点击蓝字关注江南信安

安全专栏

2025/10/20-2025/10/24

江南信安网络安全汇总专栏，每周为您提供网络安全领域「标准规范、安全热点、行业发展、深度好文、融资信息」等最新资讯的追踪与共享。

标准规范

1、一项新的区块链安全国家标准公开征集参编单位

日前，全国网络安全标准化技术委员会在网站发布公告，为了切实做好网络安全国家标准编制工作，鼓励更多单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的实用性和质量，即日起按照《全国信息安全标准化技术委员会标准参与单位管理办法（暂行）》要求，公开征集《网络安全技术区块链系统安全实施指南》国家标准参编单位。

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20251017153843

2、《网络安全标准实践指南——数据库联网安全要求》公开征求意见

为对数据库联网过程中和联网状态下的安全风险，减少因安全防护措施不足、安全配置不当、管理不当引发的数据泄露等安全事件，全国网络安全标准化委员会秘书处近期组织编制了《网络安全标准实践指南——数据库联网安全要求（征求意见稿）》，并根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，面向社会公开征求意见。

原文链接：

3、国家能源局印发《关于加强用户侧涉网安全管理的通知》

随着新型电力系统建设加快推进，源网荷储各环节的耦合度不断提高，用户侧的运行状态和安全水平对电网整体安全稳定运行的影响日益显著，因用户侧涉网安全问题引发的电力故障和事故也呈现增多趋势。

近日，国家能源局官网发布了《关于加强用户侧涉网安全管理的通知》，明确要求省级电力管理部门统筹梳理并认定本地区涉网用户范围，重点覆盖大负荷用户、电能质量敏感型用户、源荷混合型用户、负荷聚合类用户及自备电厂等类型。

通知提出，要建立健全全流程管理机制，确保用户侧运行的可观、可测、可调、可控。要强化网络与信息安全，防范通过通信接口或管理系统实施的非法控制行为，堵塞用户侧信息安全漏洞。运行管理方面还要求加强监测预警能力，推动用户侧通过微电网、源网荷储一体化、虚拟电厂等模式参与调度，提高用户资源的灵活调节能力。

原文链接：

安全热点

1、因第三方合作企业遭勒索攻击，无印良品紧急关闭线上销售业务

日本物流配送服务商爱速客乐(ASKUL)宣布，因遭到勒索软件攻击导致系统故障，已暂停商品的订单受理及出货业务。据称，此次故障的原因是感染了电脑“勒索病毒”。爱速客乐暂停订单受理等业务的对象包括面向法人的办公用品网购平台“ASKUL”及面向个人的网购平台“LOHACO”。

受此次事件影响，无印良品母公司良品计划随后宣布，紧急关闭了无印良品官方网店的线上业务，原因是相关应用程序的多项功能受到影响，暂时无法浏览购物、查看历史订单、阅读新闻通讯、申请包月服务、显示部分内容。

良品计划表示，正在持续调查此事的影响程度，进一步的信息将在情况明朗后第一时间通知公众，但目前无法确认具体恢复日期。

原文链接：

https://www.bleepingcomputer.com/news/security/retail-giant-muji-halts-online-sales-after-ransomware-attack-on-supplier/

2、美国知名P2P借贷平台确认重大安全事件，1760万用户敏感信息或泄露

美国知名P2P借贷平台Prosper Marketplace日前确认发生重大网络安全事件，或导致超过1760万用户的个人信息遭到泄露。攻击者于9月初利用被盗的管理员凭证，未经授权访问了该公司的内部数据库系统。

根据Prosper官方发布的事件说明，此次泄露的数据包括用户姓名、社会安全号码、收入信息和联系方式等，但不涉及银行账户、登录密码或支付凭证。尽管Prosper在检测到异常访问后立即将受影响的服务器下线，并按照相关监管法规要求通知受影响用户，但安全研究人员警告称，这些敏感信息极有可能被用于发起身份盗窃或针对性钓鱼攻击。

原文链接：

https://www.techrepublic.com/article/news-prosper-data-breach/

3、蓄谋已久！美国安局对我国一重要核心部门发动高烈度持续网络攻击

据央视新闻报道，国家安全机关近期破获一起美国重大网络攻击案，掌握了美国国家安全局以“精准猎杀”式网络攻击入侵中国国家授时中心的铁证。国家授时中心位于陕西省西安市，承担“北京时间”的产生、保持和发播任务，相关设施一旦遭受网攻破坏，将影响“北京时间”的安全稳定运行，引发网络通信故障、金融系统紊乱、电力供应中断、交通运输瘫痪、空天发射失败等严重后果，甚至可能导致国际时间陷入混乱，危害损失难以估量。

经国家安全机关缜密调查发现，美国安局针对国家授时中心的网攻活动蓄谋已久，呈现递进式、体系化特点：首先利用某境外品牌手机短信服务漏洞控制多名中心工作人员的手机终端，窃取敏感资料；随后多次利用窃取的登录凭证入侵中心计算机，刺探网络系统建设情况；2023年8月起，美国安局专门部署新型网络作战平台，启用42款特种网攻武器，对国家授时中心多个内部网络系统实施高烈度网攻，并企图预置瘫痪破坏能力。

国家安全机关发现，美国安局网攻活动多选在北京时间深夜至凌晨发起，利用美国本土、欧洲、亚洲等地的虚拟专用服务器作为“跳板”隐匿攻击源头，采取伪造数字证书绕过杀毒软件等方式隐藏攻击行为，还使用了高强度的加密算法深度擦除攻击痕迹，为实施网络攻击渗透活动可谓无所不用其极。

近年来，美国强推网络霸权，一再践踏国际网络空间规则。同时，美方却贼喊捉贼，屡屡渲染“中国网络威胁论”，胁迫他国炒作所谓“中国黑客攻击事件”，制裁中国企业，起诉中国公民，妄图混淆视听，颠倒黑白。

原文链接：

行业动态

1、“比经典超算快13000倍！”谷歌宣称实现量子计算新突破

谷歌公司日前通过《自然》杂志披露了与Willow芯片相关的量子计算突破性研究成果。该成果据称是历史上首次证明量子计算机可在硬件上成功运行一项可验证算法，其运算性能超过当前最快的经典超级计算机13000 倍。

Willow是谷歌于去年12月宣布推出的量子芯片。当时，Willow量子芯片在5分钟内完成了一项传统超级计算机需要“10的25次方”年的时间才能完成的标准基准计算任务。而此次谷歌披露量子可验证性意味着，该结果可在谷歌的量子计算机（或其他同等水平的量子计算机）上重复得出，从而确认结果的准确性。

原文链接：

2、《2025年关键基础设施数据威胁报告》：AI与量子计算成为新的挑战

Thales最新发布的《2025年关键基础设施数据威胁报告》指出，尽管过去一年关键基础设施行业的数据泄露事件发生率从2021年的37%大幅下降至当前的15%，但AI和量子计算正带来前所未有的全新安全挑战。通过对全球513名能源、公用事业、通信和交通领域专业人士访谈调研，其中73%受访者认为快速演进的AI生态是当前组织面临的最大安全威胁，63%则表示担忧量子计算未来可能破解现有加密体系。

报告还显示，74%的组织已投资生成式AI专用安全工具，但对模型完整性（64%）和第三方数据可靠性（53%）信心不足。同时，58%的受访企业正探索后量子密码算法，以应对“先窃取、后解密”攻击。尽管多因素认证（MFA）普及率提升至75%的员工覆盖率，但配置错误、漏洞利用和身份盗用仍是主要攻击入口。

Thales副总裁Todd Moore呼吁，关键基础设施组织当前必须立即强化加密、部署AI防护措施，并加速做好向后量子安全转型的准备。

原文链接：

https://www.techedt.com/ai-disruption-and-quantum-threats-emerge-as-key-risks-for-critical-infrastructure-security

3、数据备份厂商Veeam 123亿巨资收购Securiti AI，拟构建AI数据安全中枢

据彭博社报道，美国数据厂商 Veeam 于22日宣布，将以17.25亿美元（约合人民币123亿元）收购AI安全公司Securiti AI，以构建新一代AI数据安全与治理平台。本次收购延续了当前数据安全行业的整合趋势，随着企业加速采用AI技术，数据基础设施防护将成为未来市场的关键竞争点。

Veeam总部位于华盛顿州柯克兰，是美国重要的数据备份与灾难恢复厂商。Veeam首席执行官Anand Eswaran表示：“我们已进入一个全新时代，保护数据已不再只是防御网络威胁或灾难，而是要识别所有数据、确保其可信，并以安全透明的方式为AI应用提供动力。”

Securiti AI成立于2019年，曾获得Mayfield、General Catalyst和思科投资等机构超过1.56亿美元的融资。交易完成后，Securiti的核心产品“数据安全治理中心”将并入Veeam现有业务体系，其创始人由Rehan Jalil也将出任Veeam的安全与AI业务总裁。

原文链接：

https://www.techzine.eu/news/security/135603/veeam-acquires-securiti-ai-for-1-7-billion/

深度好文

1、基于密码的物联网安全防护体系研究

物联网技术通过将各类设备接入互联网，实现了信息的无缝交互与智能化控制，从而深刻改变了人们的生活方式及生产模式。然而，物联网复杂且开放的环境也带来了诸多安全风险，包括设备身份伪造、数据泄露及通信劫持等。这些问题阻碍了物联网的健康发展。预计到 2028 年，全球受网络安全保护的物联网设备将增至 280 亿台，物联网安全市场规模达 510 亿美元。随着物联网安全防护需求的提升，尤其是在智能家居、工业互联网和智能医疗等领域，企业和组织正投入更多资源以确保安全。因此，建立有效的物联网安全防护体系变得至关重要。

密码技术作为一种基础安全手段，凭借其加密、认证、完整性保护等功能，成为解决物联网安全问题的重要途径。本文基于密码技术的特点，结合物联网安全防护研究现状，提出了一种基于密码的物联网安全防护体系，涵盖感知安全、网络安全、平台安全等多个层次，旨在为物联网安全提供全方位保障。

原文链接：

2、抗量子密码研究现状及展望

量子计算给传统公钥密码体系带来了极大冲击，抗量子密码（Post-Quantum Cryptography，PQC）系统迁移工作势在必行。国际上，美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）已经进行了多轮PQC标准化工作。我国也正在积极加速布局PQC技术，但由于PQC标准尚不完善，其产品成本显著高于传统商用密码产品，因此国内相关项目多处于试点阶段。

原文链接：

END

点点赞

点分享

点喜欢