文章总结： 近期网络安全热点事件包括政策法规更新如《国家网络安全事件报告管理办法》要求关键信息基础设施运营者在重大事件后1小时内上报，新修订《网络安全法》新增AI安全条款并提高处罚至200万元；安全事件涉及Aisuru僵尸网络创29.7TbpsDDoS攻击纪录、朝鲜黑客利用React2Shell漏洞部署EtherRAT木马、DockerHub容器镜像泄露密钥等，企业需加强数据安全合规和漏洞防护以降低风险。 综合评分： 74 文章分类： 政策法规,安全事件,漏洞分析,威胁情报,数据安全

近期网络安全热点事件

CE安全圈

2025年12月16日 09:45 北京

近期网络安全热点事件△▲

政策法规与标准

《国家网络安全事件报告管理办法》：2025年9月15日发布，11月1日正式实施。该办法共十四条，核心要求包括关键信息基础设施运营者遭遇重大网络安全事件时，需在 1 小时内快速上报；对隐瞒、谎报、缓报事件的主体，最高可处其年度营业额5%的罚款；同时开通12387多渠道报告平台，方便各类主体上报事件，适用全行业，尤其重点覆盖关键信息基础设施、金融、政务等领域。

新修订《网络安全法》：2025年10月28日经全国人大常委会表决通过，将于2026年1月1日起实施。本次修订新增AI安全治理相关条款，细化个人信息保护规范，大幅提高对违法行为的处罚力度，最高罚款提升至200万元，还明确了党的领导原则，适用于所有网络运营者，AI企业、数据处理机构需重点关注。

6项网络安全等级保护标准：2025年10月23日发布，2026年2月1日实施。这6项标准涵盖边缘计算、大数据、IPv6 等新兴技术领域的扩展要求，填补了这些领域的等保规范空白，明确了IPv6、区块链等技术应用场景下的安全测评指标与防护实施规范，适用于所有需要开展等保测评的单位，特别是新技术应用企业。

《网络数据安全风险评估办法（征求意见稿）》：2025年12月6日发布。意见稿明确，重要数据处理者需每年开展网络数据安全风险评估；若发生重大数据泄露等严重事件，需委托具备资质的认证机构开展专项评估；评估结果需在15日内报备相关主管部门，适用于所有数据处理者，重点针对重要数据与个人信息处理主体。

安全事件

Aisuru僵尸网络创29.7Tbps DDoS攻击纪录：该僵尸网络在近三个月内累计发起1304次DDoS攻击，此次峰值流量达29.7Tbps，攻击持续69秒，采用UDP地毯式轰炸目标端口的方式，对全球网络基础设施的稳定运行构成严重威胁，波及多个国家和地区的企业与机构网络。

朝鲜黑客利用React2Shell漏洞部署EtherRAT：黑客组织借助React服务器组件的React2Shell漏洞，针对Linux系统植入新型远程访问木马EtherRAT，疑似以科技、金融等行业企业为目标，窃取企业内部敏感数据与商业机密，已有多家企业报告系统异常与数据泄露风险。

Docker Hub容器镜像泄露敏感密钥：安全机构扫描发现，Docker Hub平台上有10456个容器镜像存在敏感密钥泄露问题，涉及云服务密钥、数据库密码等，这些泄露的密钥可能被不法分子利用，发起针对性攻击，威胁使用相关镜像的企业系统与数据安全。

吉林某医药公司数据安全 “四大皆空” 被罚：长春公安网安部门检查发现，该公司存储大量公民个人信息却未履行数据安全保护义务，存在无制度、无培训、无技术防护、服务器直接暴露互联网的问题，因违反《数据安全法》相关规定被依法处罚，为行业敲响数据安全合规警钟。

LangChain Go语言版高危漏洞：LangChain的Go语言实现版本曝出CVE-2025-9556高危漏洞，攻击者可通过构造提示词嵌入指令，利用漏洞实现任意文件读取，窃取系统敏感文件，影响使用该框架的AI应用与企业系统安全。

网络安全与运维事业部

查看原文：《近期网络安全热点事件》