2023年数字安全大事记报告
AI智能总结
© 北京数字世界咨询有限公司 2024.1 2023 年数字安全大事记 数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。 数字安全能力模型研究的基础,来自于数世咨询 2020 年首次提出的“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。 随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在 2022 年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构 . 网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 统计分析师:牛爱民媒体分析师:闫志坤技术分析师:陈发明战略分析师:靳慧超综合分析师:刘宸宇首席分析师:李少鹏分 析 团 队:数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目录 2023 年数字安全大事记………………………………………………………… 1 一、年度十大事件……………………………………………………………2 1、Okta 客户数据被盗…………………………………………………………22、国内安全大模型爆发…………………………………………………………23、数字安全产业步履维艰…………………………………………………24、全球资本市场进入寒冬期…………………………………………………35、史上最大安全收购:思科收购 Splunk…………………………………36、Meta 再遭巨额罚款…………………………………………………………37、美国长期对中国实施网络攻击…………………………………………38、《商用密码管理条例》修订施行…………………………………………49、《计算机信息系统安全专用产品销售许可证》停止颁发……………410、“2522”:筑牢可信可控的数字安全屏障…………………………… 4 二、数据泄露与网络攻击篇……………………………………………………… 6 1、 重 要 结 论……………………………………………………………………… 62、2023 年度十大数据泄漏事件 ……………………………………………… 73、2023 年度十大网络攻击事件 ……………………………………………… 8 三、 漏洞篇 …………………………………………………………………10 1、漏洞情况综述 ………………………………………………………………… 10 目录 2、年度十大漏洞 ………………………………………………………………… 15 1、重要结论 ……………………………………………………………………… 162、2023 年度十大违规处罚事件 …………………………………………… 16 五、技术产品与资本市场篇…………………………………………………18 1、重要结论……………………………………………………………………… 182、技术产品 ……………………………………………………………………… 183、2023 年度数字安全十大创新项目 ……………………………………… 214、资本市场…………………………………………………………………… 215、2023 年度数字安全十大收并购………………………………………… 24 六、国家安全与法规政策篇…………………………………………………… 25 1、重要结论 ……………………………………………………………………… 252、2023 年度国家级网络安全十件大事 …………………………………… 253、2023 年度国内数字安全十大法规政策 ………………………………… 274、2023 年度国外数字安全十大法规政策………………………………29 ……………………………………………………………………………31 2023 年数字安全大事记 如果从 1994 年发布的《中国计算机信息系统安全保护条例》开始算起,中国的数字安全产业已走过三十年。从以杀毒软件为主的数亿元市场,渐渐发展到以信息保密和 IT 安全并举的百亿市场。紧接着,在“没有网络安全就没有国家安全”的指导理念下,安全产业的发展进入快车道。随着网络安全法、密码法、等保、关保、个保、数保等对产业发展影响重大的法规政策连续出台,产业规模以年均 20% 的速度迅猛增长,并在 2020 年达到 29.9% 的年度增长记录,直逼千亿规模。 形势一片大好之际,却在国际政治、全球经济等大背景以及内部多重因素和长期积累的影响下,开始出现增长疲软的态势,安全产业进入发展缓滞期…… 为了记述数字安全领域发生的大事件以反映产业现状与趋势,基于长期的调查和研究工作,数世咨询每年都从当年国内外上千条事件中进行精选和提炼,并撰写和发布历年《数字安全大事记》。 《2023 年数字安全大事记》于 2024 年 1 月 5 日发布。 一、年度十大事件 1、Okta 客户数据被盗 国际知名身份安全公司 Okta 在遭黑客攻击后,其客户支持系统的全部用户数据被盗。Okta 约有 1.5 万家企业客户。其 CEO 曾在 2019 年表示,已拥有超过 1 亿注册用户和 500 万付费日活用户。攻击事件发生到现在,Okta 市值已暴跌 3 倍,300 亿美元的市值蒸发。近年来,在我国的大型攻防演练活动中,也不断的发生安全设备被破解绕过的类似事件。安全公司不安全?实际上,网络攻防能力的逻辑在于资源对抗,没有投入就没有安全,安全公司当然也不例外。 2、国内安全大模型爆发 ChatGPT 的火爆引发大语言模型的应用普及,国内先后出现了十几家安全企业发布大模型驱动的安全运营相关产品。根据数世咨询的初步调研,大语言模型或生成式 AI 支撑的安全产品,目前尚未形成真正的商业收入,尚处于数世咨询定义的市场成熟度中的概念阶段。 (注:数据咨询将市场成熟度定义为四个阶段,概念市场、新兴市场、发展市场和成熟市场) 3、数字安全产业步履维艰 自 2020 年增长率创历史新高(29.9%)之后,数字安全产业开始出现增长疲软的态势。2021 年、2022 年连续两年增长率下降 11 个百分点,而 2023 年,大概率会出现三十年来的首次无增长。大多数安全企业,旨在锐意进取的降本增效却变成无可奈何地减员降薪。数世咨询在 2023 年 6 月向业界呼吁“生存是民营企业的第一要务”,这一观点已经得到了事实的充分验证。 4、全球资本市场进入寒冬期 2023 年数字安全资本市场的股权融资再创新低,国内数字安全企业股权融资仅 70 余笔,与 2022 年相比下降 26%。股权融资总额约 39 亿元,与 2022年相比下降 45%。与此同时,海外数字安全的股权融资也呈大幅度下降态势。股权融资 148 笔,与 2022 年相比下降 32%。股权融资总额约为 50.45 亿美元,与 2022 年相比下降 55%。 5、史上最大安全收购:思科收购 Splunk 9 月,思科宣布以 280 亿美元的天价收购 Splunk,此次收购完成后将为安全行业最大一笔收购事件。之前的两笔超过百亿美元的收购发生在 2021 年,一个是由多家资本组成的投资集团以 140 亿美元收购了 McAfee, 另一起是私募资本 Thoma Bravo 以 123 亿美元的价格收购 Proofpoint。 6、Meta 再遭巨额罚款 5 月,Meta 因将欧洲地区用户的个人数据传输到美国而被欧盟数据保护委员会处以 13 亿美元的罚款,并被勒令在六个月内删除非法存储和处理的数据。之前在 2022 年,Meta 就因被指控旗下的社交网络 Facebook 允许包括剑桥分析在内的第三方访问用户私人数据,而支付了 7.25 亿美元的和解费用。 7、美国长期对中国实施网络攻击 9 月,中国国家安全部在官方微信公众号发文指出,美国情报部门凭借其强大的网络攻击武器库,对包括中国在内的全球多国实施监控、窃密和网络攻击,如特定入侵行动办公室早在十几年前就开始入侵华为的服务器并持续开展监控;长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击,窃取大量高价值数据。另据国家网络安全机构对武汉市应急管理局地震监测中心网络被植木马的调研结果,攻击手段符合美国情报机构特征,目 标是窃取地震监测相关数据,带有具有明显的军事侦察目的。 8、《商用密码管理条例》修订施行 4 月,国务院总理李强签发中华人民共和国国务院令第 760 号,《商用密码管理条例》经 2023 年 4 月 14 日国务院第 4 次常务会议修订通过并公布,自2023 年 7 月 1 日起施行。《条例》包括六大重要内容:一是完善商用密码管理体制。二是促进商用密码科技创新与标准化建设。三是健全商用密码检测认证体系。四是加强电子认证服务使用密码和电子政务电子认证服务活动管理。五是规范商用密码进出口管理。六是促进商用密码应用。 9、《计算机信息系统安全专用产品销售许可证》停止颁发 4 月,网信办、工信部、公安部、国家认监委、财政部联合发布公告。自2023 年 7 月 1 日起,列入《网络关键设备和网络安全专用产品目录》的产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。同时,停止颁发《计算机信息系统安全专用产品销售许可证》,产品生产者无需申领。此次调整公告,是落实《网络安全法》关于推动安全认证和安全检测结果互认规定的重要举措,对统一网络安全产品安全要求、提升产品整体安全防护能力,减轻网络安全企业负担、营造良好产业发展环境,发展强大网络安全产业、增强国家网络安全能力具有重要意义。 10、“2522”:筑牢可信可控的数字安全屏障 2 月,中共中央、国务院印发的《数字中国建设整体布局规划》明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。规划指出,“筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安 全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。” 二、数据泄露与网络攻击篇 1、重要结论 ●与前几年相比,超大规模数据泄漏事件的数量在下降,但中等规模的数据泄露事件数以万计。根据暗网监测公司零零信安的数据,2023 年大于 10亿条数据量的售卖信息多达数百起,全年交易记录 11 万起。 ●数据泄露的三大主因,数据库配置错误、勒索软件和针对性的网络攻击。其中,由数据库配置错误可能造成的大规模数据泄露事件,连续两年呈下降态势。而勒索软件,已经发展形成了从破坏数据到窃取数据,再到售卖数据和泄露数据的多种勒索获利方式。 ●安全公司需要提升安全文化。身份安全公司 Okta 遭黑客攻击,全部客户数据失窃,堪称安全业界的年度大事件。近年来,在我国的大型攻防演练活动中,也不断的发生安全设备被破解绕过的类似事件。实际上,网络攻防能力的逻辑在于资源对抗,没有投入就没有安全,安全公司当然也不例外。 ●2023 年的加密货币遭攻击带来的损失明显下降,与 2022 年 43 亿美元的损失相比,至少下降了 50%。这可能与全球各国政府加强监管和控制力度,从而导致加密货币行业的热度下降有关。 ●据区块链数据分
