上海软件中心
2026.06.16
行业动态
周 报
安全事件
1
央视曝光某国用41种网络武器攻击我高校
近日,央视披露境外情报机构针对我国高校实施专项网络窃密攻击。2022年4月国内高校邮件系统曝出木马入侵事件,经查实攻击方动用41类网攻武器、搭建超1100条攻击链路,依托酸狐狸、怒火喷射、二次约会等多款间谍工具劫持链路、窃取运维与设备核心数据。结合震网病毒、科研单位中招等多起案例,境外网袭常态化。不明U盘、陌生邮件附件等日常疏忽,极易成为黑客入侵突破口。
原文链接:
2
OpenAI又遭供应链攻击发生敏感数据泄露
近期,OpenAI披露,其企业环境中的两台员工设备受到了针对TanStack的Mini Shai-Hulud供应链攻击影响。不过,该公司强调,没有任何用户数据、生产系统或知识产权遭到未经授权的访问、破坏或篡改。
OpenAI表示:“在发现恶意活动后,我们迅速展开调查并实施遏制措施,同时采取行动保护系统安全。我们观察到的行为与该恶意软件公开描述的活动一致,包括未经授权的访问,以及针对凭证的数据窃取行为。这些活动仅涉及少量内部源代码仓库,而这两名受影响员工此前拥有这些仓库的访问权限。”
原文链接:
3
微软Exchange Server存在反射型跨站脚本漏洞
近日,安全研究人员发现微软Exchange Server存在反射型跨站脚本漏洞(CVE-2026-42897),是由网页生成过程中对用户输入数据识别处理不当所导致,允许未经身份验证的攻击者通过向目标用户发送特制电子邮件的方式,获取目标邮箱的访问权限,进而窃取会话令牌等敏感信息。目前,用户可通过启用EEMS系统、使用Exchange本地缓解工具等方式降低安全风险。
原文链接:
4
Next.js存在服务器端请求伪造漏洞
近日,安全研究人员发现基于React的全栈Web应用开发框架Next.js存在服务器端请求伪造漏洞(CVE-2026-44578),是由WebSocket Upgrade请求处理路径未应用与普通HTTP请求一致的安全检查策略所导致,允许攻击者通过构造特制的WebSocket升级请求,迫使Next.js服务器向任意内部或外部地址发起请求,从而绕过网络边界防护,实现内网探测、敏感信息窃取以及云环境元数据服务访问等恶意行为。漏洞影响13.4.13 <= Next.js < 15.5.16等版本,目前用户可通过版本升级修复上述安全漏洞。
原文链接:
5
关于黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马的风险提示
近期,CNCERT监测发现银狐远控木马通过批量生成的高仿真钓鱼网站大规模传播,样本落地后将Shellcode注入系统关键进程执行远控,与境外C2服务器建立持久化连接,实现对主机的隐蔽控制。黑产团伙疑似利用AI工具大幅提升钓鱼页面制作效率,结合域名批量注册、仿冒网站访问流量精细化监测等手段,形成“网络钓鱼→木马下载→进程注入→远控控制”的完整攻击链。
原文链接:
https://www.cert.org.cn/publish/main/10/2026/20260522113326926111046/20260522113326926111046_.html
安全标准动态
1
国家网信办、公安部、文化和旅游部、市场监管总局、广电总局联合发布《互联网信息内容多渠道分发服务管理规定》
2026年5月29日,国家网信办、公安部、文化和旅游部、市场监管总局、广电总局联合公布《互联网信息内容多渠道分发服务管理规定》(以下简称《规定》),自2026年9月1日起施行。国家网信办有关负责人表示,《规定》旨在促进互联网信息内容多渠道分发服务规范健康发展,保障公民、法人和其他组织的合法权益,营造良好网络生态。
原文链接:
2
国家市场监督管理总局、国家标准化管理委员会于2026年5月25日批准发布18项网络安全国家标准
根据2026年5月25日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2026年第23号),全国网络安全标准化技术委员会归口的18项国家标准正式发布。新规完善国内网安标准体系,覆盖等保测评、存储安全、量子通信、嵌入式系统、政务云、未成年人上网防护、网络身份认证等多个领域,补齐多项新兴技术规范短板。同时更新安全审核、网络事件调查等管理类国标,为关基防护、数据与个人信息保护提供技术依据,全方位规范政企安全建设与应急处置工作。具体清单如下:
原文链接:
https://www.tc260.org.cn/portal/article/2/2fc1fa6bf4594e369b04bbdf4cc7a2f9?sessionid=
3
电子认证服务使用密码管理办法(国家密码管理局令第6号),自2026年7月1日起施行
《电子认证服务使用密码管理办法》已经2026年4月13日国家密码管理局局务会议审议通过,现予公布,自2026年7月1日起施行。
原文链接:
https://www.oscca.gov.cn/sca/xxgk/2026-06/03/content_1061341.shtml?sessionid=
4
国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局六部门联合印发《金融信息服务数据分类分级指南》
国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局六部门联合印发《金融信息服务数据分类分级指南》,面向境内从事金融信息服务的提供者,用于指导其开展数据分类分级和重要数据识别、规范金融信息服务数据处理活动(不含国家秘密与军事数据);分类上按业务属性设“业务数据/用户数据/企业数据”3个一级类,并进一步细分二级9类、三级67类,分级上按重要程度与泄露/篡改/非法获取使用后可能造成的危害程度,将数据从高到低分为核心数据、重要数据、敏感一般数据、常规一般数据四级,并配套形成“梳理—分类—分级—形成清单—报送重要数据目录—动态更新”的落地路径。
原文链接:
5
全国网络安全标准化技术委员会发布了《人工智能应用伦理安全指引1.0》
5月19日,在2026年中国网络文明大会人工智能赋能网络文明建设分论坛上,全国网络安全标准化技术委员会发布了《人工智能应用伦理安全指引1.0》。
为进一步引导人工智能应用坚持以人为本、智能向善,推动人工智能应用相关方正确认识和妥善应对应用活动中的伦理安全影响,促进人工智能应用在规范有序、安全可控的轨道上健康发展,《指引》给出了人工智能应用伦理安全理念与原则,明确了人工智能应用开发、服务提供和应用使用等安全指引。
网安标委秘书处相关负责同志表示,《指引》的发布,正是对引导人工智能应用尊重人的主体地位、维护公平正义、保障合法权益、促进社会信任,推动人工智能技术始终朝着有益、安全、公平方向发展这一时代课题的积极回应,体现了人工智能治理坚持积极稳妥、开放包容、协同共治的实践导向,也体现了网络文明建设对人工智能时代技术向善、价值引领和秩序塑造的主动回应。
原文链接:
https://www.tc260.org.cn/portal/article/2/6aee9380ac44434d994eb6990bd92997?sessionid=
6
关于下达3项网络安全推荐性国家标准计划的通知
近日,国家标准化管理委员会下达的推荐性国家标准计划中《网络安全技术 信息安全服务能力评估准则》由全国网络安全标准化技术委员会归口,详细信息见附件。
原文链接:
https://www.tc260.org.cn/portal/article/2/5ed77bbab9284fdc8c5b3c3a3c700298?sessionid=
7
关于对《人工智能应用安全指引 教育行业(征求意见稿)》等2项网络安全标准实践指南公开征求意见的通知
为有效应对人工智能技术快速发展与应用带来的新风险、新挑战,秘书处组织编制了《人工智能应用安全指引 教育行业》《人工智能应用安全指引 卫生健康》等2项网络安全标准实践指南征求意见稿。
根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求,秘书处现组织对《人工智能应用安全指引 教育行业》《人工智能应用安全指引 卫生健康》等2项网络安全标准实践指南征求意见稿面向社会公开征求意见。
原文链接:
https://www.tc260.org.cn/portal/article/2/93f7c1bb4a864104a321ea80cf6844e0?sessionid=
8
“AI”上密码 “量”出安全——密码应用与创新发展大会圆满举办
2026年6月12日上午,以“‘AI’上密码‘量’出安全”为主题的密码应用与创新发展大会在上海世博展览馆2号馆成功举办。本次大会由上海市密码管理局作为指导单位,上海市国际技术进出口促进中心与东浩兰生(集团)有限公司联合主办,上海市、北京市、陕西省、安徽省、杭州市、宁波市等省市商用密码协会承办,主要聚焦两大方向:一是密码与人工智能的融合创新发展,以及抗量子密码等前沿技术的创新突破与产业化落地实践;二是立足高水平对外开放新格局,探讨密码产业出海的核心痛点与破解路径,研究密码检测认证国际化发展的新思路与新举措。国家密码管理局有关领导出席并作政策解读,来自全国六省市密码管理部门、上海市有关单位负责同志,以及密码领域的专家学者、企业代表共580人参加了本次大会。
原文链接:
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
分享让更多人看见
文字作者:穆潇

