奧運沒看成購票信息反被泄露，農行數據安全不合規被罰420萬……數字經濟時代，如何為“數據資產”保駕護航？

每經記者｜朱成祥    每經編輯｜梁梟 程鵬    

7月21日，一位日本政府官員向媒體透露，東京奧運會、殘奧會門票購買者和志愿者登錄官方網站時所使用的賬號及密碼泄露，黑客可由此訪問購買者個人的姓名、地址、銀行賬戶等信息。有媒體援引日本共同社的報道稱，東京奧組委正在對此進行調查。

一位名為“pancak3”的推特用戶也表示，可以在暗網市場上找到被泄露的購票者及志愿者賬戶信息，并分析稱該事件與奧運會的系統漏洞無關，是攻擊者使用惡意軟件和其他信息竊取程序進行攻擊的結果。

由于疫情影響，東京奧運會看臺空空一片。很多購買門票的觀眾無奈只能退票，最終在家中看現場直播。然而，更糟心的是，自己的信息還被泄露了。

數字經濟時代，該如何追究信息泄露主體的責任，又應該如何保護數據資產呢？

最新通過的兩部法律將為數據資產安全“上把鎖”。6月10日，十三屆全國人大常委會第二十九次會議審議通過《數據安全法》，將于9月1日起正式施行。8月20日，十三屆全國人大常委會第三十次會議審議通過《個人信息保護法》，將于11月1日起正式施行。

農業銀行數據安全不合規被罰420萬

數據安全治理箭在弦上

2021年1月，銀保監會就針對數據安全開出今年第1號罰單。據了解，因發生重要信息系統突發事件未報告；制卡數據違規明文留存；生產網絡、分行無線互聯網絡保護不當；數據安全管理較粗放，存在數據泄露風險；網絡信息系統存在較多漏洞；互聯網門戶網站泄露敏感信息等六項問題，農業銀行被罰420萬元。

中國電子技術標準化研究院、網絡安全研究中心數據安全部主任胡影表示：“《數據安全法》標志著一部獨立新型數據安全法的誕生。其統籌考慮數據安全與發展，提出了數據安全管理制度，明確了數據安全監督架構，規定了數據處理者保護義務，強調數據安全與開放，形成了一個覆蓋國家、行業、地方、處理者等全方位的數據安全治理框架。”

究竟什么是數據安全治理？如何實現數據安全治理？

根據《電信和互聯網行業數據安全治理白皮書》，數據安全治理關注對數據的安全保護，以數據業務屬性為始，數據的分級分類為核心，從數據存放位置為核心，建立以數據為中心的安全架構體系。數據安全治理框架包括了政策協調、權責分明、分類分級、治理評估。

圖片來源：安恒信息

數據安全治理的起點是政策協調，數據安全治理需要立足國情，遵循國家現行相關法律法規、政策標準，跟進并接軌正在立法階段的法律法規；基于行業，注重與國內政策的體系化綜合運用；放眼國際對動態復雜的全球數據治理態勢和規則進行研判、分析。

數據安全治理的主線是權責分明，依托于頂層的戰略決策、合理的權責安排及嚴密的問責機制，從國際層面、行業監管層面、企業層面結合合理分明的權責安排和問責機制，對企業進行監管。從農行事件中可以看到，對類似農行這樣的擁有大量敏感數據的企業，必須要明確自上而下的權責安全、問責機制，以明晰的權利和責任去約束和規范企業，預防數據安全事件的發生。

數據安全治理的基礎是數據分類分級，分類分級首先能夠滿足合規性需求，由農業銀行存在的數據安全不合規的問題，可見加強數據合規管理已經成為我國合規管理體系的重點領域。

安恒信息網絡安全專家表示，分類分級能夠滿足企業自身運營要求，是提升自身信息化水平和運營能力的利器，基于業務的分類可以更好地將數據資產化，同時數據分級可以從安全角度保護企業數據安全。 以農行的數據安全管理舉例，包括哪些數據可以使用、哪些不可以使用、哪 些能對外開放、哪些不能開放、不同等級的數據在不同場景使用哪種安全策略，一目了然。

數據安全治理的落地支撐是治理評估。在對企業、組織監管過程中，從組織建設、制度流程、技術工具、人員能力四個方面去評估數據安全治理，能夠幫助企業、組織發現數據安全能力差距并進行持續優化，幫助企業更好地建設數據安全防護體系，因此評估數據安全治理能力的評估是發現能力差距、評價數據安全治理程度和效果的關鍵方法。

個人隱私數據竟被“共享”？

違反《個人信息保護法》！

“暑假以來，每天都有培訓機構打我電話，懷疑信息被泄露了”，7月上旬，鹽城警方陸續接到家長舉報。經過深入調查，有4家教育培訓機構非法獲取學生及家長個人信息20余萬條。警方抓獲李某等3名犯罪嫌疑人。

據李某交代，這些信息來自與李某等人交好的企業單位，這些企業單位將年齡符合培訓機構要求的學生信息低價出售。而為了招攬生源，這些不同的培訓機構從業者又進行信息交換，美其名曰“共享”。

由此可見，上述低價出售學生信息的企業并未意識到數據的重要性，以及泄露數據的嚴重程度。

根據《個人信息保護法》第六十六條的有關規定：

違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

隨著經濟數字化、政府數字化、企業數字化的建設，數據已經成為我國政府和企業最核心的資產。合資企業、跨境貿易、多廠商全球合作的模式變遷，數據開始在企業與企業之間、政府與企業之間以及國與國之間流轉、融合、使用直至泄露。

根據公開報道，2020年全球數據泄露的平均損失成本為1145萬美元，2019年數據泄露事件達到7098起，涉及151億條數據記錄，比2018年增幅284%。數據泄漏事件影響大、損失重。

有業內觀點認為，對數據掌控、利用以及保護能力，已成為衡量國家競爭力的核心要素之一。

數據：政企核心資產

安恒信息（688023，SH）董事長范淵認為：“《數據安全法》的發布，很重要的一點是數據既要保護又要利用。它非常清晰地提出，從保護個人隱私、保護單店數據，到進一步放大數據的價值。早在2007年、2008年，我們就提出數據是企業和政府的核心資產。”

浙江省委網信辦網絡安全和技術處處長呂勇剛也提到：“網絡安全、數據安全已成為國際大國之間競爭的重要戰略，所以數據安全非常重要。”此前，安恒信息副總裁、首席經濟學家劉博就曾在首屆數字安全大會上表示：“數據已經成為我國最核心資產，數據安全建設已成為政企的首要任務和實現數據價值的第一推手。”

不僅僅是企業，各地政府也高度重視數字化轉型，并將數字技術廣泛應用于政府管理服務，推動政府治理流程再造和模式優化，不斷提高決策科學性和服務效率。

“如果說數據是新石油，那么中國就是AI時代的沙特阿拉伯。”德國《世界報》曾如此描述。在工業時代，石油的地位至關重要，其被稱為“工業的血液”。而進入數字經濟時代，數據對于數字經濟的重要性，甚至還要遠遠高于石油對于工業的重要性。

2019年中央全面深化改革委員會第十一次會議審議通過了《關于構建更加完善的要素市場化配置體制機制的意見》（以下簡稱《意見》）。《意見》將數據與土地、勞動力、資本、技術并列為生產要素。

要知道，經濟學一般從土地、勞動力、資本、技術這四個維度分析，這四大生產要素是影響生產力增長的關鍵。將數據與上述四大要素并列為生產要素，可見數據的重要性。

但現在，很多企業、機構錯誤地理解了數據資源，將其作為自身財產嚴密地保護起來，既不進行分析處理，也不開放數據給其他專業機構、企業分析利用。劉博表示：“數據作為企業的核心資產，企業肯定想把數據更好地保護起來。但保護好并不是不利用，而是要在保證數據能夠被利用的基礎上，這樣才是更好地‘保護’。”

顯然，數據只有開放、共享，才能被更加高效地利用。

數據安全：打開“數據寶庫的鑰匙”

由于缺乏共享渠道以及相關法律法規保護，數據的開放、共享一直存在挑戰。比如，數據處理者由于缺乏商業回報及面臨泄露風險，不愿開放、共享；同時數據開放的安全性、保密性、可持續性也難以保證。此外，很多政府、企業也不清楚哪些數據可以跨部門共享和向公眾開放，數據信息的共享開放有一定的風險，泄露了公民隱私和保密信息，責任很難界定。

《數據安全法》的頒布，對于數據開放、共享意義重大。其確定了國家、地區和各部門對數據及數據安全的管理權責。也對數據處理活動中的法定義務做了原則性規定，比如風險監測義務、風險評估義務、合法收集義務、身份審核義務、保存記錄義務等。

2021年9月1日，《數據安全法》將正式施行。在數據安全“有法可依”的背景下，政企又應該如何進一步推進數字化轉型呢？

首先需要明確的，是數據安全與網絡安全的區別。劉博對《每日經濟新聞》記者表示：“傳統的網絡安全主要是防御外部攻擊，比如勒索攻擊、DDoS攻擊等等。而數據安全，也需要防御勒索病毒、防數據竊取等等。但數據安全還有一方面非常關鍵，就是隱私保護。即使沒有攻擊者偷數據，我也不愿意把（所擁有的）數據公開出去。”

“數據安全所利用的技術、面臨的風險場景部分有交叉，站在大的方向上，利用的技術不一樣，解決的問題也不一樣。具體技術包括數據分類分級、數據脫敏、數據溯源、數據加密、行為分析等等。”劉博就具體技術補充表示。

那么，應該如何做好數據安全呢？劉博認為：“數據安全涉及公民的安全、國家的安全。在業務層面，數據安全應當考慮建設包括預防、發現、消除泄密隱患為主的數據安全體系。”

更進一步，一方面需要保護數據，另一方面又應該如何利用好數據的價值呢？“數據安全島”就是一種利用數據的新模式。

一般而言，企業通過物理資產質押，從而獲得銀行、金融機構的貸款，完成融資活動，而數據也是重要的資產。“數據安全島”便可以通過“數據質押”，利用企業的數據資產。

以大數據交易中心為例，企業將自身數據資產質押貸款，其數據加密質押在安全島上，安全島計算數據哈希并記錄在擔保公司的區塊鏈中，作為憑證。當企業無償還能力時，銀行將企業數據變現，減少損失；當企業還款結束，安全島重新計算數據的哈希值，由擔保公司對比最初區塊鏈上的記錄，如相符，則證明數據保存無誤，數據將被及時銷毀，企業拿回數據所有權。

圖片來源：安恒信息

?

劉博形容道：“普通的汽車質押貸款，質權人通常會將出質人出質的汽車停放于第三方停車場，待質押結束交還出質人。‘數據安全島’也可以叫做‘數據停車場’，而且我們出于保護隱私的設計，我們是看不到數據的，質權人也看不到數據。”

行業數據概覽

據統計，7月境內計算機惡意程序傳播次數達2.2億次，較6月2.6億次減少18.45%，而且從第一周傳播次數達8543.8萬，到第四周傳播次數達2925.5萬，呈現快速下降狀態，可見在7月，境內計算機惡意程序傳播被有效防控。惡意程序會損壞文件、造成系統異常、竊取數據等，對計算機傷害很大，一定要高度重視。

從境內被篡改網站總數來看，第三周經歷高峰，達到3381個之多，總計9882個。其中政府類受感染較少，較6月下降35.6%，可以看出政府類防護做得很好。

從仿冒網站、漏洞數量等看出，7月處于平穩態勢。其中仿冒網站從月初352個到月末142個，整體體量直線下降，仿冒網站下降也歸功于全國反詐工作較為成功。而漏洞數量從月初500余個到月末400余個，也有明顯下降。針對安全漏洞問題，一定要在正規途徑下載應用，并及時更新。

7月Android部分勒索病毒監測顯示，大部分勒索病毒為工具類APP，包括游戲外掛類、紅包點贊類等，安裝一些工具類APP時，一定要在正規渠道下載。

安全漏洞、惡意程序對A股上市公司影響分析：

有被攻擊企業間接損失達數千萬

本次安恒信息對4115家A股上市公司進行了CVE安全漏洞影響分析，其中670家A股上市公司受到共190個CVE安全漏洞影響，面臨著網絡安全風險，占比18.02%。

截至2021年7月～8月的統計結果顯示，A股上市公司累計受到CVE安全漏洞影響的行業分布中，占比最高的5個行業分別是工業（21.71%）、信息技術（21.25%）、可選消費（18.63%）、材料（14.58%）、醫療保健（10.59%）。

據2021年7月～8月統計，如下20個CVE安全漏洞對企業影響最大，其中15個漏洞為2018年到2019年提交的，表明相關上市公司安全意識與對漏洞的重視有待提高。

據2021年7月～8月統計，受CVE影響的681家上市公司，分布集中在華東、華北、華南及大部分省域中心城市，可見CVE的分布與我國的信息化發展水平聯系較為緊密。其中CVE影響數量最多的5個省份（自治區、直轄市）為北京、浙江、廣東、上海、四川，這也是數字化轉型較為典型的地區。

CVE影響數排名前20的公司中，有20家企業受到超100個CVE安全漏洞影響，其中有8家屬于材料行業，占比30%。由此可以說明，企業信息化程度越高，其面臨的攻擊面也越廣。

除了以漏洞為攻擊手段的網絡安全事件外，2021年上半年安恒信息安全服務團隊處理的應急響應事件中，還有惡意程序和釣魚郵件發起攻擊的網絡安全事件，這三者占比分別是惡意程序57.2%、漏洞占比25.3%、釣魚郵件17.5%。

攻擊者的主要目的在于敲詐勒索、數據資產竊取、黑產活動等。其中，出于勒索病毒原因的占比42%，不法分子通過對企業終端和服務器等進行病毒感染實施敲詐勒索，安恒信息應急的相關企業預估間接經濟損失累計高達4620萬元；因黑產活動攻擊占比24%，不法分子以釣魚鏈接、挖礦及暗鏈等方式達到獲取暴利的目的；此外，企業內部的違規操作也是影響企業網絡安全的重要原因之一。隨著數字化轉型不斷加深，對內部員工安全意識的培訓也需要引起管理者重視。

今年7月底，安恒信息安全服務團隊接到某企業應急響應的需求。團隊抵達現場后，分析加密文件及勒索病毒界面的診斷，確定本起攻擊為挖礦病毒，通過對惡意文件的深度分析，發現腳本是殺掉服務器上CPU占用大于20%的進程，遠程下載病毒程序并執行實現對勒索木馬病毒感染。

安恒信息安全服務專家建議，企業針對信息資產的管理過程中，對企業員工應加強安全意識引導，PC需要安裝高級威脅防護能力和主動防御功能的軟件，重要文件做好備份，減少弱口令的使用，避免不法分子的破解。針對被感染機器，需要進行安全掃描和病毒查殺；及時進行系統補丁更新，封堵病毒傳播途徑；制定嚴格的口令策略；結合備份的網站日志對網站應用進行全面代碼審計，找出攻擊者利用的漏洞；對入口進行封堵。

從今年安恒信息安全服務專家處置的應急響應事件來看，弱口令和勒索病毒是企業被入侵的主要原因。企業需要實戰化的攻防演練才能減少被攻陷的風險，做到發現內部網絡安全隱患等。同時，建設常態化的安全運營目標，以用戶業務最終安全為目標，通過統籌運用多種技術和管理手段，將安全能力持續貫穿全生命周期，實現發現問題、驗證問題、分析問題、響應處置和解決問題，不斷迭代優化安全問題的處置能力，持續將安全風險降低至企業可接受的范圍。

在此背景下，每日經濟新聞聯合網絡信息安全領域上市公司安恒信息（688023，SH），采用國家互聯網應急中心權威數據，結合最新的安全形勢，收集剖析國內外網絡安全信息數據，每月發布網絡信息安全月報。這是業內第一份涵蓋所有A股上市公司的網絡信息安全報告，旨在借助專業解析，讓企業、民眾進一步認識網絡攻擊行為，更好地保護自身隱私和數據資產。

此份網絡信息安全月報主要包括行業重點資訊、行業安全數據概覽以及上市公司安全動態。重點關注勒索病毒等對企業、個人的安全威脅，并提供應對之法。

掃描二維碼或點擊「閱讀原文」檢測您的企業數據安全風險系數 ：

（本文不構成投資建議，據此操作風險自擔）

記者| 朱成祥

?編輯|梁梟?程鵬?杜波

視頻編輯|鄭得銳

校對| 段煉

｜每日經濟新聞 ? nbdnews ??原創文章｜

未經許可禁止轉載、摘編、復制及鏡像等使用

如需轉載請向本公眾號后臺申請并獲得授權

德爾塔毒株全球大流行，點擊下方圖片或掃描下方二維碼，查看最新疫情數據↓