每經(jīng)記者 朱成祥    每經(jīng)編輯 梁梟 程鵬    

7月21日，一位日本政府官員向媒體透露，東京奧運會、殘奧會門票購買者和志愿者登錄官方網(wǎng)站時所使用的賬號及密碼泄露，黑客可由此訪問購買者個人的姓名、地址、銀行賬戶等信息。有媒體援引日本共同社的報道稱，東京奧組委正在對此進行調(diào)查。

一位名為“pancak3”的推特用戶也表示，可以在暗網(wǎng)市場上找到被泄露的購票者及志愿者賬戶信息，并分析稱該事件與奧運會的系統(tǒng)漏洞無關(guān)，是攻擊者使用惡意軟件和其他信息竊取程序進行攻擊的結(jié)果。

由于疫情影響，東京奧運會看臺空空一片。很多購買門票的觀眾無奈只能退票，最終在家中看現(xiàn)場直播。然而，更糟心的是，自己的信息還被泄露了。

數(shù)字經(jīng)濟時代，該如何追究信息泄露主體的責任，又應該如何保護數(shù)據(jù)資產(chǎn)呢？

最新通過的兩部法律將為數(shù)據(jù)資產(chǎn)安全“上把鎖”。6月10日，十三屆全國人大常委會第二十九次會議審議通過《數(shù)據(jù)安全法》，將于9月1日起正式施行。8月20日，十三屆全國人大常委會第三十次會議審議通過《個人信息保護法》，將于11月1日起正式施行。

農(nóng)業(yè)銀行數(shù)據(jù)安全不合規(guī)被罰420萬

數(shù)據(jù)安全治理箭在弦上

2021年1月，銀保監(jiān)會就針對數(shù)據(jù)安全開出今年第1號罰單。據(jù)了解，因發(fā)生重要信息系統(tǒng)突發(fā)事件未報告；制卡數(shù)據(jù)違規(guī)明文留存；生產(chǎn)網(wǎng)絡、分行無線互聯(lián)網(wǎng)絡保護不當；數(shù)據(jù)安全管理較粗放，存在數(shù)據(jù)泄露風險；網(wǎng)絡信息系統(tǒng)存在較多漏洞；互聯(lián)網(wǎng)門戶網(wǎng)站泄露敏感信息等六項問題，農(nóng)業(yè)銀行被罰420萬元。

中國電子技術(shù)標準化研究院、網(wǎng)絡安全研究中心數(shù)據(jù)安全部主任胡影表示：“《數(shù)據(jù)安全法》標志著一部獨立新型數(shù)據(jù)安全法的誕生。其統(tǒng)籌考慮數(shù)據(jù)安全與發(fā)展，提出了數(shù)據(jù)安全管理制度，明確了數(shù)據(jù)安全監(jiān)督架構(gòu)，規(guī)定了數(shù)據(jù)處理者保護義務，強調(diào)數(shù)據(jù)安全與開放，形成了一個覆蓋國家、行業(yè)、地方、處理者等全方位的數(shù)據(jù)安全治理框架。”

究竟什么是數(shù)據(jù)安全治理？如何實現(xiàn)數(shù)據(jù)安全治理？

根據(jù)《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全治理白皮書》，數(shù)據(jù)安全治理關(guān)注對數(shù)據(jù)的安全保護，以數(shù)據(jù)業(yè)務屬性為始，數(shù)據(jù)的分級分類為核心，從數(shù)據(jù)存放位置為核心，建立以數(shù)據(jù)為中心的安全架構(gòu)體系。數(shù)據(jù)安全治理框架包括了政策協(xié)調(diào)、權(quán)責分明、分類分級、治理評估。

圖片來源：安恒信息

數(shù)據(jù)安全治理的起點是政策協(xié)調(diào)，數(shù)據(jù)安全治理需要立足國情，遵循國家現(xiàn)行相關(guān)法律法規(guī)、政策標準，跟進并接軌正在立法階段的法律法規(guī)；基于行業(yè)，注重與國內(nèi)政策的體系化綜合運用；放眼國際對動態(tài)復雜的全球數(shù)據(jù)治理態(tài)勢和規(guī)則進行研判、分析。

數(shù)據(jù)安全治理的主線是權(quán)責分明，依托于頂層的戰(zhàn)略決策、合理的權(quán)責安排及嚴密的問責機制，從國際層面、行業(yè)監(jiān)管層面、企業(yè)層面結(jié)合合理分明的權(quán)責安排和問責機制，對企業(yè)進行監(jiān)管。從農(nóng)行事件中可以看到，對類似農(nóng)行這樣的擁有大量敏感數(shù)據(jù)的企業(yè)，必須要明確自上而下的權(quán)責安全、問責機制，以明晰的權(quán)利和責任去約束和規(guī)范企業(yè)，預防數(shù)據(jù)安全事件的發(fā)生。

數(shù)據(jù)安全治理的基礎(chǔ)是數(shù)據(jù)分類分級，分類分級首先能夠滿足合規(guī)性需求，由農(nóng)業(yè)銀行存在的數(shù)據(jù)安全不合規(guī)的問題，可見加強數(shù)據(jù)合規(guī)管理已經(jīng)成為我國合規(guī)管理體系的重點領(lǐng)域。

安恒信息網(wǎng)絡安全專家表示，分類分級能夠滿足企業(yè)自身運營要求，是提升自身信息化水平和運營能力的利器，基于業(yè)務的分類可以更好地將數(shù)據(jù)資產(chǎn)化，同時數(shù)據(jù)分級可以從安全角度保護企業(yè)數(shù)據(jù)安全。 以農(nóng)行的數(shù)據(jù)安全管理舉例，包括哪些數(shù)據(jù)可以使用、哪些不可以使用、哪 些能對外開放、哪些不能開放、不同等級的數(shù)據(jù)在不同場景使用哪種安全策略，一目了然。

數(shù)據(jù)安全治理的落地支撐是治理評估。在對企業(yè)、組織監(jiān)管過程中，從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個方面去評估數(shù)據(jù)安全治理，能夠幫助企業(yè)、組織發(fā)現(xiàn)數(shù)據(jù)安全能力差距并進行持續(xù)優(yōu)化，幫助企業(yè)更好地建設(shè)數(shù)據(jù)安全防護體系，因此評估數(shù)據(jù)安全治理能力的評估是發(fā)現(xiàn)能力差距、評價數(shù)據(jù)安全治理程度和效果的關(guān)鍵方法。

個人隱私數(shù)據(jù)竟被“共享”？

違反《個人信息保護法》！

“暑假以來，每天都有培訓機構(gòu)打我電話，懷疑信息被泄露了”，7月上旬，鹽城警方陸續(xù)接到家長舉報。經(jīng)過深入調(diào)查，有4家教育培訓機構(gòu)非法獲取學生及家長個人信息20余萬條。警方抓獲李某等3名犯罪嫌疑人。

據(jù)李某交代，這些信息來自與李某等人交好的企業(yè)單位，這些企業(yè)單位將年齡符合培訓機構(gòu)要求的學生信息低價出售。而為了招攬生源，這些不同的培訓機構(gòu)從業(yè)者又進行信息交換，美其名曰“共享”。

由此可見，上述低價出售學生信息的企業(yè)并未意識到數(shù)據(jù)的重要性，以及泄露數(shù)據(jù)的嚴重程度。

根據(jù)《個人信息保護法》第六十六條的有關(guān)規(guī)定：

違反本法規(guī)定處理個人信息，或者處理個人信息未履行本法規(guī)定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規(guī)定的違法行為，情節(jié)嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關(guān)業(yè)務或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務許可或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。

隨著經(jīng)濟數(shù)字化、政府數(shù)字化、企業(yè)數(shù)字化的建設(shè)，數(shù)據(jù)已經(jīng)成為我國政府和企業(yè)最核心的資產(chǎn)。合資企業(yè)、跨境貿(mào)易、多廠商全球合作的模式變遷，數(shù)據(jù)開始在企業(yè)與企業(yè)之間、政府與企業(yè)之間以及國與國之間流轉(zhuǎn)、融合、使用直至泄露。

根據(jù)公開報道，2020年全球數(shù)據(jù)泄露的平均損失成本為1145萬美元，2019年數(shù)據(jù)泄露事件達到7098起，涉及151億條數(shù)據(jù)記錄，比2018年增幅284%。數(shù)據(jù)泄漏事件影響大、損失重。

有業(yè)內(nèi)觀點認為，對數(shù)據(jù)掌控、利用以及保護能力，已成為衡量國家競爭力的核心要素之一。

數(shù)據(jù)：政企核心資產(chǎn)

安恒信息（688023，SH）董事長范淵認為：“《數(shù)據(jù)安全法》的發(fā)布，很重要的一點是數(shù)據(jù)既要保護又要利用。它非常清晰地提出，從保護個人隱私、保護單店數(shù)據(jù)，到進一步放大數(shù)據(jù)的價值。早在2007年、2008年，我們就提出數(shù)據(jù)是企業(yè)和政府的核心資產(chǎn)。”

浙江省委網(wǎng)信辦網(wǎng)絡安全和技術(shù)處處長呂勇剛也提到：“網(wǎng)絡安全、數(shù)據(jù)安全已成為國際大國之間競爭的重要戰(zhàn)略，所以數(shù)據(jù)安全非常重要。”此前，安恒信息副總裁、首席經(jīng)濟學家劉博就曾在首屆數(shù)字安全大會上表示：“數(shù)據(jù)已經(jīng)成為我國最核心資產(chǎn)，數(shù)據(jù)安全建設(shè)已成為政企的首要任務和實現(xiàn)數(shù)據(jù)價值的第一推手?！?/span>

不僅僅是企業(yè)，各地政府也高度重視數(shù)字化轉(zhuǎn)型，并將數(shù)字技術(shù)廣泛應用于政府管理服務，推動政府治理流程再造和模式優(yōu)化，不斷提高決策科學性和服務效率。

“如果說數(shù)據(jù)是新石油，那么中國就是AI時代的沙特阿拉伯?！钡聡妒澜鐖蟆吩绱嗣枋觥Ｔ诠I(yè)時代，石油的地位至關(guān)重要，其被稱為“工業(yè)的血液”。而進入數(shù)字經(jīng)濟時代，數(shù)據(jù)對于數(shù)字經(jīng)濟的重要性，甚至還要遠遠高于石油對于工業(yè)的重要性。

2019年中央全面深化改革委員會第十一次會議審議通過了《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》（以下簡稱《意見》）?！兑庖姟穼?shù)據(jù)與土地、勞動力、資本、技術(shù)并列為生產(chǎn)要素。

要知道，經(jīng)濟學一般從土地、勞動力、資本、技術(shù)這四個維度分析，這四大生產(chǎn)要素是影響生產(chǎn)力增長的關(guān)鍵。將數(shù)據(jù)與上述四大要素并列為生產(chǎn)要素，可見數(shù)據(jù)的重要性。

但現(xiàn)在，很多企業(yè)、機構(gòu)錯誤地理解了數(shù)據(jù)資源，將其作為自身財產(chǎn)嚴密地保護起來，既不進行分析處理，也不開放數(shù)據(jù)給其他專業(yè)機構(gòu)、企業(yè)分析利用。劉博表示：“數(shù)據(jù)作為企業(yè)的核心資產(chǎn)，企業(yè)肯定想把數(shù)據(jù)更好地保護起來。但保護好并不是不利用，而是要在保證數(shù)據(jù)能夠被利用的基礎(chǔ)上，這樣才是更好地‘保護’?！?/span>

顯然，數(shù)據(jù)只有開放、共享，才能被更加高效地利用。

數(shù)據(jù)安全：打開“數(shù)據(jù)寶庫的鑰匙”

由于缺乏共享渠道以及相關(guān)法律法規(guī)保護，數(shù)據(jù)的開放、共享一直存在挑戰(zhàn)。比如，數(shù)據(jù)處理者由于缺乏商業(yè)回報及面臨泄露風險，不愿開放、共享；同時數(shù)據(jù)開放的安全性、保密性、可持續(xù)性也難以保證。此外，很多政府、企業(yè)也不清楚哪些數(shù)據(jù)可以跨部門共享和向公眾開放，數(shù)據(jù)信息的共享開放有一定的風險，泄露了公民隱私和保密信息，責任很難界定。

《數(shù)據(jù)安全法》的頒布，對于數(shù)據(jù)開放、共享意義重大。其確定了國家、地區(qū)和各部門對數(shù)據(jù)及數(shù)據(jù)安全的管理權(quán)責。也對數(shù)據(jù)處理活動中的法定義務做了原則性規(guī)定，比如風險監(jiān)測義務、風險評估義務、合法收集義務、身份審核義務、保存記錄義務等。

2021年9月1日，《數(shù)據(jù)安全法》將正式施行。在數(shù)據(jù)安全“有法可依”的背景下，政企又應該如何進一步推進數(shù)字化轉(zhuǎn)型呢？

首先需要明確的，是數(shù)據(jù)安全與網(wǎng)絡安全的區(qū)別。劉博對《每日經(jīng)濟新聞》記者表示：“傳統(tǒng)的網(wǎng)絡安全主要是防御外部攻擊，比如勒索攻擊、DDoS攻擊等等。而數(shù)據(jù)安全，也需要防御勒索病毒、防數(shù)據(jù)竊取等等。但數(shù)據(jù)安全還有一方面非常關(guān)鍵，就是隱私保護。即使沒有攻擊者偷數(shù)據(jù)，我也不愿意把（所擁有的）數(shù)據(jù)公開出去?！?/span>

“數(shù)據(jù)安全所利用的技術(shù)、面臨的風險場景部分有交叉，站在大的方向上，利用的技術(shù)不一樣，解決的問題也不一樣。具體技術(shù)包括數(shù)據(jù)分類分級、數(shù)據(jù)脫敏、數(shù)據(jù)溯源、數(shù)據(jù)加密、行為分析等等?！眲⒉┚途唧w技術(shù)補充表示。

那么，應該如何做好數(shù)據(jù)安全呢？劉博認為：“數(shù)據(jù)安全涉及公民的安全、國家的安全。在業(yè)務層面，數(shù)據(jù)安全應當考慮建設(shè)包括預防、發(fā)現(xiàn)、消除泄密隱患為主的數(shù)據(jù)安全體系?！?/span>

更進一步，一方面需要保護數(shù)據(jù)，另一方面又應該如何利用好數(shù)據(jù)的價值呢？“數(shù)據(jù)安全島”就是一種利用數(shù)據(jù)的新模式。

一般而言，企業(yè)通過物理資產(chǎn)質(zhì)押，從而獲得銀行、金融機構(gòu)的貸款，完成融資活動，而數(shù)據(jù)也是重要的資產(chǎn)?！皵?shù)據(jù)安全島”便可以通過“數(shù)據(jù)質(zhì)押”，利用企業(yè)的數(shù)據(jù)資產(chǎn)。

以大數(shù)據(jù)交易中心為例，企業(yè)將自身數(shù)據(jù)資產(chǎn)質(zhì)押貸款，其數(shù)據(jù)加密質(zhì)押在安全島上，安全島計算數(shù)據(jù)哈希并記錄在擔保公司的區(qū)塊鏈中，作為憑證。當企業(yè)無償還能力時，銀行將企業(yè)數(shù)據(jù)變現(xiàn)，減少損失；當企業(yè)還款結(jié)束，安全島重新計算數(shù)據(jù)的哈希值，由擔保公司對比最初區(qū)塊鏈上的記錄，如相符，則證明數(shù)據(jù)保存無誤，數(shù)據(jù)將被及時銷毀，企業(yè)拿回數(shù)據(jù)所有權(quán)。

圖片來源：安恒信息

?

劉博形容道：“普通的汽車質(zhì)押貸款，質(zhì)權(quán)人通常會將出質(zhì)人出質(zhì)的汽車停放于第三方停車場，待質(zhì)押結(jié)束交還出質(zhì)人?！當?shù)據(jù)安全島’也可以叫做‘數(shù)據(jù)停車場’，而且我們出于保護隱私的設(shè)計，我們是看不到數(shù)據(jù)的，質(zhì)權(quán)人也看不到數(shù)據(jù)?！?/span>

行業(yè)數(shù)據(jù)概覽

據(jù)統(tǒng)計，7月境內(nèi)計算機惡意程序傳播次數(shù)達2.2億次，較6月2.6億次減少18.45%，而且從第一周傳播次數(shù)達8543.8萬，到第四周傳播次數(shù)達2925.5萬，呈現(xiàn)快速下降狀態(tài)，可見在7月，境內(nèi)計算機惡意程序傳播被有效防控。惡意程序會損壞文件、造成系統(tǒng)異常、竊取數(shù)據(jù)等，對計算機傷害很大，一定要高度重視。

從境內(nèi)被篡改網(wǎng)站總數(shù)來看，第三周經(jīng)歷高峰，達到3381個之多，總計9882個。其中政府類受感染較少，較6月下降35.6%，可以看出政府類防護做得很好。

從仿冒網(wǎng)站、漏洞數(shù)量等看出，7月處于平穩(wěn)態(tài)勢。其中仿冒網(wǎng)站從月初352個到月末142個，整體體量直線下降，仿冒網(wǎng)站下降也歸功于全國反詐工作較為成功。而漏洞數(shù)量從月初500余個到月末400余個，也有明顯下降。針對安全漏洞問題，一定要在正規(guī)途徑下載應用，并及時更新。

7月Android部分勒索病毒監(jiān)測顯示，大部分勒索病毒為工具類APP，包括游戲外掛類、紅包點贊類等，安裝一些工具類APP時，一定要在正規(guī)渠道下載。

安全漏洞、惡意程序?qū)股上市公司影響分析：

有被攻擊企業(yè)間接損失達數(shù)千萬

本次安恒信息對4115家A股上市公司進行了CVE安全漏洞影響分析，其中670家A股上市公司受到共190個CVE安全漏洞影響，面臨著網(wǎng)絡安全風險，占比18.02%。

截至2021年7月～8月的統(tǒng)計結(jié)果顯示，A股上市公司累計受到CVE安全漏洞影響的行業(yè)分布中，占比最高的5個行業(yè)分別是工業(yè)（21.71%）、信息技術(shù)（21.25%）、可選消費（18.63%）、材料（14.58%）、醫(yī)療保?。?span>10.59%）。

據(jù)2021年7月～8月統(tǒng)計，如下20個CVE安全漏洞對企業(yè)影響最大，其中15個漏洞為2018年到2019年提交的，表明相關(guān)上市公司安全意識與對漏洞的重視有待提高。

據(jù)2021年7月～8月統(tǒng)計，受CVE影響的681家上市公司，分布集中在華東、華北、華南及大部分省域中心城市，可見CVE的分布與我國的信息化發(fā)展水平聯(lián)系較為緊密。其中CVE影響數(shù)量最多的5個省份（自治區(qū)、直轄市）為北京、浙江、廣東、上海、四川，這也是數(shù)字化轉(zhuǎn)型較為典型的地區(qū)。

CVE影響數(shù)排名前20的公司中，有20家企業(yè)受到超100個CVE安全漏洞影響，其中有8家屬于材料行業(yè)，占比30%。由此可以說明，企業(yè)信息化程度越高，其面臨的攻擊面也越廣。

除了以漏洞為攻擊手段的網(wǎng)絡安全事件外，2021年上半年安恒信息安全服務團隊處理的應急響應事件中，還有惡意程序和釣魚郵件發(fā)起攻擊的網(wǎng)絡安全事件，這三者占比分別是惡意程序57.2%、漏洞占比25.3%、釣魚郵件17.5%。

攻擊者的主要目的在于敲詐勒索、數(shù)據(jù)資產(chǎn)竊取、黑產(chǎn)活動等。其中，出于勒索病毒原因的占比42%，不法分子通過對企業(yè)終端和服務器等進行病毒感染實施敲詐勒索，安恒信息應急的相關(guān)企業(yè)預估間接經(jīng)濟損失累計高達4620萬元；因黑產(chǎn)活動攻擊占比24%，不法分子以釣魚鏈接、挖礦及暗鏈等方式達到獲取暴利的目的；此外，企業(yè)內(nèi)部的違規(guī)操作也是影響企業(yè)網(wǎng)絡安全的重要原因之一。隨著數(shù)字化轉(zhuǎn)型不斷加深，對內(nèi)部員工安全意識的培訓也需要引起管理者重視。

今年7月底，安恒信息安全服務團隊接到某企業(yè)應急響應的需求。團隊抵達現(xiàn)場后，分析加密文件及勒索病毒界面的診斷，確定本起攻擊為挖礦病毒，通過對惡意文件的深度分析，發(fā)現(xiàn)腳本是殺掉服務器上CPU占用大于20%的進程，遠程下載病毒程序并執(zhí)行實現(xiàn)對勒索木馬病毒感染。

安恒信息安全服務專家建議，企業(yè)針對信息資產(chǎn)的管理過程中，對企業(yè)員工應加強安全意識引導，PC需要安裝高級威脅防護能力和主動防御功能的軟件，重要文件做好備份，減少弱口令的使用，避免不法分子的破解。針對被感染機器，需要進行安全掃描和病毒查殺；及時進行系統(tǒng)補丁更新，封堵病毒傳播途徑；制定嚴格的口令策略；結(jié)合備份的網(wǎng)站日志對網(wǎng)站應用進行全面代碼審計，找出攻擊者利用的漏洞；對入口進行封堵。

從今年安恒信息安全服務專家處置的應急響應事件來看，弱口令和勒索病毒是企業(yè)被入侵的主要原因。企業(yè)需要實戰(zhàn)化的攻防演練才能減少被攻陷的風險，做到發(fā)現(xiàn)內(nèi)部網(wǎng)絡安全隱患等。同時，建設(shè)常態(tài)化的安全運營目標，以用戶業(yè)務最終安全為目標，通過統(tǒng)籌運用多種技術(shù)和管理手段，將安全能力持續(xù)貫穿全生命周期，實現(xiàn)發(fā)現(xiàn)問題、驗證問題、分析問題、響應處置和解決問題，不斷迭代優(yōu)化安全問題的處置能力，持續(xù)將安全風險降低至企業(yè)可接受的范圍。

在此背景下，每日經(jīng)濟新聞聯(lián)合網(wǎng)絡信息安全領(lǐng)域上市公司安恒信息（688023，SH），采用國家互聯(lián)網(wǎng)應急中心權(quán)威數(shù)據(jù)，結(jié)合最新的安全形勢，收集剖析國內(nèi)外網(wǎng)絡安全信息數(shù)據(jù)，每月發(fā)布網(wǎng)絡信息安全月報。這是業(yè)內(nèi)第一份涵蓋所有A股上市公司的網(wǎng)絡信息安全報告，旨在借助專業(yè)解析，讓企業(yè)、民眾進一步認識網(wǎng)絡攻擊行為，更好地保護自身隱私和數(shù)據(jù)資產(chǎn)。

此份網(wǎng)絡信息安全月報主要包括行業(yè)重點資訊、行業(yè)安全數(shù)據(jù)概覽以及上市公司安全動態(tài)。重點關(guān)注勒索病毒等對企業(yè)、個人的安全威脅，并提供應對之法。

掃描二維碼或點擊「閱讀原文」檢測您的企業(yè)數(shù)據(jù)安全風險系數(shù) ：

（本文不構(gòu)成投資建議，據(jù)此操作風險自擔）

記者| 朱成祥

?編輯|梁梟?程鵬?杜波

視頻編輯|鄭得銳

校對| 段煉

｜每日經(jīng)濟新聞 ? nbdnews ??原創(chuàng)文章｜

未經(jīng)許可禁止轉(zhuǎn)載、摘編、復制及鏡像等使用

如需轉(zhuǎn)載請向本公眾號后臺申請并獲得授權(quán)

德爾塔毒株全球大流行，點擊下方圖片或掃描下方二維碼，查看最新疫情數(shù)據(jù)↓