《奇安信：2024中國政企機構數據安全風險研究報告（42頁）.pdf》由會員分享，可在線閱讀，更多相關《奇安信：2024中國政企機構數據安全風險研究報告（42頁）.pdf（42頁珍藏版）》請在三個皮匠報告上搜索。

1、 1 主要觀點 數據泄露是數據安全領域的核心問題。在 2024 年全球公開報道的 201 起數據安全事件中，數據泄露事件為 170 起，占比高達 84.6%?？纱_認的泄露數據超過 122.7TB，較 2023年的 51.8TB 增長 136.9%；共計泄露數據 471.6 億條，較 2023 年的 103.8 億條增長354.3%。此外，2024 年，奇安信威脅情報中心累計監測到境內政企機構數據泄露風險事件 156 起，至少 299.5 億條各類數據存在泄露風險。數據勒索，已經成為數據泄露最主要的原因之一。在 2024 年全球公開報道的 201 起數據安全事件中，勒索攻擊事件共有 92 起，占

2、比為 45.8%。勒索攻擊事件的發生，通常會造成數據破壞和數據泄露。而在所有的勒索攻擊事件中，共有 55 起為單純的數據勒索事件，占比勒索攻擊事件總量的 59.8%，占所有 170 起數據泄露事件的 32.4%。個人信息是數據泄露和黑產交易的主要數據類型，嚴重危害公民和社會安全。從全球重大數據泄露事件公開報道數量來看，44.7%的事件涉及個人信息，可泄露個人信息數量高達 343.7 億條。而在境內政企機構數據泄露風險事件中，71.8%的事件涉及個人信息，可造成個人信息泄露數量多達 266.9 億條，相當于 14 億中國人平均每人可泄露約 19 條個人信息數據。網盤、文庫、代碼托管等互聯網知識共

3、享平臺也是數據泄露的重要渠道，內部人員與合作伙伴是造成此類數據泄露事件的罪魁禍首。統計顯示，數據在互聯網知識共享平臺上泄露的首要原因是內部人員泄露，占比 32.3%；其次是合作伙伴泄露，占比 23.7%；明確為外部攻擊導致的數據泄露事件僅為 5.0%。API 安全是數據安全的重要一環。研究顯示，平均每家機構擁有 API 接口 10926 個，擁有敏感數據傳輸 API 接口 942 個。平均每家機構擁有各類系統應用 1651 個，平均每個系統擁有 API 接口 516 個，擁有敏感數據傳輸 API 接口約 45 個。金融行業、各地大數據局、醫療衛生等行業是傳輸敏感數據 API 接口最多、傳輸敏感

4、字段較多的行業，應當特別加強 API 安全建設與管理。數據安全建設，應當遵循內生安全原則，從設計規劃之初就把數據分類分級、數據防泄露、防勒索、API 安全、跨境數據治理等關鍵問題列入整體規劃，確保數據安全工作與數字化建設同步規劃、同步建設、同步運行，用系統性的方法解決數字系統的安全問題。摘 要 綜合形勢篇 2024 年 1 月12 月，安全內參共收錄全球政企機構重大數據安全新聞事件 201 起，其中，數據泄露事件為 170 起，占比 84.6%。泄露數據超過 122.7TB，較 2023 年增長136.9%；共計泄露數據 471.6 億條。較 2023 年增長 354.3%。2024 年 1

5、月12 月，在公開報道的全球政企機構重大數據安全事件中，20.2%發生在 IT信息技術企業；其次是生活服務業，占比為 12.8%；互聯網行業排第三，占比 12.2%。從事生原因來看，71.8%的重大數據安全事件是由于外部威脅導致的，28.2%是由于內部原因和其他原因導致的。在內部原因中，操作失誤占比 6.9%、內鬼泄露占比 6.4%，合作伙伴泄露占比 2.1%。從全球重大數據泄露事件公開報道數量來看，44.7%的事件涉及個人信息；19.7%的事件涉及商業機密；9.6%的事件涉及用戶數據和政府機密。數據泄露篇 2024 年 1 月12 月，奇安信威脅情報中心累計監測到境內政企機構數據泄露風險事件

6、156 起。合計約可泄露超過 299.5 億條各類數據；合計約有 23.9TB 數據信息。其中，71.8%的事件涉及個人信息泄露，可造成個人信息泄露數量多達 266.9 億條，相當于 14億中國人平均每人可泄露約 19 條個人信息數據。2024 年，網絡安全威脅情報生態聯盟（CEATI 聯盟）成員天際友盟共監測到互聯網知識共享平臺數據泄露事件 4137 起，涉及 22 個行業的 134 個家機構。其中，金融行業對此類問題最為重視，互聯網行業、政府及事業單位存在此類問題的風險更高。內部人員和合作伙伴是互聯網知識共享平臺數據泄露事件的主要“元兇”，二者之和占比達到 56.0%。運營風險篇 2024

7、 年，奇安信集團共為國內 80 家大型政企機構提供了數據安全檢測服務，涉及 8 個主要行業。平均每家機構擁有 API 接口 10926 個，擁有敏感數據傳輸 API 接口 942 個。平均每家機構擁有各類系統應用 1651 個，平均每個系統擁有 API 接口 516 個，擁有敏感數據傳輸 API 接口約 45 個。從傳輸敏感信息的數量來看，醫療行業機構平均每天通過 API 接口傳輸的敏感數據多達 54683 條，是排名第二的政府及事業單位 22907 條的 2.4 倍。大數據局排名第三，為平均每天 12424 條。在所有被檢測機構中，存在跨境敏感數據傳輸行為的API接口數約占接口總數的3.1%

8、。其中，政府及事業單位最高，為 10.1%；其次是教育行業 9.5%，能源行業 3.4%。關鍵詞：關鍵詞：數據安全、數據要素、公開事件、互聯網平臺、數據泄露、數據破壞、數據篡改、勒索、商業機密、個人信息 目 錄 研究背景.1 綜合形勢篇.2 第一章 全球公開數據安全事件形勢分析.2 一、事件綜述.2 二、行業分布.4 三、事發原因.4 四、事件影響.5 數據泄露篇.7 第二章 境內機構數據泄露風險分析.7 一、行業分布.7 二、泄露類型.7 三、個人信息.9 四、關鍵字段.10 第三章 互聯網平臺數據泄露監測分析.11 一、行業分布.11 二、泄露類型.12 三、泄露原因.13 四、典型案例.

9、13 運營風險篇.17 第四章 API 敏感數據傳輸風險分析.17 一、數據安全檢測行業分布.17 二、敏感數據傳輸風險.18 三、個人信息傳輸風險.19 四、各行業敏感字段舉例.19 五、跨境敏感數據傳輸.20 六、安全建議.20 附錄 1 2024 數據安全政策與法規建設盤點.22 一、數據安全治理能力通用評估方法行標發布.22 二、國家網信辦公布促進和規范數據跨境流動規定.22 三、國家網信辦發布數據出境安全評估申報指南(第二版)和個人信息出境標準合同備案指南(第二版).23 四、汽車企業數據安全管理體系要求團體標準正式發布.23 五、自然資源領域數據安全管理辦法印發.24 六、民航數據

10、管理辦法民航數據共享管理辦法行業內征求意見.25 七、會計師事務所數據安全管理暫行辦法：建立行業規范，筑牢數安防線.25 八、2024 年度北京地區電信和互聯網行業數據安全管理實施方案發布.26 九、網絡數據安全管理條例發布.27 十、工業和信息化領域數據安全合規指引發布.28 十一、中國互聯網金融協會發布金融數據安全治理實施指南等 3 項數據安全標準 28 十二、國家發改委等六部門印發關于促進數據產業高質量發展的指導意見.29 附錄 2 2024 年全球數據泄露事件泄露數據排行榜.30 附錄 3 2024 年全球勒索攻擊事件勒索贖金排行榜.31 附錄 4 網絡安全威脅情報生態聯盟.32 附錄

11、 5 奇安信數據安全事業部.33 附錄 6 奇安信行業安全研究中心.35 附錄 7 天際友盟.36 1 研究背景 近年來，數據已成為產業發展的創新要素，不僅在數據科學與技術層次，而且在商業模式、產業格局、生態價值與教育層面，數據都能帶來新理念和新思維。大數據與現有產業深度融合，在人工智能、自動駕駛、金融商業服務、醫療健康管理、科學研究等領域展現出廣闊的前景，使得生產更加綠色智能、生活更加便捷高效，逐漸成為企業發展的有力引擎，在提升產業競爭力和推動商業模式創新方面發揮越來越重要的作用。一些信息技術領先企業向大數據轉型，提升對大數據的認知和理解的同時，也要充分意識到大數據安全與大數據應用也是一體之

12、兩翼，驅動之雙輪，必須從國家網絡空間安全戰略的高度認真研究與應對當前大數據安全面臨的復雜問題。如：數據安全保護難度加大、個人信息泄露風險加劇等。數據技術時代，數據成為業務發展核心動力，也成為黑客的主要目標。對于數據擁有者來講，數據泄露幾乎等同于經濟損失。在開放的網絡化社會，蘊含著海量數據和潛在價值的大數據更受黑客青睞，近年來也頻繁爆發信息系統郵箱賬號、社保信息、銀行卡號等數據大量被竊的安全事件。分布式的系統部署、開放的網絡環境、復雜的數據應用和眾多的用戶訪問，都使得大數據在保密性、完整性、可用性等方面面臨更大的挑戰。為更加充分的研究政企機構數據安全風險，奇安信行業安全研究中心聯合、奇安信數據安

13、全事業部、奇安信威脅情報中心、網絡安全威脅情報生態聯盟（CEATI）、天際友盟等研究機構，針對政企機構數據安全狀況及風險展開深入研究。本次研究分別從公開事件、數據泄露情報、數字品牌風險等幾方面，針對數據安全（包括數據泄露、數據篡改、數據破壞等）展開深入的研究。希望該項研究能夠對全國各地政企機構展開數據安全防護等建設規劃有所警示和幫助。2 綜合形勢篇 第一章 全球公開數據安全事件形勢分析 本章內容主要基于 安全內參 平臺收錄的全球范圍內公開的數據安全重大新聞事件展開全球數據安全形勢分析。一、事件綜述 2024 年 1 月12 月，安全內參共收錄全球政企機構重大數據安全新聞事件 201 起，其中，

14、數據泄露事件為 170 起，占比 84.6%。對比近 3 年的情況來看，在全球所有公開報道的重大數據安全事件中，數據泄露事件的占比從 51.7%一路增長到 84.6%，而數據破壞事件的比例則從 23.3%下降到 2.0%。數據泄露問題日益成為數據安全問題的核心痛點。越來越多的攻擊者從數據破壞轉向了數據竊取。造成數據泄露事件占比持續攀升的原因主要有兩個方面：首先，全球化的地下黑產數據交易活動日趨頻繁和成熟，竊取和非法販賣數據不僅有利可圖，而且回報豐厚，從而推動了數據泄露事件的持續高發。其次，數據泄露事件往往會給社會治安造成嚴重影響，因此也日益受到媒體的關注。數據泄露的內部根源復雜多樣，主要包括弱

15、口令等安全意識問題、漏洞修復不及時和互聯網端口暴露等技術問題、數據分類分級管理不到位等管理問題、第三方供應商的安全隱患問題，內部員工的內鬼問題等。從數據泄露的數量來看，在 2024 年公開報道的 170 起數據泄露事件中，可確認的泄露數據超過 122.7TB，較 2023 年的 51.8TB 增長 136.9%；共計泄露數據 471.6 億條。較 2023年的 103.8 億條增長 354.3%。攻擊者越來越多的將攻擊目標鎖定在大型政企機構上，單次事件造成的數據泄露數量動輒數十億條甚至上百億條。3 “附錄 2 2024 年全球數據泄露事件泄露數據排行榜”，給出了 2024 年全球公開報道的數據

16、安全事件中，數據泄露數量最多的 10 起數據安全事件。泄露數據最多的兩起事件，泄露數據均超過 100 億條。特別值得關注的是，在201起數據安全事件中，勒索攻擊事件共有 92起，占比為 45.8%。勒索攻擊事件的發生，通常會造成數據破壞和數據泄露。而在所有的勒索攻擊事件中，共有55 起為單純的數據勒索事件，占比勒索攻擊事件總量的 59.8%，占所有 170 起數據泄露事件的 32.4%。數據勒索，已經成為數據泄露最主要的原因之一。所謂數據勒索，是指攻擊者在竊取機密數據后，威脅受害者支付贖金，否則就將其竊取到的機密數據進行公開或銷售。在單純的數據勒索事件中，攻擊者不會對受害者的系統或數據進行加密

17、。這就與傳統的以數據加密為主要攻擊方式的勒索軟件攻擊形成了鮮明的區別。傳統的勒索團伙主要通過勒索軟件加密數據的方式向受害者勒索贖金。2020 年以后，部分定向勒索組織開始采用加密勒索與數據勒索相結合的方式進行“雙重勒索”，即勒索團伙在加密數據的同時，也會將大量商業機密數據竊取出來，如果受害者不肯支付贖金解密數據，勒索者不但不會向受害者提供解碼密鑰，還會威脅公開其竊取的商業機密數據。自 2023 年以來，越來越多的勒索團伙，包括傳統勒索軟件團伙，都開始從加密勒索轉向數據勒索，雙重勒索的情況也越來越少。按照某些勒索組織的說法，放棄加密數據的攻擊方式，可以盡可能的減小勒索活動對社會面的影響，即在不直

18、接影響社會生產、生活的情況下完成勒索。數據勒索帶來的巨大收益很正在吸引越來越多的黑產團伙參與其中?！案戒?3 2024 年全球勒索攻擊事件勒索贖金排行榜”給出了 2024 年公開報道的勒索攻擊事件中，贖金最高的 10 起勒索事件。這 10 起勒索事件的平均勒索贖金高達 2292.7 萬美元，贖金最高的一起勒索事件是美國藥品分銷巨頭 Cencora 公司遭遇的雙重勒索事件，贖金高達 7500 萬美元，約合 5.5 億元人民幣，攻擊者為勒索組織 Dark Angels。排名第二的事件是英國血液檢測公司 Synnovis 遭遇的純數據勒索事件，贖金高達 5000 萬美元，約和3.7 億元人民幣，攻擊

19、組織為 Kernelware。4 二、行業分布 2024 年 1 月12 月，在公開報道的全球政企機構重大數據安全事件中，20.2%發生在 IT信息技術企業；其次是生活服務業，占比為 12.8%；互聯網行業排第三，占比 12.2%。下圖給出了全球政企機構重大數據安全事件所涉及到的十大行業分布。三、事發原因 從事件發生的原因來看，71.8%的重大數據安全事件是由于外部威脅導致的，28.2%是由于內部原因和其他原因導致的。在內部原因中，操作失誤占比 6.9%、內鬼泄露占比 6.4%，合作伙伴泄露占比 2.1%。從攻擊者目的來看，68.4%的外部威脅目的為數據竊??；其次為數據篡改，占比 7.9%；5

20、 數據破壞，占比 5.3%。四、事件影響 根據數據的敏感度，我們把泄露的信息劃分為以下幾個類型：1）個人信息：公民個人身份、賬號卡號及行為信息等數據，主要包括：姓名、身份證、性別、婚姻狀況、固定資產、電話、地址、郵箱、賬號、密碼、工作、出行、防疫、保險信息等。本節包括實名信息（如姓名、電話、身份證、銀行卡、家庭住址等信息）、賬號密碼（如：各類網站登陸賬號密碼、游戲賬號密碼、電子郵箱賬號密碼等）、行為數據、保單信息、人臉指紋等個人信息。2）商業機密：企業經營活動中的商業機密信息，主要包括：客戶信息、員工信息、投資人信息、經銷商信息、業務合同、工程項目、內部報告、研究成果、核心數據庫數據等。3）用

21、戶數據：用戶使用互聯網軟件或服務時，產生或存儲的個人信息以外的其他數據。4）政府機密：有關政府部門的內部機密信息，主要包括：郵件、會議、重大項目、重要文件、國家事務決策文件等信息。5）內部文件：有關 IT 信息技術公司的內部文件，主要包括：行政文書、管理文件、業務合同，財務文件等信息。6）軟件源代碼：企業開發的軟件或網站系統平臺的源代碼，一般屬于企業的核心研發機密。接下來，我們分別從數據泄露事件公開報道的數量、泄露數據規模（GB）和數據泄露數量（條數）三維度，來分析數據泄露的具體類型及影響。從全球重大數據泄露事件公開報道數量來看，44.7%的事件涉及個人信息；19.7%的事件涉及商業機密；9.

22、6%的事件涉及用戶數據和政府機密。具體分布如下圖所示。從全球重大數據泄露事件數據泄露規模來看，在可確定的 122.7.7TB 泄露數據中（部分 6 公開事件未給出具體泄露數據規模），49612GB 的數據為商業機密數據，占比 40.4%；政府機密，25496GB，占比 20.8%；個人信息排名第三，14476GB，占比 11.8%。具體分布如下圖所示。從全球重大數據泄露事件泄露的數據泄露條數來看，在可確定的 471.6 億條泄露數據中（部分公開事件未給出具體泄露數據條數），343.7 億條為個人信息數據，占比 72.9%；其次是賬號口令 100.0 億條，占比 21.2%；商業機密 16.4

23、億條，排第三，占比 3.5%。具體分布如下圖所示。7 數據泄露篇 第二章 境內機構數據泄露風險分析 本章節將使用數據泄露風險事件這一概念對國內政企機構的數據泄露風險展開評估分析。所謂數據泄露風險事件，是指通過威脅情報監測，發現數據可能已經被泄露或數據存在巨大泄露風險的事件，主要包括以下三種類型：一是服務器或數據庫在互聯網上暴露，且存在無口令或弱口令等情況，數據可以被輕易獲??；二是已經泄露的數據在黑市/暗網上被交易或流通，有的是完整數據包已經流出，有的是出售方給出了樣本示例；三是有勒索攻擊組織通過博客、官網、郵件等渠道發出了公開勒索信，并給出了數據樣本示例和竊取數據規模。2024 年 1 月12

24、 月，奇安信威脅情報中心累計監測到境內政企機構數據泄露風險事件156 起。其中，明確監測到泄露數據數量的事件共有 123 條，約占事件總數的 78.8%，合計約可泄露超過 299.5 億條各類數據；明確監測到泄露數據包大小的事件共有 130 條，約占事件總數的 83.3%，合計約有 23.9TB 數據信息。一、行業分布 境內機構數據泄露風險事件主要涉及 11 個不同的行業。其中，涉及互聯網行業企業數據的事件占比 25.6%，排名第一。其次是政府及事業單位，占比為 16.7%。制造業排名第三，占比為 9.0%。從可泄露數據的數量來看，互聯網行業排名第一，可泄露數據近 181.3 億條，占比 60

25、.5%。其次是政府及事業單位，22.2 億條，占比 7.4%。交通運輸行業排第三，18.8億條，占比 6.3%，具體分布如下圖所示。二、泄露類型 奇安信威脅情報中心對數據泄露風險事件的情報信息進行了比較詳細的類型標注。從數 8 據本身的性質和類型來看，境內機構數據泄露風險事件中，個人信息泄露風險事件最多，共 112 起，占比 71.8%；商業機密泄露風險事件排第二，共 34 起，占比 21.8%；內部文件泄露風險事件排第三，共 18 件，占比 11.5%。如果同一事件涉及不同數據類型時會重復計算。按照可泄露數據的數據包大小來看：在所有可泄露數據中，涉及個人信息的可泄露數據約 16.8TB，占比

26、高達 70.3%，排名第一；其次是涉及商業機密數據約有 12.3TB，占比 51.4%；系統日志排名第三，約有 1.8TB，占比為 7.5%。如果同一事件涉及不同數據類型時會重復計算。此外，按照可泄露數據的數量來看：含有個人信息的數據，約有 266.9 億條，占可泄露數據總量的 89.1%；其次是含有內部文件的數據，約有 36.4 億條，占比為 12.2%。如果同一事件涉及不同數據類型時會重復計算。9 三、個人信息 從可泄露數據的數量上來看，個人信息數據是最多的。266.9 億條的個人信息泄露數據總量，相當于 14 億中國人平均每人泄露了約 19 條個人信息數據。從行業分布來看，互聯網行業可泄

27、露數據中，涉及個人信息的最多，高達 181.3 億條；其次是政府機構事業單位，約為 17.9 億條；金融業排第三，約為 15.9 億條。此外，醫療衛生、制造業、教育、建筑業等也都是個人信息數據泄露的大戶。除了常見的互聯網與 IT 信息技術外，在本次報告分析的海外數據暴露信息中，還可以看到多個能源或熱力公司存在數據泄露或數據暴露情況。我們看到存在 app 系統用戶數據暴露、電話客服數據庫暴露、繳費系統數據暴露等。其中常包含電話、姓名、地址、充電或繳費記錄等信息。10 四、關鍵字段 在可泄露個人信息的 112 起數據泄露風險事件中，我們整理出超 240 余個與個人信息相關的敏感關鍵詞，包括：姓名、

28、電話號碼、身份證號、手機號、家庭住址、車牌號、地址、出生日期等。統計顯示，“姓名”外，“電話號碼”出現概率最高，約 49.1%的個人信息泄露風險事件中含有“電話號碼”標簽。其次是“身份證號”，涉及 31.3%的個人信息泄露風險事件事件。手機號排第三，涉及 28.6%的個人信息泄露風險事件事件。根據各關鍵字出現頻次我們制作了下圖所示的詞云圖：11 第三章 互聯網平臺數據泄露監測分析 數據泄露的原因是多方面的，除了網絡攻擊、內鬼竊取等常見原因之外，通過互聯網知識共享平臺，直接面向所有網絡用戶泄露單位內部文件、軟件代碼等商業機密信息的情況也非常普遍。在本章中，我們將結合網絡安全威脅情報生態聯盟（CE

29、ATI 聯盟）成員天際友盟的運營數據，對互聯網知識共享平臺上的數據泄露情況展開詳細分析。一、行業分布 2024 年，天際友盟受客戶委托對互聯網知識共享平臺進行數據泄露的定向持續監測。2024 年 1 月11 月，共發現數據泄露事件 4137 起，涉及 22 個行業的 134 個家機構。從委托監測的機構數量來看：金融行業最多，共 53 家，占比為 39.3%，其次是互聯網行業 16 家，占比 11.9%；能源業 14 家，占比 10.4%。此外，政府機構及事業單位、房地產、教育等，也都是對自身數據泄露問題更加關注，委托監測機構數量相對較多的行業。而從監測結果來看，金融行業在互聯網知識共享平臺上的

30、數據泄露事件最多，共 1426起，占比 34.5%；其次是能源行業 659 起，占比 15.9%；互聯網行業排第三，共 447 起，占比 10.8%。下圖給出了不同行業機構在互聯網知識共享平臺上監測到數據泄露事件的平均數。其中醫療衛生行業最高，平均每個機構監測發現數據泄露事件95起，其次是能源行業平均47起，生活服務行業平均 34 起。此外，制造業、互聯網、金融業等行業，也是在互聯網知識共享平臺上發生數據泄露事件較多的行業。12 二、泄露類型 從數據泄露的類型上來看，在互聯網知識共享平臺上泄露的數據主要包括三大類型，分別是普通文檔、源代碼泄露和盜版數據。其中，普通文檔占比最高，為 86.4%。

31、統計顯示，文檔泄露事件的高發地段以中文互聯網平臺為主，包括 CSDN（全平臺），百度文庫，道客巴巴，豆丁，360 文庫，360Doc，原創力文檔，MBA 智庫等 20 余個知識共享平臺。其中，排名 TOP5 的平臺，相關的文檔泄露事件總和，占到文檔泄露事件總量的 89%。此外，Github 和 Gitee 則是源代碼泄露事件發生的主要平臺。下圖給出了互聯網知識共享平臺上泄露文檔的主要細分類型分布，其中，機構內部規章制度、管理辦法、招聘試題，占比最高，為 22.3%，其次是市場宣傳材料，占比 14.8%；財務報表、機構戰略分析報告等商業機密信息占比 10.7%，排名第三。產品技術文檔、項目規劃、

32、部署方案、計劃書等也是比較主要的文檔泄露類型。13 三、泄露原因 2024 年，天際友盟應急響應服務中心累計協助用戶處置及溯源互聯網知識共享平臺數據泄露事件 560 起，其中文檔泄露事件 458 起，源代碼泄露事件 102 起。溯源分析顯示，造成政企機構內部數據在互聯網知識共享平臺上泄露的首要原因是內部人員泄露，占比 32.3%；其次是合作伙伴泄露，占比 23.7%；明確為外部攻擊導致的數據泄露事件僅為 5.0%。另一方面，由于缺乏充分的數據安全管理措施和技術手段，約四成，即 39%的相關數據泄露事件無法溯源。四、典型案例 本小節案例主要來自天際友盟數據泄露防護服務客戶真實案例。相關泄露信息在

33、被發現后的第一時間（112 小時內）均已被溯源并刪除。14 1.1.某證券機構內部文件在豆丁網上泄露某證券機構內部文件在豆丁網上泄露 2024 年 1 月，監測發現某證券機構的經營報告被上傳到豆丁網，供網友免費下載。相關材料有“僅限內部瀏覽”的字樣。此事件屬于一般商業機密泄露。15 2.2.某金融機構的數據中心實施方案在道客巴巴上被公開某金融機構的數據中心實施方案在道客巴巴上被公開 2024 年 3 月，監測發現某金融機構數據中心實施方案被發布在道客巴巴上，且可免費下載。數據中心實施方案事關重大，與數據安全息息相關，不僅涉及業務數據，同時還擁有大量用戶資料。3.3.某軍旅小說被非法搬運至多個盜

34、版閱讀平臺某軍旅小說被非法搬運至多個盜版閱讀平臺 202 年 5 月，某軍旅小說在多個閱讀網站上架供訪客免費閱讀，且已吸引了不少讀者，這不僅嚴重影響了版權方和作者的經濟收益，同時也侵害了購買官方資源的消費者的權益，甚至引起了消費者對合法授權平臺的不滿，嚴重損害其品牌形象。4.4.某信用社招聘試題在百度文庫上可免費下載某信用社招聘試題在百度文庫上可免費下載 2024 年 8 月，某信用社的招聘試題被發布到百度文庫上供網友們免費下載參考。該試題會嚴重影響招聘遵守的公平性，造成一定程度上的人才流失。5.5.某企業的本科畢業實習上名單在道客巴巴上付費瀏覽某企業的本科畢業實習上名單在道客巴巴上付費瀏覽

35、16 2023 年月，天際友盟監測到某企業的實習生名單早在 2012 年被公開上傳到道客巴巴，此事件泄露了學生個人信息，對企業聲譽造成一定負面影響。6.6.國內知名互聯網公司的源代碼被分享至托管服務平臺國內知名互聯網公司的源代碼被分享至托管服務平臺 2023 年 4 月，國內金融領域某頭部企業的部分源代碼被公開在代碼共享網站 Github 上。泄露代碼中包含企業某業務系統的賬號與密碼。此事件屬于重要商業機密泄露，同時對其用戶的隱私與賬戶安全均造成重大潛在威脅。17 運營風險篇 第四章 API 敏感數據傳輸風險分析 應用程序或系統的 API 接口，是數據傳輸與交換的主要途徑之一。對于傳輸敏感數據

36、的API 接口，應當進行嚴格的權限限制并采取必要的數據保護機制，以確保數據不會被竊取、破壞或篡改。本章內容主要基于奇安天盾數據安全保護系統 API 安全監測能力，分析敏感數據通過 API 接口進行傳輸時的安全風險。所謂敏感數據，主要是指未經個人或機構授權而被他人使用時，有可能給個人、機構或社會帶來嚴重損害的數據信息。以GB/T 35273-2017 信息安全技術個人信息安全規范為例，個人敏感數據有：個人財產信息（存款、信貸、消費流水）、個人健康生理信息（體檢信息、醫療記錄）、個人身份信息（身份證、社?？?、駕駛證）等。在本報告中，敏感數據的界定是以 GB/T 35273-2017 等相關國家標準

37、及各行業主要法規及相關技術標準為參照。2024 年 111 月，應客戶邀請，奇安信集團共為 80 家大型政企機構提供了數據安全檢測服務，涉及 8 個主要行業。我們抽樣了其中 78 家重要機構累計 1851 天的檢測結果進行分析，共檢出各類 API 接口 852253 個，平均每家機構擁有 API 接口 10926 個；涉及各類系統應用 1651 個，平均每個系統擁有 API 接口 516 個；其中，共檢出有敏感數據傳輸行為的 API接口 73480 個，占比約為 8.6%；平均每家機構擁有敏感數據傳輸 API 接口 942 個；平均每個系統擁有敏感數據傳輸 API 接口約 45 個。本章內容將

38、結合檢測結果對不同行業數據安全情況展開對比分析。一、數據安全檢測行業分布 下圖給出了 2024 年奇安信為全國政企機構提供數據安全檢測服務的行業分布情況。其中，醫療衛生行業最多，占比 45.5%，其次是各地大數據局，占比 14.9%。政府及事業單位排第三，占比 10.4%。18 二、敏感數據傳輸風險 不同行業機構傳輸敏感數據的 API 接口數量也有很大的差異。其中，金融行業最值得關注，平均每個有多達 1273 個 API 接口會傳輸敏感數據，涉及敏感字段多達 67 個。此外，各地大數據局、醫療衛生等行業也是傳輸敏感數據 API 接口較多、傳輸敏感字段較多的行業，應當特別加強 API 安全建設與

39、管理。從傳輸敏感信息的數量來看，醫療行業機構平均每天通過 API 接口傳輸的敏感數據多達 54683 條，是排名第二的政府及事業單位 22907 條的 2.4 倍。大數據局排名第三，為平均每天 12424 條。19 三、個人信息傳輸風險 在所有敏感數據中，涉及自然人的信息，也就是個人信息，最受業界和社會關注。下圖給出了不同行業機構通過 API 傳輸的敏感數據中，涉及不同自然人人數的情況。政府機構排名第一，每家單位的 API 接口平均每天傳輸 2212 個不同自然人的個人信息敏感數據，遠遠高于其他行業。金融（1544 人/天）、醫療衛生（446 人/天）和教育（392 人/天）分列第二、第三、第

40、四位。四、各行業敏感字段舉例 下面是我們對一些主要行業敏感數據的敏感字段舉例說明。在實際系統中，敏感字段的數量要遠遠高于本報告給出的示例。政府及事業單位政府及事業單位：【個人敏感信息】檔案編號、密碼、身份證號、未成年人身份證號、醫院名稱、銀行卡號、證件號碼、證件類型【個人工作信息】用戶名、密碼、組織機構名稱、地址、單位名稱、專業、工作流程名稱 金融金融：【個人敏感信息】身份證號、未成年人身份證號、銀行卡號、證件類型、證件照片【個人財產信息】產品名稱、車架號、車牌號、賬戶余額【個人基本信息】出生日期、年齡、手機號、性別、姓名【交易信息】時間、日期、貸款金額、個人賬戶、應付所得稅額、月繳存額、賬戶

41、編號、總費用、銀行名稱 醫療衛生醫療衛生：【個人敏感信息】身份證號、家庭住址、銀行卡號、未成年人身份證號、用戶名、口令密碼、畢業學?！净颊咝畔ⅰ炕颊呔幪?、患者姓名、疾病史、醫?？ㄌ?、家庭關系、家庭住址、患者身份證號【就診信息】就診 id、病人標識、組織機構名稱、住院號、病床號、入院科室名稱、科室編碼、簽名方式、住院/門診號、主治醫師姓名、病案號、劑量 教育教育：【個人敏感信息】姓名、手機號、身份證號、電子郵件地址、用戶名、銀行卡號、賬戶余額、支付金額、小區名稱、家庭住址【教育工作信息】學生編號、學校名稱、課 20 程名稱、班級、課程 ID、學生姓名、班級編號、學生名稱、卷號、課程編號、考試地點

42、、是否通過、監考人、違紀扣分、畢業學校、最終考試成績 大數據局大數據局：【個人敏感信息】身份證號、未成年人身份證號、銀行卡號、證件類型、證件號碼、密碼、殘疾人證號、余額【個人財產信息】車牌號、總金額、建筑面積、社保狀態、幣種、不動產單元號、繳存基數、人員繳費基數、房屋幢號、繳納金額、權利人名稱 能源能源：【個人敏感信息】身份證號、密碼、證件類型、銀行卡類型、開戶行、未成年人身份證號、證件號碼【行業特殊信息】加油站名稱、油名稱、客戶編號、單價、油罐編號、原始體積、原油體積、開始水高度、開始水體積、開始溫度、開始油高度、開始油體積 五、跨境敏感數據傳輸 基于 API 接口的流量數據監測，也是分析數

43、據跨境流動最為有效的、最為普遍的方法之一。本次研究針對 78 家大型政企機構檢測結果的抽樣分析顯示，在所有存在傳輸敏感數據行為的 73480 個 API 接口中，共有 2293 個 API 接口存在跨境數據傳輸行為，占比約為 3.1%。其中，政府及事業單位存在跨境敏感數據傳輸行為的 API 接口數量占比最高，為 10.1%；其次是教育行業 9.5%，能源行業 3.4%。其他各行業存在跨境敏感數據傳輸行為的 API 接口數量占比均在 0.6%2.6%左右。事實上，從數據治理實踐的角度來看，絕大多數企業都很難從純粹的業務角度，說清自身究竟都有哪些數據會進行跨境傳輸。因為絕大多數的業務系統，即便不是

44、專門用于提供跨境服務的業務系統，也不能百分百的確保與自身相連的其他業務系統沒有海外接入點，或確保自身沒有海外用戶（包括個人用戶和機構用戶）。這也是大型政企機構亟需專業安全機構協助其進行數據跨境流轉安全檢測的主要原因。六、安全建議 1.1.數據安全規劃數據安全規劃 API 的安全管理是一項復雜的系統工程，必須堅持安全工作與系統開發、系統運營同步 21 進行。對于計劃建設或正在建設的大數據平臺，應遵循內生安全原則，充分做好數據安全整體規劃，努力避免 API 接口超范圍數據共享事件的發生。特別是對于服務范圍比較廣泛的大數據平臺，在 API 接口上線之前，應當邀請專業安全團隊進行充分的安全測試，盡力確

45、保系統是安全無漏洞的。2.2.數據安全監測數據安全監測 對于已經完成建設并投入使用的大數據平臺，在系統運營過程中，應當建立 API 安全監測系統，充分記錄和分析 API 的訪問信息、有效識別敏感數據的傳輸路徑；一旦發現違規、非法、超范圍的敏感數據傳輸，應及時采取有效措施進行封堵，及時修復新發現的安全漏洞。3.3.數據安全管理平臺數據安全管理平臺 有條件的單位，可以進一步部署 API 安全網關、建設數據安全管控平臺?；陲L險分析結果關聯上報數據安全管控平臺，由數據安全管控平臺下達控制策略指令至 API 安全網關進行安全防護策略執行，保障數據泄露風險。4.4.跨境數據安全治理跨境數據安全治理 相關

46、監測與調研工作顯示：盡管目前國內很多存在海外業務的機構都已經在積極開展跨境數據流轉的治理工作，但仍普遍缺乏科學的、整體的數據安全規劃，特別是嚴重缺乏必要的技術手段來支撐跨境數據的治理工作。同時，更加值得關注的是，對于絕大多數沒有海外分支機構的政企單位而言，在其對內、對外提供大數據平臺支撐服務時，往往沒有意識到其可能存在的跨境數據流轉風險。對于在建的大數據平臺，應當遵循內生安全原則，從設計規劃之初就把跨境數據治理列入整體的數據安全規劃。而對于已經在運行中的大數據平臺，應當及時建立跨境數據監測系統，監測高敏數據的流轉和違規出境問題。22 附錄 1 2024 數據安全政策與法規建設盤點 作為第五大生

47、產要素，數據資源的運用，對推進數字中國、數字經濟、數字社會規劃和建設等起著不可忽視的重要作用。本文將以時間為軸，以大事件為線回顧 2024 年與數據安全緊密相關的重大政策和文件，以及背后的演進軌跡。一、數據安全治理能力通用評估方法行標發布 2024 年 1 月，工業和信息化部公告批準發布多項行業標準，由中國通信標準化協會提出并歸口，由中國信通院牽頭制定的 YD/T 4558-2023數據安全治理能力通用評估方法發布，標準將于 4 月 1 日實施。該標準提出了數據安全治理能力通用評估方法，包括評估實施方法，評估結果等級劃分和數據安全治理能力在各等級的具體要求和評估細則，適用于企業針對其擁有的數據

48、開展數據安全治理工作，為其數據安全治理能力評估提供參考和指引。該標準提煉出企業的數據安全治理能力體系框架，包括數據安全戰略、數據全生命周期安全、基礎安全三層 15 個能力項。標準還提出圍繞該框架的通用評估方法，即從組織架構、制度流程、技術工具、人員能力四個治理維度進行綜合評估，并將評估結果分為 5 個治理等級，分別是初始級、重點執行級、全面治理級、量化評估級和持續優化級。二、國家網信辦公布促進和規范數據跨境流動規定 23 3 月 22 日，國家互聯網信息辦公室公布促進和規范數據跨境流動規定（以下簡稱規定），自公布之日起施行。國家互聯網信息辦公室有關負責人表示，數據跨境流動已經成為全球資金、信息

49、、技術、人才、貨物等資源要素交換、共享的基礎。為了促進數據依法有序自由流動，激發數據要素價值，擴大高水平對外開放，規定對數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度作出優化調整。規定明確了重要數據出境安全評估申報標準，提出未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估。三、國家網信辦發布 數據出境安全評估申報指南(第二版)和 個人信息出境標準合同備案指南(第二版)2024 年 3 月，為了指導和幫助數據處理者規范有序申報數據出境安全評估、備案個人信息出境標準合同，國家互聯網信息辦公室編制并發布了數據出境安全評估申報指南

50、（第二版）、個人信息出境標準合同備案指南（第二版），對申報數據出境安全評估、備案個人信息出境標準合同的方式、流程和材料等具體要求作出了說明，對數據處理者需要提交的相關材料進行了優化簡化。指南提出了數據處理者因業務需要向境外提供重要數據和個人信息，應當遵守數據出境安全評估辦法、個人信息出境標準合同辦法 和 促進和規范數據跨境流動規定有關規定。符合數據出境安全評估適用情形的，按照申報指南申報數據出境安全評估；通過與境外接收方訂立個人信息出境標準合同的方式向境外提供個人信息的，按照備案指南向所在地省級網信部門備案。四、汽車企業數據安全管理體系要求團體標準正式發布 2024 年 3 月 19 日，由中

51、國汽車工業協會數據分會組織制定的團體標準 T/CAAMTB 189-2024汽車企業數據安全管理體系要求正式發布。該標準主要針對汽車企業數據安全管理體系提出相關要求，標準整體框架基于現行數據安全法律、法規和標準的內容進行確定，并 24 充分參考了 GB/T 22080-2016，ISO/IEC 27001:2013 兩個標準的要求。該標準的發布與實施有效填補了我國汽車行業在數據安全管理體系規范方面存在的空白，對于我國汽車企業落實 工業和信息化部關于加強智能網聯汽車生產企業及產品準入管理的意見和工業和信息化部關于加強車聯網網絡安全和數據安全工作的通知中對智能網聯汽車生產企業以及車聯網服務提供商“

52、建立健全汽車數據安全管理體系”的要求有著指導意義。該標準可以為企業的數據安全管理實踐提供有益指導，助力企業更高效地管理和保護其數據資產。此外，在維護個人隱私權益和提升行業數據安全管理能力方面也可發揮重要作用。五、自然資源領域數據安全管理辦法印發 2024 年 3 月 22 日，自然資源部印發了自然資源領域數據安全管理辦法（簡稱為“管理辦法”），標志著自然資源領域數據安全管理尤其是重要數據管理制度逐項落地。管理辦法 進一步細化了自然資源領域的數據安全要求，為相關數據處理活動提供了明確的指導和規范，也將會對包括測繪和地圖服務提供商、自動駕駛公司、智能網聯汽車企業在內的相關數據處理者產生實質影響。2

53、5 管理辦法響應了數據安全法中的國家數據安全工作協調機制，為自然資源領域的數據安全管理提供了指引，特別是進一步推動了該領域國家重要數據和核心數據的識別、分類分級保護以及數據安全風險信息的監測、分析、研判和預警等機制的落地。相關數據處理者后續應保持對數據目錄和重要數據監管具體要求的關注，及時調整自身數據處理行為以及采取相關合規措施，避免由管理辦法落實帶來的合規風險。六、民航數據管理辦法 民航數據共享管理辦法行業內征求意見 2024 年 3 月，為落實數字中國建設整體部署，進一步加強和規范民航數據管理，保障數據安全，促進數據共享，激發數據價值，提升行業治理能力和服務水平，更好支撐民航高質量發展，按

54、照智慧民航建設工作安排，智慧民航建設領導小組辦公室（以下簡稱智慧辦）組織編制了 民航數據管理辦法（征求意見稿）民航數據共享管理辦法（征求意見稿）并公開征求意見。民航數據管理辦法旨在落實數字中國建設要求，加強和規范民航數據管理，保障數據安全，促進數據共享，提升行業治理和服務水平，明確了民航數據的定義、分類、處理主體及職責分工，并規定了數據采集、治理、共享、應用、安全及監督保障等方面的具體要求。民航數據共享管理辦法則進一步細化了數據共享的目標、適用范圍、共享類型、目錄管理、數據歸集、獲取與使用等流程，旨在促進民航數據的有序合規共享和高效融合應用，激活數據要素潛能，提升民航行業的整體效能和安全性。七

55、、會計師事務所數據安全管理暫行辦法：建立行業規范，筑牢數安防線 2024 年 5 月，財政部和國家網信辦近日聯合印發會計師事務所數據安全管理暫行辦法（以下簡稱暫行辦法）。暫行辦法規范了會計師事務所數據處理活動，有助于注冊會計師行業加強數據安全管理工作，具有十分重要的意義。26 暫行辦法是會計師事務所數據安全管理的指導文件，對接國家法律法規，明確數據管理要求和監管體系，適用于境內會計師事務所的審計數據處理。要求分級分類管理數據，限制底稿出境，加強網絡安全和數據備份，確保自主管理權限。會計師事務所應健全治理結構，建立全生命周期管理體系，提升應急能力，加強人才建設和風險防范意識。各部門需協同監管，保

56、障數據安全和國家數據主權。八、2024年度北京地區電信和互聯網行業數據安全管理實施方案發布 為全面貫徹工業和信息化領域數據安全管理辦法（試行）及北京地區電信領域數據安全管理實施細則，發揮電信和互聯網行業力量，助推北京建設全球數字經濟標桿城市，護航京津冀一體化協同發展，夯實首都經濟社會高質量發展安全基石，結合 2024 年度工業和信息化領域數據安全工作重點及北京地區數據安全工作實際，2024 年 5 月北京市通信管理局發布了2024 年度北京地區電信和互聯網行業數據安全管理實施方案。27 方案以貫徹落實北京地區電信領域數據安全管理實施細則為抓手，組織開展北京地區電信和互聯網行業“三提升一示范”專

57、項行動，強化數據安全風險治理、應急處置和管理能力，征集示范項目，鞏固 2023 年“五個一”專項行動成果，完善數據安全治理體系，促進數據安全助力首都經濟社會高質量發展。九、網絡數據安全管理條例發布 2024 年 9 月，國務院發布網絡數據安全管理條例（“網數條例”），網數條例以中華人民共和國網絡安全法、中華人民共和國數據安全法和中華人民共和國個人信息保護法 等法律法規作為上位法依據，對三部法律中規定的原則性規范和制度進行內容和流程方面的細化規定。網數條例根據我國實際網絡及數據發展階段做了適應性規定，為網絡數據處理者提供更為細致和落地的合規指引。網數條例旨在規范網絡數據處理活動，保障網絡數據安全

58、，促進網絡數據依法合理有效利用，保護個人、組織的合法權益，維護國家安全和公共利益。網數條例共包含 9章 64 條，以一般規定（第二章）為基礎，以個人信息保護（第三章）和重要數據安全（第四章）兩個方面為切入點，對網絡數據處理活動提出要求。此外，網數條例還對網絡數據跨境安全管理（第五章）和網絡平臺服務提供者（第六章）提出了額外的管理義務。28 十、工業和信息化領域數據安全合規指引發布 為貫徹落實數據安全法網絡數據安全管理條例工業和信息化領域數據安全管理辦法（試行）等法律政策要求，引導工業和信息化領域數據處理者規范開展數據處理活動，中國鋼鐵工業協會、中國有色金屬工業協會、中國石油和化學工業聯合會、中

59、國建筑材料聯合會、中國機械工業聯合會、中國汽車工業協會、中國紡織工業聯合會、中國輕工業聯合會、中國電子信息行業聯合會、中國計算機行業協會、中國通信企業協會、中國互聯網協會、中國通信標準化協會、中國中小企業國際合作協會、中國通信學會、工業和信息化部商用密碼應用產業促進聯盟、工業信息安全產業發展聯盟等單位組織編制了 工業和信息化領域數據安全合規指引（簡稱合規指引）。合規指引于 2024 年 9 月開始公開征求意見，11 月 19 日正式發布。指引 是為了引導工業和信息化領域數據處理者合法合規開展數據處理活動，履行數據安全保護義務，保障數據安全。內容涵蓋數據安全合規建設目的、依據、適用范圍、術語定義

60、、數據分類分級、數據安全管理體系、數據全生命周期保護、數據安全風險監測與處置、數據安全事件應急處置、數據安全風險評估、數據出境、數據交易等多個方面，旨在推動完善數據安全治理體系和能力建設，為充分發揮數據要素價值、培育新質生產力貢獻力量。十一、中國互聯網金融協會發布金融數據安全治理實施指南等 3項數據安全標準 2024 年 10 月，中國互聯網金融協會（以下簡稱協會）在京召開金融數據安全治理工作研討會暨金融數據安全系列標準發布會，并正式發布了金融數據安全治理實施指南 金融數據資產管理指南 金融數據安全技術防護規范 金融數據安全應急響應和處置指引 29 等 4 項標準，旨在從金融數據治理、金融數據

61、資產管理、金融數據安全技術防護、金融數據安全應急管理等不同角度為做好新時代的金融數據安全治理工作提供相應指引和規范。金融數據安全治理實施指南 金融數據資產管理指南 金融數據安全技術防護規范和金融數據安全應急響應和處置指引等 4 項標準，共同構成了金融行業數據安全治理的完整框架，旨在提升金融機構的數據安全治理能力，確保數據資產的有效管理和利用，加強數據傳輸和存儲的技術防護，以及完善數據安全事件的應急響應和處置機制，從而推動金融行業的數字化轉型，降低合規風險，增強客戶信任，保障業務連續性，并提升整個行業的競爭力和安全性。十二、國家發改委等六部門印發 關于促進數據產業高質量發展的指導意見 2024

62、年 12 月 28 日，國家發改委等六部門印發關于促進數據產業高質量發展的指導意見。意見提出：促進數據產業發展，要以習近平新時代中國特色社會主義思想為指導，全面貫徹落實黨的二十大和二十屆二中、三中全會精神，完整準確全面貫徹新發展理念。統籌發展和安全，面向數據采集匯聚、計算存儲、流通交易、開發利用、安全治理和數據基礎設施建設，制定激勵政策、優化產業布局、培育競爭主體、促進技術創新、健全產業生態，充分發揮市場在資源配置中的決定性作用，更好發揮政府作用，促進數據企業成長，為培育全國一體化數據市場、發展新質生產力、塑造發展新動能新優勢提供有力支撐。到 2029 年，數據產業規模年均復合增長率超過 15

63、%，數據產業結構明顯優化，數據技術創新能力躋身世界先進行列，數據產品和服務供給能力大幅提升，催生一批數智應用新產品新服務新業態，涌現一批具有國際競爭力的數據企業，數據產業綜合實力顯著增強，區域聚集和協同發展格局基本形成。30 附錄 2 2024 年全球數據泄露事件泄露數據排行榜 排排名名 數據泄露機構數據泄露機構 新聞新聞時間時間 泄露數據泄露數據類型類型 泄露數據量泄露數據量（條（條/行）行）相關報道相關報道 1 Twitter、Adobe、LinkedIn 12 月 個人信息 260 億 超大規模數據泄露事件曝光，涉及 260 億條記錄 https:/ 2 RockYou2024 7 月

64、賬號密碼 100 億 史上最大密碼泄露事件：RockYou2024 匯編泄露密碼近 100 億條 https:/ 3 背景調查公司Jerico Pictures Inc.8 月 個人信息 30 億 近 30 億人個人數據遭暗網售賣，這家背調公司被起訴https:/ 4 美國國家公共數據公司 12 月 個人信息 29 億 美國國家公共數據公司遭遇黑客攻擊事件，影響約 1.7 億人https:/ 5 ERP 軟件提供商ClickBalance 7 月 商業機密 7.7 億 墨西哥 ERP 軟件巨頭云泄露超 7 億條記錄，內含密鑰等敏感信息https:/ 6 票務巨頭Ticketmaster 6 月

65、 商業機密 5.6 億 5.6 億條記錄？票務巨頭 Ticketmaster 確認發生大規模數據泄露https:/ 7 俄羅斯最大社交網站 VK 9 月 個人信息 3.9 億 俄羅斯最大社交網站 VK 超 3.9 億用戶個人信息疑似泄露https:/ 8 Telegram 6 月 個人信息 3.6 億 3.61 億個賬戶登錄數據在 Telegram 上泄露，HIBP 現可查詢https:/ 9 CrowdStrike 7 月 商業機密 2.5 億 CrowdStrike 再爆雷，2.5 億條 IoC 指標數據被黑客連鍋端 https:/ 10 上海某國內頂流火鍋品牌 1 月 個人信息 1.5

66、億 國內火鍋界“頂流”品牌 1.5 億條會員信息“裸奔”多年后被罰 https:/ 31 附錄 3 2024 年全球勒索攻擊事件勒索贖金排行榜 排排名名 被勒索被勒索 機構機構 新聞新聞時間時間 贖金贖金 是否加是否加密數據密數據 勒索勒索 組織組織 相關報道相關報道 1 藥品分銷巨頭 Cencora 9 月 7500萬美元 是 Dark Angels 原來是它！國際醫藥巨頭 Cencora 支付了超5 億元勒索軟件贖金https:/ 2 血液檢測公司Synnovis 7 月 5000萬美元 否 Kernelware 勒索攻擊迫使英國首都近 8000 名患者手術被暫停 https:/ 3 加拿

67、大連鎖藥店倫敦藥房 5 月 2500萬美元 否 不祥 加拿大老牌藥店遭勒索攻擊閉店，被索要超1.8 億元贖金https:/ 4 CDK Global 7 月 2500萬美元 是 不祥 停運數天后，這家軟件大廠向勒索軟件支付超 1.8 億元贖金https:/ 5 美國醫療IT 公司Change Healthcare 3 月 2200萬美元 是 AlphV或BlackCat 驚天勒索案！美國處方藥市場中斷超 10 天，受 害 企 業 疑 支 付 1.5 億 贖 金 后 又 被 騙https:/ 6 西班牙馬略卡島卡爾維亞市 1 月 1000萬歐元 否 LockBit 西班牙地方政府遭勒索攻擊，被索

68、要 1000萬歐元巨額贖金https:/ 7 日本豪雅株式會 Hoya Corporation 4 月 1000萬美元 否 Medusa 光學儀器巨頭遭勒索攻擊，被索要超 7000萬元巨額贖金https:/ 8 印度尼西亞國家數據中心 6 月 800 萬美元 否 ALPHV/BlackCat 印尼國家數據中心遭勒索攻擊：邊檢等服務中斷數天 超 210 個政府機構被波及https:/ 9 角川集團Kadokawa 12 月 298 萬美元 否 BlackSuit 知名日企角川支付了超 2100 萬元勒索軟件贖金 https:/ 10 京鼎（富士康集團旗下）1 100 萬美元 是 不祥 半導體設備

69、上市公司京鼎遭勒索攻擊，官網“被 留 言”索 要 百 萬 美 元 贖 金https:/ 32 附錄 4 網絡安全威脅情報生態聯盟 網絡安全威脅情報生態聯盟，英文全稱:Cybersecurity Ecology Alliance of Threat Intelligence，簡稱：CEATI 聯盟。聯盟是由奇安信威脅情報中心聯手國內多個著名安全公司共同發起的共建威脅情報行業生態的聯盟機構，依托于奇安信發布的“TI INSIDE 計劃”，將以威脅情報能力應用為核心，打造新生態圈模式，情報使能、共謀共策、開放合作、協作共贏。降 低威脅情報的應用門檻，提升威脅情報使用效果以及體現最終客戶側的威脅情報價

70、值，從而在整體上提高國內安全防護水位。CEATI 聯盟目前已吸納近 60 家成員單位，能力涵蓋情報運營、APT 跟蹤、樣本對抗、Web 安全、數據安全、大數據分析、云安全、等保合規安全硬件等多方面關鍵技術。未來將與各成員單位共同推動以威脅情報技術應用為核心的行業生態建設，實現行業內威脅情報信息共享、數據運營、情報分發、威脅情報消費的行業閉環，開展技術咨詢、分析報告、情報賦能等商業合作。33 附錄 5 奇安信數據安全事業部 為支持國家數字化戰略轉型，推進數據要素市場健康發展，貫徹落實數據安全戰略目標，聚焦以客戶為中心的價值理念，奇安信集團深度整合公司內外部頂尖的數據安全專家、一流的資深安全顧問、

71、領先的行業技術團隊，成立奇安信數據安全事業部。事業部下設有戰略咨詢規劃、解決方案、產品市場、產品規劃、技術與架構、綜合支持等多個團隊，人才隊伍規?，F已超過 500 人。截至 2024 年初，奇安信數據安全事業部已成功研發奇安天盾數據安全保護系統、數據安全管控平臺、API 安全衛士、流轉數據監測系統、數據跨境衛士、特權賬號管理、國密安全密碼應用中間件等十余款核心數據安全產品，產品覆蓋數千家大中型政企機構，在政務、金融、運營商、能源、醫療等行業獲得大量成功實踐。據 IDC 調研數據，奇安信數據安全軟件在 2022 年下半年和 2023 年上半年連續排名市場第一，同時以 8.4%的市場份額繼續擴大領

72、先優勢。奇安天盾數據安全保護系統 奇安天盾數據安全保護系統，以數據資產為核心，基于零信任架構理念，構建以“事件監測、風險分析、策略調整、訪問控制”為核心能力的閉環體系，提供覆蓋數據全生命周期和數據全流程要求的產品解決方案，讓數據安全：風險能看清，內鬼能管好，攻擊能防住。奇安天盾數據安全保護系統，覆蓋數據實體防護、數據防泄露、數據安全運維、數據權限精準管控、數據交易共享、數據跨境檢測、數據安全管理平臺等領域，實現數據資產管理、敏感數據識別、終端數據管控、外發郵件管控、數據流轉管控、數據訪問監測、數據脫敏、賬號自動發現與安全存儲、賬號自動改密、庫表級運維訪問控制、API 資產識別與防護等功能，可以

73、滿足政企組織客戶“一站式”數據安全建設需要。數據安全管控平臺 奇安信數據安全管控平臺，是基于大數據技術框架的，以數據安全為核心的，智能化數據安全管理與運營解決方案。平臺以“持續自適應風險與信任評估（CARTA）”為安全理念，以奇安信全新的“大禹”平臺為技術底座，整合奇安信強大的數據識別、威脅檢測、風險分析與處置能力，幫助政企客戶進行數據資產梳理、分類分級、協同管控、數據流動監測、數據安全風險檢測與事件處置，為政企單位構建數據安全的全方位管控能力與動態防護。API 安全衛士 奇安信 API 安全衛士，是一套從 API 發現、檢測、分析到防護持續閉環的完整解決方案，通過 API 資產識別、API

74、敏感數據傳輸識別、API 漏洞利用攻擊檢測與防護、API 訪問控制等技術，幫助企業解決 API 資產梳理不清、API 漏洞攻擊無防護手段，API 敏感數據泄露無感知、API 通信行為無審計等 API 安全問題。API 安全衛士包含三個核心子系統，分別是 API 安全檢測系統、API 安全防護系統、API 安全分析與管理系統。截至 2024 年初，API安全衛士已在 300+政府、醫療、教育、金融等行業單位落地實踐。流轉數據監測系統 流轉數據監測系統，采用流量采集與還原、敏感數據傳輸檢測、流轉數據風險檢測、流轉數據傳輸檢測等技術，解決企業動態數據資產梳理不清、數據流轉途徑不明、數據流轉風 34

75、險無感知、數據竊取風險無感知、可疑訪問風險無感知等問題。同時作為數據安全管控平臺必備的低位能力，為數據安全管控平臺提供原始的流量日志和告警日志。數據跨境衛士 奇安信數據跨境衛士，是根據數據出境安全評估辦法要求打造的一款適用于監管和自監管場景持續出境監測的產品，采用數據跨境傳輸檢測、數據跨境內容識別、數據跨境敏感數據檢測、數據跨境合規檢測等技術，幫助政企機構清晰掌握敏感個人信息、個人信息、重要數據等敏感數據的跨境流動情況，及時發現跨境違規情況，同時幫助用戶提供有效的溯源審計及自證清白的手段。特權賬號管理 特權賬號管理系統（PAM），是以數據的重要訪問入口賬號口令安全為維度的數據安全產品，能夠主動

76、發現各類基礎設施資源的賬號分布、識別賬號風險（包括弱口令、僵尸賬號、幽靈賬號、長期未改密賬號，賬號違規提權等）、管理賬號使用，實現對各類基礎設施資源賬號的全生命周期管理，幫助政企機構提升賬號安全的主動防御能力，降低因賬號口令泄露或被非法利用而造成的數據外泄風險。國密安全密碼應用中間件 國密安全密碼應用中間件系統，基于國密算法，將“密改集成、密鑰管理、資源調度、運行感知”融為一體，將集約化經驗賦能政企機構的業務系統，降低前期改造及后期管理成本。同時，系統還具備免代碼改造的數據庫加密能力，即可完成數據存儲機密性、完整性改造，精確到字段級加密，“一字段一密鑰”，精細化管理加密策略，讓用戶更便捷的享受

77、合規的商密賦能。35 附錄 6 奇安信行業安全研究中心 奇安信行業安全研究中心（以下簡稱中心）是奇安信集團旗下，專注于行業網絡安全研究的機構，為政府、公安、軍隊、保密、交通、金融、醫療衛生、教育、能源等行業客戶及監管機構提供專業安全分析與研究服務。中心以奇安信集團的安全大數據、全球威脅情報大數據為基礎，結合前沿網絡安全技術、國內外政策法規，以及上萬起應急響應事件的處置經驗，全面展開行業級、領域級、國家級網絡安全研究。中心自 2016 年成立以來，已累計發布各類專業研究報告一百余篇，共計三百余萬字，在勒索病毒、信息泄露、網站安全、APT、應急響應、人才培養等多個領域的研究成果受到海內外網絡安全從

78、業者的高度關注。同時，中心還聯合各個專業團隊，主編出版了多本網絡安全圖書專著，包括走進新安全、透視 APT、應急響應技術實戰指南、工業互聯網安全-百問百答、內生安全-新一代網絡安全框架、紅藍攻防等，為網絡安全知識的深度傳播做了重要的貢獻。36 附錄 7 天際友盟 一直以來，天際友盟秉承“創造安全價值”的理念，致力于提供全生命周期的數字風險防護服務，為客戶的數字化業務保駕護航。天際友盟以專注的威脅情報技術研究能力為支撐，以成熟多樣的產品與服務落地，將數字風險防護的價值應用到眾多客戶的多樣行業場景之中。天際友盟在北京、珠海、石家莊、上海、深圳、廣州、徐州、長沙等多地設有分支機構，為全國各地的客戶及

79、合作伙伴提供及時、高效、優質的服務。此外，天際友盟還在香港和新加坡設立了國際業務中心，覆蓋亞太和全球市場。作為國內核心廠商代表，天際友盟參與了威脅情報國標信息安全技術 網絡安全威脅信息格式規范 Information security technologyCyber security threat information format（GB/T 36643-2018）及其他多個國家標準的制定工作，并在國內率先推出遵循國家標準要求的情報應用系列產品與解決方案。此外，在威脅情報的生態合作上，天際友盟還與 IBM X-Force、Rapid7、Avira、Palo Alto、奇安信、啟明星辰、火絨等

80、數十家國內外一線安全廠商一起，通過“全球情報合作伙伴”計劃、“烽火臺安全威脅情報聯盟”、“TI Inside”聯盟等形式結為長期合作關系，共同推動國內威脅情報在技術、標準、產品、服務及解決方案層面的合作與創新，共同構建基于威脅情報協同應用的新生態。37 目前，天際友盟的產品與解決方案，已在國內近百余家客戶中落地應用，遍布政府、金融、互聯網、通信、能源等多個行業，輔助客戶完善安全體系，提升安全能力，為客戶切實解決了問題，體現安全對業務的價值。DRPDRP 數字風險防護服務簡介數字風險防護服務簡介 隨著數字化進程的加快，企業對于 DRP（Digital Risk Protection）數字風險防護

81、管理的需求與日俱增，其數字足跡、數字資產，甚至高管的個人形象都可能成為不法分子的攻擊目標。保護關鍵數字資產與數據免受外部威脅，提升在線業務運營穩健性的價值毋庸置疑。DRP 數字風險防護是與企業數字化轉型配套的業務安全解決方案。天際友盟致力于為企業提供涵蓋識別、監測、響應、恢復全生命周期的數字風險管理。通過多種威脅情報來源匯聚、多維度內容識別與分析引擎、專業威脅與風險分析能力、覆蓋全球平臺的關停處置網絡、專業的法律服務支持團隊、SaaS 化的服務支撐平臺，天際友盟將多種專業能力有機結合，構建了完備的 DRP 數字風險防護支撐能力，可以協助客戶建立現代企業成熟的數字風險防范體系，清理數字風險隱患、對抗行業風險潮汐、培養內部風險意識、完善應急響應機制，為數字時代的業務安全保駕護航。威脅情報應用簡介威脅情報應用簡介 一直以來，作為情報應用領域內的技術領先者，天際友盟秉承著“應用威脅情報，解決實際問題”的理念，以協同共享的技術架構與多源聚合的平臺方案，為政府、行業與企業管理機構的監管工作提供技術支撐；以豐富的威脅情報數據種類、多樣的威脅情報應用產品與強大的威脅情報服務能力，協助企業客戶抵御網絡安全風險，展現了威脅情報應用的業務價值。