2023中国政企机构数据安全风险研究报告.pdf

1、 1 主要观点 数据泄露是数据安全领域的核心问题。在 2023 年全球公开报道的 246 起数据安全事件中，数据泄露事件占比高达 67.5%，泄露数据超过 51.8TB，共计 103.8 亿条。不过，媒体公开报道的数据泄露事件可能只是数据泄露问题的冰山一角。奇安信威胁情报中心监测显示，2023年111月，仅在暗网及黑产平台上交易的境内机构泄露数据就多达60.8TB，共计 720.4 亿条，两项指标双双超过全球媒体公开报道事件的统计数据。数据勒索的高额收益可能进一步推高政企机构数据泄露安全风险。研究显示，越来越多的勒索团伙正在抛弃“加密勒索”这种传统攻击方式，而是转向单纯的“数据勒索”，即单纯的

2、以窃取机密数据并威胁将之公开的方式向政企机构进行勒索。2023 年，全球赎金最高的 10 起勒索组织攻击事件，平均勒索赎金高达 2397 万美元，其中 7 起事件都是单纯的数据勒索事件。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。个人信息是数据泄露和黑产交易的主要数据类型，严重危害公民和社会安全。在境内机构泄露的数据中，涉及个人信息的数据多达 586.8 亿条，相当于 14 亿中国人平均每人泄露了约 42 条个人信息数据。其中，互联网、IT 信息技术和能源行业是泄露数据量最多的行业。网盘、文库、代码托管等互联网知识共享平台也是数据泄露的重要渠道，但尚未得到绝大多数政企机构的

3、充分重视。其中，金融行业对此类问题最为重视，而医疗卫生、互联网和教育行业，通过互联网知识共享平台泄露数据的风险相对于其他行业更高。研究显示，合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”，二者之和占比达到 54.6%。加强合作伙伴管理和员工安全意识培训，是数据安全的重要保障。API 安全是数据安全的重要一环，平均每家机构约有 206 个 API 接口会用来传输敏感数据。汽车制造业的“潜在”数据安全风险最大，其传输敏感数据的 API 接口数平均超过900 个，传输敏感字段多达 332 个，这两项指标均是其他行业的 37 倍。同时，汽车制造业 API 接口传输的个人信息也最多，其

4、中涉及的自然人的数量，是金融、能源、医疗等行业的 3070 倍，可谓“遥遥领先”。由此可见，在智能网联汽车的发展中，数据安全至关重要。解决数据跨境流转问题，需要科学的规划和必要的技术手段。调查显示，尽管很多存在海外业务的机构已经在积极开展跨境数据流转的治理工作，但仍普遍缺乏科学的、整体的数据安全规划，特别是严重缺乏必要的技术手段。而对于绝大多数没有海外分支机构的政企单位而言，往往没有意识到其可能存在的跨境数据流转风险。数据安全建设，应当遵循内生安全原则，从设计规划之初就把数据分类分级、数据防泄露、防勒索、API 安全、跨境数据治理等关键问题列入整体规划，确保数据安全工作与数字化建设同步规划、同

5、步建设、同步运行，用系统性的方法解决数字系统的安全问题。摘 要 2023 年 1 月12 月，安全内参共收录全球政企机构重大数据安全新闻事件 246 起，平均每月 20.5 起，其中，数据泄露事件为 166 起，占比 67.4%，泄露数据超过 51.8TB，共计 103.8 亿条。2023 年 1 月12 月，全球政企机构重大数据安全公开事件中，18.6%为政府机构；其次是制造业，占比 15.9%为；生活服务行业排第三，占比 11.8%。数据安全事件发生的原因来看，将近八成安全事件是由于外部攻击导致的，但也有 8.0%的重大数据安全事件是由于政企机构存在内鬼。在全球重大数据安全公开事件中，44

6、.1%的事件涉及个人信息；26.8%的事件涉及商业机密；9.1%的事件涉及政府机密。2023 年，奇安信威胁情报中心累计监测到境内政企机构数据泄露事件 144 起，共泄露数据超过 720.4 亿条，合计约有 60.8TB。其中 61.1%的事件，泄露的数据涉及个人信息,合计约有 586.8 亿条，相当于 14 亿中国人平均每人泄露了约 42 条个人信息数据。另有41.7%的事件涉及商业机密。2023 年，网络安全威胁情报生态联盟（CEATI 联盟）成员天际友盟共监测到互联网知识共享平台数据泄露事件 4760 起，涉及 16 个行业的 112 个家机构。其中，金融行业对此类问题最为重视，而医疗卫

7、生、互联网和教育行业机构存在此类问题的风险更高。合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”，二者之和占比达到 54.6%。2023 年，奇安信集团共为 128 家大型政企机构提供了 API 安全检测服务。抽样分析显示，平均每家机构约有206个API接口会用来传输敏感数据，约占API接口总数的2.5%。不同行业机构的敏感数据传输情况有很大差异。其中，汽车制造业企业传输敏感数据的API 接口多达 931 个，涉及敏感字段多达 332 个，是其他行业的 37 倍。在针对 90 余个大型综合性系统的跨境数据合规检测中发现，从数据规模来看，在所有跨境传输的数据中，个人一般信息占比约

8、为 66.7%，敏感个人信息占比约为 3.7%，重要数据占比约为 29.6%。在跨境传输的敏感个人信息中，姓名、手机号、车架号、电子邮件地址、家庭住址、身份证号等敏感关键字段出现最为频繁。关键词：关键词：数据安全、数据要素、公开事件、互联网平台、数据泄露、数据破坏、数据篡改、勒索、商业机密、个人信息 目 录 研究背景.1 综合形势篇.2 第一章 全球公开数据安全事件形势分析.2 一、事件类型.2 二、行业分布.3 三、事发原因.3 四、事件影响.4 数据泄露篇.7 第二章 境内机构数据泄露情报监测分析.7 一、行业分布.7 二、泄露类型.7 三、个人信息.9 四、关键字段.10 五、典型案例与

9、安全建议.11 第三章 互联网平台数据泄露监测分析.13 一、行业分布.13 二、泄露类型.14 三、泄露原因.15 四、典型案例.15 运营风险篇.19 第四章 API 敏感数据传输风险分析.19 一、API 安全检测行业分布.19 二、敏感数据传输风险.20 三、个人信息传输风险.21 四、各行业敏感字段举例.21 五、典型案例与安全建议.22 第五章 数据跨境流转安全风险分析.24 一、跨境数据流转监测.24 二、关键敏感字段.25 三、行业对比.26 四、典型案例与安全建议.26 附录 1 2023 数据安全政策与法规建设盘点.28 一、十六部门联合发布指导意见，1500 亿市场呼之欲

10、出.28 二、数字中国建设顶层规划将数字安全被列为“两大能力”之一.28 三、央行发布数据安全管理办法，填补该领域制度空白.29 四、财政部发布重磅文件，数据资产入表全面启动.29 五、各地开通公共数据授权运营，“数据二十条”加速探索落地.30 六、促进开放和发展，网信办出台数据跨境流动规定.30 七、国家数据局正式揭牌，数据要素万亿市场加速开启.30 八、北京数据基础制度先行区启动运行.31 九、工信部起草数据安全行政处罚裁量指引.32 十、国家数据局首提“数据要素”，2000 亿市场激活安全需求.32 附录 2 2023 年全球数据泄露事件泄露数据排行榜.33 附录 3 2023 年全球数

11、据勒索事件勒索赎金排行榜.34 附录 4 CEATI 联盟.35 附录 5 奇安信数据安全事业部.36 附录 6 奇安信行业安全研究中心.37 附录 7 天际友盟.38 1 研究背景 近年来，数据已成为产业发展的创新要素，不仅在数据科学与技术层次，而且在商业模式、产业格局、生态价值与教育层面，数据都能带来新理念和新思维。大数据与现有产业深度融合，在人工智能、自动驾驶、金融商业服务、医疗健康管理、科学研究等领域展现出广阔的前景，使得生产更加绿色智能、生活更加便捷高效，逐渐成为企业发展的有力引擎，在提升产业竞争力和推动商业模式创新方面发挥越来越重要的作用。一些信息技术领先企业向大数据转型，提升对大

12、数据的认知和理解的同时，也要充分意识到大数据安全与大数据应用也是一体之两翼，驱动之双轮，必须从国家网络空间安全战略的高度认真研究与应对当前大数据安全面临的复杂问题。如：数据安全保护难度加大、个人信息泄露风险加剧等。数据技术时代，数据成为业务发展核心动力，也成为黑客的主要目标。对于数据拥有者来讲，数据泄露几乎等同于经济损失。在开放的网络化社会，蕴含着海量数据和潜在价值的大数据更受黑客青睐，近年来也频繁爆发信息系统邮箱账号、社保信息、银行卡号等数据大量被窃的安全事件。分布式的系统部署、开放的网络环境、复杂的数据应用和众多的用户访问，都使得大数据在保密性、完整性、可用性等方面面临更大的挑战。为更加充

13、分的研究政企机构数据安全风险，奇安信行业安全研究中心联合、奇安信数据安全事业部、奇安信威胁情报中心、网络安全威胁情报生态联盟（CEATI）、天际友盟等研究机构，针对政企机构数据安全状况及风险展开深入研究。本次研究分别从公开事件、数据泄露情报、数字品牌风险等几方面，针对数据安全（包括数据泄露、数据篡改、数据破坏等）展开深入的研究。希望该项研究能够对全国各地政企机构展开数据安全防护等建设规划有所警示和帮助。2 综合形势篇 第一章 全球公开数据安全事件形势分析 本章内容主要基于 安全内参 平台收录的全球范围内公开的数据安全重大新闻事件展开全球数据安全形势分析。一、事件类型 2023 年 1 月12

14、月，安全内参共收录全球政企机构重大数据安全新闻事件 246 起，平均每月 20.5 起，其中，数据泄露事件为 166 起，占比 67.4%，泄露数据超过 51.8TB，共计 103.8 亿条。数据安全事件主要包含数据泄露、数据破坏和数据篡改三大类型。其中，数据泄露问题已经逐渐成为核心痛点。从过去 3 年间，在全球所有公开的重大数据安全事件中，数据泄露事件的占比从 41.2%一路增长到 67.5%，而数据破坏事件的比例则从 42.0%下降到 11.4%。造成数据泄露事件占比持续攀升的原因主要有两个方面：首先，全球化的地下黑产数据交易活动日趋频繁和成熟，窃取和非法贩卖数据不仅有利可图，而且回报丰厚

15、，从而推动了数据泄露事件的持续高发。其次，数据泄露事件往往会给社会治安造成严重影响，因此也日益受到媒体的关注。“附录 2 2023 年全球数据泄露事件泄露数据排行榜”，给出了 2023 年全球公开数据安全事件中，数据泄露数量最多的 10 个安全事件。特别值得关注的是，勒索事件在所有数据安全事件中占比高达 27.2%，而且越来越多的勒索团伙开始从加密勒索转向数据勒索。传统的勒索组织主要通过加密数据的方式向受害者勒索赎金。2020 年以后，部分定向勒索组织开始采用加密勒索与数据勒索相结合的方式进行双重勒索，即勒索团伙在加密数据之前，先将大量商业机密数据窃取出来，如果受害者不肯支付赎金，勒索者不但不

16、会向受害者提供解码密钥，还会威胁公开其窃取的商业机密数据。3 但 2023 年的情况显示，已经有越来越多的勒索活动完全放弃了加密数据的传统攻击方式，而是转为单纯的以窃取机密数据并威胁公开的方式进行数据勒索。2023 年，全球赎金最高的10起勒索组织攻击事件（详见“附录3 2023年全球数据勒索事件勒索赎金排行榜”），平均勒索赎金高达 2397 万美元，其中 7 起事件都是单纯的数据勒索事件。按照某些勒索团伙的说法，放弃加密数据的攻击方式，可以尽可能的减小勒索活动对社会面的影响，即在不直接影响生产的情况下完成勒索。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。二、行业分布 20

17、23 年 1 月12 月，全球政企机构重大数据安全公开事件中，18.6%为政府机构；其次是制造业，占比 15.9%为；生活服务行业排第三，占比 11.8%。下图给出了 2023 年 1 月12月，全球政企机构重大数据安全事件所涉及到的十大行业分布。制造业的数据安全问题应当引起特别的关注。传统制造业企业很少产生数据，也很少收集、存储和计算数据。但智能制造技术的持续发展，使得部分制造业企业的生产过程全面数字化。特别是智能汽车、智慧安防、智能家居、可穿戴设备等新型联网工业品的普及，使得相关制造业企业逐步转型成为重要的数据收集者和数据运营者，并且这些数据中往往包含大量的用户个人信息，数据一旦泄露，会严

18、重危害公共安全。三、事发原因 从 2023 年 1 月2023 年 12 月，政企机构重大数据安全事件发生的原因来看，将近八成安全事件是由于外部攻击导致的，但也有 8.0%的重大数据安全事件是由于政企机构存在内鬼。存在漏洞是数据安全事件发生的重要原因之一。如果网络应用或系统存在安全漏洞，攻击者可以通过注入恶意代码、反序列化、权限绕过等方式利用漏洞获取用户敏感信息，或通过发起拒绝服务攻击超负荷消耗系统资源，使其无法正常运行或提供服务，对企业造成严重影响。4 内鬼作案也是数据安全事件发生的重要途径。我们不仅要防外也要防内，做好数据操作的审计，防止非授权信息读取，防止越权的敏感信息读取，包括一些过度

19、的数据读取其实也是一种泄露，比如：在办一些业务的时候本来只用知道该用户的姓名、性别及年龄，但是在相关资料上还能看到其联系方式、工作单位等信息，这样的过度读取或者暴露个人信息的行为也不合适。如上图所示，从攻击者目的来看，60.2%的外部威胁目的为数据窃取；其次为数据破坏，占比 11.4%。综合数据安全事件类型与发生原因来看，72.7%的数据泄露事件由外部威胁导致。外部威胁（外部攻击）是造成数据泄露、数据破坏与数据篡改的最主要原因。可见，外部威胁是数据安全事件发生的最大威胁。四、事件影响 根据数据的敏感度，我们把政企机构泄露的信息划分为以下几个类型：1）个人信息：公民个人身份、账号卡号及行为信息等

20、数据，主要包括：姓名、身份证、性别、婚姻状况、固定资产、电话、地址、邮箱、账号、密码、工作、出行、防疫、保险信息等。本节包括实名信息（如姓名、电话、身份证、银行卡、家庭住址等信息）、账号密码（如：各类网站登陆账号密码、游戏账号密码、电子邮箱账号密码等）、行为数据、保单信息、人脸指纹等个人信息。2）商业机密：企业经营活动中的商业机密信息，主要包括：客户信息、员工信息、投资人信息、经销商信息、业务合同、工程项目、内部报告、研究成果、核心数据库数据等。3）政府机密：有关政府部门的内部机密信息，主要包括：邮件、会议、重大项目、重要文件、国家事务决策文件等信息。4）软件源代码：企业开发的软件或网站系统平

21、台的源代码，一般属于企业的核心研发机密。5 5）用户数据：用户使用互联网软件或服务时，产生或存储的个人信息以外的其他数据。从 2023 年 1 月2023 年 12 月全球重大数据安全事件发生的主要类型来看，44.1%的事件涉及个人信息；26.8%的事件涉及商业机密；9.1%的事件涉及政府机密。具体分布如下图所示。从安全事件泄露数据的数据包大小来看，商业机密类信息泄露数据规模最大，至少有超过 41586.5GB 的数据被泄露，占比 78.9%；个人信息紧随其后，有 8365GB 的个人信息被泄露，占比 15.9%；政府机密排名第三，占比 6.4%。具体分布如下图所示。从安全事件泄露数据的数据条

22、数来看，全球范围内，仅数据泄露大事件提及到的被泄露的个人信息便有 99.3 亿条；政府机密 11.0 亿条；商业机密 2.5 亿条。具体分布如下图所示。6 7 数据泄露篇 第二章 境内机构数据泄露情报监测分析 2022 年 3 月以来，奇安信威胁情报中心对海内外多个暗网及黑产交易平台上的地下数据交易情况进行了系统性的监测，并对其中涉及中国境内政企机构泄露数据的交易信息进行了评估和验证。2023 年 1 月至 2023 年 11 月，奇安信威胁情报中心累计监测到境内政企机构数据泄露事件 144 起。其中，明确给出了泄露数据数量的事件共有 137 条，约占事件总数的 88.2%，合计约含有超过 7

23、20.4 亿条各类数据；明确给出了泄露数据数据包大小的交易信息共有 126条，约占事件总数的 87.5%，合计约有 60.8TB 数据信息。在本章报告中，我们将以明确给出了泄露数据数量或数据包大小的交易信息为抽样样本，对交易信息的各类分布情况进行全局分析。一、行业分布 境内机构数据泄露的事件共涉及 15 个不同的行业。其中，涉及 IT 信息技术行业企业数据的事件占比 22.9%，排名第一。其次是互联网行业，占比为 16.7%。制造业排名第三，占比为 13.9%。从泄露数据的数量来看，互联网行业排名第一，泄露数据近 235.0 亿条，占比32.6%。其次是 IT 信息技术，182.2 亿条，占比

24、 25.3%。能源行业排第三，73.9 亿条，占比10.3%，具体分布如下图所示。二、泄露类型 奇安信威胁情报中心对数据泄露情报进行了比较详细的类型标注。从数据本身的性质和类型来看，境内机构泄露的数据主要包括个人信息、商业机密、政府机密、软件源代码、账 8 号密码、内部文件、交易数据和系统日志等类型。前文已经对个人信息、商业机密、政府机密、软件源代码的含义进行了介绍，这里补充说明一下账号密码、内部文件、交易数据和系统日志的含义。1）账号密码 登陆某网站或系统应用程序时需要输入的账号及密码，用于验证用户身份和权限。主要包括：员工账号密码、管理员账号密码、客户账号密码等。2）内部文件 企业内部使用

25、的文件，主要包括：公司信息、客户信息、招投标文件、员工人事数据、报销数据、电子合同等。3）交易数据 网络平台或政企机构在生产运营过程中产生的基础数据。本次报告涉及的相关泄露数据，主要包括：某些互联网平台的运营数据、某些商业查询平台的后台数据、制造业企业对其销售的物联网设备的监测数据、某些机构的电话热线拨打记录、环境与消防等行业的监测数据、数字货币的矿机数据等。4）系统日志 在企业内部办公网络上产生的数据，主要包括：内网设备信息、设备及服务器日志、内部管理系统信息、网站后台代码、内网权限、内网端口等。需要说明的是：同一事件泄露的数据包中，可能同时含有不同类型的数据。在下面分析中，我们会对事件涉及

26、的不同数据类型进行重复统计。因此，数据百分比之和会大于 100%，分类数据量之和会大于总量。下图给出了境内机构泄露数据的类型分布情况。按照事件信息的数量来看，61.1%的事件，涉及内容包含个人信息数据；其次是商业机密数据，占比 41.7%；账号密码类数据排第三，占比 24.3%。按照泄露数据的数据包大小来看：数据泄露涉及个人信息约有 34.5TB，占比高达 56.8%。9 同样排名第一；其次是商业机密，约有 31.9TB，占比为 52.5%；交易数据排名第三，约有13.1TB，占比为 21.5%。此外，按照泄露数据的数量来看：含有个人信息数据，约有 586.8 亿条，占泄露数据总条数的 81.

27、5%；其次是含有商业机密的数据，约有 240.0 亿条，占比为 33.3%。三、个人信息 从前面数据中可以看出，无论是从交易信息的数量、泄露数据包的大小还是泄露数据的数量上来看，个人信息数据都是泄露最多的数据。586.8 亿条的个人信息泄露数据总量，相当于 14 亿中国人平均每人泄露了约 42 条个人信息数据，而这仅仅是 2023 年 111 月监测到的新增数据。从行业分布来看，互联网行业泄露内容涉及个人信息的最多，高达 216.3 亿条；其次是IT 信息技术，约为 112.6 亿条；能源行业排第三，约为 67.9 亿条。此外，教育、生活服务、制造业等也都是个人信息数据泄露的大户。10 除了常

28、见的互联网与 IT 信息技术外，在本次报告分析的海外数据暴露信息中，还可以看到多个能源或热力公司存在数据泄露或数据暴露情况。我们看到存在 app 系统用户数据暴露、电话客服数据库暴露、缴费系统数据暴露等。其中常包含电话、姓名、地址、充电或缴费记录等信息。四、关键字段 针对境内机构数据泄露泄露事件的内容进行分析，我们整理出超 300 个关键词，包括：姓名、电话、账号密码、身份证号、地址、照片、客户数据、合同、卡号等。其中，“姓名”最多，约 44.4%的事件泄露内容中含有“姓名”标签，“电话”排名第二，占比 39.6%，“账号密码”排名第三，占比 22.9%。根据各关键字出现频次我们制作了下图所示

29、的词云图：11 五、典型案例与安全建议 2023 年，奇安信数据安全事业部结合客户业务实践，及 95015 平台应急响应服务案例，总结出 4 起典型的，由于内部人员违规操作导致的数据安全风险事件。与这些案例相似的事件在很多政企机构中普遍存在。1.1.开发人员私设数据库存储重要数据开发人员私设数据库存储重要数据 2023 年 3 月，某公司数据安全管控平台发现内网中出现敏感数据异常流动，短时间内出现大量业务数据异常上传和下载操作，同时出现一个未被纳管的新数据库。公司网络安全部门立即展开调查，最终确认，此次数据安全事件是由一个开发团队违规操作所致。调查显示：该开发小组正在开发一个重要的数据处理算法

30、。因为时间紧、任务重，小组负责人嫌走公司正式流程太麻烦，因此在未经申请报备的情况下，私设数据库，拉取公司重要数据进行开发工作。而私设的数据库并不符合公司安全开发业务标准，造成巨大安全隐患。事实上，此类事件在互联网和 IT 企业中非常普遍。不过，通过建设数据库审计监测系统，可以实现对数据库资产信息与特权账号系统的动态监测。同时，将数据库审计结果上报数据安全管控平台，管控平台经过分析比对，即可在第一时间发现新的未被纳管的数据库暗资产，从而实现对数据库安全的动态管控。2.2.员工离职前大量下载内部文件员工离职前大量下载内部文件 2023 年 5 月，某 IT 企业通过数据安全监测，发现有员工在 1

31、天之内，从公司共享文档中下载文档 200 余份，其中很多文档并非其工作职责所必须。同时，该员工还通过内部办公社交软件，1 天之内查询浏览了 300 多位员工的联系方式。进一步调查发现，该涉事员工为即将离职员工，并已得到该公司某竞品企业入职 Offer。其异常的批量数据下载行为疑似竞品企业指使。该公司随即要求该员工，在监督之下彻底清除了已经下载的全部文档和数据，并签署保密承诺书后，对该员工进行开除处理。有调查显示，员工离职前期，往往是其窃取、破坏单位内部数据行为的高发时期。企业部署必要的数据安全监测系统，可以及时发现异常的数据访问行为。特别是对已经提出离职申请的人员，应当列入数据安全防护的重点监

32、控对象，对其访问内网数据、下载公司资料的行为，进行严格管控。3.3.非非工作工作时间时间大量大量访问核心业务系统访问核心业务系统 2023 年 6 月，某企业数据安全监测系统显示，在过去一个星期里，其某核心业务系统在凌晨 1:003:00 间，被某内部账号大量访问。而这种情况在以往是极其少见的。初步调查显示，该内部账号归属于某位高级工程师。该工程师主要负责该核心业务系统的日常运维与保障工作。由于该工程师近期并未参与任何需要连夜加班的紧急项目，因此其频繁的凌晨登录行为被判定为异常。进一步调查显示，该工程师近日与部门领导有过重大争执，情绪极不稳定，疑似利用非工作时间对系统进行破坏，间接对公司和领导

33、实施报复。公司网络安全部门随即关闭了该工程师的特权账号，并与之约谈，最终证实了对其行为动机的前期猜测。由于阻止及时，核心业务系统尚未遭到严重破坏。事实上，对核心业务系统的超范围访问、异常频繁访问、非工作时间访问等情况，都很12 有可能预示着潜在的安全风险。应对此类风险，仅仅依靠管理手段是远远不够的。通常需要部署零信任访问控制系统，对发起访问的用户和终端进行持续的身份验证和信任评估，并根据验证和评估结果对访问权限进行动态处置，这样才能将此类异常访问的安全风险降到最低。4.4.员工绕过员工绕过堡垒机访问数据库服务器堡垒机访问数据库服务器2023 年 9 月，由于频繁发生数据泄露事故，某单位邀请奇安

34、信安服团队协助其排查数据安全隐患。在排查过程中，发现该单位虽然明确要求所有系统运维人员必须通过堡垒机登录后，方可对核心数据库服务器进行系统运维，但却不断发生非运维人员绕过堡垒机安全措施访问数据库的安全事件。通过深入排查并与涉事账号相关员工面谈后发现，该单位员工长期、普遍存在滥用特权账号的情况，有三类主要表现：第一，不同运维人员长期通过共享账号完成日常运维；第二，某些未被纳管的幽灵账号拥有较高特权并被违规使用；第三，堡垒机运维人员经常因为各种所谓的“特殊情况”为普通员工开设临时特权，甚至直接在后台修改某些特权账号的密码以作临时之用。特权账号管理，是数据安全问题中的核心问题。对特权账号的任何滥用，

35、都有可能导致严重的后果。很多大型机构都存在特权账号分散管理，运维人员随意操作的情况。对于此类问题，企业应建立特权账号管理系统对域内的所有特权账号进行统一纳管，定期改密，避免个别运维人员长期持有特权账号。同时，还可以通过数据库审计监测系统，在数据库登录成功日志中对正常纳管访问的 IP 进行过滤，一旦发现非纳管 IP 访问数据库服务器行为，立即触发告警，上报管控平台，最大限度减少特权账号被滥用的风险。13 第三章 互联网平台数据泄露监测分析 数据泄露的原因是多方面的，除了网络攻击、内鬼窃取等常见原因之外，通过互联网知识共享平台，直接面向所有网络用户泄露单位内部文件、软件代码等商业机密信息的情况也非

36、常普遍。在本章中，我们将结合网络安全威胁情报生态联盟（CEATI 联盟）成员天际友盟的运营数据，对互联网知识共享平台上的数据泄露情况展开详细分析。一、行业分布 2023 年，天际友盟受客户委托对互联网知识共享平台进行数据泄露的定向持续监测。2023 年 1 月11 月，共发现数据泄露事件 4760 起，涉及 16 个行业的 112 个家机构。从委托监测的机构数量来看：金融行业最多，共 51 家，占比为 45.5%，其次是教育行业 15 家，占比 13.4%；制造业 10 家，占比 8.9%。此外，互联网、能源、政府及事业单位等，也都是对自身数据泄露问题更加关注，委托监测机构数量相对较多的行业。

37、而从监测结果来看，金融行业在互联网知识共享平台上的数据泄露事件最多，共 1400起，占比 29.4%；其次是教育行业 1223 起，占比 25.7%；互联网行业排第三，共 671 起，占比 14.1%。下图给出了不同行业机构在互联网知识共享平台上监测到数据泄露事件的平均数。其中医疗卫生行业最高，平均每个机构监测发现数据泄露事件 167 起，其次是互联网行业平均 96起，教育行业 82 起。也就是说，相较而言，医疗卫生、互联网、教育等行业通过互联网知识共享平台泄露数据的风险相对于其他行业更高。14 二、泄露类型 从数据泄露的类型上来看，在互联网知识共享平台上泄露的数据主要包括三大类型，分别是普通

38、文档、源代码泄露和盗版数据。统计显示，文档泄露事件的高发地段以中文互联网平台为主，包括 CSDN（全平台），百度文库，道客巴巴，豆丁，360 文库，360Doc，原创力文档，新浪爱问共享资料等 20 余个知识共享平台。其中，排名 TOP5 的平台，相关的文档泄露事件总和，占到文档泄露事件总量的 78.63%。此外，Github 和 Gitee 则是源代码泄露事件发生的主要平台。下图给出了互联网知识共享平台上泄露文档的主要细分类型分布，其中，企业内部规章制度、管理办法、使用手册等文档，占比最高，为 22.4%，其次是市场宣传材料，占比 18.9%；财务报表、企业战略分析报告等商业机密信息占比 8

39、.3%，排名第三。产品技术文档、项目规划、部署方案、计划书等也是比较主要的文档泄露类型。15 三、泄露原因 2023 年，天际友盟应急响应服务中心累计协助用户处置及溯源互联网知识共享平台数据泄露事件 439 起，其中文档泄露时间 399 起，源代码泄露事件 40 起。溯源分析显示，造成政企机构内部数据在互联网知识共享平台上泄露的首要原因，是合作伙伴泄露，占比29.0%；其次为内部人员泄露，占比 25.6%；明确为外部攻击导致的数据泄露事件仅为 6.0%。另一方面，由于缺乏充分的数据安全管理措施和技术手段，约四成，即 39.4%的相关数据泄露事件无法溯源。四、典型案例 本小节案例主要来自天际友盟

40、数据泄露防护服务客户真实案例。相关泄露信息在被发现后的第一时间（112 小时内）均已被溯源并删除。16 1.1.某金融机构内部在百度网盘上遭泄露某金融机构内部在百度网盘上遭泄露 2023 年 2 月，监测发现某金融机构多个内部管理制度被打包上架到百度网盘，供网友免费下载。相关材料本应仅限于部分内部员工浏览。此事件属于一般商业机密泄露。2.2.某金融机构的财务数据在某金融机构的财务数据在 CSDNCSDN 上被公开上被公开 2023 年 2 月，监测发现某金融机构内部管理系统安装配置文档通过百度网盘被分享，且可免费下载。相关材料本应仅限于部分内部员工浏览。此事件属于一般商业机密泄露。3.3.某热

41、播国产电视剧影视资料被非法搬运至多个网络平台某热播国产电视剧影视资料被非法搬运至多个网络平台 2023 年 4 月，某正在热播的国产电视剧，被发现在多个未获得授权的影视平台上可被免费观看，且已经吸引了不少观众的流量，这不仅严重影响了版权方和演员的经济收益，同时也侵害了付费观众的权益，甚至引起了消费者对获得合法授权平台的不满，严重损害其品牌形象。17 4.4.某大学专业介绍宣传材料在百度文库上可免费下载某大学专业介绍宣传材料在百度文库上可免费下载 2023 年 6 月，某大学的学科介绍材料被发布到百度文库上供网友们免费下载。由于相关材料仅为某教师编写的内部办公材料，并不符合严谨的对外宣传标准，因

42、此该材料的泄露给学校声誉造成了一定程度负面舆论影响。5.5.某大型医院的内部备份系统建设方案在道客巴巴上付费浏览某大型医院的内部备份系统建设方案在道客巴巴上付费浏览 2023 年 7 月，天际友盟监测到某国际保健品牌的奖金方案早在 2012 年被公开上传到道客巴巴，此事件泄露了内部管理制度，对品牌方造成一定负面影响。18 6.6.国内知名互联网公司的源代码被分享至托管服务平台国内知名互联网公司的源代码被分享至托管服务平台 2023 年 10 月，国内互联网领域某头部企业的部分源代码被公开在代码共享网站 Github上。泄露代码与企业旗下一款网购 APP 的支付功能紧密相关。此事件属于重要商业机

43、密泄露，同时对其用户的隐私与账户安全均造成重大潜在威胁。19 运营风险篇 第四章 API 敏感数据传输风险分析 应用程序或系统的 API 接口，是数据传输与交换的主要途径之一。对于传输敏感数据的API 接口，应当进行严格的权限限制并采取必要的数据保护机制，以确保数据不会被窃取、破坏或篡改。本章内容主要基于奇安天盾数据安全保护系统 API 安全监测能力，分析敏感数据通过API 接口进行传输时的安全风险。所谓敏感数据，主要是指未经个人或机构授权而被他人使用时，有可能给个人、机构或社会带来严重损害的数据信息。以GB/T 35273-2017 信息安全技术个人信息安全规范为例，个人敏感数据有：个人财产

44、信息（存款、信贷、消费流水）、个人健康生理信息（体检信息、医疗记录）、个人身份信息（身份证、社保卡、驾驶证）等。在本报告中，敏感数据的界定是以 GB/T 35273-2017 等相关国家标准及各行业主要法规及相关技术标准为参照。一、API 安全检测行业分布 2023 年 112 月，应客户邀请，奇安信集团共为 128 家大型政企机构提供了 API 安全检测服务。我们抽样了其中 66 家重要机构累计 1534 天的检测结果进行分析，共检出各类 API接口 553326 个，平均每家机构拥有 API 接口 8384 个；涉及各类系统应用 3300 个，平均每个系统拥有 API 接口 168 个；其

45、中，共检出有敏感数据传输行为的 API 接口 13619 个，占比约为 2.5%；平均每家机构拥有敏感数据传输 API 接口 206 个；平均每个系统拥有敏感数据传输 API 接口约 4 个。下图给出了 2023 年奇安信为全国政企机构提供 API 安全检测服务的行业分布情况。其中，医疗卫生行业最多，占比 34.8%，其次是各地大数据局和教育行业，占比均为 18.2%。20 二、敏感数据传输风险 不同行业机构传输敏感数据的 API 接口数量也有很大的差异。其中，汽车制造业企业最值得关注，平均每个受测企业有多达 931 个 API 接口会传输敏感数据，涉及敏感字段多达332 个。此外，各地大数据

46、局、能源、医疗卫生等行业也是传输敏感数据 API 接口较多、传输敏感字段较多的行业，应当特别加强 API 安全建设与管理。从传输敏感信息的数量来看，汽车制造业同样也是“遥遥领先”。在接受检测的汽车制造业企业中，每家企业平均每天通过 API 接口传输的敏感数据多达 142236 条，这一数字比绝大多数其他行业高出了两个数量级，是排名第二的能源行业 39116 条的 3.6 倍。大数据局排名第三，为平均每天 11966 条。21 三、个人信息传输风险 在所有敏感数据中，涉及自然人的信息，也就是个人信息，最受业界和社会关注。下图给出了不同行业机构通过 API 传输的敏感数据中，涉及不同自然人人数的情

47、况。同样的，汽车制造业再次排名第一，API 接口平均每天传输 15622 个不同自然人的个人信息敏感数据，远远高于其他行业。大数据局（2173 人/天）、政府机构（1523 人/天）和教育行业（1432 人/天）分列第二、第三、第四位。综上所述，仅从 API 接口传输敏感数据这个角度来看，汽车制造业的潜在数据安全风险最大。不论是传输敏感数据的接口数量、敏感字段数、每日数据量还是涉及自然人人数，不论从哪个维度来看，汽车制造业的潜在风险都是最大的，甚至是“遥遥领先”。从某种程度上来看，一辆智能网联汽车，就是一个移动的敏感数据发生源，持续不断的通过各种 API 接口，向服务器传输敏感数据。不仅如此，

48、这些数据还会一刻不停的在各种车联网业务系统中周转和使用。这也使得汽车制造业以及智能网联汽车，都成为了数据安全的高风险地带。一个与此相关的新闻事件是：2023 年 6 月，安全研究人员 Eaton Zveare 发现本田动力设备的电商平台存在 API 漏洞，攻击者可以获取大量用户敏感数据，包括历年所有经销商的21393 份客户订单信息，其中含有客户姓名、地址、电话号码和订购的物品信息；此外，攻击者还可以对 1570 个经销商网站进行任意修改，对 3588 个经销商用户/帐户修改密码。由此可见，关于汽车制造业 API 接口的数据安全风险问题绝非“危言耸听”。四、各行业敏感字段举例 下面是我们对一些

49、主要行业敏感数据的敏感字段举例说明。在实际系统中，敏感字段的数量要远远高于本报告给出的示例。政府机构政府机构：【个人敏感信息】档案编号、密码、身份证号、未成年人身份证号、医院名称、银行卡号、证件号码、证件类型【个人工作信息】地址、单位名称、专业 大数据局大数据局：【个人敏感信息】身份证号、未成年人身份证号、证件类型、证件号码、密 22 码、残疾人证号、结婚证字号、余额【个人财产信息】车牌号、总金额、建筑面积、社保状态、币种、不动产单元号、缴存基数、人员缴费基数、房屋幢号、缴纳金额、权利人名称 金融行业金融行业：【个人敏感信息】身份证号、未成年人身份证号、银行卡号、证件类型、证件照片【个人财产信

50、息】产品名称、车架号、车牌号、金额【个人基本信息】出生日期、年龄、手机号、性别、姓名【交易信息】时间、日期、应付所得税额、账户编号、总费用、银行名称 能源行业能源行业：【个人敏感信息】身份证号、密码、证件类型、银行卡类型、开户行、未成年人身份证号、工号、证件号码【行业特殊信息】加油站名称、油名称、客户编号、单价、油罐编号、原始体积、原油体积、开始水高度、开始水体积、开始温度、开始油高度、开始油体积 交通运输交通运输：【交通管理信息】安全检查信息、安全隐患名称、单位地址、渡口名称、交通管制信息、组织机构名称【个人基本信息】电话号码、出生日期、电子邮件地址、国籍、民族、姓名、手机号 教育行业教育行