CCERT月报：新监管要求下高校网络安全工作要点-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > CERNET之窗 > CCERT

CCERT月报：新监管要求下高校网络安全工作要点

2026-03-02 中国教育网络

　　新修订的《中华人民共和国网络安全法》自2026年1月1日起施行。新法首次将AI安全与发展纳入法律规范范畴，要求完善AI伦理规范，加强风险监测评估和安全监管，促进AI应用和健康发展。同时，新法还支持运用AI等新技术创新网络安全管理方式，提升网络安全保护水平。在责任体系方面，新法大幅提高了违法行为的处罚力度，构建了更具威慑力的梯度处罚体系。此外，新法进一步强化了个人信息保护要求，明确网络运营者对其收集的用户信息必须严格保密，并建立健全用户信息保护制度，旨在积极应对网络安全风险挑战，筑牢国家网络安全屏障。

　　AI驱动的攻击催生了多种新型攻击手段。攻击者利用AI大大降低了攻击成本，增加了安全软件的识别难度，如何使用AI防护能力对抗AI带来的攻击可能是未来的发展趋势。

2025年12月-2026年1月CCERT安全投诉事件统计

　　近期新增严重漏洞评述

　　微软2026年1月的例行安全更新共包含微软产品的安全漏洞112个。按等级分类包含8个高危、104个重要等级。这些漏洞中需要特别关注的是：

　　Windows桌面窗口管理器信息泄露漏洞（CVE-2026-20805）。Windows系统的DesktopWindowManager（DWM）组件负责绘制Windows系统显示屏上的所有内容，攻击者可以通过DWM的ALPC接口发送特制请求来利用该漏洞，成功利用漏洞可以读取关键内存布局信息。目前该漏洞已经检测到在野的攻击，建议用户尽快进行补丁更新。

　　安全功能绕过漏洞(CVE-2026-21265)。WindowsSecureBoot在UEFI的KEK和DB中存储了Microsoft证书，这些2011年的证书将在2026年晚些时候到期，微软公司早在2023年就发布了相关证书的更新，但仍然有部分设备因为更新组件的原因，无法及时更新证书，这可能导致系统SecureBoot功能失效。建议用户尽快手动进行升级。

　　WindowsInstaller权限提升漏洞（CVE-2026-20816）。WindowsInstaller在执行安装或修复流程时，会先检查目标文件或目录的状态与权限，随后再以高权限对相应目录执行创建、替换或写入等操作。由于程序在检查与实际执行之间缺少有效的约束机制，低权限本地用户可以在检查结束后修改操作的目录指向，这将导致攻击者以SYSTEM的权限执行任意命令。

　　WindowsNTFS远程代码执行漏洞（CVE-2026-20840）。WindowsNTFS在处理特定文件系统操作时存在堆内存缓冲区溢出漏洞，经过身份认证的普通权限用户可以利用该漏洞在系统上执行任意命令。

　　Office零日漏洞（CVE-2026-21509）。Office2016、2019、2021及Office365中存在一个零日漏洞。目前该漏洞已经在网络上被公开利用，微软也发了紧急更新修补该漏洞。

　　ApacheStruts框架的XWork-Core组件未能对xml解析器进行正确的安全配置，存在一个外部实体注入漏洞（CVE-2026-68493），成功利用此漏洞后，可能造成敏感数据被窃取、服务器端请求伪造（SSRF）以及拒绝服务（DoS）等严重后果，建议使用了Struts2的管理员尽快进行升级。

　　GNUInetUtilsTelnetd权限绕过漏洞（CVE-2026-24061）。GNUInetUtilsTelnetd是GNUInetUtils套件中的远程登录服务守护进程，为客户端提供Telnet协议的远程接入能力。建议用户尽快排查仍使用Telnet的设备，使用SSH服务进行替代，若无法替代，需使用防火墙将服务限制在可控范围内。

　　Node.js用于解析二进制文件的binary-parser解析库中存在代码注入漏洞（CVE-2026-1245）。若用户在使用Node.js的binary-parser<2.3.0版本解析二进制文件，建议尽快将binary-parser库升级到2.3.0版本之上。

　　安全提示

　　为应对新的网络安全监管形势，高校应结合《网络安全法》《个人信息保护法》以及教育部对高校网络安全工作的要求，做好如下网络安全工作：一、健全管理组织，压实责任体系；二、落实网络安全等级保护（等保2.0）制度；三、强化个人信息和数据安全管理；四、加强供应链与开源软件安全治理；五、建立监测预警、事件响应与演练机制；六、开展全员网络安全意识与技能培训；七、针对AI驱动的新风险提前布局。

　　来源：《中国教育网络》2026年1月刊

　　作者：郑先伟（中国教育和科研计算机网应急响应组）

　　责编：陈茜

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。