近年来，随着党中央的高度重视以及互联网技术的不断成熟，我国数字化经济飞速发展，为社会生产带来了极大的便利。但在享受互联网红利的同时，数字风险伴随而来，紧张的国际局势也使得数字风险问题不断加剧。无论是乌俄之间的网络对抗，还是近几年频发的供应链网络安全，又或逐年递增的钓鱼诈骗活动规模，都将数字风险问题推至风口浪尖。

2022年年初，天际友盟凭借在数字风险防护领域的丰富积累，整理并发布了国内首份《数字风险防护报告》，对2021年度的国内数字风险态势进行了系统性梳理，提供了数字风险管理的方法思路以及制定决策所需要的态势数据。为了进一步帮助市场主体提高数字风险的保护意识，有效抵御外部攻击和威胁，天际友盟在2023年初，结合国际背景对2022全年数字风险进行整理，发布了《数字风险防护报告（2023）》，希望对相关企业有借鉴意义。

该报告由天际友盟双子座实验室撰写，分为全球数字风险的社会背景、2022年数字风险统计、2022年重大数字风险、数字风险案例展示、数字风险管理建议、关于天际友盟六个章节，以下为部分内容节选。

数字风险总量NO.1：侵权欺诈

侵权欺诈风险以96.85%的占比在各场景风险总量中“蝉联桂冠”。一定时期内，侵权欺诈仍将是不法分子作案的主要类型。

数字资产风险总量NO.1：网站

现阶段人们的上网方式大多数还是依赖于网站，因此传统的网站类风险依旧是不法分子所青睐的攻击途径。

数字风险行业NO.1：互联网

数字化改革深入各行各业，大量企业将传统线下服务搬运到线上，但同时，由于线上系统不完善、人为操作不当、内部员工泄露等诸多原因，导致互联网企业所面临的数字风险成倍增长。

数字风险网络服务商NO.1：Microsoft

数字风险域名服务商NO.1：GoDaddy

数字风险国家和地区NO.1：中国香港

数字风险社交媒体平台NO.1：微博

数字风险应用商店NO.1：历趣

数据泄露平台NO.1：百度文库

代码泄露平台NO.1：Github

2023年2月，中共中央、国务院印发了《数字中国建设整体布局规划》，指出建设数字中国是数字时代推进中国式现代化的重要引擎，是构筑国家竞争新优势的有力支撑。自十八大以来，中共中央高度重视我国数字经济的发展，直至今日成就显著。据信通院《全球数字经济白皮书（2022年）》显示，2021年测算的47个国家数字经济增加值规模为38.1万亿美元，同比名义增长15.6%，占GDP比重为45.0%。美国数字经济规模蝉联榜首，高达15.3万亿美元。中国稳居第二，规模为7.1万亿美元。德国以2.9万亿美元的优势领先日本，位居第三。

图：2021年国家数字经济规模TOP10（亿美元）

近几年，数字经济蓬勃发展，而数字风险暗地滋生。无论是俄乌战争所引发的网络攻击，还是屡遭黑客入侵的政务或企业系统，又或是一系列供应链攻击事件，都使网络安全问题备受关注，频频发生的数字风险事件也不断将舆论推至风口浪尖。

2022年天际友盟对国内外5,689个品牌进行了数字风险监测，共涉及包括金融、互联网、政府、制造业、教育、医疗与健康、信息与通信、能源与矿产、物流等28个关键领域的品牌。

图：2022年数字风险行业TOP5

监测业务范围覆盖了侵权欺诈、数据泄露、代码泄露、版权盗版、威胁误报等五大场景。其中，侵权欺诈的数字风险占比最高。

图：2022年数字风险场景分布

数字风险数量最多的互联网行业可细分为在线服务、加密货币及区块链、电子商务、社交媒体、云服务、网络安全、邮件服务、搜索引擎、在线游戏、知识付费10个子行业。

图：2022年互联网子行业数字风险分布

金融行业可细分为银行、证券、借贷、资产管理、保险、金融服务、支付、投资、股票、期货、融资、外汇12个子行业。

图：2022年金融子行业数字风险分布

受风险攻击的数字资产包括网站、移动APP、社交媒体账号、企业数据、文娱作品及企业代码。当前网站依然是人们最主要的上网方式，很多黑客攻击依托网站传播木马、病毒、后门等恶意软件，网站上也存在着大量钓鱼、侵权等不法行为，网站数字风险仍然“独占鳌头”。同时，随着移动互联网和社交媒体的成熟，越来越多的犯罪分子将目光投向移动数字资产。

图：2022年按数字资产类型分布的数字风险

2022年数字风险数量从年初骤增，于9月达到峰值，占总量的20.47%，几乎是最低值1月的十倍。第四季度趋势虽稍有回落，但是在12月再度回涨。

图：2022年按时间分布的数字风险

网站侵权欺诈统计

数字风险屡禁不止甚至卷土重来，和部分服务商关系紧密。部分服务商为了谋求一己私利，一味地为攻击者提供网络庇护，从而间接成为了数字风险的帮凶，自身平台也演变成了数字风险的隐藏据点。域名服务商GoDaddy和网络服务商Microsoft Corporation分别“一马当先”，成为风险聚集地。

图：按域名注册商排列的网站侵权欺诈数字风险分布TOP20

图：2022年按IP所属网络服务商划分的网站侵权欺诈数字风险TOP20

据统计，2022年侵权欺诈网站风险散布在世界的85个国家和地区，几乎93%的数字风险来源于中国大陆境外，而2021年非中国大陆风险占77.68%，由此可推测，犯罪分子寻求境外法律薄弱地区，企图逃避国内监管部门的法眼，已成为业界内的常规操作。

表：2022年按国家及地区划分的侵权欺诈风险

移动APP侵权欺诈统计

近年来随着智能手机的普及以及各种办公、生活应用的移动化，由移动App带来的风险侵害不断增加，传播病毒木马等恶意软件、未经授权上架、仿冒APP进行欺诈行为等事情屡有发生，给品牌方、用户及应用商店均造成了不良影响。2022年移动APP数字风险商店TOP10占全部APP风险的14.66%。其中历趣应用商店的风险最多，占比2.85%。

对全部移动APP风险来源的性质进行整理后发现，95.25%的数字风险藏匿于管理较为松散的其他第三方应用商店；4.55%来源于包括历趣、腾讯应用宝、豌豆荚、9apps等主流第三方商店；0.19%则属于手机应用商店，例如百度手机助手、苹果应用商店等。

图：2022年按移动应用商店划分的移动APP数字风险TOP10

表：部分应用商店潜伏的移动APP数字风险数量统计

社交媒体侵权欺诈统计

据联合国统计，世界上近47％的人口都注册了社交网络账户。但同时，大量的仿冒账号、垃圾信息、隐私泄露等网络安全问题充斥着社媒平台。2022年，社交媒体风险散布在22个平台。其中，微博作为中国最大的社媒平台之一，以“压倒性优势再一次成功卫冕”，风险占比29.68%。所有平台中，海外品牌共7个，提供了接近15%的数字风险。社媒风险可划分为仿冒官方账号、假冒官方客服、冒充员工或领导、冒充知名人物、冒充供应商或合作方、侵权品牌的名称和商标等。

图：2022年按社交媒体平台划分的社交媒体数字风险

数据泄露统计

各类文库平台是泄露数据大肆传播的重灾区之一。大量上传者以付费浏览或下载的方式利用企业机密文件进行不正当牟利，不仅损害了企业的声誉，也对其技术成果、项目业绩造成了严重威胁。相较于暗网的数据泄露，文库属于开源数据平台，受众网民更加广泛，且无需技术门槛，这无形中扩大了泄露范围。2022年数据泄露共涉及14个平台，其中百度文库数量最多，占比29.68%。泄露的内容涵盖项目信息、企业制度、企业战略规划、企业产品、银行贷款、培训资料、报告、商务合同、招标资质等。

图：2022年按在线分享文档平台划分的数据泄露数字风险

代码泄露统计

如今，企业在遭遇代码泄露事件时，有百分之八十的概率出现在内部人员身上。这样的结果表明，内部代码安全问题远远比网络攻击更致命，尤其是在研发型企业里，对企业造成的打击和影响不可估量。代码泄露地段以共享平台Github与Gitee为主，其中大量风险潜伏于Github。泄露的代码涉及接口API，包括门户网站、线上会议软件、支付系统等。

图：2022年按代码开源平台划分的代码泄露数字风险

网站侵权欺诈

2022年，诈骗团伙屡次制造并传播新加坡网购平台Carousell的钓鱼网站，冒充买家并假借付款或交货为由诱骗受害者在虚假的网站上输入银行信息，造成大量网民上当受骗，仅12月就有1115人上当受骗，涉及金额逾100万元。

图：新加坡警方公布的犯罪团伙作案过程

APP侵权欺诈

2022年上半年，国家网信办反诈中心监测到多起仿冒投资平台移动APP。不法分子宣发大量虚假APP，假借京东金融、马上金融、360借条等知名借贷平台的名义，以相似的标志和产品介绍以假乱真，再以“小额返利”等接口引诱网民落入圈套，实施诈骗。

图：国家网信办微信公众号公布的部分被仿冒APP

表：2022年国家网信办公布的部分APP诈骗案例

邮件侵权欺诈

5月18日，搜狐全体员工收到一封后缀与搜狐内部邮箱高度相似，且挂名“搜狐财务部”的钓鱼邮件。该邮件标题为《5月份员工工资补助通知》，附件要求扫码填写银行账号等信息来获得补助，导致20余名员工被骗，诈骗金额达到4万余元。

图：网传搜狐内网诈骗邮件截图

中国香港海逸酒店数据库遭攻击，超100万客户信息泄露

中国香港个人资料私隐专员公署（PCPD）在声明中表示，二月初海逸酒店管理有限公司（海逸酒店）因遭受网络攻击，导致120多万名客户个人料被窃取。

虚假冬奥知识竞赛平台致350余万学生信息遭泄露

2月，江苏南通警方侦破一起假借冬奥知识传播活动为名实施诈骗的案件。李某辉伙同汤某峰等人在没有取得冬奥组委会授权的情况下，开发“冬奥知识竞赛平台”，非法获取全国大中专院校在校学生的个人信息350万余条，骗取部分参与者缴纳证书工本费总计1000万余元。

图：虚假的冬奥知识竞赛平台

某公司窃取2.1亿条简历数据，法院作出同类案件“最重”处罚

2月份，北京某科技公司因爬虫窃密案被判处罚金人民币4000万元。该公司在未取得求职者和平台直接授权的情况下，秘密爬取国内主流招聘平台上的求职者简历数据，涉及2.1亿余条个人信息。

学习通数据库疑遭泄露

据媒体2022年6月20日消息，黑客正在通过非法渠道出售超星学习通数据库，这份数据库包含1,7273万条数据，泄露数据涉及学校名称、学生姓名、注册手机号码、学号、工号、性别以及邮箱等，售价为1500美元。超星学习通是目前众多高校使用的电子化课程学习软件。

6月21日下午，超星学习通App官方微博发布《关于“疑似学习通用户数据泄露”传闻的声明》。《声明》称，公司20日晚上收到“疑似学习通App用户数据泄露”的反馈信息，立即组织技术排查。

图：学习通数据被售卖

平安人寿泄露4万条公民信息

11月底，据公开的裁判文书显示，平安人寿六盘水中心支公司内部人员利用职务之便泄露客户信息，涉案的公民信息高达4万余条，多名涉事人员被判处有期徒刑。

图：六盘水银保监分局行政处罚信息公开表

中国首例为境外非法提供高铁通信数据案

4月，国家安全机关破获了一起为境外刺探、非法提供高铁数据的案件。上海某信息科技公司销售总监王某等人在利益的驱使下，非法收集并向境外公司提供涉及铁路GSM-R敏感信号等高铁数据。这起案件是《中华人民共和国数据安全法》实施以来，首例涉案数据被鉴定为情报的案件，也是我国首例涉及高铁运行安全的危害国家安全类案件。

西北工业大学遭美国NSA网络攻击

9月5日，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。调查报告显示，美国国家安全局持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

图：关于西北工业大学网络攻击的央视报道

哔哩哔哩2.2亿余条用户信息疑被出售

7月，一张在暗网叫卖2.2亿余条哔哩哔哩用户信息的截图在网上流传，价格为0.5比特币或17.72以太币。截图显示，帖子发布于7月6日凌晨，帖主称数量具体为221,223,698条，包括UID和手机号。除了在帖子里展示的少量数据，帖主还提供了总计超过50万行的样本数据。

图：暗网上B站数据被售卖

8家香格里拉酒店遭黑客入侵，中国香港超29万客户信息被泄露

香格里拉酒店集团于9月30日在官方站点发布信息安全事件公告指旗下8家酒店的客人数据库在今年5月至7月被专业网络攻击者入侵。攻击者绕过集团的信息安全监察系统，非法进入客人数据库，部分档案数据外泄。隐私专员公署得悉，有29万香港客户受影响，已就事件展开循规审查。酒店方面表示，除客人姓名、电话号码、电邮地址、通讯地址、会籍号码、预订日期和公司名称存在泄露外，客人的护照号码、身份证号码、出生日期、信用卡号码等资料会进行加密保护，暂未遭公开或不当使用。

医疗公众号系统遭黑客侵入，10万条公民数据被兜售

10月，哈尔滨市公安局南岗分局监测到境外某黑客论坛有国内公民个人信息在被出售。出售信息量约20GB，售价0.2比特币，还公布了29条数据样本供买家验证，样本中包括了公民姓名、联系电话、家庭住址等个人信息。随即网警进行深入调查及侦破工作，将犯罪嫌疑人麻某抓获。

蔚来汽车用户数据遭大量泄露

12月20日，蔚来汽车用户数据遭窃取被勒索225万美元。据网传，蔚来收到外部邮件，称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。公司当天即成立专项小组进行调查与应对，并第一时间向监管报告此事。

社保公积金系统漏洞致公民2300万条个人信息外泄

12月，四川省南通警方打击了多个利用社保、公积金等系统漏洞非法获取公民个人信息的犯罪团伙，涉及四川、河南、广东多个省市，抓获犯罪嫌疑人121人，查获公民个人信息2300余万条，发现国内多地各类信息系统平台漏洞300余个，收缴黑客工具12套。

上海随申码数据泄露，4850万居民信息存在泄露风险

8月消息，有人在某黑客论坛上发帖以4000美元拍卖上海随申码数据库，声称其中包含4850万用户的上海随申码数据，其中包含自随申码推行以来，居住或到访过上海的所有人的身份证、姓名及手机号。

图：暗网上社保公积金个人数据被售卖

勒索软件

电子制造巨头富士康证实，其位于蒂华纳（墨西哥）的生产工厂在5月下旬受到勒索软件攻击的影响。LockBit勒索软件团伙声称对此次攻击负责，并宣布如果该公司不支付赎金，将在2022年6月11日18:01:00之前释放被盗数据。这是富士康墨西哥工厂第二次受到勒索软件攻击的影响，2020年，DoppelPaymer袭击了奇瓦瓦州华雷斯城的工厂，并要求支付3400万美元的赎金。

图：Lockbit黑客组织声称富士康是其受害者

代码泄漏

10月，国内知名游戏原神被爆出历史至4.0版本的几乎全部资料被泄露，泄露内容大致6.7G压缩包。疑似内鬼作案，网传是内部员工被开除后心生怨恨，因此泄露敏感内容泄愤。

图：原神泄露的代码

《数字风险报告（2022年）》提供了强化企业内部风险管理的建议，天际友盟将结合2023年网络安全发展趋势做进一步优化。

随着数字化经济在我国高速发展，网络空间资产规模呈指数级扩大，特别是云上云下资产复杂交织、类型众多。目前，虽然已有不少企业梳理并建立了信息资产清单，但部分主体仍存在资产清单管理不到位、内部数据责任归属不明、资产防护强度和范围均存在疏漏的问题。这无疑给了攻击者可乘之机，造成“被白嫖”的可能，例如注册相似域名、抢注历史域名等。因此，资产底数准确性、资产清单完整性有待进一步完善，资产漏洞风险排查手段和能力有待持续提升。

数字时代下，数据共享造成的网络安全问题引起了一定关注。即使大部分企业内部已构建了完善的传统网络安全防护，外部风险依然难以掌控。一旦掌握数据的上游主体遭受到黑客攻击，势必会给中下游企业带来损害。因此，需要加强对第三方合作商提供的网络产品及服务的安全审核，制定并切实落实安全评估制度，持续监督安全态势，同时提前部署应急响应、风险处置等措施，确保在风险来临时能够有条不紊地将影响降到最低。

除了安保及应急措施的完善，保密责任不到位、制度未落实也是目前亟需改善的现状。目前，仍有诸多企业在合作中未与供应商人员签订保密协议，缺乏对供应链网络安全管理意识，未能有效开展供应链风险评估和定期对供应商服务进行安全监控和审计。

随着全球网络威胁的不断加剧，各类网络安全问题层出不穷，风险管理重视程度持续上升，保险作为实现风险转移和转嫁的重要手段，逐渐成为数字风险管理框架中不可或缺的一环。除了最大化防灾减损，转化不可控成本，安全保险不仅可以作为最后的保障，稳健企业经营，还可以协助强化网络安全主动防护，分析风险点并制定相应的防范措施，同时力求避免发生网络安全风险，弥补企业自身资源和网络安全管理能力的不足。

全球经济衰退，不少企业的营收大幅下降，削减预算似乎成为了生存密码。大量“重业务轻防御”的企业自然而然地压缩了网络风险管理的经费，导致本就脆弱的防护体系更是风雨飘摇，攻击者见缝插针，数字风险数量自2020年骤然激增。

数字风险防护是维护广大网民的人身财产安全与社会和谐发展的有利保障。任何网络系统都存在一定的瑕疵，因此做好风险防护管理是提高网络安全性的必要措施。对于企业与机构而言，需要立足于宏观视角，辩证认识网络安全的重要性以及数据系统维护与网络安全的内在联系，在维护管理工作上加大人力、物力投入，积极加强系统维护人力资源建设，全面建构科学合理的管理维护体系。

以上为《数字风险防护报告（2023）》部分节选内容，点击“报告”获取完整报告。