2025年第35周安全周报 | 本周安全要闻速览

为深入贯彻习近平总书记重要指示批示精神，落实《全球人工智能治理倡议》《人工智能全球治理行动计划》要求，规范人工智能科技伦理治理，统筹高质量发展和高水平安全，促进人工智能产业高质量发展，工业和信息化部会同中央网信办、国家发展改革委、科技部、农业农村部、文化和旅游部、国家卫生健康委、中国人民银行、金融监管总局、中国科学院、中国科协等联合起草了《人工智能科技伦理管理服务办法（试行）（公开征求意见稿）》。《人工智能科技伦理管理服务办法（试行）（公开征求意见稿）》是《关于加强科技伦理治理的意见》《科技伦理审查办法（试行）》等在人工智能领域的细化和落实。在编制过程中充分听取了企业、高校、研究机构意见，顺应人工智能发展趋势和伦理治理需求，参考国内外人工智能科技伦理治理经验，接轨国际、符合国情。文件明确了人工智能科技活动的伦理要求，强化标准建设、中小微企业服务等支持措施，帮助企业切实提升科技伦理风险防范能力，鼓励负责任创新，助力企业更快更稳融入全球市场，推动人工智能产业创新发展和赋能应用。根据规范性文件制定程序要求，即日起面向社会公开征求意见，有关意见可于2025年9月22日前反馈。

工业和信息化部近日印发《关于优化业务准入促进卫星通信产业发展的指导意见》，提出到2030年，卫星通信管理制度及政策法规进一步完善，产业发展环境持续优化，各类经营主体创新活力充分迸发，基础设施、产业供给、技术标准、国际合作等综合发展水平显著提升，手机直连卫星等新模式新业态规模应用，发展卫星通信用户超千万，推动卫星通信充分融入新发展格局，有力服务经济社会高质量发展。《指导意见》围绕促进卫星通信产业高质量发展，从有序扩大市场开放、持续拓展应用场景、培育壮大产业生态、优化电信资源供给、加强卫星通信监管、提升协同推进合力等六方面提出19条思路举措。

日前，全国网络安全标准化技术委员会发布通知，正式印发已经完成立项工作的28项网络安全国家标准清单。通知要求，各标准工作组应按照国家标准委和委员会相关规定，认真做好项目的指导工作，监督好各项目的实施进度，各项目牵头单位应做好项目的研制工作。

目前，全国网络安全标准化技术委员会（简称“网安标委”）秘书处发布通知，由网安标委归口的《网络安全技术 鉴别与授权 基于属性的访问控制模型与管理规范》等4项国家标准（详见下表）现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，即日起将该4项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站，如有意见或建议请于2025年10月26日24:00前反馈。

8月23日在大同举行的2025中国算力大会开幕式上，中国算力平台贯通仪式举行，山西、辽宁、上海、江苏等10个省区市分平台完成首批接入工作，实现“平台、主体、资源、生态、场景”全面贯通。作为国家级综合性算力服务平台，中国算力平台集“供、需、服”于一体，可实现不同系统、平台和工具间的兼容性、互操作性，致力于为算力供需各方打造“中立、开放、公平、可信”服务生态。在产业各方协同攻坚下，中国算力平台成功实现平台、主体、资源、生态、场景的“五大贯通”。其中，“平台贯通”指建成全国算力态势感知监测系统，可对算力设施和数据进行全面采集和动态监测，精准掌握全国算力发展情况，形成覆盖全国的“算力资源一本账”；而“场景贯通”指开展算力揭榜行动，聚焦计算、存储、网络、应用、绿色、安全六大方向开展技术创新，形成攻克核心技术的“算力强基一榜单”。

按照《关于征集人工智能安全标准应用实践案例的通知》（网安秘字〔2025〕70号），经案例征集、形式审查、技术评审环节，全国网络安全标准化技术委员会日前评选出了入选网络安全国家标准应用实践案例库（人工智能安全主题）的9项案例建议名单，即日起予以公示。公示期为2025年8月26日至2025年9月1日。如有异议，可在公示期内以书面材料或电子邮件形式向全国网络安全标准化技术委员会秘书处反映。反映情况须真实客观，并请提供有效联系方式。

美国 CISA 发布《2025 年软件物料清单（SBOM）最低要素》指南草案并公开征求意见（截止 10 月 3 日），该草案更新自此前指南，结合 SBOM 工具进步、应用成熟度提升及实践经验，确立软件组件信息记录与共享新基准。SBOM 可明晰软件供应链、助力提升软件安全，CISA 希望借此指南推动其在多领域应用，帮助机构做风险决策。草案更新源于 2021 年 NTIA 版 SBOM 最低要素发布后行业的发展，且响应了 2022 年 OMB 备忘录的后续指南要求。CISA 重点征集 “要素增减、定义与实践清晰度、特定场景可行性” 等意见，同时提及去年已发布《软件采购指南》整合软件保障相关内容。此次草案发布旨在进一步完善 SBOM 标准，适配当前行业能力，推动软件供应链安全发展。

美国 NIST 发布《SP 1331 初始公开草案》，作为 CSF 2.0 系列快速入门指南的最新内容，旨在帮助组织结合 CSF 2.0 与企业风险管理（ERM），主动应对新兴网络安全风险，意见征集期至今年 9 月 21 日。草案将新兴风险分为 “部分组织未知”（有成熟缓解措施）与 “所有组织均未知”（无应对方案）两类，指出当前技术 “系统之系统” 的复杂性及 AI/ML 带来的可预测性降低，需跨学科方法应对；并结合 CSF 2.0 六大功能，明确 “风险发生前（治理、识别、保护）” 与 “发生后（检测、响应、恢复）” 的管理阶段，强调 “改进” 环节对经验沉淀的作用，同时建议组织拓展风险识别视角、提升管理层对风险处置的关注。此外，NIST 近期还警示交通机构网络安全风险，并发布相关白皮书规划行业定制化安全目标。

瑞典软件供应商Miljödata疑似遭遇勒索软件攻击，据估计影响了全国约200个市镇。该公司首席执行官Erik Hallén表示，这起攻击于8月23日被发现。警方告诉当地媒体，攻击者正试图向Miljödata勒索赎金。他们已侵入Miljödata的数据环境，并要求公司支付1.5个比特币，约合150万瑞典克朗（约合人民币112万元）。瑞典民防部长Carl-Oskar Bohlin在社交媒体上简要更新称：“事件的影响范围尚不清楚，目前断定其实际后果还太早。”Hallén向瑞典通讯社（TT）表示，这些系统在瑞典80%的市镇中使用，主要用于处理劳动法相关案件、康复事务、医疗证明，以及工伤和事故的申报与处理。因此，员工、前雇员及学生的敏感个人信息可能已遭泄露。约200个市镇和地区受到此次事件影响，而瑞典全国共有290个市镇和21个地区。据报道，Hallén称，Miljödata正“与外部专家密切合作，调查事件经过、确认受影响的对象和范围，并努力恢复系统功能”。并补充说：“负责协助瑞典社会应对和防范IT安全事件的瑞典计算机安全事件应急响应小组（CERT-SE），已向相关公司和受影响客户提供了建议和支持。国家网络安全中心正协调相关部门采取措施，警方调查也在同步进行。”