2025年第43周安全周报 | 本周安全要闻速览

为对数据库联网过程中和联网状态下的安全风险，减少因安全防护措施不足、安全配置不当、管理不当引发的数据泄露等安全事件，全国网络安全标准化委员会秘书处近期组织编制了《网络安全标准实践指南——数据库联网安全要求（征求意见稿）》，并根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，面向社会公开征求意见。如有意见或建议，可于2025年10月31日前反馈至秘书处。

日前，全国网络安全标准化技术委员会在网站发布公告，为了切实做好网络安全国家标准编制工作，鼓励更多单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的实用性和质量，即日起按照《全国信息安全标准化技术委员会标准参与单位管理办法（暂行）》要求，公开征集《网络安全技术 区块链系统安全实施指南》国家标准参编单位。

据央视新闻报道，国家安全机关近期破获一起美国重大网络攻击案，掌握了美国国家安全局以“精准猎杀”式网络攻击入侵中国国家授时中心的铁证。国家授时中心位于陕西省西安市，承担“北京时间”的产生、保持和发播任务，相关设施一旦遭受网攻破坏，将影响“北京时间”的安全稳定运行，引发网络通信故障、金融系统紊乱、电力供应中断、交通运输瘫痪、空天发射失败等严重后果，甚至可能导致国际时间陷入混乱，危害损失难以估量。经国家安全机关缜密调查发现，美国安局针对国家授时中心的网攻活动蓄谋已久，呈现递进式、体系化特点：首先利用某境外品牌手机短信服务漏洞控制多名中心工作人员的手机终端，窃取敏感资料；随后多次利用窃取的登录凭证入侵中心计算机，刺探网络系统建设情况；2023年8月起，美国安局专门部署新型网络作战平台，启用42款特种网攻武器，对国家授时中心多个内部网络系统实施高烈度网攻，并企图预置瘫痪破坏能力。国家安全机关发现，美国安局网攻活动多选在北京时间深夜至凌晨发起，利用美国本土、欧洲、亚洲等地的虚拟专用服务器作为“跳板”隐匿攻击源头，采取伪造数字证书绕过杀毒软件等方式隐藏攻击行为，还使用了高强度的加密算法深度擦除攻击痕迹，为实施网络攻击渗透活动可谓无所不用其极。

《路透社》10月23 日消息称，据一位美国官员及三名听取过美方简报的人士透露，特朗普政府正考虑推出一项计划，通过限制含美国软件或使用美国软件生产的全球货物对华流通，进一步限制对我国出口“关键软件”，其中包括了从笔记本电脑到喷气发动机等各类软件驱动型产品。不过相关消息人士也表示，这项措施并非美方目前考虑的唯一选项，也可能不会真正付诸行动。特朗普政府或许希望藉由宣布措施来对我国施压，若彻底实施，可能也会让美国经济付出沉重代价。目前，白宫尚未对该消息发表官方回应，负责出口管制政策业务的美国商务部也未回复路透社的置评请求。

美国国土安全与政府事务委员会的两党参议员（民主党加里・彼得斯、共和党迈克・朗兹）提出《保护美国免受网络威胁法案》，核心目的是重新授权 2025年9月30日到期的《网络安全信息共享法》相关条款，延长有效期十年，允许私营企业自愿向国土安全部共享恶意软件特征码、漏洞等网络威胁指标，以强化公私协作防御网络攻击。该法案获帕洛阿尔托网络、商业软件联盟等数十家科技企业及行业组织一致支持，各方强调 “网络威胁信息共享是国家集体防御基础”，警告条款失效已导致 “信息共享盲区”“协作削弱”，若继续延迟通过，将加剧政府与行业信息孤岛，损害国防、经济安全及关键基础设施。法案还包含 “追溯覆盖权限失效期”“保护个人信息”“限制共享信息用于监管执法” 等细节，旨在消除企业共享顾虑，目前科技行业正积极呼吁国会快速通过。

日本物流配送服务商爱速客乐(ASKUL)宣布，因遭到勒索软件攻击导致系统故障，已暂停商品的订单受理及出货业务。据称，此次故障的原因是感染了电脑“勒索病毒”。爱速客乐暂停订单受理等业务的对象包括面向法人的办公用品网购平台“ASKUL”及面向个人的网购平台“LOHACO”。受此次事件影响，无印良品母公司良品计划随后宣布，紧急关闭了无印良品官方网店的线上业务，原因是相关应用程序的多项功能受到影响，暂时无法浏览购物、查看历史订单、阅读新闻通讯、申请包月服务、显示部分内容。良品计划表示，正在持续调查此事的影响程度，进一步的信息将在情况明朗后第一时间通知公众，但目前无法确认具体恢复日期。

2.0版网络空间日光浴室委员会（隶属民主防御基金会）发布报告，指出美国联邦政府网络政策态势较此前进展倒退约 13%，系该国会授权机构成立以来首次重大逆转，核心原因是特朗普政府的相关政策与行动。特朗普政府自今年 2 月起缩减联邦网络人才队伍、关闭部分办公室，大幅削减 CISA 与国务院网络外交人员及资金，取消多元化计划导致网络人才池变窄；同时，政府将 CISA 反虚假信息工作定性为 “审查”，导致该工作及网络对外援助显著倒退，约四分之一已落实的网络政策建议失效。报告建议政府恢复相关资源，多方人士表达担忧：蒙哥马利痛批 CISA 35% 人员削减，金参议员称结果 “令人沮丧”，朗格文希望政府支持国家网络总监与 CISA 提名局长推进工作；目前特朗普网络团队尚未完全组建，政府停摆进一步延缓进展，而 CISA 因历史反虚假信息工作陷入政治争议，成为两党角力焦点。

美国联邦能源监管委员会（FERC）发布 2025 财年 CIP 审计报告，核心指出在 NERC 注册的美国电力实体虽多数符合网络安全强制性标准，但存在三大关键合规缺口，需针对性改进。缺口一为 DERs 纳入不足：部分实体未将小型 DERs 纳入控制中心影响等级评估，甚至在同一控制中心混合运营 DERs 与 BES 发电设施，违反物理隔离原则，可能危及电力系统可靠运行；缺口二是第三方管理缺失：部分实体外包合规工作却未开展尽职调查与监督，存在不合规、安全漏洞风险，报告建议通过合同约束、内部监督等措施管控；缺口三系云服务合规不足：两起案例中实体将云服务用于访问控制系统却无书面协议，且云服务控制权在提供商手中，实体难以证明合规，报告明确高 / 中等影响等级 BES 系统禁用云服务，低影响系统使用需警惕等级变化。报告还提供自愿性安全建议，旨在帮助实体强化合规，保障北美电力系统（BES）网络安全与可靠运行。

近场通信论坛（NFC Forum）日前宣布推出 NFC 认证版本 15（Certification Release 15，简称 CR15），该版本引入了一项重要更新，显著提升了 NFC 设备的潜在读取距离。根据 CR15，设备可认证的读取距离最高可达 20 毫米，相较此前 5 毫米的限制有了显著提升，这一距离的增加将改善用户体验，降低连接时对设备对准精度的要求。NFC 通常用于短距离交互场景，例如当用户接近家门时自动解锁 HomeKit 兼容门锁，或无需实体钥匙即可开启酒店房间门。增加 15 毫米的读取距离意味着用户在使用时不再需要精确对准设备，但 NFC 在安全性方面仍优于蓝牙或超宽带（Ultra Wideband）等长距离通信技术。