亚信安全：2022年年度报告

公司代码：688225公司简称：亚信安全 亚信安全科技股份有限公司 2022年年度报告 重要提示 一、本公司董事会、监事会及董事、监事、高级管理人员保证年度报告内容的真实性、准确性、完整性，不存在虚假记载、误导性陈述或重大遗漏，并承担个别和连带的法律责任。 二、公司上市时未盈利且尚未实现盈利 □是√否 三、重大风险提示 公司已在报告中详细描述可能存在的相关风险，敬请查阅第三节管理层讨论与分析“四、风险因素”部分内容。 四、公司全体董事出席董事会会议。 五、致同会计师事务所（特殊普通合伙）为本公司出具了标准无保留意见的审计报告。 六、公司负责人陆光明、主管会计工作负责人汤虚谷及会计机构负责人（会计主管人员）吴琼声 明：保证年度报告中财务报告的真实、准确、完整。 七、董事会决议通过的本报告期利润分配预案或公积金转增股本预案 公司2022年度利润分配预案为：拟以实施权益分派股权登记日登记的总股本扣减公司回购专用证券账户中股份为基数分配利润，拟向全体股东每10股派发现金红利0.25元（含税；最终以公司实施本次利润分配股权登记日时，总股本扣除回购专用账户中股份数为计算基数，以公告为准）。 根据《上市公司回购股份实施细则》等有关规定，上市公司回购专用账户中的股份，不享有利润分配的权利。因此，本公司回购专用证券账户中的股份将不参与公司本次利润分配。 截止2023年3月31日，公司总股本400,010,000股，回购专用证券账户中股份总数为20,000股，以此计算合计拟派发现金红利9,999,750元（含税；最终以公司实施本次利润分配股权登记日时，总股本扣除回购专用账户中股份数为计算基数，以公告为准），占公司2022年度合并报表归属于上市公司股东净利润的10.15%。公司不进行资本公积金转增股本，不送红股。 公司2022年度利润分配预案已经由公司第一届董事会第十九次会议审议通过，尚需公司2022年年度股东大会审议通过。 八、是否存在公司治理特殊安排等重要事项 □适用√不适用 九、前瞻性陈述的风险声明 √适用□不适用 本报告所涉及的公司未来计划、发展战略等前瞻性陈述，不构成公司对投资者的实质承诺，请投资者注意投资风险。 十、是否存在被控股股东及其他关联方非经营性占用资金情况 否 十一、是否存在违反规定决策程序对外提供担保的情况 否 十二、是否存在半数以上董事无法保证公司所披露年度报告的真实性、准确性和完整性 否 十三、其他 □适用√不适用 目录 第一节释义5 第二节公司简介和主要财务指标7 第三节管理层讨论与分析11 第四节公司治理49 第五节环境、社会责任和其他公司治理64 第六节重要事项69 第七节股份变动及股东情况94 第八节优先股相关情况105 第九节债券相关情况105 第十节财务报告106 备查文件目录 载有公司法定代表人、主管会计工作负责人、会计机构负责人签名并盖章的财务报告。载有会计师事务所盖章、注册会计师签名并盖章的审计报告原件。报告期内在中国证券监督管理委员会指定网站上公开披露过的所有公司文件的正本及公告的原稿。 第一节释义 一、释义 在本报告书中，除非文义另有所指，下列词语具有如下含义： 常用词语释义 亚信安全公司、本公司 指 亚信安全科技股份有限公司 亚信成都 指 亚信科技（成都）有限公司，系公司全资子公司 亚信聚信 指 南京亚信聚信企业管理中心（有限合伙），系公司全资子公司 富数科技 指 上海富数科技有限公司，系公司参股子公司 亚信信远 指 亚信信远（南京）企业管理有限公司，系公司控股股东 亚信融安 指 成都亚信融安企业管理中心（有限合伙），系公司员工持股平台 亚信安宸 指 成都亚信安宸企业管理中心（有限合伙），系公司员工持股平台 亚信铭安 指 广州亚信铭安投资中心（有限合伙），系公司员工的持股平台 亚信融创 指 北京亚信融创咨询中心（有限合伙），系公司股东 亚信融信 指 南京亚信融信企业管理中心（有限合伙），系公司股东 亚信信合 指 天津亚信信合经济信息咨询有限公司，系公司股东 亚信毅信 指 天津亚信毅信技术咨询合伙企业（有限合伙），系公司股东 亚信恒信 指 天津亚信恒信咨询服务合伙企业（有限合伙），系公司股东 4A 指 统一帐号认证授权审计平台，英文“Account,Authentication,AuthorizationandAudit”的缩写，将业务支撑系统中的帐号管理、认证管理、授权管理和安全审计整合成的集中、统一的安全服务系统，简称4A管理平台或4A平台 API 指 英文“ApplicationProgrammingInterface”的缩写，指应用程序编程接口 APT 指 英文“AdvancedPersistentThreat”的缩写，是指高级持续性威胁，本质是针对性攻击。一般指有组织的黑客团伙或国家级网军利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式 ATT&CK 指 英文“AdversarialTactics,Techniques,andCommonKnowledges”的缩写，用以描述网络攻击技战术的“知识库”的基础框架 CMMI5 指 CMMI是英文“CapabilityMaturityModelIntegration”的缩写，即能力成熟度集成模型，是一套融合多学科的、可扩充的产品集合，其研制的初步动机是为了利用两个或多个单一学科的模型实现一个组织的集成化过程改进，CMMI5为该模型的最高级别 DevOps 指 英文“Development&Operations”的组合词，即一组过程、方法与系统的统称，是用于促进开发（应用程序/软件工程）、技术运营和质量保障部门之间的沟通、协作与整合 DNS 指 英文“DomainNameSystem”的缩写，即域名系统，它是由解析器和域名服务器组成的，域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名解析为IP地址功能的服务器 EDR 指 英文“EndpointDetectionandResponse”的缩写，指终端检测与响应技术。它是一种应用于端点上的主动的网络安全新兴技术，通过实时监控端点，提供关于攻击的上下文和详细信息，提供精确、全面、实时的防护与响应，能够有效发现未知威胁并减少误报 SaaS 指 英文“SoftwareasaService”的缩写，指软件即服务，提供商通过Internet提供的应用程序。也称托管应用程序。该应用程序无须在用户计算机上购买、安装或运行 SDP 指 软件定义边界，一种身份安全技术 URL 指 英文“UniformResourceLocator”的缩写，指统一资源定位符，是互联网上标准资源的地址 VP 指 虚拟补丁（VirtualPatch） VPDN 指 英文“VirtualPrivateDialNetwork”的缩写，即虚拟专用拨号网络，是指以拨号接入方式上网，通过对网络数据的封包和加密在公网上传输私有数据，达到私有网络的安全级别，从而利用公众交换电话网络的架构来构筑企业的私有网络 XDR 指 基于平台方式的检测与响应，包含跨混合IT架构的安全产品的集成套件，负责威胁预防、检测和响应等多个安全功能之间的协调和互操作 安全管理 指 通过一定的技术手段对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测；对各个设备上的审计数据进行收集汇总和分析；对安全设备、安全组件、安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；对各类安全事件进行识别、报警和分析 安全认证 指 通过一定的技术机制确保正确的身份通过安全的通道访问权限许可内的应用和数据 安全资源池 指 在云环境中，由各种虚拟形态或物理形态的网络安全能力或设备所组成的，可以被统一部署、管理、调度，以软件定义及服务化方式实现特定安全能力的逻辑资源集合 边界安全 指 指企业或者组织的私有网络边界安全防护，通常通过防火墙、入侵检测、入侵防御等设备进行网络准入准出控制以及边界防御 单点登录 （SSO） 指 单点登录（SingleSignOn，SSO）是一种访问多个相关但彼此独立的系统的机制,通过这种机制，一个用户可以使用单一的用户标识和密码访问某个或多个系统，或者通过某种配置无缝地登录每个系统，从而避免使用不同的用户名或密码 泛身份安全 指 保障人、设备、应用程序等以正确的身份通过安全的通道访问权限许可内的系统和数据 泛终端安全 指 保障访问组织数据和网络的连接设备，如计算机、手机、监控摄像头、无人机、工业机器人、无线医疗设备、汽车等的安全 防火墙 指 英文为“Firewall”，防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，保护内部网免受非法用户的侵入 公有云 指 通过公共互联网提供并且任何人都可以购买使用的云计算服务 勒索软件 指 勒索软件（ransomware）是一种流行的恶意软件，通过骚扰、恐吓，甚至采用加密绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财 零信任 指 零信任是一个安全概念，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证，其本质是以身份为基石的动态可信访问控制，聚焦身份、信任、业务访问和动态访问控制等维度的安全能力，基于业场景的人、流程、环境、访问上下文等多维的因素，对信任进行持续评估，并通过信任等级对权限进行动态调整，形成具备较强风险应对能力的动态自适应的安全闭环体系 敏捷开发 指 敏捷开发（Agile）是一种以人为核心、迭代、循序渐进的开发方法。在敏捷开发中，软件项目的构建被切分成多个子项目，各个子项目的成果都经过测试，具备集成和可运行的特征；敏捷开发并不追求前期完美的设计、完美编码，而是力求在很短的周期内开发出产品的核心功能，尽早发布出可用的版本，然后在后续的生产周期内，按照新需求不断迭代升级，完善产品 人工智能 （AI） 指 英文“ArtificialIntelligence”的简称，是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学 容器安全 指 容器安全指在容器（一种内核轻量级的操作系统层虚拟化技术）的构建、分发、运行过程中所采用网络安全技术体系 沙箱（Sandbox） 指 沙箱是一种虚拟执行环境，可以对程序文件进行虚拟环境的执行，通过一系列检测手段，检测文件中是否包含病毒、木马等已知或未知恶意代码 身份安全 指 保障人、设备、应用程序等以正确的身份通过安全的通道访问权限许可内的系统和数据 深度威胁 指 与普通威胁相对，泛指高级持续性威胁或通过一般安全防护手段无法有效应对的网络安全威胁 数据安全 指 数据安全指的是用技术手段识别网络上的文件、数据库、账户信息等各类数据集的相对重要性、敏感性、合规性等，并采取适当的安全控制措施对其实施保护等过程 数字信任 指 接入/映射到数字空间的两个网络实体，基于可信数字身份和对对方网络安全能力、数据活动的稳定预期，形成持续数字交互的过程和关系 私有云 指 私有云是指通过互联网或专用内部网络仅面向特选用户（而非一般公众）提供的计算服务 拓扑 指 这里特指计算机网络拓扑，即计算机网络中各种网络结点的连接关系 态势感知 指 基于环境的、动态、整体地洞悉安全风险的能力，以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式 挖矿 指 将一段时间内区块链系统中发生的交易进行确认，并记录在区块链上形成新区块的过程 威胁情报 指 英文为“ThreatIntelligence”，基于证据的知识，包括上下文、机制、标示、含义和可行的建议，这些知识与资产所面临已有的或潜在的威胁或危害相关 微服务 指 把一个大型的单个应用程序或服务拆分为数个甚至数十个的小型支持服务，用一些功能比较明确、业务比较精练的服务去解决更大、更实际的问题，通过有效的拆分应用实现敏捷开发和部署 虚拟化 指 资源管理技术，