亚信安全：2024年半年度报告

公司代码：688225公司简称：亚信安全 亚信安全科技股份有限公司2024年半年度报告 重要提示 一、本公司董事会、监事会及董事、监事、高级管理人员保证半年度报告内容的真实性、准确性、完整性，不存在虚假记载、误导性陈述或重大遗漏，并承担个别和连带的法律责任。 二、重大风险提示 公司已在报告中详细描述可能存在的相关风险，敬请查阅第三节管理层讨论与分析“五、风险因素”部分内容。 三、公司全体董事出席董事会会议。 四、本半年度报告未经审计。 五、公司负责人马红军、主管会计工作负责人汤虚谷及会计机构负责人（会计主管人员）蔡洪伟 声明：保证半年度报告中财务报告的真实、准确、完整。 六、董事会决议通过的本报告期利润分配预案或公积金转增股本预案 无 七、是否存在公司治理特殊安排等重要事项 □适用√不适用 八、前瞻性陈述的风险声明 √适用□不适用 本报告所涉及的公司未来计划、发展战略等前瞻性陈述，不构成公司对投资者的实质承诺，请投资者注意投资风险。 九、是否存在被控股股东及其他关联方非经营性占用资金情况 否 十、是否存在违反规定决策程序对外提供担保的情况 否 十一、是否存在半数以上董事无法保证公司所披露半年度报告的真实性、准确性和完整性 否 十二、其他 □适用√不适用 目录 第一节释义4 第二节公司简介和主要财务指标6 第三节管理层讨论与分析10 第四节公司治理49 第五节环境与社会责任51 第六节重要事项52 第七节股份变动及股东情况79 第八节优先股相关情况85 第九节债券相关情况85 第十节财务报告86 备查文件目录 载有公司法定代表人、主管会计工作负责人、会计机构负责人签名并盖章的财务报表。经现任法定代表人签字和公司盖章的本次半年度报告全文及摘要。报告期内在中国证券监督管理委员会指定网站上公开披露过的所有公司文件的正本及公告的原稿。 第一节释义 在本报告书中，除非文义另有所指，下列词语具有如下含义： 常用词语释义 亚信安全、公司、本公司 指 亚信安全科技股份有限公司 亚信成都 指 亚信科技（成都）有限公司，系公司全资子公司 亚信信远 指 亚信信远（南京）企业管理有限公司，系公司控股股东 南京安融 指 南京安融企业管理合伙企业（有限合伙），系公司员工持股平台 南京安宸 指 南京安宸企业管理合伙企业（有限合伙），系公司员工持股平台 亚信铭安 指 广州亚信铭安投资中心（有限合伙），系公司员工的持股平台 亚信融创 指 北京亚信融创咨询中心（有限合伙），系公司股东 亚信融信 指 南京亚信融信企业管理中心（有限合伙），系公司股东 亚信信合 指 天津亚信信合经济信息咨询有限公司，系公司股东 服云信息 指 厦门服云信息科技有限公司，系公司控股子公司 上海垣信卫星 指 上海垣信卫星科技有限公司 4A 指 统一帐号认证授权审计平台，英文“Account,Authentication,AuthorizationandAudit”的缩写，将业务支撑系统中的帐号管理、认证管理、授权管理和安全审计整合成的集中、统一的安全服务系统，简称4A管理平台或4A平台 API 指 英文“ApplicationProgrammingInterface”的缩写，指应用程序编程接口 APT 指 英文“AdvancedPersistentThreat”的缩写，是指高级持续性威胁，本质是针对性攻击。一般指有组织的黑客团伙或国家级网军利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式 ATT&CK 指 英文“AdversarialTactics,Techniques,andCommonKnowledges”的缩写，用以描述网络攻击技战术的“知识库”的基础框架 CMMI5 指 CMMI是英文“CapabilityMaturityModelIntegration”的缩写，即能力成熟度集成模型，是一套融合多学科的、可扩充的产品集合，其研制的初步动机是为了利用两个或多个单一学科的模型实现一个组织的集成化过程改进，CMMI5为该模型的最高级别 DevOps 指 英文“Development&Operations”的组合词，即一组过程、方法与系统的统称，是用于促进开发（应用程序/软件工程）、技术运营和质量保障部门之间的沟通、协作与整合 DNS 指 英文“DomainNameSystem”的缩写，即域名系统，它是由解析器和域名服务器组成的，域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名解析为IP地址功能的服务器 EDR 指 英文“EndpointDetectionandResponse”的缩写，指终端检测与响应技术。它是一种应用于端点上的主动的网络安全新兴技术，通过实时监控端点，提供关于攻击的上下文和详细信息，提供精确、全面、实时的防护与响应，能够有效发现未知威胁并减少误报 SaaS 指 英文“SoftwareasaService”的缩写，指软件即服务，提供商通过Internet提供的应用程序,也称托管应用程序。该应用程序无须在用户计算机上购买、安装或运行 SDP 指 软件定义边界，一种身份安全技术 URL 指 英文“UniformResourceLocator”的缩写，指统一资源定位符，是互联网上标准资源的地址 VP 指 虚拟补丁（VirtualPatch） VPDN 指 英文“VirtualPrivateDialNetwork”的缩写，即虚拟专用拨号网 络，是指以拨号接入方式上网，通过对网络数据的封包和加密在公网上传输私有数据，达到私有网络的安全级别，从而利用公众交换电话网络的架构来构筑企业的私有网络 XDR 指 基于平台方式的检测与响应，包含跨混合IT架构的安全产品的集成套件，负责威胁预防、检测和响应等多个安全功能之间的协调和互操作 安全管理 指 通过一定的技术手段对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测；对各个设备上的审计数据进行收集汇总和分析；对安全设备、安全组件、安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；对各类安全事件进行识别、报警和分析 安全认证 指 通过一定的技术机制确保正确的身份通过安全的通道访问权限许可内的应用和数据 安全资源池 指 在云环境中，由各种虚拟形态或物理形态的网络安全能力或设备所组成的，可以被统一部署、管理、调度，以软件定义及服务化方式实现特定安全能力的逻辑资源集合 边界安全 指 指企业或者组织的私有网络边界安全防护，通常通过防火墙、入侵检测、入侵防御等设备进行网络准入准出控制以及边界防御 单点登录 （SSO） 指 单点登录（SingleSignOn，SSO）是一种访问多个相关但彼此独立的系统的机制,通过这种机制，一个用户可以使用单一的用户标识和密码访问某个或多个系统，或者通过某种配置无缝地登录每个系统，从而避免使用不同的用户名或密码 泛身份安全 指 保障人、设备、应用程序等以正确的身份通过安全的通道访问权限许可内的系统和数据 泛终端安全 指 保障访问组织数据和网络的连接设备，如计算机、手机、监控摄像头、无人机、工业机器人、无线医疗设备、汽车等的安全 公有云 指 通过公共互联网提供并且任何人都可以购买使用的云计算服务 勒索软件 指 勒索软件（ransomware）是一种流行的恶意软件，通过骚扰、恐吓，甚至采用加密绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财 零信任 指 零信任是一个安全概念，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证，其本质是以身份为基石的动态可信访问控制，聚焦身份、信任、业务访问和动态访问控制等维度的安全能力，基于业场景的人、流程、环境、访问上下文等多维的因素，对信任进行持续评估，并通过信任等级对权限进行动态调整，形成具备较强风险应对能力的动态自适应的安全闭环体系 敏捷开发 指 敏捷开发（Agile）是一种以人为核心、迭代、循序渐进的开发方法。在敏捷开发中，软件项目的构建被切分成多个子项目，各个子项目的成果都经过测试，具备集成和可运行的特征；敏捷开发并不追求前期完美的设计、完美编码，而是力求在很短的周期内开发出产品的核心功能，尽早发布出可用的版本，然后在后续的生产周期内，按照新需求不断迭代升级，完善产品 人工智能（AI） 指 英文“ArtificialIntelligence”的简称，是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学 容器安全 指 容器安全指在容器（一种内核轻量级的操作系统层虚拟化技术）的构建、分发、运行过程中所采用网络安全技术体系 沙箱 （Sandbox） 指 沙箱是一种虚拟执行环境，可以对程序文件进行虚拟环境的执行，通过一系列检测手段，检测文件中是否包含病毒、木马等已知或未知恶意代码 身份安全 指 保障人、设备、应用程序等以正确的身份通过安全的通道访问权限许 可内的系统和数据 数据安全 指 数据安全指的是用技术手段识别网络上的文件、数据库、账户信息等各类数据集的相对重要性、敏感性、合规性等，并采取适当的安全控制措施对其实施保护等过程 数字信任 指 接入/映射到数字空间的两个网络实体，基于可信数字身份和对对方网络安全能力、数据活动的稳定预期，形成持续数字交互的过程和关系 私有云 指 私有云是指通过互联网或专用内部网络仅面向特选用户（而非一般公众）提供的计算服务 拓扑 指 这里特指计算机网络拓扑，即计算机网络中各种网络结点的连接关系 态势感知 指 基于环境的、动态、整体地洞悉安全风险的能力，以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式 挖矿 指 将一段时间内区块链系统中发生的交易进行确认，并记录在区块链上形成新区块的过程 威胁情报 指 英文为“ThreatIntelligence”，基于证据的知识，包括上下文、机制、标示、含义和可行的建议，这些知识与资产所面临已有的或潜在的威胁或危害相关 微服务 指 把一个大型的单个应用程序或服务拆分为数个甚至数十个的小型支持服务，用一些功能比较明确、业务比较精练的服务去解决更大、更实际的问题，通过有效的拆分应用实现敏捷开发和部署 虚拟化 指 资源管理技术，是将计算机、网络设备、网络安全设备的各种实体资源，如服务器、网络、内存及存储等，予以抽象、转换后呈现出来，打破实体结构间的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源 云安全 指 英文为“CloudSecurity”，指保护云计算环境内免受外部和内部安全威胁的实践和技术，保护云计算环境中的数据和应用程序的安全 云及边缘安全 指 云及边缘安全指传统IT领域网络安全概念在云计算、边缘计算场景下的延伸，保护云计算、边缘计算环境下的数据和应用程序免受外部和内部安全威胁 云计算 指 一种计算资源交付模型，其中集成了各种服务器、应用程序、数据和其它资源，并通过互联网以服务的形式提供这些资源 云网安全 指 云网融合架构下的网络安全，其中云网融合是指基于业务需求和技术创新并行驱动带来的网络架构深刻变革，使得云和网高度协同，互为支撑，互为借鉴的一种新型网络架构 招股说明书 指 《亚信安全科技股份有限公司首次公开发行股票并在科创板上市招股说明书》 《公司章程》 指 现行有效的《亚信安全科技股份有限公司章程》 元、万元、亿元 指 人民币元、万元、亿元 报告期 指 2024年1月1日至2024年6月30日 第二节公司简介和主要财务指标 一、公司基本情况 公司的中文名称 亚信安全科技股份有限公司 公司的中文简称 亚信安全 公司的外文名称 AsiainfoSecurityTechnologiesCo.,Ltd. 公司的外文名称缩写 AsiainfoSecurity 公司的法定代表人 马红军 公司注册地址 南京市雨花台区花神大道98号01栋 公司注册地址的历史变更情况 南京市雨花台区软件大道180号01栋 公司办公地址 南京市雨花台区花