2025年第34周安全周报 | 本周安全要闻速览
● 我国首个电器电子产品有害物质管控强制性国标来了 2027年8月1日正式实施
近日,我国电器电子产品有害物质管控领域首个强制性国家标准《电器电子产品有害物质限制使用要求》(GB 26572—2025)经国家标准化管理委员会批准发布,将于2027年8月1日正式实施。新国标强制管控电器电子产品中 10 种有毒有害化学物质(4 种重金属、6 种持久性有机污染物),明确含量要求。还规定 RoHS 标识、信息披露等,鼓励二维码等数智化标识,推动行业绿数协同,方便消费者选购。其管控要求与国际接轨,利于国际贸易。我国 2006 年起逐步推进相关管控,此标准出台加大监管力度,标志我国该领域管控迈新步。下一步,工业和信息化部等有关部门将积极推动强制性国家标准宣贯应用,有序扩大中国RoHS管控的电器电子产品种类及有害物质种类,进一步完善中国RoHS管控机制。
来源:工信微报
● 国家安全机关发布安全防范指南:警惕涉密论文泄密风险
国家安全部官方公众号日前发布安全提醒文章,称随着科研创新与学术交流愈发频繁,涉密学术研究已成为国家安全的关键环节,论文核心技术、战略成果如被窃取,可能严重危及国家利益。学术论文中蕴含的核心技术与战略性研究成果,因此涉密学术写作、交流和合作的泄密风险不容忽视。首先,信息设备的管理存在隐患。学术写作在涉密信息与普通信息转换、传输过程中,若使用未经防护的设备或操作不当,极易被境外间谍情报机构利用,尤其是将涉密信息存储或拷贝到未加密、连接互联网的设备,极大增加了泄密风险。其次,违规发布也是常见的泄密途径。部分研究人员因保密意识淡薄,为提高论文录用率,违规引用未公开的内部数据甚至涉密资料,而相关单位未严格执行保密审查,导致涉密论文被公开收录至学术期刊数据库。再者,虚假合作陷阱不容忽视。涉密的学术项目合作需格外谨慎。部分境外间谍情报机关常伪装成科研机构或高新企业,主动抛出合作项目,诱使参与方提供涉密数据和技术方案。轻信此类合作,不仅导致成果泄密,更可能让整个项目陷入被动,危及国家安全。针对上述风险,国家安全机关提出多项防范措施。科研人员在涉密学术写作时,必须使用经过认证的专用电脑和存储设备,定期杀毒、更新系统,严禁将涉密文件存放在云盘或公共文件夹,拷贝文件应使用加密 U 盘,从源头杜绝泄密。
来源:国家安全部
● 2025版数据安全国家标准体系现已公开征求意见
为支撑落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等政策法规要求,建立健全数据安全和个人信息保护标准体系,充分发挥标准对重点工作、产业发展、风险防范的基础性、规范性和引领性作用,国家网络安全标准化委员会秘书处组织编制了《数据安全国家标准体系(2025版)》(征求意见稿)和《个人信息保护国家标准体系(2025版)》(征求意见稿)。现面向社会公开征求意见。如有意见或建议,可于2025年8月29日前反馈至秘书处。
来源:全国网络安全标准化技术委员会
● 我国牵头提出的一项网络安全国际标准正式发布
近日,我国牵头提出的国际标准ISO/IEC 27553-2:2025《信息安全、网络安全和隐私保护 移动设备上使用生物特征识别技术进行身份鉴别的安全和隐私要求 第2部分:远程模式》(Information security, cybersecurity and privacy protection — Security and privacy requirements for authentication using biometrics on mobile devices Part 2: Remote modes)正式发布。该标准于2022年9月正式立项,2025年7月正式发布。ISO/IEC 27553-2给出了移动设备上生物特征识别身份鉴别远程模式的通用架构,分析了该模式下的安全威胁,针对生物特征识别系统、移动设备、服务器等提出了相应安全要求。该国际标准可指导相关方防范移动设备生物特征识别远程模式身份鉴别的安全风险,有助于提升生物特征识别芯片制造商、移动设备制造商、移动应用软件开发商和服务提供商等企业的安全防护能力。
来源:全国网安标委
● 两项网络安全国家标准公开征集参编单位
日前,为切实做好网络安全国家标准编制工作,鼓励更多单位切实参加到标准编制过程中,提高标准编制工作的开放性、公正性、透明性,提升标准的适用性和质量,《信息安全技术 密码模块安全要求》和《信息安全技术 工业控制系统安全管理基本要求》两项网络安全国家标准制定的牵头单位,按照《全国网络安全标准化技术委员会标准参与单位管理办法(暂行)》要求,公开征集标准的联合参编单位。
来源:全国网络安全标准化技术委员会
● 意大利新法令强化国家网络安全框架,细化事件报告义务以符合欧盟NIS2指令
意大利政府于2025年8月1日颁布了一项旨在建立国家网络安全框架的法令《对2021年4月14日第81号总理法令附件A的修订》(the Regulation amending Annex A to the Prime Ministerial Decree of 14 April 2021, No. 81),已经于2025年8月16日生效。这项法规为对国家利益至关重要的公共和私营实体设定了网络安全义务,涵盖了数字服务、金融、医疗健康、能源、电信、交通、国防等关键行业。因为这些实体的任何故障、中断或不当使用都可能危害国家安全。新法规详细规定了这些受管辖实体必须履行的具体义务,包括:(1)向意大利国家网络安全局(ACN)报告网络安全事件;(2)基于风险分析实施特定安全措施;(3)遵守风险管理、事件响应、数据保护、服务连续性和ICT采购标准。此外,该法规下的事件报告义务也符合欧盟《关于在整个联盟建立高水平网络安全共同措施的指令》(NIS2指令)第25条的要求,是意大利贯彻 NIS2指令的本土化立法措施。
来源: 网络与数据法实务
● 特朗普签署,“出口管制透明法案”正式成法生效
8月19日,特朗普签署《通过改善出口管制透明度维持美国优势法》。法案修订了《2018年出口管制改革法》,要求美国商务部长每年向国会提交一份报告,披露中国哪些公司申请了出口许可证、许可证价值多少以及申请是否获得批准。法案规定,只有同时满足两个条件的企业才会被列入重点监管:一是所在国家属于美国武器禁运国家,比如中国、俄罗斯、伊朗、朝鲜;二是企业本身已经被列入美国的实体清单或军事最终用户清单。换言之,法案着眼那些既在“外国对手国家”又已经被美国标记为高风险的公司,要求商务部报告对这些公司的出口许可审批情况。法案生效后,美国商务部长必须每年向国会提交一份详细的年度报告。里面要写清楚所有涉及这些企业的出口许可申请,谁申请、申请什么、打算卖给谁、价值多少、最后批没批,全都得写上。还要披露执法检查的情况,比如最终用途的核查是在哪天、在哪个国家进行的,结果如何。最后再附上总体的统计数据,让国会能看清楚一年来管制措施的整体效果。唯一的区别是,这些细节只在国会内部流转,不会对公众公开,以避免泄露敏感信息。
来源:礼士蛮
● ISACA推出一项以人工智能为核心的安全管理新认证
信息系统审计与控制协会(ISACA)日前推出了一项以人工智能为核心的安全管理认证(AAISM),旨在让安全专业人员能够展示其实施企业AI解决方案以及识别、评估、监控和减轻这些工具相关风险的能力。据介绍,该认证建立在CISM和CISSP资格的安全管理最佳实践基础之上,已持有这两种认证的安全专业人员有资格获取AAISM认证。AAISM涵盖AI治理与项目管理、AI风险管理、AI技术与控制等领域。此前ISACA相关研究及调查发现数字信任专业人员对AI知识的欠缺以及对AI培训的需求,而此新认证正可满足这类需求。
来源: Infosecurity Magazine
● 美国CISA发布多份工业控制系统安全公告,多企业产品曝高危漏洞
美国网络安全与基础设施安全局(CISA)于特定周二发布 2 项新安全公告并更新 2 项公告,核心聚焦工业控制系统(ICS)的活跃漏洞威胁。公告指出,西门子、泰格能源、EG4 三家企业的多款产品存在不同类型高危漏洞,涉及全球能源、关键制造业、公用事业等关键行业。其中,西门子Desigo CC系列、SENTRON Powermanager及Mendix SAML模块分别存在最低权限违规、加密签名验证不当等漏洞,可能导致权限提升、账户劫持,西门子已给出更新软件版本、启用加密等修复建议;泰格能源Cloud Connect Advanced设备曝硬编码凭证、命令注入等漏洞,攻击者可借此控制设备、破坏太阳能生产,目前该公司正研发修复方案;EG4 逆变器存在敏感信息明文传输、固件安装无完整性校验等漏洞,部分漏洞(如 PIN 码尝试次数无限制)已通过服务器端更新修复,其余漏洞需用户关注官方后续指引。CISA 发布这些公告,旨在帮助相关资产所有者与运营方及时评估风险、采取防护措施,避免攻击者利用漏洞造成损失。
来源:Industrial Cyber
● 美国CISA就全州通信互操作性计划模板和进展报告征求公众意见
美国国土安全部(DHS)下属的网络安全与基础设施安全局(CISA),就《州级通信互操作性计划(SCIP)模板》及进度报告的信息收集活动,发布为期 30 天的公众意见征集公告(截止 2025 年 9 月 19 日),相关文件正由管理和预算办公室(OMB)审核,此次为 “修订后的恢复性信息收集”,此前 2024 年 7 月曾有 60 天意见期但仅收到 1 条无关意见。SCIP 是地方主导、多辖区多领域的应急通信强化计划,明确通信现状与未来方向,通过框架化设计指导 3-5 年战略,且需动态更新。此次信息收集后,ECD 将依此追踪各州落实《国家应急通信计划(NECP)》的进展,助力各州战略规划,部分政府拨款也将此作为资金申请条件。公告还明确,信息由州级互操作性协调员(SWIC)通过非涉密电子渠道或指定邮箱提交,按年度收集(涉及 56 个政府主体,总负担 336 小时、总成本约 4.8 万美元),且 ECD 已将原冗长年度报告简化为 “SCIP 简报”,数据按日历年统计,重点收集管理架构、目标进展等核心信息。OMB 则重点征集 “信息必要性、负担估算准确性、信息质量优化、减轻反馈负担” 四类意见。
来源:Industrial Cyber
