奇安信：2022中國政企機構數據安全風險分析報告（33頁）.pdf

1、 1 中國政企機構數據安全風險 研究報告（2022.11）2 主要觀點 2022 年，數據泄露事件已經超過數據破壞事件，成為全球數據安全風險的首要問題。從全球公開新聞報道來看，51.7%的數據安全事件為數據泄露事件。而針對機構數據的外部威脅，57.4%是為了竊取數據。僅 2022 年 110 月，就有超過 950 億條，至少 46.4TB的中國境內機構數據在海外被非法交易。數據泄露問題形勢嚴峻。數據破壞問題，是僅次于數據泄露的第二大數據安全問題，占到全球公開新聞報道的數據安全事件的 23.3%。2022 年 110 月，在 95015 網絡安全服務熱線接到的 697 起應急響應求助事件中，數據

2、破壞事件排名第一，占比高達 30.3%。勒索軟件是造成數據破壞最主要的原因，59.7%的數據安全應急響應事件和勒索軟件攻擊有關。個人信息是數據泄露最主要的類型。從全球公開新聞報道來看，60.2%的數據泄露事件，泄露的是個人信息數據，其中，實名制信息占比個人信息數據泄露總量的 64.3%，其次是賬號密碼和用戶行為等數據。在海外非法交易的境內機構數據中，55.6%的交易事件涉及個人信息，81.0%的交易數據為個人信息數據。商業機密數據的泄露，是對政企機構安全經營的重大挑戰。在海外非法交易的境內機構數據中，19.3%的交易，買賣的是商業機密數據。商業機密數據泄露的主要形式是各類文檔，包括內部制度、員

3、工手冊、財務報表、戰略分析、產品文檔、項目策劃等等，占比高達 73.2%。特別值得警惕的是，文檔類商業機密數據泄露的最大源頭，并不是外部威脅，而是合作伙伴和內部員工。而百度文庫、道客巴巴、豆丁網、360 文庫等文檔分享平臺，則是文檔類商業機密數據泄露的主要渠道。從全球范圍來看：政府、IT 信息技術和互聯網行業是數據安全事件最為高發的行業；從海外非法交易的境內機構數據來看，互聯網、制造業、生活服務、金融等行業的數據被買賣的最多；從國內應急響應情況來看，政府及事業單位、醫療衛生、制造業和金融行業等是安全應急響應的重災區；而從文檔類商業機密數據的泄露來看，金融、能源、醫療衛生、交通運輸和制造業等行業

4、是最主要的受害者。3 摘 要 據統計 2022 年 1 月2022 年 10 月，安全內參共收錄全球政企機構重大數據安全報道180 起，其中數據泄露相關安全事件高達 93 起，占 51.7%。2022 年，全球數據安全大事件涉及數據破壞的大事件下降至 42 件，占總量的 23.3%；而數據泄露事件有 93 件，占 51.7%。2022 年 1 月2022 年 10 月，全球政企機構重大數據安全事件中，16.1%為政府機構事業單位；14.4%為 IT 信息技術行業；11.7%為互聯網行業。2022 年 1 月2022 年 10 月，政企機構重大數據安全事件發生的原因來看，超過五成安全事件是由于外

5、部攻擊導致的，但也有 5.0%的事件是由于內部人員違規操作，3.9%的重大數據安全事件是由于存在漏洞。從攻擊者目的來看，57.4%的外部威脅目的為數據竊??；其次為數據破壞，占比 40.6%。從 2022 年 1 月2022 年 10 月全球重大數據泄露事件造成的影響來看，60.2%的事件導致個人信息泄露；8.6%的數據安全大事件導致商業機密泄露；8.6%的事件導致軟件源代碼泄露。截至 2022 年 10 月，奇安信威脅情報中心累計監測到境內政企機構泄露數據的海外非法交易信息 171 條。其中，共有 106 條交易信息明確給出了泄露數據的數量或數據包的大小，約占交易信息總量的 62.0%。明確給

6、出了泄露數據數量的交易信息合計約含有 950多億條 46.4TB 各類數據信息。按照交易信息的數量來看，55.6%的交易，買賣的是個人信息數據；其次是商業機密數據，占比 19.3%；內網管理信息數據排第三，占比 11.7%。按照泄露數據的數量來看，個人信息數據約有 868.8 億條，占比為 91.4%；其次是運營數據，約有 79.5 億條，占比為 8.4%。二者之和占到了泄露數據總數量的 99.8%。2022 年 19 月，95015 網絡安全服務熱線共接到全國各地大中型政企機構網絡安全應急響應求助電話 697 起，其中，涉及到數據安全事件共 295 起，占比約為 42.3%。從事件損失來看，

7、數據丟失事件 211 起，占所有應急響應事件的 30.3%；數據泄露事件 68起，占比 9.8%；數據篡改事件 16 起，占比 2.3%。對于觸發數據安全應急響應事件的原因進行分析發現，勒索軟件是當前階段對國內政企機構數據安全威脅最大的攻擊方式，占到所有攻擊方式的 59.7%；其次是漏洞利用，占比為 14.6%；釣魚郵件排第三，占比 10.5%。通過對數據安全應急響應事件的溯源分析發現，攻擊者之所以會對政企機構數據進行破壞、竊取和篡改，最主要的目的還是敲詐勒索（不僅僅是勒索軟件），占比約為 60.7%；其次是竊取機密，占比 9.8%；內部違規排第三，占比 6.8%。2022 年 1 月9 月，

8、補天平臺共收錄各類的網站漏洞 102118 個，其中可導致數據安全問題的網站漏洞 28751 個，占比為 28.1%，是所有漏洞中占比最高的類型。2022 年 16 月,天際友盟共監測到商業機密數據泄露事件 1948 例，其中，文檔數據泄露事件最多，共 1426 例，占比為 73.2%；其次是代碼數據泄露事件，共 368 例，占比18.9%。4 研究顯示，文檔類數據最主要的泄露渠道是各類互聯網平臺。其中，網絡文庫和各類文檔分享網站最為常見。統計顯示，百度文庫是最大的文檔數據泄露平臺，約 45.9%的商業機密文檔在百度文庫上被公開；其次是道客巴巴，占比約為 32.1%；豆丁網排第三，占比約為 1

9、2.1%。此外，360 文庫占比約 6.9%，百度網盤占比約 3.0%。關鍵詞：關鍵詞：數據安全、公開事件、應急響應、補天、數字品牌保護、非法交易、數據泄露、數據破壞、數據篡改、勒索、商業機密、個人信息、政府機密 5 目 錄 研究背景研究背景.1 第一章 綜述.2 一、全球公開數據安全事件綜述.2 二、全球公開數據安全事件行業分類.3 三、全球公開數據安全事件發生原因.3 四、全球公開數據安全事件的影響.4 第二章 境內數據海外非法交易.6 一、泄露數據的交易規模.6 二、泄露數據的行業分布.6 三、泄露數據的數據類型.7 四、個人信息泄露行業分布.7 第三章 數據安全事件應急響應.9 一、數

10、據安全應急響應事件損失分析.9 二、數據安全應急響應事件攻擊類型.9 三、數據安全應急響應事件攻擊目的.10 四、數據安全應急響應事件行業分布.10 五、網站安全漏洞的潛在數據泄露風險.11 第四章 商業機密數據泄露風險.12 一、商業機密數據泄露概況.12 二、文檔數據泄露情況分析.12 三、商業機密數據泄露原因.14 第五章 數字品牌安全事件典型案例.16 一、大型能源央企內部系統安裝手冊遭泄露.16 二、知名移動支付企業的關鍵代碼在開源平臺上被公開.16 6 三、知名作家付費小說遭搬運.17 附錄 1 全球數據安全公開事件案例集.19 附錄 2 CEATI 聯盟.22 附錄 2 奇安信行

11、業安全研究中心.23 附錄 3 奇安信集團安服團隊.24 附錄 4 補天漏洞響應平臺.25 附錄 7 天際友盟.26 1 研究背景 近年來，數據已成為產業發展的創新要素，不僅在數據科學與技術層次，而且在商業模式、產業格局、生態價值與教育層面，數據都能帶來新理念和新思維。大數據與現有產業深度融合，在人工智能、自動駕駛、金融商業服務、醫療健康管理、科學研究等領域展現出廣闊的前景，使得生產更加綠色智能、生活更加便捷高效，逐漸成為企業發展的有力引擎，在提升產業競爭力和推動商業模式創新方面發揮越來越重要的作用。一些信息技術領先企業向大數據轉型，提升對大數據的認知和理解的同時，也要充分意識到大數據安全與大

12、數據應用也是一體之兩翼，驅動之雙輪，必須從國家網絡空間安全戰略的高度認真研究與應對當前大數據安全面臨的復雜問題。如：數據安全保護難度加大、個人信息泄露風險加劇等。數據技術時代，數據成為業務發展核心動力，也成為黑客的主要目標。對于數據擁有者來講，數據泄露幾乎等同于經濟損失。在開放的網絡化社會，蘊含著海量數據和潛在價值的大數據更受黑客青睞，近年來也頻繁爆發信息系統郵箱賬號、社保信息、銀行卡號等數據大量被竊的安全事件。分布式的系統部署、開放的網絡環境、復雜的數據應用和眾多的用戶訪問，都使得大數據在保密性、完整性、可用性等方面面臨更大的挑戰。為更加充分的研究政企機構數據安全風險，奇安信行業安全研究中心

13、聯合天際友盟、補天漏洞響應平臺、奇安信安服團隊、奇安信安全監測與響應中心、奇安信數據安全子公司針對政企機構數據安全狀況及風險展開深入研究。研究分別從公開事件、應急事件、網站漏洞、暗網、數字品牌風險等幾方面，針對數據安全（包括數據泄露、數據篡改、數據破壞等）展開深入的研究。希望該項研究能夠對全國各地政企機構展開數據安全防護等建設規劃有所警示和幫助。2 第一章 綜述 本章內容主要基于安全內參平臺收錄的新聞，篩選整理出數據安全大事件，本報告中所提到的數據安全事件，多指代數據泄露、數據篡改、數據破壞等情況。一、全球公開數據安全事件綜述 近年來，全球政企機構均發生了大量的重大數據安全相關事件，據統計 2

14、022 年 1 月2022 年 10 月，安全內參共收錄全球政企機構重大數據安全報道 180 起，其中數據泄露相關安全事件高達 93 起，占 51.7%。與近三年平均每月公開報道頻次相比，2022 年相較前三年全球重大數據安全相關事件數量有小幅下降，略低于 2020 年與 2021 年。就全球網絡安全而言，2022 年數據泄露是最嚴重的網絡威脅之一。與 2021 年相比，從數量來看，2021 年全球數據安全大事件，涉及數據破壞的有 102 件，占總量的 42.0%；涉及數據泄露的有 100 件，占總量的 41.2%。2022 年，全球數據安全大事件涉及數據破壞的大事件下降至 42 件，占總量的

15、 23.3%；而數據泄露事件有 93 件，占 51.7%?？梢娊鼉赡陙?，由于數據破壞導致的數據安全事件數量大幅減少，同時，數據泄露類事件一直較為嚴重。3 二、全球公開數據安全事件行業分類 2022 年 1 月2022 年 10 月，全球政企機構重大數據安全事件中，16.1%為政府機構事業單位；14.4%為 IT 信息技術行業；11.7%為互聯網行業。下圖給出了 2022 年 1 月2022 年 10 月全球政企機構重大數據安全事件所涉及到的十大行業分布。按數據安全事件類型分析，2022 年，引發政府機構事業單位數據安全事件的類型主要包括數據泄露和數據破壞。引發 IT 信息技術行業數據安全事件的

16、類型主要為數據泄露。三、全球公開數據安全事件發生原因 從 2022 年 1 月2022 年 10 月，政企機構重大數據安全事件發生的原因來看，超過五成 4 安全事件是由于外部攻擊（指沒有獲得認證的、未經授權的非法用戶對內網進行的訪問請求或攻擊行為）導致的，但也有 5.0%的事件是由于內部人員違規操作。3.9%的重大數據安全事件是由于存在漏洞。內鬼作案是數據安全事件發生的重要途徑。我們不僅要防外也要防內，做好數據操作的審計，防止非授權信息讀取，防止越權的敏感信息讀取，包括一些過度的數據讀取其實也是一種泄露，比如：在辦一些業務的時候本來只用知道該用戶的姓名、性別及年齡，但是在相關資料上還能看到其聯

17、系方式、工作單位等信息，這樣的過度讀取或者暴露個人信息的行為也不合適。如上圖所示，從攻擊者目的來看，57.4%的外部威脅目的為數據竊??；其次為數據破壞，占比 40.6%。綜合數據安全事件類型與發生原因來看，62.4%的數據泄露事件由外部威脅導致。外部威脅（外部攻擊）均是造成數據泄漏、數據破壞與數據篡改的最主要原因?？梢?，外部威脅是數據安全事件發生的最大威脅。四、全球公開數據安全事件的影響 根據數據的敏感度，我們把政企機構泄露的信息劃分為以下幾個類型：1）個人信息：公民個人身份、賬號卡號及行為信息等數據，主要包括：姓名、身份證、性別、婚姻狀況、固定資產、電話、地址、郵箱、賬號、密碼、工作、出行、

18、防疫、保險信息等。本節包括實名信息（如姓名、電話、身份證、銀行卡、家庭住址等信息）、賬號密碼（如：各類網站登陸賬號密碼、游戲賬號密碼、電子郵箱賬號密碼等）、行為數據、保單信息、人臉指紋等個人信息。2）商業機密：企業經營活動中的商業機密信息，主要包括：客戶信息、員工信息、投資人信息、經銷 5 商信息、業務合同、工程項目、內部報告、研究成果、核心數據庫數據等。3）政府機密：有關政府部門的內部機密信息，主要包括：郵件、會議、重大項目、重要文件、國家事務決策文件等信息。4）軟件源代碼：企業開發的軟件或網站系統平臺的源代碼，一般屬于企業的核心研發機密。本節特別針對數據泄露事件進行分析，從 2022 年

19、1 月2022 年 10 月全球重大數據泄露事件造成的影響來看，60.2%的事件導致個人信息泄露；8.6%的數據安全大事件導致商業機密泄露；8.6%的事件導致軟件源代碼泄露。值得一提的是，涉及個人信息泄露的事件中，超六成為實名信息，網絡發展迅速的如今，實名信息泄露近年來一直是信息泄露的主角。全球大量公民個人信息因為外部攻擊、內部泄露、等原因“公開”于網上，具體分布如下圖所示。2022 年，從南非所有公民征信數據泄露，到香格里拉酒店被黑，再到熱搜不斷的學習通事件，無不說明個人信息泄露不分國界，信息保護形勢嚴峻，個人信息保護法實施一周年，在世界各地將近有 150 個國家都對于個人信息做了保護規定，

20、一直以來我國也高度關注個人信息泄露問題，不斷完善規制個人信息泄露相關制度規則。我們可以看到，在我國 個人信息保護法 立法和執法層面越來越豐富，條線越來越清晰。甚至涉及到具體的行業產業，這種適用的場景越來越明確，所以立法和執法也越來越有活力，對企業合規也提出了越來越高的要求。6 第二章 境內數據海外非法交易 一、泄露數據的交易規模 2022 年 3 月以來，奇安信威脅情報中心對 BreachForum 及各種暗網黑客黑產交易平臺，以及 LeakIX（一個數據泄露監測的網站）、Telegram、Twitter 等海外網絡平臺上的數據泄露及交易信息（以下簡稱“交易信息”）進行了系統性的監測，并對其中

21、涉及中國境內政企機構泄露數據的交易信息進行了評估和驗證。截至 2022 年 10 月，奇安信威脅情報中心累計監測到境內政企機構泄露數據的海外非法交易信息 171 條。其中，共有 106 條交易信息明確給出了泄露數據的數量或數據包的大小，約占交易信息總量的 62.0%。明確給出了泄露數據數量的交易信息共有 85 條，約占交易信息總數的 49.7%，合計約含有 950 多億條各類數據；明確給出了泄露數據數據包大小的交易信息共有 40 條，約占交易信息總數的 23.4%，合計約有 46.4TB 數據信息。其中，有 19 條交易信息同時給出了泄露數據的數量和數據包大小。在本章報告中，我們將以明確給出了

22、泄露數據數量或數據包大小的交易信息為抽樣樣本，對交易信息的各類分布情況進行全局分析。二、泄露數據的行業分布 境內機構數據在海外的非法交易共涉及 20 余個不同的行業。其中，涉及互聯網行業企業數據的交易信息占比 28.7%，排名第一。其次是制造業，占比為 12.9%。生活服務類、金融類并列第三，占比為 9.4%。從泄露數據的數量來看，互聯網行業仍然排名第一，泄露數據447.5 億條，占比 47.1%。其次是電信運營商，312.0 億條，占比 32.8%。環境行業排第三，66.5 億條，占比 7.0%，主要為某環境企業對汽車尾氣排放的監測數據。7 三、泄露數據的數據類型 在海外被非法交易的境內機構

23、泄露數據包括除上文提到的個人信息、商業機密、政府機密和軟件源代碼外，還有運營數據與內網管理信息：1）運營數據：網絡平臺或政企機構在生產運營過程中產生的基礎數據。本次報告涉及的相關泄露數據，主要包括：某些互聯網平臺的運營數據、某些商業查詢平臺的后臺數據、制造業企業對其銷售的物聯網設備的監測數據、某些機構的電話熱線撥打記錄、環境與消防等行業的監測數據、數字貨幣的礦機數據等。2）內網管理信息：在企業內部辦公網絡上產生的數據，主要包括：內網設備信息、設備及服務器日志、內部管理系統信息、管理員賬號密碼、網站后臺代碼、內網權限、內網端口等。上圖給出了海外非法交易的境內機構泄露數據的類型分布情況。按照交易信

24、息的數量來看，55.6%的交易，買賣的是個人信息數據；其次是商業機密數據，占比 19.3%；內網管理信息數據排第三，占比 11.7%。按照泄露數據的數據包大小來看：個人信息至少有 37.6TB，占比高達 81.0%同樣排名第一；其次是內網管理信息，約有 4.3TB，占比為 9.3%；運營數據排名第三，約有 4.2TB，占比為 9.0%。此外，按照泄露數據的數量來看，個人信息數據約有 868.8 億條，占比為 91.4%；其次是運營數據，約有 79.5 億條，占比為 8.4%。二者之和占到了泄露數據總數量的 99.8%。四、個人信息泄露行業分布 從前面數據中可以看出，無論是從交易信息的數量、泄露

25、數據包的大小還是泄露數據的數量上來看，個人信息數據都是泄露最多的數據。868.8 億條的個人信息泄露數據總量，相當于 14 億中國人平均每人泄露了約 62 條個人信息數據，而這僅僅是 2022 年 39 月監測到的新增數據。8 從行業分布來看，互聯網行業泄露的個人信息數據量最多，高達 445.9 億條；其次是電信運營商數據，約為 312.0 億條；制造業排第三，約為 60.0 億條。此外，生活服務、金融、政府及事業單位也都是個人信息數據泄露的大戶。需要特別說明的是，制造業之所以會登上個人信息數據泄露的“三甲”榜單，與物聯網和智能汽車的普及關系密切。在本次報告分析的海外非法交易信息中，可以看到大

26、量制造業企業的物聯網數據采集平臺或監控平臺的數據泄露，其中常常包含有使用者信息或精確的ID、IP 及地理位置等信息。而從汽車制造企業泄露出來的數據中，更是常常包含車牌信息、車輛信息、甚至是車主信息和車輛運動軌跡信息等。在實際攻防環境中，物聯網設備信息及使用記錄、智能網聯汽車數據及行動軌跡，都經常被用來對使用者進行定位、追蹤和特征分析。這也提醒我們，萬物互聯的時代，數據安全問題，特別是個人信息安全問題，已經不再是互聯網企業、電信運營商、政府及各類服務行業所特有的問題。而是所有行業都應當關注和重點投入保護的問題，制造業尤其如此。9 第三章 數據安全事件應急響應 一、數據安全應急響應事件損失分析 2

27、022 年 19 月，95015 網絡安全服務熱線共接到全國各地大中型政企機構網絡安全應急響應求助電話 697 起，其中，涉及到數據安全事件共 295 起，占比約為 42.3%。從事件損失來看，數據丟失事件 211 起，占所有應急響應事件的 30.3%；數據泄露事件 68 起，占比9.8%；數據篡改事件 16 起，占比 2.3%。具體分布如下圖所示。二、數據安全應急響應事件攻擊類型 對于觸發數據安全應急響應事件的原因進行分析發現，勒索軟件是當前階段對國內政企機構數據安全威脅最大的攻擊方式，占到所有攻擊方式的 59.7%；其次是漏洞利用，占比為14.6%；釣魚郵件排第三，占比 10.5%。此外，

28、木馬攻擊（不含勒索軟件）、非攻擊事件也都是觸發數據安全事件的重要原因。這里有幾點需要特別說明。首先，勒索軟件對于系統數據的破壞作用是最為徹底的，也是系統數據遭到破壞最主要的原因。在現階段，如果沒有部署云備份或定期冷備份等手段，一旦被勒索軟件成功攻擊，除了支付贖金，幾乎沒有任何辦法可以進行數據恢復。在我們的應急實踐中發現，勒索軟件攻擊還常常會引發系統/網絡不可用、企業聲譽受損失等損失。第二，從應急響應情況來看，數據安全問題也和內部人員的安全意識密切相關。比如釣魚郵件和非攻擊事件，這兩種攻擊類型，都屬于安全意識不足引發的數據安全問題。特別是非攻擊事件觸發的數據安全事件，絕大多數都是由于員工操作不當

29、引起的。10 三、數據安全應急響應事件攻擊目的 通過對數據安全應急響應事件的溯源分析發現，攻擊者之所以會對政企機構數據進行破壞、竊取和篡改，最主要的目的還是敲詐勒索（不僅僅是勒索軟件），占比約為 60.7%；其次是竊取機密，占比 9.8%；內部違規排第三，占比 6.8%。此外，黑產活動、政治原因等也是攻擊者攻擊政企機構關鍵數據的主要目的。四、數據安全應急響應事件行業分布 無論是為了敲詐勒索、竊取機密還是政治原因，涉及數據安全，不同行業對應急響應的需求也各不相同。通過對數據安全應急響應事件受害者所屬行業分析，我們發現，當前階段國內數據安全應急響應處置事件 TOP3 行業分別為：政府部門（占比 2

30、2.4%）、醫療衛生（占比 15.6%）及事業單位（占比 9.5%）。具體 TOP10 分布如下圖所示：11 五、網站安全漏洞的潛在數據泄露風險 網站安全漏洞問題是政企機構數據安全最重要的潛在風險之一。如前所述，在 2022 年的數據安全應急響應事件中，漏洞利用占比高達 14.6%。而在補天漏洞響應平臺收錄的各類網站安全漏洞中，也有大量漏洞可以導致網站數據泄露。2022 年 1 月9 月，補天平臺共收錄各類的網站漏洞 102118 個，其中可導致數據安全問題的網站漏洞 28751 個，占比為 28.1%，是所有漏洞中占比最高的類型。從行業分布來看，在國內所有網站存在數據泄露問題相關漏洞的政企機

31、構中，29.4%為IT 信息技術行業，排名第一；其次為互聯網行業，占比 6.5%；工程建筑占比 4.3%。具體TOP10 分布如下圖所示。12 第四章 商業機密數據泄露風險 商業機密是企業重要的數據資產，也是各類黑客組織、黑產團伙、乃至 APT 活動的主要攻擊對象。在“第二章 境內數據海外非法交易”一章的分析中，我們可以看到，在海外非法數據交易中，商業機密數據是僅次于個人信息數據，排名第二的泄露數據交易類型。在本章中，我們將結合 CEATI 聯盟成員天際友盟推出的“DRP 數字風險防護服務”的運營數據，對商業機密數據泄露的現狀、類型、行業分布、泄露渠道以及泄露原因等方面展看進一步的詳細分析。D

32、RP 是 Digital Risk Protection，即“數字風險防護”的所寫。天際友盟“DRP 數字風險防護”服務，旨在通過智能監控和快速處置，降低企業面臨的品牌欺詐和數據泄露危害，維護企業數字品牌利益。服務分為兩個部分：一是針對特定的數字品牌資產，通過對全球網絡的智能監測，及時發現相關資產是否存在泄露風險；二是通過全球合作，及時消除風險點，防止被泄露的數字品牌資產進一步擴散。服務推出以來，天際友盟已經累計為近百家不同領域的企業和機構提供了品牌保護服務。一、商業機密數據泄露概況 2022 年 16 月,天際友盟共監測到商業機密數據泄露事件 1948 例，主要涉及文檔數據泄露、代碼數據泄露

33、和文化版權數據盜版三大類數據泄露風險類型。其中，文檔數據泄露事件最多，共 1426 例，占比為 73.2%；其次是代碼數據泄露事件，共 368 例，占比 18.9%；文化版權數據盜版事件 154 例，占比 7.9%，排名第三。其中，文化版權數據是指企業擁有合法版權的數據資料，主要包括文字、圖片、視頻、網絡內容、品牌標識等。二、文檔數據泄露情況分析 電子辦公的普及，雖然在極大程度上提高了工作效率，但文檔數據的泄露也成為困擾企 13 業經營發展的一大痛點，是當前企業商業機密數據泄露的首要類型。統計顯示，在所有泄露的文檔數據中，內部管理類文檔，如企業內部規章制度、員工手冊等占比最高，約為 24.8%

34、；其次是財務報表和戰略分析，占比約為 18.2%；產品及技術文檔排第三，占比約為 9.0%；此外，項目規劃和部署方案等，占比約為 8.1%。從行業分布來看，泄露文檔數據最多的行業是金融業，商業機密文檔泄露事件占所有文檔數據泄露事件的 59.6%，幾近六成。其次是能源行業，占比約為 14.6%。醫療衛生、交通運輸和制造業緊隨其后，占比分別為 6.3%、6.2%和 5.2%。除此以外，生活服務、教育、互聯網、政府及事業單位、建筑的等行業也都有一定數量的文檔數據泄露情況。研究顯示，文檔類數據最主要的泄露渠道是各類互聯網平臺。其中，網絡文庫和各類文檔分享網站最為常見。統計顯示，百度文庫是最大的文檔數據

35、泄露平臺，約 45.9%的商業機密文檔在百度文庫上被公開；其次是道客巴巴，占比約為 32.1%；豆丁網排第三，占比約為12.1%。此外，360 文庫占比約 6.9%，百度網盤占比約 3.0%。14 企業的商業機密文檔被泄露到互聯網平臺上，這是一件讓企業即害怕，又無奈的問題。如果內部文檔只是被個別競爭對手盜取，數據的泄露范圍畢竟還是比較有限的。即便是被黑客組織或黑產團伙在黑市上交易，那么數據也只是被泄露給了付錢購買的組織或個人?？梢坏﹥炔课臋n被人發布到互聯網平臺上，特別是各種文檔分享平臺上，就幾乎等于是把企業的商業機密向整個互聯網公開了，而且幾乎再也無法徹底消除，影響十分深遠。企業將要面對的不僅

36、僅是商業損失，還有可能會遭遇商業信譽和社會輿論的危機。三、商業機密數據泄露原因 造成政企機構商業機密數據泄露的原因往往是多方面的：有的是被前員工、供應商或者在職員工上傳到文檔共享平臺進行免費傳播，甚至公開售賣；有的是內部員工為了工作方便，沒有嚴格遵守機構的保密規范而發生的無心之過；還有一些則是由黑客組織、黑產團伙或APT 組織的入侵行為造成的。為全面了解政企機構商業機密數據泄露的原因，天際友盟在協助相關政企機構處置數據 15 泄露應急事件過程中，也與相關機構展開合作，對部分數據泄露事件的原因進行了溯源分析。與人們一般的想象不同，商業機密數據泄露最主要的原因并不是黑客入侵或外部威脅，而是合作伙伴

37、和內部人員的泄露。統計顯示，約有 34.5%的商業機密數據泄露是合作伙伴造成的；由內部人員泄露的商業機密，占比約為 10.8%；而真正是由于外部入侵造成的商業機密泄露，僅占比約 7.6%。當然，還有約 47.1%的商業機密數據泄露事件，我們最終沒能追溯到具體原因。對于缺少甚至沒有系統性的數據安全防護策略的政企機構而言，想要溯源數據泄露的具體原因是非常困難的。找不到原因，自然也就難以對癥下藥。需要說明的是，不論數據泄露的原因如何，也不論泄露者是否具有主觀惡意，機密或敏感數據的泄露，都會給企業帶來巨大的安全風險，包括網絡風險、經營風險和信譽風險等諸多方面。16 第五章 數字品牌安全事件典型案例 本

38、章案例，由 CEATI 聯盟成員天際友盟分享。一、大型能源企業內部系統安裝手冊遭泄露 某大型能源企業網絡安全人員在百度文庫發現了其內部系統的安裝手冊。該手冊因含有公司內網的 IP 地址等企業敏感內容，本應僅限于內部瀏覽，卻被發布在開源平臺上供網友們免費觀看。風險一經發現，立刻引起了公司高層領導的重點關注。在確認敏感信息的真實性后，內部相關部門立即自主聯系了平臺方進行申訴。但由于企業對維權流程的不熟悉，導致問題遲遲得不到解決。隨后，用戶聯系了天際友盟進行緊急關停處置。在獲得用戶授權的前提下，該文檔的分享鏈接被快速關停。同時，企業還要求對全網進行主動監測，主動發現類似數據泄露事件。經過幾個月的集中

39、監測與處置，企業對歷史遺留風險做出了集中處理，大幅度降低了企業數據泄露的外部風險，并將持續性監測納入未來整體風險管理體系之中，將事后應急轉化為事前和事中措施，防患于未然。泄露安裝手冊的處置前與處置后 二、知名移動支付企業的關鍵代碼在開源平臺上被公開 某移動支付企業進行全線業務部門 IT 資產的梳理整頓，為即將到來的大型實戰攻防演練考核作準備。梳理內容之一是對內網和外網失聯資產的核查，減少外部曝光的攻擊面，提升整體安全能力。在協助梳理的過程中，安全人員發現該企業的某支付系統源代碼被泄露到開源平臺Github 中。該系統具有支付職能，因此代碼中涉及用戶隱私保護，以及部分登錄驗證確認機制詳情，存在被

40、惡意攻擊者利用制作針對性釣魚網站的可能，作為進一步攻擊的信息收集窗口和跳板，被安全管理和應急人員認定為外部風險。在獲得用戶處置授權后，天際友盟啟動快速響應流程，聯系相關平臺及服務商，迅速下線泄露內容，阻止敏感信息進一步傳播。17 泄露關鍵代碼的處置前與處置后 三、知名作家付費小說遭搬運 某知名作家創作的連載付費網絡小說未經版權方許可就以免費形式在多個閱讀平臺上上架。該作家出品了多個暢銷作品，在網絡上受到大量粉絲的追捧，但其作品也常年遭受盜版的荼毒。盜版小說的流通不僅損害了平臺方及作家的經濟收益，同時也侵害了付費讀者的權益，易引起消費者對正規平臺的不滿，嚴重損害了其品牌形象。發現泄漏后，平臺方向

41、天際友盟尋求緊急關停處置。在獲得用戶授權后，天際友盟啟動快速響應流程，聯系相關網站平臺的管理機構，代表作者和平臺方申訴小說作品的版權屬性，迅速關停盜版資源鏈接，阻止文檔進一步擴散。服務期間，天際友盟共捕獲盜版鏈接 15 條，并全部進行下線處理。這 15 條風險均來自美國，網站服務商均為 CLOUDFLARE。18 盜版小說鏈接的處置前與處置后 19 附錄 1 全球數據安全公開事件案例集（一）某科技公司利用爬蟲技術竊取 2.1 億條簡歷數據 2015 年至 2019 年間，某科技公司組建專門爬蟲技術團隊，在未取得求職者和平臺直接授權的情況下，秘密爬取國內主流招聘平臺上的求職者簡歷數據 2.1 億

42、條。該公司爬蟲技術團隊負責人歐某某，私自將竊取的簡歷數據對外出售，個人非法獲利人民幣 30 余萬。2022 年 2 月，該公司被檢察院起訴，王某某等人涉嫌侵犯公民個人信息罪。案件一審判決生效。被告單位某科技公司被判處罰金人民幣四千萬元，被告人王某某被判處有期徒刑七年，罰金人民幣一千萬元，其他被告人均被判處相應刑罰。本案對被告單位判處的罰金數額、對被告人判處的刑期和罰金數額，均系近年來全國同類案件判罰最重案例。（二）俄羅斯多個聯邦政府網站遭供應鏈攻擊：顯示篡改內容 2022 年 3 月，俄羅斯稱其聯邦機構遭到供應鏈攻擊。被攻擊的政府網站包括：能源部、聯邦國家統計委員會、聯邦法警局、聯邦反壟斷局、

43、文化部和其他國家機構網站。攻擊者在這些網站上發布了自己的內容并攔截了對這些網站的訪問權限。俄羅斯經濟發展部的新聞服務告知稱：“直接攻陷這些網站很難，因此攻擊者通過外部服務攻擊資源，獲得權限，之后展示不正確的內容。數據工具被黑后，黑客在網頁上發布了不正確的內容。該事件立即得到遏制?！倍砹_斯數字化發展部聲稱國家機構網站在事件發生一小時內恢復正常。（三）弱口令導致南非幾乎所有公民征信數據泄露，損失超百億 2022 年 3 月，據外媒報道，美國征信巨頭 TransUnion的南非公司遭巴西黑客團伙襲擊，5400 萬消費者征信數據泄露，總數據量約達 4TB，絕大多數為南非公民，據了解南非總人口約 606

44、0 萬人。黑客團伙透露，通過暴力破解入侵了一臺存有大量消費者數據的 SFTP 服務器，該服務器密碼為“Password”。TransUnion 公司稱，將為受影響的消費者免費提供身份保護年度訂閱服務，預計成本將超過 114 億元。（四）東歐大型加油站遭勒索攻擊，官網、APP 等全部下線 2022 年 3 月，羅馬尼亞大型加油站遭到勒索軟件攻擊，影響到了公司“大部分 IT 服務”，官方網站及油站 Fill&Go 服務被迫下線。顧客只能使用現金和刷卡支付；外媒 BleepingComputer 了解到，此次攻擊的幕后黑手正是 Hive 勒索軟件團伙，對方開出了高達數百萬美元的贖金要求。（五）僅售

45、50 元，英國首相個人手機號遭曝光 20 據 2022 年 4 月星期日郵報的報道稱，英國首相特拉斯和她的 25 名內閣成員的個人手機號正在互聯網上出售。報道稱，一家可疑的美國網站正在以區區 6.49 英鎊的價格出售這些信息。該美國網站列出了首相特拉斯、財政大臣克沃滕、國防大臣華萊士、外交大臣克萊弗利等人的電話號碼和其他個人信息。工黨領袖基爾斯塔默的電話號碼也在上面。內閣辦公廳稱正在對此事進行調查，并表示其中一些信息是過時的。但星期日郵報證實，數據中的內閣 26 名成員的手機號碼是當前在用的，包括特拉斯本人的手機號。一名前英國情報官員稱，這一信息泄露“確實驚人”。這家美國網站的訂閱用戶可以通過

46、輸入某個人的名字，迅速搜索到信息。星期日郵報拒絕透露這家網站的網址，網站背后的主人是誰也仍然是個謎。（六）某學習軟件疑似泄露 1.7 億條用戶數據，合作院校超 2000 家 2022 年 6 月，有微博網友爆料稱，某款知名大學生學習軟件的數據庫信息疑似被公開售賣，其中疑似泄露的數據包含姓名、手機號、性別、學校、學號、郵箱等信息 1 億 7273萬條。相關話題一度登上微博熱搜第一。平臺方隨即針對傳聞回應稱，收到“疑似 XXXAPP用戶數據泄露”的反饋信息，排查未發現明確的用戶信息泄露證據，已向公安機關報案。某安全團隊相關人士在接受采訪時表示，“從目前證據表明，是黑客的入侵行為，不完全排除內鬼的可

47、能?！痹撊耸糠Q，從相關頻道來看，（這種兜售行為）近日一直在持續，黑客發布時間在 6 月18 日之前。（七）印尼 13 億手機卡用戶數據被黑客公開兜售 2022 年 9 月，印度尼西亞近期成立的數據保護工作組正在追捕一名黑客。此人據稱涉嫌竊取了 13 億注冊手機用戶與 1.05 億選民數據、多位公眾人物的個人數據，包括印尼海洋與投資統籌部長盧胡特班查伊丹（Luhut Pandjaitan）及信息與通訊部長約翰尼G布拉特（Johnny G.Plate）。泄露的細節包括電話號碼、身份證號以及疫苗接種編碼。甚至是記錄著印尼總統佐科維多多（Joko Widodo）與國家情報局之間的往來信息的機密文件日志

48、。受害者包括印尼多家國有企業、手機運營商及大選委員會。（八）澳大利亞健康保險公司遭勒索攻擊，200G 客戶數據被盜 2022 年 10 月，澳大利亞健康保險公司 Medibank 開始通知客戶稱，他們的個人數據可能在最近發生的一次網絡攻擊中被盜。當地時間 10 月 12 日，該公司披露稱遭勒索攻擊，某些系統因此下線。Medibank 公司表示，“Medibank 收到一名犯罪分子的聯系稱他們盜取了 200GB 數據。該犯罪分子提供了包含 100 份保單的記錄樣本。我們認為這些保單源自我們的國際學生系統等?！北槐I的個人信息包括全名、地址、出生日期、電話號碼、醫療號碼和保單號碼以及索賠數據（如客戶

49、接受醫療服務的地址）。該公司表示，已經在勒索軟件部署到網絡前識別 21 并阻止了該攻擊，目前已完全恢復了受影響服務。（九）臺灣全島個人信息被放在暗網上兜售：至少 20 萬條真實 2022 年 10 月，據臺媒報道，臺灣地區戶政系統傳出遭黑客入侵的消息。有黑客在海外論壇上販售 20 萬筆臺灣民眾戶籍資料，數據資料包括臺灣人口紀錄等，且可從這些數據中輕松找到任何人及其家庭的資料，還有兵役、教育紀錄、居住地址。該黑客還宣稱手上有全臺 2300 萬民眾資料。臺灣“調查局”獲報后立即展開追查。初步調查確認目前釋出的20 萬筆資料主要集中在宜蘭地區，且資料都吻合。據了解，有關單位初步調查顯示，這次上網兜售

50、的戶政資料，是 2018 年相關資料交接時，由其他單位流出去。對此，“內政部”僅稱，的確有這樣的傳言，不無可能，但無法證實?！皟日俊背醪窖信?，該論壇上販售的資料，看似由多個數據庫組合而成，資料真實性有相似度，已交由檢警機關調查，并強調戶政資訊系統采用內外網實體隔離架構，資料均妥善保存于內網中，并未流出。22 附錄 2 CEATI 聯盟 網絡安全威脅情報生態聯盟，英文全稱:Cybersecurity Ecology Alliance of Threat Intelligence，簡稱：CEATI 聯盟。聯盟是由奇安信威脅情報中心聯手國內多個著名安全公司共同發起的共建威脅情報行業生態的聯盟機構，

51、依 托于奇安信發布的“TI INSIDE 計劃”，將以威脅情報能力應用為核心，打造新生態圈模式，情報使能、共謀共策、開放合作、協作共贏。降 低威脅情報的應用門檻，提升威脅情報使用效果以及體現最終客戶側 的威脅情報價值，從而在整體上提高國內安全防護水平。CEATI 聯盟目前已吸納 30 余家成員單位，能力涵蓋情報運營、APT 跟蹤、樣本對抗、Web 安全、數據安全、大數據分析、云安全、等保合規安全硬件等多方面關鍵技術。未來將與各成員單位共同推動以威脅情報技術應用為核心的行業生態建設，實現行業內威脅情報信息共享、數據運營、情報分發、威脅情報消費的行業閉環，開展技術咨詢、分析報告、情報賦能等商業合作

52、。23 附錄 2 奇安信行業安全研究中心 奇安信行業安全研究中心（以下簡稱中心）是奇安信集團旗下，專注于行業網絡安全研究的機構，為政府、公安、軍隊、保密、交通、金融、醫療衛生、教育、能源等行業客戶及監管機構提供專業安全分析與研究服務。中心以奇安信集團的安全大數據、全球威脅情報大數據為基礎，結合前沿網絡安全技術、國內外政策法規，以及兩千余起應急響應事件的處置經驗，全面展開行業級、領域級、國家級網絡安全研究。中心自 2016 年成立以來，已累計發布各類專業研究報告一百余篇，共計三百余萬字，在勒索病毒、信息泄露、網站安全、APT、應急響應、人才培養等多個領域的研究成果受到海內外網絡安全從業者的高度關

53、注。同時，中心還聯合各個專業團隊，主編出版了多本網絡安全圖書專著，包括 走近安全、走進新安全、透視 APT、應急響應、應急響應技術實戰指南、工業互聯網安全-百問百答、內生安全-新一代網絡安全框架等，為網絡安全知識的深度傳播做了重要的貢獻。24 附錄 3 奇安信集團安服團隊 奇安信是北京 2022 年冬奧會和冬殘奧會官方網絡安全服務和殺毒軟件贊助商，作為中國領先的網絡安全品牌，奇安信多次承擔國家級的重大活動網絡安全保障工作，創建了穩定可靠的網絡安全服務體系全維度管控、全網絡防護、全天候運行、全領域覆蓋、全兵種協同、全線索閉環。奇安信安全服務以攻防技術為核心，聚焦威脅檢測和響應，通過提供咨詢規劃、

54、威脅檢測、攻防演習、持續響應、預警通告、安全運營等一系列實戰化的服務，在云端安全大數據的支撐下，為客戶提供全周期的安全保障服務。應急響應服務致力于成為“網絡安全 120”。自 2016 年以來，奇安信已積累了豐富的應急響應實踐經驗，應急響應業務覆蓋了全國 31 個?。ㄗ灾螀^、直轄市），2 個特別行政區，處置政企機構網絡安全應急響應事件近四千起，累計投入工時 40000 多個小時，為全國超過兩千家政企機構解決網絡安全問題。奇安信還推出了應急響應訓練營服務，將一線積累的豐富應急響應實踐經驗面向廣大政企機構進行網絡安全培訓和賦能，幫助政企機構的安全管理者、安全運營人員、工程師等不同層級的人群提高網絡

55、安全應急響應的能力和技術水平。奇安信正在用專業的技術能力保障著企業用戶的網絡安全，最大程度地減少了網絡安全事件所帶來的經濟損失，并降低了網絡安全事件造成的社會負面影響。應急響應 724 小時熱線電話：95015。25 附錄 4 補天漏洞響應平臺 補天漏洞響應平臺（https:/），成立于 2013 年 3 月，是國內專注于漏洞響應的第三方平臺。補天平臺通過充分引導民間白帽力量，實現實時的、高效的漏洞報告與響應。面對復雜多變的網絡安全態勢和層出不窮的攻擊手段，補天平臺采用 SRC、眾測等方式服務廣大企業，以安全眾包的形式讓白帽子從模擬攻擊者的角度發現問題，解決問題，幫助企業樹立動態、綜合的防護理

56、念，守護企業網絡安全。補天平臺將多種安全服務有機的整合起來，進一步提升企業的漏洞響應能力、積極防御能力和常態化安全運營能力。2019 年 5 月，基于補天眾測的漏洞治理與風險管理平臺入選工業和信息化部公布網絡安全技術應用試點示范項目名單，在網絡安全漏洞領域唯一以安全廠商身份入選。作為奇安信集團獨立開發運營的 SaaS 平臺，通過標準化的工作流程驅動企業高效處置精英可信白帽發現的漏洞。持續生產和運營的安全風險線索能保障用戶及時、精準的獲知和處置。本平臺聚焦為企業解決漏洞發現不全面、漏洞修復不徹底的難題以及威脅無法提前預知和防范的風險管理問題，幫助企業完善漏洞治理架構和風險管理機制，助力企業構建管

57、理閉環、關口前移、源頭治理的積極防御體系。成立 9 年來，補天平臺已經成為全中國影響力最大的漏洞響應平臺之一，同時也是最活躍的網絡安全從業者交流平臺之一。通過補天白帽大會、“補天杯”破解大賽、補天城市沙龍、補天校園行，搭建安全從業者開放、分享、成長的平臺，把國內外網絡安全專家、業界大咖、安全廠商、研究機構聚集到一起，將多種形式結合建立網絡安全從業者技術生態。同時在實戰化的趨勢下，人是支撐安全業務的最重要因素，補天平臺也成為匯聚海量實戰型網絡安全人才的資源池。通過提供真實的訓練環境，開放實戰工具箱和資源，定制專屬課程、頂級黑客進行技術教學，依托長期積累，利用獨有的技術人才優勢，培養出具有頂級技術

58、的網絡安全實戰型人才，為行業提供強有力的人才保障，提升支撐安全業務的各項能力，應對新形勢下的網絡安全挑戰。截至 2022 年 10 月，平臺注冊白帽子已達 10 萬余名，累計為 31 萬多家企業報告的漏洞超過 101 萬個。補天漏洞響應平臺先后被公安部、國家信息安全漏洞共享平臺（CNVD）、國家信息安全漏洞庫（CNNVD）分別評定為技術支持先進單位、漏洞信息報送突出貢獻單位和一級技術支撐單位。網聚安全力量，為社會提供準確、詳實的漏洞情報，實現漏洞的及時發現與快速響應，是補天平臺始終堅持并不斷履行的社會使命。通過營造實戰化的學習環境、建設協同育人的導師制度、構建技能銜接的知識體系培養的實戰化人才

59、為企業網絡安全貢獻力量，為國家安全保駕護航。26 附錄 7 天際友盟 公司簡介公司簡介 一直以來，天際友盟秉承“創造安全價值”的理念，致力于提供全生命周期的數字風險防護服務，為客戶的數字化業務保駕護航。天際友盟以專注的威脅情報技術研究能力為支撐，以成熟多樣的產品與服務落地，將數字風險防護與威脅情報的價值應用到眾多客戶的多樣行業場景之中。目前在北京、上海、深圳、廣州、珠海、西安、沈陽、長春、哈爾濱、長沙、石家莊、太原、香港、澳門等多地天際友盟均設有分支機構，為全國各地的客戶及合作伙伴提供及時、高效、優質的服務。作為國內核心廠商代表，天際友盟參與了威脅情報國標信息安全技術 網絡安全威脅信息格式規范

60、 Information security technologyCyber security threat information format（GB/T 36643-2018）及其他多個國家標準的制定工作，并在國內率先推出遵循國家標準要求的情報應用系列產品與解決方案。此外，天際友盟還與 IBM X-Force、Rapid7、Avira、Palo Alto、奇安信、啟明星辰、藍盾、火絨等數十家國內外一線安全廠商一起，通過“全球情報合作伙伴”計劃、“烽火臺安全威脅情報聯盟”、“TI Inside”聯盟等形式結為長期合作關系，共同推動國內安全情報在技術、標準、產品、服務及解決方案層面的合作與創新。27 目前，天際友盟的產品與解決方案，已在國內近百余家客戶中落地應用，遍布政府、金融、互聯網、通信、能源等多個行業，輔助客戶完善安全體系，提升安全能力，為客戶切實解決了問題，體現安全對業務的價值。