2023中国政企机构数据安全风险研究报告.pdf
《2023中国政企机构数据安全风险研究报告.pdf》由会员分享,可在线阅读,更多相关《2023中国政企机构数据安全风险研究报告.pdf(45页珍藏版)》请在咨信网上搜索。
1、 1 主要观点 数据泄露是数据安全领域的核心问题。在 2023 年全球公开报道的 246 起数据安全事件中,数据泄露事件占比高达 67.5%,泄露数据超过 51.8TB,共计 103.8 亿条。不过,媒体公开报道的数据泄露事件可能只是数据泄露问题的冰山一角。奇安信威胁情报中心监测显示,2023年111月,仅在暗网及黑产平台上交易的境内机构泄露数据就多达60.8TB,共计 720.4 亿条,两项指标双双超过全球媒体公开报道事件的统计数据。数据勒索的高额收益可能进一步推高政企机构数据泄露安全风险。研究显示,越来越多的勒索团伙正在抛弃“加密勒索”这种传统攻击方式,而是转向单纯的“数据勒索”,即单纯的
2、以窃取机密数据并威胁将之公开的方式向政企机构进行勒索。2023 年,全球赎金最高的 10 起勒索组织攻击事件,平均勒索赎金高达 2397 万美元,其中 7 起事件都是单纯的数据勒索事件。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。个人信息是数据泄露和黑产交易的主要数据类型,严重危害公民和社会安全。在境内机构泄露的数据中,涉及个人信息的数据多达 586.8 亿条,相当于 14 亿中国人平均每人泄露了约 42 条个人信息数据。其中,互联网、IT 信息技术和能源行业是泄露数据量最多的行业。网盘、文库、代码托管等互联网知识共享平台也是数据泄露的重要渠道,但尚未得到绝大多数政企机构的
3、充分重视。其中,金融行业对此类问题最为重视,而医疗卫生、互联网和教育行业,通过互联网知识共享平台泄露数据的风险相对于其他行业更高。研究显示,合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”,二者之和占比达到 54.6%。加强合作伙伴管理和员工安全意识培训,是数据安全的重要保障。API 安全是数据安全的重要一环,平均每家机构约有 206 个 API 接口会用来传输敏感数据。汽车制造业的“潜在”数据安全风险最大,其传输敏感数据的 API 接口数平均超过900 个,传输敏感字段多达 332 个,这两项指标均是其他行业的 37 倍。同时,汽车制造业 API 接口传输的个人信息也最多,其
4、中涉及的自然人的数量,是金融、能源、医疗等行业的 3070 倍,可谓“遥遥领先”。由此可见,在智能网联汽车的发展中,数据安全至关重要。解决数据跨境流转问题,需要科学的规划和必要的技术手段。调查显示,尽管很多存在海外业务的机构已经在积极开展跨境数据流转的治理工作,但仍普遍缺乏科学的、整体的数据安全规划,特别是严重缺乏必要的技术手段。而对于绝大多数没有海外分支机构的政企单位而言,往往没有意识到其可能存在的跨境数据流转风险。数据安全建设,应当遵循内生安全原则,从设计规划之初就把数据分类分级、数据防泄露、防勒索、API 安全、跨境数据治理等关键问题列入整体规划,确保数据安全工作与数字化建设同步规划、同
5、步建设、同步运行,用系统性的方法解决数字系统的安全问题。摘 要 2023 年 1 月12 月,安全内参共收录全球政企机构重大数据安全新闻事件 246 起,平均每月 20.5 起,其中,数据泄露事件为 166 起,占比 67.4%,泄露数据超过 51.8TB,共计 103.8 亿条。2023 年 1 月12 月,全球政企机构重大数据安全公开事件中,18.6%为政府机构;其次是制造业,占比 15.9%为;生活服务行业排第三,占比 11.8%。数据安全事件发生的原因来看,将近八成安全事件是由于外部攻击导致的,但也有 8.0%的重大数据安全事件是由于政企机构存在内鬼。在全球重大数据安全公开事件中,44
6、.1%的事件涉及个人信息;26.8%的事件涉及商业机密;9.1%的事件涉及政府机密。2023 年,奇安信威胁情报中心累计监测到境内政企机构数据泄露事件 144 起,共泄露数据超过 720.4 亿条,合计约有 60.8TB。其中 61.1%的事件,泄露的数据涉及个人信息,合计约有 586.8 亿条,相当于 14 亿中国人平均每人泄露了约 42 条个人信息数据。另有41.7%的事件涉及商业机密。2023 年,网络安全威胁情报生态联盟(CEATI 联盟)成员天际友盟共监测到互联网知识共享平台数据泄露事件 4760 起,涉及 16 个行业的 112 个家机构。其中,金融行业对此类问题最为重视,而医疗卫
7、生、互联网和教育行业机构存在此类问题的风险更高。合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”,二者之和占比达到 54.6%。2023 年,奇安信集团共为 128 家大型政企机构提供了 API 安全检测服务。抽样分析显示,平均每家机构约有206个API接口会用来传输敏感数据,约占API接口总数的2.5%。不同行业机构的敏感数据传输情况有很大差异。其中,汽车制造业企业传输敏感数据的API 接口多达 931 个,涉及敏感字段多达 332 个,是其他行业的 37 倍。在针对 90 余个大型综合性系统的跨境数据合规检测中发现,从数据规模来看,在所有跨境传输的数据中,个人一般信息占比约
8、为 66.7%,敏感个人信息占比约为 3.7%,重要数据占比约为 29.6%。在跨境传输的敏感个人信息中,姓名、手机号、车架号、电子邮件地址、家庭住址、身份证号等敏感关键字段出现最为频繁。关键词:关键词:数据安全、数据要素、公开事件、互联网平台、数据泄露、数据破坏、数据篡改、勒索、商业机密、个人信息 目 录 研究背景.1 综合形势篇.2 第一章 全球公开数据安全事件形势分析.2 一、事件类型.2 二、行业分布.3 三、事发原因.3 四、事件影响.4 数据泄露篇.7 第二章 境内机构数据泄露情报监测分析.7 一、行业分布.7 二、泄露类型.7 三、个人信息.9 四、关键字段.10 五、典型案例与
9、安全建议.11 第三章 互联网平台数据泄露监测分析.13 一、行业分布.13 二、泄露类型.14 三、泄露原因.15 四、典型案例.15 运营风险篇.19 第四章 API 敏感数据传输风险分析.19 一、API 安全检测行业分布.19 二、敏感数据传输风险.20 三、个人信息传输风险.21 四、各行业敏感字段举例.21 五、典型案例与安全建议.22 第五章 数据跨境流转安全风险分析.24 一、跨境数据流转监测.24 二、关键敏感字段.25 三、行业对比.26 四、典型案例与安全建议.26 附录 1 2023 数据安全政策与法规建设盘点.28 一、十六部门联合发布指导意见,1500 亿市场呼之欲
10、出.28 二、数字中国建设顶层规划将数字安全被列为“两大能力”之一.28 三、央行发布数据安全管理办法,填补该领域制度空白.29 四、财政部发布重磅文件,数据资产入表全面启动.29 五、各地开通公共数据授权运营,“数据二十条”加速探索落地.30 六、促进开放和发展,网信办出台数据跨境流动规定.30 七、国家数据局正式揭牌,数据要素万亿市场加速开启.30 八、北京数据基础制度先行区启动运行.31 九、工信部起草数据安全行政处罚裁量指引.32 十、国家数据局首提“数据要素”,2000 亿市场激活安全需求.32 附录 2 2023 年全球数据泄露事件泄露数据排行榜.33 附录 3 2023 年全球数
11、据勒索事件勒索赎金排行榜.34 附录 4 CEATI 联盟.35 附录 5 奇安信数据安全事业部.36 附录 6 奇安信行业安全研究中心.37 附录 7 天际友盟.38 1 研究背景 近年来,数据已成为产业发展的创新要素,不仅在数据科学与技术层次,而且在商业模式、产业格局、生态价值与教育层面,数据都能带来新理念和新思维。大数据与现有产业深度融合,在人工智能、自动驾驶、金融商业服务、医疗健康管理、科学研究等领域展现出广阔的前景,使得生产更加绿色智能、生活更加便捷高效,逐渐成为企业发展的有力引擎,在提升产业竞争力和推动商业模式创新方面发挥越来越重要的作用。一些信息技术领先企业向大数据转型,提升对大
12、数据的认知和理解的同时,也要充分意识到大数据安全与大数据应用也是一体之两翼,驱动之双轮,必须从国家网络空间安全战略的高度认真研究与应对当前大数据安全面临的复杂问题。如:数据安全保护难度加大、个人信息泄露风险加剧等。数据技术时代,数据成为业务发展核心动力,也成为黑客的主要目标。对于数据拥有者来讲,数据泄露几乎等同于经济损失。在开放的网络化社会,蕴含着海量数据和潜在价值的大数据更受黑客青睐,近年来也频繁爆发信息系统邮箱账号、社保信息、银行卡号等数据大量被窃的安全事件。分布式的系统部署、开放的网络环境、复杂的数据应用和众多的用户访问,都使得大数据在保密性、完整性、可用性等方面面临更大的挑战。为更加充
13、分的研究政企机构数据安全风险,奇安信行业安全研究中心联合、奇安信数据安全事业部、奇安信威胁情报中心、网络安全威胁情报生态联盟(CEATI)、天际友盟等研究机构,针对政企机构数据安全状况及风险展开深入研究。本次研究分别从公开事件、数据泄露情报、数字品牌风险等几方面,针对数据安全(包括数据泄露、数据篡改、数据破坏等)展开深入的研究。希望该项研究能够对全国各地政企机构展开数据安全防护等建设规划有所警示和帮助。2 综合形势篇 第一章 全球公开数据安全事件形势分析 本章内容主要基于 安全内参 平台收录的全球范围内公开的数据安全重大新闻事件展开全球数据安全形势分析。一、事件类型 2023 年 1 月12
14、月,安全内参共收录全球政企机构重大数据安全新闻事件 246 起,平均每月 20.5 起,其中,数据泄露事件为 166 起,占比 67.4%,泄露数据超过 51.8TB,共计 103.8 亿条。数据安全事件主要包含数据泄露、数据破坏和数据篡改三大类型。其中,数据泄露问题已经逐渐成为核心痛点。从过去 3 年间,在全球所有公开的重大数据安全事件中,数据泄露事件的占比从 41.2%一路增长到 67.5%,而数据破坏事件的比例则从 42.0%下降到 11.4%。造成数据泄露事件占比持续攀升的原因主要有两个方面:首先,全球化的地下黑产数据交易活动日趋频繁和成熟,窃取和非法贩卖数据不仅有利可图,而且回报丰厚
15、,从而推动了数据泄露事件的持续高发。其次,数据泄露事件往往会给社会治安造成严重影响,因此也日益受到媒体的关注。“附录 2 2023 年全球数据泄露事件泄露数据排行榜”,给出了 2023 年全球公开数据安全事件中,数据泄露数量最多的 10 个安全事件。特别值得关注的是,勒索事件在所有数据安全事件中占比高达 27.2%,而且越来越多的勒索团伙开始从加密勒索转向数据勒索。传统的勒索组织主要通过加密数据的方式向受害者勒索赎金。2020 年以后,部分定向勒索组织开始采用加密勒索与数据勒索相结合的方式进行双重勒索,即勒索团伙在加密数据之前,先将大量商业机密数据窃取出来,如果受害者不肯支付赎金,勒索者不但不
16、会向受害者提供解码密钥,还会威胁公开其窃取的商业机密数据。3 但 2023 年的情况显示,已经有越来越多的勒索活动完全放弃了加密数据的传统攻击方式,而是转为单纯的以窃取机密数据并威胁公开的方式进行数据勒索。2023 年,全球赎金最高的10起勒索组织攻击事件(详见“附录3 2023年全球数据勒索事件勒索赎金排行榜”),平均勒索赎金高达 2397 万美元,其中 7 起事件都是单纯的数据勒索事件。按照某些勒索团伙的说法,放弃加密数据的攻击方式,可以尽可能的减小勒索活动对社会面的影响,即在不直接影响生产的情况下完成勒索。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。二、行业分布 20
17、23 年 1 月12 月,全球政企机构重大数据安全公开事件中,18.6%为政府机构;其次是制造业,占比 15.9%为;生活服务行业排第三,占比 11.8%。下图给出了 2023 年 1 月12月,全球政企机构重大数据安全事件所涉及到的十大行业分布。制造业的数据安全问题应当引起特别的关注。传统制造业企业很少产生数据,也很少收集、存储和计算数据。但智能制造技术的持续发展,使得部分制造业企业的生产过程全面数字化。特别是智能汽车、智慧安防、智能家居、可穿戴设备等新型联网工业品的普及,使得相关制造业企业逐步转型成为重要的数据收集者和数据运营者,并且这些数据中往往包含大量的用户个人信息,数据一旦泄露,会严
18、重危害公共安全。三、事发原因 从 2023 年 1 月2023 年 12 月,政企机构重大数据安全事件发生的原因来看,将近八成安全事件是由于外部攻击导致的,但也有 8.0%的重大数据安全事件是由于政企机构存在内鬼。存在漏洞是数据安全事件发生的重要原因之一。如果网络应用或系统存在安全漏洞,攻击者可以通过注入恶意代码、反序列化、权限绕过等方式利用漏洞获取用户敏感信息,或通过发起拒绝服务攻击超负荷消耗系统资源,使其无法正常运行或提供服务,对企业造成严重影响。4 内鬼作案也是数据安全事件发生的重要途径。我们不仅要防外也要防内,做好数据操作的审计,防止非授权信息读取,防止越权的敏感信息读取,包括一些过度
19、的数据读取其实也是一种泄露,比如:在办一些业务的时候本来只用知道该用户的姓名、性别及年龄,但是在相关资料上还能看到其联系方式、工作单位等信息,这样的过度读取或者暴露个人信息的行为也不合适。如上图所示,从攻击者目的来看,60.2%的外部威胁目的为数据窃取;其次为数据破坏,占比 11.4%。综合数据安全事件类型与发生原因来看,72.7%的数据泄露事件由外部威胁导致。外部威胁(外部攻击)是造成数据泄露、数据破坏与数据篡改的最主要原因。可见,外部威胁是数据安全事件发生的最大威胁。四、事件影响 根据数据的敏感度,我们把政企机构泄露的信息划分为以下几个类型:1)个人信息:公民个人身份、账号卡号及行为信息等
20、数据,主要包括:姓名、身份证、性别、婚姻状况、固定资产、电话、地址、邮箱、账号、密码、工作、出行、防疫、保险信息等。本节包括实名信息(如姓名、电话、身份证、银行卡、家庭住址等信息)、账号密码(如:各类网站登陆账号密码、游戏账号密码、电子邮箱账号密码等)、行为数据、保单信息、人脸指纹等个人信息。2)商业机密:企业经营活动中的商业机密信息,主要包括:客户信息、员工信息、投资人信息、经销商信息、业务合同、工程项目、内部报告、研究成果、核心数据库数据等。3)政府机密:有关政府部门的内部机密信息,主要包括:邮件、会议、重大项目、重要文件、国家事务决策文件等信息。4)软件源代码:企业开发的软件或网站系统平
21、台的源代码,一般属于企业的核心研发机密。5 5)用户数据:用户使用互联网软件或服务时,产生或存储的个人信息以外的其他数据。从 2023 年 1 月2023 年 12 月全球重大数据安全事件发生的主要类型来看,44.1%的事件涉及个人信息;26.8%的事件涉及商业机密;9.1%的事件涉及政府机密。具体分布如下图所示。从安全事件泄露数据的数据包大小来看,商业机密类信息泄露数据规模最大,至少有超过 41586.5GB 的数据被泄露,占比 78.9%;个人信息紧随其后,有 8365GB 的个人信息被泄露,占比 15.9%;政府机密排名第三,占比 6.4%。具体分布如下图所示。从安全事件泄露数据的数据条
22、数来看,全球范围内,仅数据泄露大事件提及到的被泄露的个人信息便有 99.3 亿条;政府机密 11.0 亿条;商业机密 2.5 亿条。具体分布如下图所示。6 7 数据泄露篇 第二章 境内机构数据泄露情报监测分析 2022 年 3 月以来,奇安信威胁情报中心对海内外多个暗网及黑产交易平台上的地下数据交易情况进行了系统性的监测,并对其中涉及中国境内政企机构泄露数据的交易信息进行了评估和验证。2023 年 1 月至 2023 年 11 月,奇安信威胁情报中心累计监测到境内政企机构数据泄露事件 144 起。其中,明确给出了泄露数据数量的事件共有 137 条,约占事件总数的 88.2%,合计约含有超过 7
23、20.4 亿条各类数据;明确给出了泄露数据数据包大小的交易信息共有 126条,约占事件总数的 87.5%,合计约有 60.8TB 数据信息。在本章报告中,我们将以明确给出了泄露数据数量或数据包大小的交易信息为抽样样本,对交易信息的各类分布情况进行全局分析。一、行业分布 境内机构数据泄露的事件共涉及 15 个不同的行业。其中,涉及 IT 信息技术行业企业数据的事件占比 22.9%,排名第一。其次是互联网行业,占比为 16.7%。制造业排名第三,占比为 13.9%。从泄露数据的数量来看,互联网行业排名第一,泄露数据近 235.0 亿条,占比32.6%。其次是 IT 信息技术,182.2 亿条,占比
24、 25.3%。能源行业排第三,73.9 亿条,占比10.3%,具体分布如下图所示。二、泄露类型 奇安信威胁情报中心对数据泄露情报进行了比较详细的类型标注。从数据本身的性质和类型来看,境内机构泄露的数据主要包括个人信息、商业机密、政府机密、软件源代码、账 8 号密码、内部文件、交易数据和系统日志等类型。前文已经对个人信息、商业机密、政府机密、软件源代码的含义进行了介绍,这里补充说明一下账号密码、内部文件、交易数据和系统日志的含义。1)账号密码 登陆某网站或系统应用程序时需要输入的账号及密码,用于验证用户身份和权限。主要包括:员工账号密码、管理员账号密码、客户账号密码等。2)内部文件 企业内部使用
25、的文件,主要包括:公司信息、客户信息、招投标文件、员工人事数据、报销数据、电子合同等。3)交易数据 网络平台或政企机构在生产运营过程中产生的基础数据。本次报告涉及的相关泄露数据,主要包括:某些互联网平台的运营数据、某些商业查询平台的后台数据、制造业企业对其销售的物联网设备的监测数据、某些机构的电话热线拨打记录、环境与消防等行业的监测数据、数字货币的矿机数据等。4)系统日志 在企业内部办公网络上产生的数据,主要包括:内网设备信息、设备及服务器日志、内部管理系统信息、网站后台代码、内网权限、内网端口等。需要说明的是:同一事件泄露的数据包中,可能同时含有不同类型的数据。在下面分析中,我们会对事件涉及
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 中国 政企 机构 数据 安全 风险 研究 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。