【华安星安全资讯】半月精选集（2025.5.12-5.25

     近日，公安部、国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局等六部门联合公布《国家网络身份认证公共服务管理办法》，自2025年7月15日起施行。《办法》根据《网络安全法》、《数据安全法》、《个人信息保护法》、《反电信网络诈骗法》、《未成年人保护法》等法律法规制定，旨在实施可信数字身份战略，推进国家网络身份认证公共服务建设，保护公民身份信息安全，支撑数字经济健康有序发展。

      为了加强电子印章规范管理,推动电子印章应用,服务政务活动和经济社会数字化发展,根据《中华人民共和国电子签名法》、《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及印章管理有关法律法规,国家密码管理局会同有关部门研究起草了《电子印章管理办法(征求意见稿)》,现向社会公开征求意见。

      近日，美国最大的钢铁制造商纽柯（Nucor）遭遇网络安全事件，被迫关闭部分网络系统并启动应对措施。此次事件导致纽柯公司多个生产地点暂时停工，目前尚不清楚该事件对公司整体业务造成了多大影响。纽柯是美国主要钢铁生产商、北美重要的废钢回收企业，还是美国建筑、桥梁、公路及基础设施建设的钢筋主要供应商。该公司在美国、墨西哥和加拿大的多家钢厂共雇佣超过3.2万名员工。今年第一季度，纽柯公司报告的营收为78.3亿美元。

      近日，法国奢侈品牌迪奥（Dior）发现其时尚与配饰客户数据库遭到未授权访问，导致包括中国和韩国在内的多个国家的客户个人信息泄露。此次事件引发了全球对奢侈品牌数据安全和数字信任的广泛关注。迪奥表示，受影响的数据包括客户的姓名、性别、电话号码、电子邮件地址、邮寄地址、购物偏好和购买历史等。幸运的是，账户密码和支付信息（如银行账户或信用卡信息）存储在不同的数据库中，未受到此次事件的影响。

       马莎百货披露，4月遭遇的勒索软件攻击致使其在线业务持续中断数月，预计7月才能完全恢复；受该事件受冲击，公司市值已蒸发约百亿元，预估损失约29亿元，公司将通过成本控制措施尽量降低损失金额。

      网络安全公司Cyble的研究人员发出警告，多个主流云服务商因存储桶配置错误导致约2000亿份文件可被公开访问。研究人员在漏洞分析过程中，共识别出分布在七大云平台上的66万个未受保护的存储桶。分析报告显示，这些暴露的文件包含机密文档、登录凭证、源代码和内部备份等敏感内容。

      人工智能(AI)和大语言模型(LLM)正在重塑各行各业，提高效率，并开启新的商业机会，AI的快速采用也带来了重大的安全、合规和治理挑战。然而，大多数组织在加速AI部署的过程时，更倾向于期待颠覆性创新，而非采用可靠的安全实践。未能在部署前充分测试AI系统会使组织面临一系列与传统软件风险显著不同的漏洞。该文列举了匆忙上马AI项目带来八大安全隐患，包括数据暴露、模型级漏洞、模型完整性和对抗性攻击、系统集成风险、访问控制失败、运行时安全故障、合规违规、更广泛的运营影响。

     最新发布的《2025年渗透测试现状报告》对500位企业CISO（200位来自美国）进行了深度调研，揭示了企业在应对海量安全警报、持续数据泄露和日益严峻网络威胁过程中的战略演变与技术部署。报告总结了2025年网络安全五大趋势，包括工具数量与防护能力非线性相关、警报过载危机、自动化渗透测试主流化、网络保险商重塑安全优先级、政府支持信心不足。