2025年第33周安全周报 | 本周安全要闻速览
● 2项网络安全推荐性国家标准计划下达
近日,国家标准化管理委员会下达了新一期推荐性国家标准计划,其中《网络安全技术 嵌入式操作系统安全技术规范》和《网络安全技术 操作系统安全技术规范》2项国家标准由全国网络安全标准化技术委员会(以下简称“网安标委”)归口管理,清单见下表。网安标委通知要求,以上项目所属工作组需尽快制定项目推进计划,并督促项目牵头承担单位按计划抓紧落实,在计划执行中要加强协调,广泛征求意见,确保标准质量和水平,按要求完成国家标准制修订任务。
来源:全国网络安全标准化技术委员会
● 北京市颁布加快公共数据资源开发利用的实施意见
日前,中共北京市委办公厅、北京市人民政府办公厅联合发布《关于加快北京市公共数据资源开发利用的实施意见》,旨在深入贯彻《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》,建立健全公共数据资源开发利用制度机制,持续推进公共数据高质量供给、高效率流通、高水平应用,充分释放公共数据要素潜能,加快数据要素市场培育,赋能数据要素市场化配置改革。意见明确要求,要统筹发展和安全。要明确公共数据管理和运营的责任边界,围绕强化管理职责优化机构编制资源配置。同时,要强化数据安全和个人信息保护,网信、公安、数据、密码、保密等部门按照职责加强对数据资源生产、加工使用、产品经营等开发利用全过程的监督和管理。
来源:北京人大
● 数据基础设施3项技术文件、可信数据空间3项技术文件公开征求意见
贯彻落实《国家数据基础设施建设指引》《可信数据空间发展行动计划(2024—2028年)》等政策文件要求,促进地方、行业、领域、企业开展数据基础设施和可信数据空间的规划、建设、运营、管理,在国家数据局指导下,全国数据标准化技术委员会秘书处牵头研制了数据基础设施3项技术文件、可信数据空间3项技术文件(见附件1-6),经研究讨论、修改完善,形成技术文件征求意见稿。现面向社会公开征求技术文件意见,如有意见或建议,请于2025年8月24日前反馈。
来源:全国数据标准化技术委员会
● 《数字银行可信纵深防御架构建设指南》等4项团体标准发布
《数字银行可信纵深防御架构建设指南》(T/BFIA 050—2025)团体标准给出了应用可信技术构建纵深防御架构的基本原则、体系架构、技术能力和实施路径等,适用于数字银行应用可信技术建设、检验纵深防御体系架构。《北斗卫星授时金融应用技术要求》(T/BFIA 051—2025)团体标准规定了北斗卫星授时金融应用技术的系统架构,明确了守时层、代理层、客户端层技术要求,以及安全和监控技术要求等,适用于银行、证券、保险等金融机构,以及征信机构、非银行支付机构开展北斗卫星授时系统建设与管理。《金融数据中心网络数字化能力建设指南》(T/BFIA 052—2025)、《金融数据中心网络数字化能力成熟度指南》(T/BFIA 053—2025)。
来源:北京金融科技产业联盟
● 伦敦高等法院驳回维基百科对英国《在线安全法》分类质疑的诉讼请求
英国《在线安全法》的部分条款于 2025 年 7 月正式生效。根据该法案,互联网服务提供商被分为 I 类和 II 类,其中 I 类被定义为提供用户对用户服务,包含一系列传统形式的网络社交媒体和视频平台 YouTube,需遵守更为严格的义务。维基百科也被归属为 I 类,而这意味着运营方维基媒体基金会需要对许多贡献者的身份实施验证,贡献者的身份和隐私可能会因此受到威胁。维基媒体基金会就此于 7 月下旬在伦敦高等法院对《在线安全法》的分类规则提起诉讼,意在改变自身的分类归属以减轻义务。伦敦高等法院在当地时间11日驳回了维基媒体基金会的诉讼请求,称基于多方面原因考虑,英国政府在设定第1类门槛时已恰当考虑相关研究和建议。此裁决将给维基百科的技术基础设施和社区治理模式带来挑战。
来源:安全牛
● GPT-5重磅发布却遇“滑铁卢”,用户感受差,安全能力严重不足
8月8日,ChatGPT-5上线后,在社交媒体上出现了大量关于GPT-5使用感受不及预期的吐槽,更有用户留言称“还我GPT-4o”。面对用户争议,OpenAI紧急发文宣布,已经重新上线GPT-4o,供Plus和Team用户使用。目前,用户对GPT-5应用表现的“吐槽”,主要集中在新模型虽提升了回答的专业度,但却缺少了情感交互的温度、个性及想象力。针对用户对GPT-5的负面反馈,OpenAI首席执行官萨姆·奥尔特曼则解释称,这是由于自动切换器损坏,致使GPT-5表现异常。他表示,未来将专注于完成GPT-5的部署与改进,并确保其稳定性尽快达到预期。除了用户感受差,这个所谓的"最强AI"还暴露出了令人震惊的技术缺陷和安全漏洞。用户反馈显示GPT-5在数学逻辑推理方面错误频发,基础计算能力甚至不如前代模型。甚至连最基本的数据可视化都能搞错,这样的"博士级智能"实在让人质疑。同时,安全研究人员在GPT-5模型上线后24小时内就成功实现了越狱,暴露出严重漏洞,引发了对其企业部署准备度的严重担忧。瑞士安全公司 Lakera AI 表示,仅需简单提示即可突破 GPT-5 的上下文安全护栏,使其在面对恶意输入时失去防御能力。另一家 Adversa AI 在平行测试中,同样轻松复现了攻击过程,并展示了如何利用 GPT-5 的推理能力提取专有代码或模拟网络钓鱼邮件。
来源:安全客
● 欧美多国将联合发展基于卫星的远程量子加密安全网络
英国Colt公司、美国霍尼韦尔公司与芬兰诺基亚公司日前宣布展开合作,拟将量子密钥分发技术与低轨卫星通信系统相结合,联合构建远程量子加密安全网络,以应对量子计算可能带来的传统加密技术失效风险。此次合作的创新点在于基于量子密钥分发原理(利用量子力学原理在两方之间安全共享加密密钥),通过与低轨卫星高效集成,全面突破量子密钥分发在传统地面环境下通信距离受限(约100千米)的瓶颈,推动跨大西洋等超远距离密钥交换能力,实现面向全球的信息安全保障。各国专家多次发出警告:现有加密数据有可能会被对手提前储存,待量子计算系统足够强大时再对其解密,这种“先窃取,后解密”的概念更加凸显了加速量子安全网络建设的紧迫性,或将推动量子加密技术在政府、军队等高敏感数据行业中的率先应用。
来源: 国防科技要闻
● 全球网络安全机构发布OT资产清单指南与架构蓝图,强化关键基础设施防护
美国 CISA、NSA、FBI、EPA,以及澳大利亚 ASD/ACSC、加拿大 Cyber Centre、德国 BSI、荷兰 NCSC-NL 和新西兰 NCSC-NZ 联合发布新的指南,旨在帮助关键基础设施领域的 OT(运营技术)所有者和运营商创建、维护全面的 OT 资产清单和分类法,并构建现代可防御架构。指南强调,OT 系统对国家关键基础设施至关重要,涉及过程自动化、工业控制系统 (ICS) 和信息物理融合操作。它提供系统方法,指导组织定义资产清单范围、建立治理机制、分配角色和职责,并通过物理检查和逻辑勘察收集资产属性,包括通信协议、关键性、IP/MAC 地址、主机名、端口、制造商、操作系统等。资产分类法分为关键性和功能性两类:关键性分类用于识别对组织运营和安全最重要的资产;功能性分类用于理解资产角色、互连性和依赖关系。指南推荐使用 IEC/ISA 62443 区域-管道模型来映射资产间通信路径,确保安全授权。此外,指南强调生命周期管理、持续漏洞管理和风险评估。组织应利用 CISA KEV 目录和 MITRE CVE/ICS ATT&CK/CAPEC 等威胁情报工具,识别关键漏洞、制定冗余和补偿控制措施,优先处理最关键资产,并将安全嵌入采购、工程设计及维护计划中。报告还提出实施实时监控、网络分段、严格访问管理、培训员工、建立反馈循环及正式变更管理流程,以确保 OT 资产清单和分类法持续有效并与组织运营目标保持一致。该指南为 OT 所有者提供了可操作的策略与蓝图,帮助降低网络安全风险,提升关键基础设施的可靠性、弹性和安全态势。
来源:Industrial Cyber
● 美国INL启动TAIGR计划应对人工智能与网络威胁保障电网稳定
爱达荷国家实验室(INL)近日推出“人工智能电网弹性测试”(TAIGR)计划,旨在识别和缓解人工智能(AI)驱动的电网管理系统中可能引发稳定性风险的因素。随着 AI 在电网调度、负荷预测和实时监控等关键领域的快速应用,其提升效率与可靠性的潜力显著,但伴随而来的可信幻觉、错误建议以及对抗性网络攻击等问题,也可能导致重大误判,威胁电网安全运行。INL 强调,AI 的决策失误不仅可能源于数据问题,还可能受模型设计与实现缺陷影响,因此系统化测试与风险评估势在必行。TAIGR 借鉴了美国能源部 CyTRICS 项目的自愿合作模式,联合公用事业公司、设备供应商、行业协会、监管机构和科研机构,共同建立透明、可审查的测试与评估体系,针对 AI 在电网环境中的独特安全挑战展开研究。今年早些时候,INL 举办了首届行业研讨会,汇集了来自公用事业、供应链、联邦部门及学界的代表,探讨 AI 在能源管理中的应用与风险。会上形成的共识推动了“先进网络化测试平台中心的人工智能管理与研究”(AMARANTH)项目的启动,该项目由美国能源部电网部署办公室资助,致力于提升 AI 系统在电力行业的安全性与弹性。INL 表示,凭借其独特的全尺寸电网试验台等基础设施,TAIGR 能够在安全可控的环境中模拟复杂电网场景,评估 AI 在极端条件下的表现。研究人员指出,AI 在能源调度和多能源组合优化中的优势不可忽视,但必须确保其在任何情况下都能输出可靠结果。未来,TAIGR 将制定测试方法和程序,吸引更多资产所有者与供应商参与,加速安全可靠的 AI 解决方案在电网行业的落地,以确保在经济、国家安全和公共安全高度依赖电力的背景下,电网的韧性与稳定性始终得到保障。
来源:Industrial Cyber
● 美国联邦上诉法院维持FCC电信数据泄露报告规则
美国联邦上诉法院小组以2比1裁定,支持联邦通信委员会(FCC)要求电信公司报告客户个人身份信息(PII)泄露事件的规定,否决了行业团体提出的请愿书。该请愿书认为2024年的规定超出FCC法定权限,但法院多数意见确认FCC有权对电信运营商实施此类强制报告。根据规定,涉及500名或以上客户的PII泄露事件必须在七个工作日内上报。该规则于2023年12月批准,2024年3月实施,是FCC16年来首次更新数据泄露报告要求。新规扩展了之前仅涵盖客户专有网络信息(CPNI,如通话记录和账单信息)的范围,增加了社会安全号码、电子邮件地址等PII。行业协会曾多次请求阻止新规,案件最终合并到俄亥俄州美国第六巡回上诉法院审理。多数法官在意见书中表示,该规定合法且不违反《国会审查法案》。近年来,多起重大电信数据泄露事件凸显了规则的重要性:2021年T-Mobile同意支付3150万美元并改进网络安全,AT&T因云供应商数据泄露支付1330万美元,Verizon旗下TracFone则以1600万美元达成和解。
来源:TheRecord
