【华安星安全资讯】半月精选集（2025.2.10-3.2）

      国务院总理李强日前签署国务院令，公布《公共安全视频图像信息系统管理条例》，自4月1日起施行。《条例》旨在规范公共安全视频系统管理，维护公共安全，保护个人隐私和个人信息权益。其中包括：公共安全视频系统管理单位应当履行系统运行安全管理职责，履行网络安全、数据安全和个人信息保护义务，建立健全管理制度，完善防攻击、防入侵、防病毒、防篡改、防泄露等安全技术措施，定期维护设备设施，保障系统连续、稳定、安全运行，确保视频图像信息的原始完整。

      根据2025年1月24日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2025年第2号），全国网络安全标准化技术委员会归口的GB/T 45230-2025《数据安全技术 机密计算通用框架》正式发布。

      近日，国家网信办公布《个人信息保护合规审计管理办法》。该《管理办法》自2025年5月1日起施行。旨在加强个人信息保护，规范企业数据处理行为。办法要求企业定期进行合规审计，确保个人信息处理活动合法合规。审计内容包括数据收集、存储、使用、传输等环节，重点检查是否存在超范围收集、滥用数据等行为。企业需建立完善的内部管理制度，明确责任分工，确保审计工作有效实施。对于未按要求进行审计或存在违规行为的企业，将依法追究责任。

      近日，欧洲网络安全初创公司Modat的研究人员发出警告：全球范围发现4.9万个配置错误的物理访问管理系统（AMS），导致数十万员工和组织敏感信息暴露在公网之下，涉及建筑、医疗、石油和政府等关键基础设施行业，凸显了现代企业安全防御中的致命漏洞。访问管理系统（AMS）是一种通过生物识别、身份证或车牌控制员工访问建筑物、设施和禁区的安全系统。全球数以万计的AMS接口未受保护，直接面向互联网。这些系统通常用于管理员工的身份验证、门禁权限和生物识别数据，但因配置不当，敏感信息如个人身份详情、工作日程甚至生物特征数据被完全暴露。

       近日，OpenAI旗下的ChatGPT Operator因存在提示注入漏洞而引发广泛关注。作为一款专为ChatGPT Pro用户设计的尖端研究工具，ChatGPT Operator具备强大的网页浏览和推理能力，能够帮助用户完成诸如研究主题、预订旅行以及与网站互动等任务。然而，最新研究显示，该工具可能被恶意利用，从而导致用户敏感信息泄露。

      近日，加密货币交易所Bbit遭遇到一起攻击，导致价值超过14.6亿美元(约合105.8亿人民币)的加密货币被盗。攻击者伪装了签名界面，表面显示正确的地址，但实际篡改了底层的智能合约逻辑。据悉，攻击者被指为Lazarus组织，一个来自朝鲜的威胁行为者，也是最高产的黑客组织之一。Lazarus组织在2024年共窃取了340亿，占同期所有非法加密货币收入的61%。

     近日，来自Truthful AI与伦敦大学学院的联合团队发现：看似人畜无害的代码微调，竟能让顶尖大模型集体"黑化"，在非相关领域爆发系统性安全危机。研究者发现，将表面上安全的大语言模型（LLM）为执行某项任务（例如最常见的代码编写）进行微调时如出现偏差（例如输入的代码示例存在大量漏洞），会对模型在其他非编码任务中的输出产生负面影响。这一意外发现凸显了模型微调隐藏的巨大安全风险，立刻引发了AI安全领域的广泛关注。

      据网络安全公司发布的《2025年红队报告》（Red Report 2025）显示，尽管人工智能（AI）在网络安全领域备受热炒，但截至目前，AI并未显著改变网络威胁格局，现实世界中的网络攻击仍主要依赖一组已知的战术、技术和程序（TTPs）。这一发现与媒体对AI作为“网络犯罪终极武器”的过度宣传形成鲜明对比，提醒企业将注意力集中于实际存在的、实实在在的网络安全挑战上。

      无论是来自内部的人为失误，还是来自外部的恶意攻击，安全事件都会给企业带来沉重打击。除了技术层面的挑战外，更大的难题往往是如何重建利益相关者的信任。作为网络安全的最高负责人，CISO在这一过程中扮演着关键角色。他们不仅需要果断应对技术层面的问题，更需要高超的沟通能力和领导力，才能帮助企业重新赢得内外部利益相关者的信任。该文总结了CISO 在重建信任应该关注以下六个关键点，包括提高事件的透明度、对问责制度保持敏感、防止客户流失、建立双向沟通反馈机制、提高一线响应团队的士气、实施更主动的事件响应计划。