2025年第24周安全周报 | 本周安全要闻速览
● 工信部等七部门印发《食品工业数字化转型实施方案》
近日,工业和信息化部会同教育部、人力资源社会保障部等六部门联合印发《食品工业数字化转型实施方案》,加快推动食品工业数字化转型升级。方案提出,到2027年,重点食品企业经营管理数字化普及率达80%,规模以上食品企业关键工序数控化率、数字化研发设计工具普及率均达到75%,培育10家以上智能工厂,建设5个以上高标准数字化园区,打造百个数字化转型典型应用场景,培育一批高水平食品工业数字化转型服务商,形成一系列先进适用数字化解决方案。到2030年,新一代信息技术在规模以上食品企业基本实现全方位全链条普及应用,培育一批具有国际竞争力的食品工业数字产业集群。围绕发展目标,方案部署实施信息技术创新应用、新模式新业态培育、产业提质升级、筑基聚力赋能4大行动,并细化为18项具体措施,对乳制品制造、酿酒、精制茶制造等细分领域加强分类指导,坚持因地制宜、因业施策、一企一策,推动食品工业数字化转型。
来源:工信微报
● 中央网信办秘书局、市场监管总局办公厅联合印发《智能社会发展与治理标准化指引(2025版)》
为贯彻落实中共中央、国务院《关于加快建设全国统一大市场的意见》和《国家标准化发展纲要》,准确把握社会智能化转型趋势,发挥标准化的基础性、引领性作用,深化智能社会发展与治理,中央网信办秘书局、市场监管总局办公厅近期联合印发《智能社会发展与治理标准化指引(2025版)》。旨在建立健全科学合理的智能社会发展与治理标准研究制定、实施反馈、优化完善的工作机制,建成覆盖智能技术主要社会应用场景、有效保障技术全生命周期良性健康发展的标准体系,从而适应技术创新需要、满足产业发展需求、支撑智能社会建设,助力国家治理体系和治理能力现代化。提出了智能社会发展与治理的基本原则和要求,明确了常见智能技术应用场景、社会影响及其观测评估指标,规定了人工智能社会实验的一般程序和要求,构建了包括基础通用、发展与治理原则、场景应用、技术和方法、效果评价等五部分内容的智能社会发展与治理标准体系,为各地方、各部门、科研院所、企事业单位等开展智能社会发展与治理理论研究和实践活动提供技术支撑和规范指引。
来源:中国网信网
● 特朗普政府修订网络安全规则
美国总统特朗普近日发布了新的网络安全相关行政令,取代或修订了奥巴马于2015年4月(EO 13694)和拜登于2021年1月(EO 141028)发布的先前命令。新命令最显著的变化是将网络制裁权限明确限定为"仅针对外国恶意行为者",这一调整收窄了拜登和奥巴马时期制裁范围更为宽泛的政策。白宫6月6日发布的新闻稿称,此决定旨在"防止对国内政治对手的滥用,并明确制裁不适用于与选举相关的活动"。特朗普的命令还取消了拜登2025年1月行政令(EO 14144)中的一系列要求,包括要求软件供应商证明符合新的联邦安全标准、优先研究和测试用于网络防御的人工智能,以及加速部署能够抵御未来量子计算威胁的加密技术(即后量子加密,PQC)。其他显著变化包括:1、取消拜登EO 14028下引入的物联网设备自愿网络安全认证和标签计划;2、调整或移除拜登政府实施的某些供应链安全措施,这些措施被认为对企业造成负担;3、修订或取消拜登的人工智能网络安全指南的部分内容;4、取消政府机构测试防钓鱼身份验证的要求。白宫表示,新命令旨在支持几项提升美国网络安全的举措,包括:推进联邦机构的安全软件开发、加强边界网关安全以防止网络劫持、将人工智能网络安全工作重点放在漏洞检测而非审查上,以及为消费设备建立机器可读的网络安全标准和物联网信任标识。
来源:Infosecurity Magazine
● 食品批发巨头UNFI遭遇网络攻击,部分系统被迫关闭
北美最大的公开交易批发分销商United Natural Foods(UNFI)近日遭遇网络攻击,被迫关闭部分系统,导致客户订单处理受到影响。UNFI是亚马逊旗下Whole Foods的主要分销商,运营着53个配送中心,向美国和加拿大超过3万个地点配送新鲜和冷冻产品。根据UNFI向美国证券交易委员会提交的8-K文件和其网站上的新闻稿,该公司披露于6月5日发现网络攻击,随即启动了事件响应计划并实施了遏制措施,包括主动使某些系统离线,这暂时影响了公司履行和分发客户订单的能力。自发现漏洞以来,这家批发巨头已通知相关执法部门,并聘请外部网络安全专家调查事件。UNFI还采取措施维持客户服务连续性,在受影响系统恢复之前实施临时解决方案。
来源:bleepingcomputer
● ENISA更新NCSS交互式地图,助力追踪欧盟网络安全进展与增强网络弹性
欧盟网络安全局(ENISA)更新了其国家网络安全战略(NCSS)交互式地图,这一动态数字平台用于跟踪和比较欧盟成员国国家网络安全议程的制定和实施情况。NCSS地图详细分析了各国的战略目标、实施措施和最佳实践,直观展示保障欧洲数字环境安全的举措。ENISA通过国家能力评估框架(NCAF)支持成员国提升网络安全成熟度,目前正推进2025年版NCAF更新。NCSS交互式地图涵盖31国、408个组织数据,聚焦20个战略目标,并包含94份政策文件。平台设计多样化视图:国家视图显示各国当前战略与执行主体,战略视图呈现时间轴追踪战略演进,目标视图聚焦符合NIS2指令的网络安全目标,实施视图揭示政策转化为行动,组织视图则罗列关键参与机构。该平台不仅提升透明度和知识共享,还促进成员国之间合作,助力适应欧盟新法规要求。近期,欧盟电信部长通过《欧盟网络危机管理蓝图》,为成员国在应对重大网络攻击时的协调响应提供明确指导,标志着欧盟网络安全防护迈出重要一步。
来源:IndustrialCyber
● 欧盟推出DNS4EU服务,增强数字主权与数据保护
欧盟委员会正式启动DNS4EU计划,旨在提供欧洲本土的DNS解析服务,减少对Google Public DNS等外国提供商的依赖。该服务由欧盟共同资助,在ENISA支持下实施,承诺所有流量将在欧盟境内处理,以更好遵守GDPR要求。DNS4EU具备区域威胁情报共享功能,可自动阻止欧盟范围内检测到的网络威胁,同时提供基础防护如过滤不良内容和广告屏蔽。官方强调该服务并非审查工具,欧盟机构无权访问用户数据或配置信息。该计划是欧盟建立独立数字基础设施战略的一部分,目前提供公共版本及面向政府机构和电信运营商的专用解决方案。
来源:SecurityLab
● 英国网络安全机构呼吁制定战略政策议程,应对持续增长的网络风险
英国国家网络安全中心(NCSC)公开呼吁政府尽快制定全面的战略网络安全政策议程,以应对日益严峻的网络威胁。NCSC作为政府通信总部(GCHQ)的一部分,虽非政策制定者,但其首席技术官奥利·怀特豪斯和首席技术总监保罗·W指出,英国在网络安全立法和监管方面严重滞后,技术市场缺乏激励推动安全技术发展。相比之下,美国拜登政府积极推动供应商承担更多安全责任,而英国政府目前对此持观望态度。尽管工党支持加强监管,现任政府却将网络安全问题视为技术专家事务,缺乏政治推动力。专家认为,现有《网络安全与韧性法案》聚焦基础设施安全,难以解决供应商监管不足的普遍问题。RUSI研究员乔·贾内基强调,行业缺乏主动提升产品安全的动力,只有政府立法才能消除如物联网设备默认密码等安全隐患。欧盟已出台相关法规,但经济利益和法规复杂性导致推迟执行。NCSC指出,漏洞利用的经济代价最终由客户和社会承担,呼吁英国政府从根本上解决市场激励不足问题。
来源:TheRecord
● 参议院立法者重新引入 SAMOSA 法案以控制联邦软件支出,加强许可监督
美国参议院国土安全和政府事务委员会的两党成员重新提出了立法,通过改进联邦机构购买和管理软件的方式来节省纳税人的钱。《加强软件资产的机构管理和监督 (SAMOSA) 法案》要求联邦机构对其软件许可购买进行独立、全面的评估,并制定节省成本的计划。这些评估将为国会、管理和预算办公室 (OMB) 以及总务管理局 (GSA) 提供关键见解,以加强对软件合同的监督、简化运营并减少浪费性支出。
来源:IndustrialCyber
● 俄罗斯推进“国家信使”平台建设,打造集政务与通讯于一体的统一数字应用
俄罗斯国家杜马二读通过一项法案,将建设一个集政府服务、商业功能与即时通讯于一体的“国家信使”应用。该平台由具备特定条件的俄罗斯法人机构运营,须拥有超50万日活用户、支持广告并具备国产软件专有权。信息政策委员会主席博亚尔斯基强调,该平台不仅用于通信,还将支持数字身份验证、无纸化登记、电子签名和政务服务,致力于构建一个安全可信的多功能环境。数字发展部长沙达耶夫确认平台将基于VK的Max系统构建,采用全新架构与机器学习技术,并将在2025年夏季进行公开演示。尽管新法不禁止使用外国信使,但将自2025年9月1日起实施设备预装要求。该举措意在效仿微信等“超级应用”模式,实现国家主导的信息基础设施掌控。
来源:SecurityLab
● 俄罗斯拟修订《刑法》引入“人工智能犯罪”条款,最高可判15年监禁
俄罗斯数字发展部已起草《刑法》修正案草案,拟引入“利用人工智能实施犯罪”的独立构成要件,并扩展适用至盗窃(第158条)、欺诈(第159条)、敲诈勒索(第163条)、非法获取信息(第272条)及违反信息通信技术操作规则(第274条)等罪名。根据草案,AI被定义为可模拟人类认知、实现类智力成果的一整套技术解决方案,涵盖ICT基础设施、软件与数据处理服务。利用AI实施盗窃、勒索、破坏信息系统等行为将面临罚款、强迫劳动或最高15年监禁。犯罪若涉及团伙、造成重大损失或使用暴力,将从重处罚。草案指出,024年俄罗斯相关刑事案件已超48.5万起,远程盗窃造成损失近2000亿卢布,凸显AI参与犯罪的严峻现实。修正案是国家“数据经济”计划的一部分,现正接受跨部门审议。专家警告,AI定义模糊或引发执法不当与滥用刑罚风险。此前,2024年杜马已提出规制深度伪造犯罪的立法动议。
来源:SecurityLab
