文章总结： 12月工控安全态势严峻。国内出台能源数据管理及风险评估新规，美军零信任2.0延伸至OT。安全事件方面，Chrome与Node.js曝高危漏洞，委内瑞拉石油及罗马尼亚水务遭勒索重创。蜜罐数据显示工控协议攻击量普涨。建议企业立即修补漏洞，深化IT/OT网络隔离，利用蜜罐提升威胁感知。 综合评分： 88 文章分类： 网络安全,威胁情报,政策法规,漏洞预警,数据泄露

---

谛听 工控安全月报 | 12月

谛听网络安全团队

谛听ditecting

2026年1月10日 08:30 辽宁

12月工控安全月报目录

–  谛听  –

01 工控安全相关政策

1. 国家互联网信息办公室发布《网络数据安全风险评估办法（征求意见稿）》
2. 国家市场监督管理总局、国家标准化管理委员会发布国家标准《数据安全技术 电子产品信息清除技术要求》
3. 全国信息安全标准化技术委员会发布并公开征求多项《网络安全标准实践指南》
4. 国家能源局印发《能源行业数据安全管理办法（试行）》
5. 五角大楼拟发布《零信任战略2.0》：开启从IT到OT的全域安全变革
6. 葡萄牙修订《网络犯罪法》：为善意安全研究确立法律“安全港”

02 工控安全相关事件

1. Google Chrome披露多个高危漏洞
2. 250万条数据流出：大众汽车印度经销商CRM后台遭攻破并挂牌售卖
3. 美军发布GenAI.mil平台：开启军事AI全域部署与“AI优先”文化变革
4. 委内瑞拉国家石油公司遭勒索攻击，核心系统瘫痪致1100万桶原油出口受阻
5. 流行Node.js库systeminformation曝高危漏洞
6. Linux内核首个Rust代码漏洞曝光
7. 罗马尼亚国家水务局遭勒索软件重创：千台系统瘫痪，关键基础设施防护紧急升级
8. 美国启动AI经济安全“双中心”计划

03 蜜罐数据分析

04 俄罗斯、乌克兰联网工控设备分析

d i t e c t i n g

01

工控安全相关政策

01 国家互联网信息办公室发布《网络数据安全风险评估办法（征求意见稿）》

12月6日，国家互联网信息办公室发布《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》）。作为完善国家数据治理体系的关键举措，《办法》通过配套官方评估模板，明确了三大核心监管要求：一是实施差异化分类评估机制，规定重要数据处理者需开展年度评估，而一般处理者则以三年为期，确保监管资源聚焦于关键工业与民生领域；二是强化评估过程的独立与合规，要求第三方机构必须取得资质并实施“轮换”机制，严禁连续三次以上评估同一对象，防范审计合规流于形式；三是实现多重安全制度的深度衔接，鼓励将风险评估与网络安全等级保护测评、个信合规审计等结果互认，避免重复建设。该《办法》将数据全生命周期的风险排查转化为标准化框架，为工业企业识别生产数据、运维数据中的安全隐患并构建本质安全防御体系提供了坚实的法理支撑。

参考链接：

https://www.cac.gov.cn/2025-12/06/c_1766578179367262.htm

02 国家市场监督管理总局、国家标准化管理委员会发布国家标准《数据安全技术 电子产品信息清除技术要求》

12月13日，国家市场监督管理总局、国家标准化管理委员会正式发布强制性国家标准GB 46864-2025《数据安全技术 电子产品信息清除技术要求》（以下简称《标准》）。作为保障数据终端安全的关键技术准则，《标准》针对电子产品在回收、转让或废弃环节可能产生的安全隐患，明确了三大核心技术规范：一是确立了多介质适配的深度清除指标，针对机械硬盘、固态闪存等不同存储介质，制定了适配物理特性的覆盖写入与擦除算法，确保数据达到不可恢复的程度；二是标准转换了全流程的安全合规流程，规范了从信息识别、实施清除到效能验证的操作指南，严防生产控制数据、运维凭证或敏感个人信息随硬件流入二手市场；三是硬化了供应链末端的管理责任，要求设备商与处理机构必须具备符合标准的清除验证能力。《标准》的发布，标志着我国网络安全防护由“运行期”向“全生命周期”的进一步延伸，为构建安全可控的工业设备循环生态体系提供了硬性合规准绳。

参考链接：

https://www.tc260.org.cn/portal/article/2/7301309fb648406baa4bdfc5010faabe

03 全国信息安全标准化技术委员会发布并公开征求多项《网络安全标准实践指南》

12月22日，全国信息安全标准化技术委员会发布并公开征求多项《网络安全标准实践指南》（以下简称《指南》）意见，旨在解决数据流转与系统联网中的实战安全难题。本次指南整合了三大核心安全维度：一是破局区域跨境安全互认，针对粤港澳大湾区（内地、澳门）制定个人信息跨境处理保护要求，通过统一标准促进区域内数据有序流动，支撑大湾区高质量发展；二是细化数据精准识别与治理，发布网络数据标签标识技术规范，落实《网络数据安全管理条例》，指导处理者利用标签技术实现数据资产的分类分级受控与全流程追溯；三是固化数据库联网安全底座，针对数据库接入公网后的脆弱性，明确了加密传输、认证鉴权等技术与管理红线，严防因防护不足导致的工控或关键政务数据泄露。这一系列《指南》的推出，标志着我国网络安全标准化工作正从“通用合规”向“特定场景”深度延展，为构建本质安全的数字工业体系提供了关键的标准化插件。

参考链接：

https://www.tc260.org.cn/portal/article/2/3f38914c88dc4b0a8d98d9b8d1757615

https://www.tc260.org.cn/portal/article/2/e0506fe23d42474eb42c2b6c396a8230

https://www.tc260.org.cn/portal/article/2/d5119a2f1df34089a94cba6e7e49cc7d

04 国家能源局印发《能源行业数据安全管理办法（试行）》

12月8日，国家能源局正式印发《能源行业数据安全管理办法（试行）》（以下简称《办法》），将于2026年7月1日起施行。作为落实《数据安全法》的行业关键准则，《办法》深度聚焦能源生产、储运等工控核心环节，体现三大安全亮点：一是确立精细化分类分级体系，将能源数据划分为一般、重要及核心三级，明确关系国计民生的核心数据需实施动态管理与最严防护；二是硬化技术合规与准入底线，要求处理重要数据的信息网络落实三级及以上等保，核心数据原则上对标等保四级，并严禁涉及重要数据的系统运维项目违规转包、分包；三是构建闭环监测与溯源机制，规定重大风险须在1个工作日内上报，且核心数据流转日志留存不少于三年。《办法》的发布，为能源领域数字化转型中的自主可控与本质安全提供了清晰的合规指引与制度基石。

参考链接：

https://www.gov.cn/zhengce/zhengceku/202512/content_7051044.htm

05 五角大楼拟发布《零信任战略2.0》：开启从IT到OT的全域安全变革

12月9日，美国国防部披露正在制定新版零信任战略，即《零信任战略2.0》（以下简称《战略2.0》），预计于2026年3月正式发布。该战略标志着美军网络安全架构从单纯的IT网络向运营技术（OT）、武器系统及国防关键基础设施的全域跨越，主要聚焦三大核心：一是实现全维度防御覆盖，首次将零信任原则引入物联网及物理侧关键资产，旨在消除传统IT边界外的安全盲区；二是构建差异化实施路径，沿用“目标级”与“高级”能力划分，针对OT系统高可用性、设备老旧等特殊约束，定制化设定84项目标级安全成果，确保防御措施不干扰物理进程；三是确立阶段化落地节点，明确OT系统需在2030财年末达到目标级零信任水平，并最终实现IT与OT安全监测工具的互操作与统一集成。《战略2.0》的推进将彻底重塑军事防御架构，为应对高级持续性威胁（APT）及保障工业控制系统安全提供坚实的法理与技术基石。

参考链接：

Pentagon plans to publish zero trust strategy 2.0 in early 2026

06 葡萄牙修订《网络犯罪法》：为善意安全研究确立法律“安全港”

12月4日，葡萄牙正式通过《网络犯罪法》修正案（以下简称《修正案》）。《修正案》第8.o-A条新增“因网络安全公共利益而不予处罚的行为”规定，为善意安全研究人员设立了法律“安全港”，主要聚焦三大核心准则：一是确立“善意研究”的合法化地位，明确豁免以发现漏洞、提升安全性为唯一目的的探测活动，保障研究人员在非营利前提下免受刑事指控；二是划定严苛的技术红线与行为边界，严禁使用DoS攻击、钓鱼或恶意软件等破坏性手段，要求操作必须限于探测漏洞所必需，不得中断业务或违反隐私保护法规；三是建立规范化披露与数据销毁机制，要求研究人员立即向系统所有者及国家网络安全中心（CNCS）报告，并在漏洞修复后10日内彻底删除相关敏感数据。《修正案》与美、德等国的立法趋势呼应，通过制度保障解决了安全人员“不敢测、怕违法”的后顾之忧，为构建主动防御的工业与网络安全体系提供了关键支撑。

参考链接：

https://diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401

d i t e c t i n g

02

工控安全相关事件

01 Google Chrome披露多个高危漏洞

12月3日，香港网络安全事故协调中心（HKCERT）发布警报，披露Google Chrome 浏览器存在多个安全漏洞，影响版本号低于143.0.7499.40的所有桌面端。本次安全更新共修复了13项由外部研究员发现的缺陷，其中包括3项高危漏洞（CVE-2025-13630，CVSSv3：8.8；CVE-2025-13631，CVSSv3：8.8；CVE-2025-13633，CVSSv3：8.8）。技术核心风险集中于V8引擎的类型混淆（Type Confusion）以及数字凭证组件中的释放后使用（Use-After-Free）缺陷。攻击者可通过诱导用户访问特制的恶意 HTML 页面，利用堆损坏或内存非法访问在目标系统上实现远程代码执行（RCE）。由于Chrome浏览器常作为工业控制系统（HMI）看板及办公网接入的核心工具，此类漏洞若被利用，将直接威胁生产管控层的数据安全。建议企业用户立即强制更新至 143.0.7499.40/41或更高版本，并定期审查浏览器沙箱配置。

参考链接：

https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop.html

https://www.hkcert.org/tc/security-bulletin/google-chrome-multiple-vulnerabilities_20251203

https://nvd.nist.gov/vuln/detail/CVE-2025-13630

https://nvd.nist.gov/vuln/detail/CVE-2025-13631

https://nvd.nist.gov/vuln/detail/CVE-2025-13633

02 250万条数据流出：大众汽车印度经销商CRM后台遭攻破并挂牌售卖

12月10日，网络安全论坛披露印度喜马偕尔邦官方车商曼迪大众汽车（Mandi Volkswagen）遭遇严重数据泄露事件。一名黑客声称已攻破该经销商内部网络，并公开兜售包含250万条记录的客户敏感数据库。此次泄露事件精准锁定了汽车销售供应链末端的数字化漏洞，引发行业广泛关注。技术调查显示，该批数据疑似源自经销商客户关系管理（CRM）系统后台的非授权访问。攻击者提供的样本证实，泄露信息涵盖了客户全名、详细家庭住址、邮编、移动电话及电子邮箱等核心隐私。安全专家研判，这批高价值的Pii数据一旦流入黑市，将为精准的电信诈骗和身份冒用提供“数据画像”，严重威胁客户资产安全。此事件反映出汽车行业分布式销售网络在数据防护投入上的不均衡，经销商层面的安全短板已成为黑客渗透企业生态的重要切入点。建议汽车生产商强制要求下游伙伴实施数据脱敏处理与多因素认证（MFA），并定期开展第三方系统渗透测试，以封堵管理后台的安全隐患，保障全产业链的数据合规。

参考链接：

https://www.scworld.com/brief/allegedly-stolen-indian-volkswagen-dealership-data-up-for-sale

03 美军发布GenAI.mil平台：开启军事AI全域部署与“AI优先”文化变革

12月12日，美国国防部正式推出企业级定制化AI平台GenAI.mil（以下简称GenAI.mil），标志着人工智能在军事领域的应用由实验试点转向大规模部署。该平台依托“政府版Gemini”构建，核心聚焦三大战略维度：一是构建高等级安全底座，平台具备IL5安全等级，可处理受控非密信息（CUI），并通过数据隔离机制确保军事数据不被用于商业模型训练；二是推动军事业务流深度融入，将AI能力下放至近300万国防雇员，涵盖备忘录起草、海量卫星情报分析及作战后勤建模等实战场景，旨在打造“AI优先”的决策文化；三是重塑军工技术生态协同，通过整合国防创新单位（DIU），加速Google、OpenAI等前沿商业技术跨越“死亡之谷”进入战场。尽管GenAI.mil在提升效率方面展现出巨大潜力，但初期部署中暴露的指导规范缺失、数据“黑箱”信任赤字及潜在的数据污染风险，仍是其向高风险战术任务延伸的关键挑战。GenAI.mil的启动预示着“军工-硅谷”AI复合体正式成型，将深刻定义未来战场的数字战斗节奏。

参考链接：

The era of GenAI.mil is here. Users have mixed reactions and many questions.

04 委内瑞拉国家石油公司遭勒索攻击，核心系统瘫痪致1100万桶原油出口受阻

12月13日，委内瑞拉国家石油公司（PDVSA）遭受重大勒索软件攻击，导致其核心业务管理系统全面瘫痪。截至12月15日，攻击已造成负责原油出口审批、装船指令生成及物流调度的行政网络被迫离线。尽管官方声称生产未受影响，但实地监测显示，由于出口终端操作系统中断，约1100万桶原油及成品油的装载作业被迫延迟，多艘油轮在主要码头滞留。技术层面，PDVSA在检测到异常后立即启动应急响应，强制断开所有设备与公司网络的连接并暂停外部接入。目前，公司基层单位正通过纸质流程维持低效运行。此次事件凸显了能源行业在数字化转型中“管理侧风险向下渗透”的典型特征，即攻击者通过封锁IT层管理链条，实现对物理层供应链的间接遏制。建议石油石化企业深化IT与OT网络的逻辑隔离，构建覆盖数据容灾与异常行为监测的纵深防御体系，并定期开展针对关键业务场景的应急演练，以确保在系统失效时保障生产与供应的本质安全。

参考链接：

https://www.bleepingcomputer.com/news/security/cyberattack-disrupts-venezuelan-oil-giant-pdvsas-operations/

05 流行Node.js库systeminformation曝高危漏洞

12月18日，网络安全研究人员披露了流行Node.js系统信息库systeminformation中的一个远程代码执行（RCE）高危漏洞（CVE-2025-68154，CVSSv3.1：8.1）。该库在工业互联网看板、智能网关及边缘计算监控应用中被广泛用于采集硬件及资源状态，下载量极大。漏洞根源在于其fsSize()函数在Windows环境下未能对用户输入的参数进行严格清洗，导致攻击者可通过注入恶意shell字符执行任意命令。由于该漏洞允许未经身份验证的远程攻击者在目标宿主机上获取系统级权限，其极易被勒索软件团伙利用，通过受损的工业控制平台发起内网横向渗透或数据窃取。目前，所有版本不高于5.27.13的组件均受影响。专家强烈建议相关开发者立即将该库升级至5.27.14版本，并对所有涉及系统指令调用的用户输入实施严格验证。在工业场景中，考虑到部分监测台长期暴露于网络且更新滞后，企业应优先通过Web应用防火墙（WAF）拦截非法参数请求，以封堵针对关键生产数据的攻击路径。

参考链接：

Critical Vulnerability in Popular Node.js Library Exposes Windows Systems to RCE Attacks

https://nvd.nist.gov/vuln/detail/CVE-2025-68154

06 Linux内核首个Rust代码漏洞曝光

12月20日，Linux内核社区正式披露了首个存在于其Rust语言实现代码中的安全漏洞（CVE-2025-68260，CVSSv3：Awaiting Analysis）。该漏洞的发现标志着Linux引入Rust语言以提升内核安全性后的“内存安全”神话首次被打破。技术细节显示，漏洞主要影响Android Binder驱动程序的Rust重新实现部分（rust_binder）。其根源在于对底层链表节点移除操作中的“不安全”代码块逻辑处理不当，在高并发环境下会触发竞态条件（Race Condition），导致双向链表的prev/next指针发生损坏。攻击者可利用该缺陷诱发内核页错误，进而导致系统彻底崩溃或本地拒绝服务（DoS）。目前，该漏洞已在内核6.18.1及6.19-rc1版本中得到修复。此事件不仅验证了即使在强类型安全语言中，逻辑缺陷与底层不安全抽象仍是威胁工业级系统稳定性的关键因素，也提醒工业互联网及智能终端开发者应严格审查驱动程序中的Unsafe代码逻辑，并建议用户尽快升级至受支持的稳定版内核以规避风险。

参考链接：

Rust’s First Breach: CVE-2025-68260 Marks the First Rust Vulnerability in the Linux Kernel

https://nvd.nist.gov/vuln/detail/CVE-2025-68260

07 罗马尼亚国家水务局遭勒索软件重创：千台系统瘫痪，关键基础设施防护紧急升级

12月20日，罗马尼亚国家网络安全局（DNSC）证实，该国水资源管理部门（Apele Române）遭遇大规模勒索软件攻击，导致全国11个流域管理机构中的10个受到波及。该攻击造成约1,000个IT系统瘫痪，受影响资产涵盖地理信息系统（GIS）服务器、数据库、域名服务器（DNS）以及电子邮件和Web服务器。技术分析显示，攻击者并未通过传统恶意载荷，而是利用Windows内置工具BitLocker对文件实施恶意加密，并留下勒索信要求在7天内开启谈判。尽管IT网络全面停摆导致官方网站离线，但涉及水坝及供水监测的运营技术（OT）相关能力未受波及，水利工程作业已转由现场人员通过本地及语音通讯维持。针对此事件，罗马尼亚已紧急启动程序，将此前未纳入体系的水务网络整合进国家级关键信息基础设施（CII）保护系统，利用智能化预警技术弥补防御盲区。DNSC重申不支付赎金政策，并建议相关机构严格执行IT与OT环境隔离，加强对BitLocker等高权限系统管理工具的异动监测。

参考链接：

https://www.theregister.com/2025/12/22/around_1000_systems_compromised_in/

08 美国启动AI经济安全“双中心”计划

12月22日，美国国家标准与技术研究院（NIST）联合非营利研发机构MITRE宣布，将斥资2000万美元建立两个新的人工智能研究中心，标志着美AI战略从宏观准则转向关键赛道的“能力化部署”。该计划精准锚定两大核心：一是提升先进制造业生产力，通过“制造业AI经济安全中心”驱动技术回流，确立经济竞争优势；二是加固关键基础设施网络安全，设立专用中心利用AI实现对水电、通信等关键运营技术（OT）系统的实时威胁监测与自动化响应。MITRE将贡献其ATT&CK、CALDERA等开源安全框架及联邦AI沙箱，加速从实验室到原型方案的转化。此外，NIST拟在五年内追加7000万美元投资于“人工智能韧性制造研究所”。业内对此举普遍欢迎，但专家警示需解决“最后一公里”协同问题，确保水务、电力等一线运营方在技术决策中拥有话语权，防止研究成果脱离复杂的物理环境现实。此举预示着全球AI竞赛已由消费级应用转向重塑国家工业基座与安全防御的事实标准较量。

参考链接：

https://www.nist.gov/news-events/news/2025/12/nist-launches-centers-ai-manufacturing-and-critical-infrastructure

d i t e c t i n g

03

蜜罐数据分析

“谛听”工控蜜罐在12月份收集到大量针对不同工控协议、来自不同地区的工控网络攻击数据。图1、图2和图3中展示了经过统计和分析后的数据，以下将对各个图表进行简要说明。

图1展示了12月份和11月份受到攻击量最多的10种工控协议蜜罐的对比情况。从图中可以看到，12月份各工控协议蜜罐受到的攻击数量相较于11月份均有所上涨。

图1.  12月份和11月份蜜罐各协议攻击量对比TOP10

（数据来源“谛听”）

图2展示了12月份和11月份攻击量最多的10个国家的对比情况。从图中可以看到12月份荷兰、新加坡和美国对工控蜜罐的攻击量有所下降，其他国家针对工控蜜罐的攻击量均有所上升。

图2.  12月份和11月份其他各国对蜜罐的攻击量对比TOP10

（数据来源“谛听”）

由图3可以看出，12月份来自浙江的流量最多，来自辽宁的流量位居第二，来自上海的流量位居第三。排名靠前的省市基本为沿海区域或工业发达区域，此外其他省份的流量有所波动。

图3.  12月份中国国内各省份流量TOP10（数据来源“谛听”）

d i t e c t i n g

04

俄罗斯、乌克兰

联网工控设备分析

2025年12月，俄乌冲突的 “能源战 + 远程互击” 模式持续深化。俄军对乌电力系统及基础设施的导弹、无人机打击频次保持高位，乌西部与中部多座城市的能源供应稳定性受创；乌军则持续以远程无人机、海上无人艇突袭俄境内炼油厂、港口及油运枢纽，双方核心基础设施的防护与反制博弈愈发激烈。外交层面，美方主导的和平方案磋商陷入僵局，领土划分与安全保障条款的分歧难以弥合，乌方仍在积极争取西方更多防空与远程打击装备援助，同时坚守主权与核心安全利益底线。

为了深入了解俄罗斯和乌克兰的工控领域状况，团队持续关注并进行了探测，以获取被扫描设备的详细信息。

/ 2025年12月俄罗斯、乌克兰暴露工控设备相关协议 /

从图4乌克兰各协议暴露数量对比图中可以看出，12月与11月相比，AMQP、Siemens S7、Modbus 协议暴露数量增长，XMPP协议暴露数量下滑，其余协议暴露数量保持稳定。联网摄像头暴露数量小幅上升，由11月的812升至834。

图4.  11月、12月乌克兰各协议暴露工控资产数量对比

（数据来源“谛听”）

俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，与11月相比，12月AMQP、Modbus、XMPP协议暴露数量下降，Moxa Nport协议暴露数量呈现增多态势，其他协议暴露数量稳定，没有显著变化。联网摄像头暴露数量有所下降，由 11 月的 1186 降至 1172。

后续团队将对相关信息持续关注。

图5.  11月、12月俄罗斯各协议暴露工控资产数量对比

（数据来源“谛听”）

end

扫码关注我们

微信号｜谛听ditecting

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：谛听ditecting 谛听网络安全团队《谛听 工控安全月报 | 12月》