数据泄露事件创历史新高！数据安全防护刻不容缓

Verizon的这份年度报告，基于广泛的行业调查与深度分析，为全球数据安全态势提供了权威性的观察窗口。

与前几年相比，利用漏洞作为入口点发起针对数据的攻击数量大幅增加，占比达到14%，比上一年增长了约三倍。部分原因是勒索软件利用未打补丁的软件和设备进行的攻击数量激增，这也表明数据资产的经济价值越来越高，已经成为恶意攻击者的首要目标，及时发现和弥补各类安全漏洞，尤其是应用系统漏洞依然是安全的重中之。

供应链攻击是指通过合作伙伴进入，劫持软件开发流程和系统更新，以及利用开源或第三方软件中的漏洞等。2024年该类事件占所有事件的15%，较去年9%的比例有显著上升，同比增长68%。随着数据应用系统建构越来越复杂，确保供应链系统和人员安全必须提上议事日程。

报告指出，人为因素在数据泄露事件中占比为68%，例如意外配置错误、社会工程欺诈和网络钓鱼攻击等。2021年，人为因素占数据泄露的85%，2022年下降到82%。2024年Verizon改变了该类事件统计方式，消除了内部恶意人员行为，于是降低为68%，但如果考虑内部恶意人员造成的数据泄露，该类别事件仍可能高达80%以上。

 勒索软件，以其独特的攻击模式和不断演变的技术手段，正日益成为数据安全领域的心腹大患。所有数据泄露中约有32%涉及某种勒索软件，勒索软件是92%的行业面临的最大威胁。

近几年来，我国加快出台数据安全方面的立法进程，加强防范数据安全风险。相继出台了《网络安全法》《数据安全法》《密码法》《关键信息基础设施安全保护条例》《个人信息保护法》《数据安全管理办法》等多项政策法规，以及《信息安全技术个人信息安全规范》《数据安全风险评估管理办法》等行业规章制度，为数据安全行业的规范化发展、数据安全领域的技术发展和应用深化提供了指导和参考。

我国数字经济正在进入专业化、具体化的发展推进阶段，数据作为数字经济新型生产要素，是数字化、网络化、智能化的基础。数据是关乎组织核心竞争力的重要资产，数据除了面对勒索攻击威胁，还有其他的安全挑战也如影随形。

我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心，行政法规、部门规章为依托，地方性法规、地方规章为抓手，国家标准为指南的网络和数据安全法规保障体系，必须确保数据处理活动符合法律法规要求，否则将面临法律制裁和信誉损失。

数据资产的识别、分类分级、保护与全生命周期管理成为难题，尤其是在数据量级巨大、类型多样的情况下，如何确保数据的机密性、完整性和可用性是一大挑战。目前的行业分类分级标准更多是指引性的内容，在具体落地层面没有一个权威性的标准。

参与流通的数据形态日益丰富，数据资产梳理和分类分级难度加大，极易产生安全死角。同时，数据的类别级别需要结合业务场景进行动态调整，在不同场景下的等级认定以及相应的管控或处理技术可能不同，数据分类分级的持续性难以保持。

数据化时代，数据爆发式增长，数据呈现特征多、分布散、关系复杂、流转快等特点，这给数据资产的梳理带来极大的难度，对这些数据的全局性、体系化安全保障更是难上加难。

面对日益严峻的数据安全环境，道普信息风险管控专家倡导构建全面的构建动态安全防护体系，积极跟踪国内主要政策，切实落实数据安全要求，建立起可信赖的数据安全环境。

通过数据治理体系建设，不断开发创新的数据服务，融合目标、流程、方法、工具，建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架，实现数据的资产化、可视化、服务化，保障数据的核心价值。

强化数据安全风险评估，对数据全生命周期进行风险识别和评估，提升数据安全保障能力、风险发现能力，确保数据安全风险可控。

基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，开展等保、密码、关保等多规测评，针对风险提出改进建议，帮助完成合规整改。

从运营管理、运营运行、运行技术三方面，构建具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的数字安全保障体系，形成终端防护、边界隔离与威胁监测的安全方案，实现安全运营。