安全动态丨网络空间安全动态第292期

编者按

网安动向热讯，本期有十点值得关注：

一是国家互联网信息办公室、国家市场监督管理总局联合发布《个人信息出境认证办法》；二是全国网安标委就《网络安全标准实践指南——数据库联网安全要求》公开征求意见；三是国家能源局发布《关于加强用户侧涉网安全管理的通知》；四是工信部通报20款智能终端个人信息违规行为；五是欧盟委员会发布新版国防路线图；六是意大利《关于人工智能的规定和政府授权》法案正式生效；七是意大利宣布将组建全天候运作的军民联合网络部队；八是瑞士日内瓦正式启用其首个量子通信网络；九是美太空发展局首次将零信任概念应用于太空轨道；十是美陆军引入人工智能优化士官晋升评审机制。

数据前沿快讯，本期有两点值得关注：

一是交通运输部就《关于加快交通运输公共数据资源开发利用的实施意见(征求意见稿)》公开征求意见；二是中小企业合规管理能力自测和管理诊断自测工具在中国中小企业服务网上线运行。

网安事件聚焦，本期有两点建议关注：

一是美对我授时中心发起攻击，同时物流、航空等关键领域成为网络攻击重点目标。

本期介绍：我国国家安全机关披露美NSA对国家授时中心实施网络攻击活动；美网络安全公司F5遭黑客攻击，BIG-IP源代码和零日漏洞数据泄露；亚马逊云服务突发故障，导致全球多家公司网络中断；物流合作商Askul遭勒索攻击导致无印良品等零售巨头暂停线上销售；美国和加拿大多个机场公共广播系统遭黑客攻击。

二是涉及国家机构、个人的数据泄露事件频发，给全球网络安全带来巨大挑战。

本期介绍：英国防部承包商多德集团遭黑客组织Lynx Group攻击致敏感数据泄露；西班牙时尚品牌MANGO客户信息遭泄露。

网安风险警示，本期有七点建议关注：

一是工信部发布关于防范Google Chrome远程代码执行高危漏洞的风险提示；二是开源软件套件Samba中存在命令注入漏洞；三是Web开发框架存在高危漏洞；四是Excellent Infotek文档管理系统存在严重代码执行漏洞；五是开源消息中间件Apache ActiveMQ存在反序列化漏洞；六是TP-Link Omada网关存在远程执行命令漏洞；七是企业级备份和灾难恢复解决方案Veeam Backup&Replication v12中存在RCE漏洞。

01 网安动向热讯

国家互联网信息办公室、国家市场监督管理总局联合发布《个人信息出境认证办法》

10月17日消息，国家互联网信息办公室、国家市场监督管理总局联合发布《个人信息出境认证办法》，自2026年1月1日起施行。办法旨在保护个人信息权益，规范个人信息出境认证活动，促进个人信息高效安全跨境流动。《办法》明确了个人信息出境认证的适用情形。个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的，应当同时符合下列情形：一是非关键信息基础设施运营者；二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息，且向境外提供的个人信息中不包括重要数据。《办法》还对个人信息出境认证的申请方式、认证要求及证书有效期；专业认证机构应当履行的义务；监督管理要求等作出细化规定。《办法》对违反《办法》规定的法律责任、适用效力等作出了规定。（信息来源：网信中国）

全国网安标委就《网络安全标准实践指南——数据库联网安全要求》公开征求意见

10月18日消息，全国网安标委就《网络安全标准实践指南——数据库联网安全要求》公开征求意见。该指南规定了数据库系统连接至公共网络场景下的安全技术要求、安全管理要求，以应对数据库联网过程中和联网状态下的安全风险，减少因安全防护措施不足、安全配置不当、管理不当引发的数据泄露等安全事件。该指南适用于指导数据库系统接入公共网络开展数据处理活动，也可为评估机构提供参考。意见反馈截止日期为2025年10月31日。（信息来源：安全内参）

国家能源局发布《关于加强用户侧涉网安全管理的通知》

10月16日消息，国家能源局发布《关于加强用户侧涉网安全管理的通知》，围绕准确把握用户侧涉网安全管理的总体要求、强化源头管控、强化运行管理、强化监督管理四个方面，提出十二条具体措施，旨在构建“责任清晰、管控有力、运行规范、监管到位”的用户侧涉网安全管理体系，提升用户侧涉网安全风险管控能力。具体内容包括：科学界定用户侧涉网安全管理范围；通过加强并网接入管理、合理配置继电保护和低压脱扣装置、推动相关标准制修订等措施,强化用户侧涉网安全源头管控；通过提升信息采集和调控能力、加强运行安全风险管控、筑牢网络安全防线。（信息来源：安全内参）

工信部通报20款智能终端个人信息违规行为

10月22日消息，根据中央网信办、工业和信息化部等联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，工信部对智能终端违法违规收集使用个人信息等问题开展治理，经组织第三方检测机构进行抽查，共发现家庭网络摄像机、黑科技儿童电话手表、智能音箱、人脸门锁等20款智能终端存在侵害用户权益行为，包括未提供个人信息处理规则、违规传输个人信息至云端、未提供权限管控机制、收集人脸信息未单独告知、应用平台分发明示不到位、强制自动续费等。工信部要求上述智能终端应按有关规定进行整改，整改落实不到位的，将依法依规组织开展相关处置工作。（信息来源：工信微报）

欧盟委员会发布新版国防路线图

10月17日消息，欧盟委员会发布新版国防路线图，提出4个优先项目：欧洲无人机防御倡议、东翼监测、防空盾牌、防御太空盾牌，以强化欧盟在陆、海、空、网络与太空等领域的威慑与防御。该路线图强调通过联合研制与联合采购弥合关键能力缺口，要求成员国在9大关键领域完成能力联盟组建，涵盖防空与导弹防御、战略支援力量、军事机动、火炮系统、网络与人工智能及电子战、导弹与弹药、无人机与反无人机、地面作战和海上力量。该路线图还提出，到2027年建立覆盖全欧盟的“军事机动区域”，实现部队与装备在欧洲境内快速调动；到2030年推动形成规则统一的欧盟防务装备市场。（信息来源：人民网）

意大利《关于人工智能的规定和政府授权》法案正式生效

10月21日消息，意大利《关于人工智能的规定和政府授权》法案正式生效。该法案共分6章28条，涵盖人工智能领域的基本原则、适用范围、国家战略、权利保护、责任划分及国际合作等核心内容。该法案在强调与欧盟立法保持一致的基础上，确立了一套以核心原则、治理规则和立法授权为主体的国家监管体系。法案明确，将在信息数据保护、经济发展等基本原则指导下，细化医疗卫生、科研、劳动、知识性产业、公共行政、立法司法等领域下人工智能应用的适用规范，并通过合理分配国家机构职责、加快配套立法进程、修订已有法律法规、加大产业投资力度等方式，促进意大利人工智能的发展。（信息来源：公安部三所）

意大利宣布将组建全天候运作的军民联合网络部队

10月22日消息，意大利宣布将组建国家网络部队，旨在满足日益增长的保护国家关键基础设施和数字安全的需求。意大利国防部长表示，该网络部队初步计划由1200至1500名人员组成，其中大多数人员可投入作战，未来目标是打造一支规模更大、完全自主的部队；该部队必须融合先进的技术技能、数字情报、即时对抗措施和作战韧性，还必须确保民事和军事专家获得有效保护并持续接受培训，以保持技能并构建国家全球安全架构；该部队不仅将执行防御职能，还将体现威慑作用，以表明意大利已做好保护自身信息主权的准备。（信息来源：奇安网情局）

瑞士日内瓦正式启用其首个量子通信网络

10月16日消息，瑞士日内瓦正式启用其首个量子通信网络。该通信网络由日内瓦大学、欧洲核子研究中心、数字技术办公室等部门合作建成，全长262公里，覆盖日内瓦州内多个科研和工业站点，为量子通信、计量和同步提供了一个大规模的实验平台。该网络标志着瑞士在下一代数据和时间传输技术发展迈出了重要一步，有望使日内瓦成为国内外量子创新的核心枢纽。（信息来源：量科网）

美太空发展局首次将零信任概念应用于太空轨道

10月18日消息，美蜘蛛橡树公司与柯林斯宇航公司合作，为美太空发展局提供高保障加密解决方案，首次将零信任概念应用于太空轨道。该方案将阿波罗加密模块与蜘蛛橡树公司的微分段和零信任软件堆栈相结合实现对数据流的细粒度分段，持续验证信任程度以及快速遏制潜在的敌方活动，即使遭受攻击也能确保天基网络的完整性，确保任务的弹性和高可用性。该方案使美国防部能够实现在太空或战术边缘运行且需要具备高保障和高可用性的任务架构中采用零信任概念的目标。（信息来源：防务快讯）

美陆军引入人工智能优化士官晋升评审机制

10月21日消息，美陆军将人工智能技术应用于士官晋升评审委员会，加速并优化了候选人的评估流程，旨在使晋升评审更高效、更聚焦、更透明。人工智能系统会扫描士兵的记录，确定候选人是否符合晋升的基本条件，提前筛选出具有竞争力的人员，以增强委员会的决策能力。美陆军强调，人工智能推荐的每一步都将由管理人员组成的团队进行监督，以防止偏见并确保公平性。（信息来源：MeriTalk网）

02 数据前沿快讯

交通运输部就《关于加快交通运输公共数据资源开发利用的实施意见(征求意见稿)》公开征求意见

10月17日消息，交通运输部就《关于加快交通运输公共数据资源开发利用的实施意见》公开征求意见，意见反馈截止时间为2025年11月13日。该实施意见完善了数据安全管理规范体系，研究制定了交通运输数据安全管理制度，建立健全了公共数据资源开发利用安全风险识别评估、监测预警、应急处置等数据安全规范体系，明确了数据资源生产、采集存储、加工使用、产品开发及经营等过程中相关主体安全责任。加强公共数据可信采集、加密传输、可靠存储、受控交换共享、实时分析、智能应用、销毁确认及存证溯源等环节的安全技术支撑，有效规避数据隐私泄露、违规滥用等风险。依法开展数据安全风险评估，及时排查整改风险隐患，提升数据汇聚关联风险识别和管控水平，确保公共数据资源开发利用全流程安全可控。（信息来源：交通运输部网站）

中小企业合规管理能力自测和管理诊断自测工具在中国中小企业服务网上线运行

10月16日消息，中小企业合规管理能力自测和管理诊断自测工具在中国中小企业服务网自测服务专区正式上线运行，为广大中小企业提供公益性诊断服务，以引导中小企业增强合规意识，推动中小企业提升科学化规范化管理水平。该工具可提供数据合规、竞争合规、知识产权合规、个人信息保护合规等专项合规咨询服务；为企业开展全面、系统、精准的测评和财务诊断，帮助企业了解自身管理水平，给予针对性改进建议，助力中小企业健康发展。（信息来源：工信微报）

03 网安事件聚焦

我国国家安全机关披露美NSA对国家授时中心实施网络攻击活动

10月19日消息，我国国家安全机关披露美NSA对国家授时中心实施网络攻击活动。长期以来美NSA利用某国外手机品牌手机短信服务漏洞实施秘密监控，获取国家授时中心计算机的登录凭证，并利用该凭证获得远程控制权限，植入并升级特种网攻武器，刺探内部网络建设情况。NSA针对性部署新型网络作战平台，对国家授时中心多个内部业务系统实施渗透活动，并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。同时NSA采取了多种隐蔽技术：伪造数字证书以绕过杀毒软件；使用了高强度的加密算法来深度擦除攻击痕迹。目前，中国国家安全机关已通过侦查固定了美方网络攻击的证据，并指导国家授时中心开展清查处置。（信息来源：国家互联网应急中心）

美网络安全公司F5遭黑客攻击，BIG-IP源代码和零日漏洞数据泄露

10月16日消息，美网络安全公司F5披露其系统遭黑客攻击并盗取其未披露的BIG-IP安全漏洞信息和源代码。F5公司是一家专注于网络安全、云管理和应用交付网络应用领域的网络安全公司。BIG-IP是F5公司应用交付和流量管理的旗舰产品，用于全球众多大型企业。F5公司声称，攻击者获得的BIG-IP环境访问权限并未攻陷其软件供应链或导致任何可疑的代码修改，其客户数据如CRM、金融、支持案例管理或iHealth系统等平台的数据未遭访问或盗取。美网络安全与基础设施安全局发布紧急指令，要求联邦民事执行部门在10月22日前加固F5固件和软件设备。（信息来源：安全内参）

亚马逊云服务突发故障，导致全球多家公司网络中断

10月21日消息，美国亚马逊公司旗下云计算服务平台（AWS）突发服务故障，导致全球多家公司的网络连接出现问题，多个热门网站和应用服务中断，包括亚马逊电商、交易平台Robinhood和Coinbase、AI平台Perplexity、Lyft、美联航、迪士尼、麦当劳等知名品牌的在线业务遭冲击。AWS向政府、企业和个人提供按需计算能力、数据存储和其他数字服务，其服务中断可能导致依赖其云基础设施的网站和平台服务瘫痪。AWS表示，目前正采取多项措施恢复服务。（信息来源：央视新闻）

物流合作商Askul遭勒索攻击导致无印良品等零售巨头暂停线上销售

10月21日消息，物流合作商Askul遭勒索攻击导致无印良品等零售巨头暂停线上销售。Askul声明表示此次勒索攻击迫使暂停所有关键业务，包括线上和传真订单处理、发货、新用户注册、退货、目录申请以及医药服务，客户支持热线和咨询表单也无法使用。受影响企业正全面调查事件影响范围，包括可能的个人信息及客户数据泄露情况。截至目前，尚未有勒索软件组织宣称对此次攻击负责。（信息来源：BleepingComputer网）

美国和加拿大多个机场公共广播系统遭黑客攻击

10月17日消息，美国和加拿大多个机场公共广播系统遭黑客攻击。黑客针对包括加拿大不列颠哥伦比亚省的基洛纳国际机场、维多利亚国际机场、安大略省温莎国际机场，以及美国宾夕法尼亚州哈里斯堡国际机场发起协同攻击，通过入侵公共广播系统、航班信息显示屏等设施，播放赞扬哈马斯及批评美国总统特朗普的敏感信息，造成局部运营混乱。目前，美联邦航空管理局正联合机场方面展开调查。（信息来源：Cybernews网）

英国防部承包商多德集团遭黑客组织Lynx Group攻击致敏感数据泄露

10月21日消息，俄罗斯黑客组织Lynx攻击英国国防部承包商多德集团，声称已窃取约4TB数据，并泄露了英国皇家空军和皇家海军8处基地的国防部文件，总量约1000份，具体包括：波特里斯皇家空军基地和卡尔德罗斯皇家海军航空站的访客记录、莱肯希思皇家空军基地和米尔登霍尔皇家空军基地的敏感作战细节以及工作人员姓名与邮箱、承包商姓名、车辆详情及国防部人员联系方式等，部分文件还标注有受控或等级。多德集团表示此次事件只涉及少量数据被盗。英国防部已针对该事件展开调查。（信息来源：SecurityAffairs网）

西班牙时尚品牌MANGO客户信息遭泄露

10月17日消息，西班牙时尚品牌MANGO营销服务供应商遭未授权访问，导致客户个人信息泄露，包括姓名、邮箱地址和电话号码等。MANGO强调，此次事件未涉及银行账户、身份证/护照、登录凭证及密码等敏感信息，公司内部系统也未受影响。目前，MANGO公司已向西班牙数据保护局报备，向受影响客户发送数据泄露通知并采取措施加强其网络安全框架，防止未来发生类似事件。（信息来源：CyberSecurity网）

04 网安风险警示

工信部发布关于防范Google Chrome远程代码执行高危漏洞的风险提示

10月15日消息，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，Google Chrome存在远程代码执行高危漏洞，已被用于网络攻击。Chrome是谷歌公司开发的网页浏览器，由于其V8引擎对JavaScript对象类型处理不当，未经身份验证的远程攻击者可构造恶意页面诱导用户访问，导致内存损坏，甚至远程执行代码，受影响版本为Google Chrome＜140.0.7339.185。目前Google官方已修复该漏洞并发布更新公告，建议相关单位和用户及时更新。（信息来源:网络安全威胁和漏洞信息共享平台）

开源软件套件Samba中存在命令注入漏洞

10月16日消息，启明星辰集团VSRC监测到Samba中存在命令注入漏洞CVE-2025-10230（CVSS评分10），该漏洞影响启用了WINS服务器的Samba域控制器，当Samba配置了wins hook参数，并且WINS支持被启用时，Samba在WINS名称变更时会执行该参数指定的程序，导致攻击者可通过插入包含shell元字符的名称来执行任意命令，从而实现未经认证的远程代码执行。Samba是一个开源的软件套件，主要用于在Unix和Linux系统与Windows系统之间共享文件和打印资源。目前Samba官方已修复该漏洞，建议用户定期更新。（信息来源：启明星辰）

Web开发框架存在高危漏洞

10月17日消息，Web开发框架存在高危漏洞CVE-2025-55315（CVSS评分9.9），该漏洞影响ASP.NET Core内置的Kestrel Web服务器组件，允许攻击者通过HTTP请求绕过安全功能，以其他用户身份登录、绕过跨站请求伪造检查或实施注入攻击。目前官方已修复该漏洞，并为所有受支持版本发布补丁，建议用户立即更新修复。（信息来源：FreeBuf网）

Excellent Infotek文档管理系统存在严重代码执行漏洞

10月20日消息，Excellent Infotek文档管理系统存在高危远程代码执行漏洞CVE-2025-11948（CVSS评分9.8），攻击者在无需认证和用户交互的情况下，通过上传包含恶意脚本的文件可实现服务器完全控制。该漏洞具备极高的利用可能性和破坏性，暂未发现在野攻击案例，但其已具备大规模被利用的条件。目前官方已发布补丁，建议相关组织立即更新。（信息来源：KnowSafe网）

开源消息中间件Apache ActiveMQ存在反序列化漏洞

10月17日消息，开源消息中间件Apache ActiveMQ存在反序列化漏洞CVE-2025-54539（CVSS评分9.8）。Apache ActiveMQ与恶意服务器交互时，客户端的二进制反序列化可被滥用，攻击者可利用客户端中的无界反序列化来在客户端执行任意代码。Apache ActiveMQ支持JMS、AMQP、MQTT、STOMP等多种消息协议，用于构建高可靠的异步消息传递系统，实现应用间的解耦与异步通信。目前官方已发布补丁，建议用户及时更新。（信息来源：CveDetails网）

TP-Link Omada网关存在远程执行命令漏洞

10月21日消息，TP-Link Omada网关存在远程执行命令漏洞CVE-2025-6542（CVSS评分9.3），该漏洞可使攻击者获得root级控制权限，从而完全绕过设备防护机制，在受影响设备上执行任意操作系统命令，如修改配置、拦截流量或在企业网络中部署持久性恶意软件等。目前官方已发布补丁，建议用户及时更新。（信息来源：FreeBuf网）

企业级备份和灾难恢复解决方案Veeam Backup&Replication v12中存在RCE漏洞

10月16日消息，启明星辰集团VSRC监测到Veeam Backup&Replication v12中存在高危RCE漏洞CVE-2025-48984（CVSS评分9.9），该漏洞允许未经授权的命令以备份服务器的权限执行，攻击者可通过网络远程执行任意代码，从而可能完全控制受影响的备份系统。Veeam Backup & Replication是一款企业级备份和灾难恢复解决方案，主要用于虚拟化环境中的数据保护，能够进行即时恢复、灾难恢复和云备份，帮助企业确保数据安全、业务连续性和快速恢复。目前Veeam官方已修复该漏洞，建议用户定期更新。（信息来源：启明星辰）

本文来源：国家信息技术安全研究中心官方网站

本文编辑：林青

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

往期推荐

点赞在看转发是对我们最好的支持