全球瞭望|网络安全重大事件精选(177期)
国内动态
中央网信办就《数据安全技术 电子产品信息清除技术要求》强制性国家标准(征求意见稿)公开征求意见
网安标委下达9项网络安全推荐性国家标准计划
金融监管总局:关于防范虚假宣传诱导网络贷款的风险提示
IDC:2024年中国数据库安全审计市场规模为12.4亿元
四川某科技公司未落实网络安全保护义务致数据泄露被处罚
国外动态
英国CHERI计划推动全球内存安全革新
欧洲与加拿大合作探索量子机器学习潜力
英国国家网络安全中心启动漏洞研究计划
美国陆军寻求用于人工智能和网络安全的量子计算技术
美国MITRE公司推出加密货币支付安全框架
欧盟和摩尔多瓦扩大数字合作,以应对网络和混合威胁
英国Wescom Defence将首次推出“下一代隐蔽系统”
太空部队在首届“坚决太空”演习中进行在轨作战训练
GAO要求国会制定机构IT现代化计划
AI伪装工具可实现更难检测的网络攻击
国内动态
1. 中央网信办就《数据安全技术 电子产品信息清除技术要求》强制性国家标准(征求意见稿)公开征求意见
近日,中央网信办就《数据安全技术 电子产品信息清除技术要求》强制性国家标准(征求意见稿)公开征求意见,要求厂商在手机、平板、电脑等电子产品中强制预置“一键清除”功能,确保用户能便捷彻底删除个人数据;该标准针对不同存储介质设定了差异化覆写要求,规定手机、平板和固态硬盘(SSD)数据至少覆写2次,机械硬盘(HDD)至少覆写3次以上,以实现数据不可恢复,清除范围覆盖应用程序、媒体文件、缓存、备份数据、系统配置(含账号密码及生物识别信息)、NFC绑定卡片及加密密钥等全部7类用户数据。
2. 网安标委下达9项网络安全推荐性国家标准计划
近日,全国网络安全标准化技术委员会(网安标委)正式下达《网络安全技术 网络安全产品互联互通 第4部分:威胁信息格式》等9项推荐性国家标准计划 。新计划覆盖关键信息基础设施安全、产品协同防御、数据安全管理等领域,旨在强化网络安全技术体系的协同性和主动防御能力。根据通知要求,各工作组及项目牵头单位需协同推进标准起草,并通过网安标委官网公开征集社会意见。此举将进一步完善国家网络安全标准生态,为关键基础设施运营方、网络安全产品研发机构及监管部门提供技术实施依据。
3. 金融监管总局:关于防范虚假宣传诱导网络贷款的风险提示
近期,国家金融监督管理总局金融消费者权益保护局发布风险提示,揭露不法平台通过虚假宣传诱导消费者办理网络贷款的“套路”,提醒公众提高警惕。这些平台惯用三大伎俩:一是偷换概念,用“分期缴费”等模糊表述替代“贷款”,诱骗消费者在不明合同性质的情况下签字刷脸,同时窃取个人信息转卖牟利;二是虚假承诺,以“包过拿证”“政策助学金”“保就业”等不实信息催促报名并办理贷款,合同却暗藏苛刻解约条款,甚至本身即为骗取钱财的空壳公司;三是隐瞒成本,仅宣传低表面利率或模糊收费,实际通过额外服务费、高额违约金等大幅推高借贷成本。为保护自身权益,金融消费者权益保护局提示:仔细辨别夸大宣传,警惕高回报承诺;优先选择资质合法、信誉良好的机构;签订合同前务必看清条款实质,重点关注收费、退款及服务细节,拒绝诱导签约;同时严格保护个人敏感信息,防范泄露风险。
4. IDC:2024年中国数据库安全审计市场规模为12.4亿元
IDC正式发布了针对中国数据库安全审计市场份额研究报告。报告针对2024年中国数据库安全审计市场的规模、增长速度、主要玩家、市场与技术的发展趋势等内容进行了详细研究。
IDC数据显示,2024年中国数据库安全审计市场规模为12.4亿元人民币,相较于2023年实现了3.6%的同比增长。从市场份额来看,启明星辰集团、安恒信息、阿里巴巴、安华金和、美创科技等厂商组成了该市场的主要玩家。
5. 四川某科技公司未落实网络安全保护义务致数据泄露被处罚
近日,四川网安部门在工作中发现,成都某科技公司开发的购票管理系统因未落实网络安全防护要求,致使系统内部分数据发生泄露,被不法分子利用实施违法犯罪活动。经查,该公司作为涉案信息系统的开发主体及实际运营单位,负有网络安全保护工作的法定职责,但未依法履行《中华人民共和国网络安全法》规定的网络安全保护义务,未落实网络安全等级保护制度,未采取必要的技术防护措施,最终引发数据泄露。四川公安网安部门已依法对涉事企业及直接责任人作出行政处罚。
国外动态
1. 英国CHERI计划推动全球内存安全革新
由英国政府支持的CHERI(功能硬件增强型RISC指令)计划,正致力于解决网络安全领域的一大挑战—内存安全问题。CHERI将安全机制直接嵌入处理器核心,实现精细的内存访问控制与分区,有效限制缓冲区溢出攻击,且适用于x86芯片架构。该计划可解决当前约70%可被黑客利用的漏洞,正推动整个电子供应链的转型,促进芯片设计商、系统集成商及开源社区的广泛采用。
2. 欧洲与加拿大合作探索量子机器学习潜力
近日,欧洲光子量子计算领军企业Quandela与魁北克人工智能研究所Mila达成战略合作,聚焦量子机器学习(QML)混合技术潜力,旨在抢占该新兴领域前沿。双方将围绕四大目标展开合作:对比QML模型与传统方法在结构化数据上的性能;确定量子方法在准确性、资源利用率和可扩展性上具备显著优势的场景;开发解决方案克服量子模型训练挑战;结合模拟研究与真实量子硬件实验,验证QML实际应用潜力。此次合作是探索量子计算在AI领域具体应用的关键一步,双方的结合有望加速开发行业变革的解决方案。
3. 英国国家网络安全中心启动漏洞研究计划
近日,英国国家网络安全中心(NCSC)宣布启动“漏洞研究计划”(VRI),旨在加强与外部网络安全专家的合作,提升对软、硬件系统中潜在漏洞的识别与理解能力。该计划将聚焦于特定技术产品中的安全性缺陷,邀请外部专家识别目标系统中的漏洞、评估可能的缓解措施,在公平流程的前提下进行漏洞披露,并要求提交使用方法和工具,以帮助制定更高效的安全研究实践框架。未来,该计划还将扩展至人工智能等新兴技术领域,进一步增强在前沿方向上的漏洞发现能力。
4. 美国陆军寻求用于人工智能和网络安全的量子计算技术
近日,美国陆军作战能力发展司令部(DEVCOM)发布关于“量子表征、校准和控制”(QC3)项目的泛机构公告(编号W911NF25S0002),以向企业界寻求容错量子计算支持技术。这些技术将用于支持数据处理、加密和人工智能(AI)等需要高可靠性和安全性的应用领域。QC3项目为期四年,旨在实现大规模计算的低错误率,并对所用的量子计算机进行微调,以便在运行深度算法的同时保持高性能。QC3项目主要关注特性、校准和控制这3个方面,其总体目标是解决基于电路门模型的量子计算开销和低效率问题,以及提高容错量子计算技术在表征、校准和控制方面的准确性和稳定性。
5. 美国MITRE公司推出加密货币支付安全框架
近日,美国MITRE公司推出“数字资产支付技术对抗行动”(AADAPT)框架,以解决加密货币等数字金融系统中的漏洞。该框架用于识别与数字资产支付技术有关的对抗策略、技术和程序(包括共识算法和智能合约等),可为开发人员、政策制定者和金融机构提供识别、分析和减轻数字资产支付风险的结构化方法。MITRE公司表示,AADAPT以该公司的“对抗性战术、技术和常识”(ATT&CK)网络安全框架为蓝本,其策略和技术与ATT&CK相辅相成。
6. 欧盟和摩尔多瓦扩大数字合作,以应对网络和混合威胁
欧盟委员会加强了摩尔多瓦与欧盟之间的数字合作,以涵盖网络安全、错误信息处理等方面。正如欧盟-摩尔多瓦联合宣言中所述,这是欧盟委员会努力深化数字合作和加强摩尔多瓦和欧盟安全的一项重大成就。在宣言中,欧盟再次确认与摩尔多瓦团结一致并支持该国应对俄罗斯构成的混合和网络威胁,并准备继续协助摩尔多瓦的数字化转型和网络安全工作,具体包括EUPM(欧盟摩尔多瓦伙伴关系任务)、混合快速响应小组、网络快速响应小组,以及对战略通信和网络安全的援助。
7. 英国Wescom Defence将首次推出“下一代隐蔽系统”
总部位于英国的Wescom Defence将推出其ATMIS多光谱伪装(ATMIS MSC)套件,这是一种“下一代隐蔽系统”,旨在支持复杂、不可预测的地形中的战术行动。该系统在伦敦的DSEI 2025上首次亮相,旨在通过最大限度地减少多个频谱的可见性来为部队提供战场优势。ATMIS MSC包括多种针对不同用例量身定制的伪装类型,套件中的其他组件包括升级的ghillie套装、巡逻斗篷和新的战斗网防御系统,旨在增加对无人机和流弹药的隐蔽和保护。
8. 太空部队在首届“坚决太空”演习中进行在轨作战训练
近日,科罗拉多州空军国民警卫队第138电磁战中队的飞行员在关岛安德森空军基地举行的“坚决太空2025”演习期间对高机动性天线进行维护。超过700名太空部队守护者参加该演习,在那里他们进行轨道战、电磁战、网络战等。据美国太空军官员称,“坚决太空2025”演习是其迄今为止规模最大的演习,这是一项为期数周的活动,将使守护者对抗逼真的模拟威胁。
9. GAO要求国会制定机构IT现代化计划
近日,美国政府问责局(GAO)向国会递交紧急报告,要求立法强制所有联邦机构在90天内提交五年期IT现代化计划,重点替换运行逾20年的遗留系统。报告指出,现行老旧系统年耗运维费超千亿美元,故障频发危及国家安全与民生服务。GAO建议国会设100亿美元循环基金,推动零信任架构、云迁移及AI运维,并由管理与预算局半年一报进度。参众两院关键委员会已表态下周启动跨党派立法,力争8月通过《2025联邦IT现代化授权法》。
10. AI伪装工具可实现更难检测的网络攻击
暗网出现新型AI伪装工具“Xanthorox AI”,可在离线状态自动生成并实时变异恶意代码,使攻击流量与正常HTTPS通信难以区分。该工具集语音深度伪造、进程注入于一体,已导致1700余名开发者中招。卡巴斯基也证实,2025年前四个月,伪装成ChatGPT的恶意文件数量同比激增115%,中小企业用户占受害总量八成。专家指出,攻防失衡的关键在于攻击者能低成本利用公开数据训练模型,而防御方需满足合规与预算限制。为应对挑战,Palisade Research发布“AI蜜罐”,通过仿真政府服务器诱捕自主攻击智能体,为实时预警与防御策略提供数据支撑。
