦采购条例补充规定》（DFARS），将《网络安全成熟度模型认证（CMMC）计划》相关合同要求纳入其中，11 月 10 日生效，同时部分落实 2020 财年《国防授权法》条款。规则核心要求包括：承包商需在 SPRS 上传 CMMC 1/2 级自评结果、维持认证状态、提交年度合规确认书及系统 CMMC 唯一标识符；采用三年分阶段推广策略（前三年仅特定合同需 CMMC 要求，三年后覆盖多数相关合同），豁免 “仅采购商用现货（COTS）” 合同，以减少对小企业（占受影响实体 68%）的负担。规则目标是保障国防工业基地敏感信息安全、验证承包商网络安全措施，预计覆盖约 33.8 万个实体（含主承包商与分包商）；同时提及今年 1 月审计发现国防部此前在授权 CMMC 第三方评估机构时存在流程漏洞。

美国航空航天公司发布 “太空攻击研究与战术分析（SPARTA）v3.1 版”，核心聚焦太空系统网络安全分析能力升级，关键更新包括：新增 NIST 控制措施的太空领域适配指南（衔接 CNSSI 1253 新版 “太空平台覆盖层”）、与 MITRE EMB3D 框架的交叉映射、外部研究员贡献的 2 项新攻击技术（IA-0013 “攻陷宿主航天器”、DE-0012 “组件共谋”）、整合 DEF CON 33 大会相关演讲内容，以及优化 GUI 与修复漏洞。该版本的核心价值在于：通过 SPARTA 与 EMB3D 的整合，实现 “任务层威胁” 与 “嵌入式设备攻击路径” 的关联，既提供高层级战略指导，又补充分级技术实施方案，同时标准化威胁建模流程；同步发布的《SPARTA 用户指南》1.0 版降低使用门槛，覆盖多领域用户需求。此外，配套报告《整合 TTP 框架以保障和防御太空系统的推荐实践》提出联合 SPARTA、ATT&CK 等框架的方案，填补政策与工程落地的空白，助力太空系统全领域、分阶段安全防护。

近日，勒索软件组织 KillSec 宣称对巴西医疗软件供应商 MedicSolution 发起网络攻击，不仅加密了企业系统，还窃取了超34GB的敏感数据（含 94818 份文件），数据类型涵盖患者病历、医学检验报告、X光片影像资料及未成年人医疗记录等核心信息。技术调查显示，此次攻击的根源在于 MedicSolution 未对其 AWS S3 存储桶进行加密处理，导致数据暴露窗口长达数月，最终被 KillSec 组织利用。业内分析认为，这可能是巴西医疗行业遭遇的首起重大供应链攻击，若数据被公开或倒卖，将对患者隐私与医疗行业信任造成严重冲击。公开资料显示，KillSec勒索软件组织此前已多次针对医疗领域发起攻击，目标包括美国Archer Health、秘鲁 Suiza Lab 等医疗机构，同时也曾泄露过沙特空军等非医疗领域的敏感数据。医疗数据因包含个人身份信息、病史、保险记录等高价值内容，已成为勒索软件组织的重点攻击目标。