2023中国政企机构数据安全风险研究报告.docx

研究背景1综合形势篇2第一章全球公开数据安全事件形势分析2一、 事件类型2二、 行业分布3三、 事发原因3四、 事件影响4数据泄露篇7第二章境内机构数据泄露情报监测分析7一、 行业分布7二、 泄露类型7三、 个人信息9四、 关键字段10五、 典型案例与安全建议11第三章互联网平台数据泄露监测分析13一、 行业分布13二、 泄露类型14三、 泄露原因15四、 典型案例15运营风险篇19第四章APl敏感数据传输风险分析19一、 API安全检测行业分布19二、 敏感数据传输风险20三、 个人信息传输风险21四、 各行业敏感字段举例21五、 典型案例与安全建议22第五章数据跨境流转安全风险分析24一、 跨境数据流转监测24二、 关键敏感字段25三、 行业对比26四、 典型案例与安全建议26附录12023数据安全政策与法规建设盘点28一、 十六部门联合发布指导意见，1500亿市场呼之欲出28二、 数字中国建设顶层规划将数字安全被列为“两大能力”之一28三、央行发布数据安全管理办法，填补该领域制度空白29四、 财政部发布重磅文件，数据资产入表全面启动29五、 各地开通公共数据授权运营，“数据二十条”加速探索落地30六、 促进开放和发展，网信办出台数据跨境流动规定30七、 国家数据局正式揭牌，数据要素万亿市场加速开启30八、 北京数据基础制度先行区启动运行31九、 工信部起草数据安全行政处罚裁量指引32十、国家数据局首提“数据要素X”，2000亿市场激活安全需求32附录22023年全球数据泄露事件泄露数据排行榜33附录32023年全球数据勒索事件勒索赎金排行榜34附录4CEATI联盟35附录5奇安信数据安全事业部36附录6奇安信行业安全研究中心37附录7天际友盟38研究背景近年来，数据已成为产业发展的创新要素，不仅在数据科学与技术层次，而且在商业模式、产业格局、生态价值与教育层面，数据都能带来新理念和新思维。大数据与现有产业深度融合，在人工智能、自动驾驶、金融商业服务、医疗健康管理、科学研究等领域展现出广阔的前景，使得生产更加绿色智能、生活更加便捷富效，逐渐成为企业发展的有力引擎，在提升产业竞争力和推动商业模式创新方面发挥越来越重要的作用。一些信息技术领先企业向大数据转型，提升对大数据的认知和理解的同时，也要充分意识到大数据安全与大数据应用也是一体之两翼，驱动之双轮，必须从国家网络空间安全战略的高度认真研究与应对当前大数据安全面临的复杂问题。如：数据安全保护难度加大、个人信息泄露风险加剧等。数据技术时代，数据成为业务发展核心动力，也成为黑客的主要目标。对于数据拥有者来讲，数据泄露几乎等同于经济损失。在开放的网络化社会，蕴含着海量数据和潜在价值的大数据更受黑客青睐，近年来也频繁爆发信息系统邮箱账号、社保信息、银行卡号等数据大量被窃的安全事件。分布式的系统部署、开放的网络环境、复杂的数据应用和众多的用户访问，都使得大数据在保密性、完整性、可用性等方面面临更大的挑战。为更加充分的研究政企机构数据安全风险，奇安信行业安全研究中心联合、奇安信数据安全事业部、奇安信威胁情报中心、网络安全威胁情报生态联盟（CEATI）、天际友盟等研究机构，针对政企机构数据安全状况及风险展开深入研究。本次研究分别从公开事件、数据泄露情报、数字品牌风险等几方面，针对数据安全（包括数据泄露、数据篡改、数据破坏等）展开深入的研究。希望该项研究能够对全国各地政企机构展开数据安全防护等建设规划有所警示和帮助。综合形势篇第一章全球公开数据安全事件形势分析本章内容主要基于安全内参平台收录的全球范围内公开的数据安全重大新闻事件展开全球数据安全形势分析。一、事件类型2023年1月12月，安全内参共收录全球政企机构重大数据安全新闻事件246起，平均每月20.5起，其中，数据泄露事件为166起，占比67.4%,泄露数据超过51.8TB,共计103.8亿条。数据安全事件主要包含数据泄露、数据破坏和数据篡改三大类型。其中，数据泄露问题己经逐渐成为核心痛点。从过去3年间，在全球所有公开的重大数据安全事件中，数据泄露事件的占比从41.2%-路增长到67.5%,而数据破坏事件的比例则从42.0%下降到IL4%。2022年 2023年2021 年数据破坏数据泄露网安全3Ml箜亳“23.3%13 W =5%数据篡改其他Vr*奇安信造成数据泄露事件占比持续攀升的原因主要有两个方面：首先，全球化的地下黑产数据交易活动日趋频繁和成熟，窃取和非法贩卖数据不仅有利可图，而且回报丰厚，从而推动了数据泄露事件的持续高发。其次，数据泄露事件往往会给社会治安造成严重影响，因此也口益受到媒体的关注。“附录22023年全球数据泄露事件泄露数据排行榜”，给出了2023年全球公开数据安全事件中，数据泄露数量最多的10个安全事件。特别值得关注的是，勒索事件在所有数据安全事件中占比高达27.2%,而且越来越多的勒索团伙开始从加密勒索转向数据勒索。传统的勒索组织主要通过加密数据的方式向受害者勒索赎金。2020年以后，部分定向勒索组织开始采用加密勒索与数据勒索相结合的方式进行双重勒索，即勒索团伙在加密数据之前，先将大量商业机密数据窃取出来，如果受害者不肯支付赎金，勒索者不但不会向受害者提供解码密钥，还会威胁公开其窃取的商业机密数据。但2023年的情况显示，已经有越来越多的勒索活动完全放弃了加密数据的传统攻击方式，而是转为单纯的以窃取机密数据并威胁公开的方式进行数据勒索。2023年，全球赎金最高的10起勒索组织攻击事件（详见“附录32023年全球数据勒索事件勒索赎金排行榜”），平均勒索赎金高达2397万美元，其中7起事件都是单纯的数据勒索事件。按照某些勒索团伙的说法，放弃加密数据的攻击方式，可以尽可能的减小勒索活动对社会面的影响，即在不直接影响生产的情况下完成勒索。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。二、行业分布2023年1月12月，全球政企机构重大数据安全公开事件中，18.6%为政府机构；其次是制造业，占比15.9%为；生活服务行业排第三，占比U.8下图给出了2023年1月12月，全球政企机构重大数据安全事件所涉及到的十大行业分布。制造业的数据安全问题应当引起特别的关注。传统制造业企业很少产生数据，也很少收集、存储和计算数据。但智能制造技术的持续发展，使得部分制造业企业的生产过程全面数字化。特别是智能汽车、智慧安防、智能家居、可穿戴设备等新型联网工业品的普及，使得相关制造业企业逐步转型成为重要的数据收集者和数据运营者，并且这些数据中往往包含大量的用户个人信息，数据一旦泄露，会严重危害公共安全。三、事发原因从2023年1月2023年12月，政企机构重大数据安全事件发生的原因来看，将近八成安全事件是由于外部攻击导致的，但也有8.0%的重大数据安全事件是由于政企机构存在内鬼。存在漏洞是数据安全事件发生的重要原因之一。如果网络应用或系统存在安全漏洞，攻击者可以通过注入恶意代码、反序列化、权限绕过等方式利用漏洞获取用户敏感信息，或通过发起拒绝服务攻击超负荷消耗系统资源，使其无法正常运行或提供服务，对企业造成严重影响。内鬼作案也是数据安全事件发生的重要途径。我们不仅要防外也要防内，做好数据操作的审计，防止非授权信息读取，防止越权的敏感信息读取，包括一些过度的数据读取其实也是一种泄露，比如：在办一些业务的时候本来只用知道该用户的姓名、性别及年龄，但是在相关资料上还能看到其联系方式、工作单位等信息，这样的过度读取或者暴露个人信息的行为也不合适。全球数据安全大事件发生主要原因攻击者目的即、哥安德如上图所示，从攻击者目的来看，60.2%的外部威肋,目的为数据窃取；其次为数据破坏，占比11.4%综合数据安全事件类型与发生原因来看，72.7%的数据泄露事件由外部威胁导致。外部威胁（外部攻击）是造成数据泄露、数据破坏与数据篡改的最主要原因。可见，外部威胁是数据安全事件发生的最大威胁。四、事件影响根据数据的敏感度，我们把政企机构泄露的信息划分为以下几个类型：1）个人信息：公民个人身份、账号卡号及行为信息等数据，主要包括：姓名、身份证、性别、婚姻状况、固定资产、电话、地址、邮箱、账号、密码、工作、出行、防疫、保险信息等。本节包括实名信息（如姓名、电话、身份证、银行卡、家庭住址等信息）、账号密码（如：各类网站登陆账号密码、游戏账号密码、电子邮箱账号密码等）、行为数据、保单信息、人脸指纹等个人信息。2）商业机密：企业经营活动中的商业机密信息，主要包括：客户信息、员工信息、投资人信息、经销商信息、业务合同、工程项目、内部报告、研究成果、核心数据库数据等。3）政府机密：有关政府部门的内部机密信息，主要包括：邮件、会议、重大项目、重要文件、国家事务决策文件等信息。4）软件源代码：企业开发的软件或网站系统平台的源代码，一般属于企业的核心研发机密。5）用户数据：用户使用互联网软件或服务时，产生或存储的个人信息以外的其他数据。从2023年1月2023年12月全球重大数据安全事件发生的主要类型来看，44.1%的事件涉及个人信息；26.8%的事件涉及商业机密；9.1%的事件涉及政府机密。具体分布如下图所示。全球数据泄露大事件泄露数据类型分布（按交易信息数统计）从安全事件泄露数据的数据包大小来看，商业机密类信息泄露数据规模最大，至少有超过41586.5GB的数据被泄露，占比78.9%；个人信息紧随其后，有8365GB的个人信息被泄露，占比15.9%；政府机密排名第三，占比6.4%。具体分布如下图所示。从安全事件泄露数据的数据条数来看，全球范围内，仅数据泄露大事件提及到的被泄露的个人信息便有99.3亿条；政府机密11.0亿条；商业机密2.5亿条。具体分布如下图所示。统计周期：2023年1月12月数据泄露篇第二章境内机构数据泄露情报监测分析2022年3月以来，奇安信威胁情报中心对海内外多个暗网及黑产交易平台上的地下数据交易情况进行了系统性的监测，并对其中涉及中国境内政企机构泄露数据的交易信息进行了评估和验证。2023年1月至2023年11月，奇安信威胁情报中心累计监测到境内政企机构数据泄露事件144起。其中，明确给出了泄露数据数量的事件共有137条，约占事件总数的88.2%,合计约含有超过720.4亿条各类数据；明确给出了泄露数据数据包大小的交易信息共有126条，约占事件总数的87.5%,合计约有60.8TB数据信息。在本章报告中，我们将以明确给出了泄露数据数量或数据包大小的交易信息为抽样样本，对交易信息的各类分布情况进行全局分析。一、行业分布按交易信息数统计工程建殂2 1%医疗生4 9、交通运6. 3制造业13. 9S按泄露数据量统计际、奇安信境内机构数据泄露的事件共涉及15个不同的行业。其中，涉及IT信息技术行业企业数据的事件占比22.9%,排名第一。其次是互联网行业，占比为16.7%。制造业排名第三，占比为13.9%。从泄露数据的数量来看，互联网行业排名第一，泄露数据近235.0亿条，占比32.6%。其次是IT信息技术，182.2亿条，占比25.3%。能源行业排第三，73.9亿条，占比10.3%,具体分布如下图所示。政胴及事业单位7.6%生活凰务.10AS二、泄露类型奇安信威胁情报中心对数据泄露情报进行了比较详细的类型标注。从数据本身的性质和类型来看，境内机构泄露的数据主要包括个人信息、商业机密、政府机密、软件源代码、账号密码、内部文件、交易数据和系统日志等类型。前文己经对个人信息、商业机密、政府机密、软件源代码的含义进行了介绍，这里补充说明一下账号密码、内部文件、交易数据和系统日志的含义。1）账号密码登陆某网站或系统应用程序时需要输入的账号及密码，用于验证用户身份和权限。主要包括：员工账号密码、管理员账号密码、客户账号密码等。2）内部文件企业内部使用的文件，主要包括：公司信息、客户信息、招投标文件、员工人事数据、报销数据、电子合同等。3）交易数据网络平台或政企机构在生产运营过程中产生的基础数据。本次报告涉及的相关泄露数据，主要包括：某些互联网平台的运营数据、某些商业查询平台的后台数据、制造业企业对其销售的物联网设备的监测数据、某些机构的电话热线拨打记录、环境与消防等行业的监测数据、数字货币的矿机数据等。4）系统日志在企业内部办公网络上产生的数据，主要包括：内网设备信息、设备及服务器日志、内部管理系统信息、网站后台代码、内网权限、内网端口等。需要说明的是：同一事件泄露的数据包中，可能同时含有不同类型的数据。在下面分析中，我们会对事件涉及的不同数据类型进行重复统计。因此，数据百分比之和会大于100%,分类数据量之和会大于总量。下图给出了境内机构泄露数据的类型分布情况。按照事件信息的数量来看，61.1%的事件，涉及内容包含个人信息数据；其次是商业机密数据，占比41.7%；账号密码类数据排第三，占比24.3%。境内机构泄露数据类型分布（按交易信息数统计）按照泄露数据的数据包大小来看：数据泄露涉及个人信息约有34.5TB,占比高达56.8机同样排名第一；其次是商业机密，约有31.9TB,占比为52.5%；交易数据排名第三，约有13.1TB,占比为21.5%。境内机构泄露数据类型分布（按数据包大小统计）统计周期：2023年1月71月此外，按照泄露数据的数量来看：含有个人信息数据，约有586.8亿条，占泄露数据总条数的81.5%；其次是含有商业机密的数据，约有240.0亿条，占比为33.3%。境内机构泄露数据类型分布（按数据条数统计）三、个人信息从前面数据中可以看出，无论是从交易信息的数量、泄露数据包的大小还是泄露数据的数量上来看，个人信息数据都是泄露最多的数据。586.8亿条的个人信息泄露数据总量，相当于14亿中国人平均每人泄露了约42条个人信息数据，而这仅仅是2023年Pll月监测到的新增数据。从行业分布来看，互联网行业泄露内容涉及个人信息的最多，高达216.3亿条；其次是IT信息技术，约为112.6亿条；能源行业排第三，约为67.9亿条。此外，教育、生活服务、制造业等也都是个人信息数据泄露的大户。境内机构泄露个人信息数量行业分布即、奇安信除了常见的互联网与IT信息技术外，在本次报告分析的海外数据暴露信息中，还可以看到多个能源或热力公司存在数据泄露或数据暴露情况。我们看到存在app系统用户数据暴露、电话客服数据库暴露、缴费系统数据暴露等。其中常包含电话、姓名、地址、充电或缴费记录等信息。四、关键字段针对境内机构数据泄露泄露事件的内容进行分析，我们整理出超300个关键词，包括：姓名、电话、账号密码、身份证号、地址、照片、客户数据、合同、卡号等。其中，“姓名”最多，约44.4%的事件泄露内容中含有“姓名”标签，“电话”排名第二，占比39.6%,“账号密码”排名第三，占比22.9%o根据各关键字出现频次我们制作了下图所示的词云图：境内机构泄露数据事件涉及关耀字段分布BMi第饕熊嚏毫三三三律骤端髓惮、哥安信五、典型案例与安全建议2023年，奇安信数据安全事业部结合客户业务实践，及95015平台应急响应服务案例，总结出4起典型的，由于内部人员违规操作导致的数据安全风险事件。与这些案例相似的事件在很多政企机构中普遍存在。1.开发人员私设数据库存储重要数据2023年3月，某公司数据安全管控平台发现内网中出现敏感数据异常流动，短时间内出现大量业务数据异常上传和下载操作，同时出现一个未被纳管的新数据库。公司网络安全部门立即展开调查，最终确认，此次数据安全事件是由一个开发团队违规操作所致。调查显示：该开发小组正在开发一个重要的数据处理算法。因为时间紧、任务重，小组负责人嫌走公司正式流程太麻烦，因此在未经申请报备的情况下，私设数据库，拉取公司重要数据进行开发工作。而私设的数据库并不符合公司安全开发业务标准，造成巨大安全隐患。事实上，此类事件在互联网和IT企业中非常普遍。不过，通过建设数据库审计监测系统，可以实现对数据库资产信息与特权账号系统的动态监测。同时，将数据库审计结果上报数据安全管控平台，管控平台经过分析比对，即可在第一时间发现新的未被纳管的数据库暗资产，从而实现对数据库安全的动态管控。2,员工离职前大量下载内部文件2023年5月，某IT企业通过数据安全监测，发现有员工在1天之内，从公司共享文档中下载文档200余份，其中很多文档并非其工作职责所必须。同时，该员工还通过内部办公社交软件，1天之内查询浏览了300多位员工的联系方式。进一步调查发现，该涉事员工为即将离职员工，并已得到该公司某竞品企业入职Offer。其异常的批量数据下载行为疑似竞品企业指使。该公司随即要求该员工，在监督之下彻底清除了已经下载的全部文档和数据，并签署保密承诺书后，对该员工进行开除处理。有调查显示，员工离职前期，往往是其窃取、破坏单位内部数据行为的高发时期。企业部署必要的数据安全监测系统，可以及时发现异常的数据访问行为。特别是对已经提出离职申请的人员，应当列入数据安全防护的重点监控对象，对其访问内网数据、下载公司资料的行为，进行严格管控。3 .非工作时间大量访问核心业务系统2023年6月，某企业数据安全监测系统显示，在过去一个星期里，其某核心业务系统在凌晨1:003:00间，被某内部账号大量访问。而这种情况在以往是极其少见的。初步调查显示，该内部账号归属于某位高级工程师。该工程师主要负责该核心业务系统的日常运维与保障工作。由于该工程师近期并未参与任何需要连夜加班的紧急项目，因此其频繁的凌晨登录行为被判定为异常。进一步调查显示，该工程师近日与部门领导有过重大争执，情绪极不稳定，疑似利用非工作时间对系统进行破坏，间接对公司和领导实施报复。公司网络安全部门随即关闭了该工程师的特权账号，并与之约谈，最终证实了对其行为动机的前期猜测。由于阻止及时，核心业务系统尚未遭到严重破坏。事实上，对核心业务系统的超范围访问、异常频繁访问、非工作时间访问等情况，都很有可能预示着潜在的安全风险。应对此类风险，仅仅依靠管理手段是远远不够的。通常需要部署零信任访问控制系统，对发起访问的用户和终端进行持续的身份验证和信任评估，并根据验证和评估结果对访问权限进行动态处置，这样才能将此类异常访问的安全风险降到最低。4 .员工绕过堡垒机访问数据库服务甥2023年9月，由于频繁发生数据泄露事故，某单位邀请奇安信安服团队协助其排查数据安全隐患。在排查过程中，发现该单位虽然明确要求所有系统运维人员必须通过堡垒机登录后，方可对核心数据库服务器进行系统运维，但却不断发生非运维人员绕过堡垒机安全措施访问数据库的安全事件。通过深入排查并与涉事账号相关员工面谈后发现，该单位员工长期、普遍存在滥用特权账号的情况，有三类主要表现：第一，不同运维人员长期通过共享账号完成日常运维；第二，某些未被纳管的幽灵账号拥有较高特权并被违规使用；第三，堡垒机运维人员经常因为各种所谓的“特殊情况”为普通员工开设临时特权，甚至直接在后台修改某些特权账号的密码以作临时之用。特权账号管理，是数据安全问题中的核心问题。对特权账号的任何滥用，都有可能导致严重的后果。很多大型机构都存在特权账号分散管理，运维人员随意操作的情况。用清空区。区方t4. Ra二电0日方科天再信.对于此类问题，企业应建立特权账号管理系统对域内的所有特权账号进行统一纳管，定期改密，避免个别运维人员长期持有特权账号。同时，还可以通过数据库审计监测系统，在数据库登录成功日志中对正常纳管访问的IP进行过滤，一旦发现非纳管IP访问数据库服务器行为，立即触发告警，上报管控平台，最大限度减少特权账号被滥用的风险。1.之群Ja利：之爵即银万份行业研允、皆蝮方案殳其色学习变源.段打包下找2,每日分享I6伤行立特底、办行业主题1报告查询I解里直接咨询，免费秒St查找知识星球行业与管理资源4.产IrL含：仪房行业报告交灌.Ir止一切无关信息专业知长社I?：级月分享3000湛行业研先报告、烫无计划、帚场研究.企业运包及咨询管理方案号.英耳技'会联、粒肓、互联网,为电产、生均A值'医疗佗康辱：已成为投资、产业研究、企业运营、价值传卷号工作B手.第三章互联网平台数据泄露监测分析数据泄露的原因是多方面的，除了网络攻击、内鬼窃取等常见原因之外，通过互联网知识共享平台，直接面向所有网络用户泄露单位内部文件、软件代码等商业机密信息的情况也非常普遍。在本章中，我们将结合网络安全威胁情报生态联盟（CEATl联盟）成员天际友盟的运营数据，对互联网知识共享平台上的数据泄露情况展开详细分析。一行业分布2023年，天际友盟受客户委托对互联网知识共享平台进行数据泄露的定向持续监测。2023年1月11月，共发现数据泄露事件4760起，涉及16个行业的112个家机构。从委托监测的机构数量来看：金融行业最多，共51家，占比为45.5%,其次是教育行业15家，占比13.4%；制造业10家，占比8.9%。此外，互联网、能源、政府及事业单位等，也都是对自身数据泄露问题更加关注，委托监测机构数量相对较多的行业。而从监测结果来看，金融行业在互联网知识共享平台上的数据泄露事件最多，共1400起，占比29.4%；其次是教育行业1223起，占比25.7%；互联网行业排第三，共671起，占比14.l%o互联网知识共享平台数据泄露事件行业分布按委托机构数量统计按泄露事件数量统计舱源咨阖 软杵和互联网 6.3%软件KMS息技术4.5%ttM5.4%政府机构及事业单位63%下图给出了不同行业机构在互联网知识共享平台上监测到数据泄露事件的平均数。其中医疗卫生行业最高，平均每个机构监测发现数据泄露事件167起，其次是互联网行业平均96起，教育行业82起。也就是说，相较而言，医疗卫生、互联网、教育等行业通过互联网知识共享平台泄露数据的风险相对于其他行业更高。互联网平台数据泄露事件平均事发率行业分布top10167统计周期:2023年1月TI月互联网 教育 咨询 服务制造 .=1fj W 电Sfl及事业第位医疗R生金变由大恁及寄安信二、泄露类型从数据泄露的类型上来看，在互联网知识共享平台上泄露的数据主要包括三大类型，分别是普通文档、源代码泄露和盗版数据。盗版数据 0.1%统计周期：2023年1月11月源代码 19.0%Vr*高安信 统计显示，文档泄露事件的而发地段以中文互联网平台为主，包括CSDN（全平台），百度文库，道客巴巴，豆丁，360文库，360Doc,原创力文档，新浪爱问共享资料等20余个知识共享平台。其中，排名T0P5的平台，相关的文档泄露事件总和，占到文档泄露事件总量的78.63%o此外，Github和Gitee则是源代码泄露事件发生的主要平台。下图给出了互联网知识共享平台上泄露文档的主要细分类型分布，其中，企业内部规章制度、管理办法、使用手册等文档，占比最高，为22.4%,其次是市场宣传材料，占比18.9%；财务报表、企业战略分析报告等商业机密信息占比8.3斩排名第三。产品技术文档、项目规划、部署方案、计划书等也是比较主要的文档泄露类型。4.8%企业内部规窟制度、 管理办法、使用手册22.4%市场苜酸料18.9%产品技术文档7.3%财务报表、企业战略分析报告8.3%金变由*tts即T寄安信三、泄露原因2023年，天际友盟应急响应服务中心累计协助用户处置及溯源互联网知识共享平台数据泄露事件439起，其中文档泄露时间399起，源代码泄露事件40起。溯源分析显示，造成政企机构内部数据在互联网知识共享平台上泄露的首要原因，是合作伙伴泄露，占比29.0%；其次为内部人员泄露，占比25.6%；明确为外部攻击导致的数据泄露事件仅为6.0%。另一方面，由于缺乏充分的数据安全管理措施和技术手段，约四成，即39.4%的相关数据泄露事件无法溯源。互联网知识共享平台数据泄露事件原因分析外部入侵泄露6.0%统计周期：2023年1月11月合作伙伴泄露29.0%内部人员泄露25.6%四、典型案例本小节案例主要来自天际友盟数据泄露防护服务客户真实案例。相关泄露信息在被发现后的第一时间（112小时内）均已被溯源并删除。1 .某金融机构内部在百度网盘上遭泄露2023年2月，监测发现某金融机构多个内部管理制度被打包上架到百度网盘，供网友免费下载。相关材料本应仅限于部分内部员工浏览。此事件属于一般商业机密泄露。O = -b<K8W2 .某金融机构的财务数据在CSDN上被公开2023年2月，监测发现某金融机构内部管理系统安装配置文档通过百度网盘被分享,且可免费下载。相关材料本应仅限于部分内部员工浏览。此事件属于,般商业机密泄露。VlP年卡3+80.型的最力3 .某热播国产电视剧影视资料被非法搬运至多个网络平台2023年4月，某正在热播的国产电视剧，被发现在多个未获得授权的影视平台上可被免费观看，且已经吸引了不少观众的流量，这不仅严重影响了版权方和演员的经济收益，同时也侵害了付费观众的权益，甚至引起了消费者对获得合法授权平台的不满，严重损害其品牌形象。4.某大学专业介绍宣传材料在百度文库上可免费下载2023年6月，某大学的学科介绍材料被发布到百度文库上供网友们免费下载。由于相关材料仅为某教师编写的内部办公材料，并不符合严谨的对外宣传标准，因此该材料的泄露给学校声誉造成了一定程度负面舆论影响.立即获取OIi理工大学特色专业筒介Fil大学特色业介»«：竽缜司IXSMX大学M一个判，IHtB的.攻关，变完簸的&三在25年4月还被透力=aa在这卦£为我Sk金养出的第一位博士在这些大如似的引耳下.学生，停将也格外的.好多学生还没单殳就在外JSiS计发做兼取L而且身砂知出国的比例也非甯的大.5 .某大型医院的内部备份系统建设方案在道客巴巴上付费浏览2023年7月，天际友盟监测到某国际保健品牌的奖金方案早在2012年被公开上传到道客巴巴，此事件泄露了内部管理制度，对品牌方造成一定负面影响。道客巴巴十亿文档次理事案的烫金制度一打明I生命中的照限可能J一6 .国内知名互联网公司的源代码被分享至托管服务平台2023年10月，国内互联网领域某头部企业的部分源代码被公开在代码共享网站Github上。泄露代码与企业旗下一款网购APP的支付功能紧密相关。此事件属于重要商业机密泄露，同时对其用户的隐私与账户安全均造成重大潜在威胁。运营风险篇第四章APl敏感数据传输风险分析应用程序或系统的APl接口，是数据传输与交换的主要途径之一。对于传输敏感数据的API接口，应当进行严格的权限限制并采取必要的数据保护机制，以确保数据不会被窃取、破坏或篡改。本章内容主要基于奇安天盾数据安全保护系统APl安全监测能力，分析敏感数据通过API接口进行传输时的安全风险。所谓敏感数据，主要是指未经个人或机构授权而被他人使用时，有可能给个人、机构或社会带来严重损害的数据信息。以GB/T35273-2017信息安全技术个人信息安全规范为例，个人敏感数据有：个人财产信息（存款、信贷、消费流水）、个人健康生理信息（体检信息、医疗记录）、个人身份信息（身份证、社保卡、驾驶证）等。在本报告中，敏感数据的界定是以GB/T35273-2017等相关国家标准及各行业主要法规及相关技术标准为参照。一、API安全检测行业分布2023年广12月，应客户邀请，奇安信集团共为128家大型政企机构提供了API安全检测服务。我们抽样了其中66家重要机构累计1534天的检测结果进行分析，共检出各类APl接口553326个，平均每家机构拥有API接口8384个；涉及各类系统应用3300个，平均每个系统拥有APl接口168个；其中，共检出有敏感数据传输行为的APl接口13619个，占比约为2.5机平均每家机构拥有敏感数据传输APl接口206个；平均每个系统拥有敏感数据传输APl接口约4个。下图给出了2023年奇安信为全国政企机构提供APl安全检测服务的行业分布情况。其中，医疗卫生行业最多，占比34.8%,其次是各地大数据局和教育行业，占比均为18.2机APl安全检测服务对象行业分布2023. 12交通运输3. 0%能源4.5%金融6.1%政府机构9.1%呼、奇安信敏感数据传输风险不同行业机构传输敏感数据的APl接口数量也有很大的差异。其中，汽车制造业企业最值得关注，平均每个受测企业有多达931个APT接口会传输敏感数据，涉及敏感字段多达332个。此外，各地大数据局、能源、医疗卫生等行业也是传输敏感数据APl接口较多、传输敏感字段较多的行业，应当特别加强APl安全建设与管理。不同行业机构传输敝感数据APl接口数与敏感字段数（平均值）际、哥安信从传输敏感信息的数量来看，汽车制造业同样也是“遥遥领先”。在接受检测的汽车制造业企业中，每家企业平均每天通过APl接口传输的敏感数据多达142236条，这一数字比绝大多数其他行业高出了两个数量级，是排名第二的能源行业39116条的3.6倍。大数据局排名第三，为平均每天11966条。不同行业机构APl接口平均每天传输敏感数据条数三、个人信息传输风险在所有敏感数据中，涉及自然人的信息，也就是个人信息，最受业界和社会关注。下图给出了不同行业机构通过APl传输的敏感数据中，涉及不同自然人人数的情况。同样的，汽车制造业再次排名第一，APT接口平均每天传输15622个不同自然人的个人信息敏感数据，远远高于其他行业。大数据局（2173人/天）、政府机构（1523人/天）和教育行业（1432人/天）分列第二、第三、第四位。不同行业机构APl接口平均每天传输敏感数据涉及自然人人数15622其他 制造业46综上所述，仅从APl接口传输敏感数据这个角度来看，汽车制造业的潜在数据安全风险最大。不论是传输敏感数据的接口数量、敏感字段数、每日数据量还是涉及自然人人数，不论从哪个维度来看，汽车制造业的潜在风险都是最大的，甚至是“遥遥领先”。从某种程度上来看，一辆智能网联汽车，就是一个移动的敏感数据发生源，持续不断的通过各种APl接口，向服务器传输敏感数据。不仅如此，这些数据还会一刻不停的在各种车联网业务系统中周转和使用。这也使得汽车制造业以及智能网联汽车，都成为了数据安全的高风险地带。一个与此相关的新闻事件是：2023年6月，安全研究人员EatonZveare发现本田动力设备的电商平台存在APl漏洞，攻击者可以获取大量用户敏感数据，包括历年所有经销商的21393份客户订单信息，其中含有客户姓名、地址、电话号码和订购的物品信息；此外，攻击者还可以对1570个经销商网站进行任意修改，对3588个经销商用户/帐户修改密码。由此可见，关于汽车制造业API接口的数据安全风险问题绝非“危言耸听”。四、各行业敏感字段举例下面是我们对一些主要行业敏感数据的敏感字段举例说明。在实际系统中，敏感字段的数量要远远高于本报告给出的示例。政府机构：【个人敏感信息】档案编号、密码、身份证号、未成年人身份证号、医院名称、银行卡号、证件号码、证件类型【个人工作信息】地址、单位名称、专业大数据局：【个人敏感信息】身份证号、未成年人身份证号、证件类型、证件号码、密码、残疾人证号、结婚证字号、余额【个人财产信息】车牌号、总金额、建筑面积、社保状态、币种、不动产单元号、缴存基数、人员缴费基数、房屋幢号、缴纳金额、权利人名称金融行业：【个人敏感信息】身份证号、未成年人身份证号、银行卡号、证件类型、证件照片【个人财产信息】产品名称、车架号、车牌号、金额【个人基本信息】出生日期、年龄、手机号、性别、姓名【交易信息】时间、日期、应付所得税额、账户编号、总费用、银行名称能源行业：【个人敏感信息】身份证号、密码、证件类型、银行卡类型、开户行、未成年人身份证号、工号、证件号码【行业特殊信息】加油站名称、油名称、客户编号、单价、油罐编号、原始体积、原油体积、开始水高度、开始水体积、开始温度、开始油高度、开始油体积交通运输：【交通管理信息】安全检查信息、安全隐患名称、单位地址、渡口名称、交通管制信息、组织机构名称【个人基本信息】电话号码、出生日期、电子邮件地址、国籍、民族、姓名、手机号教育行业：【教育工作信息】学生编号、学校名称、课程名称、班级、课程ID、学生姓名、班级编号、学生名称、卷号、课程编号、考试地点、是否通过、监考人、违纪扣分、毕业学校、最终考试成绩医疗卫生：【个人健康信息】ICD诊断名称、患者ID、科室名称、手术名称、医院名称【个人教育工作信息】单位名称、地址、入学时间、职务职称、职业【就诊信息】就诊id、病人标识、组织机构名称、住院号、病床号、入院科室名称、科室编码、签名方式、住院/门诊号、主治医师姓名、病案号、剂量汽车制造：【个人信息】姓名、身份证号、收入水平、职务职称、职业、化程度、银行卡号、国籍、学院、学位、血型、常住地址：【车辆信息】车辆ID、车辆编号、发动机号、车牌号、车架号、车辆型号、车辆颜色、车辆类型、车辆年龄、驾驶次数、驾龄、电池报警、电池电量、驱动电机故障次数、点火累积里程；【身份鉴权信息】：用户名、密码，关键配置信息：JDBC连接串、swagger；【设备信息】设备系统版本、软件版本、设备名称、操作系统名称、设备编号、SlM卡号、IMEI；【合同信息】合同编号、合同名称、还款类型、还款方式；【交易信息】购买日期、不含税金额、买方地址、卖方名称、经销商代码、纳税额、开户行、卖方地址、商品名称；【物流信息】收件人姓名、终点地址、终点经度、出发地址、起点名称、起点纬度、终点名称、终点纬度、车辆外出时间五、典型案例与安全建议1 .黑客利用API漏洞盗取公民个人信息获利500余万2024年1月，检查日报报道，有黑客利用APl接口漏洞，对全国21个省市、29个行业的51个系统发动网络攻击，非法获取大量公民个人信息进行贩卖，获利500余万。经查，2021年初至2022年7月，王某等人通过网络渠道委托黑客，利用搜集到的各种政府、企业网络平台的APT接口漏洞，进行数据抓包、参数解析，开发出100余款黑客软件。王某等人利用相关黑客软件，从涉事单位数据系统中“爬取”包括姓名、身份证号、手机号码、工作单位、家庭成员、社保缴纳等公民个人信息，