安全热点周报：iOS 零点击攻击用于传播 Graphite 间谍软件

安全资讯导视
• 《治安管理处罚法》修订通过，违规出售或提供个人信息将面临处罚
• 英国首次披露勒索软件攻击致患者死亡案
• 以伊冲突爆发网络战，金融、通信、公共领域受影响严重

PART 01

漏洞情报

1.Gogs远程命令注入漏洞安全风险通告

6月26日，奇安信CERT监测到官方修复Gogs远程命令注入漏洞(CVE-2024-56731)，Gogs存在命令注入漏洞，其在CVE-2024-39931的补丁中仅添加了对路径是否为.git目录的检查，但未对后续步骤中的符号链接进行检查。远程非特权攻击者可通过创建指向.git目录的符号链接，进而重写.git目录下的任意文件，最终实现远程命令执行，可能导致服务器失陷或数据泄露。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为79367个，关联IP总数为16346个。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.Linux本地提权漏洞利用链安全风险通告

6月20日，奇安信CERT监测到Linux公开的两个高危安全漏洞(CVE-2025-6018、CVE-2025-6019)，Linux PAM权限提升漏洞(CVE-2025-6018)影响openSUSE Leap 15和SUSE Linux Enterprise 15的PAM模块配置。该漏洞允许远程非特权攻击者强制pam_env模块将任意变量添加到PAM的环境中，以获取polkit策略的“allow_active”认证，从而获得本地用户权限(可执行关机、访问敏感接口等操作)。Linux本地权限提升漏洞(CVE-2025-6019)，波及几乎所有主流 Linux 发行版(Ubuntu、Debian、Fedora、openSUSE）。该漏洞源于udisks守护进程挂载文件系统中会调用libblockdev库，而libblockdev挂载时没有使用nosuid和nodev标志，致使拥有“allow_active”权限的用户可利用此漏洞获取root权限。由于默认安装的udisks服务依赖libblockdev，漏洞存在广泛性极高。目前该漏洞技术细节与PoC已在互联网上公开，奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

3.泛微E-cology9 SQL注入漏洞安全风险通告

6月18日，奇安信CERT监测到官方修复泛微E-cology9 SQL注入漏洞(QVD-2025-23834)，该漏洞源于对用户传入的参数没有严格校验，直接拼接造成SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息，并可能利用Ole组件导出为Webshell实现远程代码执行，进而获取服务器权限。奇安信威胁情报中心安全研究员已成功复现，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

4.Windows SMB权限提升漏洞安全风险通告

6月16日，奇安信CERT监测到官方修复Windows SMB权限提升漏洞(CVE-2025-33073)，该漏洞存在于Windows SMB中，由于访问控制不当，具有普通域用户权限的攻击者可以通过添加恶意的DNS记录并强制域内计算机(域控除外)进行解析来获取域内所有用户的权限，从而达到提权的目的。此漏洞POC已公开，奇安信CERT已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.AMI MegaRAC-SPx 身份认证绕过漏洞(CVE-2024-54085)

6月25日，CISA 已确认，AMI 的 MegaRAC 底板管理控制器（BMC）软件中的一个最高严重性漏洞正被攻击利用。

MegaRAC BMC 固件提供远程系统管理功能，无需亲自到场即可对服务器进行故障排除，并且被向云服务提供商和数据中心提供设备的多家供应商（包括 HPE、Asus 和 ASRock）使用。此身份验证绕过安全漏洞（跟踪为 CVE-2024-54085）可被未经身份验证的远程攻击者利用，进行低复杂度攻击，无需用户交互即可劫持并可能破坏未修补的服务器。利用此漏洞，攻击者可以远程控制受感染的服务器，远程部署恶意软件、勒索软件、固件篡改、变砖主板组件（BMC 或潜在的 BIOS/UEFI）、潜在的服务器物理损坏（过压/变砖）以及受害者无法停止的无限期重启循环。

Eclypsium 研究人员在分析 AMI 发布的补丁时发现了 CVE-2024-54085，以查找2023年7月披露的另一个身份验证绕过漏洞（CVE-2023-34329）。

3月，当 AMI 发布修复 CVE-2024-54085 的安全更新时，Eclypsium 发现在线服务器有 1000 多台服务器可能受到攻击，并表示创建漏洞利用“没有挑战性”，因为 MegaRAC BMC 固件二进制文件未加密。该漏洞仅影响 AMI 的 BMC 软件堆栈。然而，由于 AMI 位于 BIOS 供应链的顶端，下游影响影响了十几家制商。

CISA 周三证实，该漏洞现在被广泛利用，并将其添加到已知利用漏洞目录中，该目录列出了网络安全机构标记为在攻击中被积极利用的安全漏洞。

这类型的漏洞是恶意网络行为者的常见攻击媒介，建议所有网络防御者尽快优先修补此漏洞，以阻止潜在的违规行为。

参考链接：

https://www.bleepingcomputer.com/news/security/cisa-ami-megarac-bug-that-lets-hackers-brick-servers-now-actively-exploited/

2.Apple 多个产品逻辑错误漏洞(CVE-2025-43200)

6月16日，苹果公司已更新其 iOS/iPadOS 18.3.1 文档，确认已修复用于使用 Paragon 的 Graphite 间谍软件感染记者的零点击漏洞。

今年4月，两名记者收到苹果公司发来的通知，称他们受到了间谍软件的攻击。随后，他们联系了公民实验室的间谍软件研究人员，确认了病毒感染的真相。

研究人员对记者的手机进行了检查，证实了这一点。苹果公司已将该零日漏洞编号为 CVE-2025-43200，并表示已通过改进检查机制解决了该漏洞。

苹果在更新中表示：处理通过 iCloud Link 共享的恶意制作的照片或视频时存在逻辑问题。苹果公司已获悉一份报告称，该问题可能已被利用，用于针对特定目标人群的极其复杂的攻击。尽管 18.3.1 版本及其文档已于2月发布，但本周首次添加了补丁细节。据信这两名记者是在1月至2月期间运行 iOS 18.2.1 版本时感染的。

公民实验室声称，他们“高度确信”这些袭击是由同一组织实施的。其中一名涉案记者希望匿名，而另一名意大利新闻网站 Fanpage.it 的记者西罗·佩莱格里诺则乐于透露身份。

零点击攻击在间谍软件中并非闻所未闻， NSO Group 的 Pegasus 间谍软件等就曾出现过此类攻击，但后来都得到了修补。公民实验室表示，它认为最新的 Paragon 感染很可能对受害者来说是不可见的，而 Jamf 的移动安全专家表示 Graphite 是一种极其棘手的间谍软件。

已升级到 iOS 18.3.1（及更高 iOS 版本）的用户可以免受此次攻击。担心成为使用雇佣间谍软件的政府攻击目标的 iPhone 用户应该考虑在 iOS 上启用锁定模式，以最大限度地减少攻击面。

参考链接：

https://www.theregister.com/2025/06/13/apple_fixes_zeroclick_exploit_underpinning/

PART 03

安全事件

1.英国首次披露勒索软件攻击致患者死亡案

6月25日The Record消息，英国国家医疗服务体系（NHS）表示，去年发生的一起勒索软件攻击事件，不仅干扰了伦敦多家医院的血液检测工作，还导致一名患者死亡。2024年6月，麒麟（Qilin）网络犯罪组织对英国病理服务机构Synnovis发动网络攻击，严重影响了多家NHS附属医院及医疗服务提供商的正常运作。受此次攻击影响，医院血液检测服务出现严重延迟。国王学院医院NHS信托基金会的一位发言人指出，检测延迟是“导致该名患者死亡的多个因素之一”。这位发言人表示：“患者安全事件调查确认，该名患者死亡的原因涉及多个因素。其中包括网络攻击影响了当时的病理服务，导致血液检测结果等待时间过长。我们已与患者家属会面，并向他们通报了此次安全调查的结论。”出于对患者隐私的保护，该发言人拒绝透露其他可能导致患者死亡的具体因素。

原文链接：

https://therecord.media/ransomware-attack-contributed-patient-death-uk-nhs

2.生成式AI服务存在安全风险拒不整改，3家企业被立案处罚

6月24日网信上海消息，上海市网信办在“亮剑浦江·2025”专项行动中发现，部分对外提供生成式人工智能服务功能的网站，未按法律要求开展安全评估工作、未采取必要的安全措施防范违规信息生成、未采取限制措施防止生成式人工智能功能被滥用，导致相关生成功能侵犯个人信息权益、产出“开盒”“洗钱”等违法违规内容、生成色情低俗图片等信息内容，存在较大安全风险。上海市网信办督促企业自行下线相关功能，在通过安全评估后方可重新上线。近期“回头看”巡查发现，在未通过安全评估、未采取必要安全防护措施等情况下，被要求下线的3家企业自行重新上线存在安全风险的生成式人工智能功能。上海市网信办依法约谈企业，进行严肃批评，要求全面整改，并依法对涉事企业进行立案查处。

原文链接：

https://mp.weixin.qq.com/s/kWsWPXX34SdVo8_NYnqvhw

3.屡屡泄露客户个人信息，电信巨头AT&T赔偿近13亿元

6月23日GovinfoSecurity消息，美国联邦法院初步批准和解两起AT&T数据泄露事件的相关诉讼，包括供应商Snowflake数据泄露、暗网数据集被售卖，和解金额达1.77亿美元（约合人民币12.71亿元）。这两起事件包括：一个涉及约7000万用户的数据集在2021-2024年两次出现在暗网售卖，AT&T于2024年3月确认该数据集中包含客户信息；AT&T在云数仓供应商Snowflake上的账户存储的客户数据遭攻击，导致约1.1亿名客户的部分通话记录泄露，AT&T于2024年7月确认该事件。根据初步和解协议的条款，AT&T须在30天内“向原告提供一份保密的书面证明”，说明其“已采取或计划采取的、用于进一步保护客户信息的具体、合理措施”。

原文链接：

https://www.govinfosecurity.com/us-judge-okays-177-million-att-data-breach-settlement-a-28781

4.巴黎迪士尼乐园发生数据泄露，64GB机密文件被黑客曝光

6月20日Hackread消息，臭名昭著的勒索软件组织Anubis在其暗网门户宣称，成功入侵巴黎迪士尼乐园系统，窃取了高达64GB的内部数据。从黑客公布的数据来看，此次泄露文件数量庞大，其中约3.9万份游乐园工程文件尤为引人关注。这些文件详细记录了“冰雪奇缘”“加勒比海盗”“巴斯光年”等热门主题游乐设施，以及云霄飞车的建设与翻新计划。值得注意的是，Anubis组织并未直接攻击巴黎迪士尼乐园系统，而是另辟蹊径，通过入侵与乐园合作的公司，成功获取这些机密文件。巴黎迪士尼乐园方面尚未对此事件做出公开回应，外界也无从得知Anubis是否已向其索要赎金。

原文链接：

https://hackread.com/anubis-ransomware-lists-disneyland-paris-new-victim/

5.俄罗斯乳业认证系统被黑瘫痪，多家大型零售商陷断供危机

6月20日The Record消息，俄罗斯乳制品生产商报告称，隶属于联邦兽医监督国家信息系统的动物产品认证系统Mercury遭受网络攻击后瘫痪，迫使生产商和供应商重新启用纸质兽医证书。这一转变引发物流混乱，多家地区分销中心拒绝接收货物，大型零售商Lenta、Yandex Lavka和Miratorg均遭遇供应链中断。根据俄罗斯法律，所有涉及肉类、乳制品、蛋类等动物产品的企业必须在Mercury系统注册并签发电子兽医文件。缺少认证的情况下，加工厂依法不得接收原料奶，数字认证是验证产品真实性与安全性的必备条件。虽然农场可临时使用纸质证书，但多数零售商依赖专属电子文档管理系统，无法接收纸质凭证，导致部分供应链陷入停滞。这是2025年俄罗斯出现的第三次同类事件，也是迄今最严重的一次。

原文链接：

https://therecord.media/russia-dairy-supply-disrupted-cyberattack

6.MCP服务泄露客户敏感数据，美国知名办公SaaS平台Asana紧急下线修补

6月18日Bleeping Computer消息，美国知名办公协同SaaS平台Asana披露，5月推出的模型上下文协议（MCP）服务存在漏洞，可能导致客户敏感数据被平台其他用户访问。尽管数据访问范围受限于各用户的权限设定，但仍存在一定程度的数据暴露风险。该漏洞存活时间超一个月，Asana发现后紧急下线了MCP服务，12天后完成修复上线。Asana建议，客户应检查MCP访问日志和权限控制，确保没有残余风险。

原文链接：

https://www.bleepingcomputer.com/news/security/asana-warns-mcp-ai-feature-exposed-customer-data-to-other-orgs/

7.印度共享汽车平台Zoomcar再遭数据泄露，影响840万名用户

6月17日Security Affairs消息，印度共享汽车与租车公司Zoomcar近日在美国证券交易委员会（SEC）系统发布公告，披露了一起涉及840万用户的数据泄露事件。公告显示，此前攻击者入侵其系统后，主动联系公司员工宣称系统遭未授权访问，随后Zoomcar发现了这起数据安全事故。公司迅速启动调查，初步确定泄露信息包括用户姓名、电话号码、车牌号、个人地址、电子邮箱地址等。不过值得庆幸的是，用户的财务数据和密码未受影响。公司称目前运营暂未受到实质性影响，但正在评估该事件对公司法律、财务和声誉方面可能造成的冲击。

原文链接：

https://securityaffairs.com/179058/data-breach/india-based-car-sharing-company-zoomcar-suffered-a-data-breach-impacting-8-4m-users.html

8.以伊冲突爆发网络战，金融、通信、公共领域受影响严重

6月综合消息，以色列与伊朗在6月13日爆发公开冲突，以色列空袭伊朗核设施和军事设施，伊朗则以导弹回击。此次冲突迅速蔓延至网络空间，自战争爆发以来，双方发生了一系列网络对抗活动，包括国家支持的行动、黑客行动主义攻击和虚假信息传播。与以色列网络部队相关的黑客组织“掠食性麻雀”攻击了伊朗国有银行塞帕，并破坏了该银数据，导致大面积服务中断，如客户无法访问账户、提取现金或使用银行卡等；该组织还入侵了伊朗大型加密货币交易所Nobitex，盗窃取超过8000万美元的数字资产，威胁将公布该交易所的和内部数据，并警告用户取出所有剩余资金。伊朗的网络攻击一直很积极，但迄今为止规模较小，主要采取心理战。与伊朗有关联的攻击者针对以色列民用系统发动了多起网络钓鱼电子邮件、 DDoS攻击和虚假警报信息，相关虚假信息攻击的目的是在以色列后方制造恐慌。

原文链接：

https://www.secrss.com/articles/80058

PART 04

政策法规

1.《治安管理处罚法》修订通过，违规出售或提供个人信息将面临处罚

6月27日，十四届全国人大常委会第十六次会议表决通过治安管理处罚法修订草案，自2026年1月1日起施行。新修订的治安管理处罚法增加了多项网络安全条款，包括：第三十三条，提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的，造成危害的处五日以下拘留，情节较重的处五日以上十五日以下拘留。第五十六条，违反国家有关规定，向他人出售或者提供个人信息的，处十日以上十五日以下拘留；情节较轻的，处五日以下拘留。窃取或者以其他方法非法获取个人信息的，依照前款的规定处罚。第一百三十九条，人民警察泄露办理治安案件过程中的工作秘密或者其他依法应当保密的信息的，将在办理治安案件过程中获得的个人信息，依法提取、采集的相关信息、样本用于与治安管理、查处犯罪无关的用途，或者出售、提供给其他单位或者个人的，依法给予处分，构成犯罪的依法追究刑事责任。

原文链接：

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE5N2FmOWNjYzAxOTdiMTU5YzM4YTA0MDg%3D

2.三部门公布《关键信息基础设施商用密码使用管理规定》

6月27日，《关键信息基础设施商用密码使用管理规定》已经2025年4月21日国家密码管理局局务会议审议通过，并经国家互联网信息办公室、公安部同意，现予公布，自2025年8月1日起施行。该文件共25条。该文件细化了《中华人民共和国密码法》、《商用密码管理条例》关于关键信息基础设施商用密码使用管理的基础性、原则性要求，明确划分密码管理部门、网信部门、公安机关以及保护工作部门、运营者的职权义务，明确规划、建设、运行等各阶段的规范要求，明确制度、人员、经费等方面的保障措施，将关键信息基础设施商用密码使用管理各方面、各环节的要求以法定形式固化下来。

原文链接：

https://www.oscca.gov.cn/sca/xxgk/2025-06/27/1061270/files/4c5865c660c243349f9c133dae149209.pdf

3.国家网信办发布《数据出境安全评估申报指南（第三版）》

6月27日，国家互联网信息办公室编制了《数据出境安全评估申报指南（第三版）》，对数据处理者申报数据出境安全评估需要提交的相关材料进行了优化简化，明确数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容。数据处理者因业务需要向境外提供重要数据和个人信息，符合数据出境安全评估适用情形的，应当根据《数据出境安全评估办法》和《促进和规范数据跨境流动规定》，按照申报指南申报数据出境安全评估。

原文链接：

https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=NUtqEIwGiCjGm2Bhl20cvHqn7o/MvQuLlTXk87eUWCGu8MErDOpRDCR/~xsXjBW6O9RLR6Az65N~jUdQI0tAHjZS2/Bjnic3oqu3HpPj8kk=&fText=%E6%95%B0%E6%8D%AE%E5%87%BA%E5%A2%83%E5%AE%89%E5%85%A8%E8%AF%84%E4%BC%B0%E

4.国家网信办发布《网信部门行政处罚裁量权基准适用规定》

6月27日，国家互联网信息办公室发布《网信部门行政处罚裁量权基准适用规定》，自2025年8月1日起施行。该文件明确，网信部门适用行政处罚裁量权基准，应当遵循法制统一、公平公正、过罚相当、处罚与教育相结合等原则。该文件提出，网信部门行政处罚裁量权基准划分为不予处罚、减轻处罚、从轻处罚、一般处罚、从重处罚等裁量阶次，并明确了不予处罚、减轻处罚、从轻处罚、从重处罚等具体适用情形。规定违法行为不具有不予处罚、减轻处罚、从轻处罚或者从重处罚情形的，应当给予一般处罚。

原文链接：

https://www.cac.gov.cn/2025-06/27/c_1752736438534532.htm

5.越南通过《个人数据保护法》，禁止个人数据交易

6月26日，越南第十五届国会第九次会议表决通过《个人数据保护法》，将于今年7月1日起生效。该法律规定了在数据处理过程中保护个人数据的措施，包括数据的收集、存储、使用和共享。该法律禁止买卖个人数据等活动，违反的个人或组织可能面临最高达其通过个人数据交易获得收入10倍的罚款，违反跨境数据传输规定的行为则可能面临最高达上一年度收入5%的处罚。该法律还禁止通过滥用个人数据来破坏国家安全或公共秩序、阻碍数据保护工作、将数据保护用于非法目的、非法收集或分享数据、允许他人滥用其数据，或故意泄露、丢失或篡取个人数据等行为。

原文链接：

https://vovworld.vn/zh-CN/%E6%96%B0%E9%97%BB/%E5%9B%BD%E4%BC%9A%E9%80%9A%E8%BF%87%E4%B8%AA%E4%BA%BA%E6%95%B0%E6%8D%AE%E4%BF%9D%E6%8A%A4%E6%B3%95-1403238.vov

6.美国两党议员联合提出《禁用对抗性人工智能法案》

6月25日，美国两党议员提出《禁用对抗性人工智能法案》（No Adversarial AI Act）。该法案由参议员Rick Scott与Gary Peters、众议员John Moolenaar与Raja Krishnamoorthi等共同发起，旨在阻止联邦机构采购和使用中国等“外国对手”研发的人工智能技术。该法案主要内容包括：建立并管理“联邦敌对人工智能清单”，禁止联邦机构使用已列入清单的人工智能，允许有限例外情况并进行监督，每180天至少更新一次清单以反映最新威胁和技术，授权联邦机构执行要求等。

原文链接：

https://www.rickscott.senate.gov/2025/6/sen-rick-scott-leads-legislation-to-stop-u-s-government-agencies-from-using-adversarial-ai-technology

7.欧盟委员会发布《执法部门有效合法获取数据路线图》

6月24日，欧盟委员会发布《执法部门有效合法获取数据路线图》，阐述欧盟执法部门合法有效获取数据的前进方向。欧盟委员会指出，恐怖主义、有组织犯罪、网络诈骗、贩毒、儿童性虐待、性勒索、勒索攻击等犯罪活动均具有“留下数字痕迹”的共性特征，但当前执法部门获取关键刑事数据时面临数据时效、跨境法律冲突、数字取证、数据加密、数据处理能力五大现实困境。该路线图重点关注数据留存、合法拦截、数字取证、解密、标准化、人工智能执法应用六大领域，以构建现代化工具体系与法律框架，以在充分保障基本权利的前提下实现数据合法获取。

原文链接：

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52025DC0349

8.《人工智能生成合成内容检测技术指南》等6项网络安全标准实践指南公开征求意见

6月24日，全国网络安全标准化技术委员会组织编制了6项网络安全标准实践指南公开征求意见，包括5项人工智能生成合成内容标识方法的文件元数据隐式标识指南，分别为文本文件、图片文件、音频文件、视频文件、安全防护技术指南，及1项人工智能生成合成内容检测技术指南。该系列文件将指导人工智能生成合成内容服务提供者和网络信息内容传播服务提供者开展人工智能生成合成文本、图片、音频、视频等内容的文件元数据隐式标识活动，指导文件元数据隐式标识的添加方实现标识安全防护，为人工智能生成合成内容检测技术的实现与应用提供技术指引。

原文链接：

https://www.tc260.org.cn/upload/2025-06-24/1750756089972060989.rar

9.《网络安全技术软件安全开发能力评估准则》等4项国家标准公开征求意见

6月20日，全国网络安全标准化技术委员会归口的4项国家标准现已形成标准征求意见稿，现公开征求意见。4项标准分别为《网络安全技术软件安全开发能力评估准则》《网络安全技术引入可信第三方的实体鉴别及接入架构规范》《网络安全技术存储安全指南》《网络安全技术　网络安全产品互联互通第4部分：威胁信息格式》。

原文链接：

https://mp.weixin.qq.com/s/M71HET5Z8nSvAW_UEnQBCA

10.英国《数据（使用与访问）法案》获国王御准正式出台

6月19日，英国《数据（使用与访问）法案》（Data (Use and Access) Act 2025）获国王御准，正式成为法律。该法案对英国数据保护框架提出多项修订措施，涵盖“公认合法利益”清单引入、数据主体访问请求响应流程、自动决策规范，以及国际数据传输等。法案明确列举了国家安全、应对紧急情况、调查或预防犯罪等多项可作为信息处理合法依据的“公认合法利益”，要求数据控制者需要在“关键时点”触发后一个月内回应数据主体请求，规定除少数特殊情况外基于个人数据处理的重大决策不得仅通过自动化手段做出，要求数据接收方对数据主体的保护标准不得实质低于英国水平。

原文链接：

https://www.legislation.gov.uk/ukpga/2025/18/enacted

11.六部门联合印发《纺织工业数字化转型实施方案》

6月18日，工业和信息化部等六部门联合印发《纺织工业数字化转型实施方案》，聚焦新一代信息技术赋能行动、新模式新业态创新应用行动、产业高质量发展行动、夯实支撑基础行动等4个方面提出18项具体工作任务。该文件在“加快工业互联网部署”任务中提出，鼓励企业实施工业网络安全分类分级管理，建立健全企业内部网络安全管理制度，研究制定纺织工业重要数据识别指南，强化重要数据识别和申报、数据安全风险评估等工作，加强网络和数据安全防护能力建设，提升网络和数据安全防护水平。

原文链接：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_d642a9db617b480a89b19582fc41e35a.html

12.美国海军部发布《海军部首席技术官技术投资优先领域》

6月17日，美国海军部首席技术官发布《海军部首席技术官技术投资优先领域》备忘录，明确海军部在推进现代化过程中未来技术投资的优先领域清单。该清单包括五大领域，分别为人工智能与自主系统、量子、传输与连接、C5ISR与海军空间能力、网络空间作战与零信任。网络空间作战与零信任领域列举了多项细分技术，包括持续认证、ABAC、联合身份系统等身份与访问管理技术，微隔离、动态边界、风险自适应控制等零信任架构技术，APT狩猎、欺骗与主动网络防御、威胁情报共享平台、非动能影响、红蓝网络演习与靶场等网络运营技术，ICS/SCADA保护、OT威胁监控与告警、安全远程访问、安全（Safety）系统集成等OT安全技术。

原文链接：

https://www.doncio.navy.mil/ContentView.aspx?id=19320

13.欧盟委员会发布《欧盟国际数字战略》

6月5日，欧盟委员会发布战略文件，提出加强其数字伙伴关系和全球数字领域领导地位的计划。该战略有三大目标，一是通过经济和商业合作提升欧盟的科技竞争力，二是促进欧盟及其合作伙伴的高水平安全，三是与合作伙伴网络共同塑造全球数字治理和标准。欧盟与伙伴国家的合作将聚焦以下优先领域：安全可信的数字基础设施、新兴技术（包括人工智能、5G/6G、半导体、量子技术）、网络安全、数字身份和数字公共基础设施、在线平台（包括言论自由、公民隐私、儿童保护）、外国信息操纵与干扰。

原文链接：

https://digital-strategy.ec.europa.eu/en/library/joint-communication-international-digital-strategy-eu

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！