要闻速览

1、《网络安全技术 网络安全威胁信息评价方法》等3项国家标准公开征求意见

2、《国务院关于产业链供应链安全的规定》印发

3、美联邦通信委员会拟全面封杀中国电子设备检测实验室

4、ChatGPT惊现DNS隧道数据泄露漏洞

5、伊朗黑客针对美国关键基础设施发起 OT 定向攻击

6、多国加速未成年人社交媒体禁令，年龄验证成监管焦点

一周政策要闻

《网络安全技术 网络安全威胁信息评价方法》等3项国家标准公开征求意见

近日，全国网络安全标准化技术委员会归口的《网络安全技术 物理不可克隆功能安全技术规范》等3项国家标准现已形成标准征求意见稿。

根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，现将该3项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站(网址:https://www.tc260.org.cn/portal/suggestion)，如有意见或建议请于2026年6月8日24:00前反馈秘书处。

信息来源：全国数据标准化技术委员会 https://www.tc260.org.cn/portal/suggestion

《国务院关于产业链供应链安全的规定》印发

近日，《国务院关于产业链供应链安全的规定》（以下简称《规定》）正式公布，旨在防范产业链供应链安全风险，提升产业链供应链韧性和安全水平，维护经济社会稳定和国家安全。

《规定》共18条，核心内容包括：一是明确工作原则，贯彻总体国家安全观，统筹发展与安全，推进高水平对外开放，引导产业链合理布局，加强国际合作与核心技术攻关。二是建立健全安全制度，明确国务院各部门及地方政府的职责，针对关键领域建立信息共享、风险监测预警、防范及应急管理等制度，保障关键原材料、技术、设备等生产流通的稳定。三是规定反制措施及域外适用，针对外国或境外组织、个人损害我国产业链供应链安全的行为，建立安全调查制度，可采取相应反制措施；同时要求境内组织、个人执行反制措施，并依法处理违法开展信息收集活动的行为。

消息来源：中华人民共和国中央人民政府 https://www.gov.cn/zhengce/zhengceku/202604/content_7064838.htm

业内新闻速览

美联邦通信委员会拟全面封杀中国电子设备检测实验室

当地时间4月8日，美国联邦通信委员会（Federal Communications Commission，简称FCC）宣布，将于本月30日投票表决一项新提案，拟全面禁止中国实验室为出口美国的智能手机、相机、电脑等电子设备进行检测认证。

提案核心措施包括：对未与美国签署互认协议国家的实验室设两年过渡期并逐步淘汰；为美国或“互惠国”的“受信任实验室”开辟快速审批通道；同时升级全流程监管与执法体系。

这是美方前期限制措施的进一步升级。此前FCC已禁止23家中国政府的实验室参与检测，但指出多数中国实验室仍在合法运营。FCC主席声称全球超75%设备检测集中在不提供对等互惠的国家，威胁国家安全。

近期美方科技限制密集出台，包括拟全面禁止部分中国制造设备进口，甚至追溯撤销已获授权。去年12月已禁中国新款无人机，上月延伸至消费级路由器。业界预计此举将增加全球供应链合规成本与市场准入不确定性。

消息来源：安全内参 https://www.secrss.com/articles/89238

Windows 提权 0-day 代码公开，SYSTEM 权限沦陷

安全研究人员日前公开了一个针对Windows系统的零日本地权限提升漏洞利用程序，命名为“BlueHammer”，并附有完整PoC代码。该漏洞允许低权限用户将权限提升至SYSTEM最高级别，并可提取本地账户NTLM密码哈希值。受影响环境包括已安装最新更新的Windows 11系统。

披露动机源于研究人员对微软安全响应中心处理流程的不满，指责其因裁撤经验人员导致工作质量下降，并要求提交漏洞视频演示作为报告前提，最终报告未获解决。这种非协调公开披露虽能迫使厂商行动，但也使用户面临风险。

截至资讯发布，微软尚未发布官方补丁或CVE编号。建议采取临时缓解措施，如加强EDR监测、限制本地权限、增强日志记录等。

消息来源：看雪学苑 Windows 提权 0-day 代码公开，SYSTEM 权限沦陷

伊朗黑客针对美国关键基础设施发起 OT 定向攻击

2026年4月7日，美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、国家安全局（NSA）、环境保护署（EPA）、能源部（DOE）以及美国网络司令部下属的网络国家任务部队（CNMF）联合发布了一份紧急网络安全公告（AA26-097A），明确指出伊朗政府关联的“高级持续性威胁”（APT）行为者正在对面向互联网的运营技术（OT）设备发起系统性、破坏性的网络攻击。攻击目标包括由罗克韦尔自动化（Rockwell Automation）/艾伦-布拉德利（Allen-Bradley）制造的可编程逻辑控制器（PLC），以及可能涉及西门子S7等其他品牌的PLC。公告称，“此活动已导致美国多个关键基础设施领域的PLC发生中断”，攻击者通过“恶意交互项目文件”和“操纵人机界面（HMI）及监控与数据采集（SCADA）显示器上的数据”，造成了“运营中断和财务损失”。
专家指出：随着地缘冲突的持续，暴露在公网的工业控制系统正成为最容易遭受物理后果攻击的薄弱环节。

多国加速未成年人社交媒体禁令，年龄验证成监管焦点

近期全球多国相继推出或推进未成年人社交媒体使用限制政策，以应对网络欺凌、成瘾、心理健康风险等问题，澳大利亚率先落地相关法规，引发多国跟进。
澳大利亚于2025年12月成为全球首个禁止16岁以下儿童使用社交媒体的国家，封禁平台包括 Facebook、Instagram、TikTok、X、YouTube 等，未涵盖 WhatsApp 及 YouTube Kids。违规平台最高可处以 4950 万澳元罚款，政府要求平台采用多重年龄验证方式，不得仅依赖用户自主申报。
丹麦计划禁止15岁以下未成年人使用社交媒体，相关法案有望2026年中期生效，并将配套年龄验证工具。法国通过法案禁止15岁以下儿童使用社交平台，待参议院最终表决。德国、希腊、印尼、马来西亚、斯洛文尼亚、西班牙、英国等也相继提出或推进类似禁令，限制年龄多为15至16岁，部分国家同步强化平台责任与内容监管。
此类政策虽旨在保护未成年人，但也引发隐私侵犯、政府过度干预等争议，Amnesty Tech 等机构认为禁令效果有限且忽视年轻群体现实需求。尽管存在反对声音，全球范围内针对未成年人的社交媒体监管立法仍持续推进。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！