《奇安信：2023中國政企機構數據安全風險研究報告（44頁）.pdf》由會員分享，可在線閱讀，更多相關《奇安信：2023中國政企機構數據安全風險研究報告（44頁）.pdf（44頁珍藏版）》請在三個皮匠報告上搜索。

1、 1 主要觀點 數據泄露是數據安全領域的核心問題。在 2023 年全球公開報道的 246 起數據安全事件中，數據泄露事件占比高達 67.5%，泄露數據超過 51.8TB，共計 103.8 億條。不過，媒體公開報道的數據泄露事件可能只是數據泄露問題的冰山一角。奇安信威脅情報中心監測顯示，2023年111月，僅在暗網及黑產平臺上交易的境內機構泄露數據就多達60.8TB，共計 720.4 億條，兩項指標雙雙超過全球媒體公開報道事件的統計數據。數據勒索的高額收益可能進一步推高政企機構數據泄露安全風險。研究顯示，越來越多的勒索團伙正在拋棄“加密勒索”這種傳統攻擊方式，而是轉向單純的“數據勒索”，即單純的

2、以竊取機密數據并威脅將之公開的方式向政企機構進行勒索。2023 年，全球贖金最高的 10 起勒索組織攻擊事件，平均勒索贖金高達 2397 萬美元，其中 7 起事件都是單純的數據勒索事件。數據勒索帶來的巨大收益很有可能會吸引越來越多的黑產團伙參與其中。個人信息是數據泄露和黑產交易的主要數據類型，嚴重危害公民和社會安全。在境內機構泄露的數據中，涉及個人信息的數據多達 586.8 億條，相當于 14 億中國人平均每人泄露了約 42 條個人信息數據。其中，互聯網、IT 信息技術和能源行業是泄露數據量最多的行業。網盤、文庫、代碼托管等互聯網知識共享平臺也是數據泄露的重要渠道，但尚未得到絕大多數政企機構的

3、充分重視。其中，金融行業對此類問題最為重視，而醫療衛生、互聯網和教育行業，通過互聯網知識共享平臺泄露數據的風險相對于其他行業更高。研究顯示，合作伙伴和內部人員是互聯網知識共享平臺數據泄露事件的主要“元兇”，二者之和占比達到 54.6%。加強合作伙伴管理和員工安全意識培訓，是數據安全的重要保障。API 安全是數據安全的重要一環，平均每家機構約有 206 個 API 接口會用來傳輸敏感數據。汽車制造業的“潛在”數據安全風險最大，其傳輸敏感數據的 API 接口數平均超過900 個，傳輸敏感字段多達 332 個，這兩項指標均是其他行業的 37 倍。同時，汽車制造業 API 接口傳輸的個人信息也最多，其

4、中涉及的自然人的數量，是金融、能源、醫療等行業的 3070 倍，可謂“遙遙領先”。由此可見，在智能網聯汽車的發展中，數據安全至關重要。解決數據跨境流轉問題，需要科學的規劃和必要的技術手段。調查顯示，盡管很多存在海外業務的機構已經在積極開展跨境數據流轉的治理工作，但仍普遍缺乏科學的、整體的數據安全規劃，特別是嚴重缺乏必要的技術手段。而對于絕大多數沒有海外分支機構的政企單位而言，往往沒有意識到其可能存在的跨境數據流轉風險。數據安全建設，應當遵循內生安全原則，從設計規劃之初就把數據分類分級、數據防泄露、防勒索、API 安全、跨境數據治理等關鍵問題列入整體規劃，確保數據安全工作與數字化建設同步規劃、同

5、步建設、同步運行，用系統性的方法解決數字系統的安全問題。摘 要 2023 年 1 月12 月，安全內參共收錄全球政企機構重大數據安全新聞事件 246 起，平均每月 20.5 起，其中，數據泄露事件為 166 起，占比 67.4%，泄露數據超過 51.8TB，共計 103.8 億條。2023 年 1 月12 月，全球政企機構重大數據安全公開事件中，18.6%為政府機構；其次是制造業，占比 15.9%為；生活服務行業排第三，占比 11.8%。數據安全事件發生的原因來看，將近八成安全事件是由于外部攻擊導致的，但也有 8.0%的重大數據安全事件是由于政企機構存在內鬼。在全球重大數據安全公開事件中，44

6、.1%的事件涉及個人信息；26.8%的事件涉及商業機密；9.1%的事件涉及政府機密。2023 年，奇安信威脅情報中心累計監測到境內政企機構數據泄露事件 144 起，共泄露數據超過 720.4 億條，合計約有 60.8TB。其中 61.1%的事件，泄露的數據涉及個人信息,合計約有 586.8 億條，相當于 14 億中國人平均每人泄露了約 42 條個人信息數據。另有41.7%的事件涉及商業機密。2023 年，網絡安全威脅情報生態聯盟（CEATI 聯盟）成員天際友盟共監測到互聯網知識共享平臺數據泄露事件 4760 起，涉及 16 個行業的 112 個家機構。其中，金融行業對此類問題最為重視，而醫療衛

7、生、互聯網和教育行業機構存在此類問題的風險更高。合作伙伴和內部人員是互聯網知識共享平臺數據泄露事件的主要“元兇”，二者之和占比達到 54.6%。2023 年，奇安信集團共為 128 家大型政企機構提供了 API 安全檢測服務。抽樣分析顯示，平均每家機構約有206個API接口會用來傳輸敏感數據，約占API接口總數的2.5%。不同行業機構的敏感數據傳輸情況有很大差異。其中，汽車制造業企業傳輸敏感數據的API 接口多達 931 個，涉及敏感字段多達 332 個，是其他行業的 37 倍。在針對 90 余個大型綜合性系統的跨境數據合規檢測中發現，從數據規模來看，在所有跨境傳輸的數據中，個人一般信息占比約

8、為 66.7%，敏感個人信息占比約為 3.7%，重要數據占比約為 29.6%。在跨境傳輸的敏感個人信息中，姓名、手機號、車架號、電子郵件地址、家庭住址、身份證號等敏感關鍵字段出現最為頻繁。關鍵詞：關鍵詞：數據安全、數據要素、公開事件、互聯網平臺、數據泄露、數據破壞、數據篡改、勒索、商業機密、個人信息 目 錄 研究背景.1 綜合形勢篇.2 第一章 全球公開數據安全事件形勢分析.2 一、事件類型.2 二、行業分布.3 三、事發原因.3 四、事件影響.4 數據泄露篇.7 第二章 境內機構數據泄露情報監測分析.7 一、行業分布.7 二、泄露類型.7 三、個人信息.9 四、關鍵字段.10 五、典型案例與

9、安全建議.11 第三章 互聯網平臺數據泄露監測分析.13 一、行業分布.13 二、泄露類型.14 三、泄露原因.15 四、典型案例.15 運營風險篇.19 第四章 API 敏感數據傳輸風險分析.19 一、API 安全檢測行業分布.19 二、敏感數據傳輸風險.20 三、個人信息傳輸風險.21 四、各行業敏感字段舉例.21 五、典型案例與安全建議.22 第五章 數據跨境流轉安全風險分析.24 一、跨境數據流轉監測.24 二、關鍵敏感字段.25 三、行業對比.26 四、典型案例與安全建議.26 附錄 1 2023 數據安全政策與法規建設盤點.28 一、十六部門聯合發布指導意見，1500 億市場呼之欲

10、出.28 二、數字中國建設頂層規劃將數字安全被列為“兩大能力”之一.28 三、央行發布數據安全管理辦法，填補該領域制度空白.29 四、財政部發布重磅文件，數據資產入表全面啟動.29 五、各地開通公共數據授權運營，“數據二十條”加速探索落地.30 六、促進開放和發展，網信辦出臺數據跨境流動規定.30 七、國家數據局正式揭牌，數據要素萬億市場加速開啟.30 八、北京數據基礎制度先行區啟動運行.31 九、工信部起草數據安全行政處罰裁量指引.32 十、國家數據局首提“數據要素”，2000 億市場激活安全需求.32 附錄 2 2023 年全球數據泄露事件泄露數據排行榜.33 附錄 3 2023 年全球數

11、據勒索事件勒索贖金排行榜.34 附錄 4 CEATI 聯盟.35 附錄 5 奇安信數據安全事業部.36 附錄 6 奇安信行業安全研究中心.37 附錄 7 天際友盟.38 1 研究背景 近年來，數據已成為產業發展的創新要素，不僅在數據科學與技術層次，而且在商業模式、產業格局、生態價值與教育層面，數據都能帶來新理念和新思維。大數據與現有產業深度融合，在人工智能、自動駕駛、金融商業服務、醫療健康管理、科學研究等領域展現出廣闊的前景，使得生產更加綠色智能、生活更加便捷高效，逐漸成為企業發展的有力引擎，在提升產業競爭力和推動商業模式創新方面發揮越來越重要的作用。一些信息技術領先企業向大數據轉型，提升對大

12、數據的認知和理解的同時，也要充分意識到大數據安全與大數據應用也是一體之兩翼，驅動之雙輪，必須從國家網絡空間安全戰略的高度認真研究與應對當前大數據安全面臨的復雜問題。如：數據安全保護難度加大、個人信息泄露風險加劇等。數據技術時代，數據成為業務發展核心動力，也成為黑客的主要目標。對于數據擁有者來講，數據泄露幾乎等同于經濟損失。在開放的網絡化社會，蘊含著海量數據和潛在價值的大數據更受黑客青睞，近年來也頻繁爆發信息系統郵箱賬號、社保信息、銀行卡號等數據大量被竊的安全事件。分布式的系統部署、開放的網絡環境、復雜的數據應用和眾多的用戶訪問，都使得大數據在保密性、完整性、可用性等方面面臨更大的挑戰。為更加充

13、分的研究政企機構數據安全風險，奇安信行業安全研究中心聯合、奇安信數據安全事業部、奇安信威脅情報中心、網絡安全威脅情報生態聯盟（CEATI）、天際友盟等研究機構，針對政企機構數據安全狀況及風險展開深入研究。本次研究分別從公開事件、數據泄露情報、數字品牌風險等幾方面，針對數據安全（包括數據泄露、數據篡改、數據破壞等）展開深入的研究。希望該項研究能夠對全國各地政企機構展開數據安全防護等建設規劃有所警示和幫助。2 綜合形勢篇 第一章 全球公開數據安全事件形勢分析 本章內容主要基于 安全內參 平臺收錄的全球范圍內公開的數據安全重大新聞事件展開全球數據安全形勢分析。一、事件類型 2023 年 1 月12

14、月，安全內參共收錄全球政企機構重大數據安全新聞事件 246 起，平均每月 20.5 起，其中，數據泄露事件為 166 起，占比 67.4%，泄露數據超過 51.8TB，共計 103.8 億條。數據安全事件主要包含數據泄露、數據破壞和數據篡改三大類型。其中，數據泄露問題已經逐漸成為核心痛點。從過去 3 年間，在全球所有公開的重大數據安全事件中，數據泄露事件的占比從 41.2%一路增長到 67.5%，而數據破壞事件的比例則從 42.0%下降到 11.4%。造成數據泄露事件占比持續攀升的原因主要有兩個方面：首先，全球化的地下黑產數據交易活動日趨頻繁和成熟，竊取和非法販賣數據不僅有利可圖，而且回報豐厚

15、，從而推動了數據泄露事件的持續高發。其次，數據泄露事件往往會給社會治安造成嚴重影響，因此也日益受到媒體的關注?！案戒?2 2023 年全球數據泄露事件泄露數據排行榜”，給出了 2023 年全球公開數據安全事件中，數據泄露數量最多的 10 個安全事件。特別值得關注的是，勒索事件在所有數據安全事件中占比高達 27.2%，而且越來越多的勒索團伙開始從加密勒索轉向數據勒索。傳統的勒索組織主要通過加密數據的方式向受害者勒索贖金。2020 年以后，部分定向勒索組織開始采用加密勒索與數據勒索相結合的方式進行雙重勒索，即勒索團伙在加密數據之前，先將大量商業機密數據竊取出來，如果受害者不肯支付贖金，勒索者不但不

16、會向受害者提供解碼密鑰，還會威脅公開其竊取的商業機密數據。3 但 2023 年的情況顯示，已經有越來越多的勒索活動完全放棄了加密數據的傳統攻擊方式，而是轉為單純的以竊取機密數據并威脅公開的方式進行數據勒索。2023 年，全球贖金最高的10起勒索組織攻擊事件（詳見“附錄3 2023年全球數據勒索事件勒索贖金排行榜”），平均勒索贖金高達 2397 萬美元，其中 7 起事件都是單純的數據勒索事件。按照某些勒索團伙的說法，放棄加密數據的攻擊方式，可以盡可能的減小勒索活動對社會面的影響，即在不直接影響生產的情況下完成勒索。數據勒索帶來的巨大收益很有可能會吸引越來越多的黑產團伙參與其中。二、行業分布 20

17、23 年 1 月12 月，全球政企機構重大數據安全公開事件中，18.6%為政府機構；其次是制造業，占比 15.9%為；生活服務行業排第三，占比 11.8%。下圖給出了 2023 年 1 月12月，全球政企機構重大數據安全事件所涉及到的十大行業分布。制造業的數據安全問題應當引起特別的關注。傳統制造業企業很少產生數據，也很少收集、存儲和計算數據。但智能制造技術的持續發展，使得部分制造業企業的生產過程全面數字化。特別是智能汽車、智慧安防、智能家居、可穿戴設備等新型聯網工業品的普及，使得相關制造業企業逐步轉型成為重要的數據收集者和數據運營者，并且這些數據中往往包含大量的用戶個人信息，數據一旦泄露，會嚴

18、重危害公共安全。三、事發原因 從 2023 年 1 月2023 年 12 月，政企機構重大數據安全事件發生的原因來看，將近八成安全事件是由于外部攻擊導致的，但也有 8.0%的重大數據安全事件是由于政企機構存在內鬼。存在漏洞是數據安全事件發生的重要原因之一。如果網絡應用或系統存在安全漏洞，攻擊者可以通過注入惡意代碼、反序列化、權限繞過等方式利用漏洞獲取用戶敏感信息，或通過發起拒絕服務攻擊超負荷消耗系統資源，使其無法正常運行或提供服務，對企業造成嚴重影響。4 內鬼作案也是數據安全事件發生的重要途徑。我們不僅要防外也要防內，做好數據操作的審計，防止非授權信息讀取，防止越權的敏感信息讀取，包括一些過度

19、的數據讀取其實也是一種泄露，比如：在辦一些業務的時候本來只用知道該用戶的姓名、性別及年齡，但是在相關資料上還能看到其聯系方式、工作單位等信息，這樣的過度讀取或者暴露個人信息的行為也不合適。如上圖所示，從攻擊者目的來看，60.2%的外部威脅目的為數據竊??；其次為數據破壞，占比 11.4%。綜合數據安全事件類型與發生原因來看，72.7%的數據泄露事件由外部威脅導致。外部威脅（外部攻擊）是造成數據泄露、數據破壞與數據篡改的最主要原因?？梢?，外部威脅是數據安全事件發生的最大威脅。四、事件影響 根據數據的敏感度，我們把政企機構泄露的信息劃分為以下幾個類型：1）個人信息：公民個人身份、賬號卡號及行為信息等

20、數據，主要包括：姓名、身份證、性別、婚姻狀況、固定資產、電話、地址、郵箱、賬號、密碼、工作、出行、防疫、保險信息等。本節包括實名信息（如姓名、電話、身份證、銀行卡、家庭住址等信息）、賬號密碼（如：各類網站登陸賬號密碼、游戲賬號密碼、電子郵箱賬號密碼等）、行為數據、保單信息、人臉指紋等個人信息。2）商業機密：企業經營活動中的商業機密信息，主要包括：客戶信息、員工信息、投資人信息、經銷商信息、業務合同、工程項目、內部報告、研究成果、核心數據庫數據等。3）政府機密：有關政府部門的內部機密信息，主要包括：郵件、會議、重大項目、重要文件、國家事務決策文件等信息。4）軟件源代碼：企業開發的軟件或網站系統平

21、臺的源代碼，一般屬于企業的核心研發機密。5 5）用戶數據：用戶使用互聯網軟件或服務時，產生或存儲的個人信息以外的其他數據。從 2023 年 1 月2023 年 12 月全球重大數據安全事件發生的主要類型來看，44.1%的事件涉及個人信息；26.8%的事件涉及商業機密；9.1%的事件涉及政府機密。具體分布如下圖所示。從安全事件泄露數據的數據包大小來看，商業機密類信息泄露數據規模最大，至少有超過 41586.5GB 的數據被泄露，占比 78.9%；個人信息緊隨其后，有 8365GB 的個人信息被泄露，占比 15.9%；政府機密排名第三，占比 6.4%。具體分布如下圖所示。從安全事件泄露數據的數據條

22、數來看，全球范圍內，僅數據泄露大事件提及到的被泄露的個人信息便有 99.3 億條；政府機密 11.0 億條；商業機密 2.5 億條。具體分布如下圖所示。6 7 數據泄露篇 第二章 境內機構數據泄露情報監測分析 2022 年 3 月以來，奇安信威脅情報中心對海內外多個暗網及黑產交易平臺上的地下數據交易情況進行了系統性的監測，并對其中涉及中國境內政企機構泄露數據的交易信息進行了評估和驗證。2023 年 1 月至 2023 年 11 月，奇安信威脅情報中心累計監測到境內政企機構數據泄露事件 144 起。其中，明確給出了泄露數據數量的事件共有 137 條，約占事件總數的 88.2%，合計約含有超過 7

23、20.4 億條各類數據；明確給出了泄露數據數據包大小的交易信息共有 126條，約占事件總數的 87.5%，合計約有 60.8TB 數據信息。在本章報告中，我們將以明確給出了泄露數據數量或數據包大小的交易信息為抽樣樣本，對交易信息的各類分布情況進行全局分析。一、行業分布 境內機構數據泄露的事件共涉及 15 個不同的行業。其中，涉及 IT 信息技術行業企業數據的事件占比 22.9%，排名第一。其次是互聯網行業，占比為 16.7%。制造業排名第三，占比為 13.9%。從泄露數據的數量來看，互聯網行業排名第一，泄露數據近 235.0 億條，占比32.6%。其次是 IT 信息技術，182.2 億條，占比

24、 25.3%。能源行業排第三，73.9 億條，占比10.3%，具體分布如下圖所示。二、泄露類型 奇安信威脅情報中心對數據泄露情報進行了比較詳細的類型標注。從數據本身的性質和類型來看，境內機構泄露的數據主要包括個人信息、商業機密、政府機密、軟件源代碼、賬 8 號密碼、內部文件、交易數據和系統日志等類型。前文已經對個人信息、商業機密、政府機密、軟件源代碼的含義進行了介紹，這里補充說明一下賬號密碼、內部文件、交易數據和系統日志的含義。1）賬號密碼 登陸某網站或系統應用程序時需要輸入的賬號及密碼，用于驗證用戶身份和權限。主要包括：員工賬號密碼、管理員賬號密碼、客戶賬號密碼等。2）內部文件 企業內部使用

25、的文件，主要包括：公司信息、客戶信息、招投標文件、員工人事數據、報銷數據、電子合同等。3）交易數據 網絡平臺或政企機構在生產運營過程中產生的基礎數據。本次報告涉及的相關泄露數據，主要包括：某些互聯網平臺的運營數據、某些商業查詢平臺的后臺數據、制造業企業對其銷售的物聯網設備的監測數據、某些機構的電話熱線撥打記錄、環境與消防等行業的監測數據、數字貨幣的礦機數據等。4）系統日志 在企業內部辦公網絡上產生的數據，主要包括：內網設備信息、設備及服務器日志、內部管理系統信息、網站后臺代碼、內網權限、內網端口等。需要說明的是：同一事件泄露的數據包中，可能同時含有不同類型的數據。在下面分析中，我們會對事件涉及

26、的不同數據類型進行重復統計。因此，數據百分比之和會大于 100%，分類數據量之和會大于總量。下圖給出了境內機構泄露數據的類型分布情況。按照事件信息的數量來看，61.1%的事件，涉及內容包含個人信息數據；其次是商業機密數據，占比 41.7%；賬號密碼類數據排第三，占比 24.3%。按照泄露數據的數據包大小來看：數據泄露涉及個人信息約有 34.5TB，占比高達 56.8%。9 同樣排名第一；其次是商業機密，約有 31.9TB，占比為 52.5%；交易數據排名第三，約有13.1TB，占比為 21.5%。此外，按照泄露數據的數量來看：含有個人信息數據，約有 586.8 億條，占泄露數據總條數的 81.

27、5%；其次是含有商業機密的數據，約有 240.0 億條，占比為 33.3%。三、個人信息 從前面數據中可以看出，無論是從交易信息的數量、泄露數據包的大小還是泄露數據的數量上來看，個人信息數據都是泄露最多的數據。586.8 億條的個人信息泄露數據總量，相當于 14 億中國人平均每人泄露了約 42 條個人信息數據，而這僅僅是 2023 年 111 月監測到的新增數據。從行業分布來看，互聯網行業泄露內容涉及個人信息的最多，高達 216.3 億條；其次是IT 信息技術，約為 112.6 億條；能源行業排第三，約為 67.9 億條。此外，教育、生活服務、制造業等也都是個人信息數據泄露的大戶。10 除了常

28、見的互聯網與 IT 信息技術外，在本次報告分析的海外數據暴露信息中，還可以看到多個能源或熱力公司存在數據泄露或數據暴露情況。我們看到存在 app 系統用戶數據暴露、電話客服數據庫暴露、繳費系統數據暴露等。其中常包含電話、姓名、地址、充電或繳費記錄等信息。四、關鍵字段 針對境內機構數據泄露泄露事件的內容進行分析，我們整理出超 300 個關鍵詞，包括：姓名、電話、賬號密碼、身份證號、地址、照片、客戶數據、合同、卡號等。其中，“姓名”最多，約 44.4%的事件泄露內容中含有“姓名”標簽，“電話”排名第二，占比 39.6%，“賬號密碼”排名第三，占比 22.9%。根據各關鍵字出現頻次我們制作了下圖所示

29、的詞云圖：11 五、典型案例與安全建議 2023 年，奇安信數據安全事業部結合客戶業務實踐，及 95015 平臺應急響應服務案例，總結出 4 起典型的，由于內部人員違規操作導致的數據安全風險事件。與這些案例相似的事件在很多政企機構中普遍存在。1.1.開發人員私設數據庫存儲重要數據開發人員私設數據庫存儲重要數據 2023 年 3 月，某公司數據安全管控平臺發現內網中出現敏感數據異常流動，短時間內出現大量業務數據異常上傳和下載操作，同時出現一個未被納管的新數據庫。公司網絡安全部門立即展開調查，最終確認，此次數據安全事件是由一個開發團隊違規操作所致。調查顯示：該開發小組正在開發一個重要的數據處理算法

30、。因為時間緊、任務重，小組負責人嫌走公司正式流程太麻煩，因此在未經申請報備的情況下，私設數據庫，拉取公司重要數據進行開發工作。而私設的數據庫并不符合公司安全開發業務標準，造成巨大安全隱患。事實上，此類事件在互聯網和 IT 企業中非常普遍。不過，通過建設數據庫審計監測系統，可以實現對數據庫資產信息與特權賬號系統的動態監測。同時，將數據庫審計結果上報數據安全管控平臺，管控平臺經過分析比對，即可在第一時間發現新的未被納管的數據庫暗資產，從而實現對數據庫安全的動態管控。2.2.員工離職前大量下載內部文件員工離職前大量下載內部文件 2023 年 5 月，某 IT 企業通過數據安全監測，發現有員工在 1

31、天之內，從公司共享文檔中下載文檔 200 余份，其中很多文檔并非其工作職責所必須。同時，該員工還通過內部辦公社交軟件，1 天之內查詢瀏覽了 300 多位員工的聯系方式。進一步調查發現，該涉事員工為即將離職員工，并已得到該公司某競品企業入職 Offer。其異常的批量數據下載行為疑似競品企業指使。該公司隨即要求該員工，在監督之下徹底清除了已經下載的全部文檔和數據，并簽署保密承諾書后，對該員工進行開除處理。有調查顯示，員工離職前期，往往是其竊取、破壞單位內部數據行為的高發時期。企業部署必要的數據安全監測系統，可以及時發現異常的數據訪問行為。特別是對已經提出離職申請的人員，應當列入數據安全防護的重點監

32、控對象，對其訪問內網數據、下載公司資料的行為，進行嚴格管控。3.3.非非工作工作時間時間大量大量訪問核心業務系統訪問核心業務系統 2023 年 6 月，某企業數據安全監測系統顯示，在過去一個星期里，其某核心業務系統在凌晨 1:003:00 間，被某內部賬號大量訪問。而這種情況在以往是極其少見的。初步調查顯示，該內部賬號歸屬于某位高級工程師。該工程師主要負責該核心業務系統的日常運維與保障工作。由于該工程師近期并未參與任何需要連夜加班的緊急項目，因此其頻繁的凌晨登錄行為被判定為異常。進一步調查顯示，該工程師近日與部門領導有過重大爭執，情緒極不穩定，疑似利用非工作時間對系統進行破壞，間接對公司和領導

33、實施報復。公司網絡安全部門隨即關閉了該工程師的特權賬號，并與之約談，最終證實了對其行為動機的前期猜測。由于阻止及時，核心業務系統尚未遭到嚴重破壞。事實上，對核心業務系統的超范圍訪問、異常頻繁訪問、非工作時間訪問等情況，都很 12 有可能預示著潛在的安全風險。應對此類風險，僅僅依靠管理手段是遠遠不夠的。通常需要部署零信任訪問控制系統，對發起訪問的用戶和終端進行持續的身份驗證和信任評估，并根據驗證和評估結果對訪問權限進行動態處置，這樣才能將此類異常訪問的安全風險降到最低。4.4.員工繞過員工繞過堡壘機訪問數據庫服務器堡壘機訪問數據庫服務器 2023 年 9 月，由于頻繁發生數據泄露事故，某單位邀請

34、奇安信安服團隊協助其排查數據安全隱患。在排查過程中，發現該單位雖然明確要求所有系統運維人員必須通過堡壘機登錄后，方可對核心數據庫服務器進行系統運維，但卻不斷發生非運維人員繞過堡壘機安全措施訪問數據庫的安全事件。通過深入排查并與涉事賬號相關員工面談后發現，該單位員工長期、普遍存在濫用特權賬號的情況，有三類主要表現：第一，不同運維人員長期通過共享賬號完成日常運維；第二，某些未被納管的幽靈賬號擁有較高特權并被違規使用；第三，堡壘機運維人員經常因為各種所謂的“特殊情況”為普通員工開設臨時特權，甚至直接在后臺修改某些特權賬號的密碼以作臨時之用。特權賬號管理，是數據安全問題中的核心問題。對特權賬號的任何濫

35、用，都有可能導致嚴重的后果。很多大型機構都存在特權賬號分散管理，運維人員隨意操作的情況。對于此類問題，企業應建立特權賬號管理系統對域內的所有特權賬號進行統一納管，定期改密，避免個別運維人員長期持有特權賬號。同時，還可以通過數據庫審計監測系統，在數據庫登錄成功日志中對正常納管訪問的 IP 進行過濾，一旦發現非納管 IP 訪問數據庫服務器行為，立即觸發告警，上報管控平臺，最大限度減少特權賬號被濫用的風險。13 第三章 互聯網平臺數據泄露監測分析 數據泄露的原因是多方面的，除了網絡攻擊、內鬼竊取等常見原因之外，通過互聯網知識共享平臺，直接面向所有網絡用戶泄露單位內部文件、軟件代碼等商業機密信息的情況

36、也非常普遍。在本章中，我們將結合網絡安全威脅情報生態聯盟（CEATI 聯盟）成員天際友盟的運營數據，對互聯網知識共享平臺上的數據泄露情況展開詳細分析。一、行業分布 2023 年，天際友盟受客戶委托對互聯網知識共享平臺進行數據泄露的定向持續監測。2023 年 1 月11 月，共發現數據泄露事件 4760 起，涉及 16 個行業的 112 個家機構。從委托監測的機構數量來看：金融行業最多，共 51 家，占比為 45.5%，其次是教育行業 15 家，占比 13.4%；制造業 10 家，占比 8.9%。此外，互聯網、能源、政府及事業單位等，也都是對自身數據泄露問題更加關注，委托監測機構數量相對較多的行

37、業。而從監測結果來看，金融行業在互聯網知識共享平臺上的數據泄露事件最多，共 1400起，占比 29.4%；其次是教育行業 1223 起，占比 25.7%；互聯網行業排第三，共 671 起，占比 14.1%。下圖給出了不同行業機構在互聯網知識共享平臺上監測到數據泄露事件的平均數。其中醫療衛生行業最高，平均每個機構監測發現數據泄露事件 167 起，其次是互聯網行業平均 96起，教育行業 82 起。也就是說，相較而言，醫療衛生、互聯網、教育等行業通過互聯網知識共享平臺泄露數據的風險相對于其他行業更高。14 二、泄露類型 從數據泄露的類型上來看，在互聯網知識共享平臺上泄露的數據主要包括三大類型，分別是

38、普通文檔、源代碼泄露和盜版數據。統計顯示，文檔泄露事件的高發地段以中文互聯網平臺為主，包括 CSDN（全平臺），百度文庫，道客巴巴，豆丁，360 文庫，360Doc，原創力文檔，新浪愛問共享資料等 20 余個知識共享平臺。其中，排名 TOP5 的平臺，相關的文檔泄露事件總和，占到文檔泄露事件總量的 78.63%。此外，Github 和 Gitee 則是源代碼泄露事件發生的主要平臺。下圖給出了互聯網知識共享平臺上泄露文檔的主要細分類型分布，其中，企業內部規章制度、管理辦法、使用手冊等文檔，占比最高，為 22.4%，其次是市場宣傳材料，占比 18.9%；財務報表、企業戰略分析報告等商業機密信息占比

39、 8.3%，排名第三。產品技術文檔、項目規劃、部署方案、計劃書等也是比較主要的文檔泄露類型。15 三、泄露原因 2023 年，天際友盟應急響應服務中心累計協助用戶處置及溯源互聯網知識共享平臺數據泄露事件 439 起，其中文檔泄露時間 399 起，源代碼泄露事件 40 起。溯源分析顯示，造成政企機構內部數據在互聯網知識共享平臺上泄露的首要原因，是合作伙伴泄露，占比29.0%；其次為內部人員泄露，占比 25.6%；明確為外部攻擊導致的數據泄露事件僅為 6.0%。另一方面，由于缺乏充分的數據安全管理措施和技術手段，約四成，即 39.4%的相關數據泄露事件無法溯源。四、典型案例 本小節案例主要來自天際

40、友盟數據泄露防護服務客戶真實案例。相關泄露信息在被發現后的第一時間（112 小時內）均已被溯源并刪除。16 1.1.某金融機構內部在百度網盤上遭泄露某金融機構內部在百度網盤上遭泄露 2023 年 2 月，監測發現某金融機構多個內部管理制度被打包上架到百度網盤，供網友免費下載。相關材料本應僅限于部分內部員工瀏覽。此事件屬于一般商業機密泄露。2.2.某金融機構的財務數據在某金融機構的財務數據在 CSDNCSDN 上被公開上被公開 2023 年 2 月，監測發現某金融機構內部管理系統安裝配置文檔通過百度網盤被分享，且可免費下載。相關材料本應僅限于部分內部員工瀏覽。此事件屬于一般商業機密泄露。3.3.

41、某熱播國產電視劇影視資料被非法搬運至多個網絡平臺某熱播國產電視劇影視資料被非法搬運至多個網絡平臺 2023 年 4 月，某正在熱播的國產電視劇，被發現在多個未獲得授權的影視平臺上可被免費觀看，且已經吸引了不少觀眾的流量，這不僅嚴重影響了版權方和演員的經濟收益，同時也侵害了付費觀眾的權益，甚至引起了消費者對獲得合法授權平臺的不滿，嚴重損害其品牌形象。17 4.4.某大學專業介紹宣傳材料在百度文庫上可免費下載某大學專業介紹宣傳材料在百度文庫上可免費下載 2023 年 6 月，某大學的學科介紹材料被發布到百度文庫上供網友們免費下載。由于相關材料僅為某教師編寫的內部辦公材料，并不符合嚴謹的對外宣傳標準

42、，因此該材料的泄露給學校聲譽造成了一定程度負面輿論影響。5.5.某大型醫院的內部備份系統建設方案在道客巴巴上付費瀏覽某大型醫院的內部備份系統建設方案在道客巴巴上付費瀏覽 2023 年 7 月，天際友盟監測到某國際保健品牌的獎金方案早在 2012 年被公開上傳到道客巴巴，此事件泄露了內部管理制度，對品牌方造成一定負面影響。18 6.6.國內知名互聯網公司的源代碼被分享至托管服務平臺國內知名互聯網公司的源代碼被分享至托管服務平臺 2023 年 10 月，國內互聯網領域某頭部企業的部分源代碼被公開在代碼共享網站 Github上。泄露代碼與企業旗下一款網購 APP 的支付功能緊密相關。此事件屬于重要商

43、業機密泄露，同時對其用戶的隱私與賬戶安全均造成重大潛在威脅。19 運營風險篇 第四章 API 敏感數據傳輸風險分析 應用程序或系統的 API 接口，是數據傳輸與交換的主要途徑之一。對于傳輸敏感數據的API 接口，應當進行嚴格的權限限制并采取必要的數據保護機制，以確保數據不會被竊取、破壞或篡改。本章內容主要基于奇安天盾數據安全保護系統 API 安全監測能力，分析敏感數據通過API 接口進行傳輸時的安全風險。所謂敏感數據，主要是指未經個人或機構授權而被他人使用時，有可能給個人、機構或社會帶來嚴重損害的數據信息。以GB/T 35273-2017 信息安全技術個人信息安全規范為例，個人敏感數據有：個人

44、財產信息（存款、信貸、消費流水）、個人健康生理信息（體檢信息、醫療記錄）、個人身份信息（身份證、社?？?、駕駛證）等。在本報告中，敏感數據的界定是以 GB/T 35273-2017 等相關國家標準及各行業主要法規及相關技術標準為參照。一、API 安全檢測行業分布 2023 年 112 月，應客戶邀請，奇安信集團共為 128 家大型政企機構提供了 API 安全檢測服務。我們抽樣了其中 66 家重要機構累計 1534 天的檢測結果進行分析，共檢出各類 API接口 553326 個，平均每家機構擁有 API 接口 8384 個；涉及各類系統應用 3300 個，平均每個系統擁有 API 接口 168 個

45、；其中，共檢出有敏感數據傳輸行為的 API 接口 13619 個，占比約為 2.5%；平均每家機構擁有敏感數據傳輸 API 接口 206 個；平均每個系統擁有敏感數據傳輸 API 接口約 4 個。下圖給出了 2023 年奇安信為全國政企機構提供 API 安全檢測服務的行業分布情況。其中，醫療衛生行業最多，占比 34.8%，其次是各地大數據局和教育行業，占比均為 18.2%。20 二、敏感數據傳輸風險 不同行業機構傳輸敏感數據的 API 接口數量也有很大的差異。其中，汽車制造業企業最值得關注，平均每個受測企業有多達 931 個 API 接口會傳輸敏感數據，涉及敏感字段多達332 個。此外，各地大

46、數據局、能源、醫療衛生等行業也是傳輸敏感數據 API 接口較多、傳輸敏感字段較多的行業，應當特別加強 API 安全建設與管理。從傳輸敏感信息的數量來看，汽車制造業同樣也是“遙遙領先”。在接受檢測的汽車制造業企業中，每家企業平均每天通過 API 接口傳輸的敏感數據多達 142236 條，這一數字比絕大多數其他行業高出了兩個數量級，是排名第二的能源行業 39116 條的 3.6 倍。大數據局排名第三，為平均每天 11966 條。21 三、個人信息傳輸風險 在所有敏感數據中，涉及自然人的信息，也就是個人信息，最受業界和社會關注。下圖給出了不同行業機構通過 API 傳輸的敏感數據中，涉及不同自然人人數

47、的情況。同樣的，汽車制造業再次排名第一，API 接口平均每天傳輸 15622 個不同自然人的個人信息敏感數據，遠遠高于其他行業。大數據局（2173 人/天）、政府機構（1523 人/天）和教育行業（1432 人/天）分列第二、第三、第四位。綜上所述，僅從 API 接口傳輸敏感數據這個角度來看，汽車制造業的潛在數據安全風險最大。不論是傳輸敏感數據的接口數量、敏感字段數、每日數據量還是涉及自然人人數，不論從哪個維度來看，汽車制造業的潛在風險都是最大的，甚至是“遙遙領先”。從某種程度上來看，一輛智能網聯汽車，就是一個移動的敏感數據發生源，持續不斷的通過各種 API 接口，向服務器傳輸敏感數據。不僅如

48、此，這些數據還會一刻不停的在各種車聯網業務系統中周轉和使用。這也使得汽車制造業以及智能網聯汽車，都成為了數據安全的高風險地帶。一個與此相關的新聞事件是：2023 年 6 月，安全研究人員 Eaton Zveare 發現本田動力設備的電商平臺存在 API 漏洞，攻擊者可以獲取大量用戶敏感數據，包括歷年所有經銷商的21393 份客戶訂單信息，其中含有客戶姓名、地址、電話號碼和訂購的物品信息；此外，攻擊者還可以對 1570 個經銷商網站進行任意修改，對 3588 個經銷商用戶/帳戶修改密碼。由此可見，關于汽車制造業 API 接口的數據安全風險問題絕非“危言聳聽”。四、各行業敏感字段舉例 下面是我們對

49、一些主要行業敏感數據的敏感字段舉例說明。在實際系統中，敏感字段的數量要遠遠高于本報告給出的示例。政府機構政府機構：【個人敏感信息】檔案編號、密碼、身份證號、未成年人身份證號、醫院名稱、銀行卡號、證件號碼、證件類型【個人工作信息】地址、單位名稱、專業 大數據局大數據局：【個人敏感信息】身份證號、未成年人身份證號、證件類型、證件號碼、密 22 碼、殘疾人證號、結婚證字號、余額【個人財產信息】車牌號、總金額、建筑面積、社保狀態、幣種、不動產單元號、繳存基數、人員繳費基數、房屋幢號、繳納金額、權利人名稱 金融行業金融行業：【個人敏感信息】身份證號、未成年人身份證號、銀行卡號、證件類型、證件照片【個人財

50、產信息】產品名稱、車架號、車牌號、金額【個人基本信息】出生日期、年齡、手機號、性別、姓名【交易信息】時間、日期、應付所得稅額、賬戶編號、總費用、銀行名稱 能源行業能源行業：【個人敏感信息】身份證號、密碼、證件類型、銀行卡類型、開戶行、未成年人身份證號、工號、證件號碼【行業特殊信息】加油站名稱、油名稱、客戶編號、單價、油罐編號、原始體積、原油體積、開始水高度、開始水體積、開始溫度、開始油高度、開始油體積 交通運輸交通運輸：【交通管理信息】安全檢查信息、安全隱患名稱、單位地址、渡口名稱、交通管制信息、組織機構名稱【個人基本信息】電話號碼、出生日期、電子郵件地址、國籍、民族、姓名、手機號 教育行業教

51、育行業：【教育工作信息】學生編號、學校名稱、課程名稱、班級、課程 ID、學生姓名、班級編號、學生名稱、卷號、課程編號、考試地點、是否通過、監考人、違紀扣分、畢業學校、最終考試成績 醫療衛生醫療衛生：【個人健康信息】ICD 診斷名稱、患者 ID、科室名稱、手術名稱、醫院名稱【個人教育工作信息】單位名稱、地址、入學時間、職務職稱、職業【就診信息】就診id、病人標識、組織機構名稱、住院號、病床號、入院科室名稱、科室編碼、簽名方式、住院/門診號、主治醫師姓名、病案號、劑量 汽車制造汽車制造：【個人信息】姓名、身份證號、收入水平、職務職稱、職業、化程度、銀行卡號、國籍、學院、學位、血型、常住地址；【車輛

52、信息】車輛 ID、車輛編號、發動機號、車牌號、車架號、車輛型號、車輛顏色、車輛類型、車輛年齡、駕駛次數、駕齡、電池報警、電池電量、驅動電機故障次數、點火累積里程；【身份鑒權信息】：用戶名、密碼，關鍵配置信息：JDBC 連接串、swagger；【設備信息】設備系統版本、軟件版本、設備名稱、操作系統名稱、設備編號、SIM 卡號、IMEI；【合同信息】合同編號、合同名稱、還款類型、還款方式；【交易信息】購買日期、不含稅金額、買方地址、賣方名稱、經銷商代碼、納稅額、開戶行、賣方地址、商品名稱；【物流信息】收件人姓名、終點地址、終點經度、出發地址、起點名稱、起點緯度、終點名稱、終點緯度、車輛外出時間 五

53、、典型案例與安全建議 1.1.黑客利用黑客利用 APIAPI 漏洞盜取公民個人信息獲利漏洞盜取公民個人信息獲利 5 50000 余萬余萬 2024 年 1 月，檢查日報報道，有黑客利用 API 接口漏洞，對全國 21 個省市、29 個行業的 51 個系統發動網絡攻擊，非法獲取大量公民個人信息進行販賣，獲利 500 余萬。經查，2021 年初至 2022 年 7 月，王某等人通過網絡渠道委托黑客，利用搜集到的各種政府、企業網絡平臺的 API 接口漏洞，進行數據抓包、參數解析，開發出 100 余款黑客軟件。王某等人利用相關黑客軟件，從涉事單位數據系統中“爬取”包括姓名、身份證號、手機號碼、工作單位

54、、家庭成員、社保繳納等公民個人信息，并販賣給催債公司。被盜的公民 23 個人信息被催債公司大規模用于數據畫像，勾勒人物關系和活動軌跡，由此通過手機短信、微信、抖音等社交平臺向欠款人的社會關系人發送催債信息，非法催債。2.2.某地政府某地政府大數據平臺超范圍數據共享大數據平臺超范圍數據共享暴露安全風險暴露安全風險 2023 年 4 月，某地政府大數據平臺在接受 API 接口數據安全檢測過程中，發現有大量未脫敏原始數據及超范圍數據通過 API 接口傳輸給了第三方機構，屬于典型的超范圍數據共享，暴露出重大安全風險。超范圍數據共享，一般是指政企機構在通過 API 向第三方進行數據共享過程中，沒有進行嚴

55、格的數據審查與管控，致使未經脫敏的原始數據、超過授權范圍的敏感數據被第三方違規獲取，進而導致數據泄露的安全事件。2023 年，超范圍數據共享事件在互聯網行業、地方大數據中心、行業數據中心等機構持續高發。研究顯示，很多政企機構在完成大數據平臺建設后，除了對內提供統一的業務應用支撐外，同時還會通過 API 接口向外部第三方進行數據共享，從而提升數據要素價值。但某些機構由于缺乏數據共享的頂層安全設計、缺乏必要的數據分類分級管理，致使大量敏感數據通過 API 接口超范圍傳輸。3.3.安全建議安全建議 API 的安全管理是一項復雜的系統工程，必須堅持安全工作與系統開發、系統運營同步進行。對于計劃建設或正

56、在建設的大數據平臺，應遵循內生安全原則，充分做好數據安全整體規劃，努力避免 API 接口超范圍數據共享事件的發生。特別是對于服務范圍比較廣泛的大數據平臺，在 API 接口上線之前，應當邀請專業安全團隊進行充分的安全測試，盡力確保系統是安全無漏洞的。對于已經完成建設并投入使用的大數據平臺，在系統運營過程中，應當建立 API 安全監測系統，充分記錄和分析 API 的訪問信息、有效識別敏感數據的傳輸路徑；一旦發現違規、非法、超范圍的敏感數據傳輸，應及時采取有效措施進行封堵，及時修復新發現的安全漏洞。有條件的單位，可以進一步部署 API 安全網關、建設數據安全管控平臺?；陲L險分析結果關聯上報數據安全

57、管控平臺，由數據安全管控平臺下達控制策略指令至 API 安全網關進行安全防護策略執行，保障數據泄露風險。24 第五章 數據跨境流轉安全風險分析 一、跨境數據流轉監測 2023 年，奇安信跨境數據監測系統共為多家大型企業，針對通信、制造業、能源、民生等行業百余個系統進行跨境數據流轉監測，并系統抽樣其中 90 個系統（數據資產）累計 196天的跨境數據傳輸情況進行整理和分析，其中，數據資產（系統）包括但不限于：運營系統、管理平臺、數據庫、官方網站、云平臺、企業自助服務平臺、電子簽約平臺等。同時，還專門針對 66 家大型政企機構進行了跨境數據傳輸 API 接口的安全檢測。在累計 196 天的監測中，

58、奇安信跨境數據監測系統共分析跨境數據總量超 149.6GB，數據量超 3572.7 萬條。流入國家地區包括：美國、澳大利亞、英國、韓國、哥倫比、德國、孟加拉、馬來西亞、葡萄牙、新加坡、越南、日本、菲律賓、愛爾蘭、印度、荷蘭、加拿大、伊拉克、烏干達、墨西哥、迪拜、土耳其、埃及、意大利、泰國、法國、緬甸、俄羅斯、斯里蘭卡、玻利維亞、智利等超過 120 個國家。針對跨境數據的出境合規分析顯示：在累計 196 天的跨境數據檢測中，共發現涉及跨境個人一般信息的數據 99.8GB，占規?？偭康?66.7%。涉及敏感個人信息的數據 5.5GB，占規?？偭康?3.7%。涉及跨境重要數據 44.4GB，占規?？?/p>

59、量的 29.6%。其中，“重要數據”是指根據各行業數據分類分級管理辦法確定的屬于“重要數據”的數據。具體分布如下圖所示。如果按照傳輸數據的條數來統計，則在累計 196 天的跨境數據檢測中，共發現涉及跨境個人一般信息 3327.8 萬條，占跨境傳輸數據總條數的 93.1%；涉及敏感個人信息 230.6 萬條，占總條數的 6.5%；涉及跨境重要數據 14.4 萬條，占總條數的 0.4%。具體分布如下圖所示。25 二、關鍵敏感字段 綜合多個行業檢測數據來看，在所有跨境流轉的數據中：姓名、手機號、車架號、電子郵件地址、家庭住址、身份證號等敏感關鍵字段出現最為頻繁。其中身份證號、維修信息、密碼、醫療記錄

60、等我們定為敏感個人信息。企業信息、投標信息、政務信息及貸款信息等我們定為重要數據。下圖為數據信息出境傳輸涉敏數據關鍵字出現頻次詞云圖。我們從受測企業明確標識了存在跨境數據流出行為的信息源 IP 中，抽樣了 4208 個 IP進行敏感數據分析，結果發現其中幾乎均包含個人信息、個人敏感信息跨境傳輸、重要數據跨境傳輸。由此可見，數據跨境傳輸的安全監控非常必要。26 三、行業對比 基于 API 接口的流量數據監測，也是分析數據跨境流動最為有效的、最為普遍的方法之一。本次研究針對 66 家大型政企機構檢測結果的抽樣分析顯示，在所有存在傳輸敏感數據行為的 13619 個 API 接口中，共有 235 個

61、API 接口存在跨境數據傳輸行為，占比約為 1.7%。其中，汽車制造業存在跨境數據傳輸行為的 API 接口數量占比最高，為 4.6%；其次是金融行業 3.4%，教育行業 2.9%，政府機構 2.0%。其他行業占比均在 1%左右或不足 1%。事實上，從數據治理實踐的角度來看，絕大多數企業都很難從純粹的業務角度，說清自身究竟都有哪些數據會進行跨境傳輸。因為絕大多數的業務系統，即便不是專門用于提供跨境服務的業務系統，也不能百分百的確保與自身相連的其他業務系統沒有海外接入點，或確保自身沒有海外用戶（包括個人用戶和機構用戶）。這也是大型政企機構亟需專業安全機構協助其進行數據跨境流轉安全檢測的主要原因。四

62、、典型案例與安全建議 2023 年 2 月，國內某擁有海外業務的大型企業接到國家網信辦的通報：發現其存在違規跨境數據傳輸活動，要求公司法人代表協助調查。在安全機構的協助檢測之下，發現該公司的多個海外分支機構存在大量從境外訪問、下載境內母公司重要數據的情況。由于此前缺乏數據跨境流轉安全管理的整體規劃，也未給出明確的管理要求、未部署相關安全措施，致使相關違規數據傳輸活動長期持續。相關監測與調研工作顯示：盡管目前國內很多存在海外業務的機構都已經在積極開展跨境數據流轉的治理工作，但仍普遍缺乏科學的、整體的數據安全規劃，特別是嚴重缺乏必要的技術手段來支撐跨境數據的治理工作。同時，更加值得關注的是，對于絕

63、大多數沒有海外分支機構的政企單位而言，在其對內、對外提供大數據平臺支撐服務時，往往沒有意識到其可能存在的跨境數據流轉風險。對于在建的大數據平臺，應當遵循內生安全原則，從設計規劃之初就把跨境數據治理列 27 入整體的數據安全規劃。而對于已經在運行中的大數據平臺，可以通過以下手段來優化治理跨境數據流轉問題：首先，應當及時建立跨境數據監測系統，監測高敏數據的流轉和違規出境問題；第二，有條件的企業，應當建設數據安全管控平臺，將告警信息上傳到數據安全管控平臺進行分析和策略調整；第三，部署零信任安全系統，及時、動態調整賬號訪問權限，避免非法訪問和違規事件。28 附錄 1 2023 數據安全政策與法規建設盤

64、點 作為第五大生產要素，數據資源的運用，對推進數字中國、數字經濟、數字社會規劃和建設等起著不可忽視的重要作用。本章將以時間為軸，以大事件為線回顧 2023 年與數據安全緊密相關的重大政策和文件，以及背后的演進軌跡。一、十六部門聯合發布指導意見，1500 億市場呼之欲出 2023 年 1 月，工信部、國家網信辦、國家發展改革委等十六部門聯合發布關于促進數據安全產業發展的指導意見（簡稱：指導意見），目標到 2025 年，數據安全產業基礎能力和綜合實力明顯增強，數據安全產業規模超過 1500 億元，年復合增長率超過 30%，建成 5 個省部級及以上數據安全重點實驗室，攻關一批數據安全重點技術和產品。

65、指導意見的總體思路中，明確了七個戰略任務、三個保障措施。包括貫徹總體國家安全觀，統籌發展和安全，以全面提升數據安全產業供給能力為主線，加強核心技術攻關，加快補齊短板，推動數據安全產業高質量發展，促進以數據為關鍵要素的數字經濟健康快速發展等 指導意見是第一個對數據安全產業發展規模提出了數字預估（1500 億元）的政策文件，它標志著數據安全產業將不僅僅是網絡安全產業的一個子集，而是具有獨立的發展邏輯和市場空間，1500 億的產業規模，將大大加速數據安全的產品和技術創新，使其成為數字經濟健康快速發展的重要基石。二、數字中國建設頂層規劃將數字安全被列為“兩大能力”之一 2023 年 2 月，中共中央、

66、國務院印發了數字中國建設整體布局規劃（以下簡稱規劃），并發出通知，要求各地區各部門結合實際認真貫徹落實。規劃指出，要強化數字中國關鍵能力，其中包括筑牢可信可控的數字安全屏障，切實維護網絡安全，完善網絡安全法律法規和政策體系。增強數據安全保障能力，建立數據分類分級保護基礎制度，健全網絡數據監測預警和應急處置工作體系。29 黨的二十大報告提出了加快建設網絡強國、數字中國，這為推進中國式現代化提供了頂層指引。規劃貫徹了黨的二十大精神，指出建設數字中國是數字時代推進中國式現代化的重要引擎，是構筑國家競爭新優勢的有力支撐。加快數字中國建設，對全面建設社會主義現代化國家、全面推進中華民族偉大復興具有重要意

67、義和深遠影響。規劃 進一步明確了建設數字中國對于推進中國式現代化的核心地位，同時將數字技術創新體系與數字安全屏障并列為“兩大能力”，凸顯了安全在數字中國中的底板作用。尤其是 規劃 從宏觀指引到微觀落實，對建設數字中國給予了全方位的保障，充分體現了“統籌發展和安全”的理念。三、央行發布數據安全管理辦法，填補該領域制度空白 2023 年 7 月，中國人民銀行發布關于中國人民銀行業務領域數據安全管理辦法（征求意見稿）（簡稱：辦法）公開征求意見的通知。辦法分成總則、數據分類分級、數據安全保護總體要求、數據安全保護管理措施、數據安全保護技術措施、風險監測評估審計與事件處置措施、法律責任、附則八章，共五十

68、七條?？梢钥闯?，這份辦法依據相關的網絡安全和數據安全法律法規制定，其目的在于規范中國人民銀行業務領域的數據安全管理。辦法明確了其適用范圍是我國境內開展的中國人民銀行業務領域數據相關的處理活動，提出了“誰管業務，誰管業務數據，誰管數據安全”的基本原則，要求數據處理者采取有效措施保護數據安全，同時壓實了數據處理活動全流程安全合規責任和底線。辦法全面銜接了中華人民共和國數據安全法，細化明確中國人民銀行業務領域數據安全合規底線要求，填補了該領域數據安全管理制度保障空白，具有很強的指導意義。四、財政部發布重磅文件，數據資產入表全面啟動 2023 年 8 月，財政部發布企業數據資源相關會計處理暫行規定（以

69、下簡稱暫行規定），規定符合企業會計準則中無形資產或存貨定義的數據資源可以作為數據資產進行入表，同時明確企業確認的數據資源在初始計量時需以歷史成本入賬。2024 年 1 月 1 日，暫行規定正式施行。暫行規定對于推動數據要素市場化配置、提高相關會計信息支撐、30 激活數據價值方面有重大意義。數據資產“入表”，意味著數據完成了從自然資源到經濟資產的跨越，作為數字經濟時代的第一生產要素，數據有望成為政企報表及財政等收入的重要支撐。后續數據要素確權、定價、交易流通、收益分配、試點等進展有望陸續推出。未來隨著國家數據局正式揭牌，數據要素相關政策有望加快落地。五、各地開通公共數據授權運營，“數據二十條”加

70、速探索落地 2023 年以來，數據要素市場獲得地方性政策的密集支持。自 7 月下旬至 8 月初，北京市、上海市、廣東省、江西省等地陸續出臺政策文件，進一步深化數據要素市場改革和創新。7 月 18 日，北京市經濟和信息化局印發北京市公共數據專區授權運營管理辦法（征求意見稿），其中提出，優先支持與民生緊密相關、行業增值潛力顯著和產業戰略意義重大的信用、交通、醫療、企業登記監管等領域開展公共數據授權運營。7 月 20 日，江西省人民政府印發的江西省數字政府建設總體方案提出，推進政務數據開放利用，加強數據授權運營，探索數據資源確權、開放、流通、交易相關制度，充分釋放數據要素價值。8 月 7 日，深圳市

71、政府辦公廳印發深圳市優化市場化營商環境工作方案（20232025年）指出，“加快培育數據要素市場，健全深圳市公共數據開放平臺，2024 年在企業登記監管、衛生健康、交通運輸、氣象、金融、電力等重點領域開展公共數據授權運營試點?！弊?2022 年 12 月“國家數據二十條”發布之后，各地方積極落實針對性舉措，開展各類創新實踐探索，基本形成了公共數據的授權運營模式。公共數據授權運營是推進公共數據開發利用和價值生成的重要方式，也是激活全社會數據要素市場的關鍵抓手。隨著后續數據要素市場的進一步開放，公共數據有望運行開放，企業通過數據交易獲取相關數據，進一步探索出成熟的商業模式。而全國性的數據要素市場建

72、設也將全面提速。六、促進開放和發展，網信辦出臺數據跨境流動規定 9 月底，國家互聯網信息辦公室發布規范和促進數據跨境流動規定（征求意見稿）（簡稱“規定”），旨在保障國家數據安全，保護個人信息權益的基礎上，進一步規范和促進數據依法有序自由流動。該規定本著發展、開放優先的原則，在個保法以及相關數據跨境傳輸規定的基礎上，大幅調整了數據出境評估備案工作的適用標準。在僅涉及少量個人信息出境、具有強出境必要性的情形等特定情形下，減輕或豁免原有的數據出境合規義務。規定 回應了數據出境合規實踐中大量企業的合規困惑，明確了數據跨境流動的豁免情形，且其效力優先于數據出境安全評估辦法、個人信息出境標準合同辦法，它使

73、得很多數據出境行為豁免于評估或者通過認證、簽訂標準合同，在確保數據有序跨境流動的同時，降低了部分企業開展數據跨境業務過程中不必要的合規成本，從而極大便利了企業日常業務的開展，實質性響應了我國政府堅持經濟全球化的倡議，有助于促進經濟交流和發展。七、國家數據局正式揭牌，數據要素萬億市場加速開啟 31 國家數據局從 2023 年 3 月 7 日提請組建，到 2023 年 10 月 25 日上午正式揭牌，充分彰顯了國家對數據的生產要素和資源屬性的高度重視。國家數據局負責協調推進數據基礎制度建設，統籌數據資源整合共享和開發利用，統籌推進數字中國、數字經濟、數字社會規劃和建設等，由國家發展和改革委員會管理

74、?！皣覕祿謷炫茷閿底纸洕蛿祿匕l展上提供有了強有力的組織保障，是中國順應數字經濟潮流的重大舉措?！彪S著數據局的正式掛牌，未來會有很多措施加速落地，例如“數據二十條”細則的落地、公共數據授權運營、數據產權確權等等，有利于萬億級數據要素流通市場的加速釋放，進而對數據安全市場帶來重磅利好。對于廣大數字化進程中的政企機構而言，數據局掛牌在以下幾個層面帶來重要影響：第一是為統籌數字經濟發展提供強大的組織保障，有利于集中各方資源全面推進數字中國。第二是進一步強調了在數字經濟發展和數據要素釋放價值過程中，安全和合規是生命線；第三是安全和合規需要貫穿數據要素化的全過程，數據要素化的全過程中需要用技術賦

75、能合規，將安全技術與業務發展相融合。八、北京數據基礎制度先行區啟動運行 2023 年 11 月 10 日，作為全國首個數據基礎制度先行區，北京數據基礎制度先行區（下稱“先行區”）正式啟動運行。先行區將按照適應數字經濟特征的監管方式，建立先行先試機制，建設數據基礎制度綜合改革試驗田和數據要素集聚區，促進數字經濟高質量發展。國家發展改革委黨組成員，國家數據局黨組書記、局長劉烈宏表示，希望北京市在數據“三權”分置制度落地、數據流通交易、數據基礎設施建設等領域持續探索、先行先試。其中指出，推動數據基礎設施建設，讓數據安全“動”起來。數據基礎設施是讓數據“供得出、流得動、用得好”的關鍵載體，讓數據安全可

76、信流通才能實現數據的高效利用。我們正積極關注數據流通相關技術演進，希望北京市充分發揮人才、技術等優勢，積極推進隱私計算、數據空間等數據流通技術研發和集成應用，布局建設數據基礎設施，為數據可信、高效流通 32 的基礎支撐。數據從“死”到“活”，在復雜流動中產生更大風險。數智時代以前，數據是相對靜止、缺少流動的，只是單純地存儲在數據中心、服務器中，價值沒有得到充分的利用。數智時代，數據時刻在流動，并在全生命周期的流轉中持續創造價值。數據流動越復雜，安全風險更需要警惕。九、工信部起草數據安全行政處罰裁量指引 2023 年 11 月 23 日，工信部官網發布信息，為貫徹落實數據安全法、工業和信息化領域

77、數據安全管理辦法（試行），推動工業和信息化領域數據安全行政處罰工作制度化、規范化開展，工業和信息化部網絡安全管理局研究起草了 工業和信息化領域數據安全行政處罰裁量指引（試行）（以下簡稱：裁量指引），并向社會公開征求意見。裁量指引在內容上，指出了三大類數據安全行政處罰情形，數十小類細分情形。三大類情形包括不履行數據安全保護義務、向境外非法提供數據、不配合監管等。其中，不履行數據安全保護義務包含了 20 余種細分情形，向境外非法提供數據包括 4 種細分情形，不配合監管也包括 4 種細分情況，基本涵蓋了數據安全違規違法的各種細分場景。裁量指引征求意見稿的出臺，一是為數據處理者明確了數據安全保護義務，

78、并提供了安全合規建設的落地指引；二是細化處罰裁量基準和裁量尺度，使得監管部門執法有法可依、有章可循、有據有度。十、國家數據局首提“數據要素”，2000 億市場激活安全需求 2024 年 1 月 5 日，國家數據局等 17 部門聯合印發了“數據要素”三年行動計劃(2024-2026 年)(以下簡稱行動計劃)。行動計劃旨在貫徹黨的二十大和中央經濟工作會議精神，充分發揮數據要素乘數效應，賦能經濟社會發展。這是落實數據基礎制度的重要舉措，標志著我國開始全面系統推進數據要素價值實現。行動計劃提出了“數據要素工業制造”“數據要素現代農業”“數據要素文化旅游”等 15 個重點行動，覆蓋工業、農業、商貿、交通

79、、金融、醫療等領域。同時強調堅持需求牽引、注重實效，試點先行、重點突破，有效市場、有為政府，開放融合、安全有序等 4 方面基本原則，明確了到 2026 年底的工作目標。行動計劃還從提升數據供給水平、優化數據流通環境、加強數據安全保障等 3 方面，強化保障支撐。隨著數據要素與其他要素的結合，新產業、新業態、新模式、新應用、新治理等不斷被催生出來，如何平衡好開放融合和安全有序之間的矛盾，就變得尤其重要。此次 行動計劃的印發，要求行業和客戶既要在安全合規技術等方面持續創新，同時還要與新業態、新場景、新模式等深度融合，以適應數字基礎設施建設和“數據要素”行動的發展潮流，保障數字經濟的合規有序發展。33

80、 附錄 2 2023 年全球數據泄露事件泄露數據排行榜 排排名名 數據泄露機數據泄露機構構 新聞新聞時間時間 泄露數據泄露數據類型類型 泄露數據量泄露數據量（條（條/行）行）相關報道相關報道 1 俄羅斯航空公司Sirena-Travel 9 月 個人信息 41.6 億 烏克蘭黑客入侵俄羅斯航空巨頭，竊取超41 億條乘客信息 https:/ 2 印度警方 3 月 政府機密 個人信息 9.0 億 9 億條印度警方業務機密數據疑似在暗網銷售https:/ 3 越南郵政 11 月 商業機密 2.26 億 越南郵政不小心公開 1.2TB 數據，內含2.26 億條事件日志https:/ 4 英國國家選舉委

81、員會 8 月 個人信息 4000 萬 英國發生重大數據泄露事件！近 10 年選民數據全部曝光https:/ 5 移動網絡提供商 T-Mobile 2 月 個人信息 3700 萬 Google Fi 數據泄漏，黑客發起 SIM 卡交換攻擊https:/ 6 印度火車票務平臺RailYatri 2 月 個人信息 3106 萬 印度火車票務平臺 RailYatri 發生數據泄露，超 3100 萬人受影響https:/ 7 俄羅斯私人銀行阿爾法銀行 10 月 用戶數據 3000 萬 烏克蘭國安局協助本國黑客入侵俄羅斯“招商銀行https:/ 8 必勝客 9 月 用戶數據 3000 萬 必勝客遭黑客組織

82、入侵，數百萬客戶數據被盜https:/ 9 國內某提供導航服務公司 11 月 商業機密 2000 萬 國內某企業 2000 多萬條地圖數據遭數據公司盜取https:/ 10 美政府供應商 Maximus 8 月 用戶數據 1100 萬 美政府供應商 169GB 健康數據遭俄黑客曝光，千萬美國用戶受影響https:/ 34 附錄 3 2023 年全球數據勒索事件勒索贖金排行榜 排排名名 被勒索被勒索 機構機構 新聞新聞時間時間 贖金贖金 是否加是否加密數據密數據 勒索勒索 組織組織 相關報道相關報道 1 臺積電 7 月 7000萬美元 否 LockBit 臺積電遭遇天價數據勒索：硬件供應商被黑，

83、泄露少數內部數據 https:/ 2 江森自控 9 月 5100萬美元 是 Dark Angels 贖金 5100 萬美元！國際自動化巨頭江森自控遭勒索軟件攻擊致部分運營中斷 https:/ 3 宏碁定鬧 3 月 5000萬美元 否 Kernelware 宏碁再次遭遇數據泄露，黑客出售 160GB 敏感數據 https:/ 4 空中客車 3 月 2000萬歐元 是 不祥 空客德國工廠至少部分停產：因物流供應商被黑 https:/ 5 拳頭游戲 1 月 1000萬美元 否 不祥 起價 100 萬美元！英雄聯盟游戲源代碼遭黑客拍賣 https:/ 6 北美口腔管護中心 5 月 1000萬美元 否

84、LockBit 美國最大牙科醫保服務商遭勒索攻擊，近901 萬患者個人數據泄露 https:/ 7 多倫多兒童醫院 1 月 1000萬美元 是 Lockbit Lockbit 為襲擊加拿大兒童醫院道歉，并發布免費解密軟件 https:/ 8 豐田汽車 11 月 8000萬美元 否 Medusa 豐田公司確認遭遇美杜莎勒索軟件攻擊 https:/ 9 澳大利亞某律所 6 月 500 萬美元 否 ALPHV/BlackCat 知名律所遭勒索軟件攻擊，澳大利亞政府軍隊等客戶數據泄露 https:/ 10 微星科技 4 月 400 萬美元 否 Money Message 知名臺企微星疑遭勒索攻擊，被索

85、要 2750萬元巨額贖金 https:/ 35 附錄 4 CEATI 聯盟 網絡安全威脅情報生態聯盟，英文全稱:Cybersecurity Ecology Alliance of Threat Intelligence，簡稱：CEATI 聯盟。聯盟是由奇安信威脅情報中心聯手國內多個著名安全公司共同發起的共建威脅情報行業生態的聯盟機構，依 托于奇安信發布的“TI INSIDE 計劃”，將以威脅情報能力應用為核心，打造新生態圈模式，情報使能、共謀共策、開放合作、協作共贏。降 低威脅情報的應用門檻，提升威脅情報使用效果以及體現最終客戶側 的威脅情報價值，從而在整體上提高國內安全防護水位。CEATI

86、聯盟目前已吸納 近 60 家成員單位，能力涵蓋情報運營、APT 跟蹤、樣本對抗、Web 安全、數據安全、大數據分析、云安全、等保合規安全硬件等多方面關鍵技術。未來將與各成員單位共同推動以威脅情報技術應用為核心的行業生態建設，實現行業內威脅情報信息共享、數據運營、情報分發、威脅情報消費的行業閉環，開展技術咨詢、分析報告、情報賦能等商業合作。36 附錄 5 奇安信數據安全事業部 在國家數字化轉型以及“數據要素”市場持續利好的背景下，奇安信集團戰略布局數據安全市場，將提升數據安全領域核心競爭力和影響力設為“主攻專項”。為貫徹落實數據安全戰略目標，聚焦以客戶為中心的價值理念，奇安信集團深度整合公司內部

87、及行業內的頂尖數據安全技術專家、一流資深顧問、專業的相關技術團隊，正式成立奇安信數據安全事業部。事業部下設有戰略咨詢規劃團隊、解決方案團隊、產品市場團隊、產品規劃團隊、技術與架構團隊和綜合支持團隊等，并重構了三大產品事業部即數據安全事業部、零信任事業部和代碼安全事業部。目前，事業部團隊人員規模超 500 人，其中本科以上學歷占比 95%以上，碩士研究生以上學歷占比 50%，主要負責奇安信集團數據安全相關架構設計、產品研發、工程實踐、產品推廣等，承擔的相關項目已形成數十項重點科研成果，包括產品技術鑒定證書、型號證書，以及發明專利、軟件著作權等。奇安信數據安全事業部在國內設立了多個研發分支機構，以

88、加強數據安全前瞻性技術創新為核心，探索構建多層次的數據安全產品及技術服務體系，持續性推出系列工具和方案，在幫助政企客戶應對數字時代的數據安全難題的同時，更好地基于能力框架下進行數據安全體系建設，提升整體數據安全水平。奇安信也將豐富的數據安全經驗貢獻給國家及行業，已先后參與十余個國家標準項目的編制工作。為助力客戶破解數據安全的困境，形成體系化的數據安全保護能力，奇安信基于行業領先的產品技術積累及對數據安全領域的創新實踐，于 2023 年正式對外發布奇安天盾數據安全保護系統。奇安天盾以數據資產為核心，基于零信任架構理念，構建以“事件監測、風險分析、策略調整、訪問控制”為核心能力的閉環體系，提供覆蓋

89、數據全生命周期和數據全流程要求的產品解決方案，讓數據安全風險能看清，內鬼能管好，攻擊能防住。奇安天盾數據安全保護系統滿足近 20 個功能方向，覆蓋數據實體防護、數據防泄露、數據安全運維、數據權限精準管控、數據交易共享、數據跨境檢測、數據安全管理平臺等領域，實現數據資產管理、敏感數據識別、終端數據管控、外發郵件管控、數據流轉管控、數據訪問監測、數據脫敏、賬號自動發現與安全存儲、賬號自動改密、庫表級運維訪問控制、API 資產識別與防護等功能，可以滿足政企組織客戶“一站式”數據安全建設需要。奇安信旗下多款數據安全產品，全面通過了中國信通院在開展的七大品類的測評認證，成為首家獲得全套數據安全產品測評資

90、質證書的網絡安全企業。奇安信數據安全產品目前已覆蓋數千家政企組織客戶，在政務、金融、運營商、能源、醫療等行業獲得成功實踐，樹立了多個標桿項目。據 IDC 調研數據，奇安信數據安全軟件在2022 年下半年和 2023 年上半年連續排名市場第一，同時以 8.4%的市場份額繼續擴大領先優勢；2023 年第三季度財報顯示，奇安信數據安全產品收入較去年同期增長超 30%；多款創新型產品的市場占有率和競爭力持續領跑行業。37 附錄 6 奇安信行業安全研究中心 奇安信行業安全研究中心（以下簡稱中心）是奇安信集團旗下，專注于行業網絡安全研究的機構，為政府、公安、軍隊、保密、交通、金融、醫療衛生、教育、能源等行

91、業客戶及監管機構提供專業安全分析與研究服務。中心以奇安信集團的安全大數據、全球威脅情報大數據為基礎，結合前沿網絡安全技術、國內外政策法規，以及上萬起應急響應事件的處置經驗，全面展開行業級、領域級、國家級網絡安全研究。中心自 2016 年成立以來，已累計發布各類專業研究報告一百余篇，共計三百余萬字，在勒索病毒、信息泄露、網站安全、APT、應急響應、人才培養等多個領域的研究成果受到海內外網絡安全從業者的高度關注。同時，中心還聯合各個專業團隊，主編出版了多本網絡安全圖書專著，包括走進新安全、透視 APT、應急響應技術實戰指南、工業互聯網安全-百問百答、內生安全-新一代網絡安全框架、紅藍攻防等，為網絡

92、安全知識的深度傳播做了重要的貢獻。38 附錄 7 天際友盟 一直以來，天際友盟秉承“創造安全價值”的理念，致力于提供全生命周期的數字風險防護服務，為客戶的數字化業務保駕護航。天際友盟以專注的威脅情報技術研究能力為支撐，以成熟多樣的產品與服務落地，將數字風險防護與威脅情報的價值應用到眾多客戶的多樣行業場景之中。目前在北京、上海、深圳、廣州、珠海、西安、沈陽、長春、哈爾濱、長沙、石家莊、太原、香港、澳門等多地天際友盟均設有分支機構，為全國各地的客戶及合作伙伴提供及時、高效、優質的服務。作為國內核心廠商代表，天際友盟參與了威脅情報國標信息安全技術 網絡安全威脅信息格式規范 Information s

93、ecurity technologyCyber security threat information format（GB/T 36643-2018）及其他多個國家標準的制定工作，并在國內率先推出遵循國家標準要求的情報應用系列產品與解決方案。此外，天際友盟還與 IBM X-Force、Rapid7、Avira、Palo Alto、奇安信、啟明星辰、藍盾、火絨等數十家國內外一線安全廠商一起，通過“全球情報合作伙伴”計劃、“烽火臺安全威脅情報聯盟”、“TI Inside”聯盟等形式結為長期合作關系，共同推動國內安全情報在技術、標準、產品、服務及解決方案層面的合作與創新。39 目前，天際友盟的產品與

94、解決方案，已在國內近百余家客戶中落地應用，遍布政府、金融、互聯網、通信、能源等多個行業，輔助客戶完善安全體系，提升安全能力，為客戶切實解決了問題，體現安全對業務的價值。數字風險防護服務數字風險防護服務 隨著數字化進程的加快，企業對于 DRP（Digital Risk Protection）數字風險防護管理的需求與日俱增，其數字足跡、數字資產，甚至高管的個人形象都可能成為不法分子的攻擊目標。保護關鍵數字資產與數據免受外部威脅，提升在線業務運營穩健性的價值毋庸置疑。DRP 數字風險防護是與企業數字化轉型配套的業務安全解決方案。天際友盟致力于為企業提供涵蓋識別、監測、響應、恢復全生命周期的數字風險管理。通過多種威脅情報來源匯聚、多維度內容識別與分析引擎、專業威脅與風險分析能力、覆蓋全球平臺的關停處置網絡、專業的法律服務支持團隊、SaaS 化的服務支撐平臺，天際友盟將多種專業能力有機結合，構建了完備的 DRP 數字風險防護支撐能力，可以協助客戶建立現代企業成熟的數字風險防范體系，清理數字風險隱患、對抗行業風險潮汐、培養內部風險意識、完善應急響應機制，為數字時代的業務安全保駕護航。