点击查看更多华为：2023中山市终端零信任实践白皮书（16页）.pdf精彩内容。

0人已浏览 2023-12-16 16页 5星级

全 球 风 险 调 研全 球 风 险 调 研关键洞察风险风险风险风险2023概览3.全球风险调研12023年怡安全球风险调研结果显示，自2021年调查以来，商业环境并未明显改善。实际上，受访者们认为商业环境正变得更加动荡，并且充满不确定因素。2021年，受访者列举的主要商业风险中新冠疫情占据主要地位。2020年的恶意攻击次数突破纪录，黑客在各个行业利用网络安全漏洞发起攻击。从2020年的疫情和因疫情导致的全球经济衰退中幸存下来的企业，却仍在努力恢复业务并试图适应新环境。在此后的两年中，我们经历了持续的宏观经济和地缘政治变化。尽管国际货币基金组织总裁Kristalina Georgieva对2023年普遍经济衰退的悲观悲观预测预测并未成真，但中国、欧盟和美国的经济增长急剧放缓，包括欧盟最大经济体德国在内的多个欧元区国家进入衰退衰退。长期通胀和利率波动正如地缘政治动荡和劳动力短缺降低了商品生产并使供应链中断一样，使全球经济增速放缓。频繁且严重的气象灾害造成了数十亿美元的保险损失数十亿美元的保险损失，并凸显了巨大的保障缺口。对于整个社会和企业来说，应对气候变化已成为备受瞩目的当务之急。各大企业正在持续适应疫情带来的迅速演变的商业模式。长期的劳动力短缺，以及员工对工作和生活平衡的高度期望，使得有竞争力的员工价值主张和福利战略成为了吸引和挽留顶尖人才的关键。人才是竞争的差异化因素：业务增长、生产力和创新都需要企业具备充足的人员配置和前沿人才。虽然诸如人工智能（AI）和云计算等新技术正在帮助企业提高效率，但它们也对娱乐等行业产生了颠覆性影响，并引发了人们对伦理的讨论、对侵犯知识知识产权产权的担忧和对这些新兴技术采取更严格管控的呼声。贸易、科技、气候和员工稳定性等是当前风险格局的关键要素。这些要素不但各自会对风险敞口产生影响，它们之间日益增强的联系也使风险管理变得更为复杂，给商业领袖带来了前所未有的挑战。上述是怡安开展第九期全球风险调研的宏观背景。风险（包括运营和人才相关）与宏观经济连锁效应之间的关联在调查结果中得以清晰展现。调查涵盖了来自61个国家和地区、16个关键行业、不同规模的私营和上市企业的近3,000名受访者。主要风险全球风险调研5.2长期长期风险，风险，最最新新状况状况尽管自2021年以来前十大风险基本保持不变，但风险管理所处的宏观经济环境已明显不同。由疫情在许多领域引发的风险演变仍在持续加速，风险之间的关联性也在增强。当前十大主要风险1网络攻击/数据泄露2营业中断3456经济放缓/复苏缓慢未能吸引或保留顶尖人才监管/法规变更供应链断裂或分销失败78910商品价格/材料短缺风险声誉/品牌受损未能创新/未能满足客户需求竞争加剧主要主要风险风险全球风险调研6.2如2021年调查所预测的那样，网络攻击/数据泄露仍然是全球范围内风险管理者和企业高管当前和未来面临的最大风险。网络攻击/数据泄露也仍然是每个地区受访者未来面临的十大风险之一。自2015年首次跃身为前十大风险以来，网络风险的重要性日益上升，并在2021年和2023年连续两次成为全球首要风险。企业数字化项目、远程办公的增加以及自动化和服务中心的广泛使用使得网络安全成为企业成功的关键因素。一旦攻击者改变策略，风险转移举措和协议就会很快失效。正如怡安2023年网络韧性报告所强调的那样，尽管勒索软件攻击在2022年有所下降，但2023年第三季度的数据仍比2019年第一季度增加了1,010%以上。定期报告的数据泄露事件显示，恶意活动的整体上升趋势是显而易见的，这意味着企业要继续保持警惕并采取积极的保护措施。调查受访者反馈，他们对抵御网络攻击/数据泄露的准备水平达到历史最高的89%，但因网络攻击/数据泄露造成的收入损失与2021年持平，为18%。值得注意的是，这是全球前十大风险中报告的最低收入损失。这些数字与怡安网络韧性报告中的数据保持一致：尽管事件频率和严重程度急剧上升，但赎金支付仍然持平，平均网络成熟度从2021年的“初级”提升到2023年的“受控”水平，整体有所提高。这些数据都表明，企业正在优先考虑这一风险，并为应对其对业务的潜在影响制定了计划。尽管报告了较高的准备水平，但只有30%的受访者表示他们已量化网络风险，56%的受访者表示他们已为网络攻击/数据泄露制定了风险管理计划，这一数字低于2021年的68%。量化网络风险的比例较低暗示着风险改进战术与风险治理之间的脱节，偏离了怡安推荐的企业管理网络风险的最佳实践。考虑到对报告重大网络事故的监管要求变化和风险治理，这是企业应该确保解决的问题。简而言之，网络风险的复杂性和演变速度仍然为企业带来了挑战。营业中断风险继续排名第二，许多前十大风险有着固有联系。拉丁美洲的受访者和自然资源领域的受访者都将其视为当前的首要风险。由于全球商业运作采用新技术，营业中断现在变得全球风险调研7.2更加具有系统性。此外，企业的重点正在从基于事件的风险评估转移为基于影响的风险评估。尽管此前营业中断的影响被视为是线性的，但是新冠疫情表明，随着营业中断在复苏期间重复发生，它可以同时影响多个行业、地区、贸易路径和公司。同时，营业中断事件的数量也在增加。对业务中断影响的评估不仅从基于事件转变为基于影响的评估，还重新定义为包括环境、社会和治理（ESG）相关类别，以及日益增多的非损害性损失和财产损失。道德、社会和声誉影响在营业中断损失中所占的比重越来越大。所谓的非损害事件可能不会造成任何物理损害，但它们可能导致类似的重大财务损失。持续的通货膨胀也拉高了一些资产的价格，这可能导致在发生营业中断损失时，出现估值保障缺口。2021年排名第八的供应链断裂/分销失败在最新的调查中上升到第六位，这是该风险14年来的最高排名。它与网络攻击/数据泄露（排名第一）、营业中断（排名第二）和商品价格/材料稀缺风险（排名第七）密切相关。亚洲和东欧的地缘政治动荡对生产和分销造成了新的干扰，并加剧了新冠疫情期间开始出现的供应链问题，如劳动力短缺。跨国公司的采购总监指出，运输和物流人员的不足是主要的供应链风险敞口，对他们按照预期的速度运输产品造成了阻碍。本次调查的数据显示，不到40%的企业进行了供应商韧性评估，不到20%的企业对供应商库采取了多样化管理以减轻供应链断裂或分销失败的风险。此外，只有18%的受访者表示他们量化了供应链断裂或分销失败风险。因此，风险转移措施不足似乎与供应链断裂/分销失败风险敞口的增加密切相关。受访者将声誉/品牌风险排在第八位，这是自2007年调查首次发布以来的最低排名。然而，有52%的受访者表示在参加调查的前12个月内出现了因声誉或品牌损害导致的收入损失。这一比例相较于2021年的8%大幅增加，展示了看似微不足道的事件是如何在社交媒体和新闻24小时不间断的循环下迅速放大成为全球头条新闻的过程；这对降低公司收入和估值有着潜在影响。声誉损害对消费者，尤其是那些对企业透明度和道德高度敏感的群体，其感知和行为的影响可能是立竿见影且兼具毁灭性的。某一事件可能不仅会降低销售额，增加产品销售成本，还可能损害整个品牌，引发大量收入损失。董事会在考虑每一个可能的行动时，都要权衡公众不断变化的观点和感受会如何解读这一行动。由于网络风险和声誉风险紧密相连，公司必须事先制定强有力的事故恢复计划。尽管调查受访者似乎对声誉和品牌损害的原因和影响有所了解并正在制定计划，但他们在量化这些风险方面却遇到了困难。实际上，只有11%的受访者报告称他们已对品牌和声誉损害风险进行了量化；鉴于因品牌声誉风险造成的收入损失大幅增加，这一点十分值得关注。8.全球风险调研2.人力资本风险的复合效应人力资本风险的复合效应被北美和亚太地区的受访者选为前十大未来风险之一的未能吸引或保留顶尖人才风险在最新一期的全球风险调研中的当前和未来风险中排名第四，人力资源受访者则将其排在第一位，这是自调查开始以来的最高排名。面对全球劳动力短缺，企业正专注于吸引和保留顶尖人才。劳动力短缺这一新冠疫情的历史遗留问题，如今正因持续紧张的劳动力市场和劳动力老龄化而加剧。虽然历史人口统计分析预测到了人才流失，但最近的调查凸显了对人力资本问题的担忧加剧。今年调查结果的一个关键发现是人力资本问题对全球前十大风险的影响日益增强。人才、劳动力或关键专业技能的短缺可能阻碍创新和竞争力，并增加网络攻击、监管违规、供应链问题、营业中断和声誉损害的风险。受访者最关注的是劳动力短缺限制生产和分销可能带来的潜在收入影响。能力和技能差距的扩大也极为重要。在关键技能领域，对人才的竞争是如此激烈，以至于一些企业甚至整个行业在创新等多个方面出现落后。例如，2020年至2022年间，有20万名注册护士离开了美国劳动力市场，这可能影响服务水平和患者护理，增加企业面临的医疗事故风险以及随之而来的声誉和财务后果。人力资源领域的受访者将未能吸引或保留顶尖人才列为他们当前和未来的第一大风险。事实上，除了高管外，所有岗位的受访者在未来风险排名中都提高了这一风险的排名。高管将其列为他们未来的第三大风险和目前的第二大风险。风险和财务专业人士将未能吸引或保留顶尖人才分别列入他们目前前十大风险的第七和第九位。虽然39%的受访者报告已经对未能吸引或保留顶尖人才而面临的风险进行了评估，但只有11%的受访者报告称已对该风险进行了量化，这反映了企业在计算复杂的人力资本风险的真实影响方面所面临的挑战。全球风险调研9 2主要风险主要风险：关联性增强且趋于关联性增强且趋于复杂复杂世界各地的企业在努力发展业务和保护资产负债表的过程中，都在与高通胀、经济增长停滞和许多其他不利因素作斗争。在人工智能和云计算等科技进步的推动下，以技术为主导的新商业模式正在迅速发展。广泛的数字化也突出了在当前和未来的劳动力中培养相关技能，以及招聘有能力领导和实施企业变革的人才的必要性。同样，企业还需要人才来调查和管理这些全球互联的新商业工具和方式对道德、社会和网络安全的影响。社会趋势和疫情的持久影响大大减少了可用的专业人才。为了解决劳动力缺口，吸引和保留具有必要技能和经验的员工，各企业都在审查其员工价值主张，并采取其他措施来降低人力资本风险。自2021年的调查以来，在频率和严重性上都很难预测的气象灾害进一步引发了人们对气候变化的担忧。投保和未投保的相关损失以及惨重的死亡人数都创下了记录。这一现实在2023年的调查中尤为明显，在该调查中，有四个领域将天气/自然灾害列为当今前十大风险，而三个领域将气候变化风险列入前十大风险，与2021年上述两个风险仅出现在一个领域的前十大风险中的调查结果形成了鲜明对比。随着企业面对的单一风险不断增加和演变，风险之间的联系也随之加强。因此，即使面临经济和人员方面的多重挑战，企业的准备工作也必须紧跟风险发展的步伐。但受访者是如何应对这一挑战的呢？全球风险调研102风险准备和管理：深入了解风险准备和管理：深入了解企业报告的风险准备情况是整体风险管理活动、成熟度和动态性的晴雨表。最新调研的受访者反馈全球前十大风险的平均风险准备水平为60%，为10年以来的最高值。当然，从2021年调研结果的趋势来看，越来越多的企业正在制定计划以应对其前十大风险。从2021年到2023年，前十大全球风险的风险准备水平均有所提高，只有监管/立法变化风险的准备水平下降了1个百分点，这可能反映出企业难以跟上监管变化的步伐。尽管报告了准备水平的提高，但仍有39%的受访者报告了在过去12个月中与前十大风险相关的收入损失。这是10年来报告损失的最高比例，比2021年高出9个百分点。十大风险的风险准备情况十大风险的风险准备情况2023年报告的准备情况0 0 21年报告的准备情况营业中断经济放缓/复苏缓慢未能吸引或保留顶尖人才法规/立法变更网络攻击/数据泄露创新失败/未能满足客户需求商品价格/材料短缺风险声誉/品牌受损供应链断裂或分销失败竞争加剧全球风险调研112当前位列前十大风险的许多风险可以被归类为事故中断风险 阻碍企业运作的重大事故。正如前面提到的原因，这类事件的发生频率和数量正在增多。同时，企业在应对一系列相互关联的风险时，还面临人才短缺，这进一步增加了风险敞口并使规划变得更加复杂。应加强风险管理框架，帮助企业及其资产负债表抵御日益增加的风险以及经济不确定性的剧烈波动。宏观经济变化以及日益复杂和相互关联的风险敞口导致2021年排名前十的风险持续存在。然而，对这些风险及其复杂关联的不充分量化在一定程度上导致某些风险持续存在于2023年的前十大风险中。十大风险造成的收入损失十大风险造成的收入损失过去12个月的收入损失，2023年40%0Pp 0%业务中断经济放缓/复苏缓慢未能吸引或保留顶尖人才法规/立法变更网络攻击/数据泄露创新失败/未能满足客户需求商品价格/材料短缺风险声誉/品牌受损供应链断裂或分销失败竞争加剧过去12个月的收入损失，2021年全球风险调研122风险量化风险量化尽管有较高比例的受访者报告称，已针对前十大风险采取了转移措施，但在审视报告准备就绪的各个方面时，其与报告的收入损失增加之间的关联开始变得清晰。实际上，从2021年到2023年，风险量化大幅下降了11个百分点，从28%降至仅17%。当企业无法充分衡量潜在风险敞口时，转移或复原的努力同样不足。明智的决策是强大的风险管理复原力的基石，需要进行全生命周期的评估、量化、转移和管理。在风险量化得到改善之前，相关风险敞口将继续成为企业关注的焦点，并可能会抑制增长。尽管风险量化通常十分复杂并需要大量数据，且许多商业领袖并不认为企业具备这些数据，但企业数据和风险建模的结合将确保企业能够获得更完善的信息储备，并帮助企业做出更好的风险管理决策。针对针对十十大风险采取的大风险采取的转移转移措施措施已评估风险融资/转移解决方案已制定的风险管理计划其他25%0 2334 2150%0 2320232021285 2125%0 2317( 2150%0 2316 21制定了连续性计划50%0 2323$ 2150%0 233%3 21量化的风险50%已评估的风险509%未来风险全球风险调研143受访者预测未来的前十大风险将大致与当前的主要风险保持一致。网络攻击/数据泄露仍然是未来的第一大风险，反映出技术作为经济增长的关键推动力，同时也使网络威胁的风险格局变得更加复杂。调研受访者认为，人力资本对风险格局的影响可能会加剧。未来未能吸引或保留顶尖人才的风险仍将排在第四位，而劳动力短缺将于2026年进入预测的前十大风险中，并排名第八。七个行业将劳动力短缺列入其未来十大风险清单，而医疗保健行业将其列为第二大未来风险。随着风险韧性和员工韧性之间的关联更加紧密，这突显了风险和人力资源管理者在认可人力资本在企业增长中的根本作用这一点上需要达成一致的重要性。未来十大主要风险1网络攻击/数据泄露2经济放缓/复苏缓慢3456商品价格/材料短缺风险未能吸引或保留顶尖人才监管/法规变更业务中断78910竞争加剧劳动力短缺创新失败/未能满足客户需求现金流/流动性风险未来风险未来风险15全球风险调研3其他值得关注的未来风险也正在加剧：政治风险政治风险，在2023年排名第16位，在未来风险名单中上升了5个名次，达到第11位。受访者显然担心地缘政治动荡的影响会增加企业风险。事实上，全球政治两极分化程度的增加意味着一个国家政府的变更可能伴随着重大政策变化，造成更高的不确定性。随着俄乌冲突的持续以及中东地区的不稳定性加剧，这一预测可能被证实是准确的。气候变化气候变化在2023年至2026年间上升了5个名次。尽管受访者没有将气候变化风险排在我们专家认为合适的水平，但在2023年的调研中，拉丁美洲和欧洲的受访者分别将其作为第七和第九大未来风险。人工智能人工智能（AIAI）的排名从2023年的第49位跃升至未来风险的第17位，名次提升了惊人的32位。人力资源受访者将AI列入未来十大风险清单的第八位，而来自印度和英国的受访者分别将其排在未来风险的第七位和第三位。这表明，尽管企业认识到AI的经济潜力，并正在采用新技术来促进增长，但他们也意识到AI带来的潜在网络安全、法律、运营和人力资本风险。被低估的风险17全球风险调研4我们认为，调研受访者低估了以下风险：气候变化气候变化风险专业人士从两个不同的角度看待气候风险：现在的气候和30年后的气候。更紧迫的气候风险包括财务损失、恶劣天气、自然灾害、监管变化和合规。展望未来，气候和能源转型的准备工作以及与这些转型相关的风险管理也在专业风险评估中占有突出地位。尽管气候变化在最近的调查中获得了有史以来最高的全球排名，但我们认为，无论是目前第17位的排名还是未来第12位的排名，都不能很好地体现这一风险的重要地位。因此我们认为它仍然是一个被低估的风险。并且，风险专业人士将气候变化列为未来第八大风险，即表明他们将其视为关键的风险敞口。来自食品、农业和饮料、保险以及自然资源这三个行业的受访者将气候变化纳入当前十大风险，五个行业将其纳入未来十大风险。从区域来看，只有拉丁美洲和欧洲的受访者将气候变化列入他们的未来十大风险。然而，来自英国的受访者将气候变化列为他们目前的第十大风险和未来的第三大风险，与人工智能并列。气候变化并不是新兴风险；相反，它是一个紧迫风险。从政府、监管机构、股东到员工和消费者，越来越多的利益相关方正在要求企业对促进和应对气候变化承担更多责任、做出更多贡献。因此，气候风险已成为一个突出的投资问题。在我们共同努力应对当今和未来气候变化的影响之际，世界正面临着波动加剧的巨大挑战。被被低估低估的的风险风险全球风险调研184知识产权知识产权（IPIP）风险风险IP风险在2023年跌至历史最低排名，排名第45位（2021年为第25位）。考虑到标准普尔500公司价值的90%由无形资产组成，大多数是知识产权，而且知识产权诉讼有所增加，本次的排名下降着实令人惊讶。企业的专利、品牌和商业秘密越来越多地受到法律挑战。近年来一些异常大的赔偿判决促使专利持有者不断起诉其竞争对手。此外，技术和AI的普及使侵权行为的界限变得模糊，增加了与专利相关的纠纷。但AI的潜在风险影响远不止网络安全敞口。AI可能导致法律问题，并放大人力资本风险。AI风险增长的速度如此迅速，以至于甚至可能会在我们下次调研之前就产生重大影响。然而，正如任何新兴的颠覆性技术的快速采用一样，AI也将改变所有行业的企业风险格局，为许多公司引入新风险，并改变许多现有风险的严重性和速度。在全球董事会会议中，对AI的使用缺乏保护措施是一个突出的讨论话题。例如，在面临严重的劳动力短缺的医疗行业中使用AI，潜在的高风险和危险性是显而易见的。了解AI在其数字价值链中的责任和保险影响的风险管理者可以为其企业的AI策略增值。人工智能人工智能鉴于AI占领了头条从好莱坞编剧罢工到“AI教父”的严重警告AI在当前风险榜单中排名第49位是令人惊讶的。AI在未来风险榜单上升至第17位可能表明许多企业对这项技术采取观望态度，意识到其潜在的风险影响，但尚不清楚如何或以何种程度使用它。而专业服务、金融机构、保险、技术、媒体和通信以及公共部门等已投资并研究AI技术应用的六个行业将其列入未来十大风险清单。在指数级的技术进步中，人工智能是最紧迫的担忧之一。在2023年的调查中，95%的全球商业领袖相信AI可能会释放新一轮的经济价值。新兴的生成式AI技术可能会为全球经济带来相当于2.6万亿至4.4万亿美元的年增长潜力。区域差异全球风险调研205排名排名亚太地区亚太地区欧洲欧洲拉丁美洲拉丁美洲中东和非洲中东和非洲北美北美1网络攻击/数据泄露网络攻击/数据泄露业务中断经济放缓/复苏缓慢网络攻击/数据泄露2经济放缓/复苏缓慢商品价格/材料短缺风险网络攻击/数据泄露汇率波动未能吸引或保留顶尖人才3业务中断业务中断监管/法规变更业务中断经济放缓/复苏缓慢4未能吸引或保留顶尖人才经济放缓/复苏缓慢商品价格/材料短缺风险现金流/流动性风险供应链断裂或分销失败5快速变化的市场趋势未能吸引或保留顶尖人才政治风险政治风险业务中断6供应链断裂或分销失败监管/法规变更经济放缓/复苏缓慢网络攻击/数据泄露监管/法规变更7监管/法规变更供应链断裂或分销失败供应链断裂或分销失败供应链断裂或分销失败声誉/品牌受损8竞争加剧声誉/品牌受损财产损失商品价格/材料短缺风险创新失败/未能满足客户需求9创新失败/未能满足客户需求创新失败/未能满足客户需求声誉/品牌受损未能吸引或保留顶尖人才劳动力短缺10商品价格/材料短缺风险劳动力短缺气候/自然灾害创新失败/未能满足客户需求现金流/流动性风险从区域来看，存在一定的一致性：目前十大风险中的五大风险网络攻击/数据泄露、营业中断、经济放缓/复苏缓慢、供应链断裂或分销失败，以及监管/立法变化在所有地区都有体现。区域区域差异差异全球风险调研215网络攻击网络攻击/数据泄露数据泄露在最新调研中已成为三个地区的头号风险，而2021年只有北美将其排在第一位，这表明网络风险的严重性和全球化程度正在加剧。与2021年的五个行业相比，现在有九个行业将网络风险视为当前和未来的首要风险。未能吸引或保留顶尖人才未能吸引或保留顶尖人才的风险在最新调研中被四个地区列入前十大风险，而在2021年只有两个地区将其纳入前十大风险。另一个关键的人力风险，劳动力短缺，也在加剧，在欧洲和北美的当前风险排名中进入前十位。与人才相关的风险未被列入拉丁美洲当前或未来的前十大风险，可能反映了该地区近期经济增长缓慢。声誉声誉/品牌损害品牌损害在2023年调研的三个地区仍属于前十大风险。尽管在2021年的调研中，该风险在亚太地区排名第四，但现已被移出该地区的前十大风险。然而，其仍然位于欧洲和北美受访者的前十名之列，并已进入拉丁美洲的前十大风险。来自拉丁美洲、中东和非洲的受访者将政治风险政治风险列为当前风险的第五位。在持续的政治不稳定中，政治风险被视为一种威胁，目前在这些地区的未来排名中该风险已升至第一和第二位。商品价格商品价格/材料短缺风险材料短缺风险在亚太地区、拉丁美洲和中东及非洲的未来风险排名正在上升，并在欧洲保持稳定。在北美，这一风险没有出现在当前或未来的前十大风险中，这表明该地区的受访者可能认为富足的国内产能可使他们免受全球商品短缺的影响。如前所述，拉丁美洲和欧洲的受访者将气候变化列入未来十大风险。对2023年上半年十大最严重的自然灾害经济损失事件的回顾为这些排名提供了依据。2023年前五大事件中的四个土耳其和叙利亚的地震；巴西、阿根廷和乌拉圭的拉普拉塔盆地干旱；意大利艾米利亚-罗马涅地区的洪水；以及西班牙的干旱都发生在本次调研数据的收集期间，使气候变化在这些地区的毁灭性影响变得更加突出。受访者差异全球风险调研236排名排名人力资源管理者人力资源管理者企业高管企业高管风险管理者风险管理者财务管理者财务管理者1.未能吸引或保留顶尖人才网络攻击/数据泄露网络攻击/数据泄露商品价格/材料短缺风险2.经济放缓/复苏缓慢未能吸引或保留顶尖人才业务中断供应链断裂或分销失败3.竞争加剧经济放缓/复苏缓慢经济放缓/复苏缓慢经济放缓/复苏缓慢4.网络攻击/数据泄露商品价格/材料短缺风险商品价格/材料短缺风险网络攻击/数据泄露5.劳动力短缺法规/法规变更供应链断裂或分销失败业务中断6.快速变化的市场趋势业务中断法规/法规变更法规/法规变更7.创新失败/未能满足客户需求劳动力短缺未能吸引或保留顶尖人才竞争加剧8.监管/法规变更竞争加剧声誉/品牌受损现金流/流动性风险9现金流/流动性风险供应链断裂或分销失败创新失败/未能满足客户需求未能吸引或保留顶尖人才10供应链断裂或分销失败现金流/流动性风险财产损失声誉/品牌受损当前十大风险当前十大风险受访者差异受访者差异全球风险调研246风险管理者和高管将网络攻击/数据泄露评为他们当前和未来的首要风险。人力资源管理者认为未能吸引或保留顶尖人才是他们的首要风险，财务管理者则将商品价格/材料短缺风险列为他们的首要风险。值得注意的是，所有受访者，无论岗位差异，均选择了相同的头号风险作为他们当前和未来的首要风险。鉴于未能吸引或保留顶尖人才的风险在所有地区和行业中都排名靠前，人力资源管理者将其评为他们当前和未来的首要风险并不令人意外。虽然人力资源管理者和高管受访者将劳动力短缺纳入当前的前十大风险，但其他岗位的受访者在当前的前十大风险列表中并未包括该风险；考虑到劳动力短缺是包括医疗保健在内的几个关键行业的主要担忧，这一点十分惊人。同样值得注意的是，企业高管并未将声誉/品牌损害列入他们当前的前十大风险，尽管风险和财务主管分别将其排在第八和第十位。考虑到客户、员工和股东对高管在企业社会责任和ESG方面的审查正在变得愈发严格，声誉风险似乎是前十大风险的合理选项，但它却并未出现在高管受访者的前十大列表中。这表明受访者可能认为他们已有管理该风险的适当措施，或他们认为声誉风险的责任应由企业的风险管理团队承担。所有岗位的受访者都将经济放缓/复苏缓慢评为他们的第二大未来风险，所有角色（除了人力资源管理者）都在他们的前十大未来风险中包括了政治风险，这反映了对持续的经济和政治动荡带来的不确定性的担忧。其他风险排名有所不同。例如，只有人力资源管理者的未来前十大风险包括劳动力老龄化及相关健康问题和AI风险。提升决策质量塑造未来全球风险调研267高管和主管们将继续面临劳动力方面的挑战和机遇，如全球新冠疫情、远程办公、社会运动、大辞职潮和躺平、员工福利，以及最近的经济不确定性。风险问题正在持续模糊人力资本和业务运营之间的界限。我们的劳动力可用性和技能是供应链和业务中断等业务风险的源头和加速器，战略风险的日益凸显（如创新失败或竞争加剧等）使得人才青黄不接已成为高管最关注的问题之一。随着风险的趋同，企业的反应需要更加集中。董事会和其他利益相关方要求提高管理层对于长期监测和跟踪上述人才风险和机遇的可见度。因此，人力资源管理者需要掌握信息，以多角度应对这些议题，包括如何管理和转移固有风险。此外，他们需要展示在管理相关敞口和预测未来趋势方面的进展。在快速变化和高速波动的时期，财务和风险、人力资源管理者需要共同努力，更好地理解这些风险的相互关联性。目标是对公司风险概况形成统一解读，认识到战略和财务的重要性，并制定统一的战略来转移、管理这些风险敞口并为其吸纳资本。我们希望调研结果能够为企业提供见解，帮助他们了解当前和未来威胁其收益稳定性的关键领域。在当今快速演变的环境中，保持竞争优势、保护资产负债表、聚焦人才议程和促进可持续增长并不容易。我们认为，风险管理韧性和劳动力可持续性是任何企业在当前地缘政治和宏观经济动荡中取得成功的基础。无论风险源自积极的数字议程、气候风险、供应链依赖还是人才挑战，共同的视角和基于事实的（回顾性和预测性）分析可以提供关于这些风险和趋势的宝贵洞察，帮助商业领导者做出更好的管理决策。怡安2023年调研的独特之处在于，它生动地展示了企业人力资本议程的日益突出，主要体现在两个关键方面。首先，它展示了机遇。富有韧性、技能精湛且敬业度高的劳动力将能够更好地执行企业战略并创造实质性的竞争优势。另一方面，它突出了风险。在当今环境中，人力资源战略出错的连锁影响比以往任何时候都大，最终可能阻碍企业目标的实现。附录附录28全球风险调研下页的图表显示了第九期全球风险调研的完整风险排名。该数据基于来自全球61个国家和地区、16个行业、大型和中小型企业的2,842名决策者的反馈，包括企业高管、风险管理、财务和人力资源专业人士。该调研于2023年6月至7月间进行。1网络攻击网络攻击/数据泄露数据泄露2营业中断营业中断3经济放缓经济放缓/复苏缓慢复苏缓慢4未能吸引未能吸引/保留保留顶尖人才顶尖人才5监管监管/法规法规变更变更6供应链或供应链或分销失败分销失败7商品价格风险商品价格风险/材料短缺材料短缺8声誉声誉/品牌受损品牌受损9未能创新未能创新/未满足客户未满足客户10竞争加剧竞争加剧11现金流现金流/流动性风险流动性风险12劳动力短缺劳动力短缺13财产损失财产损失14技术故障技术故障/系统故障系统故障15天气天气/自然灾害自然灾害16政治风险政治风险17天气变化天气变化18加速市场因素的加速市场因素的变化速度变化速度19供应商管理供应商管理/第三方风险第三方风险20环境风险环境风险21地缘政治动荡地缘政治动荡22汇率波动汇率波动23企业社会责任企业社会责任(CSR)(CSR)环境社会治理环境社会治理(ESG)(ESG)24工伤工伤25利率波动利率波动26资本可供性资本可供性27产品责任产品责任/召回召回28主要项目风险主要项目风险29第三方责任（例如错误第三方责任（例如错误和遗漏）和遗漏）30未能实施未能实施/沟通策略沟通策略31数据隐私需求（包括数据隐私需求（包括GDPRGDPR要求）要求）/非合规性非合规性32疫情风险疫情风险/健康危机健康危机33交易信用风险交易信用风险34资产价格波动资产价格波动35过时的科技过时的科技基础设施基础设施36劳动力老龄化和相关健劳动力老龄化和相关健康问题康问题37个人责任个人责任(董事及高管人董事及高管人员员)38集中风险集中风险（产品，人（产品，人员，地域等）员，地域等）39收购收购/合并合并/重组重组40颠覆性技术颠覆性技术41旷工旷工42医疗成本不断上升医疗成本不断上升43职务风险职务风险/不道德的行为不道德的行为44继任计划不足继任计划不足45知识产权风险知识产权风险46盗窃盗窃47全球化全球化/新兴市场新兴市场48欺诈或挪用公款欺诈或挪用公款49人工智能人工智能50外包外包51恐怖主义恐怖主义52股价波动股价波动53歧视骚扰（就业歧视骚扰（就业相关）相关）54养老金风险养老金风险55性别工资差距性别工资差距56英国脱欧影响英国脱欧影响57区块链科技的影响区块链科技的影响58主权债务影响主权债务影响59勒索勒索60绑架和赎金绑架和赎金20232023 全球风险调研风险排序全球风险调研风险排序关于怡安关于怡安集团集团怡安集团（纽约证交所股票代码：AON）致力于提升决策质量，在全球范围内通过专业服务，保障人们的安全并丰富他们的生活。怡安在120多个国家和地区为客户提供清晰的建议与专业的解决方案，使他们能够充满信心地做出更优决策，护航业务、实现增长。2023怡安版权所有本文件所含信息仅用于一般性目的，并不针对任何个人与实体。我们始终致力于提供准确、及时、来源可靠的信息，但我们无法完全保证本文件所含信息在被用户接收之时以及未来仍旧绝对准确。任何个人与实体不应在缺少合适的专业建议与针对性调研的前提下仅基于本文所含信息做出决策与行动。

0人已浏览 2023-12-14 30页 5星级

点击查看更多炼石：2023工业和信息化领域数据安全风险评估解读报告（103页）.pdf精彩内容。

0人已浏览 2023-12-13 103页 5星级

点击查看更多阿里云：2023产品安全基线白皮书（23页）.pdf精彩内容。

0人已浏览 2023-12-13 23页 5星级

点击查看更多炼石网络：《工业和信息化领域数据安全风险评估V1.0.0》解读（103页）.pdf精彩内容。

0人已浏览 2023-12-12 103页 5星级

2023年全球DevSecOps现状调查影响软件安全的策略、工具和实践 2023 年 DevSecOps 现状调查 概述 关于Synopsys 2023年DevSecOps现状调查 报告 关于DevOps和DevSecOps自动化的好处ASOC/ASPM在DevSecOps中的应用日益增长Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征 附录概述关于Synopsys 2023年DevSecOps现状调查 报告 2023年初，Synopsys网络安全研究中心(CyRC)联合国际市场研究咨询公司Censuswide，对负责安全事务的1,000名IT专业人士开展了一项调查。受访者包括开发人员、AppSec专业人员、DevOps工程师、CISO以及在技术、网络安全和应用/软件开发领域担任各种职务的专家。受访者来自美国、英国、法国、芬兰、德国、中国、新加坡和日本。所有的受访者都有资格参与调查，与其所属行业和公司规模无关。开发本次调查面临的挑战之一是“DevSecOps”一词涵盖了多个学科，其中许多学科都有自己独特的角色。本次调查希望覆盖不同专业背景的人士，既包括“直接”编写代码的开发者，也包括从事软件安全相关工作的CISO级别的人员关于DevOps和DevSecOps加速开发、持续交付、管道弹性、可扩展性和端到端透明度是实现DevOps的关键原则。满足这些标准需要开发、安全和运维人员共同努力。DevSecOps是DevOps方法论的延伸，旨在向多个团队灌输安全文化，并且尽早在DevOps环境中通过一致的方式来解决安全问题。通过将安全实践集成到软件开发生命周期(SDLC)和CI管道中，DevSecOps旨在将安全性从一个独立的阶段转变为开发生命周期的一部分。DevSecOps在涉及软件开发的各个组织中都广受欢迎。SANS 2023年DevSecOps现状调查 显示，DevSecOps已经成为一种重要的业务实践和风险管理方法。但在过去，当安全团队和开发团队试图把安全性纳入他们的流程时，经常会有不同意见，这很大程度上是因为这种做法会把传统的应用安全测试(AST)工具引入软件开发生命周期(SDLC)。开发者经常抱怨AST工具太复杂、难以学习、性能低下以及产生大量“噪音”，这些都会给DevOps带来“摩擦”也就是，那些在软件开发过程中阻止开发人员轻松快速构建代码的各种东西。大多数受访者表示，他们对自己使用的AST工具普遍感到不满35433%工具不能根据漏洞的暴露程度、可利用性和严重程度来确定修复顺序因速度太慢而无法适应快速的发布周期/持续部署不准确/不可靠性价比低 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 一致性自动测试可确保对每一次的构建和部署一致地进行安全检查。手动测试可能会导致测试过程和覆盖范围不一致。可扩展性随着软件复杂性的增长，手工测试将变得不切实际。自动测试容易扩展，以便跨越不同组件进行大量测试。持续集成和持续部署(CI/CD)自动测试在CI/CD管道中至关重要，因为这些管道中会发生快速而频繁的代码变更。自动测试可以快速验证变更，防止错误代码进入生产环境。持续改进自动测试提供数据和洞察，可以帮助开发和安全团队随时间的推移改进安全实践，允许他们系统地分析和处理漏洞模式。记录自动测试可以记录整个测试过程，从而更容易跟踪和审计安全措施与合规要求。减少人为错误由于疲劳或疏忽，手动测试容易出错。自动测试遵循预定义的脚本，能够降低人为错误的风险。节省时间和成本在开发过程的后期或生产过程中识别和修复安全问题既耗时又昂贵。自动测试可将这些费用降至最低。改进开发者体验自动的应用安全测试允许开发者采取主动的、全面的、有助于学习和提高安全知识和技能的方式来解决安全问题，从而增强开发者体验，最终提高软件安全性并提升整个开发过程的效率。.自动化的好处DevOps的核心原则是在SDLC的每个阶段都自动执行手动流程。对任何组织而言，自动化都是通过持续集成或持续部署来加速开发和交付代码的基本前提。成功的DevSecOps需要集成和自动化的相互作用，以及标准和策略的指导。这样，既能让安全团队相信安全利益得到了保障，又能让DevOps团队保持工作状态，相信不会发生管道中断的情况。与手动测试不同，自动安全测试可以快速一致地执行，使开发人员能够在开发过程的早期阶段发现问题，不会影响到交付进度或工作效率。概述关于Synopsys 2023年DevSecOps现状调查 报告 关于DevOps和DevSecOps自动化的好处ASOC/ASPM在DevSecOps中的应用日益增长Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 ASOC/ASPM在 DevSecOps中的应用日益增长本报告对处于DevSecOps不同成熟阶段的组织进行了考察，包括他们的特征，以及他们采用的安全工具/实践。我们将根据调查结果为其提供指导性建议，帮助他们进一步提高软件安全的成熟度。有趣的是，从调查结果中可以看出，应用安全编排与关联(ASOC)现在一般称为“应用安全态势管理”(ASPM)的使用越来越普遍。根据Gartner的说法，对于使用多种开发和安全工具的任何组织而言，ASPM都应该是优先考虑的重要事项。从开发到部署，ASPM解决方案能够持续管理各种应用风险，包括安全问题的检测、关联和优先级排序。ASPM工具可以从多个来源获取数据，然后关联并分析它们，以实现更轻松的解释、分类和补救。ASPM还充当安全工具的管理和编排层，支持安全策略的控制与实施。ASPM拥有应用程序安全结果的综合视角，从而提供了整个应用程序或系统的安全与风险状态的完整视图。鉴于这1,000名受访者中的大多数人都对其正在使用的AST工具普遍感到不满 抱怨这些工具无法根据业务需求确定修复的优先级(35%)，也无法合并/关联数据来帮助解决问题(29%)因此，ASOC/ASPM的使用呈现快速增长趋势也在情理之中。28(%的受访者表示，他们的组织使用了ASOC工具概述 关于Synopsys 2023年DevSecOps现状调查 报告 关于DevOps和DevSecOps自动化的好处ASOC/ASPM在DevSecOps中的应用日益增长Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 Synopsys 2023年DevSecOps现状调查 的主要发现 大多数DevOps团队都在某种程度上采用了DevSecOps 共有91%的受访者表示，他们已将开展DevSecOps活动的某些安全措施纳入到了软件开发管道中。可以肯定地说，采用DevSecOps方法论现已成为软件开发的一部分。拥有更成熟的安全计划的组织有专人负责安全事务29%的受访者表示，他们拥有跨职能部门的DevSecOps团队 由开发、安全和运维部门成员构成的协作团队，这是安全计划取得成功的重要因素。专注于安全、与开发人员/软件工程师和/或 QA 和测试合作的人员可能处于拥有成熟安全计划的组织中安全测试的第一线。有效实施DevSecOps存在许多障碍超过33%的受访者指出，缺乏安全培训是主要障碍。紧随其后的是安全人员短缺(31%)、开发/运维工作缺乏透明性(31%)以及优先事项的不断变化(30%)。超过三分之一的受访者表示，将自动安全测试集成到构建/部署工作流中是安全计划取得成功的关键其他的主要成功因素还包括通过基础架构即代码来执行安全/合规策略，在开发和运维团队中培养安全支持者(security champions)，以及加强开发、运维和安全团队之间的沟通等。在SDLC后期处理重大漏洞，会极大地削弱收益超过80%的受访者表示，2022-2023年间，已部署软件中的重大漏洞/安全问题以某种形式影响了他们的工作进度。28%的受访者表示，他们的组织需要长达三周的时间来修补已部署应用程序中的重大安全风险/漏洞；另有20%的受访者表示，这可能需要一个月的时间考虑到现在的漏洞利用速度比以往任何时候都要快，这些数字尤其令人感到不安。最新研究表明 超过一半的漏洞在披露后的一周内即被利用。超过70%的受访者表示，通过自动扫描代码来查找漏洞或编码缺陷是一种有用的安全措施，34%的受访者认为自动AST“非常有用”对代码进行安全漏洞和其他缺陷的自动化扫描，在“工具/流程的有用性”类别中排名第一，紧随其后的是“在SDLC的需求挖掘阶段明确安全需求”以及“通过BSIMM和SAMM等模型对软件安全计划进行正式评估”。几乎所有的受访者都认为AST工具与其业务需求不符 在1,000名受访者中，大多数人都认为AST工具存在各种各样的问题是他们面临的主要挑战，包括这些工具无法根据业务需求对修复措施进行优先级排序(35%)，也无法合并/关联数据来帮助解决问题(29%)。52%的安全专业人员已经开始在DevSecOps活动中积极使用AI，但超过四分之三的人担心AI的使用问题 调查结果表明，安全团队正在积极使用AI、机器学习、自然语言处理和神经网络。然而，随着生成式AI工具（如AI驱动的编码建议）的使用日益增多，引发了围绕AI所生成代码的一系列知识产权、版权和许可问题，某些情况下甚至引起了诉讼。概述 Synopsys 2023年DevSecOps现状调查 的主要发现 2023年DevSecOps现状调查 经验教训受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 2023年DevSecOps现状调查DevSecOps部署在1,000名受访者中，超过三分之一的受访者认为其安全计划已经达到了成熟度的第三级，即整个组织的安全流程都是文档化的、可重复的和标准化的。另有25%的受访者认为其安全计划已经达到了第四级，即安全流程也被记录，同时还被监控和评估。共有91%的受访者表示，他们已将某种类型的DevSecOps活动应用到软件开发管道中，采用DevSecOps似乎已成为DevOps的既定组成部分。第一级：安全流程是非结构化的/无组织的。8.5%第二级：安全流程是文档化的，并且对于特定的团队是可重复的。24.1%第三级：第二级所述流程和程序在整个组织中是标准化的。积极主动的安全文化得到了领导层的认可和宣传。34.3%第四级：安全流程和控制是有记录的、被管理和监控的。24.5%第五级：安全流程是持续分析和改进的。8.5%图 A 您认为贵组织当前的软件安全项目/计划的成熟度处于哪一级？概述 Synopsys 2023年DevSecOps现状调查 的主要发现 2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 安全实践的实施代表更高级别的成熟度DevSecOps成熟度的另一个衡量标准如图B所示，表明受访者已经采用了广泛的安全实践，从持续监控和评估(30%)到自动测试(28%)。作为被358名受访者(35.1%)提及的最佳实践，“安全风险管理”涉及在开发过程中的每个阶段整合安全考虑因素，以识别、评估和减轻与软件应用相关的潜在安全风险。在SDLC的框架下，整体安全风险管理涵盖以下活动：需求分析。在SDLC中尽早识别安全需求和限制，并定义安全目标。设计。将安全原则纳入到系统架构和设计中，以确保应用程序的设计包含针对常见漏洞的适当防护措施。开发。实施安全编码实践，并遵守解决安全问题的编码标准。使用集成的安全测试工具，如静态应用安全测试(SAST)和软件组成分析(SCA)，在编写代码和引入开源或第三方代码时捕获漏洞。测试。执行各种类型的安全测试来识别应用程序中的漏洞，如SAST、动态应用安全测试(DAST)、SCA和渗透测试。部署。安全地配置应用程序的运行环境。实施访问控制、网络安全以及适当的身份验证和授权机制。监控与评估。持续监控生产环境中的应用程序，以发现安全事件和异常情况。实施日志记录和监控解决方案，以检测和响应潜在的违规行为。30%的受访者表示，这是其组织采用的主要安全实践。响应和补救。制定事件响应计划，以快速有效地处理安全事件。修复在测试阶段检测到的问题。透明度和安全性。建立明确的规范、标准和策略，并报告安全风险和风险容忍度。培训。为开发团队提供安全编码实践、常见漏洞和最佳安全实践方面的培训，以使开发人员能够主动解决安全问题。遗憾的是，34%的受访者认为，“开发人员/工程师的安全培训不足/无效”是导致其组织无法有效实施DevSecOps的主要障碍之一。持续改进。定期审查和改进SDLC中的安全流程和实践。图 B 贵组织采用哪些安全实践？（选择所有的适用项）持续监控和评估29.9%安全风险管理35.1%配置管理29.6%威胁数据和响应29.3%持续部署29.1%自动部署28.6%持续测试28.5%持续集成28.2%应用安全编排与关联28.4%自动测试27.9%基础架构即代码27.6%概述 Synopsys 2023年DevSecOps现状调查 的主要发现 2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 评估安全计划近70%的受访者表示，通过软件安全构建成熟度模型(BSIMM)等评估工具来评估其安全计划是有用的，超过三分之一的受访者认为此类评估“非常有用”。对安全态势进行外部评估，有助于您分析软件安全计划，并将其与其他组织和同行进行比较。BSIMM等工具能够提供数据驱动的客观分析，可以帮助您在此基础上做出资源、时间、预算和优先级决策。无论您是刚开始实施安全计划，还是想让现有计划适应不断变化的业务和安全需求，与其他软件安全计划进行比较都能为您的策略提供指导。如果您正在负责软件安全计划或刚刚开始制定软件安全计划，了解同行的AppSec趋势可以帮助您对自己的安全工作做出战略性的改进。如果您从技术角度来管理安全计划，可以借助BSIMM或软件保障成熟度模型(Software Assurance Maturity Model,SAMM)评估所获得的信息，为人员和流程制定战术性的改进方案，例如制定安全支持者(Security Champions)计划。事实上，根据 BSIMM报告 许多软件安全团队首先要做的事情之一就是找出那些在软件安全方面起到推动作用但与软件安全团队没有直接联系的人员。这些人统称为“软件安全支持者”，能够支持和推动软件安全工作。例如，工程团队中的安全支持者可以鼓励工程师对自己的软件交付件的安全负责。33%的受访者认为，制定安全支持者计划是软件安全计划取得成功的关键因素之一。33%的受访者认为，在开发和运维团队中培养安全支持者是软件安全计划取得成功的重要因素图 C 通过BSIMM和SAMM等模型对软件安全性进行正式评估的有效性.有用(净占比)69.4%不太有用18.1%非常有用33.6%根本没用8.4%有点用35.8%没用(净占比)26.5%概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 跨职能团队对DevSecOps取得成功的重要性29%的受访者指出，跨职能的DevSecOps团队 由开发、安全和运维人员组成的协作团队 是安全计划取得成功的关键（见附录Q16）。安全专业人员，与开发人员/软件工程师及/或质量保证和测试团队协作（无论是正式加入DevSecOps团队还是其他方式），都可能成为安全测试的第一道防线，助力组织打造更成熟的安全计划。在部署前后仅由安全团队进行单一的流水线式测试已成为过去式。在当今的软件开发环境中，安全测试是整个工程团队的责任，包括质量保证、开发和运维团队，并且大多数团队都会在软件开发生命周期的不同阶段将安全性构建到他们的软件中。33%的受访者表示，他们的组织也会聘请外部顾问进行安全测试。这里的最佳实践是定期进行安全审计。委托第三方审计人员或渗透测试人员开展此类测试，有助于客观了解整个组织的安全态势，这是非常宝贵的。内部安全团队46.0%开发人员/软件工程师45.1%质量保证/测试团队37.6%跨职能领域的DevSecOps团队35.5%外部顾问32.9%图 D 贵组织由谁负责安全测试？（选择所有的适用项）概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 手动和自动测试相结合，以取得最佳结果调查结果显示，大多数受访者认为，将手动和自动安全测试相结合，可以提供一个更全面的方法来评估关键业务应用的安全性。自动测试虽然对于保持一致性、可扩展性以及节省时间和成本很重要，但人工参与可以增加一层洞察力和适应性，这对识别复杂和微妙的安全问题是必不可少的。例如，作为“黑盒”测试（即，在不了解应用内部结构的情况下开展测试），DAST就需要开发者和安全专家对测试结果进行验证和分类。同样，44%的受访者将外部渗透测试视为其安全测试的关键组成部分，这一事实证明了渗透测试对内部测试起到重要的补充作用。外部渗透测试通常是为了符合行业规范和标准，能够带来额外的好处，例如提供有关贵组织安全态势的客观评估，以及对外部攻击者可能利用的潜在威胁和漏洞的准确模拟。手动和自动评估相结合52.6%外部渗透测试44.2%自动评估和测试43.7%手动评估和/或测试（不包括渗透测试）43.0%不知道/不确定0.2%图 E 您如何评估或测试关键业务应用的安全性？（选择所有的适用项）概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 关键绩效指标本次调查要求受访者选择评估其DevSecOps计划成功与否的前三个关键绩效指标(KPI)。首当其冲的是“公开漏洞的总体减少”，被295名受访者提到(29%)，紧随其后的是“SDLC后期发现的安全相关问题的减少”，被288名受访者提到(28%)，排在第三位的“问题解决时间”，有281名受访者提到了这一点(28%)。正如调查结果所示，时间、生产率和成本是前面几个KPI的三个共同点，也是组织在实现安全SDLC时面临的挑战。或者，换句话说，DevSecOps参与者面临的三个主要问题是：我们如何减少遇到的漏洞/问题的数量？我们如何在SDLC中更早地发现漏洞？我们如何缩短解决问题所需的时间，以减少构建延迟并提高开发效率？公开安全漏洞的数量29.0%图 F 您用来评估DevSecOps活动成功与否的主要KPI是什么？（最多可选3项）开发流程后期发现的安全相关问题的减少28.3%问题解决时间27.6%解决安全相关问题所花费时间的减少27.4%合规KPI（通过审核的百分比等）23.8%因安全问题造成的构建延迟的减少27.0%客户提交的服务单数量22.8%因安全问题造成的构建失败的减少24.4%缺陷逃逸率22.3%我们没有用来评估DevSecOps活动成功与否的主要KPI1.1%概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 您正在使用哪些AST工具？它们有用吗？调查结果显示，成功的DevSecOps策略使用完整的安全工具集来处理整个软件开发生命周期中的代码质量和安全问题，包括动态应用安全测试(DAST)、交互式应用安全测试(IAST)、静态应用安全测试(SAST)和软件组成分析(SCA)工具。调查结果显示，SAST是最欢迎的AST工具，72%的受访者认为它很有用。紧随其后的是IAST(69%)、SCA(68%)和DAST(67%)。SAST和DAST采用不同的测试方法，适用于不同的 SDLC阶段。SAST对于在SDLC早期（即应用部署之前）发现和消除专有代码中的漏洞至关重要。而DAST则适用于在部署之后发现运行过程中出现的问题，如身份验证和网络配置缺陷。IAST则结合了SAST和DAST的某些功能，适用于检测无法被其他类型的测试识别到的重大安全缺陷。SCA适用于识别和管理开源安全和许可风险，这是现代软件开发中的一个关键需求，尤其是在任何给定应用中可能都有超过四分之三的代码是开源代码的情况下。由于许多组织都在使用从独立软件供应商处购买的打包软件，以及物联网(IoT)设备和嵌入式固件，因此，他们可能还需要在其AST工具箱中开展某种形式的SCA二进制分析。针对安全漏洞和其他缺陷的自动代码扫描(SAST)开源/第三方依赖性分析(SCA)动态应用安全测试(DAST)交互式应用安全测试(IAST)图G 贵组织使用的下列应用安全工具有用吗（如果有的话）？有用(净占比)71.5g.6%有用(净占比)有用(净占比)67.1%有用(净占比)68.5%不适用3.4%不适用3.6%没用(净占比)25.0%没用(净占比)29.2%不适用4.3%没用(净占比)28.1%不适用3.8%没用(净占比)27.7%概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 何时进行测试？何时打补丁？这对我们的工作进度有何影响？应用安全测试的频率取决于多个因素，包括应用程序的业务关键性、行业和威胁情况等。正如我们的调查结果所示，对于非常重要的应用程序，应定期进行评估（图H）。参与本次调查的大多数受访机构都表示，他们平均每周对业务关键型应用进行两到三天的漏洞扫描。乍看之下，调查结果显示有28%的组织需要花费长达三周的时间来修补重大漏洞（图I），这可能令人担忧，但这要结合其他因素来考虑。有种误解，以为传说中的开发者能够修复所有漏洞，但没有人会无端地要求开发者去深入研究那些不重要的漏洞。值得注意的是，关于实施DevSecOps的主要障碍，31%的受访者认为是“开发/运维工作缺乏透明性”，29%的受访者认为是“开发、运维和安全之间的组织孤岛”（图K）。这两项都表明了安全和开发团队之间的风险沟通问题，以及安全策略快速告警和自动化的需求。在任何情况下，漏洞修补的优先级排序都要与待修补资产的业务重要性、关键性和资产被利用的风险相一致，尤其是最后一点。研究表明，超过一半的漏洞在披露后一周内被利用。每天7.1%每月一次7.2%每周4-6天17.2%每两个月一次7.5%每周2-3天20.4%每3-5个月一次6.4%每周一次17.0%每6-11个月一次4.4%每年不到一次，请提供具体数据0%每2-3周一次11.1%每年一次1.7%永不0.2%图 H 贵组织平均多久对关键业务应用的安全性开展一次评估或测试？不到一周，请提供具体天数4.6%2-4个月5.5%1-2周26.4%4-6个月4.7%不确定2.2%2-3周28.3%6个月以上，请提供具体月数0%3周-1个月19.9%1-2个月8.4%图 I 贵组织平均需要多长时间才能修补/处理已部署的或正在使用的应用程序中的重大安全风险/漏洞？概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 鉴于此，组织需要根据通用漏洞评分系统(CVSS)的分数、通用弱点枚举(CWE)信息以及漏洞可利用性等因素对漏洞修复进行优先级排序，这一原则不仅适用于漏洞披露的“第零天”，还适用于应用程序的整个生命周期。CVSS分数是评估危险严重性的一个工业标准。国家漏洞数据库(NVD)中的每个漏洞都有一个基本分数，可以帮助计算漏洞的严重性，并为漏洞修复的优先级排序提供指导。CVSS分数是在结合考虑漏洞可利用性和影响的基础上给出的一个综合性基础分数。时间分数考虑由于漏洞外部事件而随时间变化的指标。修复水平（是否有官方的修复方案？）和报告置信度（报告是否经过确认？）可以帮助将CVSS的总体分数调整到适当的风险水平。CWE信息列出了具有安全影响的软件或硬件缺陷。CWE告诉开发人员哪些缺陷可以被利用（如果有可用的漏洞）。这些信息可以帮助安全和开发团队了解开发人员安全培训的重点，在SDLC和生产中实施哪些额外的安全控制，以及是否需要添加风险严重性评估机制。例如，开发团队可能会根据应用程序所接触的数据情况、部署位置以及其他环境和安全因素，对SQL注入、缓冲区溢出或拒绝服务分配不同的优先级。漏洞的存在会提高风险分数，有助于工作团队优先安排修复风险最高的漏洞。在评估了总体风险之后，还需要了解是否有现成的补丁、缓解措施或补偿控制，这是您需要考虑的另外一些关键信息。例如，如果您有两个中等风险但未被利用的漏洞，那么，先修复哪一个漏洞最终可能取决于它们是否存在现成的补丁或解决方案。在已部署的应用程序中，重大的安全或漏洞问题往往会产生连锁效应，不仅会影响组织（或其客户）的业务运营，还会对整个SDLC造成影响，如图J所示。如果问题在开发早期就被发现，那么，这些问题可能只是小问题，但如果是在部署后的应用程序中被发现，则这些问题可能会演变成“全员参与”的重大问题。集成到IDE和CI管道中的自动安全测试工具可以在代码提交后立即（甚至在提交之前）识别出代码中的漏洞和缺陷，使开发人员能够在问题传播到下游之前解决它们。没影响(净占比)18.9%根本没有影响1.8%没什么影响17.2%些许的影响42.7%很大的影响38.4%有影响(净占比)81.1%图 J 在过去的一年（2022-2023年），解决一个重大安全/漏洞问题对贵组织的软件交付计划产生了多大的影响（如果有的话）？概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 有效DevSecOps面临的挑战 网络安全人才短缺是DevSecOps面临的一个重大挑战，如图K所示，许多组织的关键网络安全岗位都无法招聘到合格人员。一些研究显示，全球有350万个网络安全职位空缺。随着市场对训练有素的网络安全专业人士的需求日益增长，供应的稀缺将导致熟练从业人员的工资上涨，使许多政府机构和中小企业无法负担。但是，正如图K所显示的那样，“开发人员/工程师的安全培训不足”仍是排在首位的最大挑战。经证实，建立安全支持者计划是解决这些问题行之有效的策略，即从组织内部的各个部门挑选出对安全有着高于平均水平的兴趣或技能的人员（这些人员已经开始利用自己的专业知识为开发、质量保证和运维团队提供支持）。安全支持者可以为新项目出谋划策和提供反馈，也可以在新兴或快速变化的技术领域，帮助安全或工程团队将软件安全技能与他们可能欠缺的领域知识相结合。敏捷教练(Agile coaches)、敏捷项目管理人员(scrum masters)和DevOps工程师都是非常适合的安全支持者人选，特别是在发现和消除流程中的摩擦方面。开发人员/工程师的安全培训不足/无效33.9%应用安全人员/技能短缺31.4%开发/运维工作缺乏透明性31.3%不断变化的需求和优先级30.4%开发、运维和安全团队之间的组织孤岛29.1%安全计划和工具的预算/资金不足29.4%安全团队缺乏编码技能29.0%图 K 贵组织实施DevSecOps的挑战/障碍是什么？（选择所有的适用项）概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 工具无法根据安全漏洞的暴露程度、可利用性和严重程度对修复工作进行优先级排序34.7%无法整合/关联来自不同工具的结果29.0%工具因速度太慢而无法适应快速发布周期/持续部署34.1%没有重大问题3.1%性价比低33.5%不准确/不可靠33.1%误报率高32.2%图 L 贵组织使用的应用安全测试工具的主要问题是什么？（最多可选3项）如本报告前面所述，SAST、DAST、IAST和SCA等AST工具都已被受访者广泛使用，但将这些工具与业务需求有效挂钩仍然是一个挑战（图L）。许多受访者都抱怨说，他们使用的安全测试工具无法根据安全漏洞的暴露程度、可利用性和严重程度等因素对修复工作进行优先级排序；因为速度太慢而无法适应快速发布周期/持续部署；不准确且不可靠。由于无法整合或关联不同安全测试的结果，安全和DevOps团队花费了太多时间来确定需要率先修复的漏洞 这可能是近四分之三的受访者指出他们的组织需要两周到一个月的时间来修补已知重大漏洞的原因之一（图I）。不能迅速修补漏洞会影响到根本利益。超过80%的受访者表示，2022-2023年间，处理已部署软件中的重大漏洞或相关安全问题影响了他们的工作进度（图J）。AST工具碎片化和修复速度缓慢正是应用安全编排与关联(ASOC)和应用安全态势管理(ASPM)旨在解决的问题。Gartner指出ASOC/ASPM可以作为管理层来编排多个AST工具，自动对发现的问题进行关联和上下文分析，以加快和优化修复过程。ASOC/ASPM可以提取并整合多个来源的结果，就整个应用环境提供统一风险视图，从而允许您基于业务背景（如严重程度）对修补工作进行数据驱动的优先级排序，以促进对最高风险漏洞的更快修补。ASOC/ASPM还能提供生产环境的可视化，从而解决已部署应用中漏洞修复时间过长的问题，帮助有效避免漏洞利用（大多数的漏洞利用都发生在漏洞披露后的几天内）。.概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 AI的承诺和陷阱调查结果显示，AI的使用已经深入到许多组织的软件安全计划中，超过50%的受访者表示，他们正在DevSecOps实践中积极使用AI。54%的受访者希望通过AI来提高其安全措施的效率和准确性。48%的受访者希望通过AI来帮助他们减少对安全测试的人工审查。考虑到AI可能为DevSecOps提供的主要优势，您会觉得这是很有道理的。AppSec团队经常陷入两难的境地，一方面需要进行完整和一致的安全测试，另一方面需要跟上使用DevOps方法论和CI管道的开发团队的节奏。当截止日期紧迫时，开发人员很容易跳过关键的安全风险评估过程。本次调查的受访者表示，“提高安全措施的准确性和效率”(54%)以及“降低安全数据的人工审查和分析需求”(48%)是他们将AI引入安全SDLC的两个主要目的。然而，请注意，受访者还表示，他们预计AI会“增加软件安全的复杂性和技术要求”，也许有一天，唯一能对AI生成的代码进行充分审查的实体只有AI自己。是，我们正在积极使用AI工具52.5%否，我们对AI工具的使用持开放态度，但尚未实施36.5%否，我们还没有实施AI工具，也没有这样的计划11.0%否(净占比)47.5%提高安全措施的效率和准确性53.7%降低安全数据的人工审查和分析需求48.4%增加软件安全的复杂性和技术需求52.0%没有重大影响0.9%图 N 您预计使用AI工具将对贵组织的DevSecOps流程和工作流有何影响？（选择所有的适用项）图 M 贵组织目前是否正在使用AI工具来加强软件安全措施？概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 在DevSecOps中实施AI还面临着额外的挑战，例如确保数据质量以及解决安全和隐私问题。随着AI工具越来越多地集成到DevOps管道中，它们几乎肯定会成为安全威胁的主要目标。处理用于训练AI的敏感数据也会引发隐私问题。AI的使用会带来一些潜在风险，例如AI辅助编码可能会围绕着AI创建的代码产生所有权、版权和许可问题。2022年底，GitHub、Microsoft和OpenAI遭到集体诉讼，指控GitHub Copilot 一款为开发者在编码时提供自动补全式建议的云端AI工具 侵犯了版权法和软件许可要求，并且训练Copilot服务所使用的开源代码也侵犯了开发者的权利。该诉讼还声称，Copilot建议的代码使用了有许可的材料，但没有注明出处、版权声明或遵守原始许可条款。威胁检测与防御45.1%漏洞扫描与测试44.2%身份和访问管理42.0%合规和法规管理41.6%图 O 您认为AI工具可以有效加强哪些特定领域的软件安全？概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 基于大型语言模型的生成式AI聊天机器人，如ChatGPT和Google Bard，也存在随机产生“幻觉”的问题，即它们的回复虽然看起来可信和自信，但实际上是错误的 用通俗的说法，就是“说谎”。AI幻觉显然会威胁到软件供应链安全。研究人员发现，ChatGPT可能会为您推荐虚幻的、根本不存在的代码库或软件包。恶意行为者可以创建具有相同名称的软件包，在其中填充恶意代码，然后将其分发给听从AI建议的毫无戒心的开发人员。这可能会对网络犯罪分子产生颠覆性的影响，让他们能够避开更传统和容易被发现的技术，如拼写错误或伪装。事实上，研究人员发现，根据 ChatGPT 的幻觉建议创建的恶意软件包已经存在于 PyPI 和 npm 等流行的软件包管理程序中。这种威胁不是理论上的；而是真实存在的，正在发生的。无论供应链攻击是源自AI幻觉还是恶意行为者，要想对其进行防御，就必须了解代码来源、验证开发人员和维护人员的身份、并且只从可靠的供应商或来源下载软件包，这些都是至关重要的。.图 P 您对基于AI的安全解决方案中潜在的偏差或错误有多担心（如果有担心的话）？不担心(净占比)7.2%一点都不担心1.2%中立/没感觉16.2%不太担心6.0%有些担心51.3%非常担心25.4%担心(净占比)76.6%概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查DevSecOps部署安全实践的实施代表更高级别的成熟度评估安全计划跨职能团队对DevSecOps取得成功的重要性手动和自动测试相结合，以取得最佳结果关键绩效指标您正在使用哪些AST工具？它们有用吗？何时进行测试？何时打补丁？这对我们的工作进度有何影响？有效DevSecOps面临的挑战 AI的承诺和陷阱经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 经验教训 虽然大多数组织在很大程度上采用了某些DevSecOps实践，但在有效实施方面仍然面临挑战。本次调查显示，问题主要集中在两个领域。集成和调整多个应用安全测试(AST)工具的结果，使其与业务优先级相一致 减少处理重大漏洞所需的时间 28%的受访者表示，他们的组织需要长达三周的时间来修补已部署应用中的重大安全风险/漏洞。另有20%的受访者表示，修补漏洞可能需要长达一个月的时间，但大多数漏洞都会在披露后的几天内被利用。受访者表示，他们最不能忍受的是AST工具无法根据业务需求对漏洞修补进行优先级排序。正如本报告在引言部分所述，编写调查问卷的挑战之一是术语“DevSecOps”涵盖多个不同学科，其中许多学科都有自己独特的角色。就“业务优先级”而言，不同的角色可能对其有不同的理解。例如，业务主管最希望了解AppSec工具的效力，他们希望全面了解其流程及其能给整个团队带来怎样的绩效提升。开发和运维团队希望AppSec能够帮助他们集中查看所有问题，以确定最有价值的安全活动。安全专业人士则希望借此来消除噪音，以便优先安排迅速处理重大问题。对于那些在满足业务需求的同时，努力使各种孤立的安全工具形成合力的组织来说，应用安全态势管理(ASPM)可以提供必要的增强效果。ASPM可以自动协调孤立的工具、提供上下文并确定优先级，以使组织能够专注于对业务最重要的应用安全问题。ASPM可与开发和安全测试工具以及运维监控工具相集成，以提供整合好的单一视图来展示组织中各方面的安全相关信息。通过关联和分组来自分析特定应用程序和漏洞的不同工具的数据，ASPM 可以提供应用程序整体安全状况的全面视图。DevSecOps团队可以生成与其角色和职责相关的数据，而ASPM可以将这些数据以对业务线经理及其他需要更广阔视角的人有意义的方式展现出来。ASPM允许您针对特定应用和漏洞可能带来的特定风险制定并执行安全策略。当与开发或运维基础设施集成时，ASPM还允许您尽早地发现并解决安全问题。2021年的Gartner报告指出。大约有5%的受访组织采用了ASPM或其前身 应用安全编排与关联(ASOC)工具。Gartner预计其采用速度将会迅速提升，这一预测在2023年的调查结果中得到了印证 28%的受访者已经开始使用ASOC/ASPM。Gartner还指出，早期采用者往往是拥有成熟的DevSecOps计划和使用多种安全工具的团队，这些都是我们DevSecOps调查受访者的特征。Software Risk Manager：兑现ASPM的承诺 简化AppSec管理 全面了解AppSec风险 快速确定重大问题的优先级 规范AppSec工作流 测试与业务需求同步希望了解ASPM的实际好处？立即联系Synopsys，安排观看Software Risk Manager的演示。概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查经验教训 受访者特征 附录本报告探讨的调查有力地表明，安全工具提供的碎片化结果、不堪重负的工作团队和缓慢的漏洞修复速度是阻碍DevSecOps取得成功的根本挑战。对于那些拥有多元化DevSecOps团队并使用多种应用安全测试工具的组织来说，ASPM可能是有效应对这些挑战的关键。2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 受访者的行业分布18%6%3%6%3%5%3%4%2%7%4%2%7%4%0.5%技术银行/金融保险教育政府应用/软件开发医疗保健非盈利机构/协会网络安全电信/ISP交通运输制造零售公用事业金融科技媒体其他概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 应用安全架构师 应用安全经理 CISO 开发人员 DevOps工程师 应用安全总监 网络安全总监 IT风险管理总监 IT共享服务总监 产品安全总监 安全保障总监 产品安全执行总监 事故和安全经理 信息保障总监 软件安全工程经理 运维工程师 AppSec产品安全人员 程序员 QA/测试人员/测试经理 发布工程师/经理 安全管理员/安全分析师 安全架构师 安全总监 安全工程经理 产品安全高级总监 产品安全和技术高级副总裁 技术主管 产品和应用安全副总裁 安全架构副总裁 安全合规副总裁 受访者的工作角色 2023 年 DevSecOps 现状调查 工程/科学软件35%嵌入式软件31%应用软件46%系统软件44%人工智能软件37%该组织创建/管理的软件/应用Web应用42%产品软件38%受访者的国家/数量自动部署29%持续测试28%应用安全编排与关联28%持续集成28%自动测试28%基础架构即代码28%安全风险管理35%持续监控和评估30%持续部署29%该组织采用的安全实践配置管理30%威胁数据和响应30%英国:127日本:126新加坡:125中国:135德国:126芬兰:127法国:125美国:128组织规模（员工/临时工人数）1%超过100,0004P,001100,00019%1,0012,00012%2,0015,0008,00115,0001505007,00150,00019P11,00013%5,00110,0002%不到 100概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查经验教训 受访者特征 附录 2023 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录全球英国美国法国芬兰德国中国新加坡日本技术18.45.244.38.40.60%9.52B.96.00%9.52%网络安全14.52.32.28 .00.96.32%7.41.40.08%应用/软件开发12.66%4.72%7.03 .00.17%1.59&.67%5.60 .63%制造7.26%3.94%3.13%4.00%5.51%9.52.33%8.80%9.52%金融科技6.87%6.30%7.03%4.80.24.11%2.22%8.80%4.76%教育5.59%6.30%5.47%7.20%6.30%3.97%0.00%9.60%6.35%银行/金融5.50%7.09%3.91%5.60%4.72.11%0.74%4.00%7.14%电信/ISP5.10%5.51%3.13%6.40%8.66%7.14%2.22%3.20%4.76%医疗保健4.12%6.30%7.03%4.00%3.94%3.17%1.48%4.00%3.17%零售4.02%7.09%5.47%4.00%3.94%5.56%0.00%3.20%3.17%媒体3.63%3.15%2.34%0.80%3.94%5.56%0.74%4.80%7.94%政府3.14%5.51%3.13%2.40%3.15%4.76%0.74%4.00%1.59%保险2.85%5.51%3.13%1.60%3.15%4.76%0.00%3.20%1.59%交通运输2.55%3.94%0.00%3.20%1.57%6.35%0.74%3.20%1.59%非盈利机构/协会1.67%3.94%0.78%0.80%1.57%3.17%0.00%2.40%0.79%公用事业1.57%2.36%0.78%0.00%0.79%2.38%0.74%4.00%1.59%其他（请注明）0.49%0.79%0.00%0.80%0.79%0.00%0.00%0.80%0.79%Q1.贵组织主要属于哪个行业？2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录全球英国美国法国芬兰德国中国新加坡日本不到100，请注明1.57%1.57%0.00%2.40%0.00%0.00%3.70%1.60%3.17050015.11.02.41 .80.60.05.81%6.40.84P11,00019.04.96#.44#.20.96!.43%8.89.000.16%1,0012,00018.65.75.19.20.69.877.78.00.32%2,0015,00012.37.83.94.00.11%7.14%5.93%8.80%9.52%5,00110,00013.05.11.72%7.20.75%6.35 .00.60%7.14,00115,0008.44.24%9.38%3.20%8.66%5.56%2.96.80.11,00150,0006.67%3.94%4.69%4.00%6.30.46%0.74.40%6.35P,001100,0004.42%1.57%5.47%4.00%3.15%7.14%5.19%6.40%2.38%超过100,000，请注明0.69%0.00%0.78%4.00%0.79%0.00%0.00%0.00%0.00%全球英国美国法国芬兰德国中国新加坡日本应用软件46.03.94a.72H.007.014.13p.376.807.30%系统软件44.06B.52T.69.000.714.92g.419.20A.27%Web应用41.71.56E.31.80D.097.30h.899.20(.57%产品软件38.27).13G.66(.809.370.16e.190.403.33%人工智能软件36.600.71A.412.002.283.33W.045.20).37%工程/科学软件35.23%.209.84.201.508.89W.040.400.16%嵌入式软件30.91).134.38 .80).920.16B.22).600.16%其他，请注明0.20%0.79%0.00%0.00%0.00%0.00%0.00%0.00%0.79%Q2.贵组织有多大？包括员工和临时工？Q3.贵组织创建或管理哪些类型的软件/应用？（选择所有的适用项）2023 年 DevSecOps 现状调查 2023 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录全球英国美国法国芬兰德国中国新加坡日本安全风险管理35.135.43.633.602.28.84V.302.80(.57%持续监控与评估29.93%.204.38).602.28.22D.44%.60$.60%配置管理29.64.691.25$.80#.62#.02I.630.403.33%威胁数据和响应29.34.839.841.20(.35.84A.48.20#.02%持续部署29.05.565.16!.60).13(.57A.48 .80&.98%自动部署28.56.90(.912.80(.35#.81H.15$.80!.43%持续测试28.46.052.03$.800.71#.02H.15.60.78%应用安全编排与关联28.36).139.84 .00.69.25Q.85(.00.25%持续集成28.16#.620.47$.80%.98.84G.41(.00#.81%自动测试27.87.693.59(.00$.41.08H.15 .002.54%基础架构即代码27.58#.62A.41.40 .47.22H.15%.60.08%其他，请注明0.10%0.00%0.00%0.00%0.79%0.00%0.00%0.00%0.00%Q4.贵组织采用哪些安全实践？（选择所有的适用项）2023 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录Q5.贵组织使用的以下应用安全工具、实践或技术是否有用？（如果有的话）在SDLC的需求挖掘阶段明确安全需求全球英国美国法国芬兰德国中国新加坡日本有用（净占比）71.25f.93x.91s.60.10b.70.04U.20R.38%非常有用32.09%.20F.882.005.43$.60T.07.60.05%些许有用39.16A.732.03A.60E.678.10B.967.603.33%不太有用16.78.75.50.80.39 .63%2.96&.40&.98%根本没用7.56.02%3.13%8.00%3.15.90%0.00.40%9.52%没用（净占比）24.34&.77.63$.80.542.54%2.96.806.51%N/A4.42%6.30%5.47%1.60%2.36%4.76%0.00%4.00.11%通过BSIMM和SAMM等模型对软件安全性进行正式评估全球英国美国法国芬兰德国中国新加坡日本有用（净占比）69.38U.91y.69q.20p.87W.94.81g.20U.56%非常有用33.56$.41G.66%.600.71&.98W.04(.80%.40%些许有用35.821.502.03E.60.160.957.788.400.16%不太有用18.06%.20.94.60%.20#.02%3.70.80#.02%根本没用8.44.81%7.03%8.80%2.36.67%0.74.40.32%没用（净占比）26.507.01.97&.40.569.68%4.44.203.33%N/A4.12%7.09%2.34%2.40%1.57%2.38%0.74%5.60.11%通过自动扫描代码来查找安全漏洞和其他缺陷，例如静态应用安全测试(SAST)全球英国美国法国芬兰德国中国新加坡日本有用（净占比）71.54b.20v.56v.00 x.74e.87.07T.40b.70%非常有用34.35).13F.093.608.58.78T.07!.60.22%些许有用37.193.070.47B.40.168.10.002.80.48%不太有用17.37.05.94.80.11.46%5.93).60.05%根本没用7.65.39%8.59%5.60%2.36.90%0.00.80%7.14%没用（净占比）25.025.43.53.40 .47).37%5.93B.40&.19%N/A3.43%2.36%3.91%1.60%0.79%4.76%0.00%3.20.11 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录开源/第三方依赖性分析(SCA)全球英国美国法国芬兰德国中国新加坡日本有用（净占比）67.62P.39u.00s.60t.80a.11.81S.60U.56%非常有用30.32.053.592.000.71#.81.74 .00.46%些许有用37.29(.35A.41A.60D.097.304.073.608.10%不太有用19.73%.98.41.40.05.22%5.19.20!.43%根本没用8.34.17%5.47%6.40%1.57.90%0.00.80.08%没用（净占比）28.07.16!.88$.80#.624.13%5.19.006.51%N/A4.32%9.45%3.13%1.60%1.57%4.76%0.00%6.40%7.94%内部或第三方渗透测试全球英国美国法国芬兰德国中国新加坡日本有用（净占比）67.91S.54q.88r.00.31V.35.30T.40V.35%非常有用30.23.117.505.20C.31#.02H.89.60.67%些许有用37.685.434.386.807.013.33G.416.809.68%不太有用19.33).13.53.80.54 .63%3.70$.80$.60%根本没用8.64.24%7.03%7.20%3.15.46%0.00.20%9.52%没用（净占比）27.979.37&.56$.00.698.10%3.70.004.13%N/A4.12%7.09%1.56%4.00%0.00%5.56%0.00%5.60%9.52%模糊测试全球英国美国法国芬兰德国中国新加坡日本有用（净占比）62.32P.39u.00X.40h.50S.97.15U.20F.83%非常有用25.02.695.94.60#.62.78B.96.40.70%些许有用37.290.719.06.80D.88&.19E.196.804.13%不太有用19.73.90.50.40.90#.02.37%.60&.98%根本没用9.52.96%4.69%4.80%9.45.25%0.74.00.90%没用（净占比）29.243.86.19.20(.35A.27.117.608.89%N/A8.44.75%7.81.40%3.15%4.76%0.74%7.20.29 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录Q6.贵组织使用的以下应用安全工具、实践或技术是否有用（如果有的话）？动态应用安全测试(DAST)全球英国美国法国芬兰德国中国新加坡日本有用（净占比）67.12H.82t.22v.80t.80b.70.11I.60W.14%非常有用29.44.548.286.80).92.78F.67 .00.25%些许有用37.682.285.94.00D.884.92D.44).608.89%不太有用19.632.28.41.80.32 .63%7.41(.80.25%根本没用9.62.60%6.25%5.60%6.30.70%0.74.40.08%没用（净占比）29.24D.88.66.40#.623.33%8.15G.203.33%N/A3.63%6.30%3.13%0.80%1.57%3.97%0.74%3.20%9.52%交互式应用安全测试(IAST)全球英国美国法国芬兰德国中国新加坡日本有用（净占比）68.50.63r.66u.20w.17S.97.30S.60V.35%非常有用31.11.055.164.407.01.25T.07$.00.22%些许有用37.398.587.50.80.165.71B.22).604.13%不太有用18.06.11 .31.20.11!.43%3.70$.80#.81%根本没用9.62.17%6.25%9.60%3.15.25%0.00.40.90%没用（净占比）27.672.28&.56$.80!.269.68%3.709.205.71%N/A3.83%7.09%0.78%0.00%1.57%6.35%0.00%7.20%7.94%Web应用防火墙(WAF)全球英国美国法国芬兰德国中国新加坡日本有用（净占比）68.99b.99x.13f.40 x.74U.56.78Q.20X.73%非常有用33.173.869.842.006.22!.43R.59!.60&.19%些许有用35.82).138.284.40B.524.13E.19).602.54%不太有用18.25.69.84 .00.75#.02%2.222.80.05%根本没用8.73.02%6.25.40%3.94.29%0.00.80.90%没用（净占比）26.990.71!.090.40.697.30%2.22E.600.95%N/A4.02%6.30%0.78%3.20%1.57%7.14%0.00%3.20.32 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录容器安全测试全球英国美国法国芬兰德国中国新加坡日本有用（净占比）66.93H.82y.69s.60t.80W.94.11W.60P.00%非常有用29.93 .478.28).609.37$.60I.63!.60.29%些许有用37.00(.35A.41D.005.433.33A.486.005.71%不太有用18.65).13.28.40.32.84%6.67$.00%.40%根本没用9.42.96%3.91%8.80%6.30.25%1.48.80%9.52%没用（净占比）28.07D.09.19#.20#.628.10%8.156.804.92%N/A5.00%7.09%3.13%3.20%1.57%3.97%0.74%5.60.08%使用安全漏洞/风险管理工具，如XDR和SRM等全球英国美国法国芬兰德国中国新加坡日本有用（净占比）69.77X.27.81t.40t.02W.14.78S.60W.94%非常有用32.58$.41G.665.20A.73.22P.37 .00.46%些许有用37.193.865.169.202.284.92G.413.60.48%不太有用17.86!.26%8.59.20.05.05%1.48.20%.40%根本没用9.62.54%7.03%5.60%1.57 .63%0.74.00%9.52%没用（净占比）27.487.80.63$.80#.629.68%2.22C.204.92%N/A2.75%3.94%1.56%0.80%2.36%3.17%0.00%3.20%7.14%对修复工作进行优先级排序全球英国美国法国芬兰德国中国新加坡日本有用（净占比）67.12S.54.81g.20q.65S.97.30V.80R.38%非常有用29.83!.26.63$.806.22!.43T.07!.60.67%些许有用37.292.28B.19B.405.432.54B.225.205.71%不太有用18.45(.35%7.81.20.05.84%3.70$.00#.81%根本没用9.91%9.45%7.03.40%5.51.46%0.00.00.25%没用（净占比）28.367.80.84).60.567.30%3.706.00B.06%N/A4.51%8.66%2.34%3.20%0.79%8.73%0.00%7.20%5.56%软件供应链管理/监控全球英国美国法国芬兰德国中国新加坡日本有用（净占比）69.28Y.84r.66q.20w.95X.73.56V.00.32%非常有用32.29$.416.723.602.28%.40W.04.20.78%些许有用37.005.435.947.60E.673.338.526.802.54%不太有用18.84.83.19.60.11#.81%3.701.20.46%根本没用8.34.81%7.81.40%1.57.32%0.74.20.49%没用（净占比）27.184.65%.00(.00.694.13%4.44B.400.95%N/A3.53%5.51%2.34%0.80%2.36%7.14%0.00%1.60%8.73 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录全球英国美国法国芬兰德国中国新加坡日本第一级：非结构化/无组织8.54.02%3.91%4.80.02.70%2.22.40.70%第二级：安全流程是文档化的，并且对于特定的团队是可重复的24.14(.35#.44.00).13&.19%9.634.40&.98%第三级：第二级所述流程和程序在整个组织中是标准化的。积极主动的安全文化得到了领导层的认可和宣传34.253.078.28.005.436.51!.483.606.51%第四级：安全流程和控件是有记录的、被管理和监控的24.53.05 .31(.00.96!.43H.89 .00.05%第五级：安全流程是持续分析和改进的8.54%5.51.06.20%9.45%3.17.78%1.60%4.76%其他，请注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%Q7.您认为贵组织当前的软件安全项目/计划的成熟度属于哪一级Q8.贵组织平均多久对关键业务应用的安全性进行一次评估或测试？全球英国美国法国芬兰德国中国新加坡日本每天7.07%3.94%8.59.20%4.72%3.17%3.70%2.40.11%每周4-6天17.17.75.41.20.81.117.04.20.46%每周2-3天20.41.90!.09(.00.96 .63.41.40.46%每周一次16.98.54.63.40.11.67.78.20.46%每2-3周一次11.09.02.50%5.60.11.70%5.19.40%9.52%每月一次7.16%6.30%4.69%5.60.60%7.94%5.19%5.60%9.52%每两个月一次7.46%7.87%7.81%3.20.02%3.97%2.22.40%5.56%每3-5个月一次6.38%7.87.16%5.60%3.15%7.14%1.48%7.20%8.73%每6-11个月一次4.42%7.87%2.34%1.60%4.72.32%0.00%6.40%2.38%每年一次1.67%2.36%0.78%1.60%0.79%6.35%0.00%0.80%0.79%每年不到一次，请提供具体数据0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%永不0.20%1.57%0.00%0.00%0.00%0.00%0.00%0.00%0.00 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录全球英国美国法国芬兰德国中国新加坡日本手动和自动评估相结合52.61P.40e.63D.80P.39Q.59h.89G.20.48%外部渗透测试44.157.609.06.00C.31G.62c.70E.604.92%自动评估和测试43.66.00F.889.20B.52E.24h.15).605.71%手动评估和/或测试（不包括渗透测试）43.076.00F.887.60F.46D.44X.523.609.68%不知道/不确定0.20%0.00%0.00%0.80%0.79%0.00%0.00%0.00%0.00%其他，请注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%Q9.您如何评估或测试关键业务应用的安全性？（选择所有的适用项）Q10.在过去一年（2022-2023年），解决一个重大安全/漏洞问题对贵组织的软件交付计划产生了多大的影响（如果有的话）？全球英国美国法国芬兰德国中国新加坡日本有影响(净占比)81.06r.44.72.00.91.68y.26.80f.67%很大的影响38.37$.41A.413.603.86T.76.74$.801.75%些许影响42.69H.03E.31F.40Y.064.92.52V.004.92%没什么影响17.17%.20.50.60%7.09%7.94 .00.40(.57%根本没影响1.77%2.36%0.78%2.40%0.00%2.38%0.74%0.80%4.76%没影响(净占比)18.94.56.28 .00%7.09.32 .74.203.33 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录全球英国美国法国芬兰德国中国新加坡日本内部安全团队46.039.37P.006.80A.738.89g.41F.40F.03%开发人员/软件工程师45.144.65S.133.60D.88B.86c.70D.00B.86%QA/测试团队37.59A.735.942.803.868.89Q.114.400.95%跨职能的DevSecOps团队35.531.50D.53(.809.370.95H.152.00.78%外部顾问32.88).92F.09(.00(.358.102.591.20(.57%不确定0.10%0.00%0.00%0.00%0.00%0.79%0.00%0.00%0.00%其他，请注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%Q11.贵组织由谁负责安全测试？（选择所有的适用项）Q12.贵组织平均需要多长时间才能修补/处理已部署的或正在使用的应用程序中的重大安全风险/漏洞全球英国美国法国芬兰德国中国新加坡日本不到一周，请提供具体天数4.61%0.00%7.81.20%5.51%0.00%6.67%3.20%2.38%1-2周26.40.96!.88.80%.98.29W.04.40#.81%2-3周28.263.86(.91$.80&.77#.02).63(.000.95%3周-1个月19.92.83.53.00!.262.54%4.44&.40.46%1-2个月8.44%9.45%5.47%3.20.81.90%1.48.40.32%2-4个月5.50%3.94%5.47%3.20%4.72.11%0.74%8.80%6.35%4-6个月4.71%9.45.16%0.80%1.57%4.76%0.00%8.00%3.17%6个月以上，请提供具体月数0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%不确定2.16%5.51%0.78%0.00%2.36%2.38%0.00%0.80%5.56 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录Q13.您用来评估DevSecOps活动成功与否的主要KPI是什么？（最多可选3项）Q14.贵组织中实施DevSecOps的挑战/障碍是什么？（选择所有的适用项）全球英国美国法国芬兰德国中国新加坡日本公开安全漏洞的数量28.95.562.81(.80.56$.60.00&.40#.02%开发流程后期发现的安全相关问题的减少28.263.073.59$.00$.41).370.370.40 .63%问题解决时间27.58$.410.47(.00$.41#.021.11%.603.33%解决安全相关问题所花费时间的减少27.38.560.47$.00!.264.132.59$.80#.81%因安全问题造成的构建延迟的减少26.50%.98(.91(.80&.77.84.41&.40.78%因安全问题造成的构建失败的减少24.44.05$.22!.60%.20.78%.93%.60#.02%合规KPI（通过审核的百分比等）23.750.71(.91.60.83&.98$.44#.20.08%客户提交的服务单数量22.77).13(.91%.60!.26.22.56%.60.29%缺陷逃逸率22.28.83.19.000.71#.81(.15.60!.43%我们没有用来评估DevSecOps活动成功与否的主要KPI1.08%0.00%0.00%0.00%1.57%0.00%0.00%0.80%6.35%其他，请注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%全球英国美国法国芬兰德国中国新加坡日本开发人员/工程师的安全培训不足/无效33.863.07B.97.201.505.712.595.202.54%应用安全人员/技能短缺31.40%.98).69(.80#.621.75F.672.800.95%开发/运维工作缺乏透明性31.31.567.50(.805.43).376.30(.00&.98%不断变化的需求和优先级30.42%.200.47.20).13.78C.702.80&.19%安全计划和工具的预算/资金不足29.440.719.062.807.01#.02.96!.60(.57%开发、运维和安全团队之间的组织孤岛29.051.50B.19$.80(.35).37).63.40#.81%安全团队缺乏编码技能28.95$.410.47&.401.500.95(.89).60).37%没有遇到挑战障碍2.06%4.72%3.13%1.60%2.36%0.79%1.48%0.00%2.38%其他，请注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录Q15.贵组织使用的应用安全测试工具的主要问题是什么？（最多可选3项）Q16.您认为哪些因素对安全计划取得成功最重要？（最多可选3项）全球英国美国法国芬兰德国中国新加坡日本工具无法根据安全漏洞的暴露程度、可利用性和严重程度对修复工作进行优先级排序34.745.43A.41.007.014.135.56.401.75%工具因速度太慢而无法适应快速发布周期/持续部署34.15&.77B.973.60(.350.16G.41.00#.02%性价比低33.46).924.382.008.584.923.330.404.13%不准确/不可靠33.07%.209.84(.806.223.331.852.007.30%误报率高32.198.589.06!.601.505.71).636.00%.40%无法整合/关联来自不同工具的结果28.95#.62(.91.40&.770.954.07(.006.51%没有严重问题3.14%6.30%3.13%4.00%2.36%0.00%5.19%0.00%3.97%其他，请注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%全球英国美国法国芬兰德国中国新加坡日本通过基础架构即代码来执行安全/合规策略33.566.227.509.20&.77&.98.74).600.95%在开发和运维团队中培养安全支持者32.58.059.062.80(.358.89(.15.001.75%改善开发、运维和安全团队之间的沟通32.484.65B.97.201.504.132.594.40.22%将自动安全测试集成到构建/部署工作流中32.29(.356.722.006.223.332.59(.000.95%通过自动化来最大限度地降低漏洞修复时间/成本30.032.281.251.20#.62.78.74.20%.40%创建跨职能领域的DevSecOps团队28.95).922.03!.607.01(.575.56&.40.84%对开发人员/工程师进行安全编码培训27.58%.20(.91 .805.43&.983.33!.60.78%我不认为有什么重要成功因素0.79%2.36%0.00%0.80%0.00%0.79%0.74%0.00%1.59%其他，请注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录Q17.贵组织目前是否正在使用AI工具来加强软件安全措施？Q18.您预计使用AI工具将对贵组织的DevSecOps过程和工作流有何影响？（选择所有的适用项）Q19.您认为AI工具可以有效加强哪些特定领域的软件安全？全球英国美国法国芬兰德国中国新加坡日本是，我们正在积极使用AI工具52.508.58d.06G.20G.24i.84W.04G.20H.41%否，我们对AI工具的使用持开放态度，但尚未实施36.519.37#.44B.40G.24.22.005.20B.06%否，我们还没有实施AI工具，也没有这样的计划10.99.05.50.40%5.51%7.94%2.96.60%9.52%否(净占比)47.50a.425.94R.80R.760.16B.96R.80Q.59%全球英国美国法国芬兰德国中国新加坡日本提高安全措施的效率和准确性53.69Q.52X.93I.11D.17C.97h.70W.28T.39%增加软件安全的复杂性和技术需求52.04Q.52d.29B.86P.83T.31a.83G.57A.23%降低安全数据的人工审查和分析需求48.40P.51E.54B.86P.83E.69d.12B.72B.11%没有重大影响0.88%0.00%0.00%0.89%0.83%2.59%0.00%0.00%2.63%其他，请注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%全球英国美国法国芬兰德国中国新加坡日本威胁检测与防御45.09B.42P.00F.43F.67A.38D.27F.60B.98%漏洞扫描和测试44.219.39F.43E.54F.677.07R.67B.72A.23%身份和访问管理42.01C.43P.00D.648.337.93T.203.981.58%合规和监管管理41.57G.47F.431.25B.506.21E.047.86E.61%其他，请注明0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00%0.00 23 年 DevSecOps 现状调查 概述 Synopsys 2023年DevSecOps现状调查 的主要发现2023年DevSecOps现状调查 经验教训受访者特征附录Q20.您对基于AI的安全解决方案中隐藏的偏差或错误有多担心（如果有的话）？全球英国美国法国芬兰德国中国新加坡日本担心（净占比）76.63v.77.93t.11w.50.48U.73.52.58%非常担心25.36.273.04.96.83P.00%7.63(.16.19%有些担心51.27I.49P.89W.14a.674.48H.09T.37T.39%中立/没感觉16.21.15.71.32.33%8.62(.24.62.40%不太担心5.95%6.06%4.46%2.68%3.33%6.03.74%3.88%6.14%一点都不担心1.21%2.02%0.89%0.89%0.83%0.86%2.29%0.97%0.88%不担心（净占比）7.17%8.08%5.36%3.57%4.17%6.90.03%4.85%7.02%Synopsys与众不同Synopsys提供的集成解决方案，可以改变您构建和交付软件的方式，在应对业务风险的同时加速创新。与Synopsys同行，您的开发人员可以在编写代码的时候快速兼顾安全。您的开发和DevSecOps团队可以在不影响速度的情况下在开发管道中自动进行安全测试。您的安全团队可以主动管理风险并将补救工作聚焦在对贵组织最重要的事情上。我们无与伦比的专业知识可以帮助您规划和执行所需安全计划。只有Synopsys能够满足您构建可信软件的一切需求。有关Synopsys软件完整性小组的更多信息，请访问： Synopsys,Inc.版权所有，保留所有权利。Synopsys是Synopsys,Inc.在美国和其他国家/地区的商标。Synopsys商标列表可在 获得。本文提及的所有其他名称均为其各自所有者的商标或注册商标。2023年9月。

0人已浏览 2023-12-09 36页 5星级

2023年 软件漏洞快照 报告本报告由新思科技安全测试服务部与新思科技网络安全研究中心(CyRC)联合编制三年来10类最常见的Web和软件应用漏洞分析CyRC |2目录概述 .1这些测试中发现的安全问题 .1高危和超危漏洞.2定义漏洞的严重级别.3新思科技安全测试服务概述.3新思科技安全测试详解.5渗透测试 .5DAST.6MAST.6漏洞概述.7安全问题详解.9易受攻击的第三方库的危险.14启发和建议.15 |22发现漏洞的测试占比 97%概述 在编写该 软件漏洞快照 报告时，新思CyRC的研究人员和新思安全测试服务部的顾问使用了三年来对商业软件系统和应用进行测试的匿名数据。新思科技测试发现了仍对Web和软件应用安全造成重大威胁的已知漏洞，尤其是以下几类最常见的漏洞：信息披露/泄露和隐私 配置错误 传输层保护不足 这些测试凸显出易受攻击的第三方库带来的持续危险，以及软件开发环境对强大的软件供应链安全的需求 在软件开发中，超过90%的软件包含开源代码。下面的数据还显示了将应用安全测试扩展到基本静态分析之外的价值。如果您是软件安全项目的负责人，那么，深入了解软件风险可以帮助您制定更有效的安全改进策略。如果您是从战术的角度考虑安全问题，则可以使用本报告中的信息来展示需要通过第三方协助以扩展安全测试的业务案例。测试中发现的安全问题 在2020年，97%的测试发现了漏洞。到2021年，这一比例降至95%，而2022年进一步降至83%。我们收集的三年数据显示，92%的测试在目标应用中发现了漏洞。总体漏洞的持续减少是一个令人鼓舞的迹象，说明开发团队在编写无误代码方面取得了进步，而且诸如代码审查、自动测试和持续集成等实践也有助于减少常见的编程错误。此外，编程语言和集成开发环境(IDE)的发展也为开发者提供了一些内置的检查和工具，可以帮助他们及时发现并修复错误，避免造成严重问题。对于一些受欢迎的开源项目，许多社区也加强了代码审查，提高了代码质量标准。然而，对于一些不太受关注或者已经过时的开源项目，就没有这么幸运了。据一些报告显示，在2022年维护的Java和JavaScript开源项目中，有近20%的项目已经停止了维护，使得这些项目面临漏洞以及被利用的风险。|2高危和超危漏洞在这三年中，27%的测试发现了高危漏洞，6.2%的测试发现了超危漏洞。其中，跨站脚本(XSS)在新思科技的多年测试中一直都是最常见的高危漏洞之一。同样，2020到2022年间，SQL注入一直位列最常见的超危漏洞之首。按年份细分，我们发现在2022年的测试中，高危漏洞相比2021年略有增加（25%vs.20%），相比2020年略有减少（25%vs.30%），但超危漏洞(6.7%)均高于2021年(4.5%)和2020年(6.1%)。许多中危、高危和超危漏洞都需要多层测试才能被发现。这些数字反映出，高危和超危漏洞过去几年一直都在增加，并在2022年达到了历史最高水平。在2022年报告的CVE中，约有80%属于中危或高危漏洞，有16%属于超危漏洞。虽然开发团队的努力使总体漏洞数量减少，但数据表明，许多中危、高危和超危漏洞都需要更强有力的测试才能被发现，如渗透测试。202220212020超危28Tw%高危38Fc%中危60dr%图1.与原始测试相比，后续重复测试中发现的漏洞的减少情况（百分比）图1说明了动态测试，比如一些类型的渗透测试和动态应用安全测试(DAST)，是对静态应用安全测试(SAST)的有效补充。通过对一些重新测试进行抽样检查（即对安装了特定修复包的软件进行快速验证），我们发现在这三年期间，客户的超危、高危和中危漏洞都在逐年减少。例如，2022年检测到的中危漏洞减少了60%，高危和超高危漏洞分别减少了38%和28%。25 0 2020212022高危漏洞 6.7%4.5%6.1 2020212022超危漏洞 2020至2022年间，高危和超危漏洞的占比 |3定义漏洞的严重级别漏洞的严重级别根据 CVSS v3 标准评定，反映了漏洞对网络安全构成的风险。超危漏洞的CVSS分数在9.0到10.0之间，而且有已经公开或正在被攻击者使用的漏洞或存在安全缺陷的代码，例如命令、代码和SQL注入漏洞。高危漏洞的CVSS分数在7.0到8.9之间，通常比超危漏洞更难被利用。但是，考虑到存在此类漏洞的应用/系统的业务关键性和威胁环境等因素，高危漏洞也需要及时检查和修复。随着越来越多的攻击者开始使用自动化漏洞利用工具，可以在几秒钟内攻击数千个系统，尤其是考虑到超过一半的漏洞在披露后一周内即被利用，因此，高危和超危漏洞必须在发现后及时修复。应用中的安全或漏洞问题不仅会影响组织机构本身（或其客户）的业务运营，而且还会影响整个软件开发生命周期乃至整条软件供应链。事实上，新思科技 2023年全球DevSecOps现状调查 报告指出，超过80%的受访者表示，解决严重的安全/漏洞问题已对其组织的2022-2023软件交付计划产生了影响。新思科技安全测试服务概述开发团队必须以前所未有的速度构建越来越复杂的软件，但训练有素的技术人员严重不足。虽然属于不同的行业和组织，但新思科技安全测试服务部的所有客户都有一个共同需求 扩大测试的覆盖范围。他们要求开发团队以前所未有的速度构建越来越复杂的软件，但却面临训练有素的技术人员严重不足的问题，尤其是在软件安全方面。本次研究涉及的行业软件和互联网、系统集成和相关服务、计算机和电子金融服务和保险商业服务制造、运输和储存、批发和分销医疗保健*包括旅游和休闲、教育、公用事业行业和公共部门。本报告所涉及行业的三年平均值（2020至2022年）31)%8%4%其他*6%|4新思科技在一份关于影响软件安全的策略、工具和实践的报告中指出，在1,000名受访者中，超过33%的受访者表示，安全培训不足是主要障碍，紧随其后的是安全人员短缺(31%)。这33%的受访者还表示，外部顾问正在帮助其组织进行安全测试。委托第三方安全测试人员，从客观的角度评估组织机构的安全状况，这是非常有益的。事实上，软件安全构建成熟度模型(BSIMM)报告 指出，在参与BSIMM项目的组织中，有超过88%聘请外部渗透测试人员来增强其安全活动，以帮助他们发现内部测试可能遗漏的问题，找出安全实践中的薄弱点。即使您认为贵组织的安全测试覆盖范围足够，可能也需要对内部测试进行验证，确保内部安全控制是有效的。或者，您可能需要根据法规、客户或其他强制性要求而必须开展第三方评估。例如，PCI DSS 4.0第11项对定期开展渗透测试提出了明确要求。需要进行正式审计的商户和所有服务提供商都必须满足这项要求。健康保险可携带性与责任法案(HIPAA)要求医疗从业者采取技术措施保护电子健康信息的机密性和安全性。虽然HIPAA没有明确规定必须进行渗透测试或漏洞扫描，但明确规定相关组织机构必须开展风险分析，这就意味着这些组织机构必须对其安全控制措施进行测试。HIPAA在“评估”部分特别提到了“定期技术和非技术评估”的方法。在其HIPAA指南中，美国国家标准与技术研究院(NIST)建议在合理和适当的情况下，应通过联合开展外部和/或内部渗透测试来满足这些技术评估要求。在金融服务领域，金融业监管局(FINRA)为金融机构制定了网络安全规则，并建议定期以及在重大事件发生后开展渗透测试，例如，在公司的基础设施或访问控制机制发生重大变化之后。格雷姆-里奇-比利利法案(GLBA)明确要求金融机构自2022年起（最晚到2023年6月）每年开展渗透测试和漏洞扫描，作为其安全活动的一部分。新思科技报告显示超过33%超过31%的受访者指出，缺乏安全人员是比较严重的问题在1,000名受访者中，的受访者指出，安全培训不足是主要障碍 |5新思科技安全测试详解新思科技测试是模拟真实世界的攻击者对运行中的应用进行探测，包括“黑盒”和“灰盒”测试，其目的是找出漏洞，然后根据需要进行分类和修复。黑盒测试从局外人的角度评估测试目标的安全状况，灰盒测试则是模拟有凭证的认证用户 本质上是在黑盒测试的基础上增加更深入的洞察。这些测试主要针对Web(82%)和移动(13%)系统/应用，也涵盖少量的网络(3.0%)和源代码(2.0%)系统/应用。渗透测试 66%的测试是渗透测试对计算机系统进行授权的模拟攻击，以评估其安全性。渗透测试人员使用与攻击者相同的工具、技术和过程来探索和展示系统中弱点对业务的影响。渗透测试检查系统是否足够强大，能否抵御来自不同位置（认证和非认证）以及各种系统角色的攻击。外部渗透测试通常是为了满足行业法规和标准，还能带来一些额外的好处，例如客观评估贵组织的安全状况，以及准确模拟外部攻击者可能利用的潜在威胁和漏洞等。全面的渗透测试方法对于优化风险管理至关重要。新思科技的渗透测试可能覆盖以下目标：Web应用。测试人员检查安全控制的有效性，寻找隐藏的漏洞、攻击模式，以及可能导致Web应用被攻破的任何其他安全缺口。移动应用/设备。测试人员采用自动测试和手动测试相结合的方式，在移动设备上运行的应用二进制文件和相应的服务器端功能中寻找漏洞。服务器端的漏洞可能包括会话管理、加密问题、身份验证和授权问题，以及其他常见的Web服务漏洞。应用二进制文件中的漏洞可能包括身份验证和授权问题、客户端信任问题、安全控制配置错误和跨平台开发框架问题。网络。这类测试旨在发现外部网络和系统中的重大安全漏洞。测试人员根据测试用例清单中的内容，对加密的传输协议、SSL证书范围和管理服务的使用等进行测试。在这三年开展的所有渗透测试中，有2.7%是网络安全渗透测试。API。测试人员结合使用自动和手动测试技术，对 OWASP API Security Top 10清单中的十大严重问题进行测试，包括对象级授权失效、用户认证失效、数据暴露过度和缺乏资源/速率限制等。过去三年开展的测试类型66%渗透测试15ST13%MAST |6专业渗透测试人员像对手一样思考和行动，为渗透测试引入了必要的人为因素，可以通过分析数据来确定攻击目标、测试系统和网站，这些都是按脚本执行测试的自动测试解决方案无法做到的。此外，有些漏洞是无法通过自动测试工具轻松检测到的，需要人工审查才能被发现。例如，手动测试是检测不安全直接对象引用（IDOR，允许攻击者访问未授权数据的问题）的唯一有效方法。DAST动态应用安全测试(DAST)占到三年中开展的测试总数的15%。DAST是一种应用安全(AppSec)测试方法，测试人员对运行中的应用进行检查，但不了解应用在系统级别的内部交互或设计，也没有访问或查看源程序的权限或能力。这种黑盒测试从外到内观察应用，检查其运行状态，并观察其对测试工具发起的模拟攻击的响应，据此来判断应用程序是否存在漏洞，以及是否有可能遭受真正的恶意攻击。DAST旨在发现意料之外的结果或输出，以防其被攻击者用来攻破应用。由于DAST工具没有关于应用或源代码的内部信息，因此只能像外部黑客一样发动攻击 使用同样有限的应用相关知识和信息。DAST解决方案可以发现难以通过其他安全测试检测到的运行时漏洞，例如身份验证和服务器配置错误、代码注入、SQL注入和跨站脚本错误。正如本报告前面提到的那样，有时候，全面了解软件安全状况必须借助人工审查。新思科技的DAST评估含手动测试，以发现开箱即用工具通常无法发现的漏洞，例如与身份验证和会话管理、访问控制和信息泄露相关的一些漏洞。MAST在三年开展的所有测试中，移动应用安全测试(MAST)占13%。新思科技移动应用安全测试 侧重于对移动客户端代码、服务器端代码和第三方库进行全面分析，无需源代码即可系统地发现和修复移动应用中的安全漏洞。新思科技采用了一系列专有的静态和动态分析工具来协同发现漏洞，并根据每个测试对象的风险状况，提供不同深度的分析，调整测试水平。有时候，全面了解软件安全状况必须借助人工审查。|7尽管移动应用的使用已经非常普及，但大多数开发和安全团队对移动安全的重视程度仍然很低。NowSecure的 MobileRiskTracker 报告显示，公共应用商店中85%的移动应用包含一个或多个高风险漏洞，或者违反了一个或多个OWASP移动应用安全验证标准。此外，70%的移动应用会泄露隐私数据，可能触犯GDPR/CCPA等隐私法规。漏洞概述开放网络应用安全项目(OWASP)Top 10和常见弱点枚举(CWE)Top 25提供了最常见和最危险的安全漏洞清单。这两个清单都基于多种来源的数据，包括安全研究人员、漏洞数据库和安全事件报告。OWASP Top 10清单代表了大量开发人员和 Web 应用程序安全团队对 Web 应用程序最关键的安全风险的共识。CWE Top 25清单由MITRE与SANS研究所合作创建，对25个最危险的软件漏洞进行了排名。虽然这两个清单的本意都是提高安全意识，但许多组织也将其作为安全标准来检验内部安全控制措施的效果。OWASP Top 10清单专注于Web应用特有的安全风险，CWE Top 25清单则专注于软件缺陷和相关CWE。如图2所示，虽然这两个清单使用的术语有所不同，但它们之间是有重叠的。例如，OWASP的“A05:2021安全配置错误”与CWE Top 25中列出的多个弱点有关，包括CWE-798（使用了硬编码凭据）和CWE-276（默认权限不正确）。“指纹”（探测Web应用以获取信息）可以合理地归入OWASP Top 10中的“安全日志和监控失败”或“访问控制失败”类别（我们将其归入前者），但这两个类别中都没有直接提到它。同样，指纹可能与CWE中的“向未经授权的行为者暴露敏感信息”(CWE-200)关系最密切。如图2的第1、4、6和9行所示，在许多测试中都发现了各方面的信息泄露/泄漏问题。公共应用商店中85%的移动应用包含一个或多个高风险漏洞。|8新思科技2022年十大漏洞类别2021年 排名2020年排名相关的OWASP Top 10/Mobile Top 10类别相关的CWE(s)1.信息披露：信息泄露11A01:2021访问控制失效向未经授权的行为者暴露敏感信息(CWE-200)。其他访问控制管理问题，包括授权缺失/错误(CWE-863)以及客户端/服务器端请求伪造漏洞(CWE-918)。2.服务器配置错误22A05:2021安全配置错误安全配置错误，如 CWE-798 和 CWE-276.3.传输层保护不足33A05:2021安全配置错误M3:传输层保护不足安全配置错误，如 CWE-798 和 CWE-276.4.授权不足44A01:2021访问控制失效M6:授权不足向未经授权的行为者暴露敏感信息(CWE-200)。其他访问控制管理问题，包括授权缺失/错误(CWE-863)以及客户端/服务器端请求伪造漏洞(CWE-918)。5.应用配置错误99A05:2021安全配置错误安全配置错误，如 CWE-798 和 CWE-276.6.应用隐私失败55A02:2021加密失败向未经授权的行为者暴露敏感信息(CWE-200)。不可信数据的反序列化(CWE-502)。7.身份验证：身份验证不足88A07:2021身份验证和认证失败认证不正确或缺失，如 CWE-287 或 CWE-306.8.内容欺骗/内容注入66A03:2021注入SQL注入(CWE-89)，命令注入（CWE-78和CWE-77），代码注入(CWE-94)，跨站脚本(CWE-79)。9.指纹敏感性77A09:2021安全日志和监控失败向未经授权的行为者暴露敏感信息(CWE 200).10.暴露于客户端/跨站脚本攻击不在十大漏洞范围内10A03:2021注入跨站脚本 CWE-79,跨站请求伪造(CWE-352).图2.新思科技十大漏洞类别 |9安全问题详解如图2所示，漏洞类别的排名多年来基本保持不变。有趣的是，“应用配置错误”成为唯一的例外。该类别在2022年从第9位跃升到第5位，之前两年一直排在第9位。配置错误可能发生在应用、浏览器、网络、操作系统和服务器中。例如，澳大利亚电信巨头Optus在2022年经历了一起严重的数据泄露事件，泄露了970万名客户的个人数据。造成这起事件的原因是公司的防火墙配置错误，使得第三方承包商能够访问敏感的客户数据。人为错误通常是配置错误的最常见原因。例如，组织机构没有充分检查其应用和部署脚本，使自己容易受到攻击；测试人员在测试过程中修改了配置，但没有恢复到更安全的设置；组织机构未对新的硬件和软件进行适当的测试，无法保证其能够满足他们的安全要求。“应用配置错误”排名上升，说明了组织机构需要使用多种安全测试工具，而不是只依赖一种测试工具。如果只使用一种测试工具，虽然在减少编码漏洞总数方面可能很有效，但并不是好的实践，尤其涉及到运行时环境时。组织机构需要使用多种测试工具来发现运行中的应用问题，如配置错误。2022年测试中发现的十大漏洞类别如下：1.信息披露，又称信息泄露。当敏感信息暴露给未授权方时，就会出现这种安全问题。例如，网站可能会因为安全配置错误而泄露用户名或财务信息等用户数据。在三年来开展的所有测试中，平均有19%的漏洞与信息泄露问题直接相关。OWASP团队将信息泄露归入“A01:2021-访问控制失效”类别，并指出与其他类别相比，这个类别中的漏洞最多。“向未经授权的行为者暴露敏感信息”、“通过发送的数据暴露敏感信息”以及“跨站请求伪造”等，都是该类别中最常见的漏洞。在三年来开展的所有测试中，平均有19%的漏洞与信息泄露问题直接相关。|102.服务器（安全）配置错误。服务器配置错误属于OWASP的“A05:2021-安全配置错误”类别，在三年来开展的所有测试中，这一类别平均占到漏洞总数的18%。虽然我们的研究结果集中在服务器配置错误上，但安全配置错误可以发生在应用程序堆栈的任何层级，包括网络服务、平台、Web服务器、应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器或存储器（见第5类）。这类缺陷经常允许攻击者未经授权访问系统数据或功能，有时甚至会导致整个系统被攻陷。在三年来开展的所有测试中，平均有11%的漏洞与传输层保护不足有关。3.传输层保护不足。这些安全缺陷是由于应用没有采取适当措施来保护网络流量而导致的。在身份验证期间，应用可能会使用SSL/TLS来保护数据安全，但通常不对其他操作使用这些技术，从而使数据和会话ID暴露给第三方。许多移动应用都存在与传输层安全性不足相关的特定问题，以至于OWASP在其OWASP Mobile Top list中专门为其设立了一个类别。正如OWASP所指出的那样，“移动应用通常不会保护网络流量。它们可能会在身份验证期间使用SSL/TLS，但不会在其他地方使用这些技术。这种不一致性导致数据和会话ID容易被拦截。”在三年来开展的所有测试中，平均有11%的漏洞与传输层保护不足有关。4.授权不足。这些漏洞可能允许用户访问他们无权访问的数据、内容或功能。当应用或系统没有正确验证用户身份或未能实施适当的访问控制时，就可能发生这种情况。例如，移动应用根据请求将用户角色或权限信息未经加密传输到后端系统，就属于不安全的授权。OWASP指出，IDOR漏洞的存在通常表明代码没有执行有效的授权检查。在三年来开展的所有测试中，平均有9%的漏洞与授权不足问题有关。在三年来开展的所有测试中，平均有18%的漏洞与服务器配置错误有关。|115.应用配置错误。这也是一种安全配置错误，也是在OWASP十大漏洞列表中排名第五的危险漏洞。许多应用都有一些开发者功能，这些功能如果在部署时没有关闭，就会非常危险，比如调试和QA功能。未被适当锁定的配置文件可能以明文显示（即任何人都可以读取的未加密文本），并且配置文件中的默认设置可能并没有考虑到安全因素。在三年来开展的所有测试中，平均有5%的漏洞与应用配置错误有关。6.应用隐私失败。应用隐私失败与信息泄露/披露相关，是指应用在设计、实施或修补方面存在缺陷，导致未授权的用户可以访问数据或内容，发生隐私泄露。组织机构在构建应用时，应考虑到一些隐私问题，例如：我们的开发人员是否接受过Web应用隐私方面的培训？是否编制了安全编码指南？我们的软件（包括服务器、数据库和库代码）能否及时更新？是否定期安装补丁？为确保软件中使用的第三方和开源代码是安全且最新的，我们采取了哪些措施？个人数据在完成指定任务后是否会被删除？在三年来开展的所有测试中，平均有5%的漏洞与隐私问题有关。7.身份验证不足。以前称为“身份验证失败”，属于OWASP“A07:2021身份验证和认证失败”类别，现在涵盖与身份验证失败相关的漏洞，例如我们列表中的第4类和第7类漏洞。在三年来开展的所有测试中，平均有5%的漏洞与身份验证不足有关。身份验证和授权不足是指因应用或系统没有正确验证用户身份或未能实施适当的访问控制而导致的安全漏洞。未经授权的用户可能会访问敏感信息或执行他们无权执行的操作，从而引发数据泄露和数据丢失等安全问题。8.内容欺骗/内容注入。内容欺骗也称为内容注入，是一种针对用户的攻击，可能是由于Web应用中存在漏洞，无法正确处理用户提供的数据而造成的。当Web应用将攻击者提供的内容呈现给毫无戒心的用户时，就会发生这种情况，其发生的形式通常是可信域名下修改过的页面。OWASP指出，这类攻击经常被误解为常见的Web漏洞，几乎或根本没有业务影响。但实际上，内容欺骗攻击频繁出现在各种欺诈中，攻击者冒充合法实体诱骗用户提供登录凭证。许多应用都有一些开发者功能，这些功能如果在部署时没有关闭，就会非常危险，比如调试和QA功能。|12 更令人担忧的是，内容欺骗有可能发起危险的攻击，包括代码注入和跨站脚本。三年来开展的所有测试中，平均有4%的漏洞与内容欺骗或内容注入有关。9.指纹敏感性。指纹（探测Web应用以获取信息）可以给攻击者提供有价值的信息，如操作系统类型、操作系统版本、SNMP信息、域名、网络区域和VPN连接点等。三年来开展的所有测试中，平均有3%的漏洞与指纹有关。测试中发现的许多具体的指纹类安全问题都属于微风险、低风险或中风险问题。也就是说，攻击者不能直接利用这些漏洞来访问系统或敏感数据。然而，揭示这些漏洞并不是一件徒劳无功的事情，因为即使是低风险的漏洞，也可能被用来促进攻击。例如，在三分之一的渗透测试和近一半的DAST扫描中，持续发现了与指纹相关的一个安全问题，即冗长的服务器标识（图5）。虽然这是一个中风险漏洞，但却能够给攻击者发动攻击提供足够的信息，如服务器名称、类型和版本号等。/右图下面的文字没有翻译测试发现的高危 漏洞的百分比2021年排名2020年排名1.跨站脚本19!2.授权不足163.身份验证不足634.应用配置错误4i5.传输层保护不足4E6.信息披露/信息泄露3v7.服务器配置错误28.SQL注入209.意外数据泄漏1%*10.程序验证不足1%*不在十大漏洞范围内图3.2022年测试发现的十大高危漏洞（不包括重新测试）在2022年测试发现的所有高风险漏洞中，有19%与跨站脚本攻击有关。|13测试发现的超高危 漏洞的百分比2021年排名2020年排名1.SQL注入302.授权不足93.跨站脚本74.身份验证不足735.信息披露/信息泄露6D6.程序验证不足57.OS命令3w8.服务器配置错误2%*9.应用程序配置错误2i10.SQL注入1%*不在十大漏洞范围内图4.2022年测试发现的十大超高危漏洞（不包括重新测试）10.遭遇客户端/跨站脚本攻击。跨站脚本(XSS)攻击是一类客户端代码注入攻击，是在新思科技三年测试中排名第一或第二的高危漏洞。攻击者试图通过在合法的网页或Web应用中注入恶意代码而在受害者的Web浏览器中执行恶意脚本。在2022年测试发现的所有高风险漏洞中，有19%与跨站脚本攻击有关（见图3）。实施或加强诸如内容安全策略(CSP)之类的保护措施可以提供额外的安全层，帮助检测和缓解某些类型的攻击，包括跨站脚本和数据注入攻击（测试中发现的头号超高危漏洞，见图4）。攻击者可以使用不安全的用户数据传输（如cookie和表单），将命令注入到Web服务器上的系统Shell中，然后利用特权来破坏服务器。许多组织都认为，CSP不安全或缺失只是低风险漏洞。然而，跨站脚本、点击劫持和跨站泄漏等攻击的频繁发生，凸显出应用CSP的必要性，尤其是可以防止恶意脚本在客户端执行的CSP 作为第二层防线来抵御各种类型的攻击，包括跨站脚本和数据注入攻击。SQL命令注入是测试中发现的排名第一的超高危漏洞。|14脆弱的第三方库的危险如图6所示，在新思科技开展的2022年测试中，25%的测试发现了使用易受攻击的第三方库，这与OWASP Top 10中的“A06:2021易受攻击或过时的组件”漏洞有关。OWASP指出，无论是在客户端还是服务器端，您都必须清楚所有组件的版本，包括软件中使用的第三方和开源组件，否则，您的软件很可能会受到攻击。占2022年测试目标总数的百分比2021年排名2020年排名1.弱SSL/TLS配置702.缺失Content-Security-Policy标头43!3.冗长的服务器标识3724.可缓存HTTPS内容34U5.未实施HTTP严格传输安全(HSTS)机制34C6.不安全的Content-Security-Policy标头31h7.弱密码策略28w8.未屏蔽非公开信息数据25%*9.使用了易受攻击的第三方库25%*10.会话超时时间过长24%*不在十大漏洞范围内图5.2022年测试发现的十大安全问题开源代码可以显著提升软件构建的速度和效率，这已成为现代软件的重要组成部分，深受开发者欢迎。作为经过验证的代码，开源代码便于开发者访问和使用，无需浪费时间和资源做重复工作。然而，新思科技的年度 开源安全与风险分析报告,显示，开源代码并非没有风险。事实上，2023年的报告显示，开源安全风险已经达到了前所未有的水平，并且大多数企业并不十分清楚自己的代码组成。报告指出，高风险的开源漏洞在过去五年增速惊人（仅在零售和电子商务领域就增长了557%）。最重要的是，令人不安的是缺乏安全补丁和项目依赖维护（91%的项目包含了过时的开源组件）。大多数企业都不十分清楚自己的代码组成。|15由于供应链攻击屡见不鲜，软件供应链安全已经成为依赖第三方软件的组织机构的主要关注点，这是几乎所有现代组织都需要面对的挑战。为了更好地管理供应链风险，越来越多的组织使用自动化工具生成软件材料清单(SBOM)，以识别他们使用的第三方和开源软件。从BSIMM报告中可以看出，“为软件创建物料清单”这项安全活动呈现增长趋势，证明了各组织机构都在朝着SBOM进行转变。BSIMM报告还显示，由于针对脆弱的开源项目的攻击越来越猖獗，导致“识别开源代码”和“控制开源风险”这两项活动显著增加。由于许多公司都在同时使用数百个应用或软件系统，每个应用或软件系统本身又可能依赖成百上千个不同的第三方和开源组件，因此，他们迫切需要借助准确、最新的SBOM来有效跟踪这些组件。启发和建议实施多层安全方法。仅依赖单一的安全测试解决方案，如静态应用安全测试(SAST)，已经不足以满足安全需求。组织机构应实施多层安全方法，通过SAST来识别编码缺陷，通过DAST来检查运行中的应用，通过软件组成分析(SCA)来识别由第三方组件引入的漏洞，通过渗透测试来发现错误配置等问题以及其他测试可能遗漏的漏洞。新思科技 2023年全球 DevSecOps现状调查 报告显示，44%的受访者将外部渗透测试视为安全测试的重要组成部分，也是对其他测试的有效补充。外部渗透测试的好处在于，它能从客观的第三方角度评估您的安全状况，并能准确模拟其他测试可能无法发现的潜在威胁和漏洞，以防它们被攻击者利用。自动和手动安全测试相结合。自动测试能够保证一致性和可扩展性，并节省时间和成本，而手动测试则能够增加一层洞察力和适应性，这对识别复杂和微妙的安全问题至关重要。例如，DAST作为黑盒测试（即不了解应用的内部结构）就需要开发者和安全专家验证和分析所发现的问题。重视补丁管理。保持警惕，及时修补漏洞，尤其是对第三方和开源组件。建立清晰的流程来识别、评估和快速应用补丁，有效防止漏洞利用。您不知道的漏洞才是软件中最危险的漏洞。|16实施严格的访问控制。对应用和网络实施严格的访问控制策略。遵循最小权限原则，确保用户只拥有执行任务所需的最低访问权限。定期检查和更新应用的访问权限，防止未授权的访问。将SBOM生成纳入软件开发生命周期。您不知道的漏洞才是软件中最危险的漏洞。通过使用完整的清单来识别组件，您可以更好地了解安全状况，并且及时有效地应对漏洞问题。确定是否需要补充安全测试。您的安全团队是否具备足够的应用安全技能和资源来测试安全缺陷？是否有时间按照监管机构和客户的要求来测试软件？选择能够随时随地提供专业安全测试服务的供应商。新思科技安全测试服务部专业技能过硬、工具丰富、纪律严明，能够随时随地为您提供经济高效的支持，对任何应用开展任何深度的分析。新思科技提供全方位的测试服务，包括渗透测试、动态应用安全测试、静态应用安全测试、移动应用安全测试、网络渗透测试、红队测试、物联网和嵌入式软件测试、以及胖客户端测试。我们的按需测试服务可以帮助贵组织的安全测试团队提升实力。立即联系新思科技，预约免费咨询。2023 Synopsys,Inc.版权所有，保留所有权利。Synopsys是Synopsys,Inc.在美国和其他国家/地区的商标。Synopsys商标列表可在 新思科技提供的集成解决方案，可以改变您构建和交付软件的方式，在应对业务风险的同时加速创新。与新思科技同行，您的开发人员可以在编写代码的时候快速兼顾安全。您的开发和DevSecOps团队可以在不影响速度的情况下在开发管道中自动进行安全测试。您的安全团队可以主动管理风险，并将补救工作聚焦在对贵组织最重要的事情上。我们无与伦比的专业知识可以帮助您规划和执行所需的安全计划。只有新思科技能够满足您构建可信软件的一切需求。如需了解更多信息，请访问： 软件漏洞快照 报告本报告由新思科技安全测试服务部与新思科技网络安全研究中心(CyRC)联合编制三年来10类最常见的Web和软件应用漏洞分析CyRC |2目录概述 .1这些测试中发现的安全问题 .1高危和超危漏洞.2定义漏洞的严重级别.3新思科技安全测试服务概述.3新思科技安全测试详解.5渗透测试 .5DAST.6MAST.6漏洞概述.7安全问题详解.9易受攻击的第三方库的危险.14启发和建议.15 |22发现漏洞的测试占比 97%概述 在编写该 软件漏洞快照 报告时，新思CyRC的研究人员和新思安全测试服务部的顾问使用了三年来对商业软件系统和应用进行测试的匿名数据。新思科技测试发现了仍对Web和软件应用安全造成重大威胁的已知漏洞，尤其是以下几类最常见的漏洞：信息披露/泄露和隐私 配置错误 传输层保护不足 这些测试凸显出易受攻击的第三方库带来的持续危险，以及软件开发环境对强大的软件供应链安全的需求 在软件开发中，超过90%的软件包含开源代码。下面的数据还显示了将应用安全测试扩展到基本静态分析之外的价值。如果您是软件安全项目的负责人，那么，深入了解软件风险可以帮助您制定更有效的安全改进策略。如果您是从战术的角度考虑安全问题，则可以使用本报告中的信息来展示需要通过第三方协助以扩展安全测试的业务案例。测试中发现的安全问题 在2020年，97%的测试发现了漏洞。到2021年，这一比例降至95%，而2022年进一步降至83%。我们收集的三年数据显示，92%的测试在目标应用中发现了漏洞。总体漏洞的持续减少是一个令人鼓舞的迹象，说明开发团队在编写无误代码方面取得了进步，而且诸如代码审查、自动测试和持续集成等实践也有助于减少常见的编程错误。此外，编程语言和集成开发环境(IDE)的发展也为开发者提供了一些内置的检查和工具，可以帮助他们及时发现并修复错误，避免造成严重问题。对于一些受欢迎的开源项目，许多社区也加强了代码审查，提高了代码质量标准。然而，对于一些不太受关注或者已经过时的开源项目，就没有这么幸运了。据一些报告显示，在2022年维护的Java和JavaScript开源项目中，有近20%的项目已经停止了维护，使得这些项目面临漏洞以及被利用的风险。|2高危和超危漏洞在这三年中，27%的测试发现了高危漏洞，6.2%的测试发现了超危漏洞。其中，跨站脚本(XSS)在新思科技的多年测试中一直都是最常见的高危漏洞之一。同样，2020到2022年间，SQL注入一直位列最常见的超危漏洞之首。按年份细分，我们发现在2022年的测试中，高危漏洞相比2021年略有增加（25%vs.20%），相比2020年略有减少（25%vs.30%），但超危漏洞(6.7%)均高于2021年(4.5%)和2020年(6.1%)。许多中危、高危和超危漏洞都需要多层测试才能被发现。这些数字反映出，高危和超危漏洞过去几年一直都在增加，并在2022年达到了历史最高水平。在2022年报告的CVE中，约有80%属于中危或高危漏洞，有16%属于超危漏洞。虽然开发团队的努力使总体漏洞数量减少，但数据表明，许多中危、高危和超危漏洞都需要更强有力的测试才能被发现，如渗透测试。202220212020超危28Tw%高危38Fc%中危60dr%图1.与原始测试相比，后续重复测试中发现的漏洞的减少情况（百分比）图1说明了动态测试，比如一些类型的渗透测试和动态应用安全测试(DAST)，是对静态应用安全测试(SAST)的有效补充。通过对一些重新测试进行抽样检查（即对安装了特定修复包的软件进行快速验证），我们发现在这三年期间，客户的超危、高危和中危漏洞都在逐年减少。例如，2022年检测到的中危漏洞减少了60%，高危和超高危漏洞分别减少了38%和28%。25 0 2020212022高危漏洞 6.7%4.5%6.1 2020212022超危漏洞 2020至2022年间，高危和超危漏洞的占比 |3定义漏洞的严重级别漏洞的严重级别根据 CVSS v3 标准评定，反映了漏洞对网络安全构成的风险。超危漏洞的CVSS分数在9.0到10.0之间，而且有已经公开或正在被攻击者使用的漏洞或存在安全缺陷的代码，例如命令、代码和SQL注入漏洞。高危漏洞的CVSS分数在7.0到8.9之间，通常比超危漏洞更难被利用。但是，考虑到存在此类漏洞的应用/系统的业务关键性和威胁环境等因素，高危漏洞也需要及时检查和修复。随着越来越多的攻击者开始使用自动化漏洞利用工具，可以在几秒钟内攻击数千个系统，尤其是考虑到超过一半的漏洞在披露后一周内即被利用，因此，高危和超危漏洞必须在发现后及时修复。应用中的安全或漏洞问题不仅会影响组织机构本身（或其客户）的业务运营，而且还会影响整个软件开发生命周期乃至整条软件供应链。事实上，新思科技 2023年全球DevSecOps现状调查 报告指出，超过80%的受访者表示，解决严重的安全/漏洞问题已对其组织的2022-2023软件交付计划产生了影响。新思科技安全测试服务概述开发团队必须以前所未有的速度构建越来越复杂的软件，但训练有素的技术人员严重不足。虽然属于不同的行业和组织，但新思科技安全测试服务部的所有客户都有一个共同需求 扩大测试的覆盖范围。他们要求开发团队以前所未有的速度构建越来越复杂的软件，但却面临训练有素的技术人员严重不足的问题，尤其是在软件安全方面。本次研究涉及的行业软件和互联网、系统集成和相关服务、计算机和电子金融服务和保险商业服务制造、运输和储存、批发和分销医疗保健*包括旅游和休闲、教育、公用事业行业和公共部门。本报告所涉及行业的三年平均值（2020至2022年）31)%8%4%其他*6%|4新思科技在一份关于影响软件安全的策略、工具和实践的报告中指出，在1,000名受访者中，超过33%的受访者表示，安全培训不足是主要障碍，紧随其后的是安全人员短缺(31%)。这33%的受访者还表示，外部顾问正在帮助其组织进行安全测试。委托第三方安全测试人员，从客观的角度评估组织机构的安全状况，这是非常有益的。事实上，软件安全构建成熟度模型(BSIMM)报告 指出，在参与BSIMM项目的组织中，有超过88%聘请外部渗透测试人员来增强其安全活动，以帮助他们发现内部测试可能遗漏的问题，找出安全实践中的薄弱点。即使您认为贵组织的安全测试覆盖范围足够，可能也需要对内部测试进行验证，确保内部安全控制是有效的。或者，您可能需要根据法规、客户或其他强制性要求而必须开展第三方评估。例如，PCI DSS 4.0第11项对定期开展渗透测试提出了明确要求。需要进行正式审计的商户和所有服务提供商都必须满足这项要求。健康保险可携带性与责任法案(HIPAA)要求医疗从业者采取技术措施保护电子健康信息的机密性和安全性。虽然HIPAA没有明确规定必须进行渗透测试或漏洞扫描，但明确规定相关组织机构必须开展风险分析，这就意味着这些组织机构必须对其安全控制措施进行测试。HIPAA在“评估”部分特别提到了“定期技术和非技术评估”的方法。在其HIPAA指南中，美国国家标准与技术研究院(NIST)建议在合理和适当的情况下，应通过联合开展外部和/或内部渗透测试来满足这些技术评估要求。在金融服务领域，金融业监管局(FINRA)为金融机构制定了网络安全规则，并建议定期以及在重大事件发生后开展渗透测试，例如，在公司的基础设施或访问控制机制发生重大变化之后。格雷姆-里奇-比利利法案(GLBA)明确要求金融机构自2022年起（最晚到2023年6月）每年开展渗透测试和漏洞扫描，作为其安全活动的一部分。新思科技报告显示在1,000名受访者中，的受访者指出，安全培训不足是主要障碍超过33%超过31%的受访者指出，缺乏安全人员是比较严重的问题 |5新思科技安全测试详解新思科技测试是模拟真实世界的攻击者对运行中的应用进行探测，包括“黑盒”和“灰盒”测试，其目的是找出漏洞，然后根据需要进行分类和修复。黑盒测试从局外人的角度评估测试目标的安全状况，灰盒测试则是模拟有凭证的认证用户 本质上是在黑盒测试的基础上增加更深入的洞察。这些测试主要针对Web(82%)和移动(13%)系统/应用，也涵盖少量的网络(3.0%)和源代码(2.0%)系统/应用。渗透测试 66%的测试是渗透测试对计算机系统进行授权的模拟攻击，以评估其安全性。渗透测试人员使用与攻击者相同的工具、技术和过程来探索和展示系统中弱点对业务的影响。渗透测试检查系统是否足够强大，能否抵御来自不同位置（认证和非认证）以及各种系统角色的攻击。外部渗透测试通常是为了满足行业法规和标准，还能带来一些额外的好处，例如客观评估贵组织的安全状况，以及准确模拟外部攻击者可能利用的潜在威胁和漏洞等。全面的渗透测试方法对于优化风险管理至关重要。新思科技的渗透测试可能覆盖以下目标：Web应用。测试人员检查安全控制的有效性，寻找隐藏的漏洞、攻击模式，以及可能导致Web应用被攻破的任何其他安全缺口。移动应用/设备。测试人员采用自动测试和手动测试相结合的方式，在移动设备上运行的应用二进制文件和相应的服务器端功能中寻找漏洞。服务器端的漏洞可能包括会话管理、加密问题、身份验证和授权问题，以及其他常见的Web服务漏洞。应用二进制文件中的漏洞可能包括身份验证和授权问题、客户端信任问题、安全控制配置错误和跨平台开发框架问题。网络。这类测试旨在发现外部网络和系统中的重大安全漏洞。测试人员根据测试用例清单中的内容，对加密的传输协议、SSL证书范围和管理服务的使用等进行测试。在这三年开展的所有渗透测试中，有2.7%是网络安全渗透测试。API。测试人员结合使用自动和手动测试技术，对 OWASP API Security Top 10清单中的十大严重问题进行测试，包括对象级授权失效、用户认证失效、数据暴露过度和缺乏资源/速率限制等。过去三年开展的测试类型66%渗透测试15ST13%MAST |6专业渗透测试人员像对手一样思考和行动，为渗透测试引入了必要的人为因素，可以通过分析数据来确定攻击目标、测试系统和网站，这些都是按脚本执行测试的自动测试解决方案无法做到的。此外，有些漏洞是无法通过自动测试工具轻松检测到的，需要人工审查才能被发现。例如，手动测试是检测不安全直接对象引用（IDOR，允许攻击者访问未授权数据的问题）的唯一有效方法。DAST动态应用安全测试(DAST)占到三年中开展的测试总数的15%。DAST是一种应用安全(AppSec)测试方法，测试人员对运行中的应用进行检查，但不了解应用在系统级别的内部交互或设计，也没有访问或查看源程序的权限或能力。这种黑盒测试从外到内观察应用，检查其运行状态，并观察其对测试工具发起的模拟攻击的响应，据此来判断应用程序是否存在漏洞，以及是否有可能遭受真正的恶意攻击。DAST旨在发现意料之外的结果或输出，以防其被攻击者用来攻破应用。由于DAST工具没有关于应用或源代码的内部信息，因此只能像外部黑客一样发动攻击 使用同样有限的应用相关知识和信息。DAST解决方案可以发现难以通过其他安全测试检测到的运行时漏洞，例如身份验证和服务器配置错误、代码注入、SQL注入和跨站脚本错误。正如本报告前面提到的那样，有时候，全面了解软件安全状况必须借助人工审查。新思科技的DAST评估含手动测试，以发现开箱即用工具通常无法发现的漏洞，例如与身份验证和会话管理、访问控制和信息泄露相关的一些漏洞。MAST在三年开展的所有测试中，移动应用安全测试(MAST)占13%。新思科技移动应用安全测试 侧重于对移动客户端代码、服务器端代码和第三方库进行全面分析，无需源代码即可系统地发现和修复移动应用中的安全漏洞。新思科技采用了一系列专有的静态和动态分析工具来协同发现漏洞，并根据每个测试对象的风险状况，提供不同深度的分析，调整测试水平。有时候，全面了解软件安全状况必须借助人工审查。|7尽管移动应用的使用已经非常普及，但大多数开发和安全团队对移动安全的重视程度仍然很低。NowSecure的 MobileRiskTracker 报告显示，公共应用商店中85%的移动应用包含一个或多个高风险漏洞，或者违反了一个或多个OWASP移动应用安全验证标准。此外，70%的移动应用会泄露隐私数据，可能触犯GDPR/CCPA等隐私法规。漏洞概述开放网络应用安全项目(OWASP)Top 10和常见弱点枚举(CWE)Top 25提供了最常见和最危险的安全漏洞清单。这两个清单都基于多种来源的数据，包括安全研究人员、漏洞数据库和安全事件报告。OWASP Top 10清单代表了大量开发人员和 Web 应用程序安全团队对 Web 应用程序最关键的安全风险的共识。CWE Top 25清单由MITRE与SANS研究所合作创建，对25个最危险的软件漏洞进行了排名。虽然这两个清单的本意都是提高安全意识，但许多组织也将其作为安全标准来检验内部安全控制措施的效果。OWASP Top 10清单专注于Web应用特有的安全风险，CWE Top 25清单则专注于软件缺陷和相关CWE。如图2所示，虽然这两个清单使用的术语有所不同，但它们之间是有重叠的。例如，OWASP的“A05:2021安全配置错误”与CWE Top 25中列出的多个弱点有关，包括CWE-798（使用了硬编码凭据）和CWE-276（默认权限不正确）。“指纹”（探测Web应用以获取信息）可以合理地归入OWASP Top 10中的“安全日志和监控失败”或“访问控制失败”类别（我们将其归入前者），但这两个类别中都没有直接提到它。同样，指纹可能与CWE中的“向未经授权的行为者暴露敏感信息”(CWE-200)关系最密切。如图2的第1、4、6和9行所示，在许多测试中都发现了各方面的信息泄露/泄漏问题。公共应用商店中85%的移动应用包含一个或多个高风险漏洞。|8新思科技2022年十大漏洞类别2021年 排名2020年排名相关的OWASP Top 10/Mobile Top 10类别相关的CWE(s)1.信息披露：信息泄露11A01:2021访问控制失效向未经授权的行为者暴露敏感信息(CWE-200)。其他访问控制管理问题，包括授权缺失/错误(CWE-863)以及客户端/服务器端请求伪造漏洞(CWE-918)。2.服务器配置错误22A05:2021安全配置错误安全配置错误，如 CWE-798 和 CWE-276.3.传输层保护不足33A05:2021安全配置错误M3:传输层保护不足安全配置错误，如 CWE-798 和 CWE-276.4.授权不足44A01:2021访问控制失效M6:授权不足向未经授权的行为者暴露敏感信息(CWE-200)。其他访问控制管理问题，包括授权缺失/错误(CWE-863)以及客户端/服务器端请求伪造漏洞(CWE-918)。5.应用配置错误99A05:2021安全配置错误安全配置错误，如 CWE-798 和 CWE-276.6.应用隐私失败55A02:2021加密失败向未经授权的行为者暴露敏感信息(CWE-200)。不可信数据的反序列化(CWE-502)。7.身份验证：身份验证不足88A07:2021身份验证和认证失败认证不正确或缺失，如 CWE-287 或 CWE-306.8.内容欺骗/内容注入66A03:2021注入SQL注入(CWE-89)，命令注入（CWE-78和CWE-77），代码注入(CWE-94)，跨站脚本(CWE-79)。9.指纹敏感性77A09:2021安全日志和监控失败向未经授权的行为者暴露敏感信息(CWE 200).10.暴露于客户端/跨站脚本攻击不在十大漏洞范围内10A03:2021注入跨站脚本 CWE-79,跨站请求伪造(CWE-352).图2.新思科技十大漏洞类别 |9安全问题详解如图2所示，漏洞类别的排名多年来基本保持不变。有趣的是，“应用配置错误”成为唯一的例外。该类别在2022年从第9位跃升到第5位，之前两年一直排在第9位。配置错误可能发生在应用、浏览器、网络、操作系统和服务器中。例如，澳大利亚电信巨头Optus在2022年经历了一起严重的数据泄露事件，泄露了970万名客户的个人数据。造成这起事件的原因是公司的防火墙配置错误，使得第三方承包商能够访问敏感的客户数据。人为错误通常是配置错误的最常见原因。例如，组织机构没有充分检查其应用和部署脚本，使自己容易受到攻击；测试人员在测试过程中修改了配置，但没有恢复到更安全的设置；组织机构未对新的硬件和软件进行适当的测试，无法保证其能够满足他们的安全要求。“应用配置错误”排名上升，说明了组织机构需要使用多种安全测试工具，而不是只依赖一种测试工具。如果只使用一种测试工具，虽然在减少编码漏洞总数方面可能很有效，但并不是好的实践，尤其涉及到运行时环境时。组织机构需要使用多种测试工具来发现运行中的应用问题，如配置错误。2022年测试中发现的十大漏洞类别如下：1.信息披露，又称信息泄露。当敏感信息暴露给未授权方时，就会出现这种安全问题。例如，网站可能会因为安全配置错误而泄露用户名或财务信息等用户数据。在三年来开展的所有测试中，平均有19%的漏洞与信息泄露问题直接相关。OWASP团队将信息泄露归入“A01:2021-访问控制失效”类别，并指出与其他类别相比，这个类别中的漏洞最多。“向未经授权的行为者暴露敏感信息”、“通过发送的数据暴露敏感信息”以及“跨站请求伪造”等，都是该类别中最常见的漏洞。在三年来开展的所有测试中，平均有19%的漏洞与信息泄露问题直接相关。|102.服务器（安全）配置错误。服务器配置错误属于OWASP的“A05:2021-安全配置错误”类别，在三年来开展的所有测试中，这一类别平均占到漏洞总数的18%。虽然我们的研究结果集中在服务器配置错误上，但安全配置错误可以发生在应用程序堆栈的任何层级，包括网络服务、平台、Web服务器、应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器或存储器（见第5类）。这类缺陷经常允许攻击者未经授权访问系统数据或功能，有时甚至会导致整个系统被攻陷。在三年来开展的所有测试中，平均有11%的漏洞与传输层保护不足有关。3.传输层保护不足。这些安全缺陷是由于应用没有采取适当措施来保护网络流量而导致的。在身份验证期间，应用可能会使用SSL/TLS来保护数据安全，但通常不对其他操作使用这些技术，从而使数据和会话ID暴露给第三方。许多移动应用都存在与传输层安全性不足相关的特定问题，以至于OWASP在其OWASP Mobile Top list中专门为其设立了一个类别。正如OWASP所指出的那样，“移动应用通常不会保护网络流量。它们可能会在身份验证期间使用SSL/TLS，但不会在其他地方使用这些技术。这种不一致性导致数据和会话ID容易被拦截。”在三年来开展的所有测试中，平均有11%的漏洞与传输层保护不足有关。4.授权不足。这些漏洞可能允许用户访问他们无权访问的数据、内容或功能。当应用或系统没有正确验证用户身份或未能实施适当的访问控制时，就可能发生这种情况。例如，移动应用根据请求将用户角色或权限信息未经加密传输到后端系统，就属于不安全的授权。OWASP指出，IDOR漏洞的存在通常表明代码没有执行有效的授权检查。在三年来开展的所有测试中，平均有9%的漏洞与授权不足问题有关。在三年来开展的所有测试中，平均有18%的漏洞与服务器配置错误有关。|115.应用配置错误。这也是一种安全配置错误，也是在OWASP十大漏洞列表中排名第五的危险漏洞。许多应用都有一些开发者功能，这些功能如果在部署时没有关闭，就会非常危险，比如调试和QA功能。未被适当锁定的配置文件可能以明文显示（即任何人都可以读取的未加密文本），并且配置文件中的默认设置可能并没有考虑到安全因素。在三年来开展的所有测试中，平均有5%的漏洞与应用配置错误有关。6.应用隐私失败。应用隐私失败与信息泄露/披露相关，是指应用在设计、实施或修补方面存在缺陷，导致未授权的用户可以访问数据或内容，发生隐私泄露。组织机构在构建应用时，应考虑到一些隐私问题，例如：我们的开发人员是否接受过Web应用隐私方面的培训？是否编制了安全编码指南？我们的软件（包括服务器、数据库和库代码）能否及时更新？是否定期安装补丁？为确保软件中使用的第三方和开源代码是安全且最新的，我们采取了哪些措施？个人数据在完成指定任务后是否会被删除？在三年来开展的所有测试中，平均有5%的漏洞与隐私问题有关。7.身份验证不足。以前称为“身份验证失败”，属于OWASP“A07:2021身份验证和认证失败”类别，现在涵盖与身份验证失败相关的漏洞，例如我们列表中的第4类和第7类漏洞。在三年来开展的所有测试中，平均有5%的漏洞与身份验证不足有关。身份验证和授权不足是指因应用或系统没有正确验证用户身份或未能实施适当的访问控制而导致的安全漏洞。未经授权的用户可能会访问敏感信息或执行他们无权执行的操作，从而引发数据泄露和数据丢失等安全问题。8.内容欺骗/内容注入。内容欺骗也称为内容注入，是一种针对用户的攻击，可能是由于Web应用中存在漏洞，无法正确处理用户提供的数据而造成的。当Web应用将攻击者提供的内容呈现给毫无戒心的用户时，就会发生这种情况，其发生的形式通常是可信域名下修改过的页面。OWASP指出，这类攻击经常被误解为常见的Web漏洞，几乎或根本没有业务影响。但实际上，内容欺骗攻击频繁出现在各种欺诈中，攻击者冒充合法实体诱骗用户提供登录凭证。许多应用都有一些开发者功能，这些功能如果在部署时没有关闭，就会非常危险，比如调试和QA功能。|12 更令人担忧的是，内容欺骗有可能发起危险的攻击，包括代码注入和跨站脚本。三年来开展的所有测试中，平均有4%的漏洞与内容欺骗或内容注入有关。9.指纹敏感性。指纹（探测Web应用以获取信息）可以给攻击者提供有价值的信息，如操作系统类型、操作系统版本、SNMP信息、域名、网络区域和VPN连接点等。三年来开展的所有测试中，平均有3%的漏洞与指纹有关。测试中发现的许多具体的指纹类安全问题都属于微风险、低风险或中风险问题。也就是说，攻击者不能直接利用这些漏洞来访问系统或敏感数据。然而，揭示这些漏洞并不是一件徒劳无功的事情，因为即使是低风险的漏洞，也可能被用来促进攻击。例如，在三分之一的渗透测试和近一半的DAST扫描中，持续发现了与指纹相关的一个安全问题，即冗长的服务器标识（图5）。虽然这是一个中风险漏洞，但却能够给攻击者发动攻击提供足够的信息，如服务器名称、类型和版本号等。/右图下面的文字没有翻译测试发现的高危 漏洞的百分比2021年排名2020年排名1.跨站脚本19!2.授权不足163.身份验证不足634.应用配置错误4i5.传输层保护不足4E6.信息披露/信息泄露3v7.服务器配置错误28.SQL注入209.意外数据泄漏1%*10.程序验证不足1%*不在十大漏洞范围内图3.2022年测试发现的十大高危漏洞（不包括重新测试）测试发现的超高危 漏洞的百分比2021年排名2020年排名在2022年测试发现的所有高风险漏洞中，有19%与跨站脚本攻击有关。|131.SQL注入302.授权不足93.跨站脚本74.身份验证不足735.信息披露/信息泄露6D6.程序验证不足57.OS命令3w8.服务器配置错误2%*9.应用程序配置错误2i10.SQL注入1%*不在十大漏洞范围内图4.2022年测试发现的十大超高危漏洞（不包括重新测试）10.遭遇客户端/跨站脚本攻击。跨站脚本(XSS)攻击是一类客户端代码注入攻击，是在新思科技三年测试中排名第一或第二的高危漏洞。攻击者试图通过在合法的网页或Web应用中注入恶意代码而在受害者的Web浏览器中执行恶意脚本。在2022年测试发现的所有高风险漏洞中，有19%与跨站脚本攻击有关（见图3）。实施或加强诸如内容安全策略(CSP)之类的保护措施可以提供额外的安全层，帮助检测和缓解某些类型的攻击，包括跨站脚本和数据注入攻击（测试中发现的头号超高危漏洞，见图4）。攻击者可以使用不安全的用户数据传输（如cookie和表单），将命令注入到Web服务器上的系统Shell中，然后利用特权来破坏服务器。许多组织都认为，CSP不安全或缺失只是低风险漏洞。然而，跨站脚本、点击劫持和跨站泄漏等攻击的频繁发生，凸显出应用CSP的必要性，尤其是可以防止恶意脚本在客户端执行的CSP 作为第二层防线来抵御各种类型的攻击，包括跨站脚本和数据注入攻击。SQL命令注入是测试中发现的排名第一的超高危漏洞。|14脆弱的第三方库的危险如图6所示，在新思科技开展的2022年测试中，25%的测试发现了使用易受攻击的第三方库，这与OWASP Top 10中的“A06:2021易受攻击或过时的组件”漏洞有关。OWASP指出，无论是在客户端还是服务器端，您都必须清楚所有组件的版本，包括软件中使用的第三方和开源组件，否则，您的软件很可能会受到攻击。占2022年测试目标总数的百分比2021年排名2020年排名1.弱SSL/TLS配置702.缺失Content-Security-Policy标头43!3.冗长的服务器标识3724.可缓存HTTPS内容34U5.未实施HTTP严格传输安全(HSTS)机制34C6.不安全的Content-Security-Policy标头31h7.弱密码策略28w8.未屏蔽非公开信息数据25%*9.使用了易受攻击的第三方库25%*10.会话超时时间过长24%*不在十大漏洞范围内图5.2022年测试发现的十大安全问题开源代码可以显著提升软件构建的速度和效率，这已成为现代软件的重要组成部分，深受开发者欢迎。作为经过验证的代码，开源代码便于开发者访问和使用，无需浪费时间和资源做重复工作。然而，新思科技的年度 开源安全与风险分析报告,显示，开源代码并非没有风险。事实上，2023年的报告显示，开源安全风险已经达到了前所未有的水平，并且大多数企业并不十分清楚自己的代码组成。报告指出，高风险的开源漏洞在过去五年增速惊人（仅在零售和电子商务领域就增长了557%）。最重要的是，令人不安的是缺乏安全补丁和项目依赖维护（91%的项目包含了过时的开源组件）。大多数企业都不十分清楚自己的代码组成。|15从BSIMM报告中可以看出，“为软件创建物料清单”这项安全活动呈现增长趋势，证明了各组织机构都在朝着SBOM进行转变。BSIMM报告还显示，由于针对脆弱的开源项目的攻击越来越猖獗，导致“识别开源代码”和“控制开源风险”这两项活动显著增加。由于许多公司都在同时使用数百个应用或软件系统，每个应用或软件系统本身又可能依赖成百上千个不同的第三方和开源组件，因此，他们迫切需要借助准确、最新的SBOM来有效跟踪这些组件。启发和建议实施多层安全方法。仅依赖单一的安全测试解决方案，如静态应用安全测试(SAST)，已经不足以满足安全需求。组织机构应实施多层安全方法，通过SAST来识别编码缺陷，通过DAST来检查运行中的应用，通过软件组成分析(SCA)来识别由第三方组件引入的漏洞，通过渗透测试来发现错误配置等问题以及其他测试可能遗漏的漏洞。新思科技 2023年全球 DevSecOps现状调查 报告显示，44%的受访者将外部渗透测试视为安全测试的重要组成部分，也是对其他测试的有效补充。外部渗透测试的好处在于，它能从客观的第三方角度评估您的安全状况，并能准确模拟其他测试可能无法发现的潜在威胁和漏洞，以防它们被攻击者利用。自动和手动安全测试相结合。自动测试能够保证一致性和可扩展性，并节省时间和成本，而手动测试则能够增加一层洞察力和适应性，这对识别复杂和微妙的安全问题至关重要。例如，DAST作为黑盒测试（即不了解应用的内部结构）就需要开发者和安全专家验证和分析所发现的问题。重视补丁管理。保持警惕，及时修补漏洞，尤其是对第三方和开源组件。建立清晰的流程来识别、评估和快速应用补丁，有效防止漏洞利用。您不知道的漏洞才是软件中最危险的漏洞。|16实施严格的访问控制。对应用和网络实施严格的访问控制策略。遵循最小权限原则，确保用户只拥有执行任务所需的最低访问权限。定期检查和更新应用的访问权限，防止未授权的访问。将SBOM生成纳入软件开发生命周期。您不知道的漏洞才是软件中最危险的漏洞。通过使用完整的清单来识别组件，您可以更好地了解安全状况，并且及时有效地应对漏洞问题。确定是否需要补充安全测试。您的安全团队是否具备足够的应用安全技能和资源来测试安全缺陷？是否有时间按照监管机构和客户的要求来测试软件？选择能够随时随地提供专业安全测试服务的供应商。新思科技安全测试服务部专业技能过硬、工具丰富、纪律严明，能够随时随地为您提供经济高效的支持，对任何应用开展任何深度的分析。新思科技提供全方位的测试服务，包括渗透测试、动态应用安全测试、静态应用安全测试、移动应用安全测试、网络渗透测试、红队测试、物联网和嵌入式软件测试、以及胖客户端测试。我们的按需测试服务可以帮助贵组织的安全测试团队提升实力。立即联系新思科技，预约免费咨询。2023 Synopsys,Inc.版权所有，保留所有权利。Synopsys是Synopsys,Inc.在美国和其他国家/地区的商标。Synopsys商标列表可在 新思科技提供的集成解决方案，可以改变您构建和交付软件的方式，在应对业务风险的同时加速创新。与新思科技同行，您的开发人员可以在编写代码的时候快速兼顾安全。您的开发和DevSecOps团队可以在不影响速度的情况下在开发管道中自动进行安全测试。您的安全团队可以主动管理风险，并将补救工作聚焦在对贵组织最重要的事情上。我们无与伦比的专业知识可以帮助您规划和执行所需的安全计划。只有新思科技能够满足您构建可信软件的一切需求。如需了解更多信息，请访问：

0人已浏览 2023-12-08 38页 5星级

-1-2023 年 5 月 15 日 第2023 年 5 月 15 日 第2020期 总第 808 期期 总第 808 期 提升我国网络安全应急能力亟需构筑“三大体系”提升我国网络安全应急能力亟需构筑“三大体系”网络安全应急工作是网络安全的最后一道屏障，加强网络安全应急能力建设、规范网络安全应急处置流程是有效应对网络安全风险挑战、最大限度降低各类突发事件影响的核心手段。从我国网络安全应急处置实际情况看，由于部分应急预案缺乏处置应急事件所需的系统平台、技术装备和人员等要素的战略统筹机制，处置时难以实现高效联动，处置效果不如预期。赛迪研究院网络安全研究所建议，应多方发力响应大安全大应急框架建设的战略部署，通过灾 -2-备体系、预警体系、联动体系的互相支撑和作用，为事前预防机制的形成和网络安全应急管理能力的建设提供保障。一、网络安全应急能力建设进展（一）网络安全应急能力法律保障基本完善 一、网络安全应急能力建设进展（一）网络安全应急能力法律保障基本完善 2017 年中华人民共和国网络安全法的施行，标志着我国网络安全监测预警与应急处置战略部署形成。同年，中央网信办印发的国家网络安全事件应急预案为各地区、各部门和各行业网络安全应急管理工作的开展和推进提供了重要依据，对构建横向协同、纵向联动、全国统一的网络安全应急系统提出了具体的管理和处置要求。2021 年通过的中华人民共和国数据安全法，表明实现了对国家数据安全工作协调机制与数据安全应急处置机制建设必要性的制度性明确。此后，等保合规、身份认证、漏洞管理等一系列涉及细分场景的网络安全规章制度渐次落地，为我国网络安全产业发展提供了全新契机，也为推进网络安全应急工作提供了有力支撑。（二）网络安全应急工作机制逐步强化（二）网络安全应急工作机制逐步强化 2022 年国务院发布了“十四五”数字经济发展规划，要求健全和完善网络安全应急事件预警通报机制，同时将网络安全应-3-急能力建设的要点任务进行细化。现阶段，在网络安全应急事件处置组织架构、预防手段、监测分析、调查评估和保障策略等环节实现有规可循的基础上，我国已基本具备了覆盖多层级、囊括各流程的网络安全应急预案体系。（三）网络安全应急能力框架初步形成（三）网络安全应急能力框架初步形成 2022 年 11 月，信息安全技术关键基础设施网络安全应急体系框架面向社会公开征求意见，初步明确了网络安全应急能力框架结构及内涵。分析识别、应急预案、应急处置、事后恢复与总结、事件报告与信息共享，以及应急保障、演练与培训等环节成为网络安全应急能力的基本构成。应急体系架构由运营方和网络安全应急相关方两部分组成，运营方通过事件报告接口向应急相关方上报应急事件及信息，双方通过信息共享接口实现双向联通，确保全流程能力建设的协同高效。-4-图图 1 关键基础设施网络安全应急体系框架关键基础设施网络安全应急体系框架 资料来源：全国信息安全标准化技术委员会 资料来源：全国信息安全标准化技术委员会 总体来看，我国网络安全应急能力在法律法规、应急预案、组织架构、处置机制和技术配置等建设方面均取得了一定进展。现阶段，体系化建设成为重点，网络安全应急预案体系的建立与完善构成了网络安全治理的重要前提和关键基础，处置效果更依赖于应急处置全过程、全要素的支撑以及成熟的应急管理运行能力，我国网络安全应急能力仍有较大提升空间。-5-由于发展基础薄弱，我国网络安全应急能力体系化建设主要有三大短板。一是灾备建设不完善。兼顾数据备份和存储恢复策略的灾备体系投入不足、覆盖不全面，导致灾备需求尚不能得到充分满足。二是网络监测预警不到位。网络安全态势感知、攻击意图分析等技术在一定程度上实现了对潜在网络威胁的识别，但安全监测数据共享、攻击行为取证等环节仍较为薄弱。三是网络安全应急处置联动机制待加强。在当前网络安全威胁频发的局面下，多级联动应急指挥不充分、多点协同防御不彻底、安全数据输出路径不明确和信息交互渠道不畅通等问题仍较为突出，以稳定、顺畅的网络安全应急系统联动体系助推“协同式”网络安全治理模式发展未能实现。二、构筑“三大体系”，切实提升网络安全应急能力（一）构筑灾备体系，筑牢网络安全应急基石 一是明确网络安全运营目标，统筹灾备系统建设与运维。二、构筑“三大体系”，切实提升网络安全应急能力（一）构筑灾备体系，筑牢网络安全应急基石 一是明确网络安全运营目标，统筹灾备系统建设与运维。加强灾备体系顶层设计，明确灾备系统建设标准规范、技术架构、运行监管和安全防护等方面要求，构建集约高效的灾备体系。针对不同类型的网络安全主体或不同级别数据，尽快建立并完善灾-6-备相关技术规范、运行制度及管理体系。综合考虑数据与系统的重要性、业务关联度、技术匹配度、投入成本和基础设施情况，以及组织的安全策略及目标等一系列因素，遵循数据级、应用级和业务级三类业务恢复等级，以及本地容灾、异地灾备、云灾备等不同的灾备场景要求，为组织生成恰当的灾备策略提供指引。二是细化网络安全防御方向，提升业务连续性保障水平。二是细化网络安全防御方向，提升业务连续性保障水平。完善业务连续性流程，并进行长期、动态化的更新及调整，将增强灾难恢复能力和系统业务连续性保障水平作为确保灾备体系成熟建设的必要环节。识别网络安全潜在威胁并判断影响及损失，进而根据恢复业务所需的资源来制定恢复策略，从而保证组织以最快速度启动响应机制，将业务中断带来的损失降到最低。三是把握网络安全核心阵地，落实关键信息基础设施安全防护。三是把握网络安全核心阵地，落实关键信息基础设施安全防护。加强对灾难恢复预案、灾备中心管理和灾备演练计划等环节和流程的资金投入，综合考虑成本、地理环境、基础设施条件、数据及应用系统的重要性等，实现对灾备体系建设的合理布局。针对关键信息基础设施直接牵动网络安全、间接关联国家安全的领域，实现灾备建设资源的适度倾斜和业务连续性-7-需求的重点满足。同时，优化存储备份技术应用以及系统异构兼容性，发挥灾备系统作为保障数据安全、增强业务抗风险能力关键组件的重要作用。（二）构筑预警体系，激发网络安全应急动能 一是强化顶层设计，健全网络安全监测预警制度。（二）构筑预警体系，激发网络安全应急动能 一是强化顶层设计，健全网络安全监测预警制度。把监测预警作为维护网络安全的首要环节和常态化任务，细化包括网络监管主体的网络安全责任，落实“谁主管谁负责、谁运行谁负责”的要求。各监管主体应每日查看各类网络安全设备告警信息并进行汇总，分析评估发生网络安全应急事件的可能性及其可能造成的影响，及时向上级报告可能与网络安全应急事件发生有关联的信息。二是优化统筹协调，注重多源数据融合和信息共享。二是优化统筹协调，注重多源数据融合和信息共享。充分发挥网络安全威胁和漏洞信息共享平台效能，全面汇聚政府机关、网络安全部门、安全监管单位和企业等不同数据应用主体和数据应用场景中的重要出入口数据，督促网络产品提供者及安全机构限期修复信息系统风险漏洞。强化平台对重要信息的过滤功能，根据恶意网络资源、恶意程序、安全隐患和安全事件等信息形成-8-漏洞威胁情报，结合威胁情报对漏洞进行多维度的信息整合和属性标定。对威胁类型、利用场景、危害程度进行技术层面评估，判定威胁和漏洞可能导致的实际安全风险。挖掘漏洞信息上下文并确定处理优先级，进而跟踪威胁状态并关联相应安全事件。此外，明确各地区或各级网络安全应急指挥机构角色与职责，组建国家级网络安全信息共享及合作中心，形成网络安全威胁防护及风险应对的集体韧性。三是深化场景储备，加快凝聚网络安全预警力量。三是深化场景储备，加快凝聚网络安全预警力量。应打造场景敏感度高、识别能力强的预警体系，搭建政府部门、企业和社会组织（行业协会和产业联盟等）的合作空间，发挥高等院校、科研院所在网络安全技术研究领域的优势，识别不同业务场景对安全合规性的不同需求，促进预警机制建设和应用探索的逐步发展。（三）构筑联动体系，夯实网络安全应急管理成效 一是技术保障层面的联动。（三）构筑联动体系，夯实网络安全应急管理成效 一是技术保障层面的联动。通过立体纵深的防御逐一击破安全痼疾，切实提升专业处置能力，促进计算机层面与网络层面的结合以及软硬件的联动。从入网身份、客户端 PC 和网络通信等-9-多个角度开展网络安全监控、检测、防御和处理，形成多重防线，并对此进行统一规划、建设和管理，通过周密的技术方案和动态防护能力，实现交换机、防火墙和用户安全平台等技术元素之间的联动，以合理的“沟通机制”高效应对网络安全应急事件。二是组织机制层面的联动。二是组织机制层面的联动。需整合不同类别的安全资源，以多点协同联动机制推动全方位安全联动能力生态的构建，加强各相关部门或主体的系统联动与协同治理，优化产业链上下游网络安全情报及信息共享。在顶层设计方面出台战略的同时，从末端落实举措，加强地区协同整合和联动机制建设。压实政府、企业及社会组织的监管责任、主体责任和社会责任，构建任务清晰、分工明确和环环相扣的责任链条，汇聚纵向层级结构和横向主体部门两个维度的安全能力并体现安全价值。三是响应处理层面的联动。三是响应处理层面的联动。建设较为完备的系统化应急响应方式，以平台联动实现响应处理联动。建立调度通报、动态管理、跟踪研判和问效改进制度，打通网络安全预警信息和应急响应方案互通渠道，确保各网络安全事件处理主体部门在信息共享、应急联动等方面实现深度对接。搭建联合响应指挥技术支撑平台，-10-在值班值守、协商研讨和指挥决策时，实现对跨类别、跨维度态势信息的重组整合、关联分析和可视化掌控。本文作者：赛迪研究院 庞林源 联系方式： 电子邮件：panglinyuan

0人已浏览 2023-12-08 11页 5星级

2023年中国云原生安全市场报告头豹研究院弗若斯特沙利文咨询（中国）重点关注：安全体系、容器安全、集群安全、云平台安全服务2023年12月报告说明沙利文联合头豹研究院谨此发布中国云计算系列报告之2023年中国云原生安全市场报告年度报告。本报告旨在分析中国云原生安全服务应用市场的现状、应用前景、技术动向及发展趋势，并探析云原生安全市场竞争态势，呈现该细分市场领袖梯队厂商的差异化竞争优势。沙利文联合头豹研究院对云主机安全进行了下游用户体验调查。受访者来自金融、政务、电信、医疗、教育等不同行业，所在公司规模不一，细分领域有别。本市场报告提供的云原生安全应用趋势分析亦反映出云原生安全行业整体的动向。报告最终对市场排名、领袖梯队的判断仅适用于本年度中国云原生安全市场发展周期。本报告所有图、表、文字中的数据均源自弗若斯特沙利文咨询（中国）及头豹研究院调查，数据均采用四舍五入，小数计一位。报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系弗若斯特沙利文及头豹研究院独有的高度机密性文件（在报告中另行标明出处者除外）。未经弗若斯特沙利文及头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，弗若斯特沙利文及头豹研究院保留采取法律措施、追究相关人员责任的权利。弗若斯特沙利文及头豹研究院开展的所有商业活动均使用“弗若斯特沙利文”、“沙利文”、“头豹研究院”或“头豹”的商号、商标，弗若斯特沙利文及头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表弗若斯特沙利文或头豹研究院开展商业活动。沙利文市场研读400-072-55883u中国云原生安全市场综述-05 云原生安全基础架构 云原生安全用户核心诉求u中国云原生安全核心板块及技术覆盖-08 基础设施代码安全板块 容器和容器编排器安全板块 云主机安全板块 云原生微服务安全板块u中国云原生安全市场发展机遇-13 场景拓展机遇-多元产业加速上云 应用升级机遇-融合AI/ML工具u中国云原生安全市场竞争态势-16 云原生安全竞争力评价维度 云原生安全综合竞争力表现 领导者：青藤云安全 领导者：腾讯云 领导者：华为云u方法论-25u法律声明-26研究框架沙利文市场研读400-072-55884 图1：云原生安全框架重点能力关联性拓扑-06 图2：云原生安全应用诉求要点-07 图3：IaC层安全防护策略应用特征-09 图4：结合基线、动态扫描、白名单、签名等机制提升容器生命周期安全-10 图5：微服务架构下DevOps全流程安全管控和卡点定位-12 图6：云原生结构推动企业多元系统实现运维降本和效率转化-14 图7：云原生安全工具链多维度融合AI和大模型-15图表目录章节一中国云原生安全市场综述1.1云原生安全基础架构1.2云原生安全用户核心诉求云原生分层多级的架构助力企业用户实现更加灵活可扩展的业务形态，但随之而来的资产暴露面增加、配置环境复杂、通讯机制变化都造成更多潜在的安全风险。云原生安全能力需要与云原生基础设施架构形成完善的对应关系，针对云上工作负载平台、云网络层、容器和集群、容器编排管理系统、基础设施代码、镜像、应用程序等不同的板块形成灵活并精准对应的安全检测、防护手段，缩小云原生架构下的资产暴露面。400-072-5588沙利文市场研读6中国：云安全系列q 基础设施计算和运行颗粒度细化，云原生安全模块需灵活随航云原生架构在为公有云、私有云和混合云环境带来弹性可扩展的动态工作环境的同时，也为资产安全、数据安全带来新的挑战，针对云原生架构下的容器、服务网格、微服务、基础设施、声明式API等核心组成，安全服务商需要以不同于传统网络安全的思路进行云安全防护能力的构建和调优，助力最终用户在获得分布式、弹性扩展、敏捷部署、多元耦合等云原生优越性表现的同时，实现新架构下的开发安全、测试安全、交付安全、应用安全，并融合机器学习、深度学习技术，推动进一步的自动化安全防护。从安全架构的角度而言，云原生安全能力与云原生架构具备清晰的映射关系，核心功能板块包括基础设施代码安全、容器安全、镜像安全、应用程序安全、集群安全、云原生数据安全等。随着基础设施计算和运行颗粒度的持续细化，云原生安全在不同层面（网络、计算、存储、应用、大数据等）所需具备的检测和防护能力也在持续细化的过程中，并将配合最终用户在建设混合云架构时的灵活选择，支持安全模块的灵活随航。1.1云原生安全基础架构图1：云原生安全框架重点能力关联性拓扑云平台（VPC、RDS、OSS、IAM等）云主机基础设施代码IaC云原生操作系统密钥管理系统准入机制、加密机制、验证机制资产管理、配置管理、身份管理运行时进程追踪和扫描实时动态运维云原生应用程序容器编排器容器容器镜像容器集群微服务架构无服务器（Serverless）环境*注：全链拓扑图中的弧线代表不同板块和安全能力点的联结紧密程度，弧线越粗代表联结程度越紧密，反之则较稀疏。从同一色系弧线的分配情况，可以显示出云原生安全能力的重点联结方向。400-072-5588沙利文市场研读7中国：云安全系列1.2云原生安全用户核心诉求图2：云原生安全应用诉求要点q 基础设施快速升级造成的业务安全风险或为云原生普及造成阻力企业用户对于云基础设施的应用，已经从初期的初步上云发展到当前深度应用云原生架构，架构的变化带来更多的安全挑战，迁徙过程中可能面临更多潜在和实际发生的安全事件，云安全服务商需要快速针对云平台、容器、云主机、无服务器环境、容器编排器、基础设施即代码等不同的架构层部署有效的检测、监测、预测、防护、修复、溯源等能力，助力企业用户在业务效率升级的同时，避免因安全破防而造成的经济损失。q 用户重视精细化的配置管理、授权机制、访问控制、加密机制在多数业务场景中，企业用户采取循序渐进的方式部署云原生架构，从初期评估规划到完成容器化、引入云原生技术、重建应用程序架构，整体过程面临的不同层面风险需相应的安全防护手段和工具。云上工作负载平台是搭建云上应用程序的基础，而随工作负载激增，平台漏洞和应用程序漏洞也无可避免大幅增长，用户亟需在管理大量工作负载平台的同时实现合规配置；在容器、镜像、集群的层面，最终用户需要安全服务商能够提供更加灵活可扩展的验证和授权控制机制，提供对容器间、集群间通讯流量漏洞和威胁的有效识别防护手段，并建立可快速规模化应用的隔离策略；在容器编排器的层面，端口、主机等核心通讯节点的访问控制和验证的要求更为严格，用户需要确保核心操作系统、核心节点的合规访问；在代码的层面，用户在享用一键部署便利的同时，更需精确的配置以降低资产暴露面，并执行完善的加密措施。配置管理权限、网络、运行时等层面配置准入机制文件、进程、应用程序白名单构建加密机制避免硬编码加密，采用有效加密算法云原生组件、进程统一安全管理诉求云原生算力侧安全企业用户应用侧安全综合覆盖云原生安全中心、容器镜像管理、密钥服务、网络安全、物理安全、云产品安全、硬件安全等板块虚拟基础设施安全供应链和运行时安全访问控制漏洞响应漏洞补丁VPC配置DDoS防护安全审计供应链安全数据安全运行时安全制品环境安全运维权限配置应用构建应用部署应用运行企业用户侧一方面需进行持续的安全扫描、安全审核，另一方面要对开发、部署、运维各环节执行严格的准入校验机制章节二中国云原生安全核心板块及技术覆盖2.1 基础设施代码安全板块2.2 容器和容器编排器安全板块2.3 云主机安全板块2.4 云原生微服务安全板块云原生环境相对虚拟化的上云进程，存在架构和应用模式本质的区别，IaC、容器、容器编排系统、微服务、无服务器等模式更能发挥云计算灵活弹性的优势。云原生环境下，资产激增和通讯流量复杂的特征推动安全策略的更新，云原生安全解决方案需要提供更细力度的资产、流量、配置、身份和行为管理工具，提升漏洞检测和修复的敏捷性。400-072-5588沙利文市场研读9中国：云安全系列qIaC 安全审计监控：采用日志记录、审计、分析和入侵检测等工具，实时并动态监控基础设施的状态和配置2.1基础设施代码安全板块q 针对基础设施层进行合规配置实时扫描，促进安全左移的落地基础设施代码层面安全防护策略的建立是安全左移的代表性实践，尽管在云原生环境下，容器、镜像和集群的合规配置和安全检测、防护策略更易受到关注，但基础设施代码是云原生工作流的基础，宜建议用户重视该层面安全卡点的建设，更加严格准入策略，强化资产安全，将准入机制从容器和镜像层面左移至基础设施代码环节。基于基础设施层配置安全性的增强、准入管理机制的建设，云原生用户可更加便捷地启用IaC命令式和声明式的脚本模板，并获得模板的可复制性、可维护性和安全性；安全服务商通过对IaC模板配置情况的持续扫描，及时发现漏洞，将风险控制在业务生产流程之前，确保CI/CD的顺利实现。q 依托统一策略引擎支持基础设施代码层配置管理、密钥管理、可信管理当前常见的IaC风险集中在不当或者错误配置、硬编码密码导致的漏洞、敏感信息漏洞、基础镜像漏洞、对接第三方工具和库的风险、脚本代码逻辑错误或语法错误等方面。其中，镜像漏洞经过镜像再生后将以指数速度扩大，未认证镜像的漏洞难以察觉，硬编码则导致密钥被轻易探知，参照核心风险类别，云原生安全服务商能够提供针对性的IaC安全策略，包括以上提到的IaC配置持续扫描和漏洞检测引擎的开发和算法优化、可信脚本认证、IaC密钥合规管理，并依托统一的策略引擎实现整体业务环境的代码安全。图3：IaC层安全防护策略应用特征IaC安全策略难度IaC安全策略部署成本成本较高成本较低难度较高难度较低qIaC 代码质量和安全审计：采用版本控制系统，对所有代码模板进行审查、测试，进行静态代码分析qIaC 访问控制：基于强密码和多因素身份验工具建立或使用访问控制列表，并定期审查更新访问权限qIaC 持续集成部署安全：依托自动化工具和流程，管理代码构建、测试、部署全链路，建立灰度部署、回滚机制qIaC 敏感信息保护：对敏感信息进行密文存储，设置有效的密钥防控机制，避免采用硬编码，配置多元变量400-072-5588沙利文市场研读10中国：云安全系列2.2容器和容器编排器安全板块容器和容器编排器构成云原生的标准化基础设施，容器和容器镜像的应用呈指数级增长，日趋复杂的底层生态对安全管控带来更多挑战，容器层面的特权账号风险、攻击逃逸风险、容器镜像漏洞皆有可能造成攻击行为在组织内部的快速渗透，容器编排器层面的不当配置或组件漏洞也将放大风险暴露面，譬如端口漏洞、关键控制节点劫持、密钥泄露或未校验凭证等，皆有可能导致底层计算资源遭到入侵。q 实时扫描管控，强化准入机制，确保基础设施安全容器层面的安全管控主要涉及容器镜像管控、建立严格准入控制机制、构建容器基线、进行签名校验等方面，服务商需对镜像仓库进行持续的风险扫描，并在入口做好合规拉取管控措施，并实时汇总镜像扫描结果，更新准入控制项目和容器基线，此外，针对容器进程、文件、网络的白名单也应加强基础设施模板的安全性、可复制性。q 容器管理调度层面宜更加重视安全操作机制的落实容器编排器可能面临未经授权的访问、恶意提权、错误配置、恶意资源消耗、数据泄露等类型的风险，防护策略的重点可落在容器编排器访问和授权机制建设、配置维护、组件定期更新、有效的网络隔离和网络策略、有效凭证管理等方面，以确保关键业务控制节点的合理访问和操作。图4：结合基线、动态扫描、白名单、签名等机制提升容器生命周期安全容器基线扫描镜像扫描容器威胁检测与响应容器白名单Dockerfile扫描镜像签名容器准入CI/CD集成n结合容器最佳实践对容器基线进行检查n针对镜像遭受供应链攻击、病毒植入等风险进行全流程管控，从入口处降低风险镜像的引入n建立完善的容器基线标准和管理机制n控制检测系统对计算资源消耗和对业务稳定性的影响neBPF应用深化，防止容器逃逸n签名加密n签名校验n构建进程、网络、文件的白名单，实时确保准入机制有效性n替代传统入侵检测机制，有效监控容器异常状态n扫描主机、容器、网络配置n扫描软件和方法筛选400-072-55882.3云主机安全板块云上资产清点云主机安全层面的基础能力在于安全检查和安全运维，具体包括资产清点、资产权限配置、日志管理等工具和框架，云原生资产形态与虚拟机资产形态存在量级和结构方面的差异，需要对容器实例名称、配置、状态和所属的应用程序或服务进行全面清点，同时对存储资源、网络、身份凭证、自动化工具脚本、第三方工具等资产类别进行实时管理。云上合规基线配置云原生环境下，基线配置涉及身份和访问管理、网络安全组、敏感数据、日志记录监控、操作系统和应用程序、漏洞和补丁等方面，可依托强密码策略、流量限制、加密算法升级、密钥管理升级、预警和响应机制设计、安全补丁应用和更新等策略，在确保对通用基线部署的同时，提供更多自定义基线设置的维度，细化基线管理颗粒度。云上病毒发现机制演进防病毒引擎的搭载为整体云上业务流程增加了流量负担，占用较大运行资源，鉴于云上工作负载运行周期较短，传统分析训练型的防病毒机制开始转向异常情况应对机制，服务商可在确定可信进程、数据、文件等资产后，采用白名单策略，阻断一切形式的异常状态，并且对存在病毒的云主机资源采取分类检测响应策略。云上网络隔离云上工作负载环境下，业务进程共享操作系统内核，更加容易产生容器逃逸现象，安全服务商需助力企业用户做好网络隔离，具体可通过创建网络逻辑隔离、虚拟私有云、子网划分和进程分配、配置虚拟防火墙、在子网级别建立访问控制列表、应用服务网格、采用TLS/SSL协议进行流量加密等方式，细化流量管理和网络隔离策略的颗粒度。云主机是承载云原生环境中所有工作流量的基底，可能存在因基线配置失当、资产档案缺失而产生的漏洞或端口暴露风险，在遭受攻击和入侵的情况下，云主机的失陷可能传导至整个云平台，在混合云环境下，则可能面临更加复杂的风险传导效应。400-072-55882.4云原生微服务安全板块 微服务架构的应用是云原生安全区别于传统业务上云模式的重要特征之一，而应用程序在被拆分为更多服务模块的同时，也带来资产规模快速增长、流量追溯困难等现象，这对云安全服务商带来更多的挑战，也带来重塑安全架构的机遇。q 微服务的应用让应用系统的编写和更新更趋灵活敏捷云原生架构下的微服务模块在本质上亦为应用程序组件，在形式上将复杂的应用程序拆分为多个服务模块，并在服务模块之间通过API进行计算指令的传递，拆分后的微服务模块为开发人员提供了更大便利，支持不同开发语言的编写，且在整体上构成应用系统。鉴于服务模块的拆分，微服务架构能够助力开发人员以更灵活的方式更新应用程序，在云原生环境下实现服务模块的滚动更新和灰度发布，以及回滚。微服务架构在全球开发环境中迅速普及，并且衍生出无服务器（FaaS）框架，助力企业开发人员能够更加专注于业务本身的特征和开发诉求，从传统开发环境的限制和低效状态中解脱出来。尽管微服务架构支持更好的拆分和更有序的故障管理（熔断、限流等策略），随之而来的不同于传统开发运维环境的安全挑战也快速增加。q 构建微服务级别的资产管理、流量管理和身份管控安全体系鉴于微服务框架对应用程序更细颗粒度的拆分，随之而来的是攻击面的规模化增加，微服务模块之间通过API进行通讯，需要对流量访问和行为授权进行管理的卡点增加，此外，规模化的服务模块增加也为应用系统内整体流量动向的梳理和追踪带来巨大挑战，单个服务模块的失陷可能导致攻击在系统内部和向系统底层的迅速蔓延，进而导致数据泄露、远程控制等风险，此外，开发环节也存在错误编码、硬编码等风险。针对微服务框架的特征，云原生安全解决方案需要提供针对微服务级别的资产清点和关系动态图谱，通过强化扫描策略的方式加强微服务资产的准入管理，此外，通过采用零信任机制、白名单机制等方式有效控制访问和进行行为授权。图5：微服务架构下DevOps全流程安全管控和卡点定位资产暴露面探测及梳理流程微服务基础框架安全微服务访问溯源12请求标识符访问路径访问时间访问日志访问审计API与敏感数据3全面追踪并分析微服务架构下请求操作API接口API调用数据加密4微服务应用安全异常和错误信息微隔离及白名单微服务资产清点准入API和应用安全n 微服务架构下安全左移实践：容器环境 下，对 DevOps过程中漏洞、错误配置进行管控，设置微服务上线前的全面安全卡点。章节三中国云原生安全市场发展机遇3.1 场景拓展机遇-多元产业加速上云3.2 应用升级机遇-融合AI/ML工具企业在数字化转型进程中，经历了从硬件设备到虚拟化云平台，再到云原生的不同阶段，云计算应用和进程的分配从基础设施层系统层面上升到云系统层面，同时要求更细颗粒度的服务和服务间通讯安全能力。AI技术与云原生安全之间具备双向驱动的作用，AI技术助力安全平台更有效地利用日志、威胁情报、漏洞等数据，提升安全检测防护效率，而云原生安全能力助力AI供应链实现全面风险管理，构筑更加高效的AI平台。400-072-5588沙利文市场研读14中国：云安全系列3.1场景拓展机遇-多元产业加速上云图6：云原生结构推动企业多元系统实现运维降本和效率转化“云原生应用的趋势不仅仅，也不主要是一种技术趋势，云原生应用的趋势更多是一种文化和组织变革的趋势。”云原生架构创始人Matt Stine 随着各行各业企业业务上云部署的进程发展，数字化业务对IT资源的可扩展性、敏捷性、灵活性要求快速提升。在传统上云模式下，计算资源从硬件设备迁徙至虚拟化的系统中，但本质上仍然以设备为资源分配的基础，无法满足数字化业务对IT资源指数级增长的需求，而云原生架构的应用进一步将虚拟化计算资源作为基础算力总控平台，构建对应用系统的直接支持。当前企业应用云原生架构的关键技术要素包括四方面。1.微服务：作为可独立部署、独立开发的服务模块，处理特定的业务功能，对扩展和维护更加友好，多个微服务模块构成应用程序系统；2.容器化：通过容器化的应用进程，实现不依赖于运行环境的业务进程；3.DevOps：基于云原生架构松耦合的特征，实现持续迭代和自动运维；4.持续交付：将应用交付自动化，支持滚动部署、灰度部署、回滚等能力。毋庸置疑，云原生技术的应用帮助企业更好地应对业务爆发式增长的过程，从开发、交付、部署、运维等不同角度带来便利和稳定性，云原生架构对云上资源更细粒度的分配帮助企业用户降低用云成本，将企业发展的重心更加集中于业务本身。云原生架构演进及法则企业应用云原生方向性基准代码和声明式关系确立有效存储安全配置无状态进程运行应用容器化基础形态云原生架构路线&特征云原生技术点应用程序集成架构微服务通讯网络构建后端服务资源附加DevOps有效隔离端口绑定基于端口绑定配置提供服务进程并发基于进程模型进行扩展环境等价保持环境开放，保持线上环境一致管理进程化以进程运行模式处理管理类任务n研发设计上云：在云原生环境部署更加协同的开发环境，不同区域团队实现线上跨地域和跨语言的协同统一开发n生产上云：企业通过在云上运营制造管理系统、资源计划系统、生产数据、业务SaaS系统等方式推进生产协同n供应链上云：云原生架构支持供应链板块在云上弹性部署采购管理、仓储管理、物流管理等系统，亦支持在云端直接触达全流程n营销上云：重点覆盖云上电商、云上CRM和渠道管理、云端营销、云端智能客服等环节，精准提升客户转化率n安全防护上云：从网络基础设施、业务运行态势、数字化内容三个维度采取安全上云策略，强化风险防御力和业务稳定性日志维护以事件流形式建立并维护日志微服务架构云原生数据库和中间件云原生存储容器编排Kubernetes云原生网络和服务云原生应用自动化部署云原生服务可观测性公有云云原生400-072-5588沙利文市场研读15中国：云安全系列3.2应用升级机遇-融合AI/ML工具图8：云原生安全工具链多维度融合AI和大模型在云原生架构下，安全服务商可借助快速迭代突破的AI能力实现对开发、部署、运维的无缝安全管理和安全功能渗透，具体应用方向包括智能化SASE平台建设、AI供应链管理、安全中心自动化运营、运维安全自动化等。q SASE平台借助AI技术实现统一管理和自动化运维SASE平台能够为公有云、本地数据中心、移动端、SaaS、云计算基础设施等提供统一网络安全能力和服务，在AI技术的驱动下，SASE平台能够对安全功能、网络功能相关数据进行全盘管理，并通过统一管理模式在微服务组件和进程等层面实现AI运维。q 云原生安全平台框架与AI供应链管理具备高适配性云原生安全防护平台融合安全态势管理、云服务网络安全、云工作负载安全等核心板块，可为AI供应链提供更细颗粒度的的安全防护能力以及动态合规配置服务，助力AI开发企业实现更加安全的供应链和人工智能应用。q 日志、威胁情报、告警数据颗粒度细化，实现快速安全检测和分析云原生安全不同层面的日志统计和告警能力需要融合AI技术，推动细粒度数据收集训练，进而提高告警数据交叉关联、快速应对复杂威胁、快速判断攻击面、自主响应等能力，进一步缩短漏洞检测周期，推动安全前置。零信任框架落地安全事件主动分析修复方案自动生成自动化威胁检测自动化渗透测试智能威胁查询云上身份及权限管理大语言模型驱动云上安全工具链实现自动化服务代码安全测试维护&n 融合AI技术应对生成式AI类新型攻击：AI/LM创新技术和算法与安全能力的融合有助于维护云原生安全环境下开发流程的全周期安全。AI把守云上端到端安全卡点n 大语言模型为云原生安全体系增强和补充可用工具和关键流程，在估计低层次任务安全性的同时，从自动化威胁检测、攻击事件数据主动分析、自动化修复方案生成、自动化渗透测试脚本处理等方面提供无缝安全方案。16方法论u 头豹研究院布局中国市场，深入研究10大行业，54个垂直行业的市场变化，已经积累了近50万行业研究样本，完成近10,000多个独立的研究咨询项目。u 研究院依托中国活跃的经济环境，从云原生架构、云工作负载安全、云上开发部署安全等领域着手，研究内容覆盖整个行业的发展周期，伴随着行业中企业的创立，发展，扩张，到企业走向上市及上市后的成熟期，研究院的各行业研究员探索和评估行业中多变的产业模式，企业的商业模式和运营模式，以专业的视野解读行业的沿革。u 研究院融合传统与新型的研究方法，采用自主研发的算法，结合行业交叉的大数据，以多元化的调研方法，挖掘定量数据背后的逻辑，分析定性内容背后的观点，客观和真实地阐述行业的现状，前瞻性地预测行业未来的发展趋势，在研究院的每一份研究报告中，完整地呈现行业的过去，现在和未来。u 研究院密切关注行业发展最新动向，报告内容及数据会随着行业发展、技术革新、竞争格局变化、政策法规颁布、市场调研深入，保持不断更新与优化。u 研究院秉承匠心研究，砥砺前行的宗旨，从战略的角度分析行业，从执行的层面阅读行业，为每一个行业的报告阅读者提供值得品鉴的研究报告。17法律声明u 本报告著作权归头豹所有，未经书面许可，任何机构或个人不得以任何形式翻版、复刻、发表或引用。若征得头豹同意进行引用、刊发的，需在允许的范围内使用，并注明出处为“头豹研究院”，且不得对本报告进行任何有悖原意的引用、删节或修改。u 本报告分析师具有专业研究能力，保证报告数据均来自合法合规渠道，观点产出及数据分析基于分析师对行业的客观理解，本报告不受任何第三方授意或影响。u 本报告所涉及的观点或信息仅供参考，不构成任何证券或基金投资建议。本报告仅在相关法律许可的情况下发放，并仅为提供信息而发放，概不构成任何广告或证券研究报告。在法律许可的情况下，头豹可能会为报告中提及的企业提供或争取提供投融资或咨询等相关服务。u 本报告的部分信息来源于公开资料，头豹对该等信息的准确性、完整性或可靠性不做任何保证。本报告所载的资料、意见及推测仅反映头豹于发布本报告当日的判断，过往报告中的描述不应作为日后的表现依据。在不同时期，头豹可发出与本报告所载资料、意见及推测不一致的报告或文章。头豹均不保证本报告所含信息保持在最新状态。同时，头豹对本报告所含信息可在不发出通知的情形下做出修改，读者应当自行关注相应的更新或修改。任何机构或个人应对其利用本报告的数据、分析、研究、部分或者全部内容所进行的一切活动负责并承担该等活动所导致的任何损失或伤害。

0人已浏览 2023-12-07 17页 5星级

2023 年深度行业分析研究报告 目 录 一.网络安全行业需求变化.4 1.1 需求从网关类向内网数据、安全管理、安全服务类产品延伸.4 1.2 目前以硬件为主，未来软件和服务的规模有望进一步提升.5.

0人已浏览 2023-12-07 23页 5星级

黑灰产欺诈攻防体系的研究与实践同盾科技/阅微中国科学院中国科学院 计算数学硕士计算数学硕士 曾任国密局密码算法课题组成员曾任国密局密码算法课题组成员 GAGA某部某部-涉贷反诈模型项目技术负责人涉贷反. 

0人已浏览 2023-12-04 54页 5星级

运营商网络安全可信内生探索与实践杨凯中国移动通信有限公司研究院安全所 副所长2023年11月CATALOGUE目 录一、技术演进带来安全新挑战二、构筑网络安全可信内生技术体系三、创新实践技术演进带来安全新挑战PA RT.0 1趋势一：多业态融合演进为安全技术发展注入新动力数智化时代，随着连接、算力、业务的融合演进，提出了安全新需求、也提供了安全新动力。网络更开放，形成更大的暴露面IT化解耦，形成更多内部攻击路径动态组网，形成动态边界DTN等6G网络新能力提供安全新动力连接(空天地)融合开放、动态、智能、服务化节点，需要依据信任度选择计算方法计算，需要保障过程不被攻击数据，需要保障全程安全与隐私更强的算力，提供更强的安全分析能力算网融合算为中心，网为根基，算网融合元宇宙：虚实融合、沉浸式体验（超大流量）Web3.0：协作去中心化、资产价值化数字资产、内容权属和权益是关键问题新业态（元宇宙、Web3.0）用户为中心、动态互联n多身份体系认证体系互通n数据资产保护n要防护更大的攻击面n需要防护更细粒度的攻击n要形成灵活动态的安全服务n计算节点需自证安全性n计算过程需保障不被攻击n数据全生命周期安全安全要可信安全要灵活安全要内生趋势二：新架构加大了网络安全边界泛化的程度通信网络正加速向未来网络演变，算力资源成为核心生产力，移动性接入增多，业务安全边界变得模糊，云上业务受攻击面扩大，传统的基于设备物理位置和网络位置的接入安全防护已难以满足移动性接入安全防护需求。未来网络通信网络算力为核心的信息数据处理网络为核心的信息交换新架构 新技术 新产业 新运营网络安全新范式固定边界融合边界扩张边界开放边界新安全传统安全趋势三：新技术发展对既有安全防御规则形成挑战密码的安全性密钥的安全性密码算法的安全性密钥的安全性密钥管理非对称加密对称加密散列算法量子计算、人工智能等新技术在业务场景中的融合应用，较之传统技术而言在计算、存储、传输能力等方面带来大幅跃升，但可能诱发更加高效、有针对性、难于发现和追溯的网络攻击，对既有网络安全防御规则形成了巨大挑战。日益逼近的“量子霸权”促使密码技术向“抗量子”及“国产化”方向发展。通过AI工具进行模拟合法操作，修改设备配置，再利用中间人展开攻击。网络攻击自动化1网络攻击智能化2利用AI技术可进行自动化漏洞探测、构建恶意软件等，不仅大规模降低了攻击成本，更提升了复杂攻击的速度与执行效率。人工智能技术的发展像一把“双刃剑”，给网络安全带来挑战和风险。大数据B-Big data人工智能A-AI能力中台I-Integration Platform算力网络C-Computility network安全S-Security6G6-6G面向“六大领域”实施“BASIC6”科创计划推进大数据价值转化加速人工智能创新突破强化网信安全能力放大“能力中台”赋能效应引领算力网络发展前瞻研发6G 国家专项(CYD、LHT、战新等)公司战略（连接 算力 能力）政企市场技术研发需求对内：保障大网安全对外：形成增值服务安全连接5G/6G安全数据安全AI安全.能力融合与协同调度基础技术能力融合领域方案量子密钥区块链可信计算.隐私计算信任安全构筑网络安全可信内生技术体系PA RT.0 2基础技术：量子密钥无线分发技术解决传输难题无线信道特征随机性互易性空间不相关性无线传播环境反射折射散射“取之不尽，用之不竭”的天然随机源无线信号小尺度衰落时间域：多普勒频移频率域：时延扩展空间域：角度色散无线信道密钥技术无线物理层密钥生成物理层信息安全传输针对量子密钥“最后一公里”传输难题，中国移动启动了“Q波计划”：利用无线信道的“不确定性”实现量子密钥的“确定性”安全传输，促进量子通信与移动通信的融合发展。满足量子密钥大规模应用需求的“三层架构”基于区块链与传统CA技术特点，提出多层级CA身份体上链技术；支持引入CA机构根证书与加入个体证书，解决层次化CA证书上链与互信的问题。推动ISO/IEC、ITU-T启动修订传统数字证书体系的权威国际标准ITU-T X.509。基础技术：通过区块链技术实现平权共治CA集中式架构区块链 CA分布式架构联盟1设备商1运营商1设备商2认证机构1证书1证书2根证书1证书1.1证书1.2联盟2运营商2联盟3证书3证书4用户证书批量记录至区块链，无需CA机构参与将共同信任的CA机构证书记录至区块链，兼容传统技术模式基础技术：基于可信度量技术实现全网运行可预期基于可信度量技术构建节点可信、连接可信、运营可信的防护框架，实现计算环境可信、边界可信、网络通信可信，达到网络行为可预期管理，网络传输有保证，网络安全能力可输出的目的。可信安全管理中心可信检测分析可信策略管理AI运营可信安全能力开放可信网关边缘云可信服务器虚拟机可信应用服务可信网络移动云可信服务器虚拟机可信应用服务安全日志、可信状态、可信告警上报安全策略下发全局可信管理可信执行层基础技术：密码与隐私计算实现多云协同下数据存算安全用户安全代理模块传统密态存储白盒密态存储隐私计算模块隐私计算模块私有云中心云边缘云密文数据密文数据在多云场景引入白盒密码和隐私计算技术，实现云上数据存算过程的安全。在中心云节点构建安全计算管理中心，用于支持密钥管理以及隐私计算调度；在云节点支持白盒密码技术以及隐私计算能力。隐私计算调度密钥管理和隐私计算调度密钥管理和隐私计算调度密文业务数据密态数据协同计算云上存储阶段：白盒密码实现密钥隐藏，保障存储安全协同计算阶段：数据在密态下进行计算，防止数据泄露边缘云领域方案：基于安全互操作技术实现全网安全资源协同通过安全互操作技术，整合分散的安全能力，打通异构安全能力协同通道，为可信安全管理中心提供统一知识运营，实现全网安全资源协同管理。统一标准接口I 风险识别能力P 安全防御能力D 安全监测能力R 安全响应能力R 安全恢复能力Agent类安全产品主机防护网页防篡改厂商A厂商D厂商E防护规则API数据库信息扫描APISaas类安全产品漏洞扫描云化基线扫描厂商A厂商B厂商D漏洞扫描创建API扫描任务查询API删除任务API扫描模板API近源类安全产品异常流量监测异常流量清洗厂商A厂商B厂商C异常流量配置API策略查看API黑洞路由策略API鉴权认证请求管理路由转发协议转换日志记录能力编排接口适配能力调度安全互操作平台可信安全管理中心领域方案：推进5/6G内生安全技术研究增强网络自身安全在增强网络设备自身安全的基础上，配合专用的安全设备与系统，并通过智能分析、灵活编排等运维管理手段，形成可靠、灵活、至简的动态安全内生防护体系，有效地识别和防御各种网络攻击。资源编排与调度能力专用安全能力资源池安全专用设备SaaS安全能力备用安全能力资源池人工智能分析能力安全服务安全策略与配置安全能力与资源设备安全能力设备自身安全能力与配置网络内建安全服务安全管理中心5G/6G内生安全架构信任基础设施安全策略控制单元网络设备安全控制安全设备能力控制安全智能中心安全集中分析安全模型训练安全策略生成领域方案：布局可信人工智能构建网络安全基石可信人工智能技术是帮助人工智能实现可信的基础。通过评估数据可信、模型可信和环境可信，建立安全可靠的人工智能系统。可信要求可信关键技术安全可靠让人信赖可信特征可靠可控隐私保护透明可释公平公正可信人工智能关键技术可解释性鲁棒性隐私保护公平性l事前可解释性自解释模型注意力机制l事后可解释性规则提取 模型蒸馏敏感性分析局部近似l数据检测数据溯源异常检测l模型增强对抗训练知识蒸馏l对抗噪声擦除数据压缩重构对抗样本l数据保护差分隐私l模型保护同态加密安全多方计算l分布式学习联邦学习l数据偏见因果关系检测l模型偏见反偏见算法l评估偏见公平性指标创新实践PA RT.0 3基于安全互操作协同，实现安全合规与注智赋能依托安全互操作技术，打破传统安全系统互联互通技术壁垒，纳管拉通O/B/S三域安全资源实现统一的大安全运营，构建集团首个“智慧中台 SDS”，助力公司网络安全高标合规和对外注智赋能。安全互操作平台安全资源安全门户S域安全能力B域安全能力省级能力开放平台O域安全能力对外安全运营管理平台对内安全管理态势感知网络安全工具信息安全工具数据安全工具安全资源池密码资源池安全能力互操作平台p 对内形成智能随需的企业级安全防御体系p 对外构建山东移动统一运营和管控的安全产业生态 实现安全能力原子化，安全能力接入效率提升一倍 实现跨域安全能力的拉通、复用和共享与生态能力整合 实现安全能力的统一接入、调度和运营量子VoLTE高清密话，保障高安全专网通信安全保密通话对于确保高安全需求场景下话音传输的安全性具有重要意义。量子VoLTE加密通话系统将量子密码与4G VoLTE技术相结合，可实现高清语音加密通话，满足专网客户高安全等级通话的需要。量子加密呼叫量子会话密钥协商量子加密通话量子密话结束中国移动4G/5G网络 安全介质量子VoLTE加密手机 安全介质量子VoLTE加密手机VoLTE AS 量子加密网络量子密码安全服务中心 量子加密手机 量子加密业务一话一密端到端加密量子真随机高清语音中移闽链中移香港链闽港数字资产流通平台NFT发行NFT转赠NFT收藏NFT兑换NFT销毁资产孵化IP引入授权发行NFT活动策划积分/权益兑换平台内传播第三方曝光好友圈推荐NFT收藏权益体验实物商品权益兑换NFT管理NFT钱包资产管理限制流通权益释放香港MyLink数字资产交易平台NFT发行NFT转赠NFT收藏NFT兑换NFT销毁NFT活动策划积分/权益兑换平台内传播第三方曝光好友圈推荐NFT收藏权益体验NFT管理NFT钱包资产管理NFT出海NFT交易币安NFTCoinbaseNFTNFT海外流转Magic EdenNFT自由买卖NFT兑换法币NFT自由交易区块链能力区块链能力艺术家文博场馆NFTNFTNFT2NFT3NFT4NFT1限制流通权益释放实物商品权益兑换NFT6NFT7NFT8NFT5企业资产协会组织授权NFT海外交易Open Sea跨链服务IP上链、跨链IP上链跨链互通以太坊跨链服务企业碳汇互通NFT跨链服务，搭建数字经济合作“数字桥梁”中国移动联合香港Web3.0协会，以NFT为载体，打造“跨链协议 链适配器 智能合约”方案，通过NFT流转的业务流程实现资产数字化、价值化和证券化，基于NFT数字资产跨链跨境流通，为闽港数字经济合作搭建“数字桥梁”。“一体五环”创新格局 核心研发机构产研协同 研发机构省公司（31）聚核心科学 技术强能力技术 产品重转化产品 市场构生态设计院苏研成研雄研物联网杭研上研互联网咪咕IT公司金科终端在线卓望其它专直单位清华联合研究院中关村联合研究院重点领域头部企业、科研机构、国家平台“一体五环”科技创新布局公司提出成为信息服务科技创新公司新定位持续完善”一体五环“科技创新体系，形成内外双循环的协同创新格局信安江西院研究院（含未来院）区域研究院：江苏院、浙江院、广东院使命目标做信息服务科技创新引擎成为引领全球行业技术发展的世界一流研发机构新定位：做信息服务科技创新引擎，支撑公司数智化转型定位企业与行业高端智库关键平台与能力研发技术创新与产业引领海外环外环6家中环8家内环1家合作环香港公司国资委科技创新突出贡献企业 CMMI5认证 6家高新技术企业 17家 通信行业首个企业“科协”第二批”国家双创示范基地“国家发改委共享经济示范平台算力网络人工智能大数据安全6G能力中台附录：注：BASIC6科创计划（B-Big data、A-AI、S-Security、I-Integration Platform、C-Computility network、6-6G）引领算力网络发展。加速人工智能创新突破。前瞻研发6G。推进大数据价值转化。放大“能力中台”赋能效应。强化网信安全能力。

0人已浏览 2023-12-02 21页 5星级

数据交易安全港书 Safe Harbor for Data Exchange White Paper 版权声明 本报告版权属上海数据交易所有限公司所有，并受法律保护。转载、编撰或其他方式使用本报告文字或观点，应注明来源数据交易安全港白皮书。违反上述声明者，将追究其相关法律责任。数据交易安全港书 Safe Harbor for Data Exchange White Paper 编写组（排名不分先后）吴蔽余、戴昕、朱恬逸、吴峻 编写单位（排名不分先后）北京学法学院 上海数据交易所 数据交易安全港书 Safe Harbor for Data Exchange White Paper 录 Contents 报告要点.?、国内外数据交易实践简介.?.?国外数据交易实践简介.?.?我国数据交易实践简介.?、数据交易现状解析：竞争挑战与法律险.?.?数据交易主体临的竞争性险.?.?数据交易主体临的法律险.?三、数据交易所的未来定位：独特服务优势探索.?.?点对点交易：场外交易的核优势分析.?.?场内交易的优越之处：与场外交易的对分析.?四、上海数据交易所“安全港规则”的理论构建.?.?合规技术层的安全港规则.?.?作为数据交易制度撑的安全港规则.?.?.?安全港规则的功能优势.?.?.?安全港规则设计的难点.?.?.?安全港规则设计的原则.?五、探索之路：安全港规则在上海数据交易所的应.?.?落地路径：创新容错机制与安全港规则.?.?安全港规则激活数据交易的制度价值.?.?数据交易所的蓝图规划：安全港规则的愿景.?六、安全港适前景：案例分析与规则应.?数据交易安全港书 Safe Harbor for Data Exchange White Paper?.?某公司及其业务简介.?.?某公司在数据交易中的问题与安全港规则的适.?七、结论.?参考献.?数据交易安全港书 Safe Harbor for Data Exchange White Paper 1 报告要点“安全港规则”（译自英文“safe harbor rules”，也常被译作“避风港规则”）。目前在我国，包括个人信息保护法 数据安全法 网络安全法等在内的数据领域基础性法律，已建构出一个强调风险预防、损害问责的原则性制度框架。但由于法律中的许多规定较为笼统，市场主体对更高法律确定性和责任可预期性的需求尚待满足。安全港规则旨在为数据交易市场主体提供一个清晰、明确的合规路径，在提升数据交易活动自身安全性的同时，也为交易提供相应的法律保障，从而促进交易规模的扩大、体量的释放和活跃度的提升。具体而言，安全港规则将以数据交易所场内交易的安全保障和技术服务条件为基础，设置更为明确的市场主体合规路径，为后者提供可操作的合规要求和合规方案，从而既降低交易自身带来的数据风险，又为交易主体带来更为确定的合规预期。根据目前的设想，数据交易安全港规则包含“2 2”框架。首先，“合规技术”与“法律规则”相结合，不仅将使用区块链存证、AI智能检测、隐私计算等合规技术手段确保数据交易安全可信，也将引入合规、透明、可操作的法律规则，明确安全港的适用条件、免责后果。其次，“主动投入”与“预期免责”相结合，安全港要求企业满足特定的资质、合规条件，并进行可信披露，主动投入相关成本进行“驶入”安全港的动作，从而获得免责预期：在监管部门的授权下、在数据交易场所建构的可信空间内开展交易，可以避免因为事先未曾预料的风险而事后被追责。安全港规则并不意味着放任市场自由。对于“驶入”安全港的数据交易活动，权威机关仍然有责任和权力对其进行监管。权威机关还可以通过定期审核、随机抽查等方式，确保市场主体真正遵循安全港规则，从而确保数据交易的合规性、透明性和公正性。安全港规则在交易所以集中、透明的方式施行，会更有助于规则倡导的合规交易模式产生溢出效应。相对规范、安全的场内数据交易模式，基于披露机制，可对场外交易产生引导作用，成为更大范围内市场主体在进行数据交易活动时协调行为的聚焦点。即使市场主体因种种原因，不选择或无法选择进行场内交易，也可参照场内交易所适用的安全港规则的要求规划自身行为。这种参照不仅对自行探索合规的企业有价值，对整体层面的风险控制也有价值。上海数据交易所针对案例中展示的市场需求和痛点，建构了包含下列具体措施的数据交易安全港：其一，智能接入，基于企业主动申请和特定场景（特别是创新容错场景）主动接入，对流通交易数据进行智能分类分级、按需接入安全港。其二，可信交易，在合规技术保障下，在监管部门授权、监管、验收等流程下按照特殊规则在港内交易。其三，风险响应，在安全港港内交易，如果存在侵权投诉、情势变更等风险警示情形，及时启动中止交易、信息披露等响应机制，并保障市场主体取得与前期合规投入、创新容错政策相适应的责任豁免。其四，反馈迭代，成立数据交易合规委员会，对安全港规则进行动态调整，并与行业主管部门、监管部门、司法部门进行定期沟通反馈，根据安全港运行情况和需求情况迭代完善相应规则。数据交易安全港书 Safe Harbor for Data Exchange White Paper 2 数据交易安全港白皮书（“白皮书”）开创性地提出应运用“安全港规则”这一制度工具，提升交易主体参与数据交易活动的积极性，释放数据交易动能，并更为高效、平衡地推动数据要素配置过程中安全保障和价值创造两大政策目标的实现。在数据交易的场景中，安全港规则以一套“2 2”框架为主要内容，即“合规技术”与“法律规则”相结合，“主动投入”与“预期免责”相结合。将数据交易所等专业、可信、高效的中介交易场景探索打造成为安全港规则的核心制度适用场景，不但有助于提升数据交易活动的整体安全性，而且有助于市场主体有效管理其在参与创新性、具有高价值产出的数据交易活动时面临的法律风险，降低其不确定性，从而提升市场主体参与交易的积极性和整体交易活跃度。白皮书将在检视当前国内和国际数据交易市场现状的基础上，分析数据交易市场进一步发展所面临的与竞争环境和法律环境有关的核心障碍与挑战。在各方积极寻求数据交易进一步破局的大背景下，应当看到，以上海数据交易所为代表的数据交易中介平台类机构，其提出和开展的多项数据交易安全合规探索，均体现出交易所场内交易在兼顾安全性和效率性方面所具有的独特优势。据此，结合对安全港规则一般制度原理的阐释，白皮书提出，安全港规则是将数据交易实践向前推进的一种可行思路，而数据交易所应被建设成为安全港规则的核心制度适用场景。对于具备相应技术和服务条件，有能力高效保障场内交易相对场外交易安全优势的数据交易所，有关部门应考虑在政策层面为其中的场内交易活动提供基于安全港规则的合规效力，从而促进更大规模的数据交易活动以更安全的方式开展，使得数据要素在流通中获得更高的整体配置效率。、国内外数据交易实践简介 1.1 国外数据交易实践简介 数据交易并非互联网时代的独有现象，它的根源追溯到远早于数字化浪潮的时代。实际上，数据的交换和利用在商业活动中一直占据着核心地位，无论是古代商人通过手稿记录和交换贸易信息，还是工业时代通过统计数据优化生产流程，1数据交易始终是推动知识发展和经济增长的重要力量。然而，互联网时代的到来加速了数据交易的速度与规模，使其成为日常商业活动中不可或缺的一部分。随着科技的不断发展，数据交易的概念和实践也经历了深刻的变革。特别是在 1970年代左右，随着电子技术的普及，海外特别是美国的数据交易开始步入电子化时代，这一变化使得数据交易的模式和效率都发生了质的飞跃。具体来看，美国的数据交易模式主要分为三种类型，各自有着不同的运作机制和参与主体。1 由于商业需求的存在，即便当时还没有如今这般便利的数字技术，美国也已经开始了实质意义上的数据交易。伴随着独战争与南北战争，美国近代业初步形成，产值在 1810 1860 年间增了 10 倍；在这过程中，美国企业在商业活动中越发需要更准确的信息以帮助完成商业决策，这便促了纽约布鲁克林在 1860 年出现了第家信局，开启了美国数据经济市场的时代并在 1956年促成了基于数据的 FICO 信分的诞。数据经纪（data broker）在这个过程中起到了重要作。数据经纪通过与各类数据提供的合作，负责收集、整合和维护量的个和企业数据。他们的职责涵盖数据的获取、处理和管理，以确保数据的完整性和准确性。同时，数据经纪还与数据需求合作，如融机构和保险公司，为他们提供可靠的数据资源。通过数据交易的式，数据经纪将数据提供给 FICO 体系，于信评分和险分析。数据交易安全港书 Safe Harbor for Data Exchange White Paper 3 第一种是 C2B分销模式，这种模式下的数据平台直接与消费者打交道，用户主动向平台提供自己的个人数据。而作为交换，平台会提供商品、服务、现金回报，或者是优惠、折扣和积分等形式的利益，从而吸引用户分享自己的数据。第二种是 B2B集中销售模式，这里的数据平台起到连接数据提供方和数据购买方的桥梁作用。这一模式更接近于数据市场的概念，类似于中国对数据交易所的构想。在这个模式中，平台为双方提供撮合服务，确保交易的正规化和合规化。参与方必须通过平台的审核，他们可以自主定价，设定销售期限和使用条件，而平台则负责确保交易的顺畅和安全。第三种数字经纪人模式是对前一模式的扩展。中介性数据平台在这里充当数据经纪的角色，它们从个人用户那里收集数据，并将这些数据转让给其他企业使用。这种模式的运作涉及复杂的数据流转和处理过程，要求平台在确保数据质量、保护个人隐私以及遵守相关法律法规等方面有着更高的标准和能力。通过这三种模式，不难看出，数据平台在美国数据交易中扮演着极为重要的角色。他们不仅是数据交易的促成者，更是维护交易安全、保护交易主体数据相关利益、公民个体数据隐私权益乃至国家安全等一般社会利益的关键力量。随着数字经济的不断发展，这些模式的创新和完善将对全球的数据交易实践产生深远的影响。在美国的数据交易实践中，虽然也有学者曾经主张建立全国的数据交易市场来进行个人数据的公开交易，2但是美国的数据交易实践的主流，仍然是数据经纪人（data broker）模式。这一模式的核心在于数据经纪公司的运作，这些公司精于从各种途径搜集和加工用户数据，并将其转化为商业智能或营销工具出售给企业。美国联邦贸易委员会对数据经纪人的定义凸显了这些机构在现代商业中的角色它们是搭建企业与消费者之间桥梁的专家，但同时也引发了一系列隐私与监管的问题。3 在美国，政府对数据经纪人的监管相对宽松，他们在处理消费者数据时的不透明做法常常让消费者在交易中感到处于劣势，且在事后很难找到保护自己利益的有效途径。而在中国，以广东省 2022 年 5 月的试点为代表，虽然数据经纪人的概念和实践也在蓬勃发展，但在市场规模和成熟度方面与美国仍有一段距离。4 综上所述，数据经纪人模式在美国已经成为数据交易的一个标志性实践，而这一模式的影响力和问题也引起了全球的关注和思考。对于中国来说，借鉴和适应这一模式，同时考虑本土的法律、文化和市场特点，对于建立更加成熟和规范的数据交易市场至关重要。2 See Kenneth C.Laudon,Markets and Privacy,39(9)communication of the ACM 92,99-100(1996).3 See Justin Sherman,Data Broker Registries in Bills:the ADPPA and the DELETE Act,Lawfare,Jun.6,2023,accessed Nov.17,2023.4 参刘珊：全国批“数据经纪”在州海珠诞 3 家企业选，涉及电业、电商务、融等领域，载南报2020年 5 28，第 4 版。数据交易安全港书 Safe Harbor for Data Exchange White Paper 4 在全球范围内，数据交易的模式和理念正处在快速演变之中。除了美国所倡导的数据经纪人模式，欧盟也在探索一条不同的路径，那就是创建一个欧洲共同数据空间。这一宏伟的构想意在打造一个跨领域、统一的欧洲数据市场，其宗旨与数据交易所有着异曲同工之妙。5 欧盟委员会不仅在理念上提出了这一计划，更通过了一系列的立法措施以支持其实施。例如，欧盟数据治理法（European Data Governance Act）于 2022 年 6 月 23 日通过，于 2023 年 9 月 24 日适用于欧盟各成员国；而后，欧洲议会于 2023 年 11 月 9 日通过数字法案（EU Data Act），该法案将在完成余下程序后生效。上述立法行动，均体现了欧盟对于包括数据交易在内的数据领域的重视，或将在后续进一步影响数据交易市场的经营。尽管欧洲共同数据空间还处于起步阶段，还未展现出明确的成果，但其目标十分明确：促进数据共享和流通，以此加快欧洲数字经济的发展，为企业和创新者开拓更广阔的市场和提供更多的机遇。在这一框架下，欧洲共同数据空间计划为各行各业的数据使用者提供一个安全、可信的平台，从而更有效地管理和利用数据资源。这一平台将成为加速跨国合作、激发技术革新的重要力量，并为欧洲的数字化转型铺平道路。当然，这个雄心勃勃的计划并非没有挑战。在推进过程中，欧盟必须应对众多复杂的法律、隐私以及安全问题。实现这一计划需要欧盟委员会、各成员国以及企业和其他利益相关者之间的紧密合作，共同确保数据的安全和个人隐私得到严格保护。虽然欧洲共同数据空间的实际成果还有待观察，但这一进程无疑彰显了欧盟对于数据经济的高度重视和对未来发展的明确愿景。随着技术的不断创新和全球数字化转型的加速，欧洲共同数据空间不仅有潜力为欧洲数字经济带来新的活力，也为全球数据交易模式的多样化和发展提供了新的视角和可能性。在审视全球数据交易的不同模式时，可以注意到美国和欧盟各自的做法提供了有益的参考。美国的数据经纪人模式强调了市场的自由流动和效率，而欧盟的共同数据空间则侧重于打造安全、规范的跨国数据交易环境。这两种做法都在各自的法律和文化背景下发挥了作用，并为世界其他国家，包括中国，提供了值得借鉴的经验。然而，这些国际经验并不能简单地移植到中国。中国在数据交易方面的发展必须立足于本国的经济结构、法律体系和市场环境。中国需要根据自己的国情，借鉴国外的先进做法，同时结合本土的实际情况，来构建适合自己的数据交易模式。5 具体到数据市场/平台，境外市场的主要参与者包括 Dawex、Datarade 等公司。Dawex 是家于 2015 年成的科技公司，其总部位于法国，业务拓展欧洲、亚洲、北美和中东。Dawex 的主要业务是为各个公司/集团构建的数据交换平台（Data Exchange Platform）提供技术持，例如 Dawex 在 2023 年 9 25 推出的企业数据中解决案（Corporate Data Hub solution）即是旨在帮助集团公司内部数据孤岛、促进组织内数据流通。5在 Dawex 积极运营的本，也由私营部牵头成了依托于 Dawex 数据交换技术的本数据交换公司（JDEX），该本公司旨在创建个跨越业、学术界和政府的型数据交易社区，为促进跨业和跨境数据交换环境作出贡献。5Datarade 则并单纯的技术提供者，其市场平台整合了超过 2000 家数据提供商，是全球最的数据交易平台；Datarade 的多样化交易环境促进了全球的数据交易，买家有机会找到更合适的数据，数据商则可以通过 Datarade 的平台将数据交易到全球各地。5在这个意义上 Datarade 类似于淘宝等 B2C 的交易平台，只是其交易标的从常品变成了数据Datarade 给了买家与卖家交互的场所，并同时提供了买家对卖家的评价机制，致于打破数据交易市场的不透明。数据交易安全港书 Safe Harbor for Data Exchange White Paper 5 对于中国来说，重要的是要找到一个既能保护个人隐私和数据安全，又能促进数据流通和经济创新的平衡点。这可能意味着需要制定更加创新性的法律规范，确立更加严格的数据管理框架，并建设透明、可信的数据交易场所。1.2 我国数据交易实践简介 追溯我国过去二十余年中不同种类的数据和信息使用方式，也能看到和海外数据交易实践相似的发展路径数据和信息交换行为一直存在于平台企业构建的市场中，但直到近些年才凝结为“数据交易”这一观念。当前，数据已经成为数字经济时代的基础性资源、重要生产力和关键生产要素。总书记强调，数据基础制度建设事关国家发展和安全大局，要统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。6其中，建立合规高效、场内外结合的数据要素流通和交易制度成为了主要的关切。深入理解国家关于要素市场化配置的政策就不难发现，该政策的目标是培育和建立数据要素市场，且对相关举措有比较明确的看法和指引：首先是利用公共机关的地位解决数据供给侧问题（即开放共享），其次是通过标准化等措施提升数据价值，最后是加强资源流通和整合，加强市场基础设施（如数据资产评估、登记结算、交易撮合、争议仲裁）。7 可见，若要释放数据的全部价值，就需要让数据在全社会流动起来。目前无论是学术界还是实务界，基本能够对数据需要自由流通、扩大共享达成共识。人们已经逐渐认识到，不同于传统的生产要素，数据具有非排他性、非竞争性的特点，而数据实现价值又要以大规模聚合（aggregation）为前提。例如，亚马逊在进行产品销售预测时，随着积累的数据周数增加，预测的准确性也随之提升，而在机器学习领域，以提高汽车安全性的算法为例，当算法训练所用的数据量更大时，它能够执行更复杂的任务（如自动驾驶），这说明在数据量大的情况下，技术解决方案的质量和效能会显著提高。总的来说，无论是在商业预测、技术创新还是企业发展等方面，数据的大规模聚合都是实现其最大价值的关键。8 由此，如果能让数据在全社会的范围内流动起来，就可以让数据在不同主体的开发下，被激发各个维度的价值潜力。9因此，建立成熟的数据要素市场，被认为是刻不容缓的要事，10不仅因为我国的数据产量从 6 陆 娅 楠：构 建 数 据 基 础 制 度 更 好 发 挥 数 据 要 素 作 国 家 发 展 改 委 负 责 同 志 答 记 者 问，http:/ 7 国务院发布的要素市场化配置综合改试点总体案，载中央政府 http:/ See Charles I.Jones and Christopher Tonetti,“Nonrivalry and the Economics of Data”,American Economic Review,Vol.110,No.9,2020,p.2821.9 唐郡：数据基础制度奠基：淡化所有权，优先流通，载微信公众号“财经五花”，2022 年 10 8。10 如东省数据要素市场化配置改书中指出，东抢占发展先机，前瞻性、全局性、整体性推进数据要素市场化配置改。参东省政务服务数据管理局站，http:/ 年第 10 期，第 1402-1409。数据交易安全港书 Safe Harbor for Data Exchange White Paper 6 2017 年的 2.3ZB 增长至 2022 年的 8.1ZB，以占比 10.5%的规模位居世界第二，也是因为数据被视为深刻改变生产和生活的新型生产要素，是我国未来经济发展超越主要竞争对手的战略制高点。11 然而，即便数据的流动、共享、开放依然成为了热议的话题，但“专网林立”“信息孤岛”“数据烟囱”12才更能揭示真正的现实情况：尽管人人都知道数据只有流通起来才能被释放尽可能多的价值，但是企业或其他组织为了维持自己的竞争优势，并不会主动地拥抱数据共享和数据流动，反而是控制数据的获取和流动，甚至在特定数据产品市场实施的排除限制竞争。这是因为企业或其他组织可以利用数据优势提高产品质量或服务水平，从而保持较高的客户粘性并不断扩大市场规模，而规模效应的提升又会反向增强企业的数据优势，有利于形成市场进入壁垒，13因此，初创企业进入数据驱动型产品市场可能会面临较高的进入障碍，比如在搜索引擎与社交产品市场。14 观察当前的数据产业格局，可以发现无论是企业还是其他组织，都在积极地“圈地”，以牢固地控制自己的数据资源。“划地为王”的现象普遍存在，组织倾向于保护和内部利用其数据，而非轻易地分享或出售。因此，一个合理的推论是，如果政府能够在外部建立一个数据要素交易市场，并且这个市场能够提供足够的激励机制，那么它可能会吸引那些控制数据的企业和组织参与进来。如果这个市场能够确保数据出售方得到合理的报酬，同时也满足数据购买方的需求，那么它可能会促成一种互利共赢的局面。因此，在2020 年3 月中共中央、国务院发布的关于构建更加完善的要素市场化配置体制机制的意见（以下简称“数据二十条”）首次提出了要加快培育数据要素市场之后，15通过建立数据要素市场来解决数据封闭的逻辑成为了主流。在实践中，全国各地迅速开启了一轮数据要素市场的建设，并将数据交易所或数据交易中心作为发展模式；在理论上，也有不少学者畅想数据交易市场也能像证券交易市场一样，发展出登记、尽调、评估、挂牌、交易、结算、交割、审计等一系列流程。16 尽管我国政府在政策和财政上都对数据交易所的建设投入了巨大的支持，期望通过数据交易所刺激企业在场内开展交易，但实际成效却并不如人意。尽管政策上的激励措施不断，交易所内的项目仍然难以聚集成有效的交易量。17近年来，虽然全国各地纷纷推动数据交易所或交易平台的建设，但那些已经投入使用的交 11 参于施洋、王建冬、郭巧敏：我国构建数据新型要素市场体系临的挑战与对策，载电政务2020 年第 3 期，第 2-12。12 唐郡：数据基础制度奠基：淡化所有权，优先流通，载微信公众号“财经五花”，2022 年 10 8。13 参梅夏英、王剑“数据垄断”命题真伪争议的理论回应，载法学论坛2021 年第 5 期，第 99-101。14See Kerber,Wolfgang.Digital Markets,Data,and Privacy:Competition Law,Consumer Law and Data Protection,Journal of Intellectual Property Law&Practice 11.11(2016):856-66.;Argenton,Cdric,and Jens Prfer.Search Engine Competition With Network Externalities,Journal of Competition Law and Economics 8.1(2012):73-105.15中共中央国务院关于构建更加完善的要素市场化配置体制机制的意提出地、劳动、资本、技术、数据五个要素领域的改向，其中针对数据要素,第次明确了加快培育要素市场的发展向,要求加强数据资源整合和安全保护。16 参范仲：完善数据要素基本制度 加快数据要素市场建设，载中国融2022 年第 1 期，第 14-17。17 据统计，2020年，交易所场内数据交易只占我国数据交易市场总规模的4%。参中国络空间协会、温州市委信办及南都数据研究院：布局与破局2022 年中国数据交易实践趋势报告，第 31，载道客巴巴站 https:/ 年 1 2 访问。数据交易安全港书 Safe Harbor for Data Exchange White Paper 7 易所普遍面临着交易活跃度不高的窘境。这反映出，在数据交易所的建设上，还需更深入的市场研究和制度创新，以实现真正有益于企业和整个经济生态的发展。尽管政府试图通过数据交易所提供一个正规化的交易环境，但实际上交易所的交易量和活跃度却远未达到预期。与此形成鲜明对比的是，场外交易正在如火如荼地进行着，它几乎已成为数据交易领域的主流方式。数据交易所的最初设想，是希望将地下或黑市的非正式数据交易引入光明、规范的交易环境中，以实现数据流通的合法化和标准化。但现实情况却是，许多场外交易的参与者并没有太大的动力去适应交易所更为严格的标准和流程，特别是对于那些通常只涉及一次性交易的数据。18 这种现状反映出，尽管数据交易所在理论上提供了一个更加安全和透明的交易平台，但若不能提供足够的激励或降低交易成本，它们难以吸引那些已经习惯于场外交易的市场参与者。因此，如果数据交易所想要在未来的数据经济中扮演更重要的角色，就必须创新其服务方式和制度，提供真正能够吸引并满足市场参与者需求的解决方案。在当前关于如何优化数据交易所的讨论中，一个关键的问题往往被忽视：交易主体为何持续对场内交易保持着谨慎甚至是回避的态度？讨论如何完善交易所的各种机制包括定价、流通、信用和支付等19固然重要，但这些讨论之前，必须首先理解交易主体的真实顾虑和需求。事实上，仅仅通过建立一个数据交易平台，并不能自动地满足交易参与者的所有需求。如果要真正吸引交易主体走入交易所，更需要做的是站在交易主体的角度，深入挖掘交易主体的真实担忧，从而提供更为切实的解决方案。因此，要想激活场内交易，需要重新定位数据交易所的角色和功能可能是更好的处理这不仅仅是简单地复制互联网平台早期的逻辑和行为模式，而是基于对交易主体深层次需求的洞察，设计出更为精准的策略和规则。目前可能最需要先做的，是构建一个真正能激发交易热情的环境，这样交易主体才会被吸引进场，积极参与交易，从而让数据交易所真正发挥其应有的作用。18 参胡凌：数据要素财产权的形成：从法律结构到市场结构，载东法学2022 年第 2 期，第 120-131。19 有学者提出，数据交易所的重点在于思考如何通过公共机构的外部量重新规制市场各类核机制。参陈越峰：超越数据界权：数据处理的双重公法构造，载华东政法学学报，2022 年第 1 期，第 18-31。数据交易安全港书 Safe Harbor for Data Exchange White Paper 8、数据交易现状解析：竞争挑战与法律险 2.1 数据交易主体面临的竞争性风险 数据，这个在数字化时代日益被提及的词汇，往往被轻率地比作现代的“石油”或“黄金”。然而，这一比喻忽略了数据本身的复杂性和多样性。数据并不仅仅是一串串数字的堆砌，更不是简单的电子表格可以囊括的。20真正的价值产生于数据的原始性和其与买方产品结合时所展现的潜力。原始数据是对现实世界中的人、物、事件的直接记录它们是未经加工的数字化信息，它们的价值在于能够准确反映被记录对象的状态。21这些数据集在被整合、清洗或分类后，才能够作为分析的基础。22然而，仅仅拥有这些原始数据集，并不能自动转化为商业智慧，它们必须被妥善利用。数据转化为商业价值的过程可以概括为以下四个主要模式。23第一种是数据的聚合，这一过程涉及将来自不同来源的原始数据集中于一点，以便于用户访问和利用，就像“天眼查”或“万德”所做的那样。第二种是数据的应用化，这是指将数据以用户友好的形式，如 App，直观呈现给用户，降低他们获得和理解数据的门槛，正如“车来了”或“飞常准”所展现的。第三种是数据的变现，这经常体现在咨询公司、智库或企业战略团队的工作中，他们通过分析数据产生的深层次信息和知识，创造出新的商业模式和价值。第四种是数据的赋能，这在算法优化和机器学习领域表现得尤为明显，大量多维度的数据集对于精炼算法和预测模型至关重要，从而推动企业在未来的商业实践中获得成功。总而言之，数据的真实价值并非仅仅在于其原始形态，而是在于这些原始数据如何被加工、分析并最终被应用，它们在与买方产品的融合中，才能释放出巨大的商业潜力。在我国的数据交易所中，尽管众多数据产品已经被列出以供交易，但这些产品往往并未能满足市场的实际需求。关键的问题在于，这些所谓的“数据产品”通常缺乏可机读性，不符合原始数据的要求，从而未能吸引到那些真正需要数据来推动商业创新的买方。许多在交易所挂牌的所谓数据产品，实际上是对原始数据进行了某种程度的加工处理，转变为了带有特定解释或结论的“知识产品”。购买者获得的可能只是一个指标、一个趋势或者一项结论，而这些成果往往缺乏用于进一步分析或整合的潜力，难以与其他数据产生协同效应，创造新的价值。20 例如，很多政府认为发布 pdf 格式的数据件也属于开放数据的表现形式。参郑磊：开放不等于公开、共享和交易：政府数据开放与相近概念的界定与辨析，载南京社会科学2018 年第 9 期，第 83-89。21 参富平：数据经济的制度基础数据全开放利模式的构想，载东社会科学2019 年第 5 期，第 5。22 参富平：数据流通理论数据资源权利配置的基础，载中外法学2019 年第 6 期，第 1405。23 笔者参照 Andrew Stott 撰写的为了经济增的数据开放(Open Data For Economic Growth)报告，作了中的分类。See Andrew Stott,Open Data for Economic Growth(Jun 25,2014),at https:/openknowledge.worldbank.org/handle/10986/19997.数据交易安全港书 Safe Harbor for Data Exchange White Paper 9“数据一旦转化为具有特定含义的信息或知识，原始数据的生命就此结束。”24原始数据的真正价值在于其未经加工的、原生态的状态，它们能够被购买者自由地分析和探索，以挖掘出更深层次的商业机会。一旦数据被固化为特定的信息或知识，它就失去了作为数据的活力和多样性。因此，对于数据交易所而言，想要迅速吸引并聚集买方的关键在于提供能够直接被商业界利用、具备创新潜力的真正的数据产品。只有那些能够被灵活运用、并能够促进新模式商业价值转化的原始、机读数据，才是买方真正期待和愿意为之支付的产品。只有当数据交易所把握住这一核心需求，并据此调整其产品供给策略时，才可能在数据经济的大潮中占据一席之地。市场对于原始数据的渴望几乎无处不在，但数据持有者对于出售这些原始数据却显得异常谨慎，这种现象背后的逻辑值得深入探讨。在信息时代，数据的潜在价值是难以预测的，且未来可能呈现指数级增长，正是由于这种潜在价值的不确定性，数据持有者对于原始数据的保护态度尤为慎重。数据虽然不具备物理意义上的排他性，理论上它的分享和开发能够最大化其价值。然而，在现实的商业竞争环境中，数据的拥有者往往选择保护自己的数据资产，以避免潜在的竞争挑战。数据一旦公开，就相当于将企业的策略和知识财产暴露给可能的竞争对手。企业之所以谨慎出售原始数据，是因为数据的真正价值在于其预测能力通过解析用户偏好、揭示模式并构建连接，数据能够对用户的决策产生影响。25这种预测能力并非固有，而是需要与企业内部的数据分析结构和用户账户体系紧密结合，通过个性化推送等手段实现，才能确保数据的价值与现实世界紧密相连，而不是虚构的泡沫。26 综上所述，原始数据的出售与保留之间的平衡，需要每个数据持有者根据自己的业务目标和市场策略来权衡。在数据价值的转化过程中，人类行为的复杂性不容忽视。即使拥有大量关于某个用户的行为数据，算法也不能完全预测其未来的选择，27因为行为背后是错综复杂的偏好和权重。28数据算法的智慧在于，它不是去穷尽每一个偏好的缘由，而是通过模式的识别，将分散的数据点连接起来，从而得出大概率的行为预测。29 24 富平、冉苒：数据要素市场形成论种数据要素治理的机制框架，载上海经济研究2022 年第 9 期，第 70-86。25 参胡凌：论赛博空间的架构及其法律意蕴，载东法学2018 年第 3 期，第 87-91。26 See Katerina Pistor,“Rule by Data:The End of Markets?”,Law and Contemporary Problems,Vol.83,No.2,2020,p.110-112.27 的为远想象得复杂，个为的背后不仅存在多个偏好，而且不同偏好之间还存在权重低即便算法“知道”个顾客年买了 50 次草莓口味的雪糕，也不能预测该顾客会不会买草莓口味的蛋糕。算法在定程度上也和脑样，不会去追问究竟为什么该顾客会买 50 次草莓口味的冰淇淋，而是当“知道”该顾客年吃了 50 次草莓口味的雪糕，喝了 40 次草莓口味的奶昔，买了 30 罐草莓口味的曲奇，才能致“推断”出个为模式：该顾客在选择甜的时候尤其偏好草莓味，所以该顾客概率会选草莓口味的蛋糕。28 See Viktor Mayer-Schnberger and Kenneth N.Cukier,Big Data:A Revolution That Will Transform How We Live,Work,and Think,Houghton Mifflin Harcourt,2013,Chapter 1-3.29 See Ethem Alpaydin,Machine Learning,MIT Press,2016,Chapter 4.数据交易安全港书 Safe Harbor for Data Exchange White Paper 10 由此可知，“数据 算法”能输出精准预测的前提，不仅是被输入大量数据，而且还被输入多个维度的数据30：比如电商平台不是仅从用户购买的商品中，就直接捕捉到了用户的偏好，而是收集了用户在电商平台有关的所有网站的数据，从买的衣服、吃的外卖、看的视频、玩的游戏、住的酒店这些数据中，提取到了用户的偏好。31 在现实中，各家企业或其他组织都已在自家的赛道中深耕多年，已经积累了大量的同维度数据，但真正能发挥最大潜力的，是多个维度的数据。或许可以设想，以往一个电商平台可能需要 10年的积累，才能从用户浏览、购买商品的数据里，大致推测出用户的消费偏好，但如今一个短视频平台若想发展电商业务，可能只需要拿到用户近半年的商品购买数据，再结合上用户已经在短视频平台留下的大量视频观看、点赞、下载数据，就能大致定位用户的消费偏好。企业对原始数据的保护态度之严格，源于其深知数据的潜在价值和竞争优势。在企业看来，原始数据是宝贵的资产，通常会首先自行挖掘开发，希望从中获得创新和增长的动力。仅当内部开发遇到瓶颈，无法进一步挖掘其价值时，企业才可能将这些数据出售，但这样的决策通常伴随着高度的谨慎，因为一旦原始数据落入竞争对手之手，潜在的竞争风险巨大。这种风险不仅仅在于数据的匿名化程度，即便是去标识化的数据，在精心地分析和对特定群体的细致研究下，也能够产生强大的预测力，为竞争对手带来意料之外的市场洞察。原始数据在不同企业手中的价值可能天差地别，一个数据点的加入，可能使得竞争对手的数据分析得到质的飞跃，从而在市场上获得巨大的优势。同时，由于算法和机器学习的发展日新月异，每一次迭代都可能带来颠覆性的变化，这使得数据价值的估算变得极其复杂。32企业难以预测，自己出售的数据在他人手中的应用和价值转化能力，因此在不确定性如此高的情况下，售出原始数据带来的直接现金流入，可能与潜在的商业损失相比显得微不足道。在这样的背景下，出售原始数据不仅可能削弱企业自身的创新能力和市场地位，还可能无形中增强了竞争对手的力量。因此，对于许多企业而言，保留并内部开发原始数据，而非将其贸易于市场，更是一种长远的战略选择。这一逻辑同样能在国外企业中得到验证：即便是谷歌“高调宣传”将会开放数据和代码，但从来没有开放过它收集的原始数据和算法；亚马逊虽然向程序开发者开放了编程接口，但一向严格控制接口深入原始数据。33 30 See Rostek and Nathan Yoder,“Matching with Multilateral Contracts”(July 2,2017),at https:/ 例如，阿巴巴集团旗下有淘宝、饿了么、优酷、阿游戏、猪等公司，乎涵盖了各种领域。32 例如，计算机领域著名的莱斯定理(Rices Theorem),就证明了某类算法的不可知属性，算法复杂化模块化,会令各个部分算法之间的相互反应变得更加不可预测。参沈伟伟算法透明原则的迷思算法规制理论的批判，载环球法律评论2019 年第 6 期，第20-39。33 See Julie E.Cohen,Between Truth and Power:The Legal Constructions of Informational Capitalism,Oxford University Press,2019,p.45.数据交易安全港书 Safe Harbor for Data Exchange White Paper 11 实际上，企业或其他组织，尤其是互联网企业不倾向于出售自己的原始数据，是由其生产方式本身所决定的。互联网作为一种新型生产方式，不断连接线上与线下各类生产性资源，在社会范围内调动匹配，从而创造性地产生有效利用资源的新方法，并对既有行业的利益格局和秩序产生破坏性影响。34这意味着，“原始数据”是企业或其他组织在互联网这一赛道最大的竞争力，原始数据既可以创造性地从物理世界和传统行业中“非法”获取尚未数字化的资源（比如百度文库针对文化产业的侵权和盗版），也可以“搭便车”从其他竞争者那里获取已经数字化的资源（通过爬虫抓取竞争对手的信息内容，如图片35、用户创作文字36、数据37）。但无论是以何种方式获取原始数据，互联网作为一种新经济，相对于传统经济而言，它的运转逻辑是从何处以低成本获得原始数据，同时使用算法进行匹配。新经济的兴起要求数据保持流动和低成本非法获取，动态地积累更多用户活动和数据，但同时希望它们在自己的不断扩展的架构内流动，而非跨平台流动，从而通过架构的微观机制不断监控追踪；对外则要求架构不受非法入侵。38 在当今的竞争格局下，数据交易市场的特征可以概括为“需求大于供给”。企业在争夺市场份额和拓展业务的同时，对数据的需求日益增长，数据已经变成了他们发展的关键推动力。然而，正是因为这种强烈的需求，企业对自己掌握的原始数据变得更加保护性，他们宁愿自己尝试开发，也不愿轻易将数据让渡给潜在的竞争者。在我国，上文所提到的涉及数据、流量和社会资本等的一系列不正当竞争案例，反映出司法机关逐渐承认原始数据对企业而言是一项重要的竞争优势。尤其是在反爬虫案件的判决中，看到了互联网行业潜在的竞争秩序：平台企业可以排他性地利用用户授权的行为数据，而抵制其他竞争者的访问和使用。即便是在允许第三方使用的情况下，也必须遵循平台制定的严格规则。有学者将这种平台企业的“自主圈地”现象称为“非法兴起 2.0”。在这个阶段，平台企业不再是简单地以低成本搭便车获取数据，而是更加积极地通过合法渠道确立其在数字经济中的地位。这种“非法兴起”展现了新经济的双面性：一方面，它需要不断扩张、吸收新的资源来建立新的市场；另一方面，则需筑起防线，抵御其他竞争者对其资源的侵蚀。39一旦扩张的步伐放缓，互联网创新和发展便可能受阻；然而，如果不加以控制地让不正当竞争行为泛滥，那么市场和生产秩序就会陷入混乱，导致逆向选择的现象。因此，数据交易市场的本质是一种供不应求的状态。广泛且持续地对原始数据的需求显而易见，它是企业及组织增长和扩张的驱动力。但是，与此同时，这些组织为了保持自己的竞争边缘正如厨师愿意出售烹饪出的佳肴而保留食谱一样并不倾向于向外界出售他们的原始数据。这一矛盾性是数据交易市场独特的经济动态。34 参胡凌：互联“法兴起”2.0以数据财产权为例，载地法研究2021 年第 6 期，第 21-36。35 众点评诉百度不正当竞争案(2016 年)。36 众点评诉爱帮不正当竞争案(2011 年)37 新浪诉脉脉不正当竞争案(2016 年)38 参胡凌：互联“法兴起”2.0以数据财产权为例，载地法研究2021 年第 6 期，第 21-36。39 参胡凌：互联“法兴起”2.0以数据财产权为例，载地法研究2021 年第 6 期，第 21-36。数据交易安全港书 Safe Harbor for Data Exchange White Paper 12 2.2 数据交易主体面临的法律风险 在数据交易的复杂环境中，除了面临激烈的竞争挑战，数据交易主体还需应对一系列的法律风险。这些法律风险不仅对交易流程产生影响，也对交易双方的决策造成深远的影响。尽管在数据交易的实践中，交易双方约定的合同可以有效地分配多数风险，确保交易流程顺畅合同通常清晰界定权利、责任，对侵权等普遍风险作出具体规定但仍有关键风险无法完全由合同涵盖。比如，当涉及国家安全或个人信息保护时，合同在交易中能发挥的效力就变得有限。首先，国家安全风险由于其敏感性和可能导致的重大后果，往往超出合同双方的风险承担能力，难以在合同中明确规定。其次，个人信息保护风险更加复杂，因其相关法律条款模糊、执法态度不一致，导致交易双方面临极大不确定性。此外，合同无法预设或规避行政责任，使得即便双方在合同中达成共识，也可能面临执法机构不可预测的行政措施。同时，个人信息的泄露或不当使用还可能引发公众不满和舆论压力，在这种情况下，公众的关注往往不涉及合同细节，而是将责任泛化到所有相关方。这种外部性的影响意味着，即使风险在合同中有所体现，也无法阻止由此引发的公共谴责。总的来说，与国家安全和个人信息保护相关的法律风险，由于其不确定性极高，甚至在一些情况下具有系统性特征，因此往往超越了交易方私人合同能够完全内化、妥善安排的范畴。相关法律制度本身的复杂性和适用的不确定性，使得合同在这些领域内的风险分配变得困难。2.2.1 数据交易与国家安全风险 数据流动和交易可能看似日常和普通，但在某些情境下，它们有可能带来巨大的安全风险。数据的广泛流通和易于访问性虽然为社会发展提供了巨大推动力，但也暴露了潜在的安全漏洞，特别是在关键国家基础设施和敏感领域。然而，不仅仅是保密数据，就连公开和众所周知的信息，也可能在某些情况下变得“敏感”对公开数据的不当管理和使用也会引发对国家安全的严重担忧。以下几个著名案例充分展示了数据流动可能引起的安全问题。首先，是著名的美国“Strava 事件”，该软件支持数百万的用户发布自己的运动位置，通过汇总所有用户的运动位置后，会在平台上发布运动“热图”，供所有用户在地图上查看运动人群最集中的区域。这些“热图”无意中揭示了美国在世界各地的秘密军事基地，特别是在撒哈拉沙漠和阿富汗城市郊区的集中活动毕竟，在撒哈拉沙漠和阿富汗城市郊区居然集中着大量运动的美国人40这突显了即使是为了娱乐或健康目的收集的数据，也可能被用作不当用途。其次，是我国的滴滴“大数据揭秘事件”，这一事件不仅引起了社会的广泛讨论，更重要的是，它强调了数据使用和公开的风险。2015 年，滴滴作为我国领先的出行平台，发布了一篇名为大数据揭秘：高温天部委加班大比拼的文章。该文章基于滴滴的实时移动出行数据进行分析，展示了在高温天气下，哪些国家部委的员工加班最为勤奋，其中，国土资源部和公安部被点名加班“最狠”。41这篇文章可能本意为展示大数据分析的威力和为公众提供有趣的数据视角，但是，它的发布引发了广泛关注和争议。问题的核心在于，40 See Omri Ben-Shahar,“Data Pollution”,Journal of Legal Analysis,Vol.11,No.1,2019,pp.112-115.41 参温天部委加班拼 国资源部“最狠”，载，http:/ Safe Harbor for Data Exchange White Paper 13 通过结合部委的公开活动和社会事件，外界可能会对部委的日常工作进行大致的推断，这为恶意行为者提供了可能的利用空间。最后一个例子是 2022 年 4 月的央视焦点访谈报道一起典型案例“高铁数据泄露事件”，这一事件生动体现了即使是公开数据，也可能对国家安全构成潜在威胁。在这一事件中，上海的一家公司与境外的公司进行了所谓的“正常开展工程技术服务”。然而，这一合作被认为涉及非法向境外提供我国的高铁数据，而且导致法定代表人、销售总监和销售人员在 2021 年 12 月 31 日被上海市国家安全局逮捕。值得注意的是，涉案的“高铁信号数据”并不是国家的保密数据，其采集行为本身似乎也不会影响高铁无线通信的正常进行，更不会威胁列车的安全运行。然而，这并不意味着其对国家安全没有潜在的威胁。高铁信号可能承载着关于高铁运行管理、指挥调度等各种指令，如果这些数据被非法利用，例如被用于故意干扰或恶意攻击，可能会对我国的铁路运营构成严重的威胁，例如导致高铁通信无线中断，进而影响高铁的正常运行。值得注意的是，上海这家公司并不是一个小规模或不知名的组织。相反，它有着完善的组织架构和功能岗位，包括法务、技术总监、网络安全总监等，并拥有专门的网络安全子公司。此外，与其合作的境外的公司也是一个专业的国际通信服务公司，其客户遍及各国政府、军队及大型企业。42 数据交易，尤其在如今全球化、数字化的时代，具有双刃剑的特性。一方面，数据的共享与交易能够为企业带来经济效益和新的市场机会；另一方面，数据的交易可能意味着它被无法预测或控制的对方或第三方用于不明目的，从而带来潜在风险。如上文中的高铁数据泄露事件所展示的，即便是看似普通的公开数据，也可能承载着关键信息，如若被恶意利用后，可能会对国家安全造成威胁。这些潜在的风险由于其难以预测和难以预知的特性，给企业带来了巨大的担忧。为了规避可能的法律纠纷、声誉损失，甚至是对国家安全的潜在危害，许多企业选择谨慎行事，避免出售或共享其拥有的数据。这种风险意识，使得数据交易的行为被覆盖上一层阴影，尤其是在涉及关键数据或涉及国家利益的情况下。实际上，数据的重要性已经远远超出了经济价值的范畴，它已成为国家经济安全和主权的关键要素。随着数据价值的不断提升，各国对数据跨境交易的关注也日益增强。这种关注不仅源于数据的经济潜力，更因为数据交易可能对国家安全构成影响。因此，数据跨境交易在国家安全层面上面临着日益严峻的法律和监管挑战。2022 年1 月，最高人民法院、最高人民检察院根据十三届全国人大常委会第二十四次会议通过的中华人民共和国刑法修正案（十一）新增设“为境外窃取、刺探、收买、非法提供商业秘密罪”，对应刑法第二百一十九条之一的罪状表述，即“为境外的机构、组织、人员窃取、刺探、收买、非法提供商业秘密的，处五年以下有期徒刑，并处或者单处罚金；情节严重的，处五年以上有期徒刑，并处罚金”。与属于情节犯的其他七项知识产权刑事犯罪不同，该罪系行为犯，一经实施即构成犯罪；“情节严重”则是加重处罚的依据。新增的罪名为数据跨境交易划定了刑事红线，强调了数据交易不仅是经济行为，更是与国家安全紧密相连的活动。这种法律环境的变化使得数据交易主体在面对跨境数据交易时变得非常谨慎，担心触犯法律，即使没有直接的危害结果。因此，这种担忧不仅抑制了数据交易的活跃度，也反映出当前数据交易环境中的法 42 http:/ 数据交易安全港书 Safe Harbor for Data Exchange White Paper 14 律挑战。在这样的背景下，数据交易主体在进行交易时必须展现出极高的警惕性，以避免潜在的法律风险。这种风险意识不仅限制了数据的交易和流通，也揭示了当前数据交易环境中与国家安全相关的合规压力。然而，法律设计层面的这种担忧并非空穴来风，而是基于过去一些数据泄露事件。“力拓案”是此类事件中的经典案例，该案清晰地展现了数据跨境对国家经济安全的影响当时我国在铁矿石贸易中处于被动地位，而澳大利亚力拓公司通过非法手段收集到了我国钢铁企业的商业数据，最终导致我国企业巨额预付款的经济损失，更让我国在铁矿石价格谈判中处于极其不利的地位。根据人民法院报文章，发生在 2010 年的“力拓案”间接地推动了两高在 2021 年新增了这一罪名“本罪侵害的法益不局限于权利人的商业秘密，更涉及国家经济安全”。43“力拓案”的发生背景是我国处于铁矿石贸易中的劣势地位。从世界范围看，我国是最大的铁矿石进口国之一，但铁矿石的定价权一直掌握在澳大利亚力拓公司等三家公司手中，使得我国在铁矿石采购一直处于被动地位。根据判决书公开的信息，2003 年至 2009 年间澳大利亚力拓公司驻上海代表处首席代表胡士泰等 4 人，为澳大利亚力拓公司在中国铁矿石贸易中获取更多的销售利润，采取利诱等不正当手段，通过多家钢铁企业的工作人员，非法搜集了中国钢铁企业的多项商业数据四人涉嫌将所在中国钢铁企业的原料库存的周转天数、进口矿的平均成本等财务数据，以及生产安排、炼钢配比、采购计划等内部资料透露给了澳大利亚力拓公司，并致 2009 年中国钢铁企业与力拓公司铁矿石价格谈判突然中止，造成 2009 年中国 20 余家企业多支出铁矿石预付款 10.18 亿元。2009 年7 月，胡士泰等四名力拓员工先是被上海市国家安全局以“为境外窃取国家秘密罪”刑事拘留，但是最终法院定罪时是以“侵犯商业秘密罪、非国家工作人员受贿罪”这两项罪名进行定罪。涉嫌的罪名由原来的“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”，变为“侵犯商业秘密罪”，学界较为一致的观点是：涉案罪名上的降格反映出我国在经济安全的立法方面有很大的缺陷与漏洞，我国在侵犯商业秘密犯罪方面的立法落后于形势，不区分一般侵犯商业秘密的犯罪行为与为境外利益而侵犯商业秘密的犯罪行为，这将不利于对本国企业的保护，以至于我国无法有力惩治这类为境外组织、机构、人员利益而进行的商业间谍行为。“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”基本犯的法定刑被设定为“五年以下有期徒刑或者拘役，并处或者单处罚金”，其加重犯的法定刑被设定为“五年以上有期徒刑，并处罚金。”而刑法第 219条规定的“侵犯商业秘密罪”，基本犯的法定刑是“三年以下有期徒刑或者拘役，并处或者单处罚金”，加重犯的法定刑是“三年以上七年以下有期徒刑，并处罚金”。相比之下，“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”的法定刑显然更重。尽管没有无期徒刑，但在整体上达到了与刑法分则第一章“侵犯国家安全罪”中“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”之法定刑的严厉程度。除此之外，还需特别注意的是，“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”和“侵犯商业秘密罪”还有一个显著的区别：“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”是行为犯，而“侵犯 43 唐震：为境外窃取、刺探、收买、法提供商业秘密罪“情节严重”的考量因素，https:/www.chinacourt.org/article/detail/2022/01/id/6494323.shtml 数据交易安全港书 Safe Harbor for Data Exchange White Paper 15 商业秘密罪”是情节犯。这意味着，行为人只要实施了为境外的机构、组织、人员窃取、刺探、收买、非法提供商业秘密的行为，即可构成，不要求有危害结果的发生，也不要求发生具体危险。这意味着，只要涉及为境外实体提供数据的行为被认定为是提供商业秘密的行为，即使没有直接的危害结果，也可构成罪名。可以说，两高在 2021年新增的“为境外窃取、刺探、收买、非法提供商业秘密罪”为数据跨境交易画上了刑事红线，反映了国家对于数据安全的严肃态度，意味着数据跨境交易不再只是经济行为，它已经与国家安全紧密相连。这一罪名为行为犯的特性使得任何企业和个人在数据交易中都需倍加小心，因为单纯的行为就可能触犯法律，而无需等到其产生实质性的危害结果。因此，数据交易主体在面对跨境数据交易时变得非常谨慎，担心自身可能承担的法律风险。这种担忧无疑抑制了数据交易的活跃度，也反映出当前数据交易环境中的法律挑战。正因为上述案例和法律环境，现在的数据交易主体在面临数据交易时都展现出极高的警惕性。担心潜在的法律风险，许多企业选择避免或限制数据的交易和流通。这种风险意识抑制了数据交易的活跃度，同时也揭示了当前数据交易环境中的与国家安全相关的合规压力。2.2.2 个人信息保护制度对数据交易的挑战 在数据交易的过程中，企业在面对个人信息保护法的要求时经常遭遇多重挑战。首先，个人信息保护法律本身存在一定的模糊性，这使得企业在处理个人数据时，往往难以准确判断自己的行为是否完全合规。例如，关于数据的收集、存储和使用的具体限制可能不够明确，导致企业在实际操作中不得不在合法性和商业利益之间进行微妙地平衡。对数据交易主体而言，法律的模糊和不确定，会增加交易的成本。44 虽然政府发布了一系列政策来鼓励数据流通和交易，建立数据交易所欢迎数据交易，但这与数据保护“三驾马车”网络安全法 数据安全法和个人信息保护法的核心宗旨保护个人隐私权和数据安全存在明显的冲突。而在实践中，数据交易所往往要求数据出售者通过第三方机构提供符合数据安全法 个人信息保护法等保护规则的资质安全证明，在合规高标准背景下，囿于成本，数据出售者很难有动力进入政府提供的数据要素市场。45 这些冲突不仅导致了法律实施的困难，还使得数据交易者在进行交易时感到担忧，因为他们不确定自己的行为是否会违反现行的法律法规。个人信息保护法对于数据的保护偏重，似乎与鼓励数据流通的政策背道而驰。这种矛盾使得数据交易市场的潜在参与者对于进入市场感到犹豫，因为他们担心自己会因为违反个人信息保护规定而受到法律的制裁。无论是在个人信息保护法 网络安全法还是数据安全法中，都通过“告知同意”的机制，将数据流通与否的决定权交到了用户个人手中。即便是为了促进数据交易的重庆市数据条例 上海市数据条例等地方性法规，也明确指出，未经合法权利人授权同意的数据交易活动不得进行。法律如此设计的后果是，数据出售者在进行数据交易之前，需要对数据的每一个维度，向每一个用户取得同意。44 See Hirsch,Werner Z,“Reducing Laws Uncertainty and Complexity.”,UCLA Law Review,vol.21,no.5,June 1974,pp.1233-1236.45 参胡凌：数据要素财产权的形成：从法律结构到市场结构，载东法学2022 年第 2 期，第 120。数据交易安全港书 Safe Harbor for Data Exchange White Paper 16 其次，执法机构在个人信息保护方面的态度和实践存在变化，这给企业带来了额外的不确定性。今天可能被视为合法和可接受的数据处理方式，明天可能因为政策变动或执法态度的改变而成为违法行为。这种不稳定性让企业在进行数据交易时必须承担更高的风险，因为他们无法准确预测未来的法律环境和执法趋势。在数据流通的实际操作中，为了绕过法律的规制并且降低成本，公司确实可以“花点小心思”在用户协议中对数据的收集和使用进行“一刀切”的授权公司可以将所有需要“告知同意”的数据一次性打包，写在用户协议中“强取”用户的同意。46然而，这种做法很容易被认为是“过度收集”个人信息，尤其是在数据收集与实际业务功能之间没有明确的关联时。这种情况下，用户的“告知-同意”很可能只是形式上的，没有实质性的同意。在政府层面，众多执法机构已经开始加大对于违反个人信息保护规定的企业的打击力度，强调收集数据应当以“必要性”为原则，并对收集范围进行明确的限制。这无疑给那些想通过数据交易获利的企业带来了巨大的压力。比如网信办、工信部等多部门印发的App 违法违规收集使用个人信息行为认定方法第 4 条规定，不得仅以改善服务质量、提升用户体验或定向推送信息等为由强制要求用户同意收集个人信息，个人信息收集的范围被限于实现具体业务功能需要，而常见类型移动互联网应用程序必要个人信息范围将收集的必要个人信息的范围限定为最小值。2022 年 11 月，国家网信办依法查处了 135 款违法违规 App，原因是其中 55 款 App 存在强制索要非必要权限，80 款 App 存在频繁索要非必要权限。47 实践中，在完善个人信息保护和实现数据充分流通利用之间追求平衡确实存在困难，其对制度设计者和政策实施者的权衡决策能力都提出了较高要求。而在实际的数据交易中，一种看似能够平衡数据使用和隐私保护之间关系的方式，即“匿名化”处理，也受到了广泛的关注。有学者仍认为，“匿名化”可以成为破解之道匿名处理后的数据，因无法识别到个人而不再承载主体权利，由此数据交易行为就可以根据个人信息保护法第 4 条“个人信息不包括匿名化处理后的信息”，跳出个人信息保护法的规制范围，数据交易者也自然被免去了法律风险。48 然而，对数据匿名化处理的期待也不应脱离实际，因为从技术原理上来说，所谓的“匿名化”，很多时候只是剔除了“姓名”“IP 地址”这样的直接标识符，却没有消除数据之间的可链接性，这意味着只要数据保持可计算、分析的原始状态，就具备被识别分析的可能性。49比如，学者 Sweeney 大量实验后发现，即便是匿名处理过的医疗、财务和教育数据，都能被重新定位到个人，更糟糕的是，个人无法阻止“去匿名化”的数据被进一步扩散和滥用。50 46 实践中，为了使企业提供的产品或服务，必须同意所有条款。See Marotta-Wurgler,Florencia,“Self-Regulation and Competition in Privacy Policies”,Journal of Legal Studies,vol.45,no.2 Supplement,June 2016,p.S13-S40.47 国家信办依法集中查处批侵犯个信息合法权益的违法违规 App，载中国信，http:/ 参姚佳：数据要素市场化的法律制度配置，载郑州学学报(哲学社会科学版)2022 年第 6 期，第 6-7。49 See Ohm,Paul,“Broken Promises of Privacy:Responding to the Surprising Failure of Anonymization.”UCLA Law Review,vol.57,no.6,August 2010,p.1701-1778.50 See Sweeney L,Von Loewenfeldt M,Perry M,Saying its Anonymous Doesnt Make It So:Re-identifications of“anonymized”law school data(November 12,2018),at https:/techscience.org/a/2018111301/.数据交易安全港书 Safe Harbor for Data Exchange White Paper 17 Sweeney 曾通过美国 1990 年的人口普查数据发现，美国有 87.1%的人可以被邮政编码、出生日期和性别这三组数据精准定位，53%的人可以被城市、出生日期和性别定位。512012 年，Sweeney 又做了一个实验，她用 50美元买了一个华盛顿州公开的住院病例数据集，数据集里包含了每个病人的诊断信息、手术信息、主治医生信息、所在医院信息、费用信息，但没有公开病人的姓名和住址，仅仅是公开了邮政编码，通过搜集公共信息的方式，Sweeney 发现 43.2%的病人可以被精准定位。52 即便是和身份关联度不大的数据，也可以被实现“反匿名”，由此企业更难把好“匿名化”这一关。大型互联网公司和技术企业为了研发和改进算法，有时会发布数据集供研究者使用，如 AOL 和 Netflix。网络服务商美国在线（AOL），曾在网站上开放了 65 万用户的 2000 万次搜索数据，尽管数据被剔除了用户名和 IP 地址，但是一名纽约时报的记者很快从数据集中找到了一位用户的身份线索，最后实现了对用户的精准定位。53流媒体平台“奈飞”（Netflix）为了增强自己的算法推荐机制而公开举办了算法大赛，在大赛中开放了所有用户的评分数据集。虽然数据集经过匿名化处理后，仅剩下被评电影、电影评分和评分日期这三个维度的数据，但有计算机科学家很快发现，只要知道一个用户在一段时间内给哪 6 部电影评过分，“反匿名化”的成功率高达 99%。54随后有用户指控奈飞侵犯隐私，而对奈飞提起了集体诉讼。55 因此，即使这些数据经过匿名处理，仍有可能被重新关联到个体。这不仅侵犯了用户的隐私，还可能导致企业面临法律诉讼和巨额赔偿。即便是已经进行了匿名化处理的数据，也不意味着企业可以毫无顾忌地进行数据交易。因为在个人信息保护法的规定下，一旦数据被重新关联并导致个人信息泄露，企业仍然需要承担相应的法律责任。因此，个人信息保护法第 4条并不是免责条款，匿名化处理后的数据如若还是发生了泄露的危机，企业仍然会因为个人信息保护法承担法律责任。匿名化处理并非万能的，它并不能完全消除数据泄露的风险。正如 Sweeney 的研究显示，通过邮政编码、出生日期和性别这些表面上并不直接与个人身份相关的数据，已经能够精确定位到绝大多数的人。这意味着，只要有足够的数据和分析工具，即便是被“匿名化”的数据也能被“去匿名化”并关联到特定的个体。最后，公众对个人数据的敏感性和对隐私保护的高度关注也为企业带来了挑战。一旦发生个人信息泄露或被不当使用的事件，即使企业在法律上可能无责，也可能面临公众的强烈谴责和负面舆论。这种情况下，公众可能不会去考虑企业与数据主体之间的具体合同条款和责任分配，而是倾向于将所有责任归咎于企业。个人信息的处理在当今的数据交易市场中显得尤为敏感和复杂。一旦个人信息被泄露或不当使用，不仅可能引发用户个人的法律诉讼，还可能对企业的声誉造成严重损害。用户的数据直接关联到他们的隐私和个 51 See Latanya Sweeney,Simple Demographics Often Identify People Uniquely,at https:/dataprivacylab.org/projects/identifiability/paperl.52 See Sweeney L,Only You,Your Doctor,and Many Others May Know(September 29,2015),at http:/techscience.org/a/2015092903.53 See Michael Barbaro&Tom Zeller,Jr.,A Face Is Exposed for AOL Searcher No.4417749,N.Y.TIMES,Aug.9,2006.54 See Arvind Narayanan&Vitaly Shmatikov,How to Break the Anonymity of the Netflix Prize Dataset(October 18,2006),at https:/arxiv.org/abs/cs/0610105.55 See supra note 39,pp.1717-1730.数据交易安全港书 Safe Harbor for Data Exchange White Paper 18 人权益，数据的任何不当处理都可能对用户造成重大的隐私侵犯和经济损失。因此，如果用户发现他们的信息被未经授权使用或泄露，他们很可能采取法律行动，追求赔偿或追究责任。一旦大量用户集体行动，企业可能面临庞大的赔偿压力，这不仅在经济上是一笔巨大开销，更在管理和声誉上构成严重挑战。除了直接的法律风险，个人信息的不当处理还可能对企业的公众形象和市场地位产生长期的负面影响。在信息泄露或滥用的事件中，即使企业在法律上可能无责，公众的舆论也可能不利于企业，导致信誉受损。这种情况下，公众往往不会深入了解事件的具体细节，而是倾向于将责任归咎于企业，从而加剧企业面临的社会压力。鉴于这些风险，企业在进行数据交易时只能非常谨慎。考虑到潜在的法律诉讼、赔偿金、声誉损害以及客户信任的丧失，许多企业开始重新考虑其数据交易策略。在很多情况下，确保交易活动不涉及法律风险，比简单追求短期的经济利益更为重要。数据交易安全港书 Safe Harbor for Data Exchange White Paper 19 三、数据交易所的未来定位：独特服务优势探索 基于对数据交易现状的分析，数据交易机构需要思考整体上的数据要素市场结构，找准自身在数字经济和相关产业链中的定位，寻求和场外交易相比存在差异化的竞争优势。场外交易之所以受到市场主体的青睐，可能归功于灵活性、快速反应能力和较低的交易成本等特点。这种交易方式能够迅速适应市场需求的变化，为交易双方提供了便利和高效率的交易环境。场内目前面临的挑战是，当场外交易的优势无法全部在场内复制时，应如何塑造自身独特的竞争优势。这要求数据交易所在设计和运营机制上进行创新，找到与场外交易不同的吸引点。目前，数据交易所已经通过提供更高级别的数据安全保障、更严格的合规审查，以及更广泛的市场对接机会，来吸引那些对安全性和合规性有更高要求的交易主体。然而，仅仅提供基本服务并不足以赋予数据交易所强大的竞争优势。为了真正在市场上占据一席之地，数据交易所需要开发出更加有竞争力的独特优势，尤其是针对那些场外交易无法满足的市场需求，提出切实可行的解决方案，这才能让数据交易所在数据交易中真正破局。3.1 点对点交易：场外交易的核心优势分析 在数据交易市场，实际情况往往是数据出售方比数据购买方拥有更大的话语权。这一现象源于数据本身的独特性和稀缺价值，使得数据卖方在交易中占据了主导地位。他们不仅可以决定交易是否发生，还可以主导交易的内容、定价，甚至决定责任分配的方式。这种状况在场外的点对点交易中尤为明显，数据出售方利用其独特优势，掌控了交易的基本面。然而，在政府搭建的数据交易所环境中，这种主导地位却受到了挑战。数据交易所在设计时，力图确保交易双方平等，强调合法性、公正性、透明度等原则，数据出售方往往需要遵循一系列的规范和要求，包括数据出售者需要遵循“合法、正当、必要、诚信的原则”，数据出售者被要求不能差别待遇，尽量定价统一，而最终定价可能还会受到政府的影响。56 这种做法旨在创造一个公平的交易环境，但却与数据交易市场的实际运作情况相悖。由于数据出售方通常享有较大的议价权，他们往往倾向于在那些能够充分发挥自身优势的场外交易中寻求更大利益，而不是受到严格规则约束的数据交易所。这种情况导致数据交易所难以吸引数据出售方参与，因为在场内他们将无法像在场外交易中那样享受更大的议价权和控制权。数据交易所所倡导的平等原则，对于那些有能力控制市场的关键数据卖家吸引力不足，并由此会在整体上削弱了交易所的吸引力和交易活跃度。溯源买卖双方权力结构不对等的原因，数据出售方之所以占据更高的地位，主要在于当前数字经济的市场格局总体上趋向于集中，而这种集中状况直接影响了有价值数据的可获取性。随着各大平台企业的发展壮大，他们在特定领域中积累的用户数据和行为分析变得越来越难以替代，这不仅是因为这些数据的数量庞大，更因为它们涵盖了广泛且深入的用户行为和偏好。56 例如，上海数据条例第 24 条规定：“利个信息进动化决策，应当遵循合法、正当、必要、诚信的原则，保证决策的透明度和结果的公平、公正，不得对个在交易价格等交易条件上实不合理的差别待遇。”数据交易安全港书 Safe Harbor for Data Exchange White Paper 20 在这种格局下，数据的非替代性变得尤为明显。数据作为生产和生活的伴生品，随着平台企业的扩张和影响力增强，它们所掌握的数据集涵盖了用户的各个层面。例如，在短视频行业，抖音和快手这样的平台因其巨大的用户基数和深入的用户行为理解，所积累的数据在广告投放、市场研究等方面具有独特且不可替代的价值。这种情况在其他领域也有类似的体现，如电商、社交媒体等。正因如此，这些拥有独特数据的平台企业在数据交易市场中占据了主导地位。他们不仅能够控制自身数据的出售条件和价格，还能决定数据的使用方式和范围。为了巩固数据交易的主导地位和自身的竞争优势，数据出售者虽然拥有大量独特且价值高的原始数据，但他们通常不选择直接出售原始数据。相反，他们倾向于将数据加工、分析后转化为信息或知识产品，再将这些产品出售给数据购买者。因此，所谓的“点对点交易”的交易标的很多时候交易的内容并非原始数据，而是已被二手处理过的“信息、知识”。例如，一个掌握大量消费者购买行为数据的电商平台，可能不会直接出售这些原始数据。相反，成熟的数据出售者可能会开发出基于这些数据的市场趋势分析报告，或是为其他企业提供定制化的市场研究服务。通过这种方式，数据出售者不仅能够保持对其数据的控制权，还能通过转化为知识或信息产品来创造新的价值和收益。此外，这种做法也有助于数据出售者规避法律风险。由于涉及到个人信息保护法、数据安全法等法律法规的约束，直接出售原始数据可能会使数据出售者面临各种法律责任。而通过转化为信息或知识产品，数据出售者能够更好地控制数据的使用方式和范围，从而减少法律上的风险。出售咨询服务而不是原始数据，对数据出售者来说是避免了风险，对于购买者而言，也不失为一个好的选择。数据购买方有时倾向于购买经过加工和分析的数据服务而不是原始数据本身，是因为这些服务更能直接地为其带来商业价值，同时降低了技术和风险挑战。首先，原始数据的价值往往在于其与特定算法的结合使用，但原始数据本身可能是杂乱无章且非结构化的，不易与现有的技术或算法相融合。因此，在质量不一和难以保证的情况下，从技术和操作层面考虑，选择已经加工和分析过的商业咨询服务，往往是更稳妥且风险更低的选择。其次，由于缺乏清晰的数据估价机制，数据的价值可能在不同购买者眼中差异巨大。例如，对于饮料企业而言，茶饮消费数据可能极具价值，而对于游戏企业则可能价值有限。在这种情况下，拥有市场上已经形成的相对清晰和统一定价的商业咨询服务，对于买卖双方而言都是更为明智的选择。商业咨询服务的定价通常更加透明和明确，这有助于在数据交易过程中减少误解和谈判难度，从而促进交易的顺利进行。总的来说，选择商业咨询服务而不是直接购买原始数据，对于数据出售者来说可以减少潜在的法律和商业风险，而对于数据购买者而言，则提供了更明确、更可操作的商业价值，这使得商业咨询服务也成为数据市场中的一种较受欢迎的交易形式。在数据交易的复杂格局中，有学者曾提议将数据交易所转型为中间的撮合者，专注于为交易双方提供磋商服务，类似于华东江苏大数据交易中心的做法，即通过专家团队为数据购买者定制解决方案，而不是直接交易原始数据。57然而，这种模式在现实中的实施面临重大挑战，关键原因在于许多平台企业已经具备完善的数据处理和分析能力，它们可以自行实现点对点交易，不依赖数据交易所的介入，同时还能规避政府监管。57 参丁晓东：数据交易如何破局数据要素市场中的阿罗信息悖论与法律应对，载东法学2022 年第 2 期，第 144。数据交易安全港书 Safe Harbor for Data Exchange White Paper 21 此外，这种模式导致数据购买者对数据出售方的依赖性增强。由于无法直接获取原始数据，购买者必须频繁向出售者购买服务以满足其数据需求。这不仅增加了交易频率，也使数据出售方在交易中的主导地位得到巩固。综上所述，数据出售方由于掌握稀缺且独特的数据资源，在数据交易市场中占据了主导地位。他们倾向于通过出售经过加工或分析后的数据服务而不是原始数据，以此来控制交易过程、降低法律风险，并保持自身的竞争优势。这种做法虽然为双方带来了价值，但同时也加剧了购买者对卖方的依赖，进一步加强了数据出售方在市场上的主导地位。因此，对于数据交易所而言，仅仅充当中间撮合者的角色可能难以满足市场需求。更重要的是，数据交易所需要寻找和开发独特的优势和功能，以满足市场上尚未被点对点交易满足的需求，从而在数据交易市场中扮演更加核心和有影响力的角色。3.2 场内交易的优越之处：与场外交易的对比分析 场外点对点交易模式在数据交易中独树一帜，为数据出售者带来了不小的商业优势。在这种交易模式下，由于交易的双方直接沟通，数据出售者可以根据自身的情况和买家的需求，灵活制定交易策略。更重要的是，点对点交易为数据出售者提供了极大的价格和内容控制权，从而确保其核心数据资产的价值不会被稀释。而且，由于交易过程中的信息不公开，数据出售者可以有效避免与其他竞争对手的直接竞争，确保自身的市场地位。但是，这种模式并不是没有缺陷的。最明显的问题就是法律风险。尽管数据出售者可以避免与竞争对手的竞争，但在点对点的交易模式下，交易的合规性、透明性都可能受到挑战。数据的收集、存储、处理和传输，都涉及诸如隐私权、知识产权等法律问题。而在点对点的交易模式中，缺乏有效的第三方监管和审核机制，很容易导致合规性问题。这也正是数据交易所的价值所在。通过制度建设和服务创新，数据交易所不仅可以降低交易双方的法律风险，还可以为交易双方提供更多的支持和服务。例如，交易所可以为交易双方提供标准合同模板、第三方审核服务、法律咨询等，确保交易的合规性。此外，交易所还可以建立纠纷解决机制，为交易双方提供公正、及时的争议解决服务。近年来在国内各地纷纷推动建设数据交易所或交易平台，但已落地的项目普遍面临场内交易难以形成规模的困境。58有论者指出，数据交易所需重新定位其功能，不能只是提供集中交易场所，而应更多致力于交易撮合，甚至主动发掘交易需求，并提供符合数据交易特殊需要的交易服务（例如数据清洗等）。59提高服务水平当然有助于提升交易所对市场主体的吸引力。但在练好内功之外，如果政策层面的确属意靠交易所带动数据要素流通，特别是希望提升场内交易相对于平台流通和灰黑市交易的吸引力，那么将交易所场内交易设定为安全港规则适用的首要场景，或是一条捷径。58 据些统计，截2022年3底，全国各省已经设53家数据交易场所，包括交易平台、交易中和交易所等不同形式；而前，甚有此前挂牌的数据交易中因实际业务而已被撤销。https:/ 参丁晓东：数据交易如何破局-数据要素市场中的阿罗信息悖论与法律应对，东法学2022 年第 2 期，第 144。数据交易安全港书 Safe Harbor for Data Exchange White Paper 22 换言之，若交易所为场内交易设置的主体资格要求和交易行为规范，同时可获得权威效力背书，成为安全港规则，那么选择在交易所场内开展数据交易，就可使交易主体获得较场外交易更明确的免责预期。这一思路在当前有关数据交易制度配套的讨论中获得初步关注，但并不充分，60然而免责预期明显可以成为交易所和场内交易的竞争优势。61类似科斯所说，法律提供的免责预期本身就构成生产要素。62 从历史经验看，互联网的“非法兴起”过程就是这样一种安全港思维方式的实践，即法律不断确认信息内容的数字化演进过程，减少对传统要素的保护力度。具体而言，“非法兴起”是学者对网络经济特别是互联网企业发展模式的一种解释性描述以网络经济为代表的新经济模式具有一种本质特点，即通过低成本获取免费内容或劳动力，例如，互联网企业为了吸引用户，早期曾通过有侵权嫌疑的方式以低廉成本将内容放到互联网上。63这种新经济特征与传统的规范和思维方式产生了冲突，但基于发展产业的战略需求，政策制定者和执法者都选择了在一定程度上容忍新经济成本的外部化，避免过于严苛的法律责任导致相关创新活动规模受到过度抑制。及时解决新型生产方式的合法性同样重要，随着新型市场要素的不断增加，市场规模扩大，成为有影响力的生产组织，就需要适时通过立法确认既有稳定的商业模式，以进一步吸引社会资源的投入。64“安全港规则”（译自英文“safe harbor rules”，也常被译作“避风港规则”65）。虽然目前包括个人信息保护法 数据安全法 网络安全法等在内的信息数据领域基础性法律，已建构出一个强调风险预防、损害问责的原则性制度框架，但是其笼统和模糊的形式难以满足市场主体对更高法律确定性和可预期性的需求。而安全港规则旨在为数据交易市场主体提供一个清晰、明确的合规路径，同时为其提供相应的法律保障。这一机制是为了平衡市场效率和法律责任之间的关系，确保在鼓励数据交易的同时，保障数据隐私、数据安全和网络安全。安全港规则的实施为数据交易市场主体提供了明确的操作指南。在数据交易领域，尤其是跨境数据交易中，存在许多不确定性，包括如何收集、处理和使用数据的法律责任、如何确保数据的隐私和安 60 提及这思路的，胡凌：数据要素财产权的形成：从法律结构到市场结构，东法学2022 年第 2 期，第 120；杨：论数据交易的法倾斜性，政治与法律2021 年第 12 期，第 3。61 前的讨论主要度是法律如何规范数据交易，而不是法律如何赋能数据交易。丁晓东，155-157.62 See R.H.Coase,The Problem of Social Cost,The Journal of Law and Economics,Vol.3,1960,p.44.63 参胡凌：互联“法兴起”2.0以数据财产权为例，载地法研究2021 年第 6 期，第 21-36。64 参胡凌：数据要素财产权的形成：从法律结构到市场结构，载东法学2022 年第 2 期，第 120-131。65 本将统使“安全港”的译法。需要说明，我国法律界专业在探讨络侵权语境中的“safe harbor rules”时，更常将其译为“避港”。例如，单甜甜：互联平台适避港规则免责的条件，司法（案例）2020 年第 5 期；陈昶屹：“避港规则”扩张适络格权保护之困境与消解兼论侵权责任法第三六条之完善，司法（应）2012 年第 1 期。而在证券法、反垄断法和税法等经济法领域中，“安全港”的译名更常。例如，冯果、洪治纲：论美国破产法之融合约安全港规则，当代法学2009 年第 3 期；沈朝晖：上市公司私有化退市的“安全港”制度研究，法学家2018 年第 4 期，第 66；范晓娟：论有限合伙基的“安全港”规则的突破，政治与法律2013 年第 5 期，第 128；陈洁：“利信息交易”作为内幕交易抗辩规则的建构-兼论我国内幕交易安全港规则的基本框架，现代法学2021 年第 5 期，第 145。络法研究者偶尔也有将“通知删除规则”译为“安全港”的。例如，最法院发布互联典型案例（2021）“天津市嘉瑞宝属制品有限公司诉徐桂珍、邓艳辉、赵振全、天津多维斯地毯有限公司、天津欧豪雅地毯有限公司、第三浙江天猫络有限公司不正当竞争纠纷案（2019）”（周汉华的评论）。选译名不同，或许是导致不同领域研究者未留意其他领域中也有“安全港规则”的个原因。数据交易安全港书 Safe Harbor for Data Exchange White Paper 23 全等。安全港规则通过明确规定合规路径，为市场主体提供了一个明确、可操作的框架，从而减少了交易的不确定性和风险。此外，安全港规则还鼓励了数据交易市场主体的自律和自我管理。在安全港机制下，只有满足特定要求的交易主体，才能享受到法律上的免责预期。这意味着，市场主体不仅需要具备相应的合规资质和合规记录，还需要在交易过程中遵循特定的合规要求，例如数据来源的披露、数据用途的描述等。这样，不仅保证了交易的合规性，也提升了市场主体的自律意识和自我管理能力。然而，安全港规则并不意味着放任市场自由。对于“驶入”安全港的数据交易活动，权威机关仍然有责任和权利对其进行监管。例如，对于不满足安全港要求的交易主体，权威机关可以采取相应的法律措施，确保其对数据处理活动导致的损害承担法律责任。此外，权威机关还可以通过定期审核、随机抽查等方式，确保市场主体真正遵循安全港规则，从而确保数据交易的合规性、透明性和公正性。安全港规则为数据交易市场主体提供了一个合规、透明、可操作的框架，从而促进了数据交易的健康、稳定和有序发展。同时，通过鼓励市场主体的自律和自我管理，确保了数据的隐私、安全和网络安全。在数据日益成为关键生产要素的今天，安全港规则的实施和完善，对于推动数据交易的公正性、透明性和安全性，具有十分重要的意义。在此基础上，交易所还可以引入数据估价机制，为交易双方提供数据的市场价值参考；或者引入数据保险机制，为交易双方提供数据损失的风险保障。通过这些制度创新，数据交易所不仅可以保障交易的公正性、透明性和安全性，还可以为交易双方提供更多的价值。与此同时，数据交易所还可以与其他市场主体合作，形成数据交易的生态圈。例如，交易所可以与数据处理和分析公司合作，为数据买家提供数据加工和分析服务；或者与金融机构合作，为交易双方提供数据融资和保险服务。通过这种生态圈合作，数据交易所不仅可以提升自身的市场地位，还可以为交易双方提供更多的价值和服务。正是在这样的背景下，安全港规则的设计成为数据交易领域的关键议题。虽然场外点对点交易在灵活性和控制权方面拥有显著优势，但随之而来的法律风险和合规挑战，使得安全港规则在数据交易所中的应用显得尤为重要。安全港规则不仅提供了一条明确的合规路径，还为交易主体创造了一个相对安全的法律环境，有效平衡了市场效率和法律责任之间的关系。这一机制对于促进数据交易的合规性、透明性和公正性，提供了一种新的可能性。下文将重点探讨安全港规则的具体设计和实施方式。将分析如何通过明确的规则和标准，为数据交易市场主体提供清晰的操作指南和法律保护。同时，也将探讨安全港规则在实际应用中可能面临的挑战，以及如何通过制度创新来提升数据交易的整体效率和安全性。通过深入探讨这些问题，旨在为数据交易市场的健康发展提供新的思路和解决方案。数据交易安全港书 Safe Harbor for Data Exchange White Paper 24 四、上海数据交易所“安全港规则”的理论构建 在数字经济时代，数据交易已成为推动经济增长和技术进步的关键因素。然而，如何确保数据交易的安全与合规性，一直是行业内外都深感关切的话题。特别地，上海数据交易所，在其业务的深化和拓展中，逐步展现出了对这一议题的深入思考和探索。“安全”这一词汇在此背景下呈现出其双重的含义：第一重含义的“安全”，是技术与实务角度的“安全”。对比不受监管的黑市数据交易与数据交易所提供的服务，后者显著地提高了交易的安全性和合规性，为交易双方构建了一个更为稳固和可靠的交易环境。数据交易所的存在不仅仅是作为一个交易的场所，更重要的是，它为数据的买卖提供了一系列的合规服务，从而在客观上降低了交易风险。这是因为数据交易所通过严格的审核和持续的监管，确保了交易数据的合法来源和透明流通。与黑市交易中常见的来源不明和质量无保障的数据相比，交易所内的数据都经过了严格的审核，这不仅保护了数据出售方的合法权益，也为数据购买方提供了一个可信赖的数据来源。然而，仅有技术上的保障还远远不够消除交易主体对交易的担忧。这引出了安全的第二重含义法律上的安全。对于交易主体来说，他们需要确信其交易行为在法律框架内是被允许的，且不会带来潜在的法律风险。因此，除了技术保障，上海数据交易所还积极寻求在法律层面的支持和认可，以期为交易者提供一个更为全面的“安全港”。事实上，上海数据交易所的追求并不仅限于简单的客观安全。更深远的愿景是在数据安全风险和数据交易规模之间寻找一种平衡。这种平衡不仅仅是技术层面的实现，更是要通过深入的制度建设来达成。如此看来，数据交易安全港规则的实现是一个两阶段的过程：在第一阶段，上海数据交易所将探索通过提供一系列创新和先进的服务，来降低交易的客观风险。这意味着交易所在技术层面的服务，应做到确实比其他没有这些服务的平台更具优势，从而确保交易在客观层面的风险更低。第二阶段的重点，是使数据交易所在其通过自身努力已经能够取得的服务能力和优势的基础上，进一步获得政府和行政部门的支持。这种支持可以视为对数据交易所的努力和成效的认可，也是激励其持续发展和创新的重要动力。这种待遇不仅是对数据交易所技术和客观努力的肯定，更是对其在推动数据交易市场健康发展中所发挥作用的认可。目前，数据交易所持续致力于整合自身研发资源和外部合作力量，探索、开发一系列合规服务，以有效降低数据交易的各类安全风险。相关探索和实践的潜力和价值，未来将有待在政策层面获得进一步肯定和激励。上海数据交易所相信，这样的安全港建设是必要且重要的。安全港机制不仅提供了一个明确的合规框架，还为交易者提供了更多的法律保障，从而增强了市场主体对交易所的信任和依赖。因此，数据交易所将继续推动安全港的建设和完善，同时积极争取更多的政策支持，以确保其在数据交易市场中的关键角色和地位。在未来的发展中，上海数据交易所将继续在客观和技术层面做出努力，不断提高服务水平和交易安全性。同时，它也期待政府和行政部门能够给予更多的支持和激励，以促进数据交易市场的健康发展，实现数据交易的更广泛应用和价值挖掘。通过这样的双向努力，数据交易所有信心在未来构建一个更加公平、透明和安全的数据交易环境。数据交易安全港书 Safe Harbor for Data Exchange White Paper 25 正因为此，尽管目前安全港规则尚未全面落地，但对其进行深入的理论研究和规划显得尤为重要。这不仅是因为安全港规则是数据交易所未来发展蓝图中的关键一环，也是因为它对于确保数据交易市场的健康和有序发展具有重要意义。下文将重点分析上海数据交易所在合规技术层面上的安全港规则设计，以及在法律规则层面上的相关措施。这种双重保障的设想旨在为数据交易市场的参与者提供更全面的法律和技术保障，确保交易过程的安全性、合规性和效率。详细探讨安全港规则，意味着将深入分析如何在数据交易中平衡效率和安全性，如何确保数据交易所能在保护数据隐私和促进数据流通的同时，有效管理法律风险。通过对这些关键问题的解答，上海数据交易所希望能为整个数据交易市场的健康发展奠定坚实的基础。因此，尽管安全港规则的具体细节和实施可能仍需时日，但对其原理和框架的理论探索绝非早熟。相反，这种前瞻性的思考和规划是确保数据交易所能够顺应数据经济时代潮流、引领市场发展的关键所在。4.1 合规技术层面的安全港规则 上海数据交易所作为国内领先的数据交易平台，在数据交易合规性方面有丰富的探索，积累了诸多实践经验。上海数据交易所不仅制定了一系列的交易规范和指引，更重要的是，其正在积极引入创新技术，致力于全面降低数据交易的客观风险。上海数据交易所不仅寻求建立一套完善的数据交易合规体系，确保数据交易的合法性、公平性和安全性，也致力于推动利用人工智能（AI）技术破解数据合规难题，为数据交易的合规问题提供有效解决方案，为安全港规则提供支撑。4.1.1 合规服务（1）打造数据要素流通交易规则 上海数据交易所在推动数据交易领域的规范化和合规化方面发挥着关键作用。2022 年 8 月，上海数据交易所首次发布了一系列关于数据交易的规范和指引，紧接着在 2023 年 10 月，进一步发布了上海数据交易所数据交易安全合规指引。这一系列规范和指引旨在构建健康的数据要素市场，同时注重交易安全和合规性，并提出创新制度，其中明确了交易规范、合规规范、安全规范、交易流程和数商规范，以下将详细介绍五大核心规范的内涵和重要性。交易规范的明确性与深化 上海数据交易所对交易规范的制定与明确，展现了对整个数据交易过程的精细管理和高度重视。交易规范不仅是数据交易的基石，更是确保交易公平、透明和安全的关键。首先，交易的基本原则为所有参与方提供了一个公平交易的平台，确保每一方在交易中的权益都得到了保障。这些原则涵盖了交易的公正性、透明性和诚信性，为数据交易的各方提供了明确的行为指导。其次，交易的主体、对象和方式的明确，确保了交易的专业性和高效性。上海数据交易所对交易主体的资质、交易对象的合规性、交易方式的安全性都作出了明确的要求。数据交易安全港书 Safe Harbor for Data Exchange White Paper 26 再者，违规处罚与监督管理保障的制定，是为了维护交易的公正性和公平性。任何违反交易规范的行为，都将受到相应的处罚，确保交易的公信力。合规规范的明确性与深化 上海数据交易所对合规规范的制定与明确，体现了对数据交易合法性的高度重视。合规规范是确保数据交易各方权益的关键，也是数据交易健康、稳定和可持续发展的基石。首先，主体的资质与责任的明确，确保了数据交易的专业性和合法性。其次，数据交易标的的合规要求与风险控制，确保了数据的质量、安全性和合规性。这包括数据的来源、数据的处理和数据的使用等各个环节的合规要求。安全规范的明确性与深化 上海数据交易所对安全规范的制定与明确，展现了对数据交易安全的高度重视。安全规范不仅是数据交易的基石，更是确保数据交易的可靠性和稳定性的关键。首先，数据的加密、备份与恢复的要求，确保了数据在交易过程中的安全。其次，第三方的合规评估，确保了数据交易的公正性和客观性。上海数据交易所引入了第三方机构进行合规评估，确保评估的公正性和客观性。数据交易流程的明确性与深化 明确数据交易流程是实现数据价值的关键。上海数据交易所已经制定了明确的数据交易规则、交易标的、违规的处罚方式以及监管理保障等事项。首先，主体认证、产品登记、产品挂牌等环节的明确，确保了交易的专业性和高效性。上海数据交易所对这些环节进行了严格的管理，确保交易的顺利进行。其次，交易签约与结算的流程，确保了交易的公正性和公平性。上海数据交易所采用了先进的技术手段和管理手段，确保交易的公信力。数商规范的明确性与深化 首先，数商资格标准的制定是为了确保参与数据交易的数商都具备一定的专业能力和信誉度。这包括对数商的基本资质、技术能力、经营历史等进行综合评估。只有满足一定标准的数商，才能在上海数据交易所进行数据交易，这样可以有效地减少交易风险，提高交易的公信力。其次，管理规范的制定是为了规范数商的日常经营活动，确保其行为与上海数据交易所的总体目标和原则相一致。这包括数商的数据采集、数据处理、数据销售等各个环节的管理规范，确保数据的质量、安全性和合规性。再者，责任义务的明确是为了确保数商在数据交易中的行为是负责任的。这不仅包括对数据的真实性、完整性和安全性的责任，还包括对数据交易合同的履行责任、对客户的服务责任等。任何违反规范的行为，都将受到相应的处罚。最后，退出机制的制定是为了确保数商在无法满足上海数据交易所的规范要求时，可以有序、安全地退出数据交易市场。这既保障了数商的权益，也确保了数据交易市场的稳定性和公信力。数据交易安全港书 Safe Harbor for Data Exchange White Paper 27 上海数据交易所对数商规范的制定与明确，体现了对数据商业活动的高度重视和规范化管理。上海数据交易所对数商规范的明确与深化，旨在建立一个公平、透明、安全的数据交易环境，促进数据经济的健康发展。（2）推动数据产品合规评估服务 上海数据交易所在数据交易合规性方面的实践和经验为国内外的数据交易所提供了宝贵的参考，通过建立完善的合规评估体系，上海数据交易所确保了数据交易的合法性、公平性和安全性。这为数据交易的参与者提供了一个公平、透明和安全的交易环境。除此之外，上海数据交易所还面向数据合规评估商，围绕数据产品合规评估业务组织培训专场，包括不同行业的合规审查标准、合规审查清单指引培育数据合规评估商评估能力、规范评估方式，促进合规高效流通，让市场对数据交易合规标准达成统一共识。随着一系列的合规培训及沙龙讲座的宣导，数据合规评估商及企业已逐步适应合规评估的标准及全流程要求，对数据产品、数据交易合规有了更清晰的认知。上海数据交易所还针对中小企业对数据合规问题的认知缺失、描述不清等问题，提供有针对性的指导，旨在解决中小企业难以向市场表达合规的痛点问题。目前，上海数据交易所已经为近 50家中小企业助力解决产品合规问题（这些合规问题主要集中在数据来源，数据安全能力等方面），帮助中小企业完成产品合规要求，为其向市场证明符合法律法规的合规标准提供支撑。4.1.2 合规科技（1）探索智能具解决合规痛点 上海数据交易所致力于通过引进先进技术的方式，为数据交易的合规问题提供成熟的解决方案。随着人工智能的迅猛发展，通过人工智能赋能数据合规，全面提升合规管理质效已成为破解数据合规难题的重要抓手。基于 AI的智能评估工具，能够自动化处理一些复杂的合规流程，如自动扫描企业合规材料、辅助识别数据风险等功能，有效减少了人工检查工作量，提升合规工作的效率 数据交易归根结底会落实到双方的合同。不同于常规的货物买卖合同，数据交易合同较为新颖且专业化更强，需要更为综合性的合规指引方才能够为交易的顺利进行保驾护航。通过自然语言处理、机器学习等人工智能前沿技术，人工智能可以根据语义识别比对关键条款，自动审核数据交易合同是否符合法律法规要求，快速识别合同中存在的风险点并提供相应的修改建议。（2）建合规知识库助市场主体智能检索 数据交易对于市场主体的一大痛点便是规则的复杂性，以及由此产生的高昂合规成本。数据交易领域的法律架构非常复杂，需要极为专业化的知识支持，这是因为数据交易涉及到许多法律法规、合同和隐私保护等方面的问题。为了确保交易的合法性和合规性，必须符合网络安全法 个人信息保护法 数据安全法等诸多法律及其细则的复杂规定，市场主体需要详尽的合规指南以及专业化的法律检索数据库，这些服务对法律专业能力要求极高。为此，上海数据交易所正在根据市场需求引进专业的合规知识库，以求大规模降低市场主体进行场内交易的合规成本，希望能在未来促进数据交易市场的进一步发展。在数据交易领域，法律架构的复杂性主要体现在以下几个方面。首先，跨境数据交易可能涉及到多个国家和地区的法律法规，而不同国家和地区对于数据的使用、存储和传输可能有不同的规定。因此，在进行复数据交易安全港书 Safe Harbor for Data Exchange White Paper 28 杂的跨境数据交易时，需要考虑各个国家和地区的法律要求，并确保交易符合各方的法律规定。其次，数据交易还涉及到知识产权保护的问题。在数据交易过程中，可能涉及到他人的知识产权，如专利、商标和著作权等。因此，必须确保在数据交易中不侵犯他人的知识产权，并遵守相关的法律规定。此外，数据交易还需要考虑数据隐私的保护。随着数据泄露和滥用的风险不断增加，保护用户的数据隐私成为一项重要任务。因此，在数据交易中必须遵守相关的隐私保护法律，并采取相应的技术措施来保护用户的隐私。上海数据交易所认识到市场主体面临的上述痛点，通过积极培育数商生态、引入专业服务机构解决数据合规专业知识上的难点与堵点。上海数据交易所正在与知识行业的头部机构展开合作，为市场主体提供一站式数据合规知识服务。数据合规知识平台以成为数据价值实现全生命周期知识服务专家为愿景，以上海数据交易所合规规范指引为基础，全面整合数据合规各领域、各区域的法律规范与案例，为市场主体提供客观标准，并关联知识要点，为决策提供支撑与参考；嵌入审查系统，依据数据类型、场景为审查/自评者提供流程化、导引式服务，提高数据合规服务的能力与效率。通过数据合规知识平台，市场主体可以快速了解进行数据交易的具体要求，帮助其在面对海量的法律法规时，能迅速定位到相关要求及实践案例；在进行数据交易时，可以精准检索支撑数据交易的合规知识，降低企业合规成本。（?）检测关键条款保护双合法权益 数据交易归根结底会落实到双方的合同。不同于常规的货物买卖合同，数据交易合同较为新颖且专业化更强，需要更为综合性的合规指引方才能够为交易的顺利进行保驾护航。在数据交易的商业场景中，交易的本质是围绕数据使用权等核心权利的转让，同时因为数据的来源也会涉及到一般合同之外的第三方，因此一个符合法律规定的合同文本便是交易的核心，也是交易双方关于本次交易的权利义务约定书，能够尽可能减少日后因为交易发生争议的风险。上海数据交易所致力于开发合规科技，结合具体的交易场景专门化合同审查流程与重点。作为国内领先的数据交易平台，上海数据交易所一直致力于引入科技力量解决目前数据交易合规性的痛点问题，以提高交易合规性和效率。在合同审查方面，上海数据交易所结合具体的交易场景，专门化合同审查流程与重点。此外，上海数据交易所正在积极开发利用人工智能技术开发智能合约检查工具，该工具可以对合约进行自动化检查，以提高审查效率和准确性。4.2 作为数据交易制度支撑的安全港规则 在中国的法律实践中，“安全港规则”尽管是一个常被提及的术语，但其确切含义往往模糊不清，不同领域的使用者对其理解各异，甚至对彼此之间的用法和定义缺乏足够的认知。许多法律专业人士，虽然经常使用此术语，却未能全面而深入地理解其作为一种法律技术的精髓。这一法律术语的泛用和多样性，使其在不同法律领域中的具体应用和原理探讨成为一个有待深入研究的领域。当前，安全港规则在法律领域的确切应用和界限尚不明晰，这就迫切需要从理论上对其进行深入的阐释和明确界定。因此，在探讨上海数据交易所如何设计具体的安全港规则之前，了解安全港规则基础的理论架构显得尤为重要。安全港规则作为一种法律技术（legal technology），不仅是简单的法律条文或规则，而是一套更加复杂和细致的制度设计，旨在为受法律约束的主体提供明确、有条件的合规路径。这种技术的核心在于在一般数据交易安全港书 Safe Harbor for Data Exchange White Paper 29 法律原则和行为限制之下，通过具体规则为社会行为主体指明安全的行动范围，以便在遵循规则的前提下获得法律上的免责预期。在此基础上，下文将尝试为安全港规则提出一般性的学理解释，探讨其作为法律技术的核心特征、功能优势和设计难点，并将其与其他类似的法律技术进行必要的比较和辨析力图为这一概念提供更为清晰和全面的理解。希望通过这种方式，能够凝练出安全港设计的原则，在未来为数据交易场景下的安全港规则的具体设计和应用，提供更为坚实的理论基础。4.2.1 安全港规则的学理解释 中文语境里人们最熟悉的安全港规则，恐怕要属已进入民法典的网络服务提供者侵权责任规则：当用户利用网络服务实施侵权时，网络服务提供者接到受害人通知，应及时采取删除、屏蔽、断开链接等必要措施，否则需对损害的扩大部分承担连带责任。66这种经常被笼统简称为“通知删除”67的规则，之所以也叫“安全港”68，是因为其源自更早时我国网络著作权保护制度对美国数字千禧年版权法（Digital Millennium Copyright Act，以下简称“DMCA”）中“安全港规则”的借鉴。691998 年 DMCA 出台之前，网络服务提供者原则上要为用户实施的版权侵权行为承担责任。70这种责任体制下，以提供免费内容为核心商业模式的早期互联网产业要面对极大的版权诉讼风浪，甚至有“翻船”之虞。作为版权与互联网两大利益集团妥协的结果，71DMCA 为网络服务提供者设定了可使其免于为侵权担责的路径，特别是要建立并运行一套简称为“通知删除”（notice and takedown）、但其实包含十余项流程要素的应对机制。72DMCA 的安全港规则影响了多国立法。73我国在2006 年制定信息网络传播权保护条例时将类似规则引入，74并在2009 年 66 参法典第 1195、1196 条。67 严格来说，在此类规则下，法律要求络服务提供者接到“通知”后应采取的“必要措施”不只是删除，还有屏蔽、断开链接等。参法典第 1195 条。68 或更准确地说，在这语境中通常被翻译为“避港”。69 刘家瑞：论我国络服务商的避港规则兼评“唱公司诉雅虎案”，知识产权2009 年第 2 期，第 13；王迁：信息络传播权保护条例中“避港”规则的效，法学2010 年第 6 期，第 128，133。70 参刘家瑞：论我国络服务商的避港规则兼评“唱公司诉雅虎案”，知识产权2009 年第 2 期，第 14；王迁，第 129-133。71 朱开鑫：从“通知移除规则”到“通知屏蔽规则”数字千年版权法“避港制度”现代化路径分析，电知识产权2020 年第 5 期，第 42。72 有关“通知删除”所要求流程的个简明梳理，Eric Goldman,Internet Law:Cases&Materials,E-version,2021,p.159。需说明，般认为，DMCA 第 512 条共为络服务提供者创设了四项安全港，分别针对提供（1）传输（2）缓存（3）存储（4）信息查询检索这四类络信息服务的服务商，而后三项安全港的使以服务商建通知删除机制为前提。Pamela Samuelson,Pushing Back on Stricter Copyright ISP Liability Rules,27 Michigan Technology Law Review 299,306(2021).73 但 DCMA 的安全港思路也美国原创，是受当时已出现的国际规范（WIPO Copyright Treaty）影响。See Pamela Samuelson,Pushing Back on Stricter Copyright ISP Liability Rules,27 Michigan Technology Law Review 299,305-307(2021).74 参王迁：信息络传播权保护条例中“避港”规则的效，法学2010 年第 6 期，第 128，133。数据交易安全港书 Safe Harbor for Data Exchange White Paper 30 制定侵权责任法时将“通知删除”的适用范围扩张到版权侵权之外，作为包括人格侵权在内各类场景中界定网络服务提供者责任的一般规则。75 或许由于网络侵权问题一向受到极高关注，“安全港规则”如今几乎被视为网络法专用术语。76但事实并非如此。法律界另一个常与“安全港规则”打交道的群体，是证券法领域的研究者和从业者。该领域中“安全港”之说同样来自对美国法的比较研究和译介。77美国证券法的核心特点是覆盖范围极广。例如，除非符合法定豁免，否则地球上任何一个角落发生的售卖证券行为，都要以根据美国 1933年证券法第 5条依法注册为前提。但在此原则下，立法不但本身已包含一系列豁免特定类型证券和交易注册要求的规定，而且还赋予美国证监会（SEC）制定更多豁免规则的行政立法权。78由于有关豁免规则的司法判例无法为市场主体提供足够确定性，SEC 在当代通过制定一系列更为具体明确的安全港规则，为发行人等市场主体指出可选用的豁免注册要求的交易方案。79又如，证券发行人所做信息披露如被认定存在虚假陈述或重大遗漏，构成欺诈，依法会面临极为严重的责任后果。但像与财务前景预测、经营战略规划等有关的所谓“前瞻性信息”（forward-looking statements），对投资者很有价值，但其准确性没人能打包票，而企业可能因担忧责任风险而披露不足。为缓解这种“寒蝉效应”，1995 年私人证券诉讼改革法特别为披露前瞻性信息的企业设立了一个安全港，使其可通过主动满足法定条件（如使用特定警示语言）的方式，避免被事后追责。80在前瞻性信息披露责任等问题上，我国已引入类似安全港规则。81而证券法实务界由于开展跨境业务的需求，长期系统研究并操作美国证券法，这使得他们很早就对“安全港规则”之说耳熟能详。82 75 参侵权责任法第 36 条。参陈昶屹：“避港规则”扩张适络格权保护之困境与消解兼论侵权责任法第三六条之完善，第 80。76 笔者在写作本过程中随机询问过位法律学者（包括境外学者）和律师，后者均表只在络侵权语境中听说过“避港”或“安全港”规则。而有关络侵权安全港规则的中论则未有提及其他领域中安全港规则的。77 例如，参冯果、洪治纲：论美国破产法之融合约安全港规则，当代法学2009 年第 3 期；沈朝晖：上市公司私有化退市的“安全港”制度研究，法学家2018 年第 4 期，第 66；范晓娟：论有限合伙基的“安全港”规则的突破，政治与法律2013年第5期，第128；陈洁：“利信息交易”作为内幕交易抗辩规则的建构-兼论我国内幕交易安全港规则的基本框架，现代法学2021 年第 5 期，第 145。络法研究者偶尔也有将“通知删除规则”译为“安全港”的。78 Thomas Lee Hazen,Principles of Securities Regulation,3d Edition,St.Paul,Minnesota:West,2009,pp.95-96.79 中国法律界熟悉的如涉及向美国境外投资或机构投资发证券的若安全港规则（特别是 Regulation S 和 Rule 144A 下的安全港），可使得主要在美国市场之外开展的证券发（例如在伦敦、港或新加坡等主要市场发售股票或债券）免去注册负担。See Thomas Lee Hazen,Principles of Securities Regulation,3d Edition,St.Paul,Minnesota:West,2009,pp.132-135.80 Thomas Lee Hazen,Principles of Securities Regulation,3d Edition,St.Paul,Minnesota:West,2009,pp.204.81最法院关于审理证券市场虚假陈述侵权事赔偿案件的若规定第 6 条。82 较早的系统梳理，如郭雳：美国证券法注册豁免规定研究，融法苑2003 年第 6 期，第 173。数据交易安全港书 Safe Harbor for Data Exchange White Paper 31 证券法之外，我国企业组织法、破产法、反垄断法、税法等领域的研究者，也都关注到各自领域中美国法上的安全港规则。83目前可查到的最早介绍美国安全港规则的文献是以国际税法为主题的。84而在反垄断领域，不但业界始终将修订前后的反垄断法中豁免纵向垄断协议的制度称为“安全港”，85甚至在正式规定中也已明确使用了“安全港规则”这一术语。86不过，上述各领域研究者也往往未能有意识地将本领域与其他领域中的安全港规则作横向联系、比较，87更不用说探讨安全港规则作为一种法律技术的一般制度原理。可见，在中文法律语境中，“安全港规则”一词被应用于多个不同的法律领域，但其核心原理和特征在各领域间却往往缺乏足够的交流和比较，更未能深入探讨其作为一种法律技术的一般制度原理。鉴于此，为“安全港规则”提出一种一般性的学理解说是有必要的。不过，美国学界就该法律技术所作的一般学理探讨同样不多见。88如前所述，安全港规则虽然在美国法上的应用极为广泛，89在收入权威的布莱克法律词典（Blacks Law Dictionary）时，“安全港规则”如今 83 例如，参冯果、洪治纲：论美国破产法之融合约安全港规则，当代法学2009 年第 3 期；沈朝晖：上市公司私有化退市的“安全港”制度研究，法学家2018 年第 4 期，第 66；范晓娟：论有限合伙基的“安全港”规则的突破，政治与法律2013年第5期，第128；陈洁：“利信息交易”作为内幕交易抗辩规则的建构-兼论我国内幕交易安全港规则的基本框架，现代法学2021 年第 5 期，第 145。络法研究者偶尔也有将“通知删除规则”译为“安全港”的。84 参赵旗：跨国公司避税为分析及法律对策，河北法学1989 年第 6 期。85 例如，时建中：新反垄断法全解读，中国法律评论2022 年第 4 期。86 例如国务院反垄断委员会关于知识产权领域的反垄断指南第 13 条，就明确列出涉知识产权协议可不认定为垄断协议的条件，并将此称为“安全港规则”。市场监管总局企业境外反垄断合规指引（2021 年）。87 个例外，魏俊：证券法上的安全港及其制度价值-以前瞻性信息披露为例，证券法苑2014 年第 3 期。88 仅有的两篇，前引 Susan C.Morse,Safe Harbors,Sure Shipwrecks,49 UC Davis Law Review 1385,1392(2016)，以及Andrew Stumpff Morrison,Case Law,Systematic Law,and a Very Modest Suggestion,35 Statute Law Review 159,173(2013).思路相近的理论讨论，Gideon Parchomovsky&Alex Stein,Catalogs,115 Columbia Law Review 165(2015).89 除了前提到的各经济法领域外，环境法、刑法等领域中也不少。例如，在反海外腐败刑事执法体制中，跨国企业常临本国和所在 国 法 律 差 异 造 成 的 复 杂 合 规 险，而 安 全 港 是 其 可 借 助 的 重 要 合 规 具。https:/ Susan R.Klein,Identifying and(Re)formulating Prophylactic Rules,Safe Harbors,and Incidental Rights in Constitutional Criminal Procedure,99 Michigan Law Review 1030,104445(2001);Susan C.Morse,Safe Harbors,Sure Shipwrecks,49 UC Davis Law Review 1385,1392(2016).而联邦政法规汇编（Federal Register）中据称每都会出现 15 次甚更多次“安全港”字样。Morse,pp.1391-1392 数据交易安全港书 Safe Harbor for Data Exchange White Paper 32 也被作为通用、而非某领域专用的法律术语。90或许正由于使用范围很广，这个概念在美国语境中也出现了一定程度的“泛化”，有时被论者与其他近似的法律责任豁免技术混淆起来。91 有鉴于此，这里首先要明确限定：下文讨论的“安全港规则”，仅指权威机关在相对原则、一般的行为限制和追责体制下，以相对具体的规则形式，为受法律约束的社会行为主体指明有限、有条件合规路径的一种法律技术；当行为主体选择在安全港范围内开展相关活动时，便可获得较为确定的免于被追究违法责任的预期。92 下文将进一步指明安全港规则的核心特征，并将其与近似法律技术作必要辨析。4.2.2 安全港规则的核心特征：“有限”“有条件”的“安全”权威的布莱克法律词典（以下简称“词典”）将安全港规则定义为“成文法或行政规章中的规则，其赋予特定对象免于赔偿责任（liability）或处罚（penalty）后果的保护”，并以前文提到的证券法上“前瞻性陈述安全港”作为示例。93这定义固然“权威”，但其实并不确切、充分：美国法上的安全港规则不只出自成文法和行政法规，也有由司法创设的情形；94更重要的是，如果只是让特定主体免于赔偿或处罚责任，那么“豁免”“除罪”之类的规范在法律中古已有之，晚近才出现的“安全港”，又有何特别？要真正理解安全港规则的制度内涵，需要结合其产生和作用于其中的制度结构。尽管以“免责”为适用结果，但安全港规则并非追求在全面、普遍的意义上为行为主体提供其欲求的免责预期。正如这一术语在修辞层面暗示的，安全港提供的是“有限”“有条件”的安全。首先，之所以要开辟港湾，让行船人在其中感到“安全”，是因为开放海域上常有惊涛骇浪。而在提供港内安全的同时，安全港并做不到、也不追求使港 90“1.An area or means of protection.2.A provision(as in a statute or regulation)that affords protection from liability or penalty.SEC regulations,for example,provide a safe harbor for an issuers business forecasts that are made in good faith.Also termed safe-harbor clause;safe-harbor provision.”SAFE HARBOR,Blacks Law Dictionary(11th ed.2019)91 例如，Morrison 曾举例，在税法上，存在以所谓“安全港”的名，去对原本已够清晰具体的规则作出修改的情况。Andrew Stumpff Morrison,Case Law,Systematic Law,and a Very Modest Suggestion,35 Statute Law Review 159,173(2013)，第 173 脚注 34。92 See Andrew Stumpff Morrison,Case Law,Systematic Law,and a Very Modest Suggestion,35 Statute Law Review 159,173(2013);Peter Swire,Reply:Safe Harbors and a Proposal to Improve the Community Reinvestment Act,79 Virginia Law Review 349,350(1993).93“1.An area or means of protection.2.A provision(as in a statute or regulation)that affords protection from liability or penalty.SEC regulations,for example,provide a safe harbor for an issuers business forecasts that are made in good faith.Also termed safe-harbor clause;safe-harbor provision.”SAFE HARBOR,Blacks Law Dictionary(11th ed.2019)93 仅有的两篇，Susan C.Morse,Safe Harbors,Sure Shipwrecks,49 UC Davis Law Review 1385,1392(2016)，以及Andrew Stumpff Morrison,Case Law,Systematic Law,and a Very Modest Suggestion,35 Statute Law Review 159,173(2013).思路相近的理论讨论，Gideon Parchomovsky&Alex Stein,Catalogs,115 Columbia Law Review 165(2015).94 See Susan R.Klein,Identifying and(Re)formulating Prophylactic Rules,Safe Harbors,and Incidental Rights in Constitutional Criminal Procedure,99 Michigan Law Review 1030,104445(2001)数据交易安全港书 Safe Harbor for Data Exchange White Paper 33 外洋面的风浪一概平息。其次，获得港湾内的安全并非无需代价，而以行为人满足特定条件为前提。很多安全港往往只对符合特定资格、条件的船只开放，甚或要求驶入者支付“入场费”。不仅如此，选择进入安全港还意味着航行者付出了机会成本：进入安全港固可求得安全、定心，但也将自己束缚在相对逼仄的腾挪空间内，放弃了在更广阔天地中另行探索。就本文讨论的安全港规则而言，“有限性”和“有条件性”是其核心特征。这两项特征同时意味着安全港规则是选用性而非强制性的是否要借助安全港管控自身法律风险，行为人需要抉择，也保有一定选择空间。仍以被词典选为范例的前瞻性陈述安全港为例。这一安全港既是“有限”的，也是“有条件”的。首先，在证券法严惩信息披露欺诈的整体责任制度下，行为人因作出前瞻性信息披露而原本可能面临的法律不确定性较高。而安全港规则的有限性，体现在其仅指出前瞻性陈述可免于追责的特定情形（particular rule），因此并非免除前瞻性陈述责任的一般规则（general rule）。95第二，为了使用前瞻性陈述安全港，披露人必须在进行相关信息披露时配用特定警示语，提示预测可能因种种原因落空。96尽管这种警示语随着市场实践的发展，逐渐变得越来越标准化甚至形式化，但其仍在事实上为有意运用安全港的市场主体增加了沟通负担。近十年来，随着网络社交媒体平台的兴起，越来越多的企业开始尝试运用新兴媒介开展投资者沟通，而这类操作常可能导致前瞻性陈述落到安全港之外。最常见的情形，就是企业或高管通过社交账号发布经营计划或财务预测时，不同时搭配传统信息披露中包含的预警提示这既可能是社交网站发帖的字数限制所致，也可能是发言者不希望啰里啰嗦的提示语影响“短频快”“造热点”“带节奏”的传播效果。由于前瞻性披露安全港的有限性和有条件性，上述行为会面临额外的法律风险。97但值得注意的是，在变化了的媒体条件下，会有企业为追求效率更高、效果更好的投资沟通，宁愿选择走出安全港，去承受更大的法律风险。4.2.3 近似法律技术辨析 安全港规则是一种现代法律术语，用于减少法律责任的不确定性，为行为主体提供一定程度的免责预期。这种法律技术并不新鲜，但通过与其他技术比较，可以更好地理解其原理和特点。1.规则细化：为了提高法律的确定性，权威机关可以将原则性规定细化为具体的规则。例如，中国在社会信用建设中使用清单和目录来细化失信惩戒制度。98安全港规则也是一种规则细化的形式，但它只提供有限的免责范围，而不是全面的合规或免责预期。95 关于有限/特定（particular rule）规则和般规则（general rule）的差别，可参看 Duncan Kennedy,Form and Substance in Private Law Adjudication,88 Harvard Law Review 1685,1689-1690(1976).96 当前美国上市公司年度财报通常包含达整的有关前瞻性陈述有可能法落实的提。See Alibaba Group Holding Limited,Form 20-F(fiscal year ended March 31,2021)，pg.x,https:/www.sec.gov/ix?doc=/Archives/edgar/data/1577552/0006092/baba-20210331x20f.htm#FORWARDLOOKINGSTATEMENTS_253837.97 而像特斯拉公司创始埃隆斯克这样常年推特造势的明星企业家，更是曾直接“翻”，因有关企业私有化计划的推内容不实而被美国证监会发动执法调查。See SEC Settles with Elon Musk and Tesla:Time to Review Your Disclosure Controls and Procedure.98 国务院办公厅关于进步完善失信约束制度 构建诚信建设效机制的指导意（2020 年）；全国公共信信息基础录（2021年版）；全国失信惩戒措施基础清单（2021 年版）。数据交易安全港书 Safe Harbor for Data Exchange White Paper 34 2.模糊无效（void for vagueness）：这是一种公法领域的法律技术，用于处理法律规范含糊不清的情况。99当法律规范包含太多模糊之处（vagueness），人们难以判断行为是否合法，可能导致寒蝉效应（chilling effect），即人们为避免被追责而过度谨慎，连很多实际上正当合理的活动都不敢从事、开展。100为应对上述问题，法院可以基于模糊无效的理由否定这类规定的法律效力。101与此相比，安全港规则提供的是有限、有条件的免责例外。3.完整免责（full immunity）：这是立法者通过制定明确的免责条款来消除责任不确定性的方法。例如，美国通讯风化法中的网络服务商免责规定，提供了与安全港规则不同的免责预期。102与此相比，安全港规则提供有限、有条件的免责，而通讯风化法则提供了更广泛的免责。4.有限豁免：与安全港规则相比，有限豁免规则在法律中很常见，如基于年龄或精神状况的刑事责任豁免。103这些规则的适用条件通常是客观事实，如年龄或疾病状态，而安全港规则则要求行为人主动满足某些条件。5.监管沙盒（regulatory sandbox）：监管沙盒，源自金融监管领域，是政府划定的一个实验区域，允许金融科技企业在此测试创新产品和服务。这种制度最早在英国出现，后来扩散到全球多个国家和地区。104监管沙盒的实施流程包括提交测试申请、沟通协商、正式测试和测试结束后退出，企业需向监管部门提交申请，说明其金融科技的创新性和安全性，监管部门评估后，与企业协商确定测试的具体内容、时间安排和风险管理，测试期间企业自主测试，同时报告进展和风险，接受监管，测试结束后监管部门评估总结，为未来政策提供参考。105监管沙盒的设计初衷是为金融科技创新提供测试空间，重点在于特定场景下的创新测试，而非普遍适用的交易规则框架。相比之下，安全港规则所追求的是更普遍、常态化的交易环境。总结来说，安全港规则作为一种普遍适用的法律技术，旨在减少法律责任不确定性。它通过为行为主体提供有限、有条件的免责预期，与其他法律技术如规则细化、模糊无效、完整免责、有限豁免和监管沙盒相区别。4.2.4 安全港规则的功能优势 既然安全港规则并非权威机关为行为主体提供免责预期的唯一可用法律技术，那么选择使用安全港规则，可以并应当以其所具有的何种比较优势为依据？99 See United States v.Williams,553 U.S.285,304(2008);Cass R.Sunstein,Problems with Rules,83 California Law Review 953(1995).100 See Reno v.American Civil Liberties Union,521 U.S.844,870-871(1997).101 例如，根据美国宪法判例法，政府若制定规制某些论表达的法令，即使相关表达就其性质（如属于情或商业论）落在宪法保护范围之外，但若法令对规制对象的界定过于模糊、宽泛，法院仍然可据此宣告其违宪。See Reno v.American Civil Liberties Union,521 U.S.844,870-871(1997).102 See Anupam Chander,How Law Made Silicon Valley,63 Emory Law Journal 639,652(2014).103 刑法第 17 条、18 条。104 参胡滨、杨楷：监管沙盒的应与启，载中国融2017 年第 2 期，第 68。105 参张景智：“监管沙盒”制度设计和实施特点：经验及启，载国际融研究2018 年第 1 期，第 58。数据交易安全港书 Safe Harbor for Data Exchange White Paper 35 预期与安全 由笼统的责任或处罚规定导致的不确定性，理论上都是可以借助“模糊无效”或“完整豁免”这类策略全面消除的。但不难想见，若觉得合法和违法行为之间的界线很难足够合理确切地划定，便一概不追责，这种做法必然导致涵盖不足（under-inclusiveness），即部分应被问责、处罚的行为会逃脱责任后果。在宪法和刑法等公法领域中，权威机关通常明知前述涵盖不足的存在，并有意识地选择接受对应成本，将其作为必要代价，以求避免涵盖过宽（over-inclusiveness）正当合理的行为被过宽地划入有责、应罚范畴以及由此导致的寒蝉效应。之所以在公法领域中，权威机关取舍两类偏差时立场鲜明，是因为相关问题常涉基本权利保护，后者在当代法治语境中获得较为明确的价值偏向。然而在其他更多领域，决策者权衡两类偏差时未必能参照有广泛共识的价值立场。以网络侵权责任体制为例，如前所述，美国立法者在二十多年前选择以完整豁免的策略，寻求全面消除企业面临的责任不确定性。但随着网络活动伴生的社会风险日益加剧，这种一刀切的免责体制近年来受到越来越多批评和反思，被认为其在降低经营者法律风险与保护社会免遭侵害之间，过度倾向了前者。106 当然，“既要又要”总是困难的。但如何妥善应对包括数据技术、人工智能、基因科技等在内的既蕴含潜在风险又具有创新价值的活动，对当代规制政策而言，其实是常见挑战，也没法都靠一刀切方式解决。若决策者寻求在两类错误间做更精细权衡，兼顾制度的一般性和客观预期，那么安全港规则是一个有吸引力的方案。107相较于完整免责或模糊无效，安全港规则提供的免责预期是有限的，其能够克服的涵盖过宽在规模上也更有限。108但至少对于愿意选择进入安全港开展相关活动的主体而言，宽泛或模糊责任规则产生过度威慑和寒蝉效应的担忧，都会变得可控。与此同时，安全港规则相对完整免责类规则的优势在于，其使用不会彻底废除或颠覆具有原则性的问责或处罚体制。当责任或处罚规定的原则性和一般性（generality）够强时，其威慑效果才能更完整地覆盖各类行为主体及其活动，避免有太多或太明显的“漏网之鱼”。109不仅如此，原则性责任规定的确立和保存，还可一般性地向社会提示相关活动的风险属性，并明确地宣示法律对安全这一底线价值的关切和坚持。这种表达功能（expressive function）常常是决策者实际关注、也有理由通过责任规定追求的。110 激励安全投 106 See Danielle Keats Citron,How To Fix Section 230,Virginia Public Law and Legal Theory Research Paper No.2022-18,2022，available at SSRN:https:/ See Andrew Stumpff Morrison,Case Law,Systematic Law,and a Very Modest Suggestion,35 Statute Law Review 159,173(2013),p174.108 参。See Susan C.Morse,Safe Harbors,Sure Shipwrecks,49 UC Davis Law Review 1385,1392(2016),p1420.109 See Duncan Kennedy,Form and Substance in Private Law Adjudication,88 Harvard Law Review 1685,1689-1690(1976),p1690.110 Cass R.Sunstein,On the Expressive Function of Law,144 University of Pennsylvania Law Review 2021,2034-2036(1996)数据交易安全港书 Safe Harbor for Data Exchange White Paper 36 有限性之外，安全港规则的另一结构性特征是有条件性，即其适用以行为主体采取法律指明的积极合规作为为前提。正因如此，安全港规则的一个比较优势，是其具有其他免责或豁免规则所不具备的行为激励和引导功能。一个人无法为了免票或免责改变自己的身高或年龄，但一个网站可以为了免于在用户侵权时承担连带责任，而根据安全港规则的要求建立适当的“通知删除”机制。而网站投入成本建立能够实际运转的“通知删除”机制，至少可使得侵权风险预防和纠纷化解有一个看得见摸得着的抓手。换言之，经营者在法律规则的激励下作出的这种投资，是具有安全价值的。一个更加极端但也可能更容易理解的例子，则是包括我国在内许多法域都曾尝试施行的弃婴安全港法律（“safe haven laws”）。弃婴行为在所有国家几乎都构成刑事犯罪，但因各种社会经济文化因素（如贫穷、医疗水平落后乃至歧视等）而无法根除禁绝。在这种无奈现实面前，一些法域选择在刑事处罚的原则之下设立安全港，有意弃婴者只要在规定时间期限内将婴儿送到指定接收地点（主要为医院、福利院等机构），即可不被追究法律责任。111不难想见，弃婴者按照法律指定的方式交付婴儿，比自行随意丢弃要更“费事”但这多付出的“心力”对提升弃婴人身安全的边际价值很大，以至于权威机关宁愿为此付出不究刑责的“价码”。此外，安全港规则产生行为激励或引导作用，不仅因其可提供免责预期，还因其便利了社会和市场中行为主体发送有关自身合规意愿的信号。通过作出积极投入、选择满足安全港适用条件的行为方式，行为主体可以向监管者与其他利益相关方发送信号，表明其具有注重安全、追求合规的属性，从而可使自身与其他偏好冒险、不选择适用安全港的主体区别开来。在日益强调企业社会责任的市场环境中，许多企业都会关注这种信号机制。也正因如此，安全港规则还会创造有利于大量诚信主体协调行动的聚焦点（focal point），112从而在群体层面促成追求安全的行为人与不安全行为人之间的分离均衡。113 正因为安全港规则具有行为激励功能，因此权威机关在设计特定安全港规则的适用条件时，应考虑相关风险活动以何种方式开展，会产生防范风险、降低损害的安全收益，并由此值得法律以提供免责预期的方式予以激励。不过，从原理上讲，之所以权威机关会选择采用安全港，本身就是因其无法系统、细致地区分危险和安全行为。但安全港规则的有限性，又意味着决策者只需要能正面识别出少量甚至个别值得激励的安全活动模式即可这大大降低了规则制定的难度。规则产的边际模式 实体效果之外，安全港规则在生产过程这一维度也有优势。通常而言，若法律规范在订立时采取相对粗疏、原则性的标准（standard）形式，则立法环节权威机关所需信息不多，但守法和执法环节相应主体要承担较高信息成本，才能搞清楚规范如何适用于具体情形。反过来，如果法律规范在订立时就追求清晰明白、界定精准（而非粗暴一刀切）的规则（rule）形式，那么立法者需要处理的信息就相当可观，守法和执法环 111 Carol Sanger,Infant Safe Haven Laws:Legislating in the Culture of Life,106 Columbia Law Review 753,762-772(2006).112 See Susan C.Morse,Safe Harbors,Sure Shipwrecks,49 UC Davis Law Review 1385,1392(2016),p.1397.113 T.Randolph Beard et.al.,Safe Harbors and the Evolution of Online Platform Markets:An Economic Analysis,36 Cardozo Arts&Ent.L.J.309,312(2018).数据交易安全港书 Safe Harbor for Data Exchange White Paper 37 节的信息成本却可大幅降低。114结合这一视角观察可知，法律生成和运行的全过程中，信息成本不可能完全消除，而提高制度效率的思路，无非是结合具体语境，考虑在哪个环节投入信息处理成本的产出更高。115 但值得强调的是，特别是在行政国家（administrative state）语境中，制定具有一般适用效力的法律规范的动态过程，并非在狭义的“立法”完成后告终。狭义立法之后，行政机关和司法机关通常还会继续为生产规则投入资源，例如行政机关在宽泛立法文件之下出台细则，或法院在裁判案件时通过“解释”的方法填充立法规范中的间隙甚至空洞。这些狭义立法环节后的投入，同样应被理解为规则生产这一动态过程的必要组成部分。而由于信息在这一过程中是不断积累、增加的，这使得后续的立法投入往往比最初在狭义立法环节的投入具有更高产出效率。116 而安全港规则正是一种典型的借助信息动态累积的原理提高规则产出效率的技术。有学者曾分析指出，安全港规则虽常由立法机关和行政机关制定，但其逻辑有判例法的味道：判例法体制下，逐次形成的司法先例，每一个都可以理解为是向背景中的宏观规范增加了事实信息后获得的具体规则。117而在安全港规则的动态制定过程中，立法机关即使最初面临过高不确定性，无法掌握足够信息实现精准立法，也可以出于防范风险的审慎态度，先订立原则性责任规范，并授权行政机关在后续信息条件积累的动态过程中，以设置一个又一个安全港的方式，逐步划出更为清晰的边界，为社会提供其需要的免责预期。甚至，如果在更大尺度的坐标中审视这种动态过程，可以认为，安全港规则的逐个、边际积累，最终能为全局性变革提供条件：某种意义上，中国改革进程中常用的“特区”“试验区”“自贸区”等策略，可以被理解为“大号”的安全港；一旦旨在为具有创新价值和政策风险的活动提供宽松责任环境的特区遍地开花，便自然会打开整体改革的局面。4.2.5 安全港规则设计的难点 安全港规则虽是在防范社会风险与稳定个体预期之间寻求平衡的一种可行策略，但“可行”不等于效果有保障。说到底，之所以要诉诸这样的技术，恰是因为法律的制定和运行都不处在“理想”环境之中：权威机关在现实条件下不仅面临严重信息约束，也深嵌在纠缠的利益格局之中。这意味着任何具体安全港规则，其设计和实效都可能偏离最优。“过宽”“过窄”“过低”“过”基于安全港规则有限和有条件的特性，可预见其最容易出现的偏差，主要应是有限的免责范围被划定得过宽或过窄，和/或适用的条件门槛被设置得过低或过高。具体来看，一方面，既然安全港规则的比较优势在于保留原则性责任规定及其威慑效力，那么安全港覆盖的活动开展方式在范围上应是有限的至少要比背景中的一般责任规范覆盖更窄。在此前提下，究竟设 114 See generally Louis Kaplow,Rules versus Standards:An Economic Analysis,42 Duke Law Journal 557(1992),pp579-584.115 See generally Louis Kaplow,Rules versus Standards:An Economic Analysis,42 Duke Law Journal 557(1992),pp621-622.116 Gideon Parchomovsky&Alex Stein,Catalogs,115 Columbia Law Review 165(2015),pp.171-172,pp.188-190.117 See Andrew Stumpff Morrison,Case Law,Systematic Law,and a Very Modest Suggestion,35 Statute Law Review 159,173(2013),p169,pp173-174.数据交易安全港书 Safe Harbor for Data Exchange White Paper 38 置多少个安全港，涵盖多少种被认为相对安全的活动方式，取决于权威机关的认知和判断。过于保守的机关设定的安全港，其范围可能极为有限：在安全港外，还有其他可被识别、界定的值得获得免责预期的活动方式。例如，DMCA 的“通知删除”避风港，就曾被批评为“过窄”，只覆盖其制定当时存在的主流网络中介，却未能有效保护其后迅速出现并流行的新型网络传播平台（如P2P）。118而过于激进的决策者则可能急于设立过宽的安全港，导致某些风险不低的活动方式也能获得安全港庇护。在刑事程序领域，美国执法机关曾在一系列有影响力的案件中主张法院应以安全港规则的形式，为警察调查执法活动的合宪性提供更高确定性，但法院往往犹豫，担忧如此一来警察的过度执法行为就会缺乏足够约束。119安全港过窄时，相关活动会被抑制在过低水平。安全港过宽时，原则性责任规定则会变得千疮百孔，甚至遭到虚化，导致风险在安全港范围内以相对隐蔽的方式累积、增加。另一方面，设置安全港规则的适用条件或门槛时，把握“刚刚好”的分寸同样不容易。门槛若设得太低，甚至无需行为主体付出足够努力即可迈过，则安全港会变得与完整豁免差异不大，激励、引导安全行为的作用也会不足。即便相关条件需要选择使用安全港的主体付出成本，这些投入也可能缺乏风险防范和控制方面的实际产出，属于“表演合规”般的表面功夫，甚至沦为以形式合法掩盖实质规避的套路。120前文提及的证券法上前瞻性披露安全港，一度曾面临的批评就是相关要求被做过于形式化的理解和适用，以至于有些明知披露信息不真实的发行人都可以通过使用警示而免于追责。121而曾用于为美国企业提供明确的欧洲数据法合规路径的隐私安全港框架，也被批评为其包含的实质性合规要求不够高，乃至被欧洲法院判定无效。122反过来，如果安全港规则设定的适用门槛过高，以至于绝大多数行为主体都无法在成本合理的前提下寻求满足安全港适用条件，这种过于昂贵的安全港规则会被“绕行”。例如，DMCA 安全港，实际上并不像“通知删除”这个名称听上去那样简单；按要求建成并持续运行全部机制，对大平台而言成本可以接受，对小网站来说却过于昂贵，因此实际上严格照办者不多。123此外，更微妙的是，如果安全港要求行为主体投入的成本对 118 See Mark A.Lemley,Rationalizing Internet Safe Harbors,6 Journal Telecommunication&High Technology Law 101,112(2007),p.113.119 See Susan R.Klein,Identifying and(Re)formulating Prophylactic Rules,Safe Harbors,and Incidental Rights in Constitutional Criminal Procedure,99 Michigan Law Review 1030,104445(2001),p.1046.120 See Duncan Kennedy,Form and Substance in Private Law Adjudication,88 Harvard Law Review 1685,1689-1690(1976),p.1696.121 Adding Meaning to Meaningful Cautionary Statements:Protecting Investors with A Narrow Reading of the PSLRAs Safe Harbor for Forward-Looking Statements,84 Temple Law Review 481,499-501(2012).122 Dr.Nora Ni Loidean,The End of Safe Harbor:Implications for EU Digital Privacy and Data Protection Law,19 J.Internet L.1,10(2016)123 Sarah E.Jelsema,How Websites Can Reduce Their Copyright Infringement Liability for What Users Post,Utah B.J.,November/December 2014,at 14.甚，由于通知删除安全港适的条件复杂，即使站求选，也常免不了被拖诉讼、由法院确认其已符合安全港要求，这更使得选安全港对许多中小络服务提供者而不够划算。See Eric Goldman,Internet Law:Cases&Materials,E-version,2021,p.179.为了降低 ISP 适安全港的槛,有些国家的安全港 DMCA 的通知删除要求更低，只需要“通知通知”。See Pamela Samuelson,Pushing Back on Stricter Copyright ISP Liability Rules,27 Michigan Technology Law Review 299,306(2021),p.308.数据交易安全港书 Safe Harbor for Data Exchange White Paper 39 其自身而言可以接受，能够带来足够高的免责预期，但这种投入产出的社会安全收益却低于投入本身即“私人收益私人成本社会收益”此时安全港门槛也可被认为设置得“过高”了，但其后果与前述门槛“过低”时类似，即导致了无效率的合规投入。规则制定的政治经济学 为什么安全港规则会出现范围“过宽”“过窄”、门槛“过高”“过低”的偏差？如前所述，安全港规则本身是权威机关在信息条件不完美的现实面前做出的妥协；既然条件有限，无法克服“高迪洛克规制难题”（Goldilocks Regulatory Challenge）124自然不令人意外。此外，由于同一个原则性责任体制下的诸多安全港规则，可能是由不同的后续规则制定者分散、逐步制定出来的，这也使得它们叠加在一起时，会出现相互冲突，由此可能反而会提高行为主体的合规难度。125 但值得注意的是，除了客观条件约束，偏差背后也可能存在利益冲突因素。真实世界中的规则制定不必然以追求公共利益为宗旨。具有规则制定职权的机关被规制对象及其背后的特殊利益集团“俘获”（capture），126“下不了手”或“网开一面”，都不是新鲜事。有足够影响力的特殊利益集团，完全可以推动权威机关在制定一般性责任规范的同时，借安全港之名给自己单独开个“口子”，留条“出路”。在此背景下设定的安全港，范围自然可能过宽，门槛也可能过低，从而满足相应主体以最低成本获得免责预期的需求。相对不那么直观的是，范围过窄、门槛过高的安全港规则，同样可能是特殊利益影响的结果。在模糊、原则性的责任或处罚规定导致各类社会行为主体均面临较高不确定性的情况下，少数群体获取最大竞争优势的策略，未必是推动设立范围宽、门槛低并因此具有“普惠性”的安全港，而是谋求规则制定者为其“量身定制”：对特殊利益集团而言，最理想的安全港，应恰好窄到仅覆盖他们偏好的活动模式，并设置只有他们才能跨过的高门槛。换言之，过窄、门槛过高的安全港规则，本身可能是利益集团为排斥竞争设置的壁垒。还需指出，偏离最优的安全港规则，除了可能是初始设计时便已有利益驱动甚至操控所致，也完全可能是路径依赖的结果。基于特定时期信息条件及对应认知设立的安全港，即使在设立时合理、适当，也可能随着时间推移和情势变化而逐渐不合时宜。但由于既有安全港被相关领域中的合规主体反复使用，后者不但得了甜头，还可能已做出为使用该项安全港的专属投资（specific investment），由此有动力祭出“保护稳定预期”的名目，反对决策者对既有安全港作适时调整、变更乃至废止。这种局面对决策者的判断和魄力无疑都是很大考验。4.2.6 安全港规则设计的原则 认识到安全港规则可能出现偏差，有助于为这种法律技术找到恰如其分的制度定位。说到底，用或不用，以及怎样设计使用，取决于权威机关如何考量多重制度目标并对其加以取舍。决策者需要清楚地意识到，若 124 Orly Lobel,The Law of the Platform,101 Minnesota Law Review 87,156-157(2016).125 See Mark A.Lemley,Rationalizing Internet Safe Harbors,6 Journal Telecommunication&High Technology Law 101,112(2007),p.108.126 See Susan C.Morse,Safe Harbors,Sure Shipwrecks,49 UC Davis Law Review 1385,1392(2016),pp.1427-1428.数据交易安全港书 Safe Harbor for Data Exchange White Paper 40 要追求何种目标，不得不承受哪些代价甚至牺牲。而基于对可能出现的制度偏差的认知，此处还可初步提出若干有助于优化安全港规则设计和适用的基本思路或原则。首先，安全港规则在设立和适用层面，均应确保公开透明。权威机关旨在通过安全港规则为行为主体提供的免责预期，不应是以隐蔽方式传授少数“关系户”的窍门或秘诀。而除了有助于避免安全港沦为照顾特殊利益的法律漏洞，公开透明也是其有可能激励、引导行为主体有效安全投入的前提。如果缺乏公开性，或者要求不够清晰透明，这类安全港本身也不会好用，无法真正为行为主体提供需要的免责预期。127 其次，安全港规则设置的适用条件，既要有可操作性，也应确保行为主体需要付出足够成本和努力。如前所述，安全港为行为主体提供的免责确定性不应是免费的，行为主体为此需要向社会付出的对价，是其根据要求采取的行为具有风险控制或安全价值。128同时，如前所述，愿意为使用安全港付出成本，也是行为主体发送的表明合规意愿的信号。只有不过于廉价、投资可观察验证的安全港，才能发挥信号功能，进而促成分离均衡。第三，安全港规则在设置时应考虑配备动态评估和调整机制，例如规定由特定权威机关在一定周期内评估安全港规则的适用情况和效果，了解其是否被广泛使用，是否起到了提高法律确定性和引导防范风险行为等积极效果，以及是否应根据客观社会经济或技术条件的变化而在未来周期内不继续沿用、需加以调整甚至废止。安全港规则本意在充斥不确定性的宏观环境中为人们提供有限的确定预期，因此不宜朝令夕改，否则便背离初衷。但话虽如此，安全港规则提供的确定预期毕竟是有限的。“有限性”其实还意味着安全港难免“权宜之计”的属性，是开放而非封闭的法律系统129动态应对风险的策略，没必要被单独固化下来，否则反可能与特殊利益绑定。尽管设计具体的动态调整机制有其复杂之处，但总体而言，若要兼顾预期保护和与时俱进，安全港规则应就调整周期、内部检讨和外部评估程序、过渡安排和溯及力等事项，做出明确规定。最后，安全港规则的设置权限，除了由立法机关享有外，也应基于立法明确授予处在相关领域监管一线的行政机关。130相对于立法机关，行政机关设计安全港规则的核心优势在于其有更充分的信息条件，可结合现实因素，指引更具可操作性和风控实效的合规行为模式，并适时予以调整。从信息角度来看，行政机关比立法机关更有能力避免安全港规则出现“过宽”“过窄”“过高”“过低”的问题。当然，对行政机关做出立法授权，会对应由此产生的代理成本，例如立法机关需要被行政监管机关遭特殊利益俘获的风险予以关注，并保留问责可能。但即便如此，行政机关获得明确的充分授权，对于安全港规则实际创设免责预期是必要的如果没有授权，行政机关提供的免责例外，可能沦为前文所说的“不太安全港”，无法为行为主体提供充足信心，也难以避免寒蝉效应。127 See Susan C.Morse,Safe Harbors,Sure Shipwrecks,49 UC Davis Law Review 1385,1392(2016),pp.1394-1395.128 参吴伟光：视频站在版权侵权中的责任承担-有限的安全港与动态中的平衡，知识产权2008 年第 4 期，第 62。129 See Andrew Stumpff Morrison,Case Law,Systematic Law,and a Very Modest Suggestion,35 Statute Law Review 159,173(2013),p172.130 我国法院理论上完全可以司法解释的形式订可般适的安全港规则的情况，而这与政机关制定安全港机制有类似之处，却与英美语境中法院以判例法形式创设安全港不同。限于篇幅，本暂不讨论基于司法解释创设安全港可能存在的与司法机关制度定位有关的些特殊问题。数据交易安全港书 Safe Harbor for Data Exchange White Paper 41 五、探索之路：安全港规则在上海数据交易所的应 推动数据交易只需订立责任承担规则，不需建构财产权属规则，并不意味着前者轻而易举。数据交易及其促生的新型数据处理活动有何种致害风险，在当下和未来本身不确定，这使得法律无法为数据交易活动一揽子划定合法/不合法、有责/不担责的边界。目前来看，包括个人信息保护法 数据安全法 网络安全法等在内的信息数据领域基础性法律，已建构出一个强调风险预防、损害问责的原则性制度框架。这一框架的基础规范内容，就是任何主体在从事包括数据交易在内的数据处理活动时，应对风险和损害后果有概括性认知，由此以负责任的态度开展相关活动。131 这种体现风险防范共识的制度框架不可或缺，但其笼统和模糊的形式当然难以满足市场主体对更高法律确定性和可预期性的需求。而设计并施行范围有限、条件合理并动态调整的安全港规则，应是当前条件下有助于推动交易起步的一种务实方案。类似方案在域外已有落地的先例132，而此前国内研究者也提出过建立“数据安全合规的责任豁免”制度，以体现包容审慎的监管思路。133这与安全港规则的方案思路相通。具体而言，法律可设定原则规范，要求市场主体在交易前、中、后就数据隐私、数据安全和网络安全承担保障责任。在此基础上，立法机关和/或监管部门可考虑为市场主体指明至少一条供其选择的合规路径，并为选择以相应方式开展数据交易活动的主体提供合规确认或免责预期即赋予该合规路径以安全港规则的法律地位。具体而言，在规则层面，对于“驶入”安全港的数据交易活动，权威机关应就参与交易主体划定范围，并对交易活动开展方式提出特定要求。例如，交易主体应具备特定合规资质（包括一般经营资质和数据领域安全资质等）和合规记录（包括一般公共信用记录和信息数据领域违法记录等）；数据提供方应就数据来源作出合规披露和保证（如已取得授权、已完成脱敏等）；数据获取方应就数据用途作出合规披露和保证（如对主要用途的描述和对特定高风险用途的排除），并承担持续经营信息报备义务等。而交易主体在满足上述要求的前提下开展的交易，即可基于安全港的效力，对与交易相关的数据处理活动导致的损害，享有免责预期。上述各类规定，初看似乎只是常见数据合规要求，但将其明确组合适用时，就可以开辟出有实质且鲜明效力边界的安全港，其既不对所有数据交易开放，也不会让有意驶入的交易参与方都感到合规不费吹灰之力。例如，尽管提供方和获取方的合规保证，其内容可靠性很难在做出当时审查，但在需要为虚假披露承担事后责任的前提下，交易方敢于做出细致披露和具体保证的前提，是其在专业人员指导下，建立、执行内部合规制度与流程而这些投入本身具有降低交易活动数据风险的价值。数据交易安全港的范围宽窄和门槛高低，取决于决策者有关数据交易风险和收益的偏好、认知与权衡。如前所述，由于技术环境快速变动，要求决策者通盘权衡并全面规范各类数据交易活动的风险与收益，难度极大。但结合已有信息，在有限范围内识别出一些风险可控的交易主体和交易方式，在此基础上设立安全港，可行性更高。131 例如个信息保护法第 9 条规定：“个信息处理者应当对其个信息处理活动负责，并采取必要措施保障所处理的个信息的安全。”132 See 27.046HOhios Data Security Safe Harbor Law,3 E-Commerce and Internet Law 27.046H(2020 update).133 参杨：论数据交易的法倾斜性，政治与法律2021 年第 12 期，第 9。数据交易安全港书 Safe Harbor for Data Exchange White Paper 42 不过，相比证券交易等实践较为成熟、信息积累较为充分的市场活动，数据交易的风险仍处于被市场、社会和监管者充分理解的过程中，因此即使是设计和运行安全港，也有相对更高的难度。合理性不足的安全港规则，其过宽、过窄、过高、过低的问题，可能在施行后才会显露出来。这意味着数据交易安全港需要相对更灵活的动态调整机制但这又会对规则可预期性和制度可信赖性提出挑战。基于此，数据交易安全港规则的设置和运行，在当前需要借助可信中介，以实现安全性和灵活性的优化组合。这种结构性的制度需求是数据交易所探索发展前路的契机。总结而言，虽然安全港规则在数据交易领域的具体实施存在挑战，但具体讨论它的设计和应用却是十分必要的。在对安全港规则的核心特征有深入的了解之后，接下来将进入到更具体的领域安全港规则与监管沙盒制度的区别、创新容错机制的具体应用以及法律经济学对数据交易的影响。这些详细讨论将让数据交易所更精确落地这一法律技术。在探讨这些细节之前，重要的是要认识到，安全港规则不仅是理论上的构想，而是有望通过中央政府鼓励的创新容错机制，在实践中找到落地的可能性。这不仅需要对安全港规则的法律框架有深入的理解，也需要将其与现实中的数据交易实践结合起来，寻找最佳的实施路径。5.1 落地路径：创新容错机制与安全港规则 讨论安全港规则在数据交易所的应用和落地前，必须先关注中央对创新容错机制的重视。正是这种机制的推广和实施，使得安全港规则成为现实可能，而非单纯的理念探讨。因此，在探讨安全港规则如何在数据交易场景中落地之前，有必要先理解中央对创新容错机制的重视，这为安全港规则的成功实施提供了坚实的政策基础。在此基础上，上海数据交易所等机构可以在符合国家大政方针的前提下，勇于创新，探索符合中国特色的数据交易模式。中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见（“数据二十条”）第 19条规定，“采用揭榜挂帅方式，支持有条件的部门、行业加快突破数据可信流通、安全治理等关键技术，建立创新容错机制，探索完善数据要素产权、定价、流通、交易、使用、分配、治理、安全的政策标准和体制机制，更好发挥数据要素的积极作用。”该条在数据交易的场景下，确立了创新容错机制，“鼓励各参与主体创新开展数据流通交易工作。”134这一政策不仅鼓励数据流通交易的创新尝试，还为数据交易所等机构提供了探索和实验新模式的空间。回顾中国改革开放的历程，创新容错机制一直是改革的重要组成部分。自党的第十八届三中全会强调“鼓励地方、基层和群众大胆探索，加强重大改革试点工作，及时总结经验，宽容改革失误”以来，总书记多次强调建立和完善“容错机制”，旨在为改革提供更大的灵活性和试错空间。2013 年 11 月，党的第十八届三中全会发布中共中央关于全面深化改革若干重大问题的决定，强调要“鼓励地方、基层和群众大胆探索，加强重大改革试点工作，及时总结经验，宽容改革失误”。135随后，总书记又在多个场合都提到类似主题，134 周：完善数据要素治理制度，保障数据流通交易安全解读，中华共和国国家发展和改委员会，2022 年 12 20，https:/ 中共中央关于全深化改若重问题的决定，载报2013 年 11 16，第 1 版。数据交易安全港书 Safe Harbor for Data Exchange White Paper 43 从最初的“宽容改革失误”到倡导建立“容错机制”并要求完善“容错纠错机制”，体现了中央对于改革事物的重视。136 这种政策背景下，上海数据交易所得以在合适框架内，对安全港规则进行创新性实践。安全港规则不仅可以有效保障数据交易的安全性和隐私性，还能够吸引更多的市场参与者，推动数据要素市场的发展。创新容错机制对于数据交易场景而言是一项有力的政策支持，其使得上海数据交易所在不违背党和国家大政方针的前提下进行一些具有开创性的尝试，从实践的角度切实解决数据交易过程中遇到的具体问题。通过创新容错机制，上海数据交易所有机会在中国特色的数据交易领域内开展开创性的实践，探索适合国内市场的最佳实践。由于数据在生产、流通、使用等过程中，个人、企业、社会、国家等相关主体对数据有着不同利益诉求，并且呈现复杂共生、相互依存、动态变化等特点，当前的具体法律法规并不能完美一一对应实践中出现的具体问题，因此需要具体的行动者在具体的场景中进行具体的判断。在多次实践证明相应的行为模式整体来说有利于行业的进一步发展后，便有可能将上海数据交易所的实践上升为在更广大范围内推进的规则。正如下文将要提及的，创新容错机制有助于上海数据交易所为数据场内交易实践安全港规则。安全港规则是一种保护数据交易安全和隐私的政策措施，可以吸引更多的数据交易参与者。然而，要实施这样的规则，需要各部门的密切配合和协同努力。只有在多个部门的支持下，才能探索出最符合中国特色数据交易的最佳实践。在推进安全港规则的过程中，需要与数据保护部门、技术专家、法律机构等合作，确保数据交易的合规性和安全性。同时，还需要与相关部门共同制定和完善数据要素产权、定价、流通、交易、使用、分配、治理、安全的政策标准和体制机制，以确保数据交易的顺利进行。通过创新容错机制，上海数据交易所可以积极探索和试验各种政策和机制，以找到最适合中国特色数据交易的路径。这将为数据交易市场的发展提供更多机遇和可能性，并促进数据要素的积极作用在经济和社会发展中的充分发挥。5.2 安全港规则激活数据交易的制度价值 在探讨数据交易和安全港规则时，首先需要理解经济学和法律的基本逻辑。经典法律经济学理论指出法律责任会影响个体的行为模式，例如，当人们开车时，他们会考虑自己是否应该承担责任，是否有过失，以及这些责任如何影响他们的驾驶注意力和行为。137法律责任除了会影响行为人的注意力之外，法律责任也会影响行为的活跃度，即“行为水平”。在过失责任下，人们被要求采取合理的注意力，但在严格责任下，人们可能仅限于合理的注意力范围，因为超出合理范围的额外注意力带来的收益逐渐减少。Shavell 的研究进一步表明，严格责任可能会降低行为人的行为意愿。138将这一理论应用于数据交易领域，安全港规则的目的是在确保交易安全的同时提高交易主 136 参李蕊：容错机制的建构及完善基于政策本的分析，载社会主义研究2017 年第 2 期，第 90-91。137 See Shavell,Steven.Strict liability versus negligence.In Economics and Liability for Environmental Problems,pp.89-113.Routledge,2018.138 Shavell,Steven.Strict liability versus negligence.In Economics and Liability for Environmental Problems,pp.89-113.Routledge,2018.数据交易安全港书 Safe Harbor for Data Exchange White Paper 44 体的活跃程度。如果交易主体承担的责任过重，可能会导致他们在交易活动上的参与度下降，从而抑制整体交易活动的发展。安全港规则通过明确的制度设计，旨在提升交易主体的行为水平，实现数据交易的安全性与规模的有效平衡，这与 Shavell 的观点相呼应，即责任规则应激励更高效和安全的行为模式。此外，提升注意水平同样重要，意味着诸如上海数据交易所等机构需要提供数据合规审查等服务，以降低数据交易风险。安全港规则追求的不仅是数据的客观安全，更重要的是找到数据交易安全风险与交易规模之间的平衡。这种平衡可能通过制度设计而非仅仅技术手段来实现。综上所述，引入安全港的目的是促进数据交易行为的边际变化。在其他条件不变的情况下，这样的制度变化可带动交易规模增长。制度变化旨在确保交易所在承担适当责任的同时，能够维持甚至提升交易主体的活动，从而最大化经济效益和社会福利。然而，即使在政府暂时无法完全实施法律意义上的安全港规则的情况下，选择在正规交易所进行数据交易对企业而言仍具有重要的声誉价值。这是因为，正规交易所的严格安全措施和审查机制不仅保障交易透明和公正，也体现了企业对数据安全和隐私保护的承诺。在公众对数据安全高度关注的当今社会，企业的数据处理方式直接关系到其声誉。因此，即使在安全港规则未完全落地的情况下，企业通过选择正规交易所进行数据交易，本身就是对市场的一种积极信号这表明企业不仅重视数据安全，而且愿意承担超越法律基本要求的社会责任。当今商业环境中，企业社会责任（ESG）已成为企业长期成功的关键，ESG 涵盖环境、社会和治理三大领域，其中数据安全和隐私保护是企业社会责任的重要组成部分。在这一背景下，企业的剩余责任意识成为关键因素。数据交易作为现代商业活动的常态，具有其固有的复杂性和风险性。企业在从事数据交易时不仅需遵循法律法规，以规避法律纠纷和罚款，还需要展现出对社会责任的承担，超越法律的基本要求。选择在正规交易所而非黑市进行数据交易，本身就是企业对数据安全和隐私保护的一种承诺。正规交易所通常配备更严格的安全措施和审查机制，保障数据交易的透明性和公正性，而黑市交易则可能涉及非法、不道德或有害的行为。通过公开支持并积极参与正规数据交易，企业向公众展示了其承担社会责任的决心。这种积极的形象塑造对于赢得消费者、合作伙伴乃至投资者的信任至关重要。在市场竞争激烈的今天，这种信任是企业宝贵的无形资产，对于现代企业而言，数据交易不仅是一项商业行为，更是承载着深刻社会责任的活动。综上所述，安全港规则的引入，旨在提高企业在数据交易中的行为水平，同时减轻过于严格的责任带来的潜在威慑效果。这种制度设计旨在实现数据交易安全性与规模的平衡，鼓励企业在遵循法规的同时，积极参与数据经济。即便在安全港规则未完全实施的情况下，场内交易仍是企业展现对数据安全和社会责任重视的有效途径，进而提升其在消费者、合作伙伴和投资者心目中的信誉。5.3 数据交易所的蓝图规划：安全港规则的愿景 在下文中，将深入探讨安全港规则在数据交易所领域的具体应用。这包括考虑安全港规则如何与数据交易所的日常运营相结合，以及如何在确保数据安全和交易合规的前提下，促进数据流通和利用。通过这一讨论，希望为数据交易所提供一个明确的行动框架，以便能够有效地利用安全港规则，实现其在数据交易领域的目标和愿景。数据交易安全港书 Safe Harbor for Data Exchange White Paper 45 权威机关若以设定安全港的方式赋予交易所此种竞争优势，当然不能仅以扶持交易所本身作为理由，而需要充分的公共利益依据。一般而言，运用安全港规则这一法律技术，有助于撬动数据交易活动形成规模化价值。但是有反对意见认为，将安全港规则设立在数据交易所不太合适，原因在于数据交易所对数据开发和利用过程的专业性理解不足，反对者认为安全港规则更应建立在数据持有方端，因为这可以确保数据的安全性和合理利用。然而，这一观点可能忽略了数据交易所在集中监管和数据安全监管方面的规模优势。数据交易所通过统一的交易平台，为政府提供了监管的窗口，使得每一笔数据交易都能够被有效追溯和监控。这种集中化的监管模式不仅提高了监管效率，还增强了数据交易过程的透明度和可信度。此外，数据交易所可以通过严格的数据审核和处理流程，确保数据的合法性和安全性，为市场参与者提供额外的保障。因此，尽管有反对意见，但在实际操作中，数据交易所仍然是实施安全港规则的有效平台。而基于以下理由，与交易所结合的数据交易安全港规则，更可能符合优化设计原则，发挥功能优势，防范制度偏差。首先，场内交易更有助于保证安全港规则及其适用的公开、透明。与证券发行和交易领域安全港规则适用的实践类似，数据交易安全港规则在施行过程中，将主要借助法律和数据合规等领域专业中介机构开发的合规文书体系。但基于安全港发行、交易的证券，只是免于在证券监管机构注册，不会完全处于黑暗之中，且通常追求在特定期间（如锁定期）结束后进入公开市场。相比之下，获得安全港庇护的数据交易，如不从一开始便在公开监督机制下开展，很容易为灰黑交易洗白提供掩护：例如，交易方完全可以到出现合规疑问时，再临时补做甚至伪造文书，号称交易时已满足安全港适用条件。要求安全港规则仅适用于场内交易，便可借助交易所的集中、公开审查保障安全港规则的执行，并降低监管机构和社会公众进行外部监督不仅针对场内交易活动，也针对交易所运营行为的难度。其次，将安全港规则的适用限定在场内交易，固然是制度赋予交易所的红利，但也可为此名正言顺地要求后者提供对价尤其是要求交易所承担较当前更高的数据保护和数据安全保障责任。一直以来，尽管尝试通过服务外包等方法为场内交易主体提供有限的数据脱敏和清洗等工作，但数据交易所总体上坚持豁免交易相关风险的监管责任。139实际上，借助安全港规则发展、扩大数据交易规模，无法避免带来新增风险，因此需要解决的制度问题无非是将这种风险或应对风险的成本配置给何种主体。尽管交易主体和交易所都将获益于交易规模的扩大，但将额外的风险应对责任全部配置给交易主体，无疑只会导致安全港规则的政策追求落空。在新的制度和市场结构中，交易所可以也适合承担应对至少部分新增风险责任的主体。例如，作为法律背书场内交易安全港效力的明确对价，交易所可以被要求投入足够资源，开发并运行包括交易行为追踪和数据致害保险在内的风控机制。再次，与场内交易绑定的安全港规则，更易于随交易实践发展持续获得调整、校正。数据交易的类型和场景千差万别，任何一种主体资质和行为要求都无法保证能有效降低所有场景中的风险。交易所以及监管部门可借助场内交易的披露和记录机制，稳定积累信息，并通过只有场内交易才能实现的备案、报告和追踪制 139 参杨：论数据交易的法倾斜性，政治与法律2021 年第 12 期，第 4。数据交易安全港书 Safe Harbor for Data Exchange White Paper 46 度，了解、验证不同类型交易的实际风险。借助安全港规则将更多交易吸引到场内，有助于为决策者建立稳定、可靠的政策制定信息来源，形成“政策订立实践验证制度调整”之间的正向循环。最后，安全港规则在交易所以集中、透明的方式施行，会更有助于规则倡导的合规交易模式产生溢出效应。相对规范、安全的场内数据交易模式，基于披露机制，可对场外交易产生引导作用，成为更大范围内市场主体在进行数据交易活动时协调行为的聚焦点。即使市场主体因种种原因，不选择或无法选择进行场内交易，也可参照场内交易所适用的安全港规则的要求规划自身行为。140这种参照不仅对自行探索合规的企业有价值，对整体层面的风险控制也有价值。140 个可参照的情形时，即使在欧盟美国隐私盾框架协议被欧洲法院认定效的情况下，美国执法机关仍然建议美国企业继续基于隐私盾框架包含的要求开展数据合规。https:/www.ftc.gov/business-guidance/privacy-security/privacy-shield.数据交易安全港书 Safe Harbor for Data Exchange White Paper 47 六、安全港适前景：案例分析与规则应 在探讨安全港规则的实际应用和有效性时，将其置于具体案例分析中显得尤为重要。通过将安全港规则应用于具体案例的分析，能更好地理解其在解决数据交易中现实担忧方面的潜力。而这些担忧，如合规性的不确定性和法律责任的风险，正是场外点对点交易无法有效解决的问题。因此，数据交易所推行安全港规则不仅是为了自身发展的需要，更是为了整个数据交易市场的健康和可持续发展。在现实的数据交易过程中，企业普遍面临着法律责任的不确定性，为应对这些挑战，许多企业依赖于合同机制来明确各方的权利和义务，并尽可能确保交易的合规性。然而，这种基于合同的解决方案在处理更复杂的交易场景时仍然存在局限性。在此背景下，数据交易所的角色变得尤为关键。作为一个中立的第三方平台，数据交易所不仅提供了一个规范化的交易环境，更重要的是，它通过集中多个行业和企业的数据交易活动，提供了规模效应。这种规模效应的优势在于，交易所能够整合各行业的最佳实践，持续优化和标准化这些操作，从而有效降低所有参与者的交易成本。安全港规则作为一种制度创新，提供了解决这些法律风险的新途径。通过为数据交易者提供明确的合规路径和法律保护，安全港规则不仅能够降低企业面临的法律风险，还能够提升整体交易的效率和安全性。尽管目前安全港规则还处于设想阶段，但对其进行理论探索和应用实验是至关重要的。这不仅能够验证其在实践中的有效性，更能够指导交易所在未来的蓝图规划中找到自己的独特优势。下文拟制了一家省级公共数据授权运营公司（某公司），并设计其相应数据流通交易中的痛点、需求，以及安全港规则的可能适用。需要说明的是，这家公司都是为了说明一般性原理、普遍性问题的“拟制”，请读者不要对号入座。6.1 某公司及其业务简介 某公司在省级公共数据处理和管理方面拥有独特的地位，也被赋予了处理和管理公共数据的重要任务。某公司的业务特点不仅展示了其在数据治理领域的专业能力，也反映出其在面对政策和市场变化时的应变能力。然而，某公司的业务发展也受到一系列政策和法规的限制，这对其商业模式和长期发展策略产生了深远的影响。某公司的主要业务有以下四方面：1.公共数据授权处理：某公司作为某省公共数据处理的授权实体，享有在该领域的专有地位和数据访问权，这为公司提供了显著的市场优势。2.数据治理：某公司专注于基础数据治理工作，组建了专业团队来负责数据的汇集、整合及质量提升工作，保障了数据的准确性和可靠性。3.数据集成：某公司负责整合全省各部门业务系统数据，提供全面的数据集成服务，增强了数据的综合应用能力。4.原始数据加工：某公司专注于原始数据的基础加工和提纯，而非转化为其他形式的知识产品，确保数据质量的同时避免破坏数据生态。数据交易安全港书 Safe Harbor for Data Exchange White Paper 48 虽然某公司在公共数据处理领域具有独特优势，但同时面临由政府政策、业务范围及技术资源分配等因素带来的多重挑战。首先，某公司的活动受限于仅进行数据的初级开发，即基本数据加工，无法进行深度的数据开发或创造更复杂的数据产品，公司不得从事超出初级开发活动范围的任何经营活动，限制了其业务的多样性和扩展性。其次，作为一家公益性企业，某公司的所有定价，包括技术服务费用，都需受到政府的审批和控制。6.2 某公司在数据交易中的问题与安全港规则的适用 作为一家公共数据授权公司，某公司在数据交易领域面临着一系列复杂且棘手的挑战，这些挑战根植于数据权属的不明确性、定价难题，以及数据滥用带来的潜在风险。这些因素交织在一起，形成了一道难以逾越的障碍，使得某公司在数据交易上显得异常谨慎，甚至不敢轻易涉足。首先，数据权属的模糊性是某公司面临的一大问题。作为一个被授权运营公共数据的公司，某公司在数据的收集、管理和使用方面扮演着关键角色。然而，这些数据的所有权和使用权却并非完全归某公司所有。公共数据，尤其是医疗数据，涉及到多方利益主体，如个人、医院、卫健委等，每一方都可能对数据主张一定的权利。这种权属的不明确性导致某公司在考虑数据交易时不得不非常谨慎，担心一旦交易可能会触及法律红线，或引发利益相关方的反对。其次，数据交易的定价问题对某公司来说是另一个难题，公共数据的性质决定了数据并不能像普通商品那样随意定价。某公司作为国有资产管理者，对公共数据的定价必须遵守政府的指导和相关法律法规。然而，这些指导往往缺乏具体的定价标准，留给某公司的操作空间非常有限。对于不同的数据，如何定价，以及定价的合理性，一直是某公司难以解决的问题。尤其是当数据交易涉及到公益性使用和产业发展时，如何在确保公平性的同时，又不失去数据的市场价值，是一个需要精心平衡的问题。最后，数据滥用的风险是某公司在数据交易中必须认真考虑的一个重要因素，这是因为数据的敏感性和多样性意味着数据的使用方式可能存在极大的变数。尤其是在医疗数据领域，不当的数据使用不仅可能违反伦理和法律，还可能对个人隐私造成严重侵害。某公司担忧一旦数据流入市场，就难以有效监控其使用情况，特别是在缺乏严格监管机制的情况下。数据被滥用后，作为数据出售方的某公司可能需要承担相应的管理责任，甚至面临法律诉讼和社会舆论的双重压力。这种风险的不可预测性和潜在的严重后果，使某公司在数据交易上变得更加谨慎。综上所述，某公司在数据交易上的谨慎态度，源自于数据权属的不明确性、定价难题和数据滥用的潜在风险。这些问题不仅是技术性的，更是法律和伦理层面的深层次挑战。只有通过系统性的法律和政策创新，明确数据的权属和使用规则，合理定价，严格监管，才能为某公司等数据管理者提供一个更清晰、可行的数据交易路径。而安全港规则作为一种法律技术，则提供了一种系统性的解决方案，有望有效解决某公司在数据交易过程中所面临的一系列问题。在安全港规则的框架下，某公司可以在一个更加明确和可预期的法律环境中进行数据交易，同时减少与数据交易相关的各种法律风险和社会压力。首先，安全港规则为解决数据权属的模糊性提供了一个实用的路径。通过明确的法律指引和标准，安全港规则可以为数据交易的各方主体提供明确的操作框架。在这种框架下，某公司可以更加明确地知道哪些数数据交易安全港书 Safe Harbor for Data Exchange White Paper 49 据可以交易，哪些数据需要保留，并且能够清楚地理解在数据交易过程中的法律责任和义务。这不仅有助于减少法律争议，也增加了某公司进行数据交易的信心和依据。其次，安全港规则对于数据交易定价问题的解决同样至关重要。在数据交易所专业人员的指导下，可以建立起一套更加合理和透明的数据定价机制。这种机制可以根据数据的种类、用途、价值等因素来确定价格，同时考虑到公共利益和市场规律。这样，某公司在数据交易时可以依据这一机制进行合理定价，减少定价的随意性和不确定性，同时安全港规则使交易主体可以避免因价格问题引起的争议和法律风险。最后，安全港规则在防止数据滥用方面也发挥着重要作用。通过明确的法律规定和指导，数据交易所可以设定数据使用的边界和条件，明确哪些数据使用方式是允许的，哪些是禁止的。同时，数据交易所还可以为数据交易提供必要的监管和审查机制，确保数据交易的合法性和合规性。这样一来，某公司在交易数据时，可以更加有信心地保证数据不会被滥用，同时有安全港规则在法律层面的加持，可以减少某公司数据滥用而带来的法律责任和社会风险。综上所述，安全港规则作为一种法律技术，可以为某公司在数据交易中遇到的权属不明确、定价难题和数据滥用风险等问题提供可能的解决方案。通过这些解决方案，某公司可以在一个更加安全、明确和可预期的法律环境中进行数据交易，从而有效促进数据的合理利用和健康发展。七、结论 本报告系统建构了“安全港规则”的理论及其通过数据交易所的实现机制。安全港规则旨在为数据交易市场主体提供一个清晰、明确的合规路径，在提升数据交易活动自身安全性的同时，也为交易提供相应的法律保障，从而促进交易规模的扩大、体量的释放和活跃度的提升。当前，阻碍数据交易发展的一个重要因素，是市场主体开展数据交易时，面临与数据交易相关数据处理活动有关的各类法律责任方面的不确定性。而这种法律责任的不确定性，本身又与数据交易相关数据处理活动可能涉及较为复杂的安全风险有关。安全港规则及其对应的相关制度机制寻求更为有效地平衡效率和安全，确保在鼓励、促进数据交易的同时，保障数据隐私、数据安全和网络安全。数据交易安全港规则包含“2 2”框架。首先，“合规技术”与“法律规则”相结合，不仅将使用区块链存证、AI 智能检测、隐私计算等合规技术手段确保数据交易安全可信，也将引入合规、透明、可操作的法律规则，明确安全港的适用条件、免责后果。其次，“主动投入”与“预期免责”相结合，安全港要求企业满足特定的资质、合规条件，并进行可信披露，主动投入相关成本进行“驶入”安全港的动作，从而获得免责预期：在监管部门的授权下、在数据交易场所建构的可信空间内开展交易，可以避免因为事先未曾预料的风险而事后被追责。上海数据交易所针对案例中展示的市场需求和痛点，初步建构了包含下列具体措施的数据交易安全港：（一）智能接入，基于企业主动申请和特定场景（特别是创新容错场景）主动接入，对流通交易数据进行智能分类分级、按需接入安全港。（二）可信交易，在合规技术保障下，在监管部门授权、监管、验收等流程下按照特殊规则在港内交易。数据交易安全港书 Safe Harbor for Data Exchange White Paper 50（三）风险响应，在安全港港内交易，如果存在侵权投诉、情势变更等风险警示情形，及时启动中止交易、信息披露等响应机制，并保障市场主体取得与前期合规投入、创新容错政策相适应的责任豁免。（四）反馈迭代，成立数据交易合规委员会，对安全港规则进行动态调整，并与行业主管部门、监管部门、司法部门进行定期沟通反馈，根据安全港运行情况和需求情况迭代完善相应规则。数据交易安全港书 Safe Harbor for Data Exchange White Paper 51 参考献 1 陈昶屹：“避风港规则”扩张适用网络人格权保护之困境与消解兼论侵权责任法第三十六条之完善，人民司法（应用）2012 年第 1 期。2 陈洁：“利用自身信息交易”作为内幕交易抗辩规则的建构-兼论我国内幕交易安全港规则的基本框架，现代法学2021 年第 5 期，第 145 页。3 陈越峰：超越数据界权：数据处理的双重公法构造，载华东政法大学学报，2022年第1期，第18-31 页。4 单甜甜：互联网平台适用避风港规则免责的条件，人民司法（案例）2020 年第 5 期。5 丁晓东：数据交易如何破局-数据要素市场中的阿罗信息悖论与法律应对，东方法学2022 年第 2 期，第 144 页。6 范文仲：完善数据要素基本制度 加快数据要素市场建设，载中国金融2022 年第 1 期，第 14-17 页。7 范晓娟：论有限合伙基金的“安全港”规则的突破，政治与法律2013 年第 5 期，第 128 页。8 冯果、洪治纲：论美国破产法之金融合约安全港规则，当代法学2009 年第 3 期。9 高富平、冉高苒：数据要素市场形成论一种数据要素治理的机制框架，载上海经济研究2022 年第 9 期，第 70-86 页。10高富平：数据经济的制度基础数据全面开放利用模式的构想，载广东社会科学2019 年第5 期，第 5 页。11高富平：数据流通理论数据资源权利配置的基础，载中外法学2019 年第 6 期，第 1405页。12胡滨、杨楷：监管沙盒的应用与启示，载中国金融2017 年第 2 期，第 68 页。13胡凌：互联网“非法兴起”2.0以数据财产权为例，载地方立法研究2021 年第 6 期，第21-36 页。14胡凌：论赛博空间的架构及其法律意蕴，载东方法学2018 年第 3 期，第 87-91 页。15胡凌：数据要素财产权的形成：从法律结构到市场结构，载东方法学2022 年第 2 期，第 120-131 页。16黄朝椿：论基于供给侧的数据要素市场建设，载中国科学院院刊2022 年第 10 期，第 1402-1409 页。17刘家瑞：论我国网络服务商的避风港规则兼评“十一大唱片公司诉雅虎案”，知识产权2009 年第 2 期，第 13 页。18刘珊：全国首批“数据经纪人”在广州海珠诞生 3 家企业入选，涉及电力行业、电子商务、金融等领域，载南方日报2020 年 5 月 28 日，第 4 版。数据交易安全港书 Safe Harbor for Data Exchange White Paper 52 19陆娅楠：构建数据基础制度 更好发挥数据要素作用国家发展改革委负责同志答记者问，http:/ 20梅夏英、王剑“数据垄断”命题真伪争议的理论回应，载法学论坛2021 年第 5 期，第 99-101 页。21沈朝晖：上市公司私有化退市的“安全港”制度研究，法学家2018 年第 4 期，第 66 页。22沈伟伟算法透明原则的迷思算法规制理论的批判，载环球法律评论2019 年第 6 期，第20-39 页。23唐郡：数据基础制度奠基：淡化所有权，优先流通，载微信公众号“财经五月花”，2022年10月8 日。24王迁：信息网络传播权保护条例中“避风港”规则的效力，法学2010 年第 6 期，第 128，133 页。25杨力：论数据交易的立法倾斜性，政治与法律2021 年第 12 期，第 3 页。26姚佳：数据要素市场化的法律制度配置，载郑州大学学报(哲学社会科学版)2022 年第 6 期，第 6-7 页。27于施洋、王建冬、郭巧敏：我国构建数据新型要素市场体系面临的挑战与对策，载电子政务2020 年第 3 期，第 2-12 页。28张景智：“监管沙盒”制度设计和实施特点：经验及启示，载国际金融研究2018 年第 1 期，第 58 页。29郑磊：开放不等于公开、共享和交易：政府数据开放与相近概念的界定与辨析，载南京社会科学2018 年第 9 期，第 83-89 页。30朱开鑫：从“通知移除规则”到“通知屏蔽规则”数字千年版权法“避风港制度”现代化路径分析，电子知识产权2020 年第 5 期，第 42 页。31 Andrew Stumpff Morrison,Case Law,Systematic Law,and a Very Modest Suggestion,35 Statute Law Review 159,173(2013),p169,pp173-174.32Anupam Chander,How Law Made Silicon Valley,63 Emory Law Journal 639,652(2014).33Argenton,Cdric,and Jens Prfer.Search Engine Competition With Network Externalities,Journal of Competition Law and Economics 8.1(2012):73-105.34Carol Sanger,Infant Safe Haven Laws:Legislating in the Culture of Life,106 Columbia Law Review 753,762-772(2006).35Cass R.Sunstein,On the Expressive Function of Law,144 University of Pennsylvania Law Review 2021,2034-2036(1996)36Charles I.Jones and Christopher Tonetti,“Nonrivalry and the Economics of Data”,American Economic Review,Vol.110,No.9,2020,p.2821.数据交易安全港书 Safe Harbor for Data Exchange White Paper 53 37Danielle Keats Citron,How To Fix Section 230,Virginia Public Law and Legal Theory Research Paper No.2022-18,2022，available at SSRN:https:/ Kennedy,Form and Substance in Private Law Adjudication,88 Harvard Law Review 1685,1689-1690(1976),p.1696.39Eric Goldman,Internet Law:Cases&Materials,E-version,2021,p.159.40Ethem Alpaydin,Machine Learning,MIT Press,2016,Chapter 4.41 Gideon Parchomovsky&Alex Stein,Catalogs,115 Columbia Law Review 165(2015),pp.171-172,pp.188-190.42Hirsch,Werner Z,“Reducing Laws Uncertainty and Complexity.”,UCLA Law Review,vol.21,no.5,June 1974,pp.1233-1236.43Julie E.Cohen,Between Truth and Power:The Legal Constructions of Informational Capitalism,Oxford University Press,2019,p.45.44Katerina Pistor,“Rule by Data:The End of Markets?”,Law and Contemporary Problems,Vol.83,No.2,2020,p.110-112.45Kerber,Wolfgang.Digital Markets,Data,and Privacy:Competition Law,Consumer Law and Data Protection,Journal of Intellectual Property Law&Practice 11.11(2016):856-66.46Louis Kaplow,Rules versus Standards:An Economic Analysis,42 Duke Law Journal 557(1992),pp579-584.47Mark A.Lemley,Rationalizing Internet Safe Harbors,6 Journal Telecommunication&High Technology Law 101,112(2007),p.113.48Marotta-Wurgler,Florencia,“Self-Regulation and Competition in Privacy Policies”,Journal of Legal Studies,vol.45,no.2 Supplement,June 2016,p.S13-S40.49Michael Barbaro&Tom Zeller,Jr.,A Face Is Exposed for AOL Searcher No.4417749,N.Y.TIMES,Aug.9,2006.50Ohm,Paul,“Broken Promises of Privacy:Responding to the Surprising Failure of Anonymization.”UCLA Law Review,vol.57,no.6,August 2010,p.1701-1778.51 Omri Ben-Shahar,“Data Pollution”,Journal of Legal Analysis,Vol.11,No.1,2019,pp.112-115.52Pamela Samuelson,Pushing Back on Stricter Copyright ISP Liability Rules,27 Michigan Technology Law Review 299,305-307(2021).53R.H.Coase,The Problem of Social Cost,The Journal of Law and Economics,Vol.3,1960,p.44.54Susan C.Morse,Safe Harbors,Sure Shipwrecks,49 UC Davis Law Review 1385,1392(2016),p.1397.55Susan R.Klein,Identifying and(Re)formulating Prophylactic Rules,Safe Harbors,and Incidental Rights in Constitutional Criminal Procedure,99 Michigan Law Review 1030,104445(2001),p.1046.56T.Randolph Beard et.al.,Safe Harbors and the Evolution of Online Platform Markets:An Economic Analysis,36 Cardozo Arts&Ent.L.J.309,312(2018).

0人已浏览 2023-12-02 58页 5星级

机密计算共享数据价值白皮书机密计算共享数据价值白皮书中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月机密计算共享数据价值版权声明版权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。机密计算共享数据价值目录目录一 背景.2二 业务及技术需求.4三 云机密计算平台.63.1 平台介绍.63.2 架构和功能.73.2.1 平台架构.73.2.2 平台功能.83.3 SGX 测试验证.103.3.1 测试范围.103.3.2 功能测试.103.3.3 性能测试.12四 展望.14机密计算共享数据价值-1-前 言本白皮书围绕数据安全的发展与产业需求，介绍中国联通云机密计算平台实践案例。本白皮书的版权归中国联通所有，未经授权，任何单位或个人不得复制或拷贝本建议之部分或全部内容。本白皮书起草单位：中国联合网络通信有限公司研究院（中国联通网络安全研究院、下一代互联网宽带业务应用国家工程研究中心）、英特尔（中国）有限公司。编写组成员编写组成员：侯乐、徐雷、王莹、贾宝军、杨双仕、胡慧、陶冶、曹咪、胡自强、马建伟、田莉。机密计算共享数据价值-2-一 背景一 背景随着数字经济发展和数字技术变革，数据成为继土地、劳动、资本等之后人类又一重要生产要素。数据流通带来的价值越来越受到重视，与此同时，数据流通暴露出的安全风险问题也备受关注。2023年 1 月，工信部等十六部门联合发布了关于促进数据安全产业发展的指导意见，进一步明确要加强隐私计算、数据流转分析等关键技术攻关。在政策扶持、需求刺激、应用升级等多方因素的驱动下，我国网络安全产业呈现高速发展态势，上中下游都有相关企业提供产品和服务，产业链逐步完善。在数据流通和交易领域，产业链上中下游企业需要深度合作，通过各方数据协同计算，更好地释放数据价值。面对跨机构、跨行业的联合分析、联合建模等应用，需要频繁的数据共享和数据融合，要求数据安全高效协作，这对多方数据系统的全链条安全可控提出了更高要求。中国联通作为数字信息基础设施的建设者和运营者，拥有大规模的网络和 IT 基础设施资源，运营着海量高价值数据。如何高效发挥数据资源价值，是运营商面对的最大挑战。中国联通高度重视数据安全治理工作，不断创新安全产品，沉淀服务能力，纵深推进数字化转型。本文介绍了中国联通研究院项目团队研发的云机密计算平台及机密计算共享数据价值-3-其安全算力供给功能，分析了当前机密计算技术的主要需求与挑战。简要介绍了中国联通云机密计算平台的研发进展与阶段性成果，以及联合英特尔开展的功能验证和性能测试分析。文末对机密计算应用于商业生产的前景和社会价值进行了展望。机密计算共享数据价值-4-二 业务及技术需求二 业务及技术需求当前，在金融、互联网、工业互联网及汽车等领域，数据协作与数据融合的需求越来越普遍，但伴随而来的数据窃取、隐私泄露等事件也显著增多，数据安全引起政府和各行业的关注。面对数据安全问题，各数据所有方普遍采取了相对保守的策略，对数据共享使用顾虑很多。数据生产方为了自身的数据安全，主动或被动地限制数据的流动和使用，使得数据价值变现变得困难重重。如何稳妥地处理好数据保护和数据利用之间的关系，是业内共同面对的难题。近些年，行业专家们开展了如多方安全计算、联邦学习等隐私计算数据处理技术的研究，取得了一定进展，同时也遇到一些使用问题，如性能问题、业务可用性问题等。在平衡数据安全性和性能两方面考量中，业内需要寻找一种性能损失较少，能提供较高安全性的解决方案。纵观数据在整个生命周期中的保护，在处于静态（At-Rest）和传输态（In-Transit）时的保护措施较多，而在使用态（In-Use）保护措施相应不足。现有安全防护技术如 HTTPS、IPSec、TLS、FTPS、磁盘加密等数据加密技术，大多是针对网络传输和静态数据存储阶段的数据安全保护，可以对传输中和静态的数据提供有效的保护手段。而在核心数据和隐私数据使用、运行阶段，不管是传统基础设施还是云计算基础设施，对计算环境都缺乏有效的安全可信保护能力。需要特别强调的是，公有云作为云计算的主流型态，其开放的运行模型势必会增加风险暴露面，会带来更多的安全隐患。由此，解决数据运算机密计算共享数据价值-5-过程中的安全问题迫在眉睫。面对产业发展需求和数据安全挑战，中国联通研究院安全研发团队聚焦云化机密计算及可信验证能力提升，创新研发了基于硬件可信执行环境（TEE）的云机密计算平台，为数据运算过程提供隔离、加密和可信计算度量等功能，为数据计算提供可信安全底座，弥补了云平台机密计算算力的安全短板，助力中国联通推出更优秀的数据保护行业解决方案，服务行业企业数据共享与协作，促进数据价值持续释放。机密计算共享数据价值-6-三 云机密计算平台三 云机密计算平台3.1 平台介绍平台介绍中国联通云机密计算平台是在通用云平台基础上，基于硬件可信执行环境（TEE），实现机密计算虚拟机和虚拟容器提供的能力。平台实现了机密计算虚拟机、机密计算容器的生命周期管理，完成了对主机 TEE 计算能力的适配。目前平台构建了基于 Intel SGX 技术架构的资源池，用户可以很便利地使用机密计算虚拟机和容器，建立起基于TEE 的数据运行环境。平台也考虑了多种架构的适配能力，后续还规划适配中科海光 CSV 的技术架构，也逐步对其他架构做进一步扩展。在管理门户中，用户可自主创建机密计算虚拟机和虚拟容器，搭建所需的算力单元，目前支持 Intel SGX 和中科海光 CSV 两种架构模式。管理页面如下图所示：图 3-1 云机密计算平台界面图机密计算共享数据价值-7-3.2 架构和功能架构和功能3.2.1 平台架构3.2.1 平台架构云机密计算平台架构基于支持 TEE 的底层硬件基础设施，根据应用环境可划分为两部分，第一部分是容器层面的应用支持（如图 3-2所示），该部分基于 Gramine 等开源框架实现针对容器应用的安全隔离。图 3-2 云机密计算平台容器资源池第二部分是虚拟化层对隐私计算应用能力支持（如图 3-3 所示），该部分基于 KVM、Libvirtd 等技术对底层 TEE 进行适配，实现在虚拟机中机密计算的调用能力。机密计算共享数据价值-8-图 3-3 云机密计算平台虚拟机资源池3.2.2 平台功能3.2.2 平台功能云机密计算平台支持可视化创建TEE机密虚拟机环境和TEE机密容器环境，支持基于 TEE 的任务管理、环境验证、密钥管理、数据加密存储、多方联合计算、隐私查询等。具体功能示意图如图 3-4 所示。图 3-4 云机密计算平台功能示意图机密计算共享数据价值-9-任务管理模块任务管理模块支持创建 TEE 机密计算环境，如 TEE 机密虚拟机、TEE 机密容器等，用于密钥管理、数据加密存储、多方联合计算、隐私查询。支持设置物理机及容器相关加密内存参数，通过脚本一键自动生成环境。环境验证模块环境验证模块支持通过静态度量方式对 TEE 机密计算环境进行可信验证。密钥管理模块密钥管理模块支持创建 TEE 密钥管理能力，在 TEE 环境中实现密钥生命周期管理功能和机密虚拟机远程证明。基于 TEE 的数据加密存储模块基于 TEE 的数据加密存储模块支持对 TEE 数据的加解密功能，支持数据加密存储于 TEE 环境内或将加密的数据存储在外部存储介质中，可消除内存泄漏等造成的数据安全隐患。多方联合计算模块多方联合计算模块支持创建 TEE 多方联合计算任务，通过各参与方分发加密密钥与接口方式，实现多方数据汇交，根据相应算法执行计算任务，有效保护数据的安全性，防止原始数据泄露，同时，也可以满足企业间数据高效协作、联合计算的需求。隐私查询模块隐私查询模块机密计算共享数据价值-10-支持创建 TEE 隐私查询任务，通过在 TEE 内部移植标准的数据库管理系统，支持基于 SQL 的数据查询功能，实现多方安全数据查询。系统管理模块系统管理模块支持用户管理功能，实现用户在系统操作期间支持日志记录功能，在系统运行过程中，系统会对当前机密计算环境中各项指标实时监控，若出现指标异常情况会及时告警通知。3.3 SGX 测试验证测试验证3.3.1 测试范围3.3.1 测试范围为了验证云机密计算平台数据保密性和机密计算对性能的影响，项目团队与 Intel 技术团队开展合作，围绕以下两方面开展了功能验证和性能测试：（1）功能测试（1）功能测试针对普通环境与云机密计算平台机密实例环境，分别部署敏感应用（Redis 数据库），对比验证对内存数据的保密。（2）性能测试（2）性能测试针对普通方式部署与云机密计算平台部署，分别测试以创建 TEE机密虚拟机和 TEE 机密容器方式进行 AI 数据集运算的性能损失比。3.3.2 功能测试3.3.2 功能测试（1）测试过程（1）测试过程机密计算共享数据价值-11-a.普通环境下部署并运行 Redis，在 Gramine 机密容器中部署并运行 Redis；其中 Gramine 是轻量级的 LibOS，用户业务代码无需修改即可在其环境中运行,方便用户业务应用 SGX 特性；b.通过redis-cli工具向普通Redis和Gramine Redis写入键值；c.从上述对应的进程中拷贝内存数据至文件中；d.在内存文件中搜索步骤 b 中写入的键值信息。图 3-5 机密计算实例功能测试记录（2）测试结果（2）测试结果如图 3-5，在普通容器 Redis 内存中可以搜索到先前存入的键值字符串，而在 Gramine 容器中则搜索不到存入的数据。（3）结果分析（3）结果分析由于 SGX 的优势是对内存加密，存入 Redis 的数据是加密状态，因此，在内存密文中无法搜索到存入的字符串。机密计算共享数据价值-12-3.3.3 性能测试3.3.3 性能测试在机密计算平台上的实例，分别进行虚拟机和容器性能测试。针对虚拟机，分别在普通虚机和 Gramine 虚机中运行机器学习的推理程序，并同等的限制 CPU 使用核数。对于虚拟机，分别在普通容器和 Gramine 容器中运行机器学习的推理程序，并同等的限制 CPU使用核数。测试环境的硬件配置为 Intel(R)Xeon(R)Gold 6330 CPU 2.00GHz，操作系统为 Ubuntu 20.04，数据集为 150 万条数据，特征维度为 39 维。（1）虚拟机（1）虚拟机表 3-1 虚机运行程序对比通过运行上述程序对比，SGX 虚机推理耗时较普通虚机耗时增加6.98%；上表中其常规内存使用较低，原因是运行中的程序使用了 SGXEnclave 内存。（2）容器（2）容器Within VMWithin VMCPU CoreNumberCPU CoreNumberSGX EnclaveSizeSGX EnclaveSizeInferencetimeInferencetimeMemoryMemoryNormal2 coreN/A172s2.1GGramine-sgx2 core32G184s0.6G机密计算共享数据价值-13-表 3-2 容器运行程序对比通过运行上述程序对比，SGX 容器推理耗时较普通容器耗时增加10.90%。（3）结果分析（3）结果分析对比性能测试结果，虚拟机和容器场景的性能损失在7-10%左右，因此，在一些处理重要数据，且性能敏感度需求不高的数据业务场景，基于硬件 TEE 的机密计算是一种可行的技术方案。WithinContainerWithinContainerCPU CoreNumberCPU CoreNumberSGX EnclaveSizeSGX EnclaveSizeInferencetimeInferencetimeMemoryMemorydocker2 coreN/A220s2.1GGramine-docker2 core32G244s0.6G机密计算共享数据价值-14-四 展望四 展望目前，机密计算技术和应用仍处于产业发展早期，数据保护理念和技术体系成熟还需要市场的磨合。在公有云场景中，机密计算已得到落地应用，主要源于公有云的开放特性，用户对于数据保护的需求更为迫切。实际上，在私有云场景中也同样存在安全隐患，基于边界的安全防护已经不能满足当下的安全要求，很多安全事件都是由内部系统或管理缺陷引起的，在内部数据泄露问题上尤为突出。因此，私有云中处理重要数据的算力环境也需要安全加固，防范可能存在的数据窃取问题。虽然机密计算不能解决所有的安全问题，但是在数据防泄漏、防窃取方面，它是目前比较有效的一种安全技术。同时，芯片架构的加解密计算性能在逐步增强，这也将加快机密计算技术的应用落地。随着跨企业、跨行业、跨国别合作日益深入，数据的协作共享越来越普遍，数据安全与治理日趋重要。在金融、互联网、工业互联网及汽车等行业，已经开启了小规模的协作和共享，同时也伴随出现了隐私数据泄露的危机。这就需要产业界共同寻求解决方案，探索包括机密计算在内的数据安全技术的应用，建立行业数据协作规范，完善立法和管理制度，共同激发数据价值，促进社会智能化发展和生产力水平的提高。中国联通研究院已完成了云机密计算平台的初步研发，后续将持续完善平台功能，针对多方联合计算、隐私查询、边缘计算、人工智机密计算共享数据价值-15-能等业务场景开展应用实践，研究机密计算的行业解决方案。同时联合 Intel 等业界头部合作伙伴，发挥先进安全技术优势，进一步丰富机密计算应用场景，夯实数据安全治理能力，促进政府和各行业数据融合和数据价值实现。机密计算共享数据价值-16-战略决策的参谋者技术发展的引领者产业发展的助推者战略决策的参谋者技术发展的引领者产业发展的助推者态度、速度、气度有情怀、有格局、有担当中国联通研究院是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院致力于提高核心竞争力和增强核心功能，紧密围绕联网通信、算网数智两大类主业，按照 4 2 X 研发布局，开展面向 C3 网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国建设，大力发展战略性新兴产业，加快形成新质生产力。联通研究院现有员工 700 余人，85%以上为硕士、博士研究生，以“三度三有”上海品茶为根基，发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院以做深大联接、做强大计算、做活大数据、做优大应用、做精大安全为己任，按照 4 1 X 研发布局，开展面向C3 网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国、智慧社会建设。联通研究院现有员工近 700 人，平均年龄 36 岁，85%以上为硕士、博士研究生，以“三度三有”上海品茶为根基，发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。中国联合网络通信有限公司研究院地址：北京市亦庄经济技术开发区北环东路 1 号电话：邮编：100176

0人已浏览 2023-11-30 19页 5星级

企业数据跨境合规与技术应用白皮书（2023）企业数据跨境合规与技术应用白皮书（2023）中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月企业数据跨境合规与技术应用白皮书（2023）版权声明版权声明本白皮书版权属于中国联合网络通信有限公司、中兴通讯股份有限公司、北京市环球律师事务所，并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或者观点的，应注明“来源：中国联合网络通信有限公司、中兴通讯股份有限公司和北京市环球律师事务所”。违反上述声明者，将追究其相关法律责任。企业数据跨境合规与技术应用白皮书（2023）目录目录前 言.1一、全球数据跨境流动背景.31.1 数据跨境驱动全球数字经济加速增长.31.2 各国加快构建自身数据跨境流动规则.41.3 我国数据跨境流动监管面临较大挑战.6二、我国数据跨境政策环境与重点内容解读.82.1 我国数据跨境监管制度.92.2 数据出境合规路径判断方法.122.3 数据出境合规路径实施流程.152.4 数据出境所涉基本概念.182.5 数据出境典型场景.20三、企业数据跨境合规治理体系建设.233.1 组织机构建设.243.2 制度体系建设.263.3 合规路径操作实践.273.4 保障体系建设.283.5 技术防护措施.30四、数据跨境安全管理发展建议.394.1 健全数据出境制度体系与保护机制.394.2 强化数据跨境技术创新研究与应用.40企业数据跨境合规与技术应用白皮书（2023）4.3 推动数据跨境协同治理与国际交流合作.41附录：数据出境相关法律法规和国家标准.43参考文献.45企业数据跨境合规与技术应用白皮书（2023）表目录表目录表 2-1 我国法律规制的数据出境合规路径.10表 2-2 数据出境合规路径适用情形.11表 2-3 规定（征求意见稿）出台后合规路径适用情形.12表 2-4 数据出境行为模式一.21表 2-5 数据出境行为模式二.22表 3-1 传统联邦学习和安全联邦学习的比较.36图目录图目录图 2-1 数据出境安全评估流程.16图 2-2 个人信息出境标准合同备案流程.17图 3-1 数据跨境合规治理框架.24图 3-2 基于区块链网络的跨境数据流动示意图.37企业数据跨境合规与技术应用白皮书（2023）-1-前 言在数字经济背景下，数据已经成为国家战略资源和关键生产要素，也是企业的核心竞争资产。伴随着经济全球化，数据跨境活动日益频繁，数据出境场景越来越多，防范数据出境安全风险，保障数据依法有序自由流动成为我国关注的重要方面。目前，我国数据出境安全管理体系已经初步构建形成。网络安全法数据安全法个人信息保护法确立了数据出境的基本原则和主要路径，数据出境安全评估办法个人信息出境标准合同办法个人信息保护认证实施规则等进一步明确了不同数据出境路径的具体要求。企业作为数据跨境活动最活跃的主体之一，无可避免的成为履行数据跨境合规义务的重要主体，但在具体实践中，如何采取相应的措施、采取哪些措施仍面临许多问题，比如：如何判断是否需要申报数据出境安全评估，或订立并备案个人信息出境标准合同，或通过个人信息保护认证？三条路径具体应如何实施？能够采取哪些方法和手段防范数据出境安全风险？本白皮书力图从分析政策、剖析概念、归纳方法、总结举措等方面，尽可能全面、系统地整理当前我国数据跨境的有关法律法规和实施举措，希望为提高有关企业或个人对数据跨境制度的认识和理解，增强经营管理和业务开展过程中对数据出境合规风险的防范意识，强化数据出境合规管理贡献力量。企业数据跨境合规与技术应用白皮书（2023）-2-本白皮书由中国联通研究院主笔，中国联通集团网络与信息安全部、联通数字科技有限公司数据智能事业部、中国联通国际有限公司、中兴通讯股份有限公司、北京市环球律师事务所联合编写。编写组成员编写组成员（排名不分先后）：总策划：总策划：苗守野、李浩宇、叶晓煜编委会：编委会：徐雷、杨锦洲、吴钢、马瑞涛、林海、张航、陶冶、曹咪、孙艺、吴连勇、李佳杭、康旗、刘亚琪、孟洁、王程、刘洋、李冰、陈靖、杨晓蔚、韩莹莹、薛竞、黄一申、李佳敏、孙进芳、杨开敏、赵灿、刘宇健、张钦华企业数据跨境合规与技术应用白皮书（2023）-3-一、全球数据跨境流动背景一、全球数据跨境流动背景当前，以 5G、云计算、大数据、人工智能等为代表的新一代信息通信技术快速发展并逐渐跨界融合，加速推进全球数字化转型和国际数字贸易发展。数据作为新型生产要素，数据跨境流动在当今数字经济中扮演着重要角色，因其机遇与风险并存，已经成为各个国家和地区重点关注的议题之一。1.1 数据跨境驱动全球数字经济加速增长1.1 数据跨境驱动全球数字经济加速增长数据跨境安全有序流动是数据要素高效运转流动的关键环节，自2008 年以来，跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资，支撑了包括商品、服务、资本、人才等其他几乎所有类型资源的全球化活动，已经成为驱动数字经济增长的主要力量。数据跨境流动是经济全球化的必然结果，也是当下和未来经济发展的常态。数据跨境流动对于促进数字创新、提高经济增长效率和增进社会福祉具有重要意义。一是促进国际贸易高质量发展。一是促进国际贸易高质量发展。跨境数据流动已成为推动经济全球化与国际贸易发展的重要力量。作为国际贸易发展的最新趋势，数字贸易在提升贸易效率、拓展贸易对象、降低贸易成本、丰富贸易业态等方面发挥着重要作用。企业数据跨境合规与技术应用白皮书（2023）-4-二是加速企业发展国际化进程。二是加速企业发展国际化进程。企业作为市场主体，其业务模式和经营模式引发高频化、规模化且常态化的跨境数据流动，在全球产业分工日趋细化的背景下，企业的海外业务布局通常涉及多个国家，数据的集中协同处理是企业经营的客观需求。企业跨境数据流动可促进各类资源要素畅通流动以及各行业市场主体加速融合，帮助企业持续推动自身运营方式改善、供应链优化与商业模式创新，助力企业实现资源的高效配置。跨境数据流通是推动人才流、物流、资金流和信息流跨域自由流转的基础，在推动企业全球化等方面发挥着积极作用。三是驱动数字经济加速增长。三是驱动数字经济加速增长。全球数据流动对经济增长有明显的拉动效应，据麦肯锡估算，数据流动量每增加 10%，将带动 GDP 增长 0.2%。预计到 2025 年，全球数据流动对经济增长的贡献将达到11 万亿美元。据经济合作与发展组织（OECD）测算，数据流动对各行业利润增长的平均促进率在 10%，在数字平台、金融业等行业中可达到 32%。依托数字技术和信息网络推动数据跨境流动，可带动各类资源要素高效流动、各类市场主体加速融合，促进数字经济做强做优做大。1.2 各国加快构建自身数据跨境流动规则1.2 各国加快构建自身数据跨境流动规则数据跨境流动给数字经济发展带来了强大的推动作用，但是数据跨境后也隐藏着不受控的安全风险。当前，国际上广泛认为，数据跨境流动不仅包括物理意义上的跨越国界，还包含第三国主体对数据的企业数据跨境合规与技术应用白皮书（2023）-5-跨境访问和使用。随着经济全球化的发展，国际交流合作愈加频繁，数据跨境传输、存储、访问、使用的频次大幅上升，所带来的安全风险渗透至数据全生命周期，且随着数据跨境流动的范围不断扩大，产生的风险从个人隐私保护、商业利益保护升级跃迁至国家数据主权甚至国家安全。随着各国对数据跨境流动意义和影响的认识日益深入，数据跨境流动逐步成为国家和地区间博弈的重要问题。基于国家安全、经济发展、隐私保护、技术能力等多方面的考量，各国确立了不同的数据跨境流动策略，并基于此加快构建自身的数据跨境流动规则体系。分国家层面来看，分国家层面来看，当前，数据跨境流动规则还处在探索阶段，各国对于数据跨境流动规则尚未形成共识，整体呈现多元性与差异化的特点。比如，美国美国采取的策略是理念上主张全球数据自由流动，实践中构建数据“单向”流动格局。欧盟欧盟“两手都要抓，两手都要硬”，双边场合推动数据互认标准，多边场合提倡数据自由流动，在强化个人隐私数据保护的同时，提升数据竞争优势。日本日本对数据跨境流动的限制性条件较少，但强调对涉及国家安全的敏感或关键数据进行监管。俄罗斯俄罗斯要求俄公民个人数据收集必须使用位于俄境内的数据库。印度印度将个人数据分为一般个人数据、敏感个人数据和关键个人数据，一般个人数据和敏感个人数据在境内存储副本的条件下可跨境流动，关键个人数据仅能存储在印度境内的服务器或数据中心，绝对禁止离境。澳大利亚、加拿大、韩国、巴西澳大利亚、加拿大、韩国、巴西等国支持数据自由流动，但主张将保企业数据跨境合规与技术应用白皮书（2023）-6-护个人隐私和国家安全写入例外条款，包括实现公共政策目标、保护个人隐私安全、保护国家安全等。截至目前，全球已有 70 多个国家或地区对数据跨境流动进行了不同程度的限制。从当前国际数字贸易相关协定来看从当前国际数字贸易相关协定来看，数据跨境流动规则正在成为高水平贸易协定的重要标志，无论是发达国家成员主导的全面与进步跨太平洋伙伴关系协定（CPTPP）和数字经济伙伴关系协定（DEPA），还是发展中国家成员签署的区域全面经济伙伴关系协定（RCEP），保障数据合理数据跨境流动都是其中的核心条款。各国限制数据跨境流动的规章制度存在显著差异，而且具有明显的冲突性，给数据跨境流动带来了很大难度。但是国际主流的跨境管理思想较为统一：基于数据的重要程度，分类分级的开展数据跨境管理工作，并在既有的国际合作框架下探索数据跨境合作，在经济发展、数据安全、国际环境三者约束条件下，形成数据跨境流动规则。1.3 我国数据跨境流动监管面临较大挑战1.3 我国数据跨境流动监管面临较大挑战我国明确将数据作为新型生产要素，据数字中国发展报告（2022 年）数据显示，2022 年我国数据产量达 8.1ZB，同比增长 22.7%，占全球数据总产量的 10.5%，位居全球第二；我国数字经济规模达 50.2 万亿元，占国内生产总值比重提升至 41.5%。我国已经发展成为全球第二大数字经济体，数据跨境流动在数字经济中的作用愈发重要。但是如何在维护好国家数据安全、保护好个人信息权企业数据跨境合规与技术应用白皮书（2023）-7-益的前提下促进数据有序流动成为当前面临的难题，我国数据跨境流动监管也面临较大挑战。一是数据跨境流动隐蔽性强，难以有效监管。一是数据跨境流动隐蔽性强，难以有效监管。数据跨境流动深植于国际贸易、交往互动中，处理过程涉及多方参与协商，数据流动隐蔽性高，增加了数据跨境流动监管的复杂度。隐蔽的方式包括通过恶意软件采集、网络爬虫抓取或其他非法方式获取他人未授权的数据并流转使用。全球经济一体化背景下，数据是否以隐蔽且未授权的方式流动出境，成为数据出境安全治理亟需重点关注的问题，准确识别数据的不合法出境是数据跨境安全治理的基础。二是数据跨境量级指数递增，分类监管难度较大。二是数据跨境量级指数递增，分类监管难度较大。随着互联网的快速普及，海量数据不断汇聚积累，呈现出“数据海量化、种类多样化、处理快速化”等特点，这些数据遍布通信、金融、能源、交通等各个行业领域，数据格式混杂多样，数据价值各有不同，在数据跨境流动过程中，如何对海量的数据进行全面梳理分类和有效监管仍是挑战。数据规模庞大、数据流转实时变化、数据持续聚合拆分，增加了数据分类分级的难度。数据级别评估基准不统一，对重复加工生成的衍生数据状态判断不明，使得数据跨境流动风险难以有效判定。三是数据跨境攻击不断升级，数据安全态势严峻。三是数据跨境攻击不断升级，数据安全态势严峻。随着数据价值不断提升，以数据为目标的跨境攻击愈加频繁，数据跨境攻击技术持续升级，攻击者的组织形式趋于集中化、专业化；攻击对象日益渗透企业数据跨境合规与技术应用白皮书（2023）-8-至管、网、云、端等各环节以及各类网络设备、软硬件、关键信息基础设施等；攻击方式走向智能化、多样化，以人工智能等新技术为载体的攻击方式不断演变升级，难以防范。近年来，我国积极构建实施数据保护相关的法律法规，秉持“统筹安全和发展”的理念我国积极构建实施数据保护相关的法律法规，秉持“统筹安全和发展”的理念，关注国家利益、公共安全与国际合作，探寻合规高效的跨境数据流动规则。我国立法明确提出“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”“积极开展数据安全治理、数据开发利用等领域的国际交流与合作，促进数据跨境安全、自由流动”的政策目标。同时，我国遵循多元共治的理念，在数据出境国际规则构建中，兼顾发达国家关注数字贸易利益以及发展中国家关注数据安全与产业发展利益的情况，支持基于公共政策目标或者国家安全利益而采取的数据本地化策略，与各国在独立自主基础上的开展合作与治理。一直以来，我国积极参与国际交流合作，逐步构建完善国内数据要素治理的顶层法律法规，推进具体落地实施，目前基本形成了符合我国数字经济发展要求的数据跨境流动规则。二、我国数据跨境政策环境与重点内容解读二、我国数据跨境政策环境与重点内容解读我国的数据跨境流动规则已基本建立，本章将进行归纳分析，剖析重要数据、个人信息、关键信息基础设施等基本概念，总结数据出企业数据跨境合规与技术应用白皮书（2023）-9-境合规路径的判断方法与实施流程，并以举例形式详细阐述数据出境的典型场景。2.1 我国数据跨境监管制度2.1 我国数据跨境监管制度近年来，我国相继出台网络安全法数据安全法和个人信息保护法网络安全法数据安全法和个人信息保护法，对网络安全、数据安全、个人信息保护进行了制度要求，也为数据跨境流动构建了基础框架。虽然理论上数据跨境分为数据出境和数据入境，但我国主要规制数据出境活动，故本次报告主要从数据出境的角度进行切入探讨。总体来看，前述三部法律主要从重要数据和个人信息保护两个维度监管数据出境活动，建立了“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”三大合规路径，具体要求如表 2-1 所示。其中，数据安全法和个人信息保护法还明确，向外国司法或者执法机构提供数据，应经主管机关批准。个人信息处理者向境外提供个人信息前应履行相应的义务，包括：基于个人同意向境外提供个人信息的，应当取得个人信息主体同意；数据出境前应当开展个人信息保护影响评估等。企业数据跨境合规与技术应用白皮书（2023）-10-表 2-1 我国法律规制的数据出境合规路径表 2-1 我国法律规制的数据出境合规路径法律名称法律名称生效日期生效日期规制数据规制数据规制主体规制主体合规路径合规路径网络安全法网络安全法2017 年6 月 1 日重要数据个人信息重要数据个人信息关键信息基础设施运营者关键信息基础设施运营者向境外提供，应当进行安全评估安全评估数据安全法数据安全法2021 年9 月 1 日重要数据重要数据关键信息基础设施运营者关键信息基础设施运营者向境外提供，应当进行安全评估安全评估其他数据处理者遵照国家网信部门会同国务院有关部门制定的办法个人信息保护法个人信息保护法2021 年11 月 1 日个人信息个人信息国家机关向境外提供，应当进行安全评估安全评估关键信息基础设施运营者关键信息基础设施运营者处理个人信息达到国家网信部门规定数量的个人信息处理者其他个人信息处理者向境外提供，应当具备下列条件之一：（1）通过国家网信部门组织的安全评估安全评估；（2）按照国家网信部门的规定经专业机构进行个人信息保护认证个人信息保护认证；（3）按照国家网信部门制定的标准合同与境外接收方订立合同订立合同，约定双方的权利和义务；（4）法律、行政法规或者国家网信部门规定的其他条件其他条件。随后，国家互联网信息办公室（以下简称“国家网信办”）陆续发布数据出境安全评估办法个人信息保护认证实施规则个人信息出境标准合同办法数据出境安全评估办法个人信息保护认证实施规则个人信息出境标准合同办法（以下分别简称评估办法认证实施规则 合同办法）等，进一步明确了“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”的实施细则，我国数据出境监管制度已基本建立。三大合规路径的适用情形如表 2-2 所示。企业数据跨境合规与技术应用白皮书（2023）-11-表 2-2 数据出境合规路径适用情形表 2-2 数据出境合规路径适用情形部门规章部门规章生效日期生效日期适用情形适用情形配套文件配套文件数据出境安全评估办法数据出境安全评估办法2022 年9 月 1 日数据出境安全评估适用于以下四种情形：（1）数据处理者向境外提供重要数据重要数据；（2）关键信息基础设施运营者和处理 100100 万人以上个人信息的数据处理者向境外提供个人信息个人信息；（3）自上年 1 1 月 1 1 日起累计向境外提供 1010 万人个人信息或者 1 1 万人敏感个人信息敏感个人信息的数据处理者向境外提供个人信息个人信息；（4）国家网信部门规定的其他其他需要申报数据出境安全评估的情形。数据出境安全评估申报指南（第一版）（以下简称 评估申报指南）个人信息保护认证实施规则个人信息保护认证实施规则2022 年11 月 4日对个人信息处理者开展个人信息跨境等处理活动进行认证信息安全技术 个人信息安全规范网络安全标准实践指南个人信息跨境处理活动安全认证规范V2.0个人信息出境标准合同办法个人信息出境标准合同办法2023 年6 月 1 日通过标准合同方式向境外提供个人信息应同时符合同时符合下列情形：（1）非关键信息基础设施运营者；（2）处理个人信息不满 100100 万人的；（3）自上年 1 1 月 1 1 日起累计向境外提供个人信息不满 1010 万人的；（4）自上年 1 1 月 1 1 日起累计向境外提供敏感个人信息不满 1 1 万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。个人信息出境标准合同备案指南（第一版）2023 年 9 月 28 日，国家网信办发布规范和促进数据跨境流动规定（征求意见稿）规范和促进数据跨境流动规定（征求意见稿）（以下简称规定（征求意见稿），向社会公开征求意见，拟对申报数据出境安全评估、订立个人信息出境标准合同等的适用门槛进行调整，这一变化预计将在很大程度上减轻企业的数据出境合规负担，降低数据出境成本，进一步规范和促进数据依法有序自由流动。规定（征求意见稿）明确，“数据出境安全评估办法、个人信息出境标准合同办法等相关规定与本规定不一致的，按照本规定执行”。根据规定（征求意见稿），“数据出境安全评估”、“个人信息保护认证”和“标准合同条款”的适企业数据跨境合规与技术应用白皮书（2023）-12-用情形将发生变化，总结如表 2-3 所示。表 2-3 规定（征求意见稿）出台后合规路径的适用情形表 2-3 规定（征求意见稿）出台后合规路径的适用情形合规路径合规路径规定（征求意见稿）出台后的适用情形规定（征求意见稿）出台后的适用情形申报数据出境安全评估申报数据出境安全评估（1）向境外提供重要数据；（2）国家机关和关键信息基础设施运营者向境外提供个人信息；（3）预计一年内向境外提供 100 万人以上个人信息。订立个人信息出境标准合同或通过个人信息保护认证订立个人信息出境标准合同或通过个人信息保护认证（1）预计一年内向境外提供 1 万人以上、不满 100 万人个人信息。豁免豁免（1）预计一年内向境外提供不满 1 万人个人信息；（2）国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据；（3）不是在境内收集产生的个人信息向境外提供；（4）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；（5）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；（6）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的；（7）自由贸易试验区负面清单外的数据出境。建议企业对规定（征求意见稿）的正式出台保持关注，以便根据规定（征求意见稿）的正式发布版本及时调整、确认自身适用的数据出境合规路径。我国现有数据出境相关的法律法规和国家标准情况详见附录。2.2 数据出境合规路径判断方法2.2 数据出境合规路径判断方法根据我国现行法律法规政策要求，企业在数据出境时应结合自身的主体类型、出境数据类型和数量等因素，综合判断是否需要申报并通过数据出境安全评估；订立并备案个人信息出境标准合同；或通过个人信息保护认证。具体应当适用何种路径，可参考如下判断方法。企业数据跨境合规与技术应用白皮书（2023）-13-1.判断出境数据类型1.判断出境数据类型 重要数据出境，应当申报数据出境安全评估。个人信息出境，则需进一步判断数据出境主体的性质、涉及个人信息主体数量。向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的，依照有关法律、行政法规、部门规章规定执行。2.判断数据出境主体2.判断数据出境主体个人信息出境，如果出境主体属于关键信息基础设施运营者，确因业务需要向境外提供，应当申报数据出境安全评估。如果不属于，则需进一步判断出境所涉及的个人信息主体数量。3.判断出境数据数量3.判断出境数据数量若规定（征求意见稿）正式出台的版本与本次征求意见稿内容保持一致，那么数据出境数量对应的合规路径的判断方法如下：预计一年内向境外提供 100 万人以上个人信息的，应当申报数据出境安全评估。预计一年内向境外提供 1 万人以上、不满 100 万人个人信息的，需要进行个人信息出境标准合同备案或个人信息保护认证，但可以不申报数据出境安全评估。预计一年内向境外提供不满 1 万人个人信息的，属于豁免情形，即不需要申报数据出境安全评估、订立个人信息出境标准合同、企业数据跨境合规与技术应用白皮书（2023）-14-通过个人信息保护认证。需要说明的是，企业在实际工作中，应以当时的生效规定为准应以当时的生效规定为准。4.判断是否属于豁免情形4.判断是否属于豁免情形规定（征求意见稿）列明了不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形，以下情况属于豁免情形。不包含个人信息或者重要数据：不包含个人信息或者重要数据：国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的。个人信息过境：个人信息过境：不是在境内收集产生的个人信息向境外提供。履行合同所必需：履行合同所必需：为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的。人力资源管理所必须：人力资源管理所必须：按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的。紧急情况所必须：紧急情况所必须：紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。未列入自贸区负面清单的数据：未列入自贸区负面清单的数据：自贸区可自行制定数据出境“负面清单”，报经省级网络安全和信息化委员会批准后，报企业数据跨境合规与技术应用白皮书（2023）-15-国家网信部门备案后生效。自贸区企业向境外传输“负面清单”之外的数据，无需适用三大数据出境合规路径。上述豁免场景中提及的部分定义仍需被进一步阐释说明，涉及的数据类型和范围也需要被进一步明确。此外，虽然规定（征求意见稿）阐述了多类出境豁免情形，但这并不意味着由此豁免了企业数据出境活动的事前数据安全保护义务、管理义务和安全事件发生后的报告义务。因此，企业应关注规定（征求意见稿）正式稿的发布情况，对企业自身数据出境涉及的豁免情形进行识别认定，以满足数据出境合规义务要求。另外，还须注意的是，数据出境安全评估是法律的强制要求。企业一旦达到触发条件，则必须开展安全评估，不存在所谓选择数据出境路径的问题。2.3 数据出境合规路径实施流程2.3 数据出境合规路径实施流程2.3.1 数据出境安全评估2.3.1 数据出境安全评估若企业适用数据出境安全评估路径，则需要遵守 评估办法 评估申报指南中明确的数据出境安全评估的申报方式及相关流程。其中，企业应按要求提交申报材料，包括统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书、数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件、数据出境风险自评估企业数据跨境合规与技术应用白皮书（2023）-16-报告以及安全评估工作需要的其他材料。提交材料形式包括书面材料和电子版材料。此外，因评估申报指南要求提交的材料的语言必须是中文，如果企业准备的材料只有非中文版本，则必须同时提交准确的中文译本。企业还应严格按照评估申报指南准备和提交上述各项材料，如提交的材料不够完整，申请可能被退回。根据评估办法的要求，数据出境安全评估整体流程期间为57 N 天（5 7 45 N，N 代表补充材料审核时间）；如涉及复评的，则为 72 N（57 N 15）天。具体流程如图 2-1 所示。图 2-1 数据出境安全评估流程图 2-1 数据出境安全评估流程2.3.2 个人信息出境标准合同2.3.2 个人信息出境标准合同若企业适用个人信息出境标准合同路径，则需要明确个人信息出境标准合同的签署及备案流程。其中，企业需要重点关注以下义务：首先，根据 个人信息保护法 第五十五条、第五十六条以及 合同办法第五条规定，企业应当事前针对个人信息出境活动进行个人信息保护影响评估，并对处理情况进行记录，形成个人信息保护影响企业数据跨境合规与技术应用白皮书（2023）-17-评估报告并至少保存三年。其次，企业在签署标准合同后，应遵守合同办法第三、六、七条的规定，履行标准合同备案要求，即在标准合同生效后方可开展个人信息出境活动，在标准合同生效之日起 10 个工作日内，向所在地省级网信部门提交标准合同和个人信息保护影响评估报告等材料进行备案。省级网信部门在收到材料后，会在 15 个工作日内完成材料完备性查验，并通知个人信息处理者备案结果。具体流程如图 2-2所示。图 2-2 个人信息出境标准合同备案流程图 2-2 个人信息出境标准合同备案流程2.3.3 个人信息保护认证2.3.3 个人信息保护认证若企业适用个人信息保护认证路径，则需要遵守关于开展个人信息保护认证工作的公告及认证实施规则中关于个人信息保护企业数据跨境合规与技术应用白皮书（2023）-18-认证流程的相关规定。对于跨境数据处理活动的个人信息保护认证的依据则为信息安全技术 个人信息安全规范以及网络安全标准实践指南个人信息跨境处理活动安全认证规范 V2.0。具体的认证模式为“技术验证 现场审核 获证后监督”。其中，技术验证是指由专门技术验证机构按照认证方案实施技术验证，并出具技术验证报告。现场审核是指由认证机构实施现场审核，并出具现场审核报告。认证机构会根据技术验证报告、现场审核报告和其他相关资料信息进行综合评价，并作出认证决定。对符合认证要求的，颁发认证证书；对暂不符合认证要求的，可要求限期整改，整改后仍不符合的，以书面形式通知终止认证。此外，认证机构会在认证有效期内采取适当的方式实施获证后监督，确保获得认证的个人信息处理者持续符合认证要求。需要注意的是，除上述数据出境合规路径之外，企业的数据跨境传输活动还可能同时会触发其他的审批程序。例如，根据网络安全审查办法第二条，企业的数据出境活动影响或者可能影响国家安全的，应按照该办法进行网络安全审查等。2.4 数据出境所涉基本概念2.4 数据出境所涉基本概念数据出境场景复杂，尤其是数据类别、数据处理者身份等因素的不同，也会导致所适用的数据出境合规路径大有不同。因此，准确把握相关基本概念对有效识别数据出境合规路径及相应风险意义重大。企业数据跨境合规与技术应用白皮书（2023）-19-本部分以相关法律法规和规范性文件为基础，对数据出境所涉及的几项基本概念展开介绍。2.4.1 重要数据2.4.1 重要数据根据评估办法，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。2.4.2 个人信息2.4.2 个人信息个人信息保护法明确了个人信息与敏感个人信息的概念，即个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。判断处理的信息是否为个人信息时，应重点关注其是否“已识别”或“可识别”自然人个人身份，只要有可能识别到特定个人，则应按个人信息的标准对待和处理。只有被真正匿名化处理过的信息，才不属于个人信息。判断处理的信息是否涉及敏感个人信息，可以结合该信息对数据主体权益的影响程度、是否属于特殊类型数据、以及结合信息安全技术 个人信息安全规范 的附录举例表等进行综合判断。企业数据跨境合规与技术应用白皮书（2023）-20-2.4.3 关键信息基础设施2.4.3 关键信息基础设施关键信息基础设施安全保护条例 明确了关键信息基础设施的定义，即关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。2.5 数据出境典型场景2.5 数据出境典型场景综合个人信息保护法评估申报指南等相关法律规章及国家标准的规定，在判断数据处理行为是否涉及构成数据出境时，可以结合业务场景分别从“被传输数据是否在 境内运营中 收集和产生”以及“是否属于数据出境活动”两方面来判断。2.5.1 被传输数据是否属于在“境内运营中”收集和产生对于“境内运营”的概念2.5.1 被传输数据是否属于在“境内运营中”收集和产生对于“境内运营”的概念，现行生效的政策文件尚未明确定义，但实务中一般认定为是网络运营者在中国境内开展业务，或向中国境内提供产品或服务的活动。判断网络运营者是否在境内运营不以其是否在境内注册实体，而是关注企业是否面向境内开展业务，或提供产品或服务，包括但不限于以下参考因素：是否以为中国境内居民提供服务为目的；提供产品和服务的过程中是否使用了中文；是否提供了可以用人民币作为结算货币的选项；企业数据跨境合规与技术应用白皮书（2023）-21-是否向中国境内配送物流等。在实践中，如果境内外的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据的，均不视为境内运营。2.5.2 是否属于数据出境活动2.5.2 是否属于数据出境活动评估申报指南明确数据出境活动主要包括两种行为模式。一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问、查询、调取、下载、导出。在上述两种行为模式下，实践中企业常见的几类数据出境场景分别如表 2-4 和表 2-5 所示。表 2-4 数据出境行为模式一：数据处理者将在境内运营中收集和产生的数据传输、存储至境外表 2-4 数据出境行为模式一：数据处理者将在境内运营中收集和产生的数据传输、存储至境外序号序号场景示例场景示例图示图示境内主体将在境内运营中收集和产生的数据从境内服务器传输至境外的服务器。例例：某公司将收集的境内业务数据上传至境内服务器，随后传输至境外母公司服务器。境内运营的终端（如 App 等应用）采集的数据“直接存储”至境外服务器。例例：某款服务器位于新加坡的 App 将在境内收集的用户数据直接存储于新加坡。企业数据跨境合规与技术应用白皮书（2023）-22-境外主体委托境内或境外第三方供应商代为收集境内主体在境内运营中产生的数据。例：例：公司聘请第三方机构代为招聘员工，由第三方机构将收集的拟聘请员工数据传输至境外，供境外母公司进一步评估考核。境内主体委托境内或境外第三方供应商处理其在境内运营中产生的数据，并传输给境外主体。例：例：境内子公司委托境外数据分析供应商处理境内运营数据，供应商按照子公司委托将数据进一步传输至境外母公司。境外公司直接向中国境内个人或用户提供产品或服务，且于境外直接收集境内产生的用户数据。例 1：例 1：在公司招聘的过程中，由应聘人员直接访问境外企业网站填写相关个人信息。例 2：例 2：境外母公司通过部署在境外的全球人力资源管理系统直接收集境内子公司的员工数据。表 2-5 数据出境行为模式二：数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用（公开信息、网页访问除外）表 2-5 数据出境行为模式二：数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用（公开信息、网页访问除外）序号序号场景示例场景示例图示图示跨国公司或者同一经济、事业实体下属子公司或关联公司访问或调用境内主体存储于境内的数据。例：例：企业将境内员工个人信息上传至境内服务器，企业数据跨境合规与技术应用白皮书（2023）-23-境外母公司可以通过登录系统直接访问、调取境内服务器上的员工数据。境外员工或人员到境内出差，访问境内系统或在境内接收数据。例：例：企业将境内业务运营信息上传至境内服务器，境外母公司来华视察的高管直接访问并拷贝境内服务器上的运营信息。此外，一般而言，“数据过境”的情况不属于数据出境，即并非是在我国境内产生和收集的个人信息和重要数据，即使经由我国境内中转出境或是在我国进行了存储、加工处理后出境的，也均不属于数据出境。但需要注意的是，如果该等在境外产生和收集数据与境内产生收集的数据“混存”在同一境内服务器上（尽管进行了逻辑隔离），或在该服务器上对境内外数据进行融合加工分析，那么当境外主体或应用可访问、调用该境内服务器上的数据时，此类场景也可能会被认定为数据出境。三、企业数据跨境合规治理体系建设三、企业数据跨境合规治理体系建设企业是开展数据跨境活动最活跃的主体之一，在推动数据跨境业务发展的同时，也需履行好数据跨境合规义务，维护数据安全。我国数据安全法第四、七条明确“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力”,“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安企业数据跨境合规与技术应用白皮书（2023）-24-全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全”。数据跨境流动作为数据处理活动的其中一环，需要采取多项措施健全数据跨境治理体系，提高数据安全保障能力，确保数据跨境业务的有序进行。根据国家法律规章要求，结合我们在实务中的具体实践，制定了企业数据跨境合规理框架，如图3-1 所示。下面将对框架图展开介绍。图 3-1 数据跨境合规治理框架图 3-1 数据跨境合规治理框架3.1 组织机构建设3.1 组织机构建设数据跨境合规治理需要企业在内部建立相应的组织机构，以便推进数据跨境合规工作。可以在现有数据安全组织架构的基础上，明确各岗位的数据跨境安全管理职责，也可以参照决策层、管理层、执行企业数据跨境合规与技术应用白皮书（2023）-25-层、监督层的结构单独设立数据跨境合规机构，并明确岗位职责体系。例如：决策层：决策层：负责统筹决策数据跨境重大事项和重要部署，协调人力、物力资源推进数据跨境合规治理；管理层：管理层：负责制定数据跨境管理规划和制度，对数据跨境合法性、必要性、安全性等开展审核审查；执行层：执行层：负责落实数据跨境管控策略和要求，实施数据跨境活动，在开展数据跨境业务时保证操作安全合规；监督层：监督层：负责监督检查数据跨境活动的执行情况，及时发现潜在的安全风险和问题。另外，根据有关法律和标准要求，还需重点明确关键岗位角色：数据安全负责人：数据安全负责人：需由具备数据安全专业知识和相关管理工作经历的数据处理者决策层成员承担，并负责向网信部门和主管、监管部门反映数据安全情况。个人信息保护负责人：个人信息保护负责人：对个人信息处理活动以及采取的保护措施等进行监督，对个人信息处理活动的合规性负责，建议由决策层成员承担。同时，应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。企业数据跨境合规与技术应用白皮书（2023）-26-3.2 制度体系建设3.2 制度体系建设管理制度是规范数据跨境处理活动的基础和依据，企业可建立数据跨境专项管理制度，并结合数据分类分级等其他支撑制度，规范开展数据跨境工作，规避合规风险。3.2.1 数据跨境专项制度3.2.1 数据跨境专项制度围绕数据跨境安全主体责任、安全保障及运行管理的实际需求，可结合企业自身制度体系，开展数据跨境管理专项制度体系建设。例如，在数据安全和个人信息保护方针下，建立数据跨境管理办法、操作指南、清单与报告等制度体系，为数据跨境安全管理工作提供指导和依据，促进数据跨境管理工作标准化、流程化、规范化开展：数据跨境管理办法数据跨境管理办法数据跨境管理办法作为数据跨境管理的顶层制度，明确数据跨境管控目标、原则、各相关方职责和具体要求，规范各相关方数据跨境活动。数据跨境合规操作指南/规范数据跨境合规操作指南/规范数据跨境合规操作指南/规范为数据跨境管理提供操作规程和实施指引。配套表单/报告/模板配套表单/报告/模板针对数据跨境管理的具体工作事项，设计与操作流程配套的流程表单、记录、报告模板等文件。相关表单/模板可以包括数据出境活企业数据跨境合规与技术应用白皮书（2023）-27-动清单、数据出境安全评估报告、个人信息出境标准合同及其相应的模版等。3.2.2 安全管控配套制度3.2.2 安全管控配套制度数据跨境流动作为数据处理活动的一种场景，需要依靠数据安全管理制度，配套辅助数据跨境流动过程中的安全管理。根据数据安全法律法规和标准，结合企业实际情况，建立覆盖数据分类分级、数据全生命周期安全防护、权限管理、日志留存、风险监测预警、应急响应、安全评估、教育培训、监督检查等方面的数据安全制度体系，是数据跨境安全管理工作开展的基础。例如，在数据出境前需要依据数据分类分级制度判断出境数据的类别和级别，在数据出境中和出境后需要依据有关要求采取相应的防护举措并做好风险监测等数据安全保障工作。3.3 合规路径操作实践3.3 合规路径操作实践3.3.1 数据出境场景梳理3.3.1 数据出境场景梳理企业需要对自身的数据出境场景进行全面盘点，以掌握实际的数据出境情况。可以制定数据出境情况调研表，面向各部门进行发放，对已开展的和计划开展的数据出境的详细情况进行梳理，形成数据出境情况清单。调研内容包括数据出境业务场景、信息系统、出境时间、出境方式、数据类型、数据量、出境原因、境外接收方情况等。企业数据跨境合规与技术应用白皮书（2023）-28-3.3.2 数据出境合规路径实施3.3.2 数据出境合规路径实施完成数据出境情况调研后，需要逐个判断数据出境业务以及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性，在满足合法性、正当性、必要性的情况下，还需要进一步判断该数据情况应采取的数据出境合规路径。判断方法可以参照本文第 2.2 节所述的方法。如果需要通过申报数据出境安全评估，或订立并备案个人信息出境标准合同，或通过个人信息保护认证的方式出境的，则应在满足有关法律法规的要求下合法开展数据出境活动，本文 2.3 节介绍了三种数据出境路径的实施流程。需要注意的是，如果涉及个人信息出境，按照 个人信息保护法，在数据出境前，企业还应向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。同时企业应进行个人信息保护影响评估，对处理情况进行记录。数据出境过程中，应当采取必要措施，保障境外接收方处理个人信息的活动达到我国个人信息保护法规定的个人信息保护标准。3.4 保障体系建设3.4 保障体系建设3.4.1 风险监测3.4.1 风险监测数据出境中和出境后，企业均应加强对数据出境活动的风险监测，宜根据数据跨境情况建立针对性的数据安全风险监测预警方案，对数企业数据跨境合规与技术应用白皮书（2023）-29-据跨境远程访问、使用以及数据跨境传输等实施监测巡查，对异常流动等行为进行预警和处置，形成处置记录。涉及境外远程访问、使用数据的，需做好权限管理，按照业务需求、安全策略、权责明确原则和最小授权原则，合理界定境外接收方的数据访问和处理权限。建议保留数据出境处理活动的全过程操作行为记录，做好日志留存，并定期开展日志审计，形成审计报告，对发现的问题及时整改处置。3.4.2 应急保障3.4.2 应急保障企业宜根据数据出境业务情况建立针对性的数据安全事件应急预案，明确数据安全事件级别、应急响应流程、责任体系等，并定期开展应急演练，以便在紧急事件发生后，能够立即采取补救措施，并按照规定及时告知用户并向有关主管部门报告。根据演练结果，不断优化数据出境安全保护措施，并形成演练总结报告。3.4.3 出境后合规监控3.4.3 出境后合规监控企业可以根据数据出境情况，绘制数据跨境流转图，用可视化方式呈现各业务场景下的数据跨境流转情况，包括境外接收方信息、数据出境方式、数据在境外存储位置、数据处理情况等，便于厘清数据出境情况，从而更有针对性地识别不同跨境业务场景下的合规问题及安全风险。企业数据跨境合规与技术应用白皮书（2023）-30-企业还需要持续关注数据接收方所在国家或地区的数据跨境相关法律动态，对发生变化的情况进行评估，及时调整数据跨境策略，如触发重新申报数据出境安全评估的情况，还应当重新申报。3.4.4 安全意识培养3.4.4 安全意识培养企业宜在内部加强对数据跨境政策、数据跨境流动安全保障技术、案例应用等方面的教育培训，强化员工对数据跨境政策的认识，提高业务人员对数据跨境场景下的合规意识，加强安全措施的实施以及对风险的发现和防范能力，规范数据跨境安全治理工作开展。3.4.5 监督检查3.4.5 监督检查企业宜定期对数据出境安全管理情况和落实效果进行监督检查，并及时督促问题整改，防范不合规的数据出境情形。例如，定期查验数据出境调研是否全面、是否覆盖最新政策要求，数据出境活动清单是否完整、更新是否及时；针对公网出境场景，监测核查实际出境数据是否与申报内容一致；是否采取加密等技术措施保障数据出境安全等。3.5 技术防护措施3.5 技术防护措施开展数据跨境合规治理，除了管理体系的建设之外，也需要相应的技术手段对数据跨境过程提供安全防护。基础的数据安全防护策略和技术，包括数据资产识别、数据脱敏、传输加密、审计等，是数据跨境安全的必要防护手段。除此之外，近年来飞速发展的隐私计算技企业数据跨境合规与技术应用白皮书（2023）-31-术，能够在原始数据不出本地的前提下，完成多方任务的安全计算，此外使用区块链技术进行辅助，可以同时保障高敏感数据的机密性和不可篡改性。3.5.1 数据安全通用技术应用3.5.1 数据安全通用技术应用1.数据资产梳理1.数据资产梳理在数据跨境流通前，首先需要理清数据资产家底，通过数据资产梳理技术，对各类数据进行清查盘点，并以资产目录及资产索引的方式，绘制数据源、数据表、文件、类型、大小等多维度数据资产地图，直观、形象地描绘数据资产的分布、数量、归属等信息。数据资产地图通过树状结构图、数据关系图等可视化图表能够清晰、准确地揭示数据源、数据库、数据表、字段、文件之间的关系和脉络。2.数据存储加密2.数据存储加密依据数据分级分类的标准，对于敏感数据、内部数据等在存储时进行加密处理。加密后的数据以密文的形式存储，保证存储介质丢失或数据库文件被非法复制情况下数据的安全。采用数据存储加密技术，能有效防止数据库高权限账号泄漏、黑客攻击等风险事件而造成的数据泄密。3.数据脱敏3.数据脱敏数据静态脱敏技术，通过数据脱敏机制对敏感信息通过脱敏规则进行数据的变形，实现敏感数据的可靠保护。在不影响数据跨境需求企业数据跨境合规与技术应用白皮书（2023）-32-方，对数据要求的条件下，对真实的生产数据进行改造并提供使用。在数据跨境流通之前，可以通过数据静态脱敏技术，对原始数据进行处理，提升即将跨境数据的机密性。数据动态脱敏技术，使用屏蔽、随机、仿真等类型的脱敏算法，基于数据分级分类标准和用户访问数据的权限，在敏感数据跨境传输的过程中，根据相关的权限及授权要求，对实时的 SQL 查询语句进行修改和模糊化处理，防止敏感数据的跨境泄露。4.数据防泄漏4.数据防泄漏对于非结构化数据，特别是设计、代码、技术方案等数据的保护，是各国、各行业、企业数据中的弱点，也是重点和难点。在数据跨境流动的应用场景下，针对不同的数据传输方向，通过在境内传输边界节点应用数据防泄漏技术，部署在终端和网络出口处，可有效监管非授权外设传输、拷贝、跨境外发等高风险操作。5.数字签名5.数字签名在数据跨境传输过程中的完整性保护，可以通过数字签名技术来实现。在电子公文流转、敏感数据交换等流程中，采用数字证书的数字签名对数据传输过程中的文件信息进行签名，杜绝数据伪造、滥用，全面保障信息的完整性、严肃性和权威性。企业数据跨境合规与技术应用白皮书（2023）-33-6.数据水印6.数据水印通过数据水印技术，可确保敏感数据的完整性和真实以及可追责性。数据水印通常是不可见的或不可察的，它与原始数据紧密结合并隐藏其中，成为源数据不可分离的一部分，并可经历一些不破坏源数据使用价值或商用价值的操作而保存下来。在数据跨境流通的流程中，一旦信息泄露，可第一时间将水印标识解封，通过读取水印标识编码，追溯数据泄露的全流程，精准定位泄露单位及责任人，实现精准追责定责。7.数据库审计7.数据库审计在数据跨境流通之前，对所有数据库系统、数据操作日志进行统一收集、记录、全局审计。按照数据安全管理规范中的规定，通过数据审计监控、行为分析、溯源追踪、权限管控等技术手段，在安全事件发生后，迅速准确的定位责任人，提供有效证据，按照相关法律法规进行处置。3.5.2 数据安全创新技术应用3.5.2 数据安全创新技术应用1.隐私计算1.隐私计算在隐私计算的框架下，各计算参与方的数据不出本地，能够在不泄露各自数据的前提下通过协同计算实现多源数据的跨域合作。针对有出境需求的数据，通过采用隐私计算方案，在数据本身不出境的情况下，跨境进行模型训练、安全统计等多中心联合分析，可替代传统企业数据跨境合规与技术应用白皮书（2023）-34-的数据复制跨境流动方式，以数据可利用实现安全合规的数据出境。通过采用隐私计算的方式，跨国组织或企业，可以实现多方数据之间的虚拟融合，而无须再采用像传统的数据物理传输和统一汇集的方式，最大程度的实现了出境数据的最小化。隐私计算是“数据可用不可见”技术集合的统称，包括多方安全计算、联邦学习、可信执行环境等多项技术。（1）多方安全计算（1）多方安全计算多方安全计算能够同时确保输入的隐私性和计算的正确性，在没有可信第三方的前提下通过数学理论保证参与计算的各方输入信息不暴露，而且同时能够获得准确的运算结果。多方安全计算通常借助多种底层密码框架完成，主要包括不经意传输，混淆电路，秘密共享等。多方安全计算逐渐发展为现代密码学的一个重要分支。不经意传输是指数据传输方发出多条信息，而接收方只获取其中一个，由于传输方不确定最终到达的信息是哪一条，接收方也无法得知未获取的其他信息，从而双方的数据都处于隐私状态；混淆电路是多方参与者利用计算机编程将输入的计算任务转化为布尔值，对输入的具体数值加密，因此多方在互相不掌握对方私人信息时，可共同完成计算。秘密共享是对加密信息的随机切分过程，将信息的片段分散至多个参与方保管，因此除非超过一定数量的多方协同合作，否则无法还原完整的数据并进行解密。企业数据跨境合规与技术应用白皮书（2023）-35-（2）安全联邦学习（2）安全联邦学习安全联邦学习被认为是兼具隐私保护和跨机构数据共享的技术解决方案，它能连接多个数据源，但在数据共享过程中只交换加密的经过处理的中间计算结果，因而不会泄露明文的个体数据，从而同时达到数据共享和隐私保护的双重目标。在没有加密计算的情况下，在联邦学习阶段，每次迭代时需要交换数据源方的中间统计信息，这些信息可用于推断来自数据源的敏感私有输入数据。另一方面，联邦学习本身无法支持许多数据预处理步骤，而这些对于后续步骤中的数据分析至关重要，例如重复数据消除、样本对齐、参数对齐、数据筛选等。简单地说，联邦学习是一种可以减少机器学习阶段交换的个体信息的有效参考技术框架，但是如果只单纯依赖联邦学习技术是无法确保在整个数据分析阶段最终保护敏感的私有数据。针对普通联邦学习的缺陷，业界对联邦学习进行多层次改进，形成安全联邦学习的技术能力，在普通联邦学习技术基础上基于隐私保护计算技术做出大量的改进，克服原有的弊端和风险，既能够消除信息泄露的问题，还同时具有较高的执行效率和处理能力。安全联邦学习技术主要解决隐私机密数据多数据源的联合分析需求。通过使用安全联邦学习技术，使得隐私保护计算平台能够作为大数据平台的数据底座，打破数据孤岛，建立跨行业、跨部门，跨主体，企业数据跨境合规与技术应用白皮书（2023）-36-可以实现多行业、多部门、多中心的数据联合计算。可实现在符合我国的网络安全法以及 GDPR、HIPAA 等严格隐私保护法律法规情况下的多中心多维度实时大数据分析计算。传统联邦学习和安全联邦学习的比较如表 3-1 所示。表 3-1 传统联邦学习和安全联邦学习的比较表 3-1 传统联邦学习和安全联邦学习的比较技术技术成熟度成熟度性能性能算法能力算法能力安全性安全性依赖可信方依赖可信方概要概要普通联邦学习高高中中部分需要普通联邦学习，存在风险需要结合其它技术改进，才能合规。安全联邦学习高高高高可不需要综合运用 TEE、密码学等隐私保护计算方法，适用于各种业务场景，容易合规。（3）可信执行环境（3）可信执行环境可信执行环境作为易开发、高性能的隐私计算技术，与硬件提供方存在强依赖关系。其实践路径表现为：在 CPU 内划分出独立于操作系统的、可信的、隔离的机密空间。由于数据处理在可信空间内进行，数据的隐私性依赖可信硬件的实现。其核心思想是以可信硬件为载体，提供硬件级强安全隔离和通用计算环境，在完善的密码服务加持下形成“密室”，数据仅在“密室”内才进行解密并计算，除此之外任何其他方法都无法接触到数据明文内容。企业数据跨境合规与技术应用白皮书（2023）-37-2.区块链2.区块链区块链技术具备数据可抽象、不可篡改、防伪溯源等特点，可以较好地满足目前数据跨境场景下对原始数据隐私保护、数据实时查询、历史数据可追溯、跨境备案数据防篡改、日志记录多重备份以及自动化审计等需求，从而增强数据跨境行为的透明性与安全性。对于数据跨境流动，可以开展境内外开放网络环境下区块链系统的研究，基于区块链网络的跨境数据流动示意图如 3-2 所示。境内外开放网络采用授权管理模式，参与方在可控条件下读取、发送和确认交易，及其它共识过程。境内外开放网络环境下，区块链系统通过部署高性能硬件保障底层性能，并采用安全弹性的网络拓扑结构和高效的数据分发技术提升系统响应处理效率，实现境内外全球化部署网络环境下，高安全、高吞吐率、低数据冗余度的区块链网络服务。图 3-2 基于区块链网络的跨境数据流动示意图图 3-2 基于区块链网络的跨境数据流动示意图可以依托开放网络的区块链系统，研究数据跨境流动服务示范应用，搭建由区块链作为底层技术的平台系统，形成覆盖数据采集、数据分析、数据交互、数据跨境监管的一整套系统和解决方案，并由一企业数据跨境合规与技术应用白皮书（2023）-38-系列的法律法规和标准规范作为有效支撑，最终形成完整可行的数据跨境流动管理解决方案。3.IPv63.IPv6IPv6 具有充足的地址空间、层次化的地址结构、灵活的扩展头和强大的邻居发现机制，在数据跨境流动场景中，具有巨大的应用潜力。在数据跨境流动的过程中，可以应用各类IPv6 的核心能力，例如，SRv6（基于IPv6 转发平面的段路由）技术在IPv6 报文中插入一个显式的IPv6 地址栈，该地址栈储存一条有序排列的转发路径，这种方式有能力在数据跨境流动过程中控制数据的传输路径。APN6（应用感知型IPv6 网络）技术则是将应用信息携带在IPv6 数据报文中传递进入网络，使用该技术可以在数据跨境流动的过程中明确数据的类型和级别，并进一步为不同类型和级别的数据提供不同的服务。IFIT（随流检测）技术是在真实业务报文中插入IFIT报文头以进行特征标记，这种方式有能力实现数据跨境传输的路径溯源跟踪。可以说，IPv6 为感知数据、管理并优化数据跨境传输提供了一个潜在的解决方案。企业可以积极探索并推进IPv6 在数据跨境场景中的应用落地，保证数据安全流动的前提下，最大程度的促进数据自由跨境流通，促进数字经济的高质量发展。企业数据跨境合规与技术应用白皮书（2023）-39-四、数据跨境安全管理发展建议四、数据跨境安全管理发展建议4.1 健全数据出境制度体系与保护机制4.1 健全数据出境制度体系与保护机制一是细化完善数据跨境安全管理制度。一是细化完善数据跨境安全管理制度。建立一套可执行和可操作的数据跨境流动安全管理制度，涵盖数据出境全流程，细化数据出境安全评估的事项和标准，明确跨境数据安全审批、监管的要求，由各行业各领域建立符合本行业、领域特点的数据出境安全管理措施，强化对数据出境的全流程安全管控。二是健全数据分类分级保护制度。二是健全数据分类分级保护制度。数据分类分级保护制度是开展数据出境安全评估、数据出境分级保护的基础，建议加快制定数据分类分级国家标准、行业标准等，指导数据处理者在实践层面加强数据出境分级管控。针对重要数据出境，建议行业或地方主管部门进一步细化行业或地方重要数据目录，强化对重要数据的识别和对重要数据的出境管控，保障重要数据安全。三是强化数据出境事中事后监管机制。三是强化数据出境事中事后监管机制。数据出境监管是数据出境活动前、中、后阶段保障数据出境安全的重要手段，数据出境后可以从监管主体、监管流程与实施机制方面制定不同的监管策略，提升数据跨境安全风险防范能力。例如，可以制定跨境数据安全事件定级与响应处置的判定标准，建立数据出境跟踪监督与报告机制，当数据出境后出现威胁国家安全的问题时，国家有关部门及时通知相关企业，企业数据跨境合规与技术应用白皮书（2023）-40-或者企业主动通知有关部门，协同开展应急处置机制，针对性地解决数据出境活动所带来的安全威胁，降低安全风险。4.2 强化数据跨境技术创新研究与应用4.2 强化数据跨境技术创新研究与应用除了顶层设计以及规则制定的完善之外，针对数据跨境场景，还需要通过数字技术手段保障跨境数据的安全流动。一是加强数据跨境场景下安全技术的创新应用。一是加强数据跨境场景下安全技术的创新应用。需加强数据资产梳理、数据加密、数据脱敏等数据安全通用技术在数据跨境环节的安全保障，提高数据访问、流向控制、溯源等关键环节的管控能力，同时，积极推进隐私计算、区块链、IPv6 等新技术在数据跨境场景下的创新应用，通过“数据不跨境、算法模型跨境”“数据可用不可见”的新型数据传输模式，在敏感数据不出境的情况下，推动数据要素价值发挥。二是加强数据跨境流动安全风险监测。二是加强数据跨境流动安全风险监测。可以探索建立国家层面的数据跨境风险监测、预警、安全信息共享调度平台，统筹协调有关部门加强数据安全风险信息的获取、分析、研判与预警工作，通过技术手段对数据出口节点开展持续流量监测，对涉及重要数据的出境流动进行严格审查，对发现的数据出境安全风险及时开展应急处置，规范数据出境行为，保障数据安全。另外，可以全面排查开源软件和数据系统存在的潜在数据出境风险与安全隐患，避免数据违规泄露。企业数据跨境合规与技术应用白皮书（2023）-41-三是布局数据跨境基础设施建设，夯实安全底座。三是布局数据跨境基础设施建设，夯实安全底座。试点可信数据空间建设，开发数据空间通用规则，通过技术、语义、组织和法律互操作性实现不同组织间的信任，通过数据空间促进可信的数据跨境流动。推动跨境数据基础设施建设，加大国际海底光缆、国际互联网数据交互点等数据基础设施建设，提升跨境数据基础设施安全保障能力。4.3 推动数据跨境协同治理与国际交流合作4.3 推动数据跨境协同治理与国际交流合作一是探索建立政企协同的数据跨境治理体系。一是探索建立政企协同的数据跨境治理体系。企业作为跨境规则的实践者和数据跨境业务的直接参与者，能够为数据跨境规则制定和数据安全风险监测提供实践经验，政府和企业协同开展数据跨境规则制定和安全风险监测，对于推动数据出境国家安全治理意义重大。数据跨境治理中，政府与企业合作已成为各国常态。可以探索建立“以政府为主导，以企业为辅助”的数据跨境协同治理体系，政企联动共同推动数据跨境安全有序流动。二是探索建立跨境数据“白名单”制度。二是探索建立跨境数据“白名单”制度。可参考 GDPR，认定一批允许数据直接出境的国家“白名单”，加快建立互信互任的双多边协定。可以充分研判各个国家的数据管理法规及法律环境，并将与我国签订双边、多边合作协议的国家纳入考量范围，以今年 6 月 29 日国家网信办与香港特区政府创新科技及工业局签署的 关于促进粤港澳大湾区数据跨境流动的合作备忘录为始，利用各地自贸区优势，企业数据跨境合规与技术应用白皮书（2023）-42-增设数据出境“白名单”，逐步带动数据自由流动的多边效应，加快区域间协定的谈判与建立，深化与其他国家的数据合作。三是探索建立国际数据自由港。三是探索建立国际数据自由港。我国作为全球数字经济第二大市场，天然具备成立中立数据中心的条件。可以结合自贸区负面清单，通过打造国际数据自由港，一部分数据可以在国际上自由流动，推动更大范围的国际合作，有助于参与国际社会数据跨境流动规则的制定，建立发展与安全相协调的跨境数据流动规则体系。企业数据跨境合规与技术应用白皮书（2023）-43-附录：数据出境相关法律法规和国家标准附录：数据出境相关法律法规和国家标准序号序号文件名称文件名称发布机构发布机构施行时间施行时间一、法律一、法律1中华人民共和国网络安全法全国人大常委会2017 年 6 月 1 日2中华人民共和国数据安全法全国人大常委会2021 年 9 月 1 日3中华人民共和国个人信息保护法 全国人大常委会2021年11月1 日二、法规二、法规4关键信息基础设施安全保护条例 国务院2021 年 9 月 1 日三、部门规章三、部门规章5网络安全审查办法国家网信办等13 部门2022年2 月15 日6数据出境安全评估办法国家网信办2022 年 9 月 1 日7数据出境安全评估申报指南（第一版）国家网信办2022年8 月31 日8个人信息保护认证实施规则国家市场监管总局、国家网信办2022年11月4 日9个人信息出境标准合同办法国家网信办2023 年 6 月 1 日10个人信息出境标准合同备案指南（第一版）国家网信办2023年5 月30 日11规范和促进数据跨境流动规定（征求意见稿）国家网信办征求意见稿四、国家标准四、国家标准企业数据跨境合规与技术应用白皮书（2023）-44-12GB/T 37988-2019 信息安全技术数据安全能力成熟度模型TC2602020 年 3 月 1 日13GB/T 35273-2020 信息安全技术个人信息安全规范TC2602020年10月1日14GB/T 39335-2020 信息安全技术个人信息安全影响评估指南TC2602021 年 6 月 1 日15TC260-PG-20222A网络安全标准实践指南-个人信息跨境处理活动安全认证规范 V2.0TC2602022 年 12 日 16日16GB/T 41817-2022 信息安全技术个人信息安全工程指南TC2602023 年 5 月 1 日17GB/T 42574-2023 信息安全技术个人信息处理中告知和同意的实施指南TC2602023年12月1日1820230255-T-469信息安全技术个人信息跨境传输认证要求TC260征求意见稿企业数据跨境合规与技术应用白皮书（2023）-45-参考文献参考文献1 张 茉 楠.数 据 跨 境 流 动 新 规 的 风 向 标 意 义.EB/OLhttps:/ 余宗良,张璐.我国数据跨境流动规则探析基于粤港澳大湾区先行先试J.开放导报,2023(02):86-93.3 世界银行，World Development Report2021_Data for Better LivesR,2020.4 刘如,周京艳.我国数字经济外循环面临的跨境数据流动政策问题与对策J.科技中国,2021,(04):53-56.5 斑马数据合规研究中心.数据跨境现状调查与分析报告R,2023.6 德勤,中兴.数据跨境合规治理实践白皮书R,2021.7 郭春镇,候天赐.个人信息跨境流动的界定困境及其判定框架J.中国法律评论,2022,(06):86-106.8 吴丹君,周天一.网络安全法系列解读之（二）数据跨境转移合规.EB/OLhttp:/ 丁伟,倪诗颖.数字贸易视野下我国跨境数据监管的发展困境及合作治理J.北京邮电大学学报(社会科学版),2023,25(01):67-76.10 王 伟 玲.数 据 跨 境 流 动 系 统 性 风 险:成 因、发 展 与 监 管 J.国 际 贸易,2022,(07):72-77.企业数据跨境合规与技术应用白皮书（2023）-46-11 肖 雄.国 际 贸 易 体 制 下 数 据 跨 境 流 动 监 管 之 困 境 J.上 海 法 学 研究,2020,3(01):294-310.12 许力先，盛佳宇.国家安全视角下数据跨境流动管制面临的困境及其应对策略.EB/OLhttp:/ 孟凡新.双循环视角下提升数字平台治理水平的机制研究J.商业经济研究,2023,(06):105-109.14 马 其 家,刘 飞 虎.数 据 出 境 中 的 国 家 安 全 治 理 探 讨 J.理 论 探索,2022(02):105-113.15 孙珵珵.数据跨境流动监管与安全比较研究J.中国电子科学研究院学报,2023,18(01):91-96 102.16 陈思琦.智能网联汽车数据跨境流动的法律问题研究J.网络安全技术与应用,2023,(04):146-148.17 华为.NE5000EV800R022C00SPC500特性描述.EB/OLhttps:/ 何林,况鹏,王士诚等.基于“IPv6 ”的应用感知网络（APN6）J.电信科学,2020,36(08):36-42.19 熊光清,张素敏.总体国家安全观视角下我国数据出境安全管理制度的完善J.哈尔滨工业大学学报(社会科学版),2023,25(05):32-40.企业数据跨境合规与技术应用白皮书（2023）-47-战略决策的参谋者技术发展的引领者产业发展的助推者战略决策的参谋者技术发展的引领者产业发展的助推者态度、速度、气度有情怀、有格局、有担当中国联通研究院是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院致力于提高核心竞争力和增强核心功能，紧密围绕联网通信、算网数智两大类主业，按照 4 2 X 研发布局，开展面向 C3 网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国建设，大力发展战略性新兴产业，加快形成新质生产力。联通研究院现有员工 700 余人，85%以上为硕士、博士研究生，以“三度三有”上海品茶为根基，发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。中国联合网络通信有限公司研究院地址：北京市亦庄经济技术开发区北环东路 1 号电话：邮编：100176声明：本白皮书仅作为数据跨境安全流动研究的参考性资料。所有陈述、信息和建议不构成任何明示或暗示的担保。企业在参考本指引处理数据跨境具体事项或问题时，应当立足实际业务模式进行审慎研判分析，并视需要征求法律专业意见，确保解决方案合法合规、准确可行。

0人已浏览 2023-11-30 52页 5星级

1软件供应链安全治理实践指南白皮书（2023）软件供应链安全治理实践指南白皮书（2023）中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月版权声明版权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。软件供应链安全治理实践指南白皮书（2023）1目 录目 录前 言.3一、软件供应链安全概述.51.1 软件供应链安全概念.51.2 软件供应链主要安全事件.61.3 国内外政策法规及标准.13二、软件供应链安全面临严峻挑战.202.1 开源代码风险不断增加.202.2 API 风险日益突出.222.3 威胁暴露面持续增多.252.4 软件安全治理困难.262.5 APT 攻击更加复杂.272.6 云安全进入下半场.28三、软件供应链安全治理.293.1 软件供应链安全框架.293.1.1SLSAv1.0 框架.293.1.2SSDF 框架.313.2 软件供应链安全治理理念.323.2.1 理念一：可展示软件成分.32软件供应链安全治理实践指南白皮书（2023）23.2.1 理念二：可评估软件供应链过程.353.2.3 理念三：可信任软件供应链.373.2.4 理念四：可持续运营与管理.383.3 软件供应链安全治理体系.393.3.1 安全管理.403.3.2 基础安全原子能力.423.3.3 持续监控与运营能力.62四、软件供应链安全治理实践.774.1DevSecOps 实践.774.2 源软件安全治理实践.80五、未来展望.845.1SBOM 能力日渐成熟.845.2 软件供应链安全治理新模式形成.845.3 供应链的安全风险态势重要性凸显.85附录A 缩略语.86附录B 参考文献.88软件供应链安全治理实践指南白皮书（2023）3前 言前 言软件作为新一代信息技术的灵魂，在人类社会的数字化进程中发挥着重要的基础支撑作用，如今已经成为了驱动云计算、大数据、人工智能、5G、区块链、工业互联网等新一代信息技术迭代创新的重要力量，正在全面推动着经济社会数字化、网络化、智能化的转型升级。随着软件产业的快速发展，开放、平等、协作、共享的开源模式成为了全球软件技术和产业创新的主导模式，基础软件、工业软件、新兴平台软件、应用软件等共同构成了企业信息系统中庞大的软件体系，而开源软件或组件已经成为了这些软件的主要基础。因此，开源软件的风险和软件供应链的安全风险已经严重威胁到企业的软件安全。面对如今庞大复杂的软件体系和频发的软件供应链安全事件，开展面向供应链的软件安全治理，建立完善的软件供应链安全能力体系，已经成为国内外企业所关注的焦点。软件供应链生命周期长、环节复杂、暴露面多，上中下游任何一个薄弱点都有可能被攻击者利用，进而发起对整个软件系统的攻击，而软件供应链相关的工作机制和流程规范的缺乏、软件供应商安全管控的不足、开源组件漏洞修复的困难、软件供应链安全能力建设的不完善以及软件供应链安全态势持续监控的滞后，都导致如今软件供应链的安全形式更加严峻。因此，开展软件供应链的安全治理，需要在遵从国家法律法规政策的基础上，构建从顶层软件供应链安全规范制度到底层基础安全能力全面覆盖，以软件供应链安全治理实践指南白皮书（2023）4及软件供应链安全态势持续监控的综合治理体系，更全面的保障软件安全。本白皮书立足于国际国内的软件供应链安全发展现状，面向企业软件供应链安全治理存在的需求，提出软件供应链安全治理体系，为企业软件供应链安全能力建设提供指引，助力企业的安全数字化转型。本白皮书的目标读者包括但不限于移动运营商、通信设备提供商、安全产品提供商、安全服务提供商、系统集成商，以及其他关心软件供应链安全的相关机构和个人。编写单位：编写单位：中国联合网络通信有限公司研究院、中国联通福建省分公司、联通在线信息科技有限公司、联通软件研究院、杭州孝道科技有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术股份有限公司专家顾问：专家顾问：叶晓煜、徐雷、张曼君、傅瑜、葛然、张小梅、徐积森、滕开清、张文、周映编写成员编写成员：郭新海、王戈、刘安、侯捷、蓝鑫冲、丁攀、苏俐竹、牛金乐、谢泽铖、陆勰、侯捷、王翠翠、姚戈、程筱彪、王姗姗、王蕴实、贾宝军、陶冶、侯乐、刘伟、徐锋、冯烨璐、朱雅汶、王玮琪、杨廷锋软件供应链安全治理实践指南白皮书（2023）5一、软件供应链安全概述一、软件供应链安全概述目前，世界各国的数字化进程都在不断加速推进，以大数据、云计算、人工智能、工业互联网、5G 通信网络、区块链和量子计算等为代表的新信息技术迅速发展，使数字经济成为了推动我国经济高质量发展的重要引擎，数据成为数字经济的基础性资源和生产要素，而软件应用系统作为承载业务数据的重要载体，在数字经济高质量发展的过程中发挥着重要的基础支撑作用。当前，软件产业快速发展，软件体系复杂多元，软件安全问题日益突出，软件供应链安全问题因其复杂性、隐蔽性和不可预见性等特点，已经严重威胁着企业的网络安全、信息安全和数据安全，并成为了世界各国数字化发展进程中关注的焦点。1.1 软件供应链安全概念1.1 软件供应链安全概念在数字化时代，数字化软件应用成为了人们生产和生活的基本要素，作为信息技术关键载体和产业融合的关键纽带驱动着数字化产业的快速发展。因此，在加快推进软件发展的同时，有效保证软件供应链的安全，才能使软件更好的赋能生产和生活，为数字经济的发展打下更夯实的基础。如今，软件应用的开发模式已经从原来的迭代开发转变为敏捷开发，特别是开源时代的到来，重塑了软件发展生态，改变了软件的开发模式，平等、开放、协作、共享的开源模式，正在加速着软件的迭代升级，并且成为了全球软件技术和产业创新的主导模式。据Gartner 的调查显示，99%的组织在其信息系统中使用了开源组件，软件供应链安全治理实践指南白皮书（2023）6开源软件和组件成为了现在软件的主要组成部分。开源的使用和软件来源的多样化都使得软件供应链安全问题日益突出，要有效的解决软件供应链所面临的安全问题，需要首先明确软件供应链安全的概念和定义。GB/T 36637-2018 信息安全技术 ICT 供应链安全风险管理指南 中指出 ICT 供应链是指为满足供应关系通过资源和过程将需方、供方相互连接的网链结构，可用于将 ICT 的产品和服务提供给需方；在编的国家标准信息安全技术 软件供应链安全要求中指出软件供应链是指基于供应关系，通过资源和过程将软件产品或服务从供方传递给需方的网链系统。因此，从软件供应链的角度出发，软件供应链安全和软件供应链攻击的概念可以概括如下：软件供应链安全软件供应链安全：指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全，以及软件交付渠道及使用过程中安全的总和。软件供应链攻击：软件供应链攻击：指以开发人员和供应商为直接目标的一种特定威胁，攻击者通过感染合法应用、分发恶意软件、访问源代码、构建过程和更新机制，从而达到对软件进行攻击的目的。1.2 软件供应链主要安全事件1.2 软件供应链主要安全事件近年来，攻击者利用软件供应链进行攻击的事件频发，据Sonatype 今年发布的8th Annual State of the Software SupplyChain显示，从 2019 年到 2022 年，软件供应链攻击事件呈现出软件供应链安全治理实践指南白皮书（2023）7高发态势，三年间安全事件的年平均增长率达到了 742%，并且依赖混淆、域名仿冒和恶意代码注入等攻击手段，仍然是软件供应链面临的严重威胁。由此可见，软件供应链出现安全问题极有可能对国家重要基础设施和信息系统造成极大的威胁。因此，保障软件供应链安全可靠，对于整个软件生态系统的安全至关重要。图 1 软件供应链攻击事件，2019-2022（来源于 Sonatype）2021 年 12 月，被称为“核弹级”的 Apache Log4j 漏洞爆发后迅速受到安全界的广泛关注，该漏洞引起了攻防双方的激烈博弈，也使得软件供应链安全更加备受重视。通过分析此事件，我们积累了丰富的软件供应链安全事件处理经验，例如，软件代码安全不仅仅需要关注软件的直接依赖也需要关注间接依赖，依赖项的安全对于软件整体的安全至关重要，明晰所有使用脆弱性组件的软件是必要的等。软件供应链安全治理实践指南白皮书（2023）8因此，为了从已经发生的安全事件中吸取教训和积累经验，本白皮书介绍了近年来发生的典型软件供应链安全事件，见表 1。表 1 近年来典型软件供应链安全事件序号序号时间时间关键词关键词事件描述事件描述影响影响1.2023 年 3月OpenAI 数据泄露由于 Redis 开源库中的一个错误导致 ChatGPT 服务中暴露了其他用户的个人信息和聊天标题。至 少 导 致 1.2%的ChatGPT Plus 用户的个人信息和其他用户的聊天查询被泄露。2.2023 年 2月PyPI 仓库被持续投毒Python 软件包索引（PyPI）中存在多个流氓软件包，通过这些软件包攻击者能够投 放 恶 意 软 件、删 除netstat工具以及操作SSHauthorized_keys 文件等。软件包被删除之前被下载超过 450 余次。3.2022 年 6月PyPI 仓库遭遇投毒PyPI 官方仓库被攻击者上传了agoric-sdk、datashare、datadog-agent 等 150 个恶意钓鱼包。上传后仅 6 个小时就有 225 次的下载。软件供应链安全治理实践指南白皮书（2023）94.2022 年 4月政治制裁俄乌战争期间，GitHub 官方根据美国政府提出的出口管制和贸易法规要求，针对俄罗斯GitHub用户开始无差别封禁账号，包括俄罗斯银行 Sberbank、俄罗斯最 大 的 私 人 银 行Alfa-Bank 和其他公司账户。受制裁企业将无法再使用 GitHub 作为代码管理平台，同时企业与个人账号内容将被清除，所有repo 立 即 无 法 访问，issue 和 pullrequest 也将受限；俄罗斯可能将无法获得正式使用部分开源软件应有的支持和更新。5.2022 年 4月Spring4ShellSpring Framework 是 一个 开 源 应 用 框 架，自Spring Framework 远 程代码执行漏洞（CVE-2022-22965）在互联网小范围内公开后，其影响面迅速扩大，此漏洞成为了 2022 年上半年热度最大的漏洞，也是近几年来Spring 是一个非常流行的框架，60%的Java 开发人员依赖它来开发应用程序，由于此框架在 Java生态系统中处于主导地位，大量应用程序会受“Spring4shell”零软件供应链安全治理实践指南白皮书（2023）10最严重的网络安全威胁之一。日漏洞的影响。6.2022 年 3月Node-ipc 投毒node-ipc 是使用广泛的npm 开源组件，其作者出于其个人政治立场在该项目的代码仓库中进行投毒，在代码中加入了针对俄罗斯和白俄罗斯IP用户删除、覆盖磁盘文件的恶意代码，通过 peacenotwar 组件在用户桌面添加防止反战标语。Unity Hub、vue-cli等应用广泛的第三方软件受到该事件影响。7.2022 年 1月NodeJS 依赖包 faker 和color 投毒faker.js 是用于生成伪造数据 的JavaScript库，colors.js 是为前端开发者提供的一个简单的颜色管理 API。本次事件两个包的作者向两个包中提交了恶意代码，进行了供应链投毒后将其发布到了 Github 和npm 包管理器中。使用了 colors.js 和faker.js 的 包 的 项目，直接引用和间接引用都会受到影响。软件供应链安全治理实践指南白皮书（2023）118.2021 年12 月Log4j2 漏洞Apache Log4j2 是一个开源基础日志库，是对 Log4j组件的升级，被广泛用于开发、测试和生产。该开源项目支持属性查找，并能够将各种属性替换到日志中。用户可以通过 JNDI 检索变量，但是由于未对查询地址做好过滤，存在 JNDI 注入漏洞。Log4j2 应用极其广泛，影响范围极大，同时随着供应链环节增多、软件结构愈加复杂，上述漏洞也更加难以发现、修复（尤其是间接使用到该组件的项目）。9.2021 年10 月ua-parser-js投毒攻击ua-parser-js 作为一个周下载量超过 700 万的 npm包，被攻击者投毒，攻击者发布了三个新版本，每个版本都包含了安装时会触发下载远程恶意脚本的代码。在 Node.js 生态中这个包被近1000个其他第三方包依赖，造成的影响极其广泛。10.2020 年12 月软件供应商被攻击SolarWinds 遭遇国家级APT 团伙的供应链攻击，对美国各个行业的大量客户产生了严重影响。造成大量数据泄露，包括机密资料、源代码以及电子邮件等。美国政府、国防承包商、金融机构和其他软件供应链安全治理实践指南白皮书（2023）12许多组织都受到了影响。通过总结近年来发生的软件供应链安全事件，可以发现，软件供应链攻击呈现出攻击方式多样、攻击面广、影响范围大、隐蔽性强、攻击不可预见等特点，被攻击者覆盖了供应商、使用者、开发者等多个软件参与方，攻击方式包括投毒、依赖混淆、恶意代码注入、制裁、断供、停服等。因此，为了更明晰地掌握软件供应链攻击，本文将攻击的主要方式和目标进行了总结，见表 2。表 2 面向供应方和需求方的攻击技术和攻击目标需求方需求方供应方供应方攻击技术攻击技术目标目标攻击技术攻击技术目标目标信任关系滥用钓鱼恶意软件感染物理攻击或修改伪冒信任关系滥用钓鱼恶意软件感染物理攻击或修改伪冒数据个人数据知识产权软件进程带宽财务相关人员恶意软件感染社会工程攻击爆破攻击漏洞利用配置缺陷利用开源情报预置软件软件仓库源代码配置文件数据进程供应方相关人员软件供应链安全治理实践指南白皮书（2023）131.3 国内外政策法规及标准1.3 国内外政策法规及标准软件供应链安全事件数量的激增，危害性越来越严重，为了有效应对软件供应安全事件，国内外都相继开始了软件供应链安全法律法规、标准政策和技术能力的研究与制定工作。在软件供应链安全方面，美欧等发达国家和地区在信息技术供应链安全领域的起步较早，出台了大量的政策法规和标准，用于加强供应链安全管理。我国近年来也不断出台相关法律法规，逐步完善供应链安全管理工作。表 3 国内外的法律法规序号序号国家国家时间时间法律法规法律法规1.美国2023 年美国发布2023 年国家网络安全战略，指出美国行政管理和预算局（OMB）将与美国网络安全和基础设施安全局（CISA）协调制定行动计划，通过集体防御、扩大集中式共享服务的可用性和软件供应链风险缓解来保护FCEB系统。2.2022 年美国网络安全和基础设施安全局（CISA）主导成立的 ICT 供应链风险管控工作组制定了2022 年的工作计划，工作组计划将软硬件物料清单以及加大对中小企业的影响力作为其供应链风险治理的重点。3.2021 年美国相继发布关于改善国家网络安全的软件供应链安全治理实践指南白皮书（2023）1414027 号总统行政令，明确要求美国联邦政府加强软件供应链安全管控；14017 号 确保美国供应链安全行政令，要求对包括半导体芯片在内的 ICT 产品开展供应链风险审查，以建立更具韧性、安全可靠的美国供应链。4.2019 年美国特朗普政府签署了名为确保信息和通信技术及服务供应链安全的行政令，宣布美国进入受信息威胁的国家紧急状态，禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的 ICT技术设备和服务。5.2018 年美国国会通过了安全技术法案，联邦采购供应链安全法案 2018作为该法案的第二部分一并签发。联邦采购供应链安全法案2018创建了一个新的联邦采购供应链安全理事会并授予其广泛权利，为联邦供应链安全制定规则，以增强联邦采购和采购规则的网络安全弹性。6.2014 年美国国会提议了网络供应链管理和透明度法案，意在确保为美国政府开发或购买的使用第三方或开源组件以及用于其他目的的任何软件供应链安全治理实践指南白皮书（2023）15软件、固件或产品的完整性。7.欧盟2022 年欧盟发布了题为网络弹性法案（CyberResilience Act）的草案，旨在为联网设备制定通用网络安全标准。法案要求所有出口欧洲的数字化产品都必须提供安全保障、软件物料清单 SBOM、漏洞报告机制，以及提供安全补丁和更新。8.2021 年欧盟网络和信息安全局（ENISA）发布了供应链攻击威胁全景图，该报告旨在描绘并研究从 2020 年 1 月至 2021 年 7 月初发现的供应链攻击活动。该报告通过分类系统对供应链攻击进行分类，以系统化方式更好地进行分析，并说明了各类攻击的展现方式。9.2019 年欧盟外国直接投资审查条例生效。该条例指出，欧盟有权对参与 5G 网络等关键基础设施投资的外商进行审查和定期监控，以保障5G 网络等关键基础设施的安全性，同时避免关键资产对外商的过度依赖。这也是欧盟保障5G 供应链安全的有效工具。10.2015 年欧盟网络和信息安全局（ENISA）发布供应链完整性：ICT 供应链风险和挑战概述和未来软件供应链安全治理实践指南白皮书（2023）16愿景报告，建议建立统一的 ICT 供应链安全风险评估框架来开展 ICT 供应链安全评估工作。11.2013 年欧盟颁布欧盟网络安全战略，要求采取措施确保用于关键服务和基础设施的硬件和软件值得信赖和安全可靠。12.2012 年欧盟网络和信息安全局（ENISA）发布了供应链完整性 ICT 供应链风险和挑战概览，以及未来的愿景报告，并于 2015 年更新。13.中国2021 年7 月 30 日正式公布的关键信息基础设施安全保护条例第十九条明确指出：运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。14.2020 年网络安全审查办法明确提出，为了确保关键信息基础设施供应链安全，维护国家安全，对关键信息基础设施运营者采购的网络产品和服务，影响或可能影响国家安全的应该进行网络安全审查。15.2017 年中华人民共和国网络安全法第三十五条“关键信息基础设施的运营者采购网络产品软件供应链安全治理实践指南白皮书（2023）17和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”和第三十六条“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任”，分别从网络安全审查、网络产品和服务安全角度对供应链安全提出要求。表 4 国内外相关标准序号序号国家国家标准编号标准编号名称名称1.国际ISO/IEC27036:2014信息技术 安全技术 供应商关系的信息安全系列标准2.ISO/IEC 20243信息技术 开放可信技术提供商标准减少恶意和仿冒组件系列标准3.ISO 28000供应链安全管理体系规范4.美国NIST SP 800-161联邦信息系统和组织的供应链风险管理实践5.-安全软件开发框架6.-关键软件定义7.-网络供应链风险管理(C-SCRM)框架软件供应链安全治理实践指南白皮书（2023）188.-面向供应商的软件供应链安全实践指南9.-面向开发者的软件供应链安全实践指南10.-面向客户的软件供应链安全实践指南11.NIST.IR.8397开发者软件验证最低标准指南12.中国GB/T 39204-2022信息安全技术 关键信息基础设施安全保护要求13.GB/T 36637-2018ICT 供应链安全风险管理指南14.GB/T 32921-2016信息安全技术 信息技术产品供应方行为安全准则15.GB/T 32926-2016信息安全技术 政府部门信息技术外包信息安全管理规范16.GB/T 31168-2014信息安全技术 云计算服务安全能力要求17.在研信息安全技术 软件供应链安全要求18.在研信息安全技术 软件产品开源代码安全评价方法19.在研信息安全技术 关键信息基础设施信软件供应链安全治理实践指南白皮书（2023）19息技术产品供应链安全要求20.在研软件供应链安全能力成熟度参考模型21.在研软件物料清单（SBOM）构建总体框架22.在研面向云计算的可信研发运营安全能力成熟度模型23.在研研发运营安全技术总体框架24.在研面向云计算的研发运营安全工具体系 第 1 部分：总体框架25.在研面向云计算的研发运营安全工具体系 第 2 部分：静态应用程序安全测试工具能力要求26.在研面向云计算的研发运营安全工具体系 第 3 部分：交互式应用程序安全测试工具能力要求27.在研面向云计算的研发运营安全工具能力要求 第 4 部分：实时应用程序自我保护工具软件供应链安全治理实践指南白皮书（2023）20二、软件供应链安全面临严峻挑战二、软件供应链安全面临严峻挑战如前所述，软件供应链是涉及软件产品或服务从供方传递给需方全过程的完整网链系统，整个网链系统均面临着安全风险，攻击者只需要对网链系统的任一环节攻击成功，即有可能造成严重的危害。另外，随着数字化进程的推进，开源共享和业务上云成为主流，软件所面临的安全风险和挑战相比以往更加严峻。2.1 开源代码风险不断增加2.1 开源代码风险不断增加开源代码已经成为现代软件开发的基本原料，开源代码的使用大大提高了开发人员软件开发的效率，使得敏捷开发、快速交付成为可能，但是由于开发人员直接使用开源代码，对开其安全性并不了解，使得开源代码的风险严重威胁着整体软件系统的安全。如今，开源代码被投毒的事件越来越多，开源代码的风险已经成为了软件所面临的主要风险之一。据 Sonatype 发布的8th Annual State of the SoftwareSupply Chain显示，开源软件供应数量和下载量持续以惊人的速度增长，整体可用量的扩大加上消费的增长意味着威胁在影响范围和数量上也在持续扩大，具体增长情况见表 5 和图 2。表 5 2022 年开源项目统计数据语言语言开源项目数开源项目数项目版本数项目版本数2022 年下载量2022 年下载量同比项目增长同比项目增长同比下载量增长同比下载量增长平均发版量平均发版量JavaJava49.2 万950 万6750 亿146软件供应链安全治理实践指南白皮书（2023）21（maven）（maven）JavaScript（npm）JavaScript（npm）206 万2900 万2.1 万亿92Python（PyPI）Python（PyPI）39.6 万370 万1790 亿18%9.NET（NuGet）.NET（NuGet）32.1 万470 万960 亿-5#总计/平均总计/平均约 327 万约4700万3 万亿93图 2 2018-2022 年下载量伴随着开源代码使用率的暴增，开源代码的风险也大幅度增加，据 Synopsys 发布的2023 年开源软件安全与风险报告显示，今年分析的 1703 个代码仓库中，有 96%包含开源代码，而 84%的软件代码库中至少存在 1 个已知的开源漏洞，这一数据较 2022 年上涨软件供应链安全治理实践指南白皮书（2023）22了 4%，其中不乏航空航天、大数据、IoT 等关键领域与技术信息敏感行业使用了存在漏洞风险的开源代码。自 2018 年以来，高风险漏洞在营销科技领域至少增加了 42%，在零售和电子商务领域更是猛增 557%。具体的按行业划分的开源和高风险漏洞情况见图 3。图 3 2018-2023 按行业划分的开源和高风险漏洞变化情况由此可见，开源代码的风险已经成了软件供应链安全面临的主要威胁之一。2.2 API 风险日益突出2.2 API 风险日益突出随着软件应用系统逐渐由单一架构转变为低耦合、高内聚的服务网格架构，API 作为驱动开放共享的核心能力，已经广泛用于软件应用系统之间的交互。数字化进程的不断加快，也使得 API 的数量高速软件供应链安全治理实践指南白皮书（2023）23增长，由于不安全的 API 会暴露应用程序逻辑或敏感数据，因此 API越来越成为攻击者青睐的目标。据 Salt Security 发布的State ofAPI Security Q1 2023报告显示，在 2022 年 12 月份就发生了4845 起攻击者依托 API 发起的攻击事件，相比于过去的几个月增加了 400%，并且目前攻击者开始将目标逐渐转向内部 API 和已授权的API。为了掌握 API 所面临的主要风险，OWASP 组织对 API 所面临的主要风险进行了梳理，并发布了第一版OWASP API 安全TOP10，这些风险都对软件应用的安全性造成了严重的威胁，详细的风险说明见下表。表 6 OWASP API 安全 TOP10风险类别风险类别详细描述详细描述API1:2019-失效的对象级别授权API1:2019-失效的对象级别授权API 倾向于公开处理对象标识符的端点，从而产生广泛的攻击表层访问控制问题。在使用用户输入访问数据源的每个函数中，都应考虑对象级授权检查。API2:2019-失效的用户身份验证API2:2019-失效的用户身份验证身份验证机制的实现不正确，使得攻击者能够破坏身份验证令牌或利用漏洞临时或永久地盗用其他用户的身份，破坏系统识别客户端/用户的能力，损害 API 的整体安全性。API3:2019-过度的数据暴露API3:2019-过度的数据暴露开发人员倾向于公开所有对象属性而不考虑其各自的敏感度，依赖客户端在向用户显示数据前执行数据筛选。软件供应链安全治理实践指南白皮书（2023）24API4:2019-资源缺乏和速率限制API4:2019-资源缺乏和速率限制API 通常不会对客户端/用户可以请求的资源的大小或数量施加任何限制，这不仅会影响 API 服务器的性能，导致拒绝服务（DoS），而且还会为诸如暴力破解等身份验证缺陷提供便利。API5:2019-失效的功能级授权API5:2019-失效的功能级授权具有不同层次结构、组和角色的复杂访问控制策略，以及管理功能和常规功能之间不明确的分离，往往会导致授权漏洞。通过利用这些漏洞，攻击者可以访问其他用户的资源或管理功能。API6:2019-批量分配API6:2019-批量分配将客户端提供的数据（例如 JSON）绑定到数据模型，而无需基于白名单进行适当的属性筛选，通常会导致批量分配。无论是猜测对象属性、探索其他 API 端点、阅读文档或在请求负载中提供其他对象属性，攻击者都可以修改它们不被允许修改的对象属性。API7:2019-安全配置错误API7:2019-安全配置错误安全错误配置通常是由于不安全的默认配置、不完整或临时配置、开放云存储、配置错误的 HTTP 头、不必要的 HTTP 方法、允许跨域资源共享（CORS）和包含敏感信息的详细错误消息造成的。API8:2019-注入API8:2019-注入当不受信任的数据作为命令或查询的一部分发送给解释器时，就会出现注入缺陷，如 SQL 注入、NoSQL 注入、命令注入等。攻击者的恶意数据可诱使解释器在未经恰当授权的情况下执行非预期的命令或访问数据。软件供应链安全治理实践指南白皮书（2023）25API9:2019-资产管理不当API9:2019-资产管理不当与传统 Web 应用程序相比，API 倾向于公开更多的端点，这使得恰当的文档编制和更新变得非常重要。正确的主机和已部署的 API 版本清单对于缓解弃用的 API版本和公开的调试终端节点等问题也起着重要的作用。API10:2019-日志和监视不足API10:2019-日志和监视不足日志记录和监控不足，加上与事件响应的集成缺失或无效，使得攻击者可以进一步攻击系统。大多数违规研究表明，检测违规行为的时间超过 200 天，通常由外部方而不是内部程序或监控发现。由此可见，API 安全已经严重威胁到软件应用的安全性，构建安全的 API 和 API 安全检测与防护能力至关重要。2.3 威胁暴露面持续增多2.3 威胁暴露面持续增多云计算的发展和各类新型数字化技术的使用，使得软件信息系统的存在形态发生了显著变化，微服务、无服务、容器、API 等已经成为构建云应用的重要技术，新技术的应用使得企业的威胁暴露面持续增多，例如，应用程序和服务的安全漏洞、供应商的安全漏洞、企业自身的安全漏洞等，这些都给软件供应链安全带来了更大的挑战。2022 年，Gartner 提出持续威胁暴露面管理（ContinuousThreat Exposure Management,CTEM），预测到 2026 年，采用基于持续暴露面管理计划的企业遭受入侵的可能性将降低三倍，并给出了持续威胁暴露面管理的高级成熟度模型，指导企业实施持续威胁暴露面管理，从而最大限度的减少威胁暴露面，降低安全风险。软件供应链安全治理实践指南白皮书（2023）26图 4 持续威胁暴露面管理的高级成熟度模型2.4 软件安全治理困难2.4 软件安全治理困难目前，软件供应链攻击已经严重威胁到企业的安全，但是企业在对软件资产及供应链安全治理方面的能力建设仍然存在欠缺，软件安全治理所面临的主要安全问题可以总结为如下几个方面：缺乏成熟的软件安全管理体系，缺乏成熟的软件安全管理体系，企业面向软件供应链的软件安全管理体系还未制定完善，软件安全开发、软件安全测试以及开源组件的风险整改仍然缺乏指导；软件资产信息掌握不全面，软件资产信息掌握不全面，由于软件本身的复杂性，使得企业在掌握软件信息方面存在很大的困难，如何对存量软件资软件供应链安全治理实践指南白皮书（2023）27产和新增软件资产的信息进行有效采集，构建软件资产的全面画像需要重点解决；软件成分信息不透明，软件成分信息不透明，开源软件成为各行业信息系统的重要组成，对开源软件和开源组件进行识别和风险评估，才能使软件的成分和风险更加透明；漏洞识别不全且修复成本高，漏洞识别不全且修复成本高，由于软件的成分复杂，漏洞多样，有效地确定软件漏洞仍然存在挑战，另外，漏洞的修复大部分情况会要求进行软件升级，但是软件升级需要考虑兼容性和组件之间的依赖关系，由于不兼容而导致的软件无法修复的现象普遍存在。2.5 APT 攻击更加复杂2.5 APT 攻击更加复杂APT 攻击一直是我国面临的最严重的网络安全威胁之一，一些国家级的 APT 组织在其政府的支持下，持续对我国的军事、政府、金融、能源等高价值行业发起攻击，特别是近两年受到新冠疫情和地缘政治冲突的影响，APT 攻击相比以往更加复杂。据中国信息安全测评中心本年度发布的全球高级持续性威胁（APT）态势报告显示，我国面临的 APT 网络攻击威胁是全方位的，并且呈现出了攻击数量持续增加、攻击手段日益复杂、攻击目标弥散的特点。当前，漏洞利用成为了 APT 组织攻击的重要切入点，各 APT 组织不仅追求稳定、高效的漏洞利用技术，在漏洞的选择上更加追求易用性、时效性以及是否能获取目标控制权限的攻击能力。软件供应链安全治理实践指南白皮书（2023）28因此，零日漏洞、在野漏洞和供应链漏洞的利用日益增多。例如，2022年曝光的 Spring4Shell 漏洞、2021 年曝光的 Log4j 漏洞，均成为了网络安全事件的“策源地”，很多 APT 组织针对该漏洞进行定制化武器改造，并以此开展网络攻击。2.6 云安全进入下半场2.6 云安全进入下半场云计算经过多年的发展和应用，经历了云计算 1.0 虚机时代和云计算 2.0 原生时代。如今，随着 ChatGPT 的推出和应用，即将进入3.0 智能时代，新时代下云安全将重点围绕云原生安全、云应用安全和云数据安全开展，其中原生安全是基石、应用安全是核心、数据安全是目标。云原生架构中以容器、微服务、DevOps、持续交付和 Serverless为代表的技术大量使用，这些技术的使用，改变了云环境主流的基础设施形态，加快了业务响应和流转速度，有效缩短了交付周期，但是新技术的使用也极大增加了软件供应链的复杂性，云上业务系统的供应链安全也面临着严峻挑战。软件供应链安全治理实践指南白皮书（2023）29三、软件供应链安全治理三、软件供应链安全治理面对如今越来越复杂的软件供应链攻击以及企业在软件供应链安全治理中存在的困难，需要构建覆盖软件供应链全生命周期的安全治理体系，在软件全生命周期内加强安全治理水平，提升软件系统的安全运营和风险抵抗能力。3.1 软件供应链安全框架3.1 软件供应链安全框架软件供应链安全框架能够系统地、完整地为企业解决软件供应链安全问题提供指导。目前，针对软件供应链的安全框架主要有谷歌的SLSA。针对软件开发的框架主要有安全软件开发框架（NIST SSDF）、软件联盟安全软件框架（BSAFSS）、SAFECode 安全软件开发基本实践、软件保障成熟度模型（OWASP SAMM）等。本文将只对SLSA 和 SSDF 进行详细介绍，以为软件供应链的安全治理体系构建提供参考。3.1.1SLSAv1.0 框架3.1.1SLSAv1.0 框架为了解决软件供应链所带来的安全问题，谷歌提出了一种框架SLSA，该框架是一套可逐步采用的供应链安全指南，由行业共识制定，旨在提供软件供应链的透明度和安全性，同时，该框架为软件生产者和消费者提供了一套可遵循的标准，生产者可以遵循 SLSA 的指导方针使他们的软件供应链更安全，而消费者可以使用 SLSA 来决定软件供应链安全治理实践指南白皮书（2023）30是否信任软件包，组织通过遵循 SLSA 的指导，可以更好的确保其软件供应链的安全性和可靠性。2023 年 4 月，SLSAv1.0 发布，相比 SLSAv0.1 发生了很大的变化，该版本作为 SLSA 的第一个稳定版本，代表了广泛的共识，未来将不会发生重大变化。SLSAv0.1 版本包括 4 个不同级别的渐进软件安全级别，SLSA4是最高水平，SLSA1-3 提供较低级别的安全性保证，其中每个级别都包含了对源代码、构建、出处和通用四个方面的要求。SLSAv1.0大致对应之前版本的 SLSA 级别 1 到 3 的构建和出处要求，将 SLSA级别 4 以及源代码和通用要求推迟到未来的版本。目前 SLSAv1.0给出了构建轨道的安全等级和相关要求，见下表。表 7 SLSAv1.0 构建轨道安全级别及要求轨道/等级轨道/等级要求要求概述概述好处好处构建 L0构建 L0无无无构建 L1构建 L1出处存在包有出处，显示它是如何建造的，可用于防止发生。通过了解其精确的源版本和构建过程，使生产者和消费者更容易调试、修补、重建或分析软件；帮助组织创建软件清单。构建 L2构建 L2托管构建平台构建在托管平台上运行，由平台生成并签署出处。通过数字签名防止构建后的篡改；通过将构建限制为可以审计和加固的特定构建平台来减少攻击面。软件供应链安全治理实践指南白皮书（2023）31构建 L3构建 L3强化构建构建在提供强大防篡改保护的构建平台上运行。防止在构建过程中受到内部威胁、泄露的凭据和其他用户的篡改。目前的 SLSA 版本中仅包含构建轨道的安全级别要求和内容，关注着构建过程中的完整性，作为一个由行业共识决定的框架，在SLSA 未来的版本中将会逐渐覆盖其他部分轨道的内容，例如如何管理源代码，随着其不断的发展和完善，将会在企业的软件供应链安全治理中发挥出更重要的作用。3.1.2SSDF 框架3.1.2SSDF 框架安全软件开发框架(SSDF)是由 NIST 开发的一套指导方针，用于帮助组织实现安全软件开发实践。2022 年 2 月 NIST 发布SSDFv1.1 版本，它提供了一组最佳实践和建议，帮助组织预防、检测和修复软件漏洞，同时减少安全事件发生的可能性。SSDFv1.1 作为一组关于安全软件开发的实践，提供了四项核心原则，四项核心原则分别为：组织准备、保护软件、生产安全的软件和漏洞响应，四项核心原则及具体的实践内容如下：组织准备(Prepare the Organization，PO)：组织准备(Prepare the Organization，PO)：侧重于为安全的软件开发奠定基础，包括定义和交流软件安全需求、培训开发人员进行安全编码以及实现漏洞管理过程等实践。保护软件(Protect the Software，PS)：保护软件(Protect the Software，PS)：在开发过程中，保护软件免受威胁和漏洞的侵害，包括威胁建模、安全设计和安全编码技术等实践。软件供应链安全治理实践指南白皮书（2023）32 生产安全的软件(Produce Well-Secured Software，PW)：生产安全的软件(Produce Well-Secured Software，PW)：强调通过确保在软件开发生命周期(SDLC)中集成安全性来生产安全软件的重要性。实践包括执行安全性测试、代码审查和软件组合分析。响应漏洞(Respond to Vulnerabilities，RV)：响应漏洞(Respond to Vulnerabilities，RV)：强调对已识别的漏洞进行有效响应的必要性。它包括诸如脆弱性优先级、补救和与参与人员的协调等实践。SSDF 为组织提供了一套全面的、可操作的指导方针，通过使用SSDF 框架，企业可以确保他们的软件开发过程是安全的，并且他们生产的软件能够抵御潜在的威胁和漏洞，降低软件后续的漏洞修复成本。3.2 软件供应链安全治理理念3.2 软件供应链安全治理理念企业要实现对软件供应链的安全治理，构建完善的软件供应链安全治理体系，需要首先形成正确的软件供应链安全治理理念，将理念和技术相结合，打造完备的软件供应链安全治理体系。3.2.1 理念一：可展示软件成分3.2.1 理念一：可展示软件成分软件组成成分的清晰透明是企业进行有效软件供应链安全治理的先决条件，企业通过梳理软件的组成成分，输出软件的物料清单（SBOM），能够清晰地传递上下游间的软件信息，并向最终用户展示软件供应链的组成成分的情况。2021 年美国商务部发布软件物料清单的最小元素，目前美国的软件供应链安全治理实践指南白皮书（2023）33政府单位，如 NIST、CISA 都将 SBOM 确定为推动软件供应链风险管理的优先事项，并在多项政策、标准中将其作为方法基础。2023年 2 月，中国信息通信研究院发布软件物料清单实践指南，为企业的软件物料清单建立提供指导。然而在实际研发工作中，建立 SBOM也遇到了挑战，如“最小要素”在软件开发过程中是对应“具体的代码文件”，还是“功能模块”，该问题并不明晰。当粒度过细的时候，很多企业也担心过度暴露内部代码结构，无助于最终用户识别漏洞，发现安全风险。考虑企业可实际落地情况，可以将软件“最小要素”分为不同粒度的“软件成分”，并引入软件供应链成分透明程度的概念描述，透明程度越高的软件成分粒度越小。表 8 透明程度透明程度透明程度概念简述概念简述不透明不透明软件整体作为一个软件成分。微透明微透明直接依赖检测出的开源组件、第三方组件，组件基本信息完整，直接依赖关系正确。半透明半透明通过组件指纹识别出的开源组件、第三方组件，组件基本信息完整，直接依赖关系正确，包含必要组件扩展信息完整（如：核心组件的开源知识产权信息、关联漏洞信息）。透明透明通过代码片段识别出的开源组件、第三方组件，组件基本信息完整，直接依赖及间接依赖关系清晰，包含重要的组件扩展信息完整。基于透明程度，软件在不同透明程度下，都会构成一张软件成分软件供应链安全治理实践指南白皮书（2023）34信息集合组成的“软件成分清单”，清单包括组成软件的所有组件名称、组件的信息、组件之间的关系以及层级关系。每一个软件都将对应一个组成成分表，通过标准的数据格式存储、记录构成的基础信息，并根据这些存储的数据唯一地识别出这些软件中的组件，溯源组件的来源与维护状态。软件成分信息能够兼容 SBOM 标准，信息示例如下表：表 9 软件成分信息透明程度透明程度概念简述概念简述概念释义概念释义软件基本信息软件基本信息软件名称标识软件的实体名称。软件作者名称软件责任人或团体名称。软件供应商名称原始供应商名称。软件版本供应商用于标识软件修改的版本标识符。软件列表软件列表、软件包括开源许可证版权与开放标准、第三方授权信息等。时间戳记录软件基本信息生成的日期和时间。软件签名保证软件信息真实性、完整性。唯一标识用于标识软件或在软件成分清单数据库中查找的唯一标识符。软件间的关系软件间的关系包含关系如源代码与编译后二进制的包含关系，发布容器镜像与二进制的包含关系等。依赖关系包括代码显示依赖、包依赖、编译依赖、运行时依赖等。软件供应链安全治理实践指南白皮书（2023）35其他关系其他关联关系。软件扩展信息软件扩展信息软件知识产权信息包括开源许可证版权与开放标准、第三方授权信息等。关联漏洞信息漏洞信息，如对应 CVE、CNVD、CNNVD 等。其他信息其他相关信息。3.2.1 理念二：可评估软件供应链过程3.2.1 理念二：可评估软件供应链过程为应对软件供应链的威胁，识别软件供应链全生命周期各个阶段的安全风险，需要在供应链的生命周期的各阶段通过安全评估控制安全风险，削减供应链攻击带来的威胁。(1)软件开发测试安全可评估在软件开发的过程中，引入的漏洞不仅存在于开发人员自己编写的代码中，还存在于软件所依赖的开源组件、开发和构建工具中，因此企业可参考典型的软件开发框架如 SSDF、BSAFSS、SAMM、SAFECode 等来规范软件开发工作，确保软件的开发安全，并构建面向开发过程的安全评估能力。源代码漏洞可评估系统开发过程中，由于开发人员安全开发经验的缺乏以及缺少安全编码规范的指引，都会使安全编码阶段引入漏洞风险。为降低开发过程中源代码漏洞的产生，可制定安全编码规范用于指导开发人员进行安全编码以提升源代码安全质量，也可使用 SAST（Static Application Security Testing，通常指静态源代码安全审计工具）在开发 IDE 工具和持续集成过程中，对源代码进行安全扫软件供应链安全治理实践指南白皮书（2023）36描，或者使用 IAST（Interactive Application Security Testing，通常指交互式安全测试工具）在系统运行时通过污点分析检出源代码漏洞。开源组件安全漏洞可评估由于开发成本的优势，在项目中广泛使用开源组件已成为主流的开发方式，包括开发框架、功能组件等，在系统开发过程中，应确定软件代码的来源，严格控制引入的开源组件风险，将已知漏洞摒除于软件交付运行之前。开源组件安全评估能力由软件成分分析（SCA）提供，在代码构建时，通过 SCA 工具对项目的第三方组件依赖进行漏洞分析，由开发人员及时处理存在漏洞的组件。（2）软件交付过程安全可评估软件交付是指开发商将成品完成封装，交付给下游用户，它是下游企业引入供应链产品的起始点，作为供应商，除保证交付软件安全外，也应将软件成分清单一并交付给下游企业；供应链下游企业在获得供应商的软件组件成分清单和风险信息后，也可同步向其下游企业、最终用户提供，避免软件在交付和传播过程中所带来的知识产权合规风险和组件成分漏洞风险。（3）软件运营过程安全可评估供应链软件产品交付运行后，供应商应在产品的生命周期内提供安全保障服务，及时发现漏洞，确定漏洞的影响范围，并对产品漏洞软件供应链安全治理实践指南白皮书（2023）37及时上报和修复；最终用户也应根据供应商所提供的 SBOM 将供应链产品纳入企业资产管理，定期对资产进行安全评估，结合漏洞预警，对受影响的产品进行加固和修复。图 5 软件供应链安全评估3.2.3 理念三：可信任软件供应链3.2.3 理念三：可信任软件供应链软件供应链安全的复杂性之一在于多级上下游安全问题的堆叠，很难依靠企业自身力量完成整个链条的安全评估与把控，企业需要从软件供应链组成信息可信任、风险监控与与管理可信任、软件供应商可信任三个方面出发，联合供应商共同构建一个可信的软件供应链生态体系。（1）供应商应向企业提供可信任的软件供应链安全关键数据（1）供应商应向企业提供可信任的软件供应链安全关键数据软件产品最终用户的软件供应链安全依赖于上下游企业与这个产品相关的组件信息的集合。因此，需要制定一套可信任的机制，既能鼓励软件企业参与软件供应链治理的积极性，又能保证软件供应链基础信息的高质量，向最终用户提供可信任的用于软件供应链安全评软件供应链安全治理实践指南白皮书（2023）38估核心数据。（2）风险监控与管理（2）风险监控与管理企业需要监控软件产品及依赖的上游组件中是否存在高危组件、下游交付环节中使用软件公开基础平台（如云计算平台）或网络基础设施是否出现问题，同时要管控开源软件的使用，建立开源软件资产台账，持续监测和降低所使用开源软件的安全风险。（3）可信任的供应商（3）可信任的供应商对软件供应商的评估可以从可信需求分析与设计、可信开发、可信测试、可信交付、生命周期管理、开源及第三方管理、配置管理等不同维度进行。评估符合要求的供应商可认为是可信任的，具备良好的软件供应链安全风险管理、监控与验证能力。3.2.4 理念四：可持续运营与管理3.2.4 理念四：可持续运营与管理为了实现对软件供应链安全风险的常态化管理与监控，企业也需要完善供应链资产管理和安全检查，可借助知识图谱技术理清企业供应链依赖关系，打造企业自身的软件供应链安全态势感知能力，从而形成面向软件供应链常态化的管控能力。（1）建立软件资产台账（1）建立软件资产台账企业的软件类型多样，构成复杂，通过建立软件资产台账，能够从软件资产的角度梳理出软件组成信息、供应商信息等内容，在此基础上可以进一步结合已经具备的漏洞预警能力、多维度风险评估和展示能力，建立起对软件的持续监测能力，保证软件资产的安全监测与软件供应链安全治理实践指南白皮书（2023）39管理可持续。（2）开源组件风险持续性监测（2）开源组件风险持续性监测企业在引入软件的过程中，可要求企业提供软件物料清单，并对软件所使用的的开源组件进行风险检测，输出开源组件的风险检测报告，从而掌握软件初始情况下的开源组件风险信息，但是随着软件的持续使用和运行，软件的开源组件信息可能会随着企业的升级和漏洞修复等动作而变化，因此企业需要结合动态的开源组件风险检测手段，形成持续性的开源组件风险监测能力。（3）供应商安全风险评估与监控（3）供应商安全风险评估与监控在可信任供应商的基础上，为促进供应商服务的持续改进，保障软件供应链的安全和稳定，需要聚焦威胁防御、管理安全、开发安全、数据安全等方面，常态化的对供应商进行摸排，定期进行风险评估，发现安全风险并要求整改，防止因供应商被攻击所带来的安全问题。（4）API 风险管理（4）API 风险管理API 已经成为了软件运行阶段的重要依赖，因此在建立软件资产台账的同时结合 API 的安全防护能力，对应用系统的 API 进行持续性的风险监控和安全防护，可以有效弥补软件安全运行阶段安全防护能力不足的问题。3.3 软件供应链安全治理体系3.3 软件供应链安全治理体系如前所述，软件供应链作为一个覆盖主管机构、软件供应商、软件开发者、软件使用者等多级上下游企业的生态链条，其安全治理体软件供应链安全治理实践指南白皮书（2023）40系需要覆盖软件供应链的全生命周期，并以软件供应链安全框架为指引，遵循软件供应链安全治理理念，结合安全管理和安全技术，多方参与协同共治。图 6 软件供应链安全治理体系整体框架3.3.1 安全管理3.3.1 安全管理软件供应链安全覆盖整个软件生命周期的全过程，其复杂性决定软件供应链安全治理实践指南白皮书（2023）41了要实现软件供应链安全治理需要管理与技术的有效结合。软件供应链安全管理体系的建设，企业需要结合政策法规和标准规范，设置安全管理人员，制定相关的安全管理制度。软件供应链安全管理体系可分为四层架构，下层作为上层的支撑，上层为下层提供指引。如下图所示：图 7 软件供应链安全管理体系第一层，战略性文件，作为安全管理制度的总纲，提供安全管理战略导向，规定总方向和总目标，是整个体系的纲领性文件，是建立安全管理制度体系的基础。应明确软件供应链安全管理重点和目标，如制定软件供应链安全总体策略、软件开发安全策略、软件供应商管理策略等。第二层，管理制度，是软件供应链安全管理体系建设导向，为企业开展软件供应链安全管理活动提供指导，并明确应达到的安全成效，可定义承担采购、运维、研发职责部门以及外部企业的流程协作。应软件供应链安全治理实践指南白皮书（2023）42建立软件供应链安全管理、供应商安全管理、人员安全管理、知识产权管理、开源组件安全管理、第三方产品采购流程、开源组件引入流程等制度。第三层，规范，建立操作流程和规范性文件，是组织安全规范导向，可以规定具体怎么做。作为规范指导软件供应链安全策略落地的指南，如软件开发测试规范、软件供应链风险评估指南、供应商安全评估流程、应用业务系统分类指南、开发安全编码指南、软件资产分类分级指南、供应商账号申请和使用指南等。第四层，表单文件，是组织安全执行的导向，作为软件供应链安全落地时产生的相关执行文件，如 SBOM 清单、软件开发安全评估报告、供应商信息记录表、供应商服务级别协议模板、供应商安全保密模板、供应商准入核对表单、供应商信息变更记录表、开源软件风险评估报告、安全漏洞检测报告等。3.3.2 基础安全原子能力3.3.2 基础安全原子能力3.3.2.1 安全编码3.3.2.1 安全编码安全编码能够保证软件应用在开发阶段的安全性，通过安全编码能力建设，减少应用开发中漏洞的引入，提高开发人员安全编码水平，以治本的方式有效避免应用系统中的原生缺陷。安全编码主要应用于项目初期的开发阶段，也可用于测试、运营阶段的漏洞修复。安全编码能力主要包括安全编码规范、安全 SDK 库和编码漏洞靶场。（1）安全编码规范（1）安全编码规范软件供应链安全治理实践指南白皮书（2023）43以常见应用漏洞为出发点，涵盖 OWASP TOP10、CWE 以及国内外标准等涉及的常见漏洞，分析漏洞原理、安全编码方法、缺陷代码以及安全编码示例，形成安全编码规范，通过规范指导，使开发人员熟悉常见漏洞的安全编码方法和缺陷修复方法，避免常见漏洞的引入，使已存在的漏洞得到快速修复。（2）安全 SDK 库（2）安全 SDK 库安全 SDK 库提供安全函数接口，将安全编码规范指导内容进行编码落地。安全函数设计结合实际的漏洞场景，实现通用化。接口中屏蔽实现细节，通过简单易用的接口调用就可避免常见漏洞，提高安全编码效率，真正将安全编码规范落地到研发链条中。（3）编码漏洞靶场（3）编码漏洞靶场漏洞靶场中建设常见漏洞场景，通过靶场复现漏洞的触发和利用过程，使开发人员对漏洞产生的危害有直观的认识和理解，同时可通过靶场验证安全编码规范和安全 SDK 库中漏洞修复的有效性，形成覆盖安全编码、漏洞修复、效果验证在内的体系化 Web 应用安全编码能力。3.3.2.2 软件成分分析3.3.2.2 软件成分分析软件成分分析能够帮助企业对软件组成有更深度的了解，增加软件的透明度，不仅有助于应对日益增多的软件供应链攻击事件，还能帮助供应链中下游环节理解上游环节的意图、解决内部环境的冲突，使企业更好的把握软件结构。当前，软件成分分析技术能力主要包括软件供应链安全治理实践指南白皮书（2023）44软件物料清单（SBOM）和软件成分分析（SCA）。（1）软件物料清单 SBOM（1）软件物料清单 SBOMSBOM是软件成分信息的集合，记录软件产品或服务所使用组件、库、框架的清单，描述软件构建过程中使用的所有组件及其关系。如今，SBOM在国际国内广泛推广，可以看作软件成分清单的一种实现标准，根据美国国家电信和信息管理局（NTIA）提供的指导文档，要求软件企业提供的SBOM 是一个正式的、机器可读的列表，以实现软件供应链的自动化识别与管理的需求。通用SBOM 属性主要包括基线属性集、未确定的属性值、映射到现有的格式、组件关系以及附加元素，如下图所示。图8 SBOM属性信息理想条件下，供应链中每一环节都要求该环节的上游环节提供SBOM，同时该环节应提供 SBOM 给下游环节。SBOM 需要支持多层级的组件信息(例如操作系统、安装器、包、文件等)，SBOM 还需要根据组件的改变而更改(通过更新、补丁等达成)。当前 SBOM有三种最为主流的格式，分别为：SPDX、SWID 以及 CycloneDX，软件供应链安全治理实践指南白皮书（2023）45如下表所示。表 10 SBOM 主流格式说明CycloneDXCycloneDXSPDXSPDXSPDX LiteSPDX LiteSWIDSWID定义定义一种轻量级SBOM标准，设计用于应用程序安全上下文和供应链组件分析。一种标准语言，用于以多种文件格式传达与软件组件相关的组件、许可证、版权和安全信息。是 SPDX 的轻量级子集，适用于不需要完整 SPDX的情况。它旨在让那些没有开源许可知识或经验的人易于使用，并成为“某些行业中SPDX 标准和实际工作流程之间的平衡”。SWID 标准定义了一个生命周期，其中SWID 标签作为软件产品安装过程的一部分添加到端点，并在产品卸载过程中删除。维护者维护者核心团队由来自 OWASP、Sonatype 和ServiceNow的人领导。由Linux 基金会维护。由Linux 基金会维护。由NIST 维护。支持的格式支持的格式XML,JSON，ProtocolRDFa,xlsx,spdx,xml,json,yRDFa,xlsx,spdx,xml,json,yamlxml软件供应链安全治理实践指南白皮书（2023）46BUffersamlBOM 元数据（Metadata）BOM 元数据（Metadata）供应商，制作商，组件信息，证书信息，创建BOM的工具信息，外部API信息，依赖关系信息（依赖关系图）。SPDX文档创建信息，组件信息，文件信息（可能包含在包信息里），文件片段信息，证书信息，SPDX元素之间的关系，注释信息（例如：审查SPDX 文件的信息）。文档创建信息：文档创建信息：SPDX版本、数据许可、SPDX标识符、文档名称、SPDX文档命名空间、创建者；组件信息：组件信息：包名、包版本、包文件名、包下载位置、包主页、结束许可、声明许可、许可注释和版权文本。语料库标签：语料库标签：描述预安装阶段的软件（TAR、ZIP 文件、可执行文件）；主要标签：主要标签：提供产品名称、标签的全球唯一标识符以及标识标签创建者的基本信息；补丁标签：补丁标签：标识并描述应用于产品的补丁；补充标签补充标签：增加主要或补丁标签的附加细节。组件唯一标识支持组件唯一标识支持软件坐标Coordinates软件坐标Coordinates(group，PURLPURL（PackageURL）PURLPURL（PackageURL）CryptographicCryptographicCPECryptographic hashCPECryptographic hash软件供应链安全治理实践指南白皮书（2023）47name，version)PURLPURL（PackageURL）CPECPE（CommonPlatformEnumeration）SWIDSWID（ISO/IEC19770-2：2015）Cryptographic hashfunctionsCryptographic hashfunctions(SHA-1，SHA-2，SHA-3，BLAKE2b，Cryptographic hashfunctionsSPDXIDCryptographic hashfunctionsSPDXIDhash functionsSPDXIDhash functionsSPDXIDfunctionsSWIDfunctionsSWID软件供应链安全治理实践指南白皮书（2023）48BLAKE3)VEX（Vulnerability Exploitability Exchange，漏洞可利用性交流/交换）和 SaaSBOM 是软件成分清单的两个辅助套件，是“传统”SBOM 的延伸与扩展，可以视情况选择独立或者与 SBOM 整合。VEX 可以列出某一软件/组件某一版本中的漏洞，帮助用户获得这些漏洞的状态、信息，并借此评估这些漏洞的可利用性（辅助用户判断这些漏洞是否对软件有影响-不影响软件/已经修复/调查中/影响软件；以及如果受到影响，建议采取哪些补救措施）。部分情况下由于各种原因（例如，编译器未加载受影响的代码，或者软件中其他地方存在一些内联保护），导致上游组件中的漏洞不会被“利用”，此时可以对用户进行告知，节省用户调查的成本。SaaSBOM 创新性地将“软件即服务（SaaS）”的供应商也包含在内。CycloneDX 给出了更详细的信息：SaaSBOM 通过提供复杂系统的逻辑表示形式来补充 IaC（基础设施即代码），包括所有服务的清单、它们对其他服务的依赖、端点 URL、数据分类以及服务之间的数据定向流。可选地，SaaSBOM 还可能够包括构成每个服务的软件成分。目前，SBOM 可以通过两种方式获取：一是供应商主动提供软件成分清单；另一种是自行分析软件成分。供应商提供软件成分清单供应商提供软件成分清单软件供应链安全治理实践指南白皮书（2023）49供应商需要规范化构建软件成分清单，NTIA 提供了“SBOM 生成流水线”，软件开发商将 SBOM 生成与 DevOps 流程相融合，SBOM 跟随 DevOps 中的每一步，规范、高效且流程化地生成。在规划阶段将软件的设计、规划加入 SBOM 文档，如果采购的是第三方工具、插件、软件包等，需要提供第三方 SBOM 文档；在开发阶段包括初期编程开发以及后期补丁，需要利用 SCM（软件配置管理管理）、VCS（版本控制系统）、SCA（软件成分分析）、SAST（静态代码分析）等系统，将源码、生成文件以及补丁的信息录入 SBOM；在构建阶段需要将构建信息写入 SBOM 文档；在测试阶段，通过黑盒测试、交互式应用安全测试等方式，对软件进行签名认证后，将所用标准、证书写入 SBOM；在分发阶段应完善 SBOM信息，包括但不限于 NTIA 要求的最低标准信息（作者信息、提供商、产品名称、版本号、组件信息的哈希值以及 id）以及数字签名，开源软件还应在 SBOM 中声明许可证 license；部署阶段，添加条款、插件以及配置信息，在维护/监控阶段，将已知安全漏洞信息插入文档。自行分析软件成分自行分析软件成分自行分析生成软件成分清单，适用于供应商不能提供成分清单或者相关材料时，也可用于验证供应商提供的产品和软件成分信息。自行分析多采用SCA技术对软件源代码、二进制文件等进行分析，分析项目软件中开源组件信息、组件间的依赖关系、开源组件中存在软件供应链安全治理实践指南白皮书（2023）50的漏洞以及组件中存在的潜在的许可证风险，为SBOM提供软件的所有组件构成以及依赖关系、漏洞、许可证等关键信息。（2）软件成分分析（SCA）（2）软件成分分析（SCA）SCA是针对第三方开源软件（OSS）以及商业软件涉及的各种源码、模块、框架和库进行分析、清点和识别，分析其组件构成和依赖关系，识别出已知的安全漏洞或者潜在的许可证授权问题的技术。SCA技术分为静态检测和动态分析两种类型。静态检测是使用工具对目标工程文件进行分析，识别各个组件的关系；动态分析则是依赖于执行过程，在程序执行的同时收集必要的活动元数据信息，通过数据流跟踪的方式对目标组件的各个部分之间的关系进行标定。通过静态SCA可以精准识别应用引用的开源第三方组件，分析组件间直接依赖和间接依赖关系，多维度提取开源组件特征，计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。SCA分析过程可概括为源代码/二进制分析、特征提取和识别、漏洞检测。源代码/二进制分析从 SCA 分析的目标程序形式上分，对象可以是源代码也可以是编译出来的各种类型的二进制文件，对程序架构、编译方式、运行平台不敏感，是一种跨开发语言的应用程序分析技术。二进制分析格式如下：软件供应链安全治理实践指南白皮书（2023）51表 11 二进制分析格式二进制格式类型二进制格式类型详细详细纯二进制格式纯二进制格式C/C 编译后的二进制文件，Java 编译后的二进制文件.class，.NET 编译后的二进制文件，Go 语言编译后的二进制文件压缩包压缩包Gzip（.gz）、bzip2（.bz2）、ZAP（.zaip,.jar,.apk 和其他衍形式）、7-Zip（.7z）、TAR（.tar）、RAR（.rar）、ARJ（.arj）、XZ（.xz）、LZMA（.lz）、LZ4（.lz4）、Compress（.Z）、Pack200（.jar）安装包安装包Red Hat RPM（.rpm）、Debian package（.deb）、Mac instance（.dmg,.pkg）、Windows installers（.exe,.msi,.cab）固定格式固定格式Intel HEX、SREC、U-Boot、Android sparse file system、Cisio firmware文件系统/电子盘文件系统/电子盘ISO9660/UDF（.iso）、QEMUCopy-On-Write（.qcow2,.img）、VMware VMDK（.vmdk,.ova）、VirtualBoxVDI（.vdi）、Windows Imaging、ext2/3/4、JFFS2、UBIFS、RomFS、FessBSD UFS容器容器Docker Image 组件识别组件识别通常包括包管理解析和指纹识别两种技术。其中，包管理解析通过分析源代码中的包管理配置文件直接得到对应的软件组软件供应链安全治理实践指南白皮书（2023）52成，例如分析 requirements.txt（Python）、package.json（NPM）等；指纹识别则是将目标文件进行特征值计算，将计算到的特征值与组件特征数据库进行比较，匹配组件信息。漏洞检测将识别出的组件与组件漏洞库进行比对，发现组件中存在的漏洞、许可证授权风险，并提供解决方案，帮助用户修复问题。对于静态 SCA 分析过程中，有些组件在源码中被引用了但是实际上并未使用，为提高检测精确率，需要动态 SCA 进行动态检测。动态 SCA 主要是针对运行中的应用进行分析，依赖插桩技术原理，在用户进行功能测试和性能测试的同时，发现运行中相应组件的信息，由于检测的是实际加载到 Java 虚拟机中的组件，能够避免因引而未用所导致的误报，降低了误报率。但是在测试过程中，很难覆盖到应用中的每个开源组件，存在一定的漏报可能，在实际应用中，可以发挥动、静态检测各自的优点，两者结合使用。3.3.2.3 软件安全检测3.3.2.3 软件安全检测软件安全检测能力需要覆盖整个软件周期，是软件供应链安全治理实践的关键部分，通过对软件开展安全检测，能够高效、快速地检测出应用软件潜在的安全问题，帮助软件开发人员对相关的安全问题进行修复，从而提高应用软件的安全性和可靠性。目前，主要的安全检测技术主要有：静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互式应用安全测试(IAST)和模糊测试(FUZZ)，不同的软件供应链安全治理实践指南白皮书（2023）53检测技术在解决软件供应链特定阶段的安全问题中起到了重要作用，下表对不同的软件安全检测做了对比。表 12 安全检测技术能力对比分析对比项对比项SASTSASTDASTDASTIASTIASTFUZZFUZZ检测对象检测对象源代码运行中程序的数据流运行中程序的源代码、数据流运行中程序检测阶段检测阶段开发/测试/上线测试/运营测试/运营开发/测试误报率误报率高低极低（几乎为0）低测试覆盖度测试覆盖度高低中低检测速度检测速度随代码量呈指数增长随测试用例数量稳定增加实时检测随测试用例数量稳定增加漏洞检出率漏洞检出率高中较高中影响漏洞检出率因素影响漏洞检出率因素检测技术,缺陷规则测试用例覆盖度检测技术，缺陷规则测试用例质量，覆盖度使用成本使用成本高，需要人工排除误报低，基本没有误报低，基本没有误报低，基本没有误报支持语言支持语言区分语言不区分语言区分语言不区分语言侵入性侵入性低较高，脏数据低低CI/CD 集成CI/CD 集成支持不支持支持不支持软件供应链安全治理实践指南白皮书（2023）54（1）静态应用安全测试（SAST）（1）静态应用安全测试（SAST）开发环节是软件供应链的上游环节，在此阶段及早发现和修复安全问题非常必要，否则会将安全问题一直传递到下游环节。SAST 是开发环节对程序源码进行安全检测的技术，内置多种缺陷检测规则，采用词法、语法、控制、数据流等技术，挖掘程序源代码中的缺陷，降低后期成本，原理如下图所示。图 9 SAST 工作原理图检测缺陷一般分为三类：一是输入验证类，指程序没有对输入数据进行有效验证导致的缺陷；二是资源管理类，指因程序对内存、文件、流、密码等资源的管理或使用不当而导致的缺陷；三是代码质量类，指因代码编写不当引入的缺陷，例如代码初始化问题、空指针等。静态源码分析技术可以覆盖全量代码，但是误报和漏报问题比较突出，需要优化检测技术和规则降低误报和漏报。（2）动态应用安全检测（DAST）（2）动态应用安全检测（DAST）DAST 是一种黑盒测试方法，该方法在应用测试或运行时，通过软件供应链安全治理实践指南白皮书（2023）55模拟黑客攻击的方式对 Web 应用程序进行测试，评估应用程序在真实环境下的安全性，目前主流的DAST可以分为系统漏洞扫描和web漏洞扫描两种类型。系统漏洞扫描主要是对给定主机进行扫描，搜集主机信息，如操作系统类型、主机名、开放的端口、端口上运行的服务、运行的进程、路由表信息、开放的共享信息、MAC 地址等，在收集服务信息的基础上，然后对主机系统或服务进行漏洞检测。整个扫描过程可以简单归纳为：主机发现、端口发现、系统和服务识别和漏洞检测四个步骤，如下图所示。图 10 系统漏洞扫描流程Web 应用是对运行中的 Web 应用程序进行漏洞扫描，整个扫描过程可以简单归纳为页面爬取、探测点发现和漏洞检测三个阶段，如下图所示。软件供应链安全治理实践指南白皮书（2023）56图 11 Web 漏洞扫描流程（3）交互式应用安全检测（IAST）（3）交互式应用安全检测（IAST）IAST 将特定 Agent 插桩到应用程序中，从内部监控应用程序运行时的行为并分析，从而发现应用存在的漏洞。IAST 结合了 DAST和 SAST 的优势，通过 Agent 与程序代码深度集成，可直接获取到应用代码和应用运行时的数据，将漏洞定位到代码级，更加准确地检出潜在的安全漏洞。因为部署在服务的中间件里面，IAST 探针可以从中获取大量和软件应用系统相关的信息，主要包括代码、HTTP 流量、库和框架使用信息、应用程序状态、数据流（污点跟踪）、控制流、后端连接信息、配置文件信息等。IAST 可以在开发阶段及早发现源代码或 API 中存在的漏洞，也可以在运营阶段持续监测和阻止漏洞利用。（4）模糊测试（FUZZ）（4）模糊测试（FUZZ）模糊测试是一种评估软件健壮性和安全性的强大技术，其核心原理是将非预期的数据输入目标系统，查看目标系统是否发生故障，如崩溃、无限循环、资源泄漏或短缺、意外行为等，并提供故障原因及修复建议，以便用户进行修复。模糊测试一般分为三个阶段：测试用例生成、测试用例输入、测试结果，如下图所示。软件供应链安全治理实践指南白皮书（2023）57图 12 模糊测试流程模糊测试可用于在软件的开发和交付阶段，检测未知的漏洞。在开发阶段，可以对源代码进行模糊测试，在早期快速地定位和解决漏洞；在软件交付运行阶段，可用来验证软件的健壮性和可靠性。3.3.2.4 软件安全运营3.3.2.4 软件安全运营软件系统上线后，需要构建软件安全运营能力，持续发现安全问题以及进行安全防护，目前，比较有效和常用的软件安全运营能力包括运行时运行时应用自保护、Web 应用防火墙以及 API 安全防护等。（1）运行时应用自保护（RASP）（1）运行时应用自保护（RASP）RASP 将自身防御逻辑注入到应用程序的底层代码中，与应用程序融为一体，使应用程序具备自我保护能力，同时通过分析应用程序行为和上下文，对应用程序代码进行检测，保护实时运行的应用。目前市面上 Java 版的 RASP 应用居多，因此，本文重点介绍 JavaRASP 的相关内容。从 JDK1.5 开始，Java 新增了 Instrumentation（Java AgentAPI）和 JVMTI（JVM Tool Interface）功能，允许 JVM 在加载某个 class 文件之前对其字节码进行修改，同时也支持对已加载的软件供应链安全治理实践指南白皮书（2023）58class（类字节码）进行重新加载（Retransform）。RASP 正是利用了Instrumentation/JVMTI的API来实现动态修改Java类字节码并插入监控或检测代码。当 Web 应用接入 RASP 防御后，RASP 会在 Java 语言底层重要的 API（如：文件读写、命令执行等 API）中设置防御点（API Hook 方式），攻击者一旦发送 Web 攻击请求就会被 RASP 监控并拦截，从而有效地防御 Web 攻击。RASP 的防御原理如下图所示：图 13 RASP 防御原理图RASP 的防御能力是基于“行为”实现的，RASP 会根据 Hook点触发的攻击事件（如：文件读取事件、命令执行事件），调用对应软件供应链安全治理实践指南白皮书（2023）59的防御模块，而不需要像传统的 WAF 一样，一次性调用所有的防御模块，因此 RASP 在安全防护时能够有效的应对各类未知攻击行为，提升攻击防护的准确性。当前，随着 DevOps 变得越来越普遍，RASP 因其具备识别攻击快速且准确、能够定位安全漏洞风险代码、持续实时的监控和快速融入软件开发等特性，逐步被业内的安全防护实践方案采用。（2）Web 应用防火墙（WAF）（2）Web 应用防火墙（WAF）WAF（Web Application Firewall）能够对来自 Web 应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。当前，业内常见的 WAF 种类有软件型 WAF、硬件型 WAF、云 WAF 和网站系统内置的 WAF，主要功能包括审计功能、访问控制功能、网络管理、Web 攻击防护功能等。WAF 常见的部署方式有透明模式、反向代理模式和旁路模式，具体介绍如下表所示。表 13 WAF 的部署模式部署模式部署方式部署特点透明模式WAF 设备不改变上下行设备配置，直接部署在两台已运行的设备之间。在透明模式下无需对现有网络结构进行调整，可做到即插即用。快速，简便，能够做到即插即用，先部署后配置。软件供应链安全治理实践指南白皮书（2023）60反向代理模式反向代理模式是指 WAF 设备部署网络主干中，客户端通过访问虚拟 IP 做代理访问后台服务器。需要预先规划好网络部署结构，可以开启负载均衡等功能。旁路模式旁路模式指 WAF 设备不作为后台服务器和客户端之间的路由设备，而是旁挂在 路由设备上。能够不改变原有网络拓扑结构，对原有业务可以无缝接入。在 Web 应用安全问题急剧增加的催动下，WAF 因其部署方便、使用简单以及合规需求等特性，得到了广泛地应用。（3）API 安全防护（3）API 安全防护目前针对API防护技术主要有三个方向，分别为API网关、WAF和API融合防护，构建完善的API安全防护能力，需要多个技术的结合，如通过WAF和API网关结合，为API安全提供综合的安全支撑能力，如下图所示，认证与授权以OpenID Connect套件、OAuth2.0套件为代表，提供API的身份认证和鉴权解决方案；而审计套件、JSON套件、XML套件为API的消息保护和安全审计提供技术支持。图14 API安全防护在此基础上，在运营阶段为了防护API安全攻击、管控API行为、防止API泄露敏感数据，还应建立起API安全管控平台，从API资产管软件供应链安全治理实践指南白皮书（2023）61理、API攻击防护、敏感数据管控和访问行为管控等四个方面，保证API的运营安全，如下图所示。图15 API安全管控 API资产管理API资产管理：由于API资产数量繁多，企业对于自己所使用的API难以明晰，所以风险防护则显得更加困难，因此为了进一步对风险进行防控，需要首先开展API资产管理工作，API资产管理可以利用WAF、API网关、IAST和RASP等收集到的API信息，统一分析出企业所有的API，然后构建出企业的API拓扑和画像，方便开展下一步工作；攻击防护：通过持续监控并分析流量行为，有效检测威胁攻击。同时，对API请求参数进行合规管控，对不符合规范的请求参数实时阻断控制；敏感数据管控：API使用明文传输的现象比较普遍，在API中传输的数据容易泄露，在API传输数据的过程中，对手机号、银行卡号、身份证号等的敏感数据进行识别和过滤，防止数软件供应链安全治理实践指南白皮书（2023）62据传输中发生数据泄露；行为管控：建立多维度访问基线和API威胁建模，对API接口的访问行为进行监控和分析，通过监测行为基线和异常行为的方式，避免恶意行为的发生。3.3.3 持续监控与运营能力3.3.3 持续监控与运营能力为了在软件发布后持续地对软件供应链安全事件、软件安全漏洞进行快速的安全响应，控制和消除安全事件所带来的安全威胁和不良影响，需要掌控软件供应链的安全态势，形成面向软件供应链安全的持续监控与运营能力。图 16 软件供应链安全态势3.3.3.1 软件资产安全3.3.3.1 软件资产安全为了能够对软件供应链安全开展持续地监控与运营管理，对软件软件供应链安全治理实践指南白皮书（2023）63资产进行统一梳理纳管是必备的基础工作。当前，企业数字化转型推进加速，企业所拥有的软件类型多样，构成复杂，通过对软件资产进行梳理和纳管实现对软件资产的日常监测和管理具有十分重要的意义。企业在对软件资产进行整理的过程中要全面梳理软件供应链涉及到的供应商、软件、工具、服务等内容，保证软件信息不会存在遗漏，具体工作可以从如下几个方面展开：（1）软件资产清单（1）软件资产清单通过软件供应链安全态势感知平台或者其他平台，开展软件资产清单的构建工作，全面掌握软件资产清单信息，包括软件名称、软件作者信息、软件供应商信息、软件类型、SBOM、软件版本、许可证信息、API 接口信息、开发语言、中间件、数据库以及开发框架等，使软件资产信息透明化，降低软件安全管理和运营的难度；（2）软件组成信息（2）软件组成信息为了使软件组成信息更加准确，需要打造多种软件成分信息探测工具，如 SCA、IAST 和 RASP 等，利用工具实现软件组成成分信息的动静态结合探测，此外，可结合软件开发人员提供的 SBOM，构建出完整准确的软件组成信息清单。（3）软件风险信息（3）软件风险信息掌握软件的安全风险信息，能够实现对软件的常态化监控与运营，企业对软件进行综合分析和评估，及时发现软件供应链中存在的供应链失陷、后门、漏洞、社工、污染、数据泄露等安全问题后在系统中软件供应链安全治理实践指南白皮书（2023）64记录，能够实时掌控软件的安全状态，有助于在发生安全事件时快速定位软件的安全漏洞并完成修复和整改，降低软件安全整改的成本，有效提升软件系统的安全性。3.3.3.2 软件供应商安全3.3.3.2 软件供应商安全软件应用系统的来源复杂，主要包括软件直接采购、软件定制开发、企业自主开发等方式，其中软件直接采购和软件定制开发都不可避免的涉及到了软件供应商和软件供应商的人员，软件供应商是否能保证对软件使用的核心组件清晰掌握、是否能交付完整的软件成分清单、是否能及时定位软件问题点并完成修复、是否能配合企业完成安全事件的排查和修复都至关重要。因此，软件供应商的安全在软件供应链安全中扮演着重要的角色，企业实现软件供应商安全风险监测，能有效地保证软件供应链安全，防止从上游供应商发生的软件供应链攻击行为。软件供应商的安全管理可以考虑从软件供应商画像、软件供应商风险分析、软件供应商常态风险监控以及软件供应商人员管理等几个方面开展。（1）软件供应商画像（1）软件供应商画像在构建软件资产清单的基础上，可以进一步构建软件供应商的画像，实现软件供应商和软件资产之间的对应，能够明确软件资产的主要来源，当发生安全事件时可以快速定位到具体的供应商，增强安全事件的处理效率。软件供应商画像的内容可以包括供应商的名称、地软件供应链安全治理实践指南白皮书（2023）65址、安全风险、安全开发能力、安全管理能力、安全保障等信息，如下图所示。图 17 软件供应商画像（2）软件供应商风险分析（2）软件供应商风险分析：为完成软件供应商的画像，需要分析软件供应商的安全风险，对供应商开展风险评估，保障供应链的安全稳定，可以通过对供应商进行分类分级的风险分析。分别分析供应商自身存在的风险和其软件产品存在的风险，供应商自身存在的风险包括经营风险、法律风险和监管风险等，软件产品存在的安全风险包括供应商网络安全缺陷、端口暴露、弱密码、弱口令等。（3）软件供应商常态风险监控（3）软件供应商常态风险监控在完成软件供应商画像的基础上，为了保证对软件供应商风险的及时掌握和供应商画像的准确，可以结合已具备的漏洞预警能力、企业资产风险管理能力，建立供应商常态化风险监控能力，多维度评估软件供应链安全治理实践指南白皮书（2023）66风险和可视化展示能力，实现对供应商的常态化风险监控。（4）软件供应商人员管理（4）软件供应商人员管理在网络安全攻击事件中，人员一直是最重要的环节之一，通过对员工发起社会工程攻击、钓鱼攻击来发起攻击事件一直是攻击者最重要也最有效的有段，而在软件供应链中，除了企业自己的员工外，软件供应商的人员也成为了整体软件供应链安全的一部分，因此，需要对软件供应商的人员进行管理能够有效地降低软件供应链安全事件发生的可能性。一般供应商的人员可以包括供应商驻场人员、供应商开发人员、供应商管理人员等，不同的人员可能会面临的不同的风险，例如供应商的驻场人员可能会对软件系统设置弱账号、弱口令，可能会无意间泄露软件系统的账号和密码、可能会进行远程维护引入风险；供应商的开发人员可能因为安全意识薄弱的问题导致软件存在后门、漏洞等；供应商管理人员可能了解整体的软件系统架构、部署及设计方案，这些数据的泄露会带来重大风险。因此，企业需要把供应商的人员纳入到软件供应商安全管理中，完成软件供应商人员的登记备案，通过制定供应商人员管理制度并对相关人员进行安全培训加强供应商人员管理。3.3.3.3 风险与漏洞监测3.3.3.3 风险与漏洞监测风险与漏洞监测对保障软件供应链安全至关重要，在完成软件资产和软件供应商信息统计的基础上，可以进一步完成详细的软件构成图谱，从而开展风险和漏洞的监测。软件供应链安全治理实践指南白皮书（2023）67（1）软件构成图谱（1）软件构成图谱目前正在制定的国家标准 信息安全技术 软件供应链安全要求中指出，软件构成图谱是软件物料清单、软件供应关系、知识产权、安全风险和软件供应链基础设施等信息的表现形式，能够支持实现软件供应链的安全目标。本文参考国家标准中软件构成图谱开展持续的风险与漏洞监测，软件构成图谱如下图所示。图 18 软件构成图谱通过构建软件构成图谱，可以将软件物料清单中的信息与安全风险精确关联，增强软件供应链的可追溯性和可审计性。具体的要求可参考相关国家标准，本文不再赘述。（2）开源组件漏洞监测（2）开源组件漏洞监测开源组件漏洞持续监测需要对软件项目依赖的所有开源组件进行自动化的、全面的安全性分析和检测，并在软件的全生命周期中持软件供应链安全治理实践指南白皮书（2023）68续进行监控和评估，以最大程度地减少因使用含有漏洞的组件而导致的安全威胁。要实现对开源组件漏洞的持续监测，需要从两个方面着手，一是当已上线运行的软件所依赖的组件版本更新或新的漏洞公布时，都会自动触发扫描和检测，进而及时对新增风险的组件发出警告和提供修复建议；二是在软件设计与开发过程中组件选型时，对备选组件及间接依赖组件进行扫描、检测和评估，为组件的安全选型提供重要依据。实现对开源组件风险的持续监测需要如下两大核心能力：开源组件的实时监测及自动化检测对接开源组件威胁情报库，对软件所依赖的开源组件进行实时监测，获取开源组件的更新信息和风险威胁情报并第一时间触发，对引用含漏洞组件的软件进行自动化安全风险评估和验证，对于真实存在的安全风险及时给出风险预警和修复、整改和处置方案。开源组件的全面安全评估开源组件风险监测依赖于开源组件威胁情报以及对开源组件的全方面自动化安全评估，不仅包括对组件漏洞风险、许可合规风险的监测与评估，还包括以下维度的评估：开源组件性能评估：评估开源组件是否能在不影响业务正常运行下，满足高性能需求。开源组件功能评估：评估开源组件是否能够满足业务功能需求、安全需求。软件供应链安全治理实践指南白皮书（2023）69开源组件易用性评估：评估开源组件是否能够简易上手，减少开发人员学习和使用成本。开源组件兼容性评估：评估开源组件是否能够与架构等适配兼容。开源组件可靠性评估：评估开源组件是否可靠、可信、来源官方透明等。开源组件成熟度评估：评估开源组件是否成熟易用、能够满足多样化需求。开源组件安全性评估：评估开源组件自身及其依赖项的安全性，包括许可风险评估和漏洞风险评估。开源组件健康度评估：评估开源组件创建、贡献、版本维护等健康度。服务能力评估：评估开源组件支持形式、商业化能力、现有支持能力、持续服务能力、应急安全服务能力等。（3）API 风险监测（3）API 风险监测API 风险监测是基于 API 安全防护能力，对应用系统的 API 进行持续性的风险监控和安全防护。API 的持续风险监测包括 API 的自动化发现和识别、敏感数据的访问和流出、异常访问行为识别、安全漏洞检测、认证和权限的检查等。在覆盖软件生命周期的各阶段，对API 信息进行全面的收集和监测，形成 API 拓扑图，并对收集到的API 信息和流量进行分析，及时发现 API 原版本存在或更新后新增的安全风险。对于还未上线运营系统，联动自动化测试工具对安全风险软件供应链安全治理实践指南白皮书（2023）70进行自动化验证测试并根据实际的风险给出针对性的修复方案；对于已上线运营的系统，联动安全防护设备，根据实际安全风险更新防护设备配置对软件系统进行针对性的安全防护。通过对 API 进行持续的安全风险监测以及自动化的验证和防护，有效对 API 风险实现了闭环的管理，最大限度降低 API 安全风险对软件产生的影响，保障应用系统的数据安全，提升软件的安全性和可靠性。（4）软件供应链风险监测（4）软件供应链风险监测软件供应链具有全球分布、供应商多样、产品服务复杂以及全流程覆盖等诸多特点，在软件供应链各个供应活动中都可能引入安全隐患，因此要实现软件供应链的风险监测，企业需要在国家标准的指导下，重点关注软件供应链相关的风险。信息安全技术 软件供应链安全要求中给出了软件供应链的安全风险，这些风险需要企业在开展风险监测时重点关注，具体的风险信息如下表所示。表 14 软件供应链安全风险风险类别风险类别详细描述详细描述软件漏洞利用软件漏洞利用软件产品内部开发过程中产生的以及从上游继承的软件漏洞无法避免，这些软件漏洞可能被攻击者利用，对软件以及计算机系统造成严重的安全风险。软件后门植入软件后门植入供方预留后门：供方预留后门：供方出于软件维护的目的，在软件产品中预置后门，如果预置后门被泄露，攻击者会通过预置后门获得软件或操作系统的软件供应链安全治理实践指南白皮书（2023）71访问权限；攻击者恶意植入后门：攻击者恶意植入后门：攻击者入侵软件开发环境，污染软件供应链中的组件，劫持软件交付升级链路，攻击软件运行环境植入恶意后门，获得软件或操作系统的访问权限。恶意篡改恶意篡改恶意代码植入恶意代码植入：在需方不知情的情况下，在软件产品或供应链中的组件中植入具有恶意逻辑的可执行文件、代码模块或代码片断；开发工具植入开发工具植入：使用被恶意篡改的开发工具，导致开发的软件或组件存在恶意代码；供应信息篡改供应信息篡改：在供方不知情的情况下，篡改软件供应链上传递的供应信息，如销售信息、商品信息、软件构成信息等。假冒伪劣假冒伪劣供方提供未经产品认证、检测的软件或组件，或未按照声明和承诺提供合格的产品。知识产权非法使用知识产权非法使用未经授权而生产、销售、发布软件或组件，导致软件产品的全部或部分被泄漏到授权以外的范围。如盗版软件、违反开源许可使用的软件、违反协议进行的二次开发等。供应中断供应中断突发事件中断突发事件中断：因自然等不可抗力、政治、外交、国际经贸等原因造成上游软件、使用许可、知识产权授权的中断；不正当竞争不正当竞争：软件供方利用需方对产品和服务的依赖，实施不正当竞争或损害用户利益的行为。信息泄露信息泄露软件供应链信息被有意或无意地泄露，如软件上游供应商、下游需方的信息可能涉及商业秘密，供应链信息存在被泄露的风险软件供应链安全治理实践指南白皮书（2023）72开源许可违规使用开源许可违规使用无开源许可证无开源许可证：软件产品发布时缺少开源许可证类型，包括但不限于LGPL、Mozilla、GPL、BSD、MIT、Apache 等许可证；使用不规范使用不规范：软件产品发布时不符合相应许可协议的规范和要求，包括但不限于没有遵循开源许可证协议，开源组件修改后许可信息丢失，存在无许可信息的开源片段代码等。供应链劫持供应链劫持涉及捆绑恶意代码、下载劫持、网络劫持、物流链劫持、升级劫持等其他风险其他风险由于软件供应链内外部人员、软件供应链全球性等特点带来的风险或挑战3.3.3.4 事件分析与共享3.3.3.4 事件分析与共享通过梳理软件资产和软件供应商信息结合软件构成图谱，形成软件供应链的安全态势感知能力，持续对软件供应链安全事件进行监测，通过长期对相关安全事件的分析，形成软件供应链安全威胁情报，并对供应链上的节点进行情报推送，在第一时间内将有效的软件供应链威胁情报同步给相关的责任人和供应商，协同进行分享处置。（1）安全事件告警（1）安全事件告警当发生软件供应链安全花事件时，能及时产生告警信息，并将告警信息与软件资产和软件供应商结合，以为安全事件的应急响应提供便利。（2）安全事件预警（2）安全事件预警通过对软件供应链事件、软件资产漏洞以及软件供应链安全风险的长期积累分析，实现对软件供应链安全事件的预警。软件供应链安全治理实践指南白皮书（2023）73（3）攻击行为溯源（3）攻击行为溯源结合软件资产信息、攻击行为信息、漏洞数据等进行多维度的关联分析，对攻击者的攻击行为开展溯源。（4）威胁情报共享（4）威胁情报共享与供应链厂商联合建立供应链威胁情报库，并实现供应链威胁情报与其他威胁情报库的共享，不断丰富和完善威胁情报库。3.3.3.5 供应链暴露面管理3.3.3.5 供应链暴露面管理2022 年，Gartner 发布实施持续威胁暴露面管理计划，并且预测到 2026 年，基于持续暴露面管理计划的企业，遭受网络入侵的可能性将降低三倍。持续暴露面管理（CTEM）是一套流程和功能，能够使企业持续评估自身数字和物理资产的可访问性、暴露面以及可利用性。在软件供应链中涉及到的暴露面较多，包括软件系统本身、供应商以及供应商人员等，因此在持续监控与运营能力构建的基础上，进一步开展供应链暴露面管理，能够更全面的解决软件供应链安全问题。图 19 供应链暴露面管理软件供应链安全治理实践指南白皮书（2023）74开展供应链暴露面管理可以从摸清家底、暴露面识别、暴露面威胁验证、暴露面优先级分析、暴露面威胁处置几个方面开展。（1）摸清家底（1）摸清家底开展供应链暴露面管理首先需要摸清供应链的家底，否则开展暴露面管理则无从谈起，摸清家底需要从软件资产梳理、供应商摸排、软件成分信息收集、暴露面收集和数据泄露监测等几个方面开展。软件资产梳理依托3.3.3.1软件资产安全中梳理的软件资产清单收集资产信息，并按需在此基础上进一步完善；供应商摸排依托3.3.3.2软件供应商安全中梳理的软件供应商信息开展供应商摸排，并按需在此基础上进一步完善供应商信息；软件成分信息收集依托3.3.3.1软件资产安全中梳理的软件成分信息开展信息收集；暴露面收集通过互联网信息获取收集暴露面信息，可以通过搜索引擎、资产测绘系统、社交媒体、代码托管平台、网盘、文库、招商和业务平台等渠道监测供应链数据是否有泄露，是否有企业未知的暴露面，从而获取供应链暴露面。（2）暴露面识别（2）暴露面识别在摸清家底的基础上，开展暴露面识别，分析是否存在供应链失软件供应链安全治理实践指南白皮书（2023）75陷、供应链后门、供应链漏洞、供应链污染、供应链社工、供应商安全、供应链数据安全等风险。（3）暴露面威胁验证（3）暴露面威胁验证通过分析确认是否存在供应链失陷、供应链后门、供应链漏洞、供应链污染、供应链社工、供应商安全、供应链数据安全等风险后，需要进一步开展验证，验证内容包括：供应商提供的产品是否已经被攻击者控制；系统是否存在预置的后门、默认缺陷（默认配置、默认口令）、或者预留的调试接口等；供应商提供的产品本身是否存在安全漏洞；供应商提供的产品是否被植入了后门、木马等恶意代码；供应商的驻场人员、开发人员、远程支持人员、管理人员等是否被安全管理，是否安全意识薄弱，存在被社工的危险；供应商企业是否存在安全隐患、企业风险和企业攻击面等；供应商存储的客户数据是否被泄露。（4）优先级分析（4）优先级分析从资产的重要性、漏洞真实风险和威胁可被利用性三个方面分析风险的优先级。资产重要性：根据资产的重要程序，企业可对资产的重要性进行定义；漏洞真实风险：确认漏洞是否已被在野利用，是否有公开的软件供应链安全治理实践指南白皮书（2023）76EXP 和工具，是否能够直接远程发起攻击后造成系统失陷、数据泄露和拒绝服务等；威胁可被利用性：确认漏洞是否容易被利用。（5）威胁处置（5）威胁处置通过前期的信息收集和风险验证，对漏洞和威胁进行响应处置，收敛供应链暴露面，消除威胁，同时将确认的信息生成威胁情报，结合软件供应链态势感知中的威胁情报能力实现情报共享，对存在相同软件供应链风险的业务系统实现定向推送。软件供应链安全治理实践指南白皮书（2023）77四、软件供应链安全治理实践四、软件供应链安全治理实践4.1DevSecOps 实践4.1DevSecOps 实践随着技术的发展以及业务快速交付的需求，越来越多的企业转向高效的开发模式 DevOps。开发模式的转变，使得传统的安全检测手段已经不能满足要求，需引入 DevSecOps 安全体系，将安全能力自动化、无感知地融入流程中。图 20 为 DevSecOps 的实践方案，下面针对每个阶段分别介绍主要的安全活动。图 20 DevSecOps 实践方案（1）产品设计（1）产品设计在产品设计阶段，需要进行安全课程开发与培训，内容包括安全设计方法、安全相关工具使用等，以及对漏洞编码原理、安全编码规范等安全编码课程进行开发和培训。对产品进行威胁建模，评估可能出现的安全威胁并制定对应的解决方案。根据产品的安全级别分析安全需求，同时对产品所需要的组件进行初步选型，避免引入有漏洞的、软件供应链安全治理实践指南白皮书（2023）78不合规的组件。（2）开发/构建（2）开发/构建在开发/构建阶段，需要对源代码、引入的开源组件和容器镜像等进行安全测试，进行的安全活动如下：静态代码审计：在开发过程中通过 IDE 插件，进行实时的代码合规性及安全缺陷审查，同时对源代码进行整体的静态扫描分析，保证代码编写的安全性。静态开源组件安全分析：对应用所引用的开源组件进行漏洞分析与控制，以及对开源组件许可进行合规性分析。Docker 容器安全扫描：从 cve 漏洞、木马病毒、可疑历史操作、敏感信息泄露、是否是可信镜像等多个维度对镜像进行深度扫描，发现并修复镜像中的问题。单元测试：对产品划分最小测试单元，编写单元测试脚本测试代码中存在的问题，保证代码质量。（3）安全测试（3）安全测试在安全测试阶段，通过多种安全测试工具以及人工测试手段对产品进行安全分析与测试，利用不同安全测试工具的优势从不同的维度发现产品安全问题，及时进行修复。主要的安全活动如下：交互式应用安全测试：采用交互式应用测试系统，在功能测试过程中同步开展安全测试，挖掘应用系统中存在的安全漏洞，结合人工复核方法，获得准确的应用安全漏洞结果，提出相应的修复方案，漏软件供应链安全治理实践指南白皮书（2023）79洞结果也可作为应用系统上线或交付的标准之一。移动 APP 安全测试：对病毒、木马、恶意代码、敏感权限调用、广告、恶意扣费等安全特征进行安全检测，对应用程序进行静态漏洞扫描，并在模拟器中对应用进行实时漏洞攻击检测，对可能存在风险隐患的功能调用、系统组件、接口等方面进行安全评估，及时发现潜在风险。软件成分分析：通过 SCA 和 IAST 相结合的方式，对产品进行动、静态相结合的开源组件检测，精确分析产品中组件依赖关系、组件漏洞以及许可证的合规性。API 安全扫描器：利用 API 自动化扫描工具，扫描和检测 API 中的漏洞，包括 SQL 注入、命令注入、标头注入、XSS、缺少安全标头、响应头中的敏感信息泄露、错误消息中的敏感信息泄露、缺少服务器端输入验证等。Web 扫描器：对产品中的 Web 服务以及 Web 页面进行安全扫描，及时发现和修复潜在漏洞，保证 Web 应用的安全性。模糊测试：自动或半自动的生成随机数据输入到产品中，并监视程序异常，如崩溃，断言(assertion)失败等，以发现程序中内存泄露等安全问题。渗透测试：以黑客视角对产品进行攻击测试，挖掘系统中存在的安全漏洞，并提出合理的修复建议。功能测试：通过人工手段对产品功能进行测试，可与交互式应用软件供应链安全治理实践指南白皮书（2023）80安全测试同步开展。（4）部署验证（4）部署验证在部署阶段，需要对操作系统、网络设备、数据库等基础设施进行漏洞扫描，同时基于漏洞扫描结果和应用系统运维要求，制定运行环境安全基线，并定期进行基线扫描、安全加固、补丁升级、安全策略调整等工作。（5）运营（5）运营在运营阶段，需要构建软件安全运营能力，持续发现安全问题以及进行安全防护。通过 Web 应用防火墙对来自客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断。同时引入运行时应用自保护能力，对软件应用进行动态检测与防御，弥补纵深防御体系的不足，增强应用自身免疫力。在 DevSecOps 实践中，构建了从产品设计到运营阶段的软件全生命周期的安全防护能力，将安全工具集成到 DevOps 流程中，建立了完整的、自动化的安全工具链，并结合人工的方式弥补了安全工具的不足，保证了软件应用整体的安全性。4.2 源软件安全治理实践4.2 源软件安全治理实践开源软件的使用缩短了开发周期，在业务快速交付、产品快速迭代的今天，开源组件被越来越多的企业所应用。但是开源软件漏洞、许可证合规性等问题凸显，针对开源软件的安全治理也成为企业必备的安全能力之一。图 21 为开源软件治理的实践方案，下面分阶段具软件供应链安全治理实践指南白皮书（2023）81体介绍实施方法。图 21 开源软件安全治理实践方案（1）组件引入（1）组件引入根据开发需求确定项目所需要的开源软件和外采软件，通过组件选型和 SCA 检测，对组件的健康度、安全性以及软件的成分进行分析，然后将符合准入标准的组件和软件提交到组件仓库。（2）使用阶段（2）使用阶段在使用阶段，开发人员从组件仓库中拉取开源组件，经过 SCA 检测后拉取至项目代码工程中使用，开发完成后将项目工程提交到 Git、SVN 等代码管理系统中。（3）测试验证（3）测试验证软件供应链安全治理实践指南白皮书（2023）82在测试阶段，结合 SCA 和 IAST 的优势，使用动、静态结合的方式对项目中的开源组件进行检测，分析组件中的漏洞，生成漏洞报告。同时将组件清单和依赖关系、组件信息、组件漏洞、许可证合规性等关键信息输入到 SBOM 中，生成 SBOM 清单。由安全服务团队分析SBOM 和漏洞报告，同时结合安全测试经验对项目进行渗透测试，生成整个项目的项目报告。（4）安全修复（4）安全修复针对项目报告中的问题，结合测试工具给出修复方案，修复方案中包括如何通过升级组件版本修复漏洞，以及对于因兼容性暂时无法升级组件的问题给出替代性修复方法等。根据漏洞的严重程度、影响范围、可利用性、是否已知漏洞、修复难度等因素对漏洞优先级进行综合评估，同时将漏洞信息同步至缺陷管理平台，对漏洞进行统一的跟踪管理。（5）发布上线（5）发布上线利用 SCA 和 IAST 结合的方式，将修复后的项目进行检测验证，符合上线标准后进行软件发布上线。同时将软件提交到制品库中，通过 SCA 进行持续检测，发现开源软件中存在的风险。对上线后的应用，风险预警会持续获取漏洞风险数据，与软件中的开源组件进行匹配，实现风险持续预警管理的能力。开源软件安全治理实践方案中，从组件引入阶段介入开源软件评估，通过集成 SCA、IAST 检测工具，将安全左移，在不同阶段通过软件供应链安全治理实践指南白皮书（2023）83不同的安全活动对开源软件进行检测、修复以及持续风险预警，实现了开源软件全生命周期的安全管理与检测。软件供应链安全治理实践指南白皮书（2023）84五、未来展望五、未来展望数字化时代，软件成为了维持社会正常运转的基础，软件的安全至关重要，目前国内外都开始大力推进软件供应链安全法律法规、政策标准和技术能力的制定和建设工作，软件供应链安全进入了快速发展时期，未来将随着安全技术的发展日趋完善。5.1SBOM 能力日渐成熟5.1SBOM 能力日渐成熟在对抗软件供应链攻击时，SBOM 是首选武器，作为企业维护软件供应链安全的必备能力，通过完备 SBOM 能够有效提升软件的透明度，降低开发、采购和维护数字化基础设施的成本，量化软件包中存在的风险，助力软件漏洞的修复。2023 年 2 月，中国信息通信研究院发布软件物料清单实践指南，指导企业开展 SBOM 能力建设，可以预见，为了保证软件的安全性，提升软件的透明度，企业的 SBOM 能力建设将在相关标准的指引下将快速推进，基于 SBOM的扩展能力和其配套的服务生态，如 SBOM VEX、GitBOM、SaaSBOM、OBOM 等，也将逐步完善。5.2 软件供应链安全治理新模式形成5.2 软件供应链安全治理新模式形成企业数字化转型加速，使得各式各样数字化转型而来的新业务和新资产成为了企业安全团队的保护对象。企业想应对未来高级威胁和复杂场景的挑战，支持内生自免疫、敏捷自适应、共生自进化的积极防御成为了安全的发展方向。最近几年，国内越来越多的企业和机构在探讨和实践 DevSecOps 的落地方式，同时新技术的发展，如自动软件供应链安全治理实践指南白皮书（2023）85化威胁建模、SAST、SCA、IAST、容器化、云原生等技术等正好契合 DevSecOps 的理念，正在推动着 DevSecOps 体系的形成，但是过去 DevSecOps 的管理理念更多的是解决自研的软件安全。而如今软件供应链除覆盖自研软件外，还会覆盖许多非自研部分的代码及商业外采软件，包括未来随着企业数字化和信息化程度越来越高，企业软件的开发会越来越组件化，由供应链组成的成熟度会越来越高。单纯的 DevSecOps 体系，并不能完整实现软件供应链的安全治理，这也会使得未来企业软件安全的治理模式会从传统的 DevSecOps模式转变成供应链安全治理的新模式。5.3 供应链的安全风险态势重要性凸显5.3 供应链的安全风险态势重要性凸显建设安全风险态势能力可以使网络安全人员从宏观上把握整个网络的安全状态，识别当前网络中存在的问题和异常活动。当前，软件供应链安全问题日益突出，企业正在加速推进软件供应链安全基础能力建设，在相关安全能力建设完成的基础上，软件管理能力较高的企业必将更进一步构建自己的软件资产台账、分析软件供应商安全、梳理软件供应链暴露面，同时，结合已具备的风险与漏洞监测能力和事件分析与共享能力，打造软件供应链安全态势感知平台，形成多维度评估风险和可视化展示能力，使企业能更全面、更准确、更及时地掌握自身软件的安全态势，从而保障软件供应链的安全。软件供应链安全治理实践指南白皮书（2023）86附录A 缩略语附录A 缩略语缩略语全称释义NISTNational Institute of Standards andTechnology美国国家标准与技术研究院ICTInformation and CommunicationsTechnology信息通信技术APIApplication Programming Interface应用程序接口OWASPOpen Web Application SecurityProject开放式Web应用程序安全项目CTEMContinuous Threat ExposureManagement持续威胁暴露面管理SLSASupply chain Levels for SoftwareArtifacts软件构件的供应链级别POPrepare the Organization组织准备PSProtect the Software保护软件PWProduce Well-Secured Software生产安全的软件RVRespond to Vulnerabilities响应漏洞SBOMSoftware Bill of Materials软件物料清单SASTStatic Application Security Testing静态应用程序安全测试IASTInteractive Application Security交互式应用安全测软件供应链安全治理实践指南白皮书（2023）87Testing试SCASoftware Composition Analysis软件成分分析SDKSoftware Development Kit软件开发工具包VEXVulnerability Exploitability Exchange漏洞可利用性交换SCMSoftware Configuration Management软件配置管理VCSVersion Control System版本控制系统DASTDynamic Application Security Testing动态应用安全测试RASPRuntime Application Self Protection运行时应用程序自保护WAFWeb Application FirewallWeb应用防火墙软件供应链安全治理实践指南白皮书（2023）88附录B参考文献附录B参考文献1sonatype 8th annual State of the Software Supply Chian.20232Securing the software supply chain recommended practices guide fordevelopers.2022.083Securing the software supply chain recommended practices guide forsuppliers.2022.094Securing the software supply chain recommended practices guide forcustomers.2022.105绿盟科技.软件供应链安全技术白皮书.2022 年6悬镜科技.软件供应链安全治理与运营白皮书.2022 年7国家标准.信息安全技术 软件供应链安全要求.8GB/T 36637-2018.信息安全技术 ICT 供应链安全风险管理指南.9Synopsys.开源安全和风险分析报告.2023 年10OWASP Foundation.OWASP API 安全 TOP10 201911Salt Labs.State of API Security Q1 2023.202312中国信息通信研究院.软件物料清单实践指南.2023 年.13孝道科技.开源软件供应链安全洞察.2023 年14中国联通研究院.CU-DevSecOps 实践白皮书.2021 年.软件供应链安全治理实践指南白皮书（2023）1战略决策的参谋者技术发展的引领者产业发展的助推者战略决策的参谋者技术发展的引领者产业发展的助推者态度、速度、气度有情怀、有格局、有担当中国联通研究院是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院致力于提高核心竞争力和增强核心功能，紧密围绕联网通信、算网数智两大类主业，按照 4 2 X 研发布局，开展面向 C3 网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国建设，大力发展战略性新兴产业，加快形成新质生产力。联通研究院现有员工 700 余人，85%以上为硕士、博士研究生，以“三度三有”上海品茶为根基，发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。中国联合网络通信有限公司研究院地址：北京市亦庄经济技术开发区北环东路 1 号电话：邮编：100176

0人已浏览 2023-11-30 91页 5星级

1云原生安全威胁分析与能力建设白皮书云原生安全威胁分析与能力建设白皮书中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月版权声明版权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。云原生安全威胁分析与能力建设白皮书1目 录目 录一、云原生安全概述.91.1 云原生及云原生安全.91.1.1 云原生.101.1.2 云原生安全.121.2 云原生安全发展.141.3 云原生安全风险.17二、云原生关键技术威胁全景.192.1 云原生安全威胁分析.192.2 路径 1：镜像攻击.212.2.1 镜像投毒攻击.212.2.2 镜像仓库攻击.222.2.3 中间人攻击.222.2.4 敏感信息泄露攻击.222.2.5 针对镜像不安全配置的攻击.222.3 路径 2：容器攻击.232.3.1 守护进程攻击.232.3.2 容器提权和逃逸攻击.242.3.3 拒绝服务攻击.25云原生安全威胁分析与能力建设白皮书22.3.4 容器网络攻击.262.4 路径 3：编排工具攻击.262.4.1k8s 组件攻击.272.4.2 服务对外暴露攻击.272.4.3 业务 pod 攻击.282.4.4 集群环境下的横向攻击.292.4.5k8s 管理平台攻击.292.4.6 第三方组件攻击.292.5 路径 4：微服务攻击.292.5.1API 攻击.302.5.2API 网关攻击.322.5.3 微服务应用攻击.322.6 路径 5：Serverless 攻击.332.6.1 事件注入攻击.342.6.2 敏感数据泄露攻击.342.6.3 身份认证攻击.352.6.4 权限滥用攻击.352.6.5 拒绝服务攻击.36云原生安全威胁分析与能力建设白皮书32.6.6 针对函数供应链的攻击.36三、典型攻击场景分析.373.1 镜像投毒攻击.373.1.1 攻击场景介绍.373.1.2 攻击过程复现.383.2 挂载 Docker Socket 导致容器逃逸攻击.383.2.1 攻击场景介绍.383.2.2 攻击过程复现.393.3k8s 权限提升攻击.403.3.1 攻击场景介绍.403.3.2 攻击过程复现.413.4Istio 认证策略绕过攻击.433.4.1 攻击场景介绍.433.4.2 攻击过程复现.45四、云原生应用保护能力建设.474.1 制品安全能力建设.474.1.1 代码安全.484.1.2 镜像安全.49云原生安全威胁分析与能力建设白皮书44.1.3 制品环境安全.504.1.4 安全检测.524.2 运行时安全能力建设.534.2.1Web 应用和 API 安全.544.2.2 云原生运行时安全.564.2.3 网络微隔离.584.3 基础设施安全能力建设.594.3.1 基础设施即代码安全.594.3.2 权限管理.604.3.3 云原生安全态势.60五、总结与展望.62六、参考文献.64云原生安全威胁分析与能力建设白皮书5图目录图目录图 1云原生四要素.10图 2云原生四要素的基本含义.11图 3云原生安全框架.13图 4云原生安全能力体系.16图 5云原生关键技术威胁全景.19图 6容器镜像安全风险.21图 7容器运行时安全风险.23图 8针对 k8s 进行攻击的路径分析.27图 9针对微服务进行攻击的路径分析.30图 10针对 Knative 进行攻击的路径分析.33图 11镜像投毒攻击路径分析.37图 12反弹 shell 攻击结果展示.38图 13容器逃逸结果展示.40图 14k8s 权限提升攻击路径.41图 15利用 CVE- 窃取高权限凭证.42图 16未授权访问结果.45图 17绕过 Istio JWT 认证访问结果.45图 18云原生应用保护能力建设架构图.47图 19制品安全能力建设.48云原生安全威胁分析与能力建设白皮书6图 20运行时安全能力建设.54图 21基础设施安全能力建设.59表目录表目录表 1云原生安全相关标准.15云原生安全威胁分析与能力建设白皮书7前 言前 言在数字化转型的大潮中，云计算作为实现创新和提高运营效率的关键技术，成为了新一代信息技术的核心引擎。随着云计算的飞速发展和广泛应用，以及万千企业数字化转型换挡提速，企业对云计算的使用效能提出新的需求。云原生以其独特的技术特点，很好地契合了云计算发展的本质需求，正在成为驱动云计算质变的技术内核。云原生作为云计算深入发展的产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。中国联通研究院一直从事云原生及其安全技术的研究，致力于推动云原生在通信行业落地实践，全面落实好“大安全”主责主业，以实际行动践行“国家队、主力军、排头兵”的责任担当。2022 年，我们在“联通合作伙伴大会”发布了中国联通云原生安全实践白皮书，该书系统阐述了云计算所面临的新型安全问题，介绍了云原生安全防护体系，并给出了云原生安全防护体系建设实践。过去一年来，我们持续深耕云原生安全领域，联合多家单位共同编写了云原生安全威胁分析与能力建设白皮书。白皮书从攻击者视角介绍了云原生所面临的安全威胁，通过具体的实例展现攻击过程，给出云原生应用保护能力建设思路，以期与行业同仁共同推动云原生安全落地发展。最后，白皮书内容难免有疏漏，敬请读者批评指正。云原生安全威胁分析与能力建设白皮书8编写单位：编写单位：中国联合网络通信有限公司研究院、联通数字科技有限公司、中国联通福建省分公司、北京神州绿盟科技有限公司、北京小佑网络科技有限公司、中兴通讯股份有限公司专家顾问：专家顾问：叶晓煜、张建荣、徐雷、潘松柏、冯强、张曼君、傅瑜、葛然、张小梅、徐积森、滕开清编写成员：编写成员：丁攀、郭新海、王戈、刘安、蓝鑫冲、牛金乐、李安坤、王琦、汤旭、雷新、浦明、张小勇、白黎明、左伟震、范璟玮、许秀莉云原生安全威胁分析与能力建设白皮书9一、云原生安全概述一、云原生安全概述近年来，云计算技术一直处于高速发展的过程中，并且随着公有云和私有云的广泛应用，利用云计算作为承载业务运行的基础设施，已经成为了企业的首选。“十四五”时期，中国的信息化进入加快数字发展、建设数字中国的新阶段，在数字化转型的浪潮中，云计算作为新型数字基础设施和新一代信息技术的核心引擎，在推动人工智能、5G、工业互联网、物联网等技术的发展和应用方面发挥着越来越重要的作用。云计算的普遍应用和相关技术发展，使其已经经历了云计算 1.0 虚机时代、云计算 2.0 原生时代，目前正在朝着云计算 3.0 智能时代迈进。因此，在当前云计算 2.0 时代，云原生技术日趋成熟，并因大语言模型的推动助力朝着云计算 3.0 智能时代迈进的背景下，分析云原生安全的发展情况和面临的威胁，并研究云原生安全能力，能够为企业整体的云安全防护体系建立提供帮助，从而保障企业业务和数据更安全的在云上运转。1.1 云原生及云原生安全1.1 云原生及云原生安全过去十年，企业数字化转型加速推进，相继经历了服务器、云化到云原生化三个阶段。在云化阶段，云主机是云计算的核心负载之一，云主机安全是云安全的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。云原生技术的广泛应用，带来了一系列云原生安全问题，因此，要保障云原生的安全，云原生安全威胁分析与能力建设白皮书10使云原生技术更好的赋能企业数字化发展，需要明确云原生和云原生安全。1.1.1 云原生1.1.1 云原生2015 年，Pivotal 的高级产品经理 Matt Stine 发表新书迁移到云原生应用架构，探讨了云原生应用架构的 5 个主要特征：符合 12 因素应用、面向微服务架构、自服务敏捷架构、基于 API 的协作和抗脆弱性。同一年，Google作为发起方成立 CNCF，指出云原生应该包括容器化封装、自动化管理、面向微服务。到了 2018 年，CNCF 又更新了云原生的定义，把服务网格和声明式API 给加了进来。后来，随着云计算的不断发展，云原生的簇拥者越来越多，这一体系在反复的修正与探索中逐渐成熟。VMware 关于云原生的介绍提出了四个核心要点，包括 DevOps、微服务、容器和持续集成，如图 1、图 2 所示。图 1 云原生四要素云原生安全威胁分析与能力建设白皮书11图 2 云原生四要素的基本含义2020 年，云原生产业联盟发布云原生发展白皮书1，指出云原生是面向云应用设计的一种思想理念，充分发挥云效能的最佳实践路径，帮助企业构建弹性可靠、松耦合、易管理可观测的应用系统，提升交付效率，降低运维复杂度，代表技术包括不可变基础设施、服务网格、声明式 API 及 Serverless 等。云原生技术架构的典型特征包括：极致的弹性能力，不同于虚拟机分钟级的弹性响应，以容器技术为基础的云原生技术架构可实现秒级甚至毫秒级的弹性响应；服务自治故障自愈能力，基于云原生技术栈构建的平台具有高度自动化的分发调度调谐机制，可实现应用故障的自动摘除与重构，具有极强的自愈能力及随意处置性；大规模可复制能力，可实现跨区域、跨平台甚至跨服务的规模化复制部署。由此可见，云原生作为一种新兴的安全理念，是一种构建和运行应用程序的技术体系和方法论，以 DevOps、持续交付、微服务和容器技术为代表，符合云原生架构的应用程序应该：采用开源堆栈（k8s Docker）进行容器化，基于微服务架构提高灵活性和可维护性，借助敏捷方法、DevOps 支持持续迭代和运维自动化，利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。云原生安全威胁分析与能力建设白皮书121.1.2 云原生安全1.1.2 云原生安全云原生安全作为云原生的伴生技术，旨在解决云原生技术面临的安全问题，其作为一种新兴的安全理念，强调以原生的思维实现云上安全并推动安全与云计算深度融合。我们在 2022 年发布的中国联通云原生安全实践白皮书中2，对比分析了不同的组织和企业对云原生安全理念的理解，其中包括 CNCF 认为云原生安全是一种将安全构建到云原生应用程序中的方法3、k8s 提出的云原生 4C安全模型4、腾讯所理解的云原生安全指云平台安全原生化和云安全产品原生化5，并给出我们对于云原生安全的理解，即云原生安全是云原生理念的延伸，旨在解决云原生技术面临的安全问题。CSA 发布的云原生安全技术规范中CSA 发布的云原生安全技术规范中给出了云原生安全框架6，如图 3所示。其中，横轴是开发运营安全的维度，涉及需求设计（Plan）、开发（Dev）、运营（Ops）,细分为需求、设计、编码、测试、集成、交付、防护、检测和响应阶段；而纵轴则是按照云原生系统和技术的层次划分，包括容器基础设施安全、容器编排平台安全、微服务安全、服务网格安全、无服务计算安全五个部分，二维象限中列举安全机制（蓝色标注部分）已经基本覆盖全生命周期的云原生安全能力。此外，DevSecOps 涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段，如图中的紫色部分。最后，云原生安全体系中还包括了一些通用技术能力（黄色部分），这一部分能力主要体现在检测和响应阶段，并会同时覆盖 DevSecOps中运营阶段的能力。云原生安全威胁分析与能力建设白皮书13图 3 云原生安全框架由此可见，云原生安全可以简要归纳为两个方面，一是面向云原生环境的安全，其目标是防护云原生环境中的基础设施、编排系统、微服务、无服务和服务网格等安全。二是具有云原生特征的安全，指具有云原生的弹性敏捷、轻量级、可编排等特性的各类安全机制。在此基础上，未来云原生环境必将与云原生技术的安全互相融合，成为统一的整体，并且将经历如下三个发展阶段：（1）安全赋能于云原生体系，构建云原生的安全能力。（1）安全赋能于云原生体系，构建云原生的安全能力。当前云原生技术发展迅速，但相应的安全防护匮乏，最基础的镜像安全和安全基线都存在很大的安全风险。因此，应该将现有的安全能力，如隔离、访问控制、入侵检测、应用安全等，应用于云原生环境，构建安全的云原生系统；（2）安全产品具有云原生的新特性，（2）安全产品具有云原生的新特性，如轻/快/不变的基础设施、弹性服务云原生安全威胁分析与能力建设白皮书14编排、开发运营一体化等。通过软件定义安全架构，构建原生安全架构，从而提供弹性、按需、云原生的安全能力，提高“防护检测响应”闭环的效率；（3）在安全设备或平台云原生化后，提供云原生的安全能力，（3）在安全设备或平台云原生化后，提供云原生的安全能力，不仅适用于通用云原生、5G、边缘计算等场景，还可以独立部署在大型电商等需要轻量级、高弹性的传统场景，最终成为无处不在的安全。1.2 云原生安全发展1.2 云原生安全发展云原生在改变了企业上云及构建新一代基础设施的同时，作为一项新兴技术也带来了一系列新的问题，对企业原有的信息安全防护模式提出了新的挑战，例如，微服务、容器运行时的短生命周期、CI/CD 全流程监控缺失、镜像及供应链的复杂性等。另外，云原生技术生态涵盖基础设施到 DevOps 开发多个维度，这打破了原有的信息安全视角。在应对不断出现的针对云原生基础设施、平台及容器的安全威胁过程中，原有的安全体系也产生了变革。主要表现在如下几个方面：防护对象产生变化安全管理的边界扩展到了容器层面，需要采用新的安全策略和工具来保护容器的安全性，如容器镜像的验证和加密、容器漏洞扫描和运行时监测等。架构的变化多云及混合云下的应用架构及工作负载更加复杂，需要采用分布式安全策略和技术，如服务间的身份验证和授权、服务网格的加密通信、微服务的监测和异常检测等。管理模式的变化云原生安全威胁分析与能力建设白皮书15云原生应用的快速迭代和部署频率也对安全治理模式提出了新的要求。传统的安全治理模式通常是基于静态的规则和策略，针对云原生 DevOps 安全治理需要采用持续安全集成和交付的实践，结合自动化的安全测试、漏洞扫描和合规性检查等工具，以确保安全策略和控制的持续有效性。面对这些新的挑战，国内外都开展了云原生安全技术的研究和相关标准规范的制定完善工作，CNCF、CSA 等组织以及行业联盟等纷纷提出云原生安全标准及参考技术规范。同时，主要经济体国家的标准也在制订和完善过程中，使得行业逐步走向规范，推动了产品和解决方案逐步走向成熟。在中国信息通信研究院、云安全联盟和相关企业的共同努力下，云原生的安全标准陆续制定和颁布，当前相关主要的标准如表 1：表 1 云原生安全相关标准序号序号标准名称标准名称简要内容简要内容1云原生安全配置基线规范由云安全产业联盟提出并归口，规定了云原生安全配置基线扫描应具备的基础规范要求。云原生安全配置基线扫描规范要求包括 API Server 安全配置要求、控制管理器安全配置要求、调度器安全配置要求、工作负载安全配置要求、etcd 安全配置要求、kube-proxy 安全配置要求、kubelet 安全配置要求、CNI 和网络策略安全配置要求2网络安全等级保护容器安全要求由中关村信息安全测评联盟团体标准委员会提出并归口，规定了在云环境中采用容器集群技术的等级保护对象要求，包括第一级至第四级的安全要求。3云原生能力成熟度模型 第 1部分：技术架构由中国信息通信研究院牵头编写，规定了基于云原生技术的平台架构的能力成熟度评估模型，从服务化能力、资源弹性能力、可观测性、故障自愈能力、自动化能力、无服务器化能力以及安全性等方面对技术架构进行评估。4云原生能力成熟度模型 第 2部分：业务应用由中国信息通信研究院牵头编写，规定了基于云原生构建的业务应用的能力成熟度评估模型，从服务架构、服务治理能力、弹性伸缩能力、业务高可用、自动化与智能化、可观测性、开放性、组织架构以及安全性等方面对业务应用进行评估。云原生安全威胁分析与能力建设白皮书165云原生能力成熟度模型 第 3部分：架构安全范围由中国信息通信研究院牵头编写，规定了基于云原生构建的平台与应用的安全能力成熟度评估模型，包括基础设施安全域、云原生基础架构安全域、云原生应用安全域、云原生研发运营安全域以及云原生安全运维域五个方面6云原生安全API 安全治理由中国信息通信研究院牵头编写，适用于用帮助用云企业评估自身云原生平台和应用的 API 安全防护能力水平，定位问题、指导能力建设，适用于规范云服务商、安全企业提供的产品及服务的能力水平。7云原生应用保护平台（CNAPP）能力要求由中国信息通信研究院牵头编写，为了云原生应用保护平台（CNAPP）的框架并对每个功能模块提出了能力要求，内容包含制品管理、基础设施配置管理、运行时保护、双向反馈机制与环境适配能力，覆盖云原生应用的开发运营全流程，适用于指导企业云原生应用运维保护能力建设，规范和测评云原生应用保护产品质量另外，云原生安全相关的技术也在不断完善中，由于云原生安全的核心是要保证云原生应用及数据安全，因此云原生安全技术体系也需要围绕云原生应用的生命周期来构建，相关安全能力包括容器安全、代码及应用安全、平台安全以及基础设施安全在内的四层关键能力，以及多云之间的安全管理和防护能力，部分云原生安全能力如图 4 所示。图 4 云原生安全能力体系云原生安全作为一种新兴的安全理念，不仅要解决云计算普及带来的安全问云原生安全威胁分析与能力建设白皮书17题，更应强调以原生的思维构建云、端一体化安全，推动安全与云计算的深度融合，达到安全左移、持续监控与持续响应的目标。1.3 云原生安全风险1.3 云原生安全风险云原生技术的应用带来了更多的安全风险，包括容器化基础设施风险、容器编排平台的风险、云原生应用的风险等，这些风险对云网构成越来越严重的威胁。例如企业云、5G 核心网和边缘计算、工业互联网等场景如今都面临着云原生安全风险。在企业云环境方面，容器化基础设施和云原生应用广泛应用。2023 年 9 月，腾讯研究院发布的2023 年上半年云安全态势报告显示7，在云环境中容器资产占比达到 45.06%，攻击者通过攻击容器，就可以进一步获取宿主机系统权限，威胁宿主机上的其他容器和内网安全。另外，随着各个企业云上业务的快速发展，越来越多的应用开发深度依赖 API 之间的相互调用。根据 2023 上半年的攻击数据显示，攻击者利用 API Key、敏感文件执行、敏感信息读取等手段发起的攻击次数呈明显上升趋势，占总攻击事件的 1.69%。API 滥用已成为导致企业Web应用程序数据泄露的最常见的攻击媒介，通过攻击API来达成攻击目的，已成为上半年攻防演练中各攻击队最常用的攻击手段之一。在 5G 核心网和边缘计算方面，容器化的网元和边缘计算平台越来越普遍，5G 网元承载的服务和边缘计算平台都可以在编排平台的支撑下，以微服务的模式提供业务服务。这些基于容器、编排和微服务技术的 5G 核心网网元和边缘计算平台就面临着云原生安全威胁和风险。在工业互联网方面，构建 IT 和 OT 融合的全互联、扁平化、灵活化的工业云原生安全威胁分析与能力建设白皮书18网络体系结构是工业网络发展的必然趋势，工业互联网连接了 IT 和 OT 环境，如果一个恶意的容器应用能横向渗透到 OT，则可能会威胁整个工业互联网体系的安全。云原生安全威胁分析与能力建设白皮书19二、云原生关键技术威胁全景二、云原生关键技术威胁全景随着云原生技术的广泛应用，容器化基础设施、容器编排平台以及云原生应用等都面临着多种多样的新型安全威胁，这些威胁直接或间接影响着云网环境的整体安全。因此，全面分析云原生关键技术的威胁，形成云原生关键技术的威胁全景图和攻击路径图，能够帮助企业构建更完善的云原生安全防护体系，从而更全面的保障云网环境的安全。2.1 云原生安全威胁分析2.1 云原生安全威胁分析云原生化的应用主要由两个部分组成，一是支撑应用的云原生计算环境，包括容器、镜像、镜像仓库、网络和编排系统等。二是云原生化的应用本身，主要包括微服务、Serverless。图 5 中攻击路径 1 至攻击路径 5，从攻击者角度展示云原生应用关键技术面临的安全威胁。图 5 云原生关键技术威胁全景路径 1：攻击者通过攻击镜像层，改变云原生应用的不可变基础设施，引导云原生安全威胁分析与能力建设白皮书20受害者使用该镜像创建容器，进而实现入侵容器、宿主机的目的。路径 1 显示针对镜像层可能存在的攻击手段，包括：镜像投毒攻击、镜像仓库攻击、中间人攻击、敏感信息泄露攻击和针对镜像不安全配置的攻击。路径 2：攻击者直接对容器或容器运行时发起攻击，通过利用容器或容器运行时存在的漏洞，实现入侵宿主机的目的。其中低级容器运行时负责创建和运行容器，而高级容器运行时负责容器镜像额传输和管理等，低级容器运行时和高级容器运行时只是强调了容器化的不同方面。路径 2 显示针对容器运行时可能存在的攻击手段，包括：容器运行时攻击、容器提权和逃逸攻击、拒绝服务攻击和容器网络攻击。路径 3：攻击者对编排工具发起攻击，通过利用编排工具存在的漏洞，实现入侵宿主机的目的。路径 3 显示针对编排工具可能存在的攻击手段，包括：攻击 k8s 组件、服务对外暴露攻击、业务 pod 攻击、集群环境下的横向攻击、k8s管理平台攻击和第三方组件攻击路径 4：攻击者针对微服务发起攻击，如通过利用存在安全风险的 API 网关、API 以及微服务应用本身，实现入侵的目的等。路径 4 显示针对微服务可能存在的攻击手段，包括：API 攻击、API 网关攻击和微服务应用攻击。路径 5：针对 Serverless 发起攻击，无服务器架构颠覆性的变化，给应用服务开发商和拥有者带来了全新的安全挑战。路径 5 显示了攻击者利用Serverless 存在的安全风险进行攻击的路径，可能存在的攻击手段包括：事件注入攻击、敏感数据泄露攻击、身份认证攻击、权限滥用攻击、拒绝服务攻击和针对函数供应链的攻击。云原生安全威胁分析与能力建设白皮书21下面我们对威胁全景中攻击路径 1 至路径 5 的具体攻击手段，进行详细的分析。2.2 路径 1：镜像攻击2.2 路径 1：镜像攻击镜像是一个包含应用/服务运行所必需的操作系统和应用文件的集合，用于创建一个或多个容器，容器和镜像之间紧密联系，镜像的安全性将会影响容器安全。图 6 展示了攻击者利用镜像进行攻击的主要方式。图 6 容器镜像安全风险2.2.1 镜像投毒攻击2.2.1 镜像投毒攻击攻击者通过上传恶意镜像到公开仓库或受害者本地仓库，然后将恶意镜像伪装成正常镜像以引导受害者使用该镜像创建容器，从而实现入侵。根据入侵目的的不同，可以分为恶意后门镜像和恶意 EXP 镜像。恶意后门镜像攻击者的目的是为了控制容器，一般是在受害者使用镜像启动容器后，就会向攻击者反弹一个容器的 shell。这种情况下攻击者可能是为了部署挖矿程序或者攻击容器内运行的业务。恶意 EXP 镜像攻击者的目的是利用隐云原生安全威胁分析与能力建设白皮书22藏在其中的 Exploit 进行容器逃逸，然后获得宿主机的控制权。2.2.2 镜像仓库攻击2.2.2 镜像仓库攻击这里指的是攻击受害者本地的镜像仓库，如 Harbor8、Docker Registry9等。其中 Harbor 镜像库从发布开始就被爆出权限提升、枚举、SQL 注入、CSRF等多项漏洞。除此之外，如果私有镜像仓库由于配置不当而开启了 2357 端口，将会导致私有仓库暴露在公网中，攻击者可直接访问私有仓库并篡改镜像内容，造成仓库内镜像的安全隐患。2.2.3 中间人攻击2.2.3 中间人攻击如何保证容器镜像从镜像仓库到用户端的完整性也是镜像面临的一个重要安全问题。由于用户以明文形式拉取镜像，如果用户在与镜像仓库交互的过程中遭遇了中间人攻击，导致拉取的镜像在传输过程中被篡改或被冒名发布恶意镜像，会造成镜像仓库和用户双方的安全风险。2.2.4 敏感信息泄露攻击2.2.4 敏感信息泄露攻击当开发人员使用默认的或在容器镜像中保留硬编码的敏感数据，比如密码、API 密钥、加密密钥、SSH 密钥、令牌等，或者在 Dockerfile 文件中存储了固定密码等敏感信息并对外进行发布，都可能导致数据泄露的风险。攻击者会使用扫描工具，比如 SecretScanner 等，探测镜像中存在的敏感信息，发现容器镜像和文件系统中的敏感数据。2.2.5 针对镜像不安全配置的攻击2.2.5 针对镜像不安全配置的攻击镜像是容器运行的基础，容器引擎服务通过使用不同的镜像来启动容器。镜像是按层封装好的文件系统和描述镜像的元数据构成的文件系统包，包含应用所云原生安全威胁分析与能力建设白皮书23需要的系统、环境、配置和应用本身。如果镜像配置不当，将会导致运行的容器面临攻击的危险，比如镜像未使用特定用户账号进行配置导致运行时拥有的权限过高，从而引起容器逃逸等安全风险。2.3 路径 2：容器攻击2.3 路径 2：容器攻击容器提供了独立隔离的环境来打包和运行应用程序，容器的隔离和安全措施使得用户可以在给定主机上同时运行多个容器。通过 Namespace、Cgroup、Capability、内核强访问控制等多种安全机制以及隔离措施，保证容器内应用程序的安全与隔离。图 7 展示了攻击者可能利用的直接对容器进行攻击的方式。图 7 容器运行时安全风险2.3.1 守护进程攻击2.3.1 守护进程攻击Docker Daemon 是 Docker 架构中一个常驻后台的 Docker 守护进程，用于监听 REST API 请求并相应地执行容器操作，只有信任的用户才能向 DockerDaemon 发起请求。默认情况下，对于 Docker Daemon 的访问请求未经加密和身份验证，攻击者可能通过伪造请求的方式，来达到欺骗 Docker Daemon端执行危险的操作。云原生安全威胁分析与能力建设白皮书24除此之外，攻击者可以通过暴露在互联网端且不安全的 Docker Daemon，获得 Docker 平台的完全控制权，进而再部署“挖矿”或其他恶意容器。由于Docker Daemon 作为主机上的根进程运行，攻击者还可能获得主机的完全控制权。2.3.2 容器提权和逃逸攻击2.3.2 容器提权和逃逸攻击攻击者通过劫持容器，获得了容器内某种权限下的命令执行能力，然后利用这种命令执行能力，借助一些手段进一步获得该容器所在宿主机上某种权限下的命令执行能力，实现容器逃逸的目的。根据不同的原因，容器逃逸方式包括以下几方面：内核漏洞导致的容器逃逸：内核漏洞导致的容器逃逸：容器本身是一种受到各种安全机制约束的进程，因此从攻击角度来看，攻击者通过权限提升达到逃逸的目的，一旦有新的内核漏洞产生，就需要考虑它是否能够用于容器逃逸。危险配置导致的容器逃逸：危险配置导致的容器逃逸：Docker 容器基于 Linux 内核中的 Capabilities特性划分特权集，以便进程可以只分配“执行特定功能”的特权，例如通过使用privileged 参数获得所有特权集，使用 cap-add 和 cap-drop 参数增减特权集。然而，无论是细粒度权限控制还是其他安全机制，用户都可以通过修改容器环境配置或在运行容器时指定参数来缩小或扩大约束。如果用户为不完全受控的容器提供了某些危险的配置参数，就为攻击者提供了一定程度的逃逸可能性。需要特别强调的是，当用户通过 Privileged 参数运行特权容器时，容器将具备访问宿主机资源的权限，同时可以修改 AppArmor 或 SELinux 的配置。该场景下，攻击者可以通过多种手段实现容器逃逸，例如可以直接在容器内部挂载云原生安全威胁分析与能力建设白皮书25宿主机磁盘，然后通过切换目录实现容器逃逸。危险挂载导致的容器逃逸：危险挂载导致的容器逃逸：为了方便宿主机与容器进行数据交换，用户往往会采用将宿主机目录挂载到容器中，将宿主机上的敏感文件或目录挂载到容器内部，将 会 导 致 容 器 逃 逸 风 险。例 如 Docker Socket 套 接 字 文 件（/var/run/docker.sock）、宿主机的 procfs 文件等敏感文件。程序漏洞导致的容器逃逸：程序漏洞导致的容器逃逸：参与到容器生态中的服务端、客户端程序自身存在的漏洞都可能导致容器逃逸的风险，例如 CVE-2019-5736 漏洞。2.3.3 拒绝服务攻击2.3.3 拒绝服务攻击由于容器与宿主机共享 CPU、内存、磁盘空间等硬件资源，且 Docker 本身对容器使用的资源并没有默认限制，如果单个容器耗尽宿主机的计算资源或存储资源（例如进程数量、存储空间等），就可能导致宿主机或其他容器的拒绝服务。计算型 DoS 攻击：计算型 DoS 攻击：Fork Bomb 是一类典型的针对计算资源的拒绝服务攻击手段，其可通过递归方式无限循环调用 fork()系统函数，从而快速创建大量进程。由于宿主机操作系统内核支持的进程总数有限，如果某个容器遭到了 ForkBomb 攻击，那么就有可能存在由于短时间内在该容器内创建过多进程而耗尽宿主机进程资源的情况，宿主机及其他容器就无法再创建新的进程。存储型 DoS 攻击：存储型 DoS 攻击：针对存储资源，虽然 Docker 通过 Mount 命名空间实现了文件系统的隔离，但 CGroups 并没有针对 AUFS 文件系统进行单个容器的存储资源限制，因此采用 AUFS 作为存储驱动具有一定的安全风险。如果宿主机上的某个容器向 AUFS 文件系统中不断地进行写文件操作，则可能会导致宿主云原生安全威胁分析与能力建设白皮书26机存储设备空间不足，无法再满足其自身及其他容器的数据存储需求。2.3.4 容器网络攻击2.3.4 容器网络攻击Docker 提供桥接网络、MacVLAN、Overlay 等多种组网模式，可分别实现同一宿主机内容器互联、跨宿主机容器互联、容器集群网络等功能。由于容器间的网络缺乏安全管理机制，无法对同一宿主机内各容器之间的网络访问权限进行限制。因此，无法避免容器间互相攻击的安全风险。容器网络所面临的攻击主要包括容器网络内部攻击和容器网络外部攻击。容器网络内部，由于网络流量不通过物理网卡而在宿主机内部的容器通信，存在容器虚拟网络间的 DoS 攻击风险。容器网络外部，由于宿主机上的所有容器共享物理网卡资源，若外部攻击者向某一个目标容器发送大量数据包进行DDoS 攻击，将可能占满宿主机的网络带宽资源，造成宿主机和其他容器的拒绝服务。2.4 路径 3：编排工具攻击2.4 路径 3：编排工具攻击编排工具的工作依赖于容器及容器镜像技术，所以用户在使用编排工具时，同样会面临容器及容器镜像的安全风险。在针对编排工具的攻击一节，我们重点介绍编排工具本身存在的安全风险。目前，常见的开源编排工具包括 k8s10、OpenShift11等，其中 k8s 在功能性、通用性以及扩展性方便表现良好，同时具有较强的社区支持，使其得到广泛的应用。图 8 以 k8s 为例展示了编排工具的架构，以及攻击者可能对编排工具进行攻击的方式云原生安全威胁分析与能力建设白皮书27图 8 针对 k8s 进行攻击的路径分析2.4.1k8s 组件攻击2.4.1k8s 组件攻击攻击点 1 至攻击点 4，罗列了 k8s 各组件的不安全配置可能带来的安全风险，即 API Server 未授权访问、etcd 未授权访问、kubelet 未授权访问、kube-proxy 不安全配置。除此之外，还有很多组件都存在着类似的安全问题，比如 dashboard、Docker 等组件也存在未授权访问的隐患，这些都是 k8s 集群的重要系统组件，一旦被攻击成功，都是可以直接获得相应集群、节点或容器的权限。2.4.2 服务对外暴露攻击2.4.2 服务对外暴露攻击攻击点 5 表示 Node 节点对外暴露的服务。由于管理员的疏忽或为了方便管理而故意留的一些接口，导致内部服务的暴露，使得编排组件存在一个潜在的攻击点。比如 Mysql 对外服务存在弱口令登录的问题，目标系统的其中一个节点通过 NodePort 对外映射了 Mysql 服务端口，且经过尝试，通过弱口令可登云原生安全威胁分析与能力建设白皮书28录。这种情况就属于是管理员的安全意识不足引起的服务对外暴露风险，相应的攻击行为即服务对外暴露攻击。2.4.3 业务 pod 攻击2.4.3 业务 pod 攻击在云原生环境下，上层应用程序对攻击者来说就像是集群的一个入口，攻击应用程序的目标就是突破入口，拿到业务环境也就是业务所在 pod 的 shell。攻击点 6 显示的是攻击者利用 Web 服务的漏洞对 pod 发起的攻击。Web 安全发展这么多年，可利用的漏洞非常之多，比如 Log4j2-RCE 漏洞（CVE-2021-44228）12以及 Spring-RCE 漏洞（CVE-2022-22965）13，其危害非常之大，且其利用也很简单。Log4j2 漏洞，虽然在高版本和低版本的JDK 环境下利用方法不同，但网上都已经分别有非常多的现成 EXP 可用，一旦成功利用即可以完全接管整个业务 pod。尽管进入 pod 后的权限仍然是受限的，但接下来可以通过尝试更多攻击手法，比如横向、逃逸等，逐步扩大战果，直至控制整个集群。对于 pod 发起的本地攻击，主要包括以下几个方面：信息收集:信息收集:进入一个新 pod 中，首先要做的就是收集当前环境的信息。通过信息收集，一是为后续攻击做准备，二是发现敏感服务和敏感信息,例如内网端口、k8s 组件端口等。提权：提权：包括 pod 内提权和 k8s 提权，pod 内提权和容器的提权类似，详见容器安全内容。k8s 提权的方式和场景有很多，比如 RBAC 提权，还有一些用于 k8s 提权的 Nday，比如 CVE-、CVE-2020-8559 等。拒绝服务：拒绝服务：主要从 CPU、内存、存储、网络等方面进行资源耗尽型攻击。云原生安全威胁分析与能力建设白皮书292.4.4 集群环境下的横向攻击2.4.4 集群环境下的横向攻击可能存在的横向攻击内容包括攻击 API Server 以及攻击其他服务，如攻击路径 7、8 所示。攻 击 API Server：攻 击 API Server：k8s 集 群 的pod 和API Server 通 信 是 通 过ServiceAccount 的 token 验证身份的，这里存在一个攻击点就是如果 pod的 ServiceAccount 权限过大，便可以以高权限和 API Server 通信，则有可能查看集群的一些敏感信息或者执行高权限操作，甚至进一步控制集群。攻击其他服务：攻击其他服务：集群中往往会有一些通过 ClusterIP 暴露在内部的Service，这些服务在集群外部是扫描不到的，但是在内部 pod 中通过前文提到的信息搜集方法就有可能发现一些敏感服务，比如通过扫描端口或查看环境变量等。2.4.5k8s 管理平台攻击2.4.5k8s 管理平台攻击除了官方推出的 Dashboard，还有很多 k8s 管理平台，比如 Rancher、KubeSphere、KubeOperator 等，k8s 管理平台存在未授权访问、弱口令登录等安全风险。因为管理平台是直接控制着整个集群的，一旦出现安全问题，危害十分严重，从安全的角度讲，管理平台应该尽量避免暴露在外网。2.4.6 第三方组件攻击2.4.6 第三方组件攻击k8s 生态中还会使用一些第三方组件，比如服务网格、API 网关等，这些组件也有可能存在漏洞，比如开源 API 网关 Apache APISIX14的 RCE 漏洞、服务网格 Istio15的未授权访问或 RCE 漏洞等。2.5 路径 4：微服务攻击2.5 路径 4：微服务攻击云原生安全威胁分析与能力建设白皮书30微服务是一种软件架构模式，把一个应用拆分成多个服务，每个服务间通过约定的 API 接口方式进行通信，从而形成一个整体的应用系统。微服务可以部署在不同的服务器上，也可以部署在相同的服务器不同的容器上。当前应用产生的故障不会影响到其他应用，单应用的负载也不会影响到其他应用。这其中每个拆分的服务就是微服务，彼此之间都是松耦合的，甚至可以使用各研发人员擅长的不同开发语言进行编写。图 9 展示了微服务场景下可能存在的攻击类型。图 9 针对微服务进行攻击的路径分析2.5.1API 攻击2.5.1API 攻击API 是一种计算接口，定义了软件之间的数据交互方式、功能类型。随着互联网的普及和发展，API 从早期的软件内部调用的接口，扩展到互联网上对外提供服务的接口。调用者通过调用 API，可以获取接口提供的各项服务，而无须访云原生安全威胁分析与能力建设白皮书31问源码，也无须理解内部工作机制的细节。针对微服务 API 的攻击，包括但不限于以下几个方面：缺少身份认证导致的攻击：缺少身份认证导致的攻击：某些 API 在设计之初由于未充分考虑用户群体或者具体的使用场景而未进行身份认证。身份认证的缺失导致相关 API 可被任意访问，若相关 API 涉及敏感数据则会埋下严重的数据泄漏的隐患。输入参数未校验导致的攻击：输入参数未校验导致的攻击：API 的参数组合及各参数值类型相对固定，这些参数也决定着 API 返回的数据。若 API 未对参数值的类型进行校验则可能会被攻击者利用来进行注入类攻击；若攻击者未将参数与用户身份进行关联则可能会导致越权类攻击。明文传输导致的攻击：明文传输导致的攻击：API 未对传输数据进行加密设计而直接进行明文传输，攻击者可通过网络嗅探等手段直接获取 API 的交互格式以及数据，通过对获取的数据进行分析，并进行下一步的攻击。权限设计不合理导致的攻击：权限设计不合理导致的攻击：权限设计不合理可能导致水平越权、垂直越权和数据越权等攻击行为。水平越权，由于服务端在接收到客户端请求数据后进行操作时没有判断数据的所属对象，致使用户 A 可以访问到属于同一角色的用户 B的数据。垂直越权，由于服务端没有设置权限控制或权限控制存在缺陷，导致恶意用户只要猜测到管理页面的 URL 地址或者某些用于标识用户角色的参数信息等，就可以访问或控制其他角色拥有的数据，达到权限提升的目的。数据权限，某些 API 在设计时为兼容多个功能会将过多的数据杂糅到一起返回至前端，然后由前端去筛选相关的数据。这导致 API 返回过多的数据，攻云原生安全威胁分析与能力建设白皮书32击者可通过流量拦截等手段获取 API 原始返回的数据，从而存在数据泄漏的隐患。安全配置缺陷导致的攻击：安全配置缺陷导致的攻击：安全配置缺陷是最常见的安全问题，这通常是由于不安全的默认配置、不完整的临时配置、开源云存储等问题所造成的攻击。2.5.2API 网关攻击2.5.2API 网关攻击微服务网关作为微服务后端服务的统一入口，它可以统筹管理后端微服务，API 网关提供路由、负载均衡、流量控制、服务发布等核心功能，API 网关在微服务架构中起到流量枢纽的作用。常用的 API 网关类型包括 Spring CloudGateway16、Kong17、Zuul18等。不安全的微服务网关将给攻击者提供可乘之机，如2022年3月1日，Spring官 方 发 布 了 关 于 Spring Cloud Gateway 的 两 个 CVE 漏 洞，分 别 为CVE-与CVE-。攻 击 者 通 过 利 用CVE-2022-22947 漏洞，执行 SpEL 表达式，允许在远程主机上进行任意命令执行，获取系统权限。CVE-2022-22946 漏洞，将会导致网关能够使用无效或自定义证书连接到远程服务。2.5.3 微服务应用攻击2.5.3 微服务应用攻击微服务最终也是一个个独立的应用，也是通过代码方式进行编写的，也会使用一些开源的组件。因此在开发期间如果未做好安全开发管控与检测依然会引发相应的安全风险。如开发维护不当导致的安全漏洞，可能为 API 带来严重安全隐患，不法分子可通过安全漏洞、恶性 Bug 等因素获取敏感信息、造成服务器失陷。开发过程中引入开源或第三方插件、加载库、模块、框架等存在安全问题云原生安全威胁分析与能力建设白皮书33时，导致代码中出现安全漏洞、恶意代码、“后门”等安全隐患。2.6 路径 5：Serverless 攻击2.6 路径 5：Serverless 攻击无服务器计算是一种云计算运行架构，在该架构下，云平台根据开发者编写好的代码，自动准备好相应的计算资源，完成运算并输出结果，从而大幅简化开发运维过程。无服务器计算作为事件驱动架构，将工作负载分解成多个无缝隔离的执行环境，每个执行环境都承载着一个特定任务并负责处理一个单独事件，在时间与空间中各自运行。例如，基于 Knative21实现的 Serverless 架构将无服务抽象为三个关键的组件，分别为构建应用的 build 组件、提供流量的 serving组件和生产消费事件的 event 组件。无服务器架构颠覆性的变化，给应用/服务开发商和拥有者带来了全新的安全挑战，包括攻击面增多、攻击方式复杂、可观测性不足、传统安全方案不兼容不适用等。图 10 展示了基于 Knative 实现的Serverless 场景下可能存在的攻击类型。图 10 针对 Knative 进行攻击的路径分析云原生安全威胁分析与能力建设白皮书342.6.1 事件注入攻击2.6.1 事件注入攻击无服务器计算本身是由事件驱动的，当函数订阅一个事件源后，该函数在该类型的事件发生时被触发，这些事件可能来源于平台内部或外部，其中部分事件可能是无法确认其来源的，对于来源未知且不可控的事件都是一种潜在的事件注入威胁。通常情况下，攻击者将可以控制的信息作为事件的一部分传递给可调用单元，可调用单元在得到事件后未对事件做合理的筛选和过滤，就直接对事件进行处理，此时就有可能产生数据注入风险，攻击者利用注入事件所携带的信息控制主机或造成数据泄露等。举例来说，可调用单元的事件还可能来自受攻击者控制的Web 请求。假设可调用单元直接使用事件携带的信息作为数据库访问请求的一部分。那么在这种情况下，攻击者将会使用精心构造的信息来修改数据库或读取机密信息。有关无服务器应用程序的注入攻击实例研究可参考 Top10Interpretation for Serverless22。2.6.2 敏感数据泄露攻击2.6.2 敏感数据泄露攻击在无服务器计算体系结构中，敏感数据的暴露与在其他任何体系结构中一样令人担忧。传统体系结构中使用的大多数方法，如窃取密钥、执行中间人攻击以及在静止或传输中窃取可读数据，仍然适用于无服务器应用程序。然而，由于无服务器计算架构的存储共享特点，攻击者可以利用共享存储权限配置错误或漏洞窃取系统的敏感数据。全局信息泄露：全局信息泄露：无服务器计算架构中函数调用的不同服务通常也会被其它用户的函数调用来提供服务，无法像传统应用程序使用单个集中式配置文件存储的云原生安全威胁分析与能力建设白皮书35方式，因此开发人员多使用环境变量替代，使服务使用的敏感数据可能会留在容器中，并可能在函数的后续调用期间暴露。攻击者可以利用无服务器计算架构的这一特点，通过恶意程序植入等手段，获取服务中的全局敏感数据，造成敏感数据泄露。密钥的不安全存储：密钥的不安全存储：通常，服务被触发的时候需要访问特定的云或外部资源。要做到这一点，服务可能需要获取密钥。攻击者可以利用未安全存储的密钥或使用标准凭据集等情况发起攻击，造成严重的数据泄露等。像任何其他使用无服务器功能的应用程序一样，凭据和密钥的泄漏可能导致虚拟身份和数据泄漏。2.6.3 身份认证攻击2.6.3 身份认证攻击Serverless 架构的应用是由几十甚至上百个函数组成，每个函数实现特定的业务功能，这些函数组合完成整体业务逻辑。一些函数可能会公开其 Web API，需要进行身份认证，另一些则可能只允许内部调用，所以不用进行身份认证，这就使 Serverless 应用的整体身份认证变得复杂，你要为每个函数及事件源提供合理的身份认证机制，一不小心就会出错。如果一个函数提供了公开的 API 给用户使用，并且该 API 也有正确的身份认证逻辑，用户访问函数后，函数内部首先会从云存储读文件，然后将读取后的数据作为输入源调用内部函数，内部函数无须身份认证，如果云存储没有设置合适的身份认证，攻击者可能直接向云存储注入数据进行攻击。2.6.4 权限滥用攻击2.6.4 权限滥用攻击一个无服务器应用程序可以由数百个微服务组成。不同的功能、资源、服务和事件，所有这些都被编排在一起，以创建一个完整的系统逻辑。无服务器体系云原生安全威胁分析与能力建设白皮书36结构的无状态特性要求对每个资源进行仔细的访问控制配置，未遵循最小化权限的配置原则，配置了不适当的权限，将会增加事件驱动无服务器计算架构中的攻击面,使敏感数据更容易被窃取。2.6.5 拒绝服务攻击2.6.5 拒绝服务攻击Serverless 平台具有自动化弹性扩展的特性，这就意味着用户只需要为函数的调用次数付费，函数的扩展交由云厂商负责。如果攻击者掌握了事件的触发器，并通过 API 调用大量的函数资源，那么在未受保护情况下函数将急速扩展，随之产生的费用也呈指数增长，最终会导致开发者的账户资金被消耗光，造成后续正常调用的拒绝服务。另外，即便受到保护的情况下，也未必可以完全规避风险，例如云厂商替开发者设置了调用频次上限，虽然开发者的钱包受到了保护，但攻击者也可以通过攻击频次达到设定上限实现了对开发者账户拒绝服务的目的。2.6.6 针对函数供应链的攻击2.6.6 针对函数供应链的攻击无服务器计算的函数通常是功能单一的微服务，随着功能逻辑的复杂度提升，代码量也会随之增加，随之而来的供应链风险也愈发严重。例如利用基础镜像中已经存在的安全漏洞进行攻击、利用应用程序引入第三方依赖库的漏洞进行攻击等。云原生安全威胁分析与能力建设白皮书37三、典型攻击场景分析三、典型攻击场景分析在对云原生关键技术的威胁全景进行分析后，本章通过复现典型攻击场景，深入分析攻击过程，使读者更加清晰、全面地了解云原生技术所面临的安全风险。3.1 镜像投毒攻击3.1 镜像投毒攻击3.1.1 攻击场景介绍3.1.1 攻击场景介绍脏牛漏洞(CVE-20165195)23是 Linux 的一个本地提权漏洞，该漏洞的原因是 get_user_page 内核函数在处理 COW 的过程中，可能产出条件竞争造成 COW 过程被破坏，导致出现写数据到进程地址空间内只读内存区域的机会，攻击者即可利用该漏洞可以实现提权的目的。在容器环境下，攻击者通过利用含有脏牛漏洞的二进制程序，构建恶意镜像，并上传到公共镜像仓库引诱用户下载。当受害者下载并启动了该恶意镜像后，攻击者便可以接收到恶意镜像反馈的监听信息，即可通过反弹 shell 窃取敏感数据、进行危险操作等攻击行为，攻击路径如图 11 所示图 11 镜像投毒攻击路径分析云原生安全威胁分析与能力建设白皮书383.1.2 攻击过程复现3.1.2 攻击过程复现步骤 1：构建二进制漏洞利用程序。步骤 2：基于 Ubuntu 镜像构建恶意镜像，将上一步中的二进制漏洞利用程序作为镜像的入口点（entrypoint）步骤 3：先使用 nc 等工具开启反弹 shell 监听，然后执行如下命令模拟受害者创建并运行容器即可，效果如图 12 所示：图 12 反弹 shell 攻击结果展示3.2 挂载 Docker Socket 导致容器逃逸攻击3.2 挂载 Docker Socket 导致容器逃逸攻击3.2.1 攻击场景介绍3.2.1 攻击场景介绍Docker 通过将主机上的目录或文件挂载到 Docker 容器中，以实现数据的共享或持久化，详细命令可参考 Docker CLI24，其中挂载命令如下：Docker run.-v 主机目录:容器目录在容器的使用过程中，Docker.sock 文件是 Docker 守护进程的 Unix 套接云原生安全威胁分析与能力建设白皮书39字（Unix Socket），它是用于与 Docker 守护进程通信的一种机制。通过这个套接字，可以通过发送命令和接收结果来与 Docker 守护进程交互。在使用 Docker命令行工具或者 Docker API 时，都会通过这个套接字与 Docker 守护进程进行通信。将宿主机上的 docker.sock 文件挂载到容器内部，将会导致容器逃逸风险。3.2.2 攻击过程复现3.2.2 攻击过程复现步骤 1：创建一个容器，并在容器中挂载/var/run/Docker.sock 文件dockerrun-itd-namewith_Docker_sock-v/var/run/Docker.sock:/var/run/Docker.sock ubuntu步骤 2：在容器安装 Docker 命令行客户端，内执行以下命令：apt-get updateapt-get install curlcurl-fsSL https:/get.D 3：在容器内部创建一个新的容器，并将宿主机目录挂载到新的容器docker run-it-name container_in_container-v/:/host ubuntu/bin/bash操作结果如图 13 所示，可以看出，新启动的容器 container_in_container可以越权查看到主机相关目录信息。云原生安全威胁分析与能力建设白皮书40图 13 容器逃逸结果展示3.3k8s 权限提升攻击3.3k8s 权限提升攻击3.3.1 攻击场景介绍3.3.1 攻击场景介绍k8s 通过 RBAC25来实现用户权限管理，k8s 提供了四种 RBAC 对象，分别 为 Role、ClusterRole、RoleBinding 和 ClusterRoleBinding。Role 及ClusterRole 分别为某些权限的集合，例如 Pod 的“get”、“watch”和“list”权限，RoleBinding 和 ClusterRoleBinding 资源则是将这些权限与特定的用户进行绑定。CVE-是一个 k8s 提权漏洞，该漏洞允许攻击者在拥有pod 权限的情况下，提升至 API Server 权限，当拥有 API Server 权限后，就可以轻而易举的攻陷宿主机。攻击路径如下图所示，攻击者向 API Server 发送经过构造的错误请求，将自己的权限提升为 API Server 的权限,创建挂载宿主机资源的 Pod，实现容器逃逸。图 14 展示了攻击者利用 k8s 提权漏洞进行攻击的路径。云原生安全威胁分析与能力建设白皮书41图 14 k8s 权限提升攻击路径3.3.2 攻击过程复现3.3.2 攻击过程复现攻击流程如下大致攻击流程如下：1.构造错误请求，建立经 k8s API Server 代理到 Kubelet 的高权限websocket 连接。2.利用高权限 websocket 连接，向 Kubelet 发起/runningpods/请求，获得当前活动 Pod 列表。3.从活动 Pod 列表中找到 k8s API Server 的 Pod 名称。4.利用高权限 websocket 连接，向 Kubelet 发起/exec 请求，指定 Pod为上一步中获得的 Pod 名称，携带“利用 cat 命令读取ca.crt”作为参数，从返回结果中保存窃取到的文件。5.利用高权限 websocket 连接，向 Kubelet 发起/exec 请求，指定 Pod为上一步中获得的 Pod 名称，携带“利用 cat 命令读取apiserver-kubelet-client.crt”作为参数，从返回结果中保存窃取到的文件。云原生安全威胁分析与能力建设白皮书426.利用高权限 websocket 连接，向 Kubelet 发起/exec 请求，指定 Pod为上一步中获得的 Pod 名称，携带“利用 cat 命令读取apiserver-kubelet-client.key”作为参数，从返回结果中保存窃取到的文件。7.使用 kubectl 命令行工具指定凭证为 4、5、6 步中窃取到的文件创建挂载了宿主机根目录的 Pod，实现容器逃逸。攻击结果如图 15所示，漏洞利用程序成功利用漏洞从k8s API Server Pod中窃取了高权限凭证。图 15 利用 CVE- 窃取高权限凭证由于攻击步骤代码过长，详细的攻击源码见 Exploit.py 脚本27，其中实现构造越权请求的的代码如下：云原生安全威胁分析与能力建设白皮书43def _try_to_get_privilege(ssock,namespace,pod):payload1=http_delimiter.join(fGET/api/v1/namespaces/namespace/pods/pod/exec HTTP/1.1,host_header,auth_header,upgrade_header,conn_header)payload1 =http_delimiter*2ssock.send(payload1.encode(utf-8)正常的请求地址中带有 stdin、stout 和 tty 三个参数，该代码中构造的错误请求/api/v1/namespaces/namespace/pods/pod/exec 未包含对应的参数，由此利用系统漏洞代理到 Kubelet 的高权限 websocket 连接28。3.4Istio 认证策略绕过攻击3.4Istio 认证策略绕过攻击3.4.1 攻击场景介绍3.4.1 攻击场景介绍Istio 目前已作为微服务治理框架的代表，在 Istio 中 JWT 认证策略通常通过配置一个 YAML 文件实现，以下是一个简单的 JWT 认证策略配置。云原生安全威胁分析与能力建设白皮书44apiVersion:authentication.istio.io/v1alpha1kind:Policymetadata:name:jwt-examplenamespace:istio-systemspec:targets:-name:istio-ingressgateway#需要在 Istio 网关入口处部署 JWT 认证策略origins:-jwt:issuer:testistio.io#JWT 颁发者jwksUri:https:/ JWT 的 JWKS 所在 URLtrigger_rules:#JWT 验证请求的触发规则列表-included_paths:#代表只有访问包含以下路径规则才需要 JWT 认证-exact:/productpage#路径与 productpage 完全匹配后才可以访问服务CVE-2020-8595 漏洞29主要由于 Istio JWT 策略配置中的 triggerRules机制，简单来讲，triggerules 指定请求 url 的字符串匹配机制，如上 YAML 文件中参数 exact，表示需要完全匹配的字符串才可以满足要求，包括 url 后面所附带的参数（“?”）以及 fragments 定位符（#），而不是在匹配之前将“?”和“#”隔离的内容进行分离。导致攻击者可以通过在受保护的 path 后添加“?”或“#”进行绕过从而达到未授权（JWT）访问。云原生安全威胁分析与能力建设白皮书453.4.2 攻击过程复现3.4.2 攻击过程复现为了复现攻击过程，用户可以参照文章30搭建测试环境，包括 k8s 及 Istio集群环境，httpbin 服务、gateway、部署 JWT 策略以及设置相应的环境变量等。攻击过程复现如下：首先，访问加了 JWT 认证的 url path“/ip”，结果如图 16 所示：图 16 未授权访问结果可以看到服务端返回 401 Unauthorized 拒绝访问，原因是需要认证授权，证明策略生效了。然后我们再通过添加符号“？”，绕过 Istio JWT 认证策略配置，结果图 17 所示：图 17 绕过 Istio JWT 认证访问结果云原生安全威胁分析与能力建设白皮书46可以看到返回为 200 状态码，说明不需要 JWT 的认证也可以访问 ip 这个 path下的内容，从而完成绕过。云原生安全威胁分析与能力建设白皮书47四、云原生应用保护能力建设四、云原生应用保护能力建设开展云原生应用保护能力建设，可以助力企业的云原生安全体系形成，增强云原生应用的内生安全能力，保障云原生应用的安全运行。CNAPP 首先由 Gartner 在 2021 年提出31，CNAPP 包含一组集成的安全性和合规性的功能，旨在开发和生产过程中保护云原生应用全生命周期的安全，确保了在开发和运营生命周期中的全面保护云原生应用的安全。2023 年中国信息通信研究院在云原生产业联盟年会上发布了云原生应用保护平台能力要求32，为云原生应用保护平台提出了具体的能力要求。在此基础之上，中国联通研究院积极开展云原生应用保护能力建设实践，并提出了云原生应用保护能力建设架构图，如图 18 所示。图 18 云原生应用保护能力建设架构图4.1 制品安全能力建设4.1 制品安全能力建设制品安全主要从代码安全、镜像安全、制品环境安全和安全检测四个层面进行安全能力构建。制品安全能力建设如图 19 所示。云原生安全威胁分析与能力建设白皮书48图 19 制品安全能力建设4.1.1 代码安全4.1.1 代码安全云原生安全的建设是与传统的安全建设是相交织的，云原生环境下，新增了许多传统安全无法覆盖的资源对象，以及在相同场景下但不适用云原生环境的安全能力。代码作为企业最核心的资产，其安全性在传统安全与云原生安全都极为重要，代码的风险主要来自于代码数据丢失、泄露，以及编码中引入风险漏洞。在代码安全方面，需重点考虑静态应用安全测试和软件成分分析两个方面。（1）静态应用安全测试（1）静态应用安全测试SAST 与人工代码审查相比，具有效率高、结果一致等优点，属于白盒测试的一种。利用 SAST 工具进行检测不需要运行测试的应用程序，而且理论上可以覆盖所有可能的程序路径，检测出来的漏洞多而全，但由于未对运行应用程序进行检测，因此 SAST 工具检测出的风险会存在一定程度的误报。（2）软件成分分析（2）软件成分分析云原生安全威胁分析与能力建设白皮书49SCA 针对第三方开源软件以及商业软件涉及的各种源码、模块、框架和库进行分析、清点和识别，通过分析开源软件的组件及其构成和依赖关系，识别出已知的安全漏洞，并提供相应的修复建议，能够有效的帮助开发人员修复安全问题，从而把这些风险排查在应用系统投产之前，对开源组件及风险进行统一管理。开源组件信息统一管理：开源组件信息统一管理：在现今开源组件大量使用情况下，需对所有的开源组件库的信息进行统一管理，用于有效追踪、监视和管理应用程序中使用的各种开源组件。包括记录组件的版本、许可证等信息以及与组件相关的其他元数据。这有助于组织在应用程序中使用的开源组件的清晰性，以便更好地管理潜在的风险、合规性和漏洞修复。开源组件的软件许可检测：开源组件的软件许可检测：软件许可的滥用可能会引发法律风险，需针对应用程序中使用的开源组件进行周期性或实时性的许可证分析和监测，以确保开源组件的许可证与应用程序的许可证要求和法律合规性相符。使得组织避免潜在的法律纠纷和合规性问题，同时维护开源组件的合法使用。开源组件中的风险检测：开源组件中的风险检测：开源组件的风险包括安全漏洞、组件可信度、社区活跃程度、漏洞修复状态等。应建立有效的流程机制，对风险进行周期性的检测，及时了解和应对潜在的安全和可维护性风险，以确保系统的稳定性和安全性。4.1.2 镜像安全4.1.2 镜像安全镜像基于特殊文件系统为要运行的容器提供所需的程序、库文件以及运行所需的配置参数等，由于自身特性，在构建完成后则不会被改变，我们称之为不可变的基础设施。由于镜像的组成囊括了容器运行所需的所有内容，所以一个镜像内可能包含软件、文件、环境变量等内容，这些内容引入的风险都可能会被攻击云原生安全威胁分析与能力建设白皮书50者利用。（1）黄金基础镜像（1）黄金基础镜像在日常的安全运营工作中，也许会发现镜像内含有大量漏洞。这此些漏洞，大多来自于基础镜像内，如果基础镜像存在大量漏洞，在生成业务镜像后，漏洞数量将会成倍的增长。所以需建立黄金镜像仓库，维护需要用到的系统、中间件等基础镜像，周期性进行维护更新，在有效抑制风险暴漏的同时，也有利于镜像安全风险的治理。（2）镜像风险检测（2）镜像风险检测建立黄金镜像仓库，使用安全的基础镜像构建镜像，由于代码的相关依赖，依然会引入一定量的软件、文件等内容，所以需建立相关能力，对镜像可能存在的漏洞、软件成分、敏感信息（备份文件、SSH 密钥、敏感环境变量等）、木马病毒等风险进行审查，并建立卡点及修复流程机制，形成规范。（3）镜像来源检测（3）镜像来源检测镜像来源检测，也称为可信镜像，是一项安全实践，旨在验证和确保容器镜像的来源可信度和完整性。通过使用数字签名、加密哈希等技术，可以验证镜像的真实性，确保它来自受信任的源，例如特定镜像、特定仓库、基于特定基础镜像等。以减少恶意或篡改的风险，从而提高容器化应用的安全性。4.1.3 制品环境安全4.1.3 制品环境安全制品环境主要指代码仓库、镜像仓库、CI/CD 环境等，作为业务的存储、分发以及流转机制，其自身一旦被攻击，造成的影响面远高于单个业务镜像、容器被攻击。应建立持续的、高效的安全能力，增强制品环境的健壮度。云原生安全威胁分析与能力建设白皮书51（1）代码加密存储与传输（1）代码加密存储与传输通过在存储代码的仓库中应用加密技术，保护代码存储的机密性。这意味着只有经过授权的用户或系统能够解密和访问存储在仓库中的代码，提供了额外的安全层，防止未经授权的访问和数据泄露，同时还应建立多地容灾等手段，保证代码数据的安全性。在用户上传和读取代码数据时，应采用加密协议等进行数据传输，保障数据在传输过程中的安全。（2）代码仓库安全（2）代码仓库安全代码仓库中存储的源代码和相关开发资产的完整性、机密性和可用性极为重要。用户需强化身份验证和授权管理，通过监控和审计实现对访问的严格控制，并定期进行漏洞扫描发现并纠正潜在的安全漏洞，同时通过强密码和多因素身份验证等手段增强用户身份验证的安全性。此外，需要形成定期备份和灾难恢复流程机制。（3）镜像仓库安全（3）镜像仓库安全镜像仓库的安全与代码仓库大致相同。这包括强化身份验证和访问控制，确保只有授权的用户可以上传和下载镜像，并使用加密、签名技术保护数据在传输和存储过程中的机密性和完整性，防止未经授权的访问、数据泄露和篡改。定期进行漏洞扫描和审查，以便及时发现和修复镜像仓库可能存在的安全漏洞。建立合适的备份和灾难恢复机制，以应对意外数据损坏或丢失的情况。最终通过持续的监控和报警体系，对异常活动进行及时响应，提高镜像仓库的整体安全性。（4）持续集成持续交付环境安全（4）持续集成持续交付环境安全持续集成持续交付环境是业务流转上线的最后一环，所以针对集成工具的权云原生安全威胁分析与能力建设白皮书52限分配应基于最小权限原则，至少支持项目级的权限管理。用户密码也应满足复杂度要求，并进行多因素验证。同时针对持续集成与持续交付环境应进行漏洞的持续检测，加强制品流转安全。4.1.4 安全检测4.1.4 安全检测由于 web 应用是获取敏感数据最近的渠道，所以 web 应用是攻击者最关注的攻击目标，虽然可能已经建立了 SAST 能力，但许多漏洞只能通过对正在运行的动态应用程序进行安全测试才能发现，需尽可能构建多样化互补的安全自动化测试能力，让应用中存在的安全漏洞、不安全的隐患尽可能在上线前暴露出来并及时修复，降低应用研发迭代过程中的安全问题修复成本，以及线上安全风险，重点能力包括动态应用安全测试、交互式应用安全测试。（1）动态应用安全检测（1）动态应用安全检测DAST 通过模拟实际攻击来评估应用程序的安全性。DAST 扫描工具发送恶意请求和攻击模拟，然后分析应用程序的响应，以检测潜在的漏洞和安全威胁。这种方法不需要源代码访问，因此适用于已部署的应用程序，可以帮助发现运行时的安全漏洞。动态应用安全检测能够对业界常见的安全漏洞类型检测，包括但不限于注入类、失效身份验证和会话管理、敏感信息泄露、弱口令、XML 外部实体注入攻击、失效的访问控制、安全配置错误、XSS、不安全的反序列化、任意文件上传、读取及目录遍历、CSRF、未经验证的转发和重定向等。（2）交互式应用安全检测（2）交互式应用安全检测IAST 能力在业务测试时，模拟运行时可能遭遇的真实攻击，同时分析应用云原生安全威胁分析与能力建设白皮书53程序的执行路径和数据流，以检测潜在的漏洞和安全威胁。能够在应用程序运行时提供实时的安全分析和漏洞检测，减少误报率，帮助开发人员更准确地定位和修复安全问题，提高应用程序的安全性和稳定性。交互式应用安全检测能够对业界常见的安全漏洞类型检测，包括但不限于注入类、失效身份验证和会话管理、敏感信息泄露、XML 外部实体注入攻击、失效的访问控制、安全配置错误、XSS、不安全的反序列化、任意文件上传、读取及目录遍历、CSRF、未经验证的转发和重定向、使用弱加密算法及弱随机数、使用硬编码凭证、响应头截断、文件包含、jsonp 劫持、服务端模板注入、XPATH注入、正则表达式拒绝服务攻击等。4.2 运行时安全能力建设4.2 运行时安全能力建设运行时安全关注正在运行的业务应用和容器的安全性，运行时安全主要从Web 应用和 API 安全、网络微隔离和云原生运行时安全三个层面进行安全能力的构建。运行时安全能力建设如图 20 所示。云原生安全威胁分析与能力建设白皮书54图 20 运行时安全能力建设4.2.1Web 应用和 API 安全4.2.1Web 应用和 API 安全Web 安全治理需要对 web 应用的风险建立相关的防护能力，包括 SQL 注入、命令注入攻击、XSS 跨站、Webshell 上传、内存 Webshell、WEB 服务器漏洞攻击、第三方组件漏洞、CSRF 跨站请求伪造等攻击行为。同时还应建立对 HTTP 异常检测能力、IP 地址的访问控制能力、URL 访问控制能力等。API 安全的治理需要从 API 生命周期的角度考虑，即从 API 的规划、开发、测试、部署、运行和下线等各个阶段全面考虑安全性，避免安全漏洞被潜在的攻击者利用。而实现全生命周期的安全治理需要跨多个部门，包括开发、测试、安全、运维等部门，达成共识并建立协作机制，共同保障 API 安全。需要利用各种安全工具来及时感知 API 的攻击威胁，实现 API 的分层防护，确保 API 的安全性。云原生安全威胁分析与能力建设白皮书55（1）运行时应用程序自保护（1）运行时应用程序自保护为形成软件应用系统的自我免疫力，增强其防御 0day 漏洞攻击和开源组件漏洞攻击的水平。RASP 能够将防御逻辑注入到 Java 底层 API 和 Web 应用程序中，实现防御手段与应用程序融为一体，实时分析和检测 Web 攻击，使应用程序具备自我保护能力，有效弥补原来防护体系的不足。依赖 RASP 与现有的纵深多级防御体系相结合，能够补上现网软件应用系统多级防御体系中的最后一环，让穿透后的攻击无法落地形成危害。另外，RASP能够实现对应用系统的持续监控，监控应用系统所受到的攻击行为，并实时进行防护，保证应用系统的安全运行。（2）WAF（2）WAFWAF 通过分析来自客户端的 HTTP 请求，并根据其规则库对其进行检查，以检测和阻止恶意攻击。在 Web 防护过程中，WAF 是一种专为保护 Web 应用设计的防火墙。它位于 Web 应用和 Internet 之间，能够监控、过滤并阻止HTTP 流量中的恶意攻击，如 SQL 注入、XSS 和 CSRF 攻击等。在 API 防护过程中，WAF 可以提供实时监测和分析 API 的访问日志，并能够迅速发现异常行为。WAF 可以记录所有请求数据，包括来源 IP、用户代理、参数等，并能够根据事先设置的安全策略进行分析和识别。当异常行为被发现时，WAF 可以立即采取行动，根据预设的安全策略阻止恶意请求，从而快速响应和快速阻止攻击。（3）API 网关（3）API 网关API 网关具有身份认证、访问控制、数据校验、限流熔断等功能，可以帮云原生安全威胁分析与能力建设白皮书56助安全团队管理 API。但是，当所有后端服务的流量都必须通过 API 网关进行通信时，会对原有通信性能和 API 的稳定性产生影响，这是推进 API 网关工作的负责人员需要面对的最大挑战。（4）API 安全审计工具（4）API 安全审计工具该工具通过对 API 资产的流量上下文及敏感数据的持续分析，可以实时发现 API 资产的授权类、认证类、数据暴露类、配置及设计不合理等各类逻辑漏洞，通过外部情报和机器学习模型来感知针对 API 的低频慢速的攻击风险，使用账号、IP、访问时间、访问 API、访问敏感数据等多重维度建设的 UEBA 模型来感知账号共用、借用、盗用等行为导致数据泄露的攻击风险。4.2.2 云原生运行时安全4.2.2 云原生运行时安全云原生环境虽然在传统架构之上建立了新的网络及资源对象层级，但由于容器运行机制，依托宿主机内核相关能力，基于此，运行时安全包括了传统主机的安全以及云原生环境下容器的安全。本文主要对容器运行时安全能力建设提出建议。（1）资源监控（1）资源监控云原生环境中应用微服务化大幅增加了内部网络流量和服务通信端口总量，同时承载负载的容器秒级启动或消失的动态变化，增加了安全监控和保护的难度。组织需建立针对容器及主机的资源监控，并具备设定阈值告警的能力，以防止由于资源问题导致的故障产生。（2）文件完整性安全（2）文件完整性安全业务容器运行所依托的基础内容由镜像提供，而其在运行过程中可能也会产云原生安全威胁分析与能力建设白皮书57生重要数据，针对原本镜像就存在的数据，例如静态 web 站点网页，以及运行过程中产生的数据，例如携带敏感信息的日志等，需建立文件防篡改，风险进程禁止操作等手段，保护容器运行的临时数据，以避免数据泄露。（3）恶意行为检测（3）恶意行为检测传统的入侵检测方式主要针对于主机或者网络层面，现有手段无法快速发现针对容器层面的入侵行为。同时，传统云平台提供的管理平台虽可查看容器状态并进行容器隔离，但无法针对随时可能出现的异常行为进行持续监控与实时报警。所以我们需建立新的技术手段，对容器内发生的行为进行实时监测，发现例如容器逃逸、启动恶意进程、挂载非法设备、映射敏感目录、修改命名空间等恶意行为。并建立隔离、暂停、重启等紧急处置手段。（4）业务行为模型（4）业务行为模型云原生环境下，一个容器一般只会启动一个业务进程，其行为相较于主机变的极为简单，这就使得对业务行为进行记录建模成为可能，在入侵检测基于规则、特征匹配的模式下，可能对风险有所遗漏。所以可对业务行为建立模型，在一定周期内，形成业务行为基线，从而发现模型外的异常行为，进一步发现未知漏洞攻击等行为。并可将行为模型关联业务镜像，使得模型可复用，减少容器多副本时学习的多余资源开销。（5）历史数据留存（5）历史数据留存事后溯源是安全的重要组成部分，但容器在消逝后，未做持久化的数据将会丢失，且容器在运行过程中的行为也不会被记录，使得溯源极为困难。基于此，组织需建立对容器基本信息以及运行过程中行为信息的监测和留存，包括可能存云原生安全威胁分析与能力建设白皮书58在的进程、文件、网络等多个方面。4.2.3 网络微隔离4.2.3 网络微隔离云原生环境中应用微服务化大幅增加了内部网络流量和服务通信端口总量，东西向流量呈指数级增加，增加了安全监控和保护的难度。由于云原生自身资源池化，一个主机实例背后可能存在几十上百个容器，传统基于 IP 的安全策略不再适用云原生环境，且业务容器接受编排系统的动态调度，传统 IP 的隔离策略也极难适应这种持续的动态变化。（1）流量识别统计能力（1）流量识别统计能力随着云原生的应用，东西向流量显著增加，对网络数据进行监测、分析和统计，以识别不同类型的网络流量、应用程序通信模式以及潜在的安全威胁成为必要，组织需具备多云、混合云环境下，网络流量识别，拓扑展示的相关能力。在安全风险发生时，快速定位风险影响范围。（2）流量隔离能力（2）流量隔离能力在传统基于 IP 的安全策略不适用云原生环境背景下，组织需建立新的技术手段，实现对东西向以及南北向流量的隔离，对常用资源对象的出入站流量进行隔离，包括但不限于集群、命名空间、service、宿主机、Pod、容器等资源对象。还应建立基于 Lable 标签的隔离策略下发，适应云原生动态变化的特性。（3）流量预发布能力（3）流量预发布能力由于网络隔离的特殊性，一旦策略下发将直接影响业务环境，组织在建立相关能力的同时，也应相应建设策略预发布的能力，可提前发现策略存在的缺陷，确保业务系统的稳定。云原生安全威胁分析与能力建设白皮书594.3 基础设施安全能力建设4.3 基础设施安全能力建设云基础设施安全主要从基础设施即代码（IaC）安全、权限管理（CIEM）和云原生安全态势管理（KSPM）三个层面进行安全能力的构建，如图 21 所示。通过基础设施配置、容器云安全态势、权限等安全能力建设，确保基础设施的配置安全，强化访问控制、身份验证和授权机制，以及监测和响应威胁，从而确保基础设施的安全。图 21 基础设施安全能力建设4.3.1 基础设施即代码安全4.3.1 基础设施即代码安全IAC 使得在云原生环境下，可以使用配置文件对 IT 基础设施进行统一管理，极大的解决了原有 IT 基础设施管理成本高、扩展性弱、可见性不强、配置不一致等问题。云原生环境下常见的 IAC 文件主要包括 DockerFile、manifests、Helm Charts 等配置文件，不当的配置可能会暴漏安全问题。组织需针对此些 IAC 文件的风险，建立能够适应自身的检测规则，并形成云原生安全威胁分析与能力建设白皮书60可视化管理能力。4.3.2 权限管理4.3.2 权限管理CIEM 云原生环境下，为了其敏捷性、灵活性等特性，维护人员出于便利考虑，通常会过度授权，如果有用户的账户被入侵，攻击者可能会基于过度的权限影响到其他业务资源。此处的权限管理包含基础云平台的权限，以及云原生环境下编排系统的权限分配。我们应基于最小权限原则，为用户分配细粒度的权限，同时对多云、混合云等场景下的权限建立统一管理能力，并监测用户、角色、权限等的实时变化，发现较大、危险权限的变更，并建立台账，便于审计。4.3.3 云原生安全态势4.3.3 云原生安全态势云原生基于自身快速迭代、开源生态、微服务化等特性，使得我们产出效率极大提升，并更容易进行管理维护，但云原生大多应用于多云混合云环境，云原生应用的架构和拓扑结构可以在几秒钟内发生变化，这对安全也是巨大的挑战。同时由于云原生生态开源，以及基础设施的重要性，云原生安全态势管理（KSPM）相关能力建设成为必要。（1）资产管理（1）资产管理资产管理是一项关键任务，它涵盖了云基础设施、应用程序和服务的全面管理。在云原生环境中，至少需对集群中 POD、Service、Namespace 等资产进行统计，并进行关联性分析，形成多集群的统一可视化管理控制台。针对相关资产还应清点出关联关系，以及容器运行过程中的行为等。（2）合规基线（2）合规基线云原生安全威胁分析与能力建设白皮书61不安全、不合规的配置是引发安全问题的主要原因之一，组织应建立多集群配置自动获取的能力，包括容器编排系统、容器运行时、容器宿主机等，并根据CIS、等保等相关标准进行比对，形成持续性、周期性的检测机制，形成“检测-报表输出-修复”的流程机制。（3）组件安全（3）组件安全云原生环境下，其面临的风险除了配置外，就是其组件众多，组件自身可能存在安全漏洞。所以组织应建立对集群编排系统组件自动发现能力，并对编排系统组件的安全风险进行检测，包括不限于编排系统组件漏洞检测、集群整体风险评估等。（4）安全策略管理（4）安全策略管理云原生自身具备一部分的安全能力，组织在应用的过程中应建立统一的管理控制，包括集群网络策略管理，如 NetworkPolicy、POD 运行策略管理，如禁止特权容器、集群准入策略管理，如镜像控制等，同时还需建立策略随策略应用对象动态跟随，策略管理及回滚等辅助能力。云原生安全威胁分析与能力建设白皮书62五、总结与展望五、总结与展望企业上云已成为实现数字化转型的关键途径，以容器、服务网格、微服务、不可变基础设施和声明式 API 等为代表的云原生技术已经被广泛采用，并深刻改变企业上云的模式和新基建所特有的各类特性。云原生技术的发展必然会伴生新的安全问题，云原生安全发展方兴未艾，就笔者看来，未来云原生安全将会呈现以下三个发展趋势。一是云原生安全将进一步赋能 5G 等垂直行业，一是云原生安全将进一步赋能 5G 等垂直行业，5GC 网络架构服务化和软件架构微服务化的设计理念，使其天然具备了云原生的部署能力，基于云原生技术进行 5G 网络建设，可以最大发挥 5G 网络优势，云原生安全成为构筑 5GC安全的技术基础。5G 边缘计算存在节点分布广、资源有限、按需部署等特点，同时还面临数据不出园区、能力全面等多元化的安全需求，云原生化的安全能力建设将更加适用于 5G 边缘计算场景。二是云原生技术与攻防技术紧密融合发展，二是云原生技术与攻防技术紧密融合发展，网络安全的本质在对抗，从攻击方来看，云原生关键技术面临多种形式的攻击，如本文所介绍的镜像投毒、容器逃逸、权限提升等，攻击者将会更多的使用云原生技术来构建自己的武器库,同时攻击门槛也会相应降低。从防守方来看，云原生技术赋能安全建设，如蜜罐技术、微隔离技术等。因而，云原生技术与攻防技术在两端能力较量中融合发展，云原生中的对抗逐步转化为常规环境下的对抗。三是云原生安全呈现一体化发展的趋势。三是云原生安全呈现一体化发展的趋势。随着云原生安全生态的逐步形成，云原生安全能力正在从单点的安全能力，如Gartner早期提出的CWPP、CSPM、CIEM 等，发展成一体化的云原生安全能力，如 Gartner 提出的 CNAPP。一体云原生安全威胁分析与能力建设白皮书63化的云原生安全防护覆盖从代码到云的全栈安全，将云原生不同阶段、不同组件的安全能力集成到统一的云原生安全平台，以期达到业界最广泛的共识。云原生安全威胁分析与能力建设白皮书64附 录 A 缩略语附 录 A 缩略语缩略语英文全称中文全称0dayZero day vulnerability零日漏洞5GC5G Core Network5G 核心网络APIApplication Programming Interface应用程序编程接口AUFSAdvancedmulti-layeredUnificationFilesystem高级多层统一文件系统CDContinuous Deployment持续部署CIContinuous Integration持续集成CIEMCloudInfrastructureEntitlementsManagement云基础设施授权管理CISCenter for Internet Security互联网安全中心CNAPPCloud-NativeApplicationProtectionPlatform云原生应用程序保护平台CNCFCloud Native Computing Foundation云原生计算基金会COWCopy-on-Write写时拷贝CPUCentral Processing Unit中央处理器CSACloud Security Alliance云安全联盟CSPMCloud Security Platform Management云安全平台管理CSRFCross Site Request Forgery跨站请求伪造CWPPCloud Workload Protection Platform云工作负载保护平台云原生安全威胁分析与能力建设白皮书65DASTDynamic Application Security Testing动态应用安全测试DDoSDistributed Denial of Service分布式拒绝服务DevOpsDevelopment Operation开发、运营DevSecOpsDevelopment Security Operation开发、安全、运营DoSDenial of Service拒绝服务IaCInfrastructure-as-Code基础设施即代码IASTInteractiveApplicationSecurityTesting交互式应用安全测试IPInternet Protocol网际互连协议JWTJSON Web TokenJSON Web 令牌K8sKubernetes容器编排引擎KSPMKubernetesSecurityPostureManagementKubernetes 安全态势管理OTOperational Technology运营技术OWASPOpenWebApplicationSecurityProject开放式 Web 应用程序安全项目RASPRuntime Application Self Protection运行时应用程序自保护RBACRole Based Access Control基于角色的访问控制RESTRepresentational State Transfer表述性状态传递SASTStatic Application Security Testing静态应用安全测试云原生安全威胁分析与能力建设白皮书66SCASoftware Composition Analysis软件成分分析SQLStructured Query Language结构化查询语言SSHSecure Shell安全外壳VLANVirtual Local Area Network虚拟局域网WAFWeb Application Firewalls网站应用级入侵防御系统XSSCross Site Scripting跨站脚本攻击云原生安全威胁分析与能力建设白皮书67附 录 B 参考文献附 录 B 参考文献1 云原生产业联盟.云原生发展白皮书，2020 年2 中国联通研究院.中国联通云原生安全实践,2022 年 12 月.3 Cloud Native Security.https:/cf.io/cloud-native-security/4 Overview of Cloud Native Security.https:/k8s.io/docs/concepts/security/overview/5 腾讯云计算（北京有限责任公司），中国信息通信研究院等.“云”原生安全白皮书，2020 年.6 CSA 云安全联盟标准.云原生安全技术规范（CSA GCR C002-2002），2022 年 5 月.7 腾讯安全，腾讯研究院.2023 上半年云安全态势报告，2023 年 9 月.8 Harbor.https:/goharbor.io/9 Docker Registry.https:/docs.D k8s.https:/k8s.io/11 OpenShift.https:/ CVE-2021-44228 Detail.https:/nvd.nist.gov/vuln/detail/CVE- CVE-2022-22965 Detail.https:/nvd.nist.gov/vuln/detail/cve- Apache APISIX.https:/apisix.apache.org/云原生安全威胁分析与能力建设白皮书6815 Istio.https:/istio.io/16 Spring Cloud Gateway.https:/spring.io/projects/spring-cloud-gateway17 Kong Gateway.https:/ Zuul-A Project Gating System.https:/zuul-ci.org/docs/zuul/latest/index.html#19 CVE-2022-22946 Detail.https:/nvd.nist.gov/vuln/detail/CVE- CVE-2022-2294 Detail.https:/nvd.nist.gov/vuln/detail/cve- Knative.https:/knative.dev/docs/22 OWASP.Top10 Interpretation for Serverless,https:/owasp.org/www-project-serverless-top-10/23 CVE-2016-5195 Detail.https:/nvd.nist.gov/vuln/detail/CVE- Docker CLI.https:/docs.D 使用 RBAC 鉴权.https:/k8s.io/zh-cn/docs/reference/access-authn-authz/rbac/26 CVE- Detail.https:/nvd.nist.gov/vuln/detail/CVE-云原生安全威胁分析与能力建设白皮书6927 CVE-.https:/ k8s API.https:/k8s.io/zh-cn/docs/reference/k8s-api/workload-resources/pod-v129 CVE-2020-8595 Detail.https:/nvd.nist.gov/vuln/detail/CVE- Istio 访问授权再曝高危漏洞.https:/ Gartner.Innovation Insight for Cloud-Native Application ProtectionPlatforms.August 2021.32 中国信息通信研究院.云原生应用保护平台能力要求,2023 年.云原生安全威胁分析与能力建设白皮书70战略决策的参谋者技术发展的引领者产业发展的助推者战略决策的参谋者技术发展的引领者产业发展的助推者态度、速度、气度有情怀、有格局、有担当中国联通研究院是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院致力于提高核心竞争力和增强核心功能，紧密围绕联网通信、算网数智两大类主业，按照 4 2 X 研发布局，开展面向 C3 网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国建设，大力发展战略性新兴产业，加快形成新质生产力。联通研究院现有员工 700 余人，85%以上为硕士、博士研究生，以“三度三有”上海品茶为根基，发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。中国联通研究院是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院以做深大联接、做强大计算、做活大数据、做优大应用、做精大安全为己任，按照4 1 X 研发布局，开展面向 C3 网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国、智慧社会建设。联通研究院现有员工近 700 人，平均年龄 36 岁，85%以上为硕士、博士研究生，以“三度三有”上海品茶为根基，发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。中国联合网络通信有限公司研究院地址：北京市亦庄经济技术开发区北环东路 1 号电话：邮编：100176

0人已浏览 2023-11-29 72页 5星级

城市安全风险综合监测预警平台建设指南（2023 版）国务院安全生产委员会办公室2023 年 11 月目目录录一、总体要求一、总体要求.1 1（一）指导思想（一）指导思想.1 1（二）工作原则（二）工作原则.2 2（三）目标要求（三）目标要求.2 2二、工作机制二、工作机制.3 3（一）党委政府集中领导（一）党委政府集中领导.3 3（二）牵头部门统筹协调（二）牵头部门统筹协调.3 3（三）职能部门分工负责（三）职能部门分工负责.3 3（四）多种手段联合防范（四）多种手段联合防范.4 4三、风险监测三、风险监测.4 4（一）城市生命线工程（一）城市生命线工程.4 4（二）公共安全（二）公共安全.6 6（三）生产安全（三）生产安全.8 8（四）自然灾害（四）自然灾害.1010四、分析预警四、分析预警.1111（一）综合平台分析预警（一）综合平台分析预警.1212（二）子平台分析预警（二）子平台分析预警.1414五、联动处置五、联动处置.2121（一）预警发布（一）预警发布.2121（二）处置调度（二）处置调度.2121（三）决策支撑（三）决策支撑.2222六、保障措施六、保障措施.2222（一）加强资金保障（一）加强资金保障.2222（二）完善标准规范（二）完善标准规范.2323（三）强化技术支撑（三）强化技术支撑.2323（四）夯实基层治理（四）夯实基层治理.2323（五）注重安全防护（五）注重安全防护.24241为深入贯彻党的二十大精神和习近平总书记关于城市安全的重要指示精神，认真落实中共中央办公厅、国务院办公厅印发的关于推进城市安全发展的意见，扎实推进城市安全风险综合监测预警平台（以下简称综合平台）建设和国家安全发展示范城市创建工作，国务院安委会办公室在认真总结前期 18 个试点城市（区）经验和存在问题的基础上，深入分析近年来一些城市发生的重特大事故灾难暴露出的新业态新风险，对城市安全风险综合监测预警平台建设指南（试行）作了修订，进一步聚焦城市安全重大风险，明晰综合平台和各行业领域安全风险监测预警系统（以下简称子平台）的功能定位，推进跨部门信息共享和业务协同，构建统分结合、协调联动的城市安全风险监测预警体系，切实提升城市安全风险防范能力。一、总体要求（一）指导思想（一）指导思想以习近平新时代中国特色社会主义思想为指导，深入贯彻党的二十大精神，践行总体国家安全观，突出安全第一、预防为主，立足大安全大应急框架，以综合平台为基础、子平台为延伸，构建统分结合、协调联动的安全风险监测预警体系，促进信息化、智能化与城市安全深度融合，强化对耦合、关联、次生衍生等安全风险分析预警，推动各领域、各环节防控关口前移，提高城市防范重大安全风险的能力和水平。2（二）工作原则（二）工作原则1.1.坚持坚持统分结合统分结合、协调联动协调联动。综合平台要加强对子平台的并联管理，推动跨部门跨层级互联互通、信息共享和业务协同，加快监测预警机制耦合、资源聚合、信息融合、处置统合。2.2.坚持底线思维坚持底线思维、问题导向问题导向。聚焦城市生命线工程、公共安全、生产安全、自然灾害等领域，立足城市安全重大风险，充分利用“人防 技防 群防”手段，全域覆盖、高效精准、实战实用，提升监测预警科学化、规范化、精细化水平。3.3.坚持因地制宜坚持因地制宜、集约集约利旧利旧。结合本地实际，坚持高危先建、急用先建，在各行业领域已有监测预警系统、数字政府、智慧城市等工作的基础上，加强集约化建设，避免重复建设。4.4.坚持创新引领坚持创新引领、科技赋能科技赋能。推进理论创新、技术创新、制度创新、方法创新，充分调动各方面发挥优势，积极参与感知技术研发、风险评估、分析预警，边建设边创新、边运行边完善，探索有效管用的城市安全风险监测预警体系。（三）目标要求（三）目标要求党委政府集中领导、牵头部门统筹协调、职能部门各负其责、社会力量积极参与的监测预警工作格局更加完善；综合平台的信息汇集、态势分析、风险预判、重大风险预警等功能初步具备；子平台进一步健全全领域覆盖、全天候运行的监测网络，“用指标衡量、用标准评判、用技术支撑”分析预警能力显著提升，“线上 线下”风险联动处置效能更加3灵敏高效；“能监测、会预警、快处置”的城市安全风险综合监测预警平台全面建成。二、工作机制（一）党委政府（一）党委政府集中领导集中领导强化城市党委政府的集中统一领导，加强顶层设计，规划监测预警工作整体发展，规划推进相关法规制度建设，统筹协调重要基础设施建设，定期组织重大风险普查评估和会商研判，针对重大事项和重大问题，开展专题研究、专门部署、专项推进，统筹推动综合平台、子平台的建设与运营工作。（二）牵头部门统筹协调（二）牵头部门统筹协调负责综合平台建设和运行的牵头部门在党委政府的领导下，发挥牵头抓总作用，健全相关工作制度，加强对子平台工作的指导，强化部门协作、属地联动、政企配合，统筹推进各行业领域的监测网络建设、数据接入、综合功能开发等工作，督促检查落实情况。组建专家团队，推进风险诊断预防、运行监测预警等关键技术攻关，推动物联感知、智能巡检、应急救援等装备和产品迭代升级。（三三）职能部门）职能部门分工负责分工负责承担子平台监测预警工作任务的部门建立健全本部门本系统风险监测预警体系，将监测预警工作与日常业务工作同部署同推进。研究建立本行业领域安全风险普查评估机制，组织会商研判，加强对子平台建设运行的统筹规划、调查研究、督促落实，落实子平台的监测预警和处置责任。主4动加强与综合平台牵头部门的工作对接，配合开展综合研判、处置调度等工作，强化对综合平台的信息共享、资源力量的支持。（四四）多种手段联合防范多种手段联合防范跨行业领域耦合安全风险、新风险的监测预警，原则上由风险源发或相关领域工作协调机制、部门牵头组织，要及时开展对新产业新业态等新兴事物的风险评估，高度关注传统风险的新变化，加强大数据挖掘，综合运用多种分析预警手段，做好联合监测、信息共享、预警协同等工作，主动协调其他相关部门，合力化解跨行业领域的耦合风险。三、风险监测风险监测以各子平台为主。在城市安全风险普查、风险评估、隐患排查治理等工作基础上，各相关职能部门要组织专家分析，扩展对跨地区、跨行业和耦合类、次生衍生类、新兴类安全风险的辨识评估力度，深入研究风险的主要成因和防控手段，科学、客观地明确需要监测的风险类型、设施、场所，综合应用多种技术手段，包括网格化、物联传感、卫星遥感、公众报警、舆情监测分析等，全面加强对人、物、环境等涉风险因素的实时监测。重点对以下突出风险进行感知监测：（一）城市生命线工程（一）城市生命线工程1.1.燃气管线泄漏爆炸风险燃气管线泄漏爆炸风险针对地下燃气管线因老化或腐蚀等造成燃气泄漏，并扩散至地下管沟、窨井等相邻空间，引发爆炸的风险，对高压、5次高压管线和人口密集区中低压管线的压力、流量进行监测；对管线相邻的地下空间内的燃气浓度进行监测，主要包括：燃气阀门井、周边雨污水、电力、通信等管沟，管线穿越的密闭和半密闭空间，易通过土壤和管沟扩散至的其他空间。应结合城市燃气管线改造规划、燃气管线风险级别等因素，确定城市燃气管线监测的优先次序、具体区域和监测设备的安装密度等。2.2.餐饮场所燃气泄漏爆炸风险餐饮场所燃气泄漏爆炸风险针对餐饮场所气瓶、软管及燃气器具损坏等引发燃气泄漏，发生爆炸火灾的风险，主要对用气场所、储气间、管道穿墙等重点部位，采用甲烷、丙烷等泄漏报警装置和声光报警设备，对燃气浓度进行监测。应组织相关专家进行研究分析，明确燃气泄漏报警装置安装位置和技术性能要求等，提高报警质量，减少误报率。3.3.桥梁运行安全风险桥梁运行安全风险针对桥梁抗灾设计安全储备不足，维修养护不到位、周边施工、车辆碰撞、超载，台风、地震、洪水、浪涌、冰雪等对桥梁施加的附加荷载等，易造成桥梁涡激振动、垮塌等风险，主要对 C、D 级城市桥梁，长大跨、斜拉、悬索、系杆拱等城市道路桥梁，在桥面、桥墩、底板等位置，根据相关技术要求和实际需要，采用位移、挠度、加速度、动应变、静应变、倾角、裂缝宽度等监测设备，对桥梁结构变形、结构受力、动力响应等相关参数进行监测；采用视频、温湿度、风速风向等监测设备，对影响桥梁安全的外部荷载和气象环6境进行监测。应综合考虑桥梁改造工作计划、桥梁安全状况、结构特点、规模和所在线路重要性等因素，研究需要监测的桥梁及其优先次序。4.4.供排水管网泄漏风险供排水管网泄漏风险针对地下供排水管道跑冒滴漏导致周边土壤流失，引发周边路面塌陷、建筑地基和隧道体损坏风险，主要对城市主干供排水管网、老旧管道、存在结构性缺陷的管道、高风险区域供排水管网等，采用探测设备对管网的压力、流量、液位、漏水等进行监测；采用土壤含水率测定、土壤黏性测定等设备，对土壤含水率、黏性（塑性指数）等进行监测。应结合城市地下供排水管网的泄漏事故影响程度，研究需要监测的管网区域及其优先次序。5.5.地下市政设施中毒窒息风险地下市政设施中毒窒息风险针对作业人员临时进入有限空间进行检维修作业过程中，地下市政设施有限空间有毒有害物质积聚或氧含量不足，造成作业人员中毒窒息的风险，主要对暗沟、涵洞、窨井等，采用氧气、甲烷、一氧化碳、硫化氢等气体传感器，对有毒有害气体浓度进行监测。采用门体开关状态监测、视频监测等设备，对未审批人员进入有限空间场所、作业监护人员离岗、防护用品未佩戴、作业超时等进行监测。（二）公共安全（二）公共安全1.1.老旧房屋坍塌风险老旧房屋坍塌风险针对经营性自建房屋、老旧房屋、重点文保单位和历史建筑、网架结构屋顶等因自然灾害、第三方施工影响、年老7失修、违规改建扩建、质量缺陷等因素引发的建筑倾斜、沉降、坍塌等风险，主要对老旧房屋、受相邻工程施工影响较大的房屋、文物建筑、历史建筑等，在建筑墙角、墙体、屋顶、地基等重点位置安装倾角监测、位移监测、裂缝测量、振动数据采集、视频监测等设备，对建（构）筑物的倾斜、裂缝、振动、沉降等进行监测；采用环境监测、白蚁监测等设备，对历史文物建筑的温湿度、光照、降雨量、风速、蚁情等进行监测。2.2.大客流风险大客流风险针对空间有限、人群相对集中的大型群众性活动或景区、广场、客运站等因人群拥挤等因素引发的踩踏风险，主要对广场、商业区、商场、景区等大型群众性活动场所，利用卡口计数、Wi-Fi 嗅探、基于位置的服务（LBS）技术、区域人流量视频分析、视频客流计数等技术以及人员密度算法等，对人流量、人员密度、人群异常行为、环境异常变化进行监测。应结合大客流的潮汐性和规律性，具体分析城市内大型群众性活动场所状况，研究需要监测的场所及监测时段。3.3.建筑火灾风险建筑火灾风险针对大型商业综合体、高层建筑、养老院、医院、学校、仓库等火灾高危单位，沿街门店、手工作坊、经营性自建房等小场所，老旧小区、棚户区、连片村寨等区域，由于建筑外墙保温材料防火等级低、消防设施失效、违规动火作业、电气设备使用不当等引发的火灾风险，主要采用烟雾探测、8温度探测、火焰探测、电气火灾监控等设备，对烟气浓度、温度和疑似起火位置进行监测。探索在城市制高点安装超高倍数智能监控摄像头，利用热成像技术和火点监测算法，对可疑着火点进行监测。4.4.城市电梯运行风险城市电梯运行风险针对电梯因维修保养不到位、超负荷运行，易发生轿厢坠落，乘客被困等风险，推进各城市“96333”电梯应急处置服务平台建设，主要对电梯关键零部件的振动、声音、速度、加速度、位移、回路电信号、温度等进行监测。采用图像识别技术对人的不安全行为进行监测。5.5.重点车辆运输风险重点车辆运输风险针对车辆在运行过程中存在的风险，主要对用于营运的载客汽车、校车、危险货物运输车辆、半挂牵引车以及重型载货汽车等车辆的违法记录、车辆乘载人数、卫星定位、胎压、制动性能以及驾驶人状态等进行监测。利用图像识别等技术，对驾驶人超速驾驶、疲劳驾驶、分心驾驶等违法违规行为进行监测。（三）生产安全（三）生产安全1.1.危险化学品危险化学品生产经营生产经营安全风险安全风险针对危险化学品生产经营企业存在的可燃有毒气体泄漏安全风险，主要对构成危险化学品重大危险源的储罐区的可燃有毒气体浓度以及储罐的液位、温度、压力等进行监测；对构成重大危险源的危险化学品仓库的可燃有毒气体浓度、温湿度等进行监测；对危险化学品重大危险源储存单元、重9点监管危险化工工艺装置区、危险化学品装卸区、中控室等区域进行视频监测；对人员离岗睡岗、未正确穿戴防护用品、抽烟等违规行为进行监测；对危险化学品重大危险源企业安全风险分级管控和隐患排查治理情况进行监测。2.2.尾矿库溃坝风险尾矿库溃坝风险针对尾矿库“头顶库”由于强降雨等原因导致洪水漫顶、溃坝、坝体裂缝、坝体滑坡、渗透破坏等，影响下游群众安全的风险。在坝体、坝内、干滩、库内排水构筑物等位置，采用位移、干滩、水位、渗流压力、降水量、视频等监测设备，对干滩（干滩长度）、库水位（库水位标高）、坝体位移（表面位移数值）、内部位移（内部位移数值）、浸润线（浸润线埋深）、降雨量等相关参数进行监测。3.3.水库垮坝风险水库垮坝风险针对超标洪水、地震、坝后渗漏、坝体裂缝等因素导致的城市周边水库垮坝，影响下游群众安全的风险，在水库坝坡、坝顶、坝脚、坝肩等位置，采用位移、沉降、裂缝、渗流压力、流速流向、水位、降水量、视频等监测设备，对水库及坝体的温度、湿度、雨量、水位、渗流量、渗流压力、表面变形、内部变形、土压力等进行监测。应综合考虑水库工程勘察设计施工与运行资料、外观状况、结构安全情况、运行管理条件等因素，研究需要监测的水库及其优先次序。4.4.工程工程建设安全风险建设安全风险针对工程建设过程中地下作业和地铁施工存在改变周边土体应力环境，导致周边建（构）筑物破损、倒塌等风险，10主要对周边地表沉降、沿线建（构）筑物沉降及倾斜、基坑围护结构水平/竖向位移及支撑轴力、深层土体位移、孔隙水压力和地下水位等进行监测；对成型隧道的拱顶沉降、净空收敛等参数进行监测；对盾构机的运行状态参数进行监测。针对地下管线周边打桩、顶进、挖掘、钻探等施工作业导致燃气管线泄漏、供排水管网泄漏等，以及地铁隧道击穿的风险，在地下管线及附属设施、地铁隧道等重点区域保护范围内，采用图像、弹性波等特征识别技术，对进入保护区的挖掘机、桩机、钩机等施工机械设备进行模型匹配，实时监测识别保护范围内是否存在第三方施工。（四）自然灾害（四）自然灾害1 1.城市城市洪涝（洪涝（含含山洪、江海潮水山洪、江海潮水）、内涝风险内涝风险城市洪涝（含山洪、江海潮水）风险方面，接入各级气象观测站实时降雨数据、短临降水预报数据、实时水文监测站数据等；针对强降雨、连续性降水、蓄滞洪空间不足、防洪设施不完善等因素引发的城市洪涝风险，采用裂缝、位移、水位、流速流向、流量、降雨量、视频等监测设备，主要对防洪设施（堤防、大坝、水闸、截洪沟等）、河道、水文站及其附属设施等运行情况进行监测。城市内涝风险方面，接入各级气象观测站实时降雨数据、短临降水预报数据等；针对强降雨、连续性降水、调蓄空间不足、排水设施不完善等因素引发的城市内涝风险，主要对排水管网、排涝泵站、调蓄设施、掩口等排水防涝设施进行监测；在下穿桥、隧道、道路低洼易积水路段、地下空间出入口等，采用水位、降雨11量、视频等监测设备对降雨量、积水深度等进行监测。2 2.森林火灾风险森林火灾风险针对高温干旱、雷电、农林牧矿业生产用火、野外违规用火、故意纵火等因素引发的森林火灾风险，运用卫星、无人机、视频监控、地面巡护，结合人工智能，形成以地面监控为基础、空地协同核查的全方位森林火灾监测系统，实现对森林火情的远程监测，智能识别、多维复核。3 3.地震地质灾害风险地震地质灾害风险针对地震灾害，主要在地震易发多发区断裂带附近设置微观前兆观测站，对地下流体（水位、水温和氡气）、电磁、地形变等情况进行微观监测；设置地震计，实时监测分析地震参数，震后及时完成地震三要素（发震时间、震中、震级）自动速报。针对山体崩塌、滑坡、泥石流等地质灾害风险，主要对地质灾害高中易发区内高风险斜坡，开展群专结合监测，主要监测地表变形、局地降雨和地下水活动等。4 4.台风灾害风险台风灾害风险针对台风灾害，主要对风向、风速、空气温度、相对湿度、海平面气压、降水量进行监测；采用水位监测、视频监测等设备，对海堤等区域的潮位、浪高和水位进行监测；采用卫星遥感对台风引发的暴雨、洪涝和风暴潮的发展变化情况进行监测。四、分析预警根据不同层级分析预警业务需求，分为综合风险分析预警、跨行业领域分析预警、单一行业分析预警。综合平台负12责综合风险的分析预警，子平台负责跨行业领域、单一行业风险的分析预警。（一）（一）综合平台综合平台分析预警分析预警综合平台分析预警在子平台监测预警、数据汇集等基础上，主要为城市党委政府和部门提供安全运行现状评估、风险分析警示和态势研判预警等业务支撑。平台中心定期组织业务骨干和专家力量，进行安全运行量化评估，明确当前阶段需要关注的管控问题、重大风险和重要工作，向相关责任部门和单位发出警示或提醒；当遇严重自然灾害、重大关键节点时，综合平台进行专题场景分析，明确对可能造成人员大量伤亡或财产重大损失的城市重大风险，进行叠加、关联、耦合分析，并将分析结果向党委政府和相关部门发出预警。1.1.安全运行现状评估安全运行现状评估研究建立城市安全运行量化评估指标体系，利用各子平台的实时监测数据、报警次数、报警类型、事件处置等信息，结合安全风险评估、应急能力评估、自然灾害风险普查、重大事故隐患排查整治等结果，分析城市各类风险要素、承灾体、减灾力量等相关数据，动态得出城市安全运行评估结果。并分析城市安全运行的重点关注事项和短板弱项，提出对策措施建议。2.2.风险分析风险分析警示警示结合安全运行现状评估结果，对阈值超限频发、社会普遍关注安全事件和突出问题等，进行综合研判分析，发出风险警示。13针对针对监测监测阈值超限频发阈值超限频发的风险的风险。利用数据波动特征识别或关联对比技术，明确监测点位的具体区域、具体参数和超限时间规律等内容，在核实监测数据准确的基础上，进行深层次分析，研究频发原因，向相关地区政府和部门发出风险警示。针对社会普遍关注针对社会普遍关注的风险的风险。利用鹰眼舆情、关键信息抓取和检索分析等技术，对社会舆情和 12345 市民投诉的安全问题进行分析，分析深层次原因和对策措施，向相关地区政府和部门发出风险警示。针对突出针对突出问题问题。结合运行现状评估反映出的问题、各部门风险提醒频次、响应速度和反馈情况等，定期进行数据对比统计分析，对监测掉线或误报率高、风险警示次数多、提醒响应速度慢、风险隐患长期存在等问题，向相关地区政府和部门发出风险警示。3.3.态势研判预警态势研判预警针对灾害事故发生或即将来临的情况针对灾害事故发生或即将来临的情况，利用链式推演模型、专家会商和部门研判等手段，进行次生衍生风险分析，明确事态演化需要提前关注防范的风险类型，向党委政府和相关部门发出预警。针对重大关键节点针对重大关键节点（例如节假日、重大活动、国家重要基础设施、汛期、雨雪冰冻期、森林防火期或风暴潮集中期等），进行专题场景分析，借助专家团队力量，运用数据关联融合分析等技术，发挥综合平台汇聚多行业多部门的数据优势，基于城市地理数字化底座，结合周边关联监测数据、14舆情、附近危险源、防护目标以及人口、交通和环境等相关要素信息，对可能造成人员大量伤亡或财产重大损失的城市重大风险，进行叠加、关联、耦合分析，并将分析结果向党委政府和相关部门发出预警。（二）（二）子平台子平台分析预警分析预警针对耦合、关联、次生衍生和单一行业领域安全风险，牵头部门在风险感知监测的基础上，健全网络直报、科研发现、舆情监测等报告渠道，依托相关地区部门和专家力量，结合模型算法分析结果，开展跨领域风险研判，对超限情况引发事故的概率、影响范围、后果程度等进行分析，针对分析研判的结果，确定风险预警级别、预警推送对象、处置辅助决策等，向涉及的政府部门、社会、单位或个人分级发出预警信息。1.1.燃气管线泄漏爆炸风险燃气管线泄漏爆炸风险当管线压力、流量或可燃气体浓度等监测数据报警后，立即向管线权属单位发出报警。在此基础上，组织专家力量，结合周边相关监测点位数值变化曲线，对管道可燃气体泄漏点进行溯源分析，锁定泄漏点位置；以泄漏点为中心，进行扩散分析，明确燃气泄漏扩散的时序演变范围，分析可能发生的事故类型，关联影响范围内的重要设施、重大危险源及防护目标等相关信息，评估可能造成的损失影响，并将相关信息按级别发出风险预警。探索开展可燃气体爆炸危害灾害链分析，对可燃气体爆炸事件灾害网络进行分析。2.2.餐饮场所燃气泄漏爆炸风险餐饮场所燃气泄漏爆炸风险15当甲烷、丙烷等可燃气体监测数据报警后，立即向餐饮场所业主或店内工作人员发出报警。在此基础上，有条件的城市，结合周边气象、地形、建（构）筑物分布、人口等信息，进行扩散影响分析，明确泄漏时间与扩散范围之间的关系，分析火灾、闪爆、爆炸的影响范围及损失程度，及时向公众、相关单位发出预警。3.3.桥梁运行安全风险桥梁运行安全风险当位移、加速度、动应变、静应变、倾角、裂缝宽度等结构变形、结构受力、动力响应相关监测参数超过各级超限阈值后，按规定进行预警，并开展监测及数据分析，必要时组织专家研判，评估桥梁安全风险，根据需要提出桥梁检查、通行管控等进一步处置措施。4.4.供排水管网泄漏风险供排水管网泄漏风险当压力、流量、漏水等监测参数报警后，立即向权属单位和道路养护单位发出报警。在此基础上，组织相关技术力量，结合土壤含水率、黏性等监测信息，对渗漏点位置进行定位分析，并对地下空洞进行影响分析，预测管网周边形成地下空洞的可能性和影响范围，包括周边受影响的管线、防护目标、危险源等，对地下空洞可能引发的路面塌陷区域进行研判，按级别发出风险预警。5.5.地下地下市政设施市政设施中毒窒息风险中毒窒息风险当有限空间氧气、甲烷、一氧化碳、硫化氢等气体浓度监测报警时，立即向权属单位和作业单位发出报警。6.6.老旧房屋坍塌风险老旧房屋坍塌风险16当房屋的倾斜、裂缝、振动、沉降等监测数据报警后，立即向房主、业主单位或物业部门发出报警。在此基础上，关联房屋类型、建筑年代、结构类型、地理位置、报警位置等基础信息，结合监测历史数据、周边相关监测点位实时数据、视频数据、气象数据等相关信息，分析发生外墙倒塌、建筑坍塌等事故的可能性，并关联影响范围内的重要设施、重大危险源及防护目标等相关信息，评估可能造成的影响范围及产生的后果，按级别发出风险预警。7.7.大客流风险大客流风险基于人流量、人员密度等实时监测数据，利用客流分析算法对重点区域客流数量进行实时统计，当客流量超过阈值后，结合相关历史监测数据、客流实时数据、人群异常行为实时监测数据、三维实景模型等信息，进行城市内大型群众性活动场所安全状况分析，综合宏观、中观、微观三个维度，分析预测发生踩踏等事故的可能性、发生时间、严重程度和波及范围，利用手机、电视、应急广播、公共区域宣传屏等媒介及时发出公众预警，同时向权责部门或单位发出预警。8.8.建筑火灾风险建筑火灾风险当感烟探测器、感温探测器、火焰探测器、电气火灾监控等设备进行报警时，立即向建（构）筑物业主（使用人）、权属单位、物业部门或消防管理单位发出报警信息。在此基础上，对电气线路、消防给水及消火栓系统、火灾自动报警系统的监测数据进行集成处理，实时感知消防设施安全运行状态，结合建筑三维模型、地理信息、管理数据、环境信息、17抗火性能、可燃材料等外部环境和内部空间数据，实现起火诱因综合智能研判，对可能起火的区域、部位及火势、烟气蔓延途径影响范围进行预测分析，按级别发出风险预警。9.9.城市电梯运行风险城市电梯运行风险当电梯的振动、声音、速度、加速度、位移、回路电信号、温度等监测数据超出阈值，或识别出的电动车进入轿厢、人员跌倒、婴儿车乘坐扶梯等不安全行为时，立即向电梯维保单位和权属单位报警。同时，根据各城市“96333”电梯应急处置服务平台汇集和统计的电梯困人等故障数据，开展风险监测和分析，及时发布预警信息，实施分类监管，实现电梯安全的动态监管和科学监管。1 10.0.重点车辆运输风险重点车辆运输风险当车辆乘载人数、胎压、制动性能等参数出现异常，或出现超速行驶、疲劳驾驶、分心驾驶等违法行为时，立即向驾驶人和车辆管理单位进行报警。在此基础上，对道路通行状况、天气、车辆行驶轨迹、车辆内部音视频、车辆及驾驶人状态、驾驶人行为等数据进行集成处理，分析车辆安全实时运行状态，研判发生交通事故的可能性、影响范围及后果，按级别发出风险预警。1 11.1.危险化学品危险化学品生产经营生产经营安全风险安全风险以危险化学品生产经营企业重大危险源的液位、温度、压力、可燃有毒气体浓度、温度、湿度等监测参数超阈值报警信息为基础，综合考虑重大危险源类型和事故后果影响，分别计算储存区风险指数、装置区风险指数、泄漏风险指数18和报警管理指数，根据各项指标计算的最大值确定实施风险状态，分不同等级发出风险预警。12.12.尾矿库溃坝风险尾矿库溃坝风险当尾矿库的干滩长度、库水位标高、表面位移数值、内部位移数值、浸润线埋深、降雨量等监测数据报警时，立即对尾矿库权属单位发出报警。在此基础上，综合考虑监测点位信息、实时监测数据、视频分析数据，气象数据、边坡风险、企业安全管理现状等因素，建立综合风险预警指标模型，结合坝体形态、地区地形、周边敏感对象等数据，分析溃坝演进过程的最大流量、到达时间、淹没范围、淹没深度等，模拟事故影响范围和严重程度，根据事故风险实时调整风险预警级别和预警发布对象，按级别发出风险预警。13.13.水库垮坝风险水库垮坝风险当水库的水位、渗流量、渗流压力、表面变形、内部变形、土压力等监测数据报警时，立即向养护单位发出报警，在此基础上，基于三维地形，结合雨量强度、泄洪量、下游河道相关信息，对水库溢流泄洪后下游河道区域两岸淹没时间、范围、深度等淹没空间情形进行研判分析，并根据事故演进情况调整风险预警级别和预警对象层级，按级别发出风险预警。14.14.工程工程建设安全风险建设安全风险当建筑施工周边地表沉降、沿线建（构）筑物沉降及倾斜、基坑围护结构水平/竖向位移及支撑轴力、深层土体位移、孔隙水压力和地下水位等参数报警时，立即向权责单位19发出报警。在此基础上，对监测数据进行分析，并结合施工情况、周边环境、报警超限时长等信息，对事故发生的可能性、影响范围及后果严重程度开展综合分析研判，将相关信息按级别发出风险预警。针对第三方施工破坏风险，应结合多元定位、管道压力监测、第三方施工作业等相关信息，开展关联风险分析，明确可能发生事故的具体类型和影响的范围，关联影响范围内的重要设施、重大危险源及防护目标等信息，评估可能造成的损失影响，按级别发出风险预警。15.15.城市内涝洪涝（含山洪、江海潮水城市内涝洪涝（含山洪、江海潮水）、内涝风险、内涝风险城市洪涝（含山洪、江海潮水）风险方面，基于防洪设施、河道、水文站等处的雨量、流量流速、水位等监测数据，结合城市各级气象观测站实时降雨数据、短临降水预报数据、实时水文监测站数据、洪涝灾害承灾体、历史灾情、人口分布、地理地貌等信息，在考虑蓄滞洪、分洪、泄洪的条件下，对城市洪涝风险概率进行分析，对地面径流、水淹深度、洪涝风险人口暴露度等进行动态预测，研判灾害强度、影响范围及后果程度，按级别发出风险预警。城市内涝风险方面，基于排水设施、城区易积水点等处的雨量、水位、积水范围和深度等监测数据，结合城市各级气象观测站实时降雨数据、短临降水预报数据、历史灾情、人口分布、城市竖向规划等信息，在考虑应急排涝的条件下，对城市低洼处积水内涝风险概率进行分析，对地面径流、积水内涝范围和深度等进行动态预测，研判灾害强度、影响范围及后果程度，按级别发出风险预警。2016.16.森林火灾风险森林火灾风险及时、准确发布森林火险预测预报信息，并实现动态研判。结合风力、风速、温度、树种、坡度、林下可燃物承载量等环境因素及历史灾害数据，分析推演出火场火线扩散区域及蔓延速度，根据起火位置周边气象条件、风险源、防护目标、林地树种、取水区域、坡度坡向、应急队伍、物资装备等信息开展分析研判，结合风险演变情况动态调整风险级别和预警发布对象层级，按级别发出风险预警。17.17.地震地质灾害风险地震地质灾害风险地震灾害方面，根据预估震中位置、震级、预估烈度、当地地质构造特征（断裂带分布及走向），通过手机、电视、应急广播等方式，第一时间向公众启动预警。地质灾害方面，结合降雨情况和地质环境条件，组织技术力量分析地质灾害相关监测数据，研判风险等级，及时发布预警，并进行动态调整。18.18.台风灾害风险台风灾害风险针对陆上重要区域（沿海居住区、港口、化工园区、石油储备库、厂矿等）和海上重要区域（海上油气资源开发区、海水养殖区、生态保护区、港口码头区等），综合考虑台风致灾因子（大风、降雨、风暴潮、海浪等）危险性、承灾体脆弱性和暴露度、减灾能力、敏感时间等因素，分析台风灾害动态风险，对实物量损失、直接经济损失、网格化的风险等级分布进行评估；对供水、电力、通信等基础设施因灾破损或中断所产生的社会影响进行评估，按级别发出风险预21警。五、联动处置（一）预警发布（一）预警发布根据不同的事件类型和预警分析研判结果，预警信息分级推送至权属责任单位、事件影响范围内涉及单位、市县相关部门和属地政府。紧急情况下，可通过电信运营商、广播、电视、电子显示屏以及人民防空警报系统、国家突发事件预警信息发布系统等各类灾害预警系统发布预警信息。（二）处置（二）处置调度调度预警信息发布之后，综合平台和子平台实时跟进风险处置的具体情况，对涉及不同行业部门的处置进行全面调度，直至闭环核销。1.1.综合处置大闭环综合处置大闭环针对巨灾、城市系统性瘫痪或重特大事故，需要党委政府动员全社会各层级参与处置的情形，综合平台支持调取全行业、全口径各类信息，根据会商研究和指挥调度情况，生成全市综合风险防控大工单和分条线工单，实时关注监测数据和分析预警结果变化情况，视情况复杂程度，组织多轮会商。事故灾害消除后，进行风险防控工单销号。2.2.行业处置中闭环行业处置中闭环针对涉及风险级别较高或涉及多个部门的风险事项，子平台提供在线会商并调取相关监测数据，生成风险防控工单，明确牵头部门和部门分工、具体措施和完成时限，平台通过实时关注监测数据和分析预警结果变化情况，跟进处置22进度，并视情况复杂程度，组织会商，为相关部门综合研究风险防控措施提供支撑。处理完成后经牵头部门审核通过，进行风险防控工单销号。3.3.企业处置小闭环企业处置小闭环针对预警级别较低或直接相关的企业、个人即可处理的风险预警事项，子平台生成风险防控工单，明确措施建议、完成时限、监管部门等相关信息，由相关部门核准签发后向涉事单位或个人发布，子平台实时关注监测数据和分析预警结果变化情况，跟进处置进度，处理完成后经相关部门审核通过，进行风险防控工单销号。（三三）决策支撑决策支撑综合平台、子平台要分别对综合风险、跨行业领域风险及单一行业风险的现场处置提供建议措施，关联周边的监测数据、人口、交通和环境的实时变化情况，应急力量、物资和装备的配备到达情况，视情况提供疏散路线、预警发布对象、救援力量和物资调度等决策支撑建议，并根据事故可能的影响区域和损失程度进行预警信息动态更新发布，为联动处置提供决策支撑。事件处理完成后，平台形成预警事件档案，记录包含感知监测数据参数异常、报警类型和报警级别、警情推送、现场处置过程记录、现场处置反馈报告等全过程的内容，为下一步开展事件追溯分析、大数据统计分析、应急处置及演练工作提供依据。六、保障措施（一）加强（一）加强资金保障资金保障23平台建设运行维护费用由所属城市政府按规定保障。在做好与现有自然灾害监测预警等平台互联互通、信息共享工作基础上，研究加强推进项目立项及明确资金来源，强化多快好省、集约建设，统筹专用和兼用、传统和新型城市安全风险监测预警基础设施建设，推动建设资金纳入城市信息化工程建设或基础设施建设资金予以保障，鼓励和动员社会化资金投入。坚持经济适用原则，避免过度超前。（二）完善标准规范（二）完善标准规范推动技术、管理、能力等全要素标准化体系建设，制定综合平台、子平台的建设运行标准体系，包括基础标准、支撑技术标准、数据采集管理标准、建设管理标准、信息安全标准、业务应用标准等，规范数据采集格式和平台建设及运行管理流程。鼓励企业、社会团体、科研机构自主研制监测预警技术、装备、设施等标准。（三）强化技术支撑（三）强化技术支撑强化监测预警科技创新，建立专家团队，提高监测预警专业化水平，鼓励高校、科研院所、企业在城市安全领域开展基础性、前沿性、战略性问题的研究，加强监测预警核心技术攻关，强化人工智能、云计算、单北斗、物联网、卫星遥感通信等技术在监测预警领域的应用。（四）夯实基层治理（四）夯实基层治理健全常态和应急动态衔接的基层治理体系，完善基层预警叫应和联动处置机制，加强预警发布工作与城市网格化管理、社区志愿者组织等组织机构与运行机制的有效衔接，建24立群众举报、基层预警与应急信息上传机制，营造城市安全风险群防群治社会氛围。支持指导基层开展风险监测预警教育、培训和演练，提升基层预警接收、分发、沟通以及开展先期处置等各项能力，提升分析预警和联动处置实战化水平。（五五）注重安全防护）注重安全防护严格落实网络安全各项法律法规制度，加强关键信息基础设施安全保护和网络安全等级保护，建立健全网络安全和密码应用安全性评估机制，定期开展网络安全、保密和密码应用检查，强化安全可靠技术和产品应用，切实提高自主可控水平。

0人已浏览 2023-11-29 27页 5星级

1电信网路由安全白皮书电信网路由安全白皮书（2023）（2023）中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月中国联通路由安全白皮书（2023）2权声明权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。中国联通路由安全白皮书（2023）3目 录目 录目 录.3图目录.5一、域间路由系统安全风险态势.91.1 域间路由系统安全的关键性.91.2 域间路由系统安全的脆弱性.121.2.1 自治系统与 BGP.121.2.2 BGP 安全脆弱性.121.3 域间路由系统安全风险分析.131.3.1 BGP 威胁模型.131.3.2 全球路由安全现状.16二、域间路由安全技术体系.242.1 路由安全防护技术概况.252.1.1 路由注册表.262.1.2 资源公钥基础设施.272.1.3 BGPsec.282.1.4 ASPA.292.1.5 SCION.302.2 路由安全监测技术概况.31三、域间路由安全技术应用与挑战.33中国联通路由安全白皮书（2023）43.1 路由安全防护技术应用与挑战.333.1.1 路由注册表.333.1.2 资源公钥基础设施.333.1.3 BGPsec.403.1.4 ASPA.413.1.5 SCION.413.2 路由安全监测技术应用及挑战.423.2.1 BGP 路由数据采集.423.2.2 BGP 路由数据分析.433.2.3 BGP 路由监测工具及机构.44五、域间路由安全技术发展建议.465.1 加速完善政策措施 构建我国路由安全保障体系.465.2 持续强化技术创新 提升路由安全防护与态势感知能力.465.3 加强全球协作共享 强化国际互联网社群技术影响力.475.4 开展前瞻布局研究 引领路由安全关键技术发展趋势.48附录 1 英文缩略语.49附录 2 参考文献.50中国联通路由安全白皮书（2023）5图目录图目录图 12022 俄乌冲突中的路由异常事件.10图 2异常路由宣告攻击分类.13图 32008 年巴基斯坦电信导致 YouTube 全球中断事件过程17图 420202022 路由安全事件统计（来源：MANRS Observatory）.22图 520172021 路由安全事件统计（来源：BGPstream）.23图 62021 年第 1 季度路由泄露与路由劫持事件统计（来源：Qrator Labs）.23图 72021 年第 4 季度路由泄露与路由劫持事件统计（来源：Qrator Labs）.24图 8路由安全技术类别.26图 9RPKI 技术体系.27图 10BGPsec 实现机制.28图 11ASPA 原理图.30图 12SCION 架构图.31图 13BGP 安全监测技术体系构成.32图 14支持 RPKI 的路由器设备厂商.34图 15签发 ROA 的国外互联网公司.35图 16RPKI ROA 验证结果统计分析（来源：NIST RPKI Monitor）.36中国联通路由安全白皮书（2023）6图 17RPKI ROA 验证结果历史数据统计分析（来源：NIST RPKIMonitor）.37图 18RPKI ROA 验证结果统计分析（来源：MANRS Observatory）.37图 19纳入 RPKI 认证范畴的 IP 地址空间（来源：MANRSObservatory）.38图 20全球 ROA 数据统计（来源：APNIC）.38图 21Route Views 路由信息采集器分布.43图 22RIPE RIS 路由信息采集器分布.43图 23部分商用路由安全监测工具.44图 24MANRS Observatory 全局视图.45中国联通路由安全白皮书（2023）7前 言作为互联网的关键基础设施，以BGP（Border Gateway Protocol，边界网关协议）为基础的域间路由系统是连通全球网络空间的技术基石，因此域间路由系统对于整个互联网的可靠稳定运行具有重要意义。然而，因 BGP 协议最初的设计缺陷，导致近年来运营商路由安全问题频发，对网络空间安全造成极大的威胁。与此同时，域间路由安全可信问题更加凸显，单一路由重定向朝着大范围、多领域、政治化延伸，路由安全事件或成为境外媒体对我国进行舆论渲染的导火索，路由攻击也已成为新形势下网络空间战的重要手段。2022 年初以来，俄乌间路由异常时间显著增加。以边界网关协议为核心的互联网域间路由系统成为了此次战争的焦点。由此，路由安全引发各国高度关注，美国联邦通信委员会 FCC 发起调查 BGP 路由安全的通知书，强调将重点推进路由安全技术研究和部署；CERNET、CSTNET、华为等已加入全球路由安全相互协议规范项目 MANRS，旨在解决互联网路由劫持、路由泄漏和地址仿冒等问题，提升网络空间的安全性和韧性。本白皮书系统阐述了域间路由系统的关键性及脆弱性，结合 BGP的威胁模型，分析了全球域间路由安全现状，进而分别从路由安全防护和路由安全监测的角度入手，系统性的介绍了域间路由安全技术体系，针对性的分析了域间路由安全技术当前的应用现状和面临的挑战。最终从政策措施、技术创新、协作共享、前瞻布局四个角度提出了域间路由安全技术发展建议，以期为提升路由安全防护与态势感知能力中国联通路由安全白皮书（2023）8提供参考，同时进一步赋能路由安全相关重大基础设施和安全保障体系建设。编写单位：编写单位：中国联合网络通信有限公司研究院、中国科学院计算机网络信息中心、互联网域名系统北京市工程研究中心有限公司（ZDNS）、华为技术有限公司、新华三技术有限公司、中讯邮电咨询设计院有限公司专家顾问组：专家顾问组：叶晓煜、徐雷、傅瑜、张曼君、陶冶、李强、李长连编写组成员编写组成员：王翠翠、郭新海、贾宝军、贾雅清、李彦彪、马迪、邵晴、陈双龙、万晓兰中国联通路由安全白皮书（2023）9一、域间路由系统安全风险态势一、域间路由系统安全风险态势1.1 域间路由系统安全的关键性1.1 域间路由系统安全的关键性网络安全是我国总体国家安全观的重要组成部分，也是数字时代网络安全是我国总体国家安全观的重要组成部分，也是数字时代国家安全的战略基础。国家安全的战略基础。二十大报告首次以专章阐述国家安全，明确了国家安全要以政治安全为根本，经济安全为基础，未来将强化经济、重大基础设施、金融、网络等安全保障体系建设。同时提出了“统筹发展和安全,强化重大基础设施、网络等安全保障体系建设的部署要求。网络安全日益成为全球应对不确定环境因素的重要保障，稳定和网络安全日益成为全球应对不确定环境因素的重要保障，稳定和安全作用愈加凸显。安全作用愈加凸显。作为国家的“第五空间”，网络空间已经成为维护国家主权、安全和发展利益的战略高地。随着大国间围绕网络安全的战略博弈日益激烈，网络空间安全治理面临着失序失衡的全球环境，各类网络冲突愈加频繁。各国持续发布国家战略、政策、法案和条令，进一步提升网络安全在国家安全、军事安全中的重要地位，积极应对网络威胁带来的重大挑战。作为互联网的关键基础设施，域间路由系统安全是网络空间安全作为互联网的关键基础设施，域间路由系统安全是网络空间安全的重要基石。的重要基石。以 BGP（Border Gateway Protocol，边界网关协议）为基础协议的全球互联网经过 50 多年的蓬勃发展，逐步从计算机互联网、消费互联网向产业互联网演进，成为全社会数字化基础设施，因而对安全可信的路由服务诉求越来越强烈。作为互联网数据传输的核心，互联网不仅在数据转发性能方面，而且在拓扑结构、健壮性、中国联通路由安全白皮书（2023）10安全性等方面也都高度依赖域间路由系统。域间路由系统对于整个互联网的可靠稳定运行具有重要意义。去年俄乌冲突得到了全世界的广泛关注，双方的网络空间战争愈演愈烈。以边界网关协议为核心的互联网域间路由系统，成为了此次以边界网关协议为核心的互联网域间路由系统，成为了此次俄乌战争的焦点，俄乌战争的焦点，一些西方网络运营商对俄罗斯进行了制裁，造成俄国际互联网路由频繁中断。如图 1 所示，2022 年初以来俄乌间路由异常时间显著增加。据全球路由情报平台 GRIP 统计，2022 年 BGP 路由安全事件呈现小幅增长，尤其是 2022 年 3 月，也同俄乌战争开始的时间恰好吻合。图12022俄乌冲突中的路由异常事件2022 年 2 月 28 日，美国联邦通信委员会 FCC 发起调查 BGP 路由安全的通知书。通知书提到，俄乌冲突期间，BGP 路由攻击行为所带来的严重后果让 FCC 认识到，之前国家对 BGP 路由的安全重视不够，此次冲突促使他们不得不向技术机构发起调查通知。针对俄乌冲突中的异常路由事件，通知书强调：一是重视保障互联网基础设施安全，以减轻路由安全隐患带来的潜在危害；二是重视路由安全措施，评估中国联通路由安全白皮书（2023）11路由安全事件影响范围并制定测量指标；三是重视 RPKI 部署，推广RPKI 认证机制以防止路由劫持；四是重视路由安全方案 BGPsec 推广，并逐步将 BGPsec 部署到运营商网络中。综上所述，新形势下域间路由安全可信问题更加凸显，路由攻击已成为新形势下网络空间战的重要手段，研究并推进域间路由安全防护体系的部署应用已迫在眉睫。中国联通路由安全白皮书（2023）121.2 域间路由系统安全的脆弱性1.2 域间路由系统安全的脆弱性1.2.1 自治系统与 BGP1.2.1 自治系统与 BGP互联网被划分为许多较小的自治系统（Autonomous System,AS），每个自治系统是可自主决定在自治系统内使用何种内部网关协议的独立、可管理的网络单位。自治系统边界路由器通过域间路由协议BGP 交换路由信息，其中 BGP 使用 TCP 协议作为路由交换的底层传输协议，通过增量更新实现路由信息交换。1.2.2 BGP 安全脆弱性1.2.2 BGP 安全脆弱性按照最初设计，BGP 协议默认接受对等体通告的任何路由，因此导致即使一个 AS 向外通告未获授权的前缀，也将会被对端接受并继续传播，从而引发路由劫持。根据 IETF RFC 4272，BGP 协议存在以下安全脆弱性：1）BGP 不具备保障对等体间通信报文完整性、时效性和对等实体真实性的机制。2）BGP 对 AS 是否具备发起网络层可达性信息（Network LayerReachability Information，NLRI）的权限缺乏验证机制，AS 只有获得前缀持有者的授权，才能发起该前缀可达的路由通告。因此，接收报文的 BGP 路由器应验证报文中源 AS 是否具有发起 NLRI（即 IP前缀）的权限。否则，AS 可发起任意前缀可达的路由通告，引发前缀劫持攻击。3）BGP 不具备保障 AS 通告路径属性真实性的机制，路由报文中中国联通路由安全白皮书（2023）13路径属性 AS_PATH 的长度是 BGP 最优路径选择策略的第 2 优先策略。如果路由报文的 AS_PATH 被篡改，会导致次优路径被选为最优路径，造成用户数据流被重定向，发生路径伪造攻击。1.3 域间路由系统安全风险分析1.3 域间路由系统安全风险分析由于 BGP 协议自身的安全脆弱性，导致外部攻击和人工配置错误等安全问题频发，对运营商和企业带来了极大的威胁。1.3.1 BGP 威胁模型1.3.1 BGP 威胁模型BGP 协议易遭受异常路由宣告攻击，异常路由宣告攻击指自治系统因偶然（如管理员的配置错误）或恶意的原因而发起或传播包含虚假路由信息（如 NLRI、AS_PATH）或违反路由出站策略的路由宣告。如图 2 所示，BGP 异常路由宣告攻击可分为前缀劫持、路径伪造和路由泄露这 3 类（如图 2 所示）。图2异常路由宣告攻击分类中国联通路由安全白皮书（2023）14（1)前缀劫持若某自治系统发起非本自治系统所拥有前缀的可达路由通告，则称发生前缀劫持。前缀劫持由 BGP 协议第 2 个安全脆弱性导致。根据劫持前缀的类型，前缀劫持可进一步分为 regular 前缀劫持、morespecific 前缀劫持和 bogus前缀劫持这 3 类.若攻击AS 发起受害AS拥有前缀的可达路由通告，则称发生 regular 前缀劫持；若攻击 AS发起受害 AS 拥有前缀的 more specific 前缀的可达路由通告，则称发生 more specific 前缀劫持；若攻击 AS 非法发起未分配前缀的可达路由通告，则称发生 bogus 前缀劫持。不同类型前缀劫持造成的影响是不同的。因遵循最长前缀匹配原则，一般而言，more specific 前缀劫持比 regular 前缀劫持吸引的数据流更多。2008 年巴基斯坦电信劫持YouTube 事件就是典型的 more specific 前缀劫持。垃圾邮件发送者经常通过劫持 bogus 前缀来发送邮件，如 AS 28716(Italy ISP)在2009年11月13日到2010年1月15日近两个月时间内持续劫持IPv6bogus 前缀 d000:/8 却未被发现。（2)路径伪造若某自治系统向邻居自治系统传播 AS_PATH 路径属性非真的路由通告，即攻击 AS 在对路由通告的 AS_PATH 属性进行删除、插入等篡改操作后，再将其传播给邻居 AS，则称发生路径伪造。该路径由BGP 协议第 3 个安全脆弱性导致,其中最常见的路径伪造攻击是中国联通路由安全白皮书（2023）15AS_PATH 缩短攻击（AS_PATH shortening).（3)路由泄露由于 BGP 路由器转发路由不仅要根据路由表，还要参考路由策略。路由策略是指 AS 制定的接收路由、选择最佳路由以及对外通告路由的策略。路由策略的制定通常取决于 AS 之间的关系，AS 关系反映了2 个 BGP 路由器发言人关于商业关系的协议。AS 之间的商业关系大致可以分为 4 种，分别是 C2P（customer to provider）、P2C（providerto customer）、P2P（peer to peer）和 S2S（sibling to sibling）。Provider AS 为 Customer AS 提供到其他 AS 的传输服务，Peer AS之间则提供各自流量传输到对方网络的服务。所以，出于经济利益的考虑，AS 优先选择来自 Customer AS 的路由，其次是 Peer AS 及Provider AS。换句话说，大部分网络采用的路由策略规则是无谷准则（Valley Free Rules），无谷准则是 BGP 路由宣告的合法准则，基于 BGP AS 商业关系的传递策略，无谷准则的原则有：1)来自 Customer AS 宣告的路由允许传递给 Customer、Peer和 Provider。2)来自 Peer AS 宣告的路由允许传递给 Customer，不允许通告给其他的 Peer 和 Provider。3)来自 Provider AS 宣告的路由允许传递给 Customer，不允许通告给其他的 Peer 和 Provider。即来自 Provider 和 Peer的路由通告只能传播给其 Customer，中国联通路由安全白皮书（2023）16否则就会造成路由泄露。路由泄露攻击事件约占 BGP 安全攻击的 22%左右，时有发生的路由泄露事件为全球互联网带来了巨大的安全隐患，例如，2015 年发生的 Google 服务器中断安全事件，造成谷歌在欧洲和亚洲部分地区网络近 24 小时的无法访问。1.3.2 全球路由安全现状1.3.2 全球路由安全现状(1）路由安全事件分类欧盟网络安全局（European Union Agency for Cybersecurity，ENISA）将因 BGP 威胁模型引发的安全事件归为四种类型，包括：a.更改互联网流量内容（破坏完整性）b.窃听互联网流量内容（违反保密性）c.进行互联网流量和元数据分析（违反保密性）d.以及造成连接中断（违反可用性）除此之外，还包括其他的事件类型，例如通过接收源站点的重定向流量来冒充源站点（破坏完整性）。另一个潜在风险是可能通过盗用IP地址或未分配的IP地址来模糊身份，引发应用层的匿名攻击（破坏完整性）。此外，一个 BGP 路由安全事件可能在多个安全维度形成破坏性，例如，BGP 路径伪造可能会破坏机密性（因为流量可能被拦截和读取）、完整性（因为拦截的流量可能被修改）以及可用性（因为攻击者可能无法可靠地将拦截流量转发到其预期目的地址）。中国联通路由安全白皮书（2023）171）影响互联网可用性的 BGP 路由安全事件BGP路由安全事件的常见影响包括造成服务中断或影响互联网服务的可用性及服务质量，例如服务不可用、超长时延或服务降级，其中一个最有代表性的案例是 2008 年巴基斯坦电信导致 YouTube 全球中断的事件。图32008年巴基斯坦电信导致YouTube全球中断事件过程图 3 显示了 2008 年巴基斯坦电信导致 YouTube 全球中断事件过程。根据巴基斯坦电信部封杀 YouTube 网站指示，巴基斯坦电信公司发布了通往 YouTube 地址（前缀）的“伪路由”宣告，意图通过建立YouTube 的本地流量“黑洞”，阻止巴基斯坦境内访问 YouTube，并将 YouTube 的访问请求转发到另一个网站。但巴基斯坦方面随后将该路由宣告转发至国际数据运营商香港电讯盈科（PCCW）。同时该路由也被 PCCW 推送给全球的其他运营商。因此，在全球范围内产生了两条通往 Youtube 的路由，即伪路由和合法路由。由于巴基斯坦电信的伪路由比合法路由“更具体”，引发前缀劫持，即 YouTube 的大部分中国联通路由安全白皮书（2023）18全球流量都选择了伪路由，最终导致全球的大量用户在持续的两个多小时内无法访问 YouTube 网站。此外，表 1 也列举了近几年影响网络可用性的典型 BGP 路由安全事件。表 1.影响网络可用性的 BGP 安全事件2）影响互联网机密性的 BGP 路由安全事件由于恶意攻击者可能会对重定向流量进行监控或分析，因此 BGP路由安全事件也会在一定情形下影响互联网机密性。虽然采用传输层安全协议（TLS）等加密措施可以提升网络机密性，但元数据（metadata）仍然提供了很多可以用于监控分析的信息，例如被访问的服务器、访问设备、访问时间等。同时攻击者可以通过伪装 IP 地址从证书颁发机构（CA）获得数字证书，从而实现 TLS 流量模拟和解密。2020 年，俄罗斯电信运营商 Rostelecom 大量广播不属于其的 IP地址空间的路由宣告，引发前缀劫持。数分钟内，波及 200 余家的互联网服务提供商，众多的美国知名公司在列，包括 Google（谷歌）、Amazon（亚马逊）、Facebook（脸书）、Akamai（知名 CDN 厂商）、Cloudflare（知名 CDN 厂商）、GoDaddy（全球最大的域名注册商）中国联通路由安全白皮书（2023）19等，导致上述公司的网络流量被重定向到俄罗斯。尽管事件持续时间非常短暂，但仍致使上述服务在该时间段内的网络流量被监听。与此同时，因事件波及了众多知名互联网内容服务提供商，在国际互联网社群造成很大的影响。3）影响互联网完整性的 BGP 路由安全事件路由安全事件可能会影响和破坏互联网基础设施的完整性，在这类安全事件中流量可能被重定向到伪造的服务器。由于域名系统的运行在一定程度上依赖路由系统，因此也容易受到路由安全事件的影响。以下是近年来典型的影响域名系统的路由安全事件：2019 年 5 月，巴西 AS 发生了针对 Quad101 的 more specific前缀劫持。Quad101是拥有全球海量用户的公共DNS递归服务，该前缀的路由宣告由 Claro Brasil 传播到全球互联网，导致原本发送至 Quad101 请求数据被重定向到巴西 AS。2018 年 4 月，攻击者针对亚马逊 Route 53 DNS 权威服务发动了more specific前缀劫持，致使原本发送至亚马逊 Route 53DNS 的查询被重定向到恶意 DNS 服务器。服务器只对域名“”查询进行了应答，并将查询请求引导至恶意网站，窃取会员登录信息并从会员钱包中转移了加密货币。由于用户通过 Https 浏览恶意网站时收到了虚假网站的警告提醒标志，间接降低了此次路由劫持事件影响。2014 年，土耳其电信公司针对谷歌和 OpenDNS 的公共 DNS 递中国联通路由安全白皮书（2023）20归服务器发起more specific前缀劫持，以阻止用户访问特定网站。原本发送至这些公共 DNS 的查询被重定向到土耳其电信DNS 递归服务，返回给用户错误的 IP 地址以阻止对特定域名访问。同时，攻击者也可以通过 bogus 前缀劫持，劫持未使用的 IP 地址空间。2015 年，一个未经授权的 AS 在长达数月的时间里持续宣告瑞士州政府持有且未使用的 IP 地址前缀，并通过其 IP 地址发送垃圾邮件。这些垃圾邮件绕过了垃圾邮件过滤机制，在一定程度上对瑞士州政府的声誉造成了极大损害。中国联通路由安全白皮书（2023）21(2)路由安全事件趋势统计1）重大路由安全事件表 2 梳理了近年来的重大路由安全事件，可见因缺乏有效的 BGP安全手段，路由安全事件屡见不鲜，尤其是运营商重大路由安全事件频频发生。域间路由安全可信问题愈加凸显，路由安全事件也呈现出“大范围、多领域、政治化”的主要特点。表 2 近年来重大路由安全事件2）路由安全事件识别与量化如何正确识别 BGP 路由安全事件同时合理量化其影响存在一定难度（注：这里的影响指的是 BGP 路由安全事件造成的被用户感知或未感知到的结果）。造成这种问题的原因有多种：首先，由于不同的组织或个人所处的互联网拓扑位置不同，因而缺少针对全球路由表的全局性、一致性的完整视图；其次，攻击者可通过本地化攻击的方式避免被检测到，这样在全球路由系统中也就捕捉不到该攻击。第三，在没有辅助信息的情况下，很难确定攻击者的动机。中国联通路由安全白皮书（2023）223）不同数据源的路由安全事件统计图420202022路由安全事件统计（来源：MANRS Observatory）根据图4 显示了 2020 年 8 月至 2022 年 5 月期间在全球范围内记录的 BGP 路由安全事件，其数据来源包括：路由安全监测工具BGPStream 及全球路由情报分析平台 GRIP。由图 4 可见，BGP 路由安全事件呈现小幅增长趋势，尤其是 2022 年 3 月，这个时间也同俄乌战争开始的时间恰好吻合。然而数据采集源及事件（路由泄露、路由劫持）的识别方式等的然而数据采集源及事件（路由泄露、路由劫持）的识别方式等的不同，会造成不同平台之间统计结果的差异化不同，会造成不同平台之间统计结果的差异化：以 2022 年 5 月为例，BGPStream 上记录了 136 例疑似的 BGP 路由劫持事件和 54 例 BGP 路由泄露事件，而 GRIP 同期报告了 788 例路由劫持事件。来自 BGPstream 的数据（图 5）显示了 BGP 路由泄露和路由劫持事件总数呈现逐年下降趋势。中国联通路由安全白皮书（2023）23图520172021路由安全事件统计（来源：BGPstream）同时，Qrator Labs 提供一种为 Radar 的 BGP 监控工具。如图 6所示，Radar 提供的结果与上述结果截然不同。图62021年第1季度路由泄露与路由劫持事件统计（来源：Qrator Labs）图 6 显示从 2021 年 1 月至 3 月，Qrator 实验室报告了 7822532例路由泄露事件和 7311799 例路由劫持事件。其中一些事件被归类全球性（分类标准主要依据影响规模，例如在全球路由表中传播的受影响的 IP 前缀和 AS 数量）。在报告的近 800 万起路由泄露事件和 700中国联通路由安全白皮书（2023）24多万起路由劫持事件中，有9例路由泄露和2例路由劫持被归类为“全球性”。图72021年第4季度路由泄露与路由劫持事件统计（来源：Qrator Labs）2021 年第四季度，Qrator Labs 共记录了 7589347 起路由泄漏事件，其中 4 例被归类为“全球性”，还有 4397906 例路由劫持事件，其中 3 例被标记为“全球性”。由此可见，虽然来自 BGPstream 的数据（图 5）显示了 BGP 泄露和劫持事件总数呈现逐年下降趋势，但趋势的评估通常需要一个较长的时间周期，短时间的评估（2017 年至 2021 年）无法对 BGP 路由安全事件的趋势形成任何结论。同时，正如前文所述，不同的数据来源可能显示截然不同的路由安全事件统计结果，因而更加难以形成对路由安全事件演变趋势的结论。二、域间路由安全技术体系二、域间路由安全技术体系为解决路由劫持等安全威胁对域间路由的影响，近年来研究者们中国联通路由安全白皮书（2023）25提出了许多不同类型的防御机制，大体分为两类：路由安全防护技术和路由安全监测技术。2.1 路由安全防护技术概况2.1 路由安全防护技术概况本章节讨论了主流的路由安全防护技术，包括相对成熟的路由安全技术，例如路由策略规范语言（Routing Policy SpecificationLanguage，RPSL)，同时包括已开展不同程度落地应用的技术，例如资源公钥基础设施（Resource Public Key Infrastructure，RPKI）和 BGPsec 等技术。总的来说，目前每一种路由安全防护技术都解决了部分路由安全问题，即使叠加运用，仍不能完全解决当前路由安全面临的挑战。路由安全涵盖了两大方面：路由源验证和路径验证/合法性。路由源验证是验证AS是否被授权发起某IP地址前缀的路由宣告（即 IP 地址空间没有被未经授权的一方劫持）。路径验证是指确保未经授权网络没有从其授权路径分流流量的过程。路径合法性与路径验证相关，但验证范围更为有限，主要是用于对 AS 之间可达性、转发关系等路径属性进行“合法”校验。当前，一部分技术是用于解决路由源验证或路径验证/合法性问题，而另一部分则希望能同时解决这两个方面的问题。中国联通路由安全白皮书（2023）26图8路由安全技术类别2.1.1 路由注册表2.1.1 路由注册表RPSL（Routing Policy Specification Language，路由策略规范语言）是一种描述路由策略的语言。用户可使用 RPSL 基于与邻居AS 关系和传递策略定义网络的输入、输出策略。在现有的技术实现方案中，RPSL 数据可被用来进行路由源认证和路径认证。RPSL 格式的信息发布在名为 IRR（Internet Routing Registries，互联网路由注册表）的存储库中。IRR 从 1995 年最初建立的单一注册中心路由仲裁数据库（Routing Arbiter Database，RADb）逐渐发展至今，截至目前五大 RIR（Regional Internet Registry，区域互联网注册机构）中均部署了 IRR，同时全球数十家大型网络运营商部署了独立的 IRR。当然，在 IRR 对象的授权、认证和验证方面，五大 RIR 的 IRR 比其他第三方 IRR 更具优势。例如，RIPE NCC 的 IRR只允许地址持有者创建关于其 IP 地址空间的 IRR 对象，从而有助于维护 IRR 对象的合法性。而其他第三方 IRR 没有采用这样的方式，因而必须依靠其他方式进行真实性认证。此外，为确保 IRR 数据的时效中国联通路由安全白皮书（2023）27性和准确性，IRR 对象持有人须在必要时对 IRR 中的信息进行更新。2.1.2 资源公钥基础设施2.1.2 资源公钥基础设施资源公钥基础设施（Resource Public Key Infrastructure，RPKI）是另一种旨在提高 BGP 安全性的方法，它于 2007 年首次提出，并于2012 年作为 IETF RFC 发布。RPKI 建立了一种体系结构，可以为实体定义其合法持有 IP 地址和/或 ASN，并对授权一个或多个 AS 为其所持有的 IP 前缀发起源路由提供了密码学担保。RPKI 架构当前主要应用于路由源认证，其中最为关键的两个部分包括：创建 ROA（Route Origin Authorisations，路由源授权)和通过 ROV(Route Origin Validation，路由源认证）对 BGP 路由消息的真实性进行验证，从而实现对无效路由进行过滤。RPKI 体系结构具备多种技术优势，其中最重要的一点是，RPKI 提供了一种为路由源验证的密码学方法。图9RPKI技术体系如图 9 所示，RPKI 体系包括三部分：证书签发体系、证书存储系统以及证书同步验证机制。其中，RPKI 的证书签发体系与互联网中国联通路由安全白皮书（2023）28号码资源由上至下的分配架构相对应。RPKI 涉及的所有证书都存放至 RPKI 资料库中供依赖方（Relying Party，RP，即帮助 AS 同步并验证证书的实体）同步。RP 同步并验证 RPKI 证书和签名对象，而后将验证结果（IP 地址前缀和 ASN 的绑定关系）下放至 AS 边界路由器指导路由过滤。2.1.3 BGPsec2.1.3 BGPsec图10BGPsec实现机制BGPsec(Border Gateway Protocol Security)是一种利用签名机制保障 BGP 更新中 AS 路径属性完整性的安全机制,利用 RPKI 体系中的 CA 证书及其密钥信息,对 AS 路径信息进行签名。其中,路径签名信息循环嵌套,通过 BGPsec Update 数据包进行传递，即：每个路由器利用自己的证书给从上一跳路由接收到的路径信息进行签名认证，并作为路由消息的一部分继续转发，严格确保 BPGsec_PATH属性中的信息不被篡改。为了防止授权路由器进行重放攻击，BGPsec中国联通路由安全白皮书（2023）29需要定期的密钥更新。2.1.4 ASPA2.1.4 ASPA2018 年 IETF SIDROPS 工作组提出了一种 ASPA(AutonomousSystem Provider Authorization，自治系统提供商授权)的路径验证方案草案。ASPA 是一种利用自治系统间的商业关系和 BGP 无谷策略（valley-free policy）的授权格式标识符，即 ASPA 中的客户 ASN的持有者将其他 AS 授权为它的上游供应商，并将授权表示为 ASPA 标识符，进而利用其进行 BGP 更新消息的过滤。它也是基于 RPKI 的源验证机制进行了路径上的扩展。ASPA标识符中包含了AS对由自身ASN以及合法转发的供应商 ASN 组成的二元组的数字签名，它表示了客户对供应商的选择。与其他安全路由机制不同，ASPA 仅会对来自Customer 或 Peer 的 BGP 更新消息进行验证，但会过滤来自供应商的路由。ASPA 不仅会验证源 AS 的供应商是否合法，同时还会检验经过其他AS的供应商关系，因此是一种针对AS完整路径的验证。在BGPsec尚未大规模部署时，ASPA 是一种能保证较高路径安全性的过渡机制。中国联通路由安全白皮书（2023）30图11ASPA原理图ASPA 巧妙地利用 RPKI 体系实现了路径验证，结合 ROA 路由源验证，能够很大程度上限制各类路由泄露的发生。ASPA 的验证过程不涉及密码学的计算，即对路由器的硬件性能无过高要求，同时在实际部署中，ASPA 能够实现增量部署。2.1.5 SCION2.1.5 SCION为构建安全可信的域间路由基础设施，苏黎世联邦理工大学于2010 年启动研发了的一种网络架构 SCION（Scalability,Control,and Isolation On Next-Generation Networks),它被 IETF 认为是基于新型路径感知网络的“未来互联网提案”。SCION 代表的是下一代网络的可扩展性、可控性和隔离性，其目标是通过安全的域间路由和路径感知网络实现一个安全、稳定和透明的互联网。它是一种不依赖 BGP 协议实现网络流量路由的新方式。SCION 通过将 AS 分组到称为“隔离域(ISD)”的单独域来隔离路由故障，从而可以更好地控制中国联通路由安全白皮书（2023）31数据包采用的路由，实现端到端的可信通信，解决了路由系统在安全性、可靠性和性能方面的现存问题。图12SCION架构图2.2 路由安全监测技术概况2.2 路由安全监测技术概况BGP 监控和异常检测技术是掌握互联网 BGP 路由安全事件全过程的重要抓手，同时也是对网络运行态势进行评估、为协议安全防护提供重要参考以及保证网络安全稳定运行的重要环节。BGP 监测技术体系由三部分构成，如图 13 所示，其包含了 BGP 路由数据经过采集（左），被用于数据分析和异常检测（中），从而最终形成对安全事件全过程的呈现和对事件起因的诊断(右）。中国联通路由安全白皮书（2023）32图13BGP安全监测技术体系构成BGP路由数据采集通常是对大量的参与该项工作的网络运营商提供的路由数据进行汇总，这一技术分为两种形式，包括采集点采集到的路由表状态在特定时刻的周期性“快照”，或者是 BGP 路由更新的数据流或记录。数据采集点所处的地理位置及网络拓扑的多样性至关重要，只有这样才能保证对互联网状态及路由系统的交互情况有更全面的了解。BGP 异常检测和事件监测系统通过分析 BGP 数据集和数据流，在不影响路由器流量转发的情形下，从每秒海量的路由更新数据中识别出疑似 BGP 安全事件。系统通过提供信息或信息可视化的方式为进一步的数据分析和自动响应提供依据，同时也为攻击的检测和防御提供了有力支撑。通过 BGP 安全监测和态势感知系统，可以提高 BGP 路由系统的透明性和可审计性，从而可以全面了解路由安全事件的影响范围和程度、发生时间、发生频率、持续时间以及攻击发生的全过程。中国联通路由安全白皮书（2023）33三、域间路由安全技术应用与挑战三、域间路由安全技术应用与挑战3.1 路由安全防护技术应用与挑战3.1 路由安全防护技术应用与挑战3.1.1 路由注册表3.1.1 路由注册表RPSL 定义明确且全面，同时叠加丰富的生态系统工具，吸引了全球运营商广泛参与，因此 IRR 在全球范围内有着较高的部署率。据。据MANRS 统计，截止到 2022 年 1 月，88%的路由宣告已在 IRR 中进行登MANRS 统计，截止到 2022 年 1 月，88%的路由宣告已在 IRR 中进行登记记。然而，RPSL 因与之配合推进的 IRR 系统存在缺陷而应用受阻。同时当前测量 IRR 有效性的指标较少，其指标主要聚焦于数据注册量，指标主要聚焦于数据注册量，缺少对数据有效性及运营商对数据的采用率的测量和统计。缺少对数据有效性及运营商对数据的采用率的测量和统计。RPSL 为网络运营商提供了一种描述路由安全策略信息的通用语言，同时当前已有大量成熟的商用或开源工具适配于 RPSL 格式数据。但当前有两个缺陷：首先，IRR 中发布的信息时效性和准确性低，从首先，IRR 中发布的信息时效性和准确性低，从而间接降低了基于 IRR 和 RPSL 数据的路由过滤器的准确性而间接降低了基于 IRR 和 RPSL 数据的路由过滤器的准确性。其次，RPSL 和 IRR 系统诞生于加密安全技术方案之前，同所有早期的互联网协议一样，两者均为基于信任的实现方式。因此，可基于访问控制的安全模型对 RPSL/IRR 系统进行改造，但考虑到 IRR 的海量用户以及多对多访问控制模型的要求，由 IRR 运营方独立实施 IRR 的访问控制改造的难度非常大。3.1.2 资源公钥基础设施3.1.2 资源公钥基础设施（1）标准化工作在标准化工作方面，IETF 于 2006 年成立了 SIDR 工作组，并于中国联通路由安全白皮书（2023）342010 年以 S-BGP 机制为技术原型启动了 RPKI 技术标准的制定工作。2012 年，IETF SIDR 工作组发布了 14 个与 RPKI 体系相关的 RFC 标准文档，对 RPKI 体系的核心协议进行了规范，涵盖 RPKI 体系结构、操作模型、证书秘钥算法等一系列支撑 RPKI 实际运行的关键技术。历经 11 年，RPKI 技术框架及相关核心协议的标准化工作于 2017 年宣告完成。同年，IETF 成立了域间路由安全操作（Secure Inter-DomainRouting operations，SIDROPS）工作组，负责解决 RPKI 部署和运行过程中的问题，提出解决方案支持 RPKI 的全球化增量部署，RPKI 标准化化工作极大推进了其部署应用的进程，进一步促使其成为域间路由安全领域的研究热点。（2）工业界部署及应用Cisco、华为、Juniper、H3C 等厂商均发布了支持 RPKI 路由起源认证功能的路由器硬件设备。图14支持RPKI的路由器设备厂商在最近几年中，一些大型公司已经开始通过 ROV 过滤 RPKI 认定的无效路由，如 AT&T、Comcast 和 Hurricane Electric，以及一些互联网交换中心，如 DE-CIX、Seattle IX 和 YYCIX，随着大型互联中国联通路由安全白皮书（2023）35网服务提供商和网络运营商启用 ROV 过滤无效路由，发布 ROA 的优势逐步增加。同时，如图 15 所示，国外的各大互联网公司越来越关注域间路由安全问题，积极签发 RPKI 数据对象以提高整体互联网的安全性。图15签发ROA的国外互联网公司Google宣称已于2020年11月底完成了99%以上路由宣告的RPKI注册；Facebook（AS32934）已于 2013 年为其所持有的部分 IP 地址空间签署 ROA；Microsoft（AS8075）于 2016 年、2020 年分别为北美、欧美地区的 IP 地址空间签发了 ROA。Amazon（AS1650）为其域名解析服务 Route53 所在的 IP 地址空间签发 ROA；Cloudflare 的递归解析服务（1.1.1.1）所在的 IP 地址空间也纳入 RPKI 认证保护范畴。在中国，RPKI 的部署应用并未大规模推广，在中国，RPKI 的部署应用并未大规模推广，以国内头部互联网公司为例：根据 APNIC 的数据统计显示，阿里巴巴为其持有的 AS37963签发了ROA数据对象，腾讯为其持有的 AS45090签发了ROA数据对象，百度、京东等并未将其持有的 IP 地址空间纳入 RPKI 认证范畴。（3）RPKI ROV 数据统计由美国国家标准与技术研究所（US National Institute ofStandards and Technology，NIST）运行的 RPKI Monitor 在全球范围内跟踪 ROV 验证结果。如图 16 所示，截止至 2023 年 5 月，在 IPv4截止至 2023 年 5 月，在 IPv4中国联通路由安全白皮书（2023）36地址空间方面，55.82%的 IPv4 地址在 ROV 中显示是 unknown 状态，地址空间方面，55.82%的 IPv4 地址在 ROV 中显示是 unknown 状态，43.16%是 valid 状态，1.02%是 invalid 状态。43.16%是 valid 状态，1.02%是 invalid 状态。图16RPKI ROA验证结果统计分析（来源：NIST RPKI Monitor）也就是说，如果路由器启用 ROV 过滤的情形下，将有高于三分之如果路由器启用 ROV 过滤的情形下，将有高于三分之一的 IP 地址对免受路由源劫持或误操作的影响一的 IP 地址对免受路由源劫持或误操作的影响。ROA 对 IP 地址空间的充分覆盖是运营商从启用 ROV 过滤中获益的先决条件。图 17 显示，自 2014 年以来，valid 状态 ROA 的百分比逐步增加，2019 年增长加快，这也与 ROA 创建数量的增加相吻合。除了 NIST，MANRS、NLnet实验室以及 APNIC 也在研究和统计跟踪 ROA 创建动态。中国联通路由安全白皮书（2023）37图17RPKI ROA验证结果历史数据统计分析（来源：NIST RPKI Monitor）MANRS Observatory 提供的全球范围内的统计结果同 NIST 非常接近，如图 18 所示，截至 2023 年 5 月，58.2%的“unknown”状态，40.9%的“合法”状态以及 0.9%的“无效”状态。如图 19 所示，全球接近一半的“在用”IP 地址空间已纳入 RPKI 认证范畴内，其中，IPv4 地址和 IPv6 地址的占比分别为 44.63%和 45.98%。图18RPKI ROA验证结果统计分析（来源：MANRS Observatory）中国联通路由安全白皮书（2023）38图19纳入RPKI认证范畴的IP地址空间（来源：MANRS Observatory）根据 APNIC 统计数据，截止至 2023 年 7 月，中国大陆仅有 2.37%的 IPv4 地址空间纳入 RPKI 认证范畴，远低于世界其他国家和地区。图20全球ROA数据统计（来源：APNIC）中国联通路由安全白皮书（2023）39(4）RPKI 部署有效性评估RPKI 在全球范围内的部署应用开始加快，RPKI 支持增量部署，并支持 AS 通过签发 ROA 保护其 IP 地址前缀，通过启动 ROV 过滤无效路由，保障了邻居接收路由的“合法性”。同时，该体系结构中也带来一定程度的网络效应（例如，ROA 签发和 ROV 过滤的应用越多，对网络带来的正面作用越大）。此外，RPKI 包含了 ROA 签发准确性的保障机制，该体系结构仅允许实体对其持有的前缀进行路由源授权（ROA）数字签名。此外每个 ROA 都设置了生存时间，以此来保持 ROA的更新。RPKI 的部署包含两个关键部分，一是前缀持有者创建 ROA，二是网络运营商采用ROV过滤路由。ROV过滤路由的有效性取决于创建ROA的前缀持有者数量以及 ROA 本身的准确性。随着越来越多的参与者启用 ROV 过滤“不合法”路由，RPKI 中在实际应用中遏制了伪造路由宣告的传播，避免了路由源劫持的发生。随着更多的运营商开始部署RPKI，提升了全球的路由安全性，也激励了更多的前缀持有者签发ROA，形成路由安全的良性循环。基于 ROA 创建和 ROV 过滤的应用情况，网络运营商等最关心的问题是 RPKI 部署在减少 BGP 安全事件方面的贡献度。要评估 RPKI 部署减少路由安全事件的有效性，其中一种可能方法是评估路由源认证过程中“合法路由”在宣告路由总量中的占比。理论上，“合法路由”指的是通过路由源认证免受路由源劫持或误操作影响的 IP 地址前缀中国联通路由安全白皮书（2023）40的比例，但这种评估方法很大程度上取决于路由器是否开启过滤“invalid路由。目前的研究和统计大多由于没有考虑 ROV 的应用率，因此结果并不能作为衡量 RPKI 有效性的标准，同时也没有对其在多大程度上降低 BGP 事件发生率进行统计。后续的研究和测量工作可以更多的考量和评估 RPKI 部署（包括 ROA 创建和 ROV 过滤）对路由事件的影响，以进一步推动 RPKI 部署和路由安全技术的提升。(5）RPKI 部署现存挑战RPKI 体系在域间路由系统安全以及其他领域的学术研究和应用实践仍然处于起步阶段，面临包括部署开销、可扩展性在内的风险和挑战，包括层级式信任模型引入的资源认证安全风险、数据分发的效率、人工配置引入的管理风险等。基于现有的研究工作和部署经验，RPKI 体系仍有许多问题需要进一步深入研究和分析。尽管 RPKI 技术本身及其部署应用还有许多亟待解决的问题，基于 RPKI 为域间路由系统提供安全认证服务仍是大势所趋。如何在充分发挥 RPKI 技术优点的基础上，最大限度地减少由其引入的隐患风险，是研究人员下一步工作需要着手解决的问题。3.1.3 BGPsec3.1.3 BGPsecBGPsec是一种严格的路径保护方案,其高频率的密码学计算 给路由器的硬件带来极大的算力考验,同时也降低了 BGP 的实际收敛速率,该方案难以在实际环境中进行大规模部署。中国联通路由安全白皮书（2023）41同时在身份未知的网络环境中,BGPsec无法对 AS_PATH“合法性”做出验证,因此无法阻止路由泄露的发生。在性能方面,BGPsec 逐跳签名造成较大的计算开销与内存消耗。对于上述性能问题,学术界存在一些优化思路。例如通过使用签名聚合签名的方法减少签名的传递负载与计算消耗,或者使用新型密码学进行公钥的传递,以减少证书存储的内存消耗等。3.1.43.1.4ASPAASPA对于路径篡改问题，ASPA 并没有提供完整的解决方案.ASPA 相当于将静态的拓扑关系进行发布,但是在实际 BGP 环境中,实时通告的最终路径,均受到复杂的路由策略与决策的影响。ASPA 完全基于 AS 粒度对通告路径进行检测,存在以下缺陷:ASPA 对路径的限制基于 AS 粒度，然而 IP 前缀在广播的过程中存在多条潜在路径，路由器只对最优路径进行广播。故在 IP 广播的过程中,AS 粒度级别的路径限制并不能对 AS_PATH 属性进行百分百的保护。由于ASPA提供了全局AS拓扑视图,在缺乏密码学保护的情况下,任何一个路由器可以根据数据集伪造出能通过验证的路径,绕过ASPA验证完成欺骗。其次,随着路径长度的增加,能够产生多条“合法”路径的可能性越大,因此被篡改的几率也会随之增加。3.1.53.1.5SCIONSCIONSCION 适用于多方可靠交换敏感信息的场景，例如应用在医疗、能源、金融或政府部门。例如，瑞士国家银行和为瑞士金融中心运营中国联通路由安全白皮书（2023）42基础设施的六国集团于 2021 年 7 月宣布推出安全瑞士金融网络(Secure Swiss Finance Network，SSFN)。SSFN 是一种基于 SCION 架构的新型通信网络，旨在支持瑞士金融业和瑞士银行间清算(SIC)系统。此外该架构已在多家瑞士运营商应用实施，同时提供可商用的SCION 产品。IoTCube 是 SCION 的合作伙伴并已在韩国提供服务，首个 SCION 节点安装在 LGU 网络中。来自美国、欧洲和亚洲的一些研究和教育机构也在 SCIONLab 全球研究试验床开展研究。SCION 前景广阔，但其架构正处于部署和实施的初期阶段，目前正在寻求正式的标准化。SCION 部署复杂度低，可以部署在 AS 间用于网络流量交换的边缘设备之上，同时可复用现有的域内网络基础设施。虽然 SCION 实现与 IP/BGP 协议的交互，但只有建立完整的端到端 SCION 连接时，才能实现 SCION 架构的全部优势,因此需要全球大量的 AS 采用该技术。3.2 路由安全监测技术应用及挑战3.2 路由安全监测技术应用及挑战近 20 多年来，BGP 路由信息采集及安全分析监测一直是互联网产业界生态圈的研究热点之一。3.2.1 BGP 路由数据采集3.2.1 BGP 路由数据采集20 世纪末，美国和欧洲分别发起了以 Route Views 和 RIPE RIS项目为主的 BGP 路由信息采集公共基础设施建设。通过专用采集器与现网 BGP 路由器采集点建立对等关系单向获取 BGP 路由信息，并开放提供给业界进行进一步的数据分析使用。截至目前，Route Views中国联通路由安全白皮书（2023）43和 RIPE RIS 在全球共计建设了超过 50 多个路由采集器，从全球数百个 AS 提取 BGP 路由信息。在路由数据采集方面，除了 RouteViews和 RIPE RIS，PCH（Packet Clearing House，数据包清算所）提供了每日路由快照数据服务，俄勒冈大学也开展了路由视图项目。图21Route Views路由信息采集器分布图22RIPE RIS路由信息采集器分布3.2.2 BGP 路由数据分析3.2.2 BGP 路由数据分析美国国家网络研究实验室 NLANR 使用 RouteViews 数据进行AS-PATH 可视化以及 IPv4 地址空间使用率的研究。Geoff Huston 通过使用 RouteViews 数据动态分析 BGP 路由表。CAIDA 的研究覆盖数据采集、分析、可视化、分层共享等各相关环节以及商业、教育、研究和政府组织等产业生态。中国联通路由安全白皮书（2023）443.2.3 BGP 路由监测工具及机构3.2.3 BGP 路由监测工具及机构为监测和跟踪路由安全事件，准确评估事件影响程度，针对路由异常进行实时告警，国内外已针对路由安全事件展开了多项研究计划。由 NTT 开发的 BGPaleter 是一款在业界广受欢迎的开源工具，BGPaleter 可用来监控 BGP 宣告，并在其网络出现异常时进行告警，其用户涵盖了 Cloudflare、Fastly、LACNIC(Latin America andCaribbean Network Information Centre,拉丁美洲和加勒比网络信息中心）、西雅图互联网交易所等。此外，业界比较知名的 BGP 路由监测工具还包括由欧洲研究委员会、国家科学基金会和国土安全部等联合开发的 ARTEMIS，专注于路由劫持事件研究的全球路由情报平台（GRIP）、实时 BGP 实时监测服务 Radar by Qrator 等。图23部分商用路由安全监测工具自 2017 年以来，微软开始运行 RADAR（Route Anomaly Detectionand Remediation，路由异常检测和修复）系统，可以以几乎实时的方式实现 BGP 劫持和路由泄漏的识别和防护。此外，Cisco CrossworkCloud 也开发了路由安全监测平台 BGPStream。BGPStream 通过算法对每日数亿条 BGP 路由数据进行分析，以识别全球互联网发生的路由安事件。中国联通路由安全白皮书（2023）45为解决互联网路由劫持、路由泄漏和地址仿冒等问题，提升全球互联网空间的安全性，国际互联网协会 ISOC 提出了一项加强国际互联互通路由安全的全球倡议项目 MANRS（Mutually Agreed Norms forRouting Security，路由安全相互协议规范），以期通过运营商、交换中心、CDN、云服务商、设备商和政策决策者等各方合作，提升全球互联网空间的安全性。MANRS 项目包括运营商计划、交换中心计划、CDN&Cloud 供应商计划和设备商计划，目前共有 700 名成员单位。2019 年 8 月，MANRS 正式启动 MANRS Observatory 路由安全监测工具，通过汇聚多方数据源进行分析，可深入了解当前网络符合路由安全标准的程度，提升了全球网络运行状况的透明性。图24MANRS Observatory全局视图中国联通路由安全白皮书（2023）46五、域间路由安全技术发展建议五、域间路由安全技术发展建议5.1 加速完善政策措施 构建我国路由安全保障体系5.1 加速完善政策措施 构建我国路由安全保障体系为了护航网络强国、数字中国建设，我国应不断强化国家战略的引领作用，加强在路由安全领域战略部署和综合施策。一是加速出台顶层配套政策并推动落地，关键信息基础设施安全保护条例等文件的相继发布，进一步完善了我国在关键信息基础设施安全保护领域的立法体系，同时，应着力推动相关落地实施的配套制度措施、标准规范全面铺开，切实保障我国路由安全。二是打造信息互通共享平台，构建国家权威 IP 信息库，对各方数据进行分级汇总共享，破除信息壁垒。通过采集与共享的路由安全事件信息，明确事件规模与范围，从而指导路由系统相关决策。三是提升行业对路由安全技术最佳实践的认识，推动路由安全技术的部署进程。如采用路由安全措施部署激励政策，鼓励优先采购支持路由安全的设备，以分阶段方式先行部署路由安全措施等。5.2 持续强化技术创新 提升路由安全防护与态势感知能力5.2 持续强化技术创新 提升路由安全防护与态势感知能力一是推进路由安全异常检测、溯源、治理等核心技术攻关，大幅提高风险研判能力；积极开展全球互联网资源公钥基础设施信任源点试点建设，推进 BGPsec 等路由安全防御方案的研究与试点。二是加强我国网络空间安全监测预警与防护保障能力建设，构建全球互联网基础资源监测预警与分析溯源系统。通过更深更广的采集点覆盖，形中国联通路由安全白皮书（2023）47成更加丰富的路由数据采集生态。持续开展全球路由连接分析，不断提高全球 AS 的路由通达关系实时分析的能力，及时评估路由安全隐患，溯源与取证路由安全事件，从而帮助基础电信运营商尽快发现和界定故障，避免因进一步消息扩散而导致的放大效应，提升针对自身重要业务前缀在全球范围的安全威胁感知能力，最终实现实现全球态势“看得清”、异常行为“辨得明”、重大风险“控得住”。三是有针对性地开展域间路由系统的拓扑结构、发起和传播路由行为特征及其动态性、注册和路由数据的真实性及覆盖度等方面的测量研究，构建包括前缀起源、AS 拓扑及邻居商业关系、路由备选知识库在内的全球互联网三大核心知识库，对全球路由重要性程度进行标记和排序，绘制数字世界基础设施的“交通地图”，在实现（准）实时路由安全事故检测能力的同时，形成对互联网稳定运行的重要支撑。5.3 加强全球协作共享 强化国际互联网社群技术影响力5.3 加强全球协作共享 强化国际互联网社群技术影响力一是加入全球路由安全组织 MANRS 运营商计划，通过运营商、交换中心、CDN、云服务商、设备商和政策决策者等各方合作，解决各国各运营商之间的互联网路由劫持、路由泄漏和地址仿冒等问题，提升全球互联网空间的安全性。二是加强与全球网络运营商的协作与共享，提升我国在国际互联网合作中的影响力，积极参与国际互联网安全治理，深化国际互联网社群合作，共同促进全球互联网的持续开放和安全稳定运行。中国联通路由安全白皮书（2023）485.4 开展前瞻布局研究 引领路由安全关键技术发展趋势5.4 开展前瞻布局研究 引领路由安全关键技术发展趋势一是针对 RPKI 和 BGPsec 技术缺陷，进行低开销、去中心化、部署激励等方向的研究。以 RPKI 体系为主导的域间路由安全关键技术的学术研究和应用实践仍然处于起步阶段，面临包括安全性、部署开销、可扩展性等在内的风险和挑战，需在现有的研究工作和部署经验基础之上，持续优化技术方案。二是提升 BGP 路由安全异常检测技术的准确性，如何在目前研究基础上进一步降低检测的误报和漏报率是需要深入研究的一个难点问题。三是积极推进 ASPA、SCION 等路由安全前沿技术的研究和试点部署工作。中国联通路由安全白皮书（2023）49附录 1 英文缩略语附录 1 英文缩略语BGPBorder Gateway Protocol边界网关协议BGPsecBorder Gateway Protocol Security边界网关协议安全ASPAAutonomousSystemProviderAuthorization自治系统提供商授权SCIONScalability,Control,and Isolation OnNext-Generation Networks下一代网络的可扩展性、可控性和隔离性IRRInternet Routing Registries互联网路由注册表RPSLRouting Policy Specification Language路由策略规范语言ASAutonomous System自治系统RPKIResource Public Key Infrastructure资源公钥基础设施MANRSMutuallyAgreedNormsforRoutingSecurity路由安全相互协议规范RIRRegional Internet Registry区域互联网注册机构ROARoute Origin Authorisations路由源授权ROVRoute Origin Validation路由源认证ASNAutonomous System Number自治系统号RPRelying Party依赖方SSFNSecure Swiss Finance Network安全瑞士金融网络NISTUS National Institute of Standards andTechnology美国国家标准与技术研究所APNICAsia-PacificNetworkInformationCenter亚太互联网络信息中心LACNICLatin America and Caribbean NetworkInformation Centre拉丁美洲和加勒比网络信息中心ENISAEuropeanUnionAgencyforCybersecurity欧盟网络安全局NLRINetwork Layer Reachability Information网络层可达信息中国联通路由安全白皮书（2023）50附录 2 参考文献附录 2 参考文献1.OECD(2022),Routingsecurity:BGPincidents,mitigationtechniquesandpolicyactions,OECDDigitalEconomyPapers,No.330,OECDPublishing,Paris,https:/doi.org/10.1787/40be69c8-en.2.王娜,杜学绘,王文娟,刘敖迪.边界网关协议安全研究综述J.计算机学报,2017,40(07):1626-1648.3.王翠翠,延志伟,耿光刚.互联网名址体系安全保障技术及其应用分析J.网络与信息安全学报,2017,3(03):34-42.4.Wang,Cuicui&Yan,Zhiwei&Hu,Anlei.(2015).An efficient data management architecturefor the large-scale deployment of Resource Public Key Infrastructure.10.1201/b18592-211.5.中国互联网络信息中心.RPKI测试环境搭建技术白皮书.R/OL.(2015-01-29)2015-01-29https:/ BGP 路由可视及安全检测技术架构与实践J.电信科学,2021,37(12):110-120.7.邹 慧,马 迪,邵 晴,毛 伟.互 联 网 码 号 资 源 公 钥 基 础 设 施(RPKI)研 究 综 述 J.计 算 机 学报,2022,45(05):1100-1132.8.David Barrera,Laurent Chuat,Adrian Perrig,Raphael M.Reischuk,and Pawel Szalachowski.2017.TheSCIONinternetarchitecture.Commun.ACM60,6(June2017),56 65.https:/doi.org/10.1145/30855919.Gilad Y,Cohen A,Herzberg A,Schapira M,Shulman H.Are we there yet?On RPKIs deploymentand security.In:Proc.of the Network and Distributed System Security Symp.2017.doi:10.14722/ndss.2017.2312310.RIPE.RoutingInformationService(RIS).https:/ et al.,SCIONLAB:A Next-Generation Internet Testbed,2020 IEEE 28thInternational Conference on Network Protocols(ICNP),Madrid,Spain,2020,pp.1-12,doi:10.1109/ICNP49622.2020.9259355.13.Lepinski M,Kent S,Kong D.A profile for route origin authorizations(ROAs).RFC 6482,IETF,2012.14.Lepinski M,Sriram K.BGPSEC protocol specification.RFC 8205,2017.15.Murphy S.BGP security vulnerabilities analysis.RFC 4272,2006.中国联通路由安全白皮书（2023）5116.Lepinski M,Kent S.An infrastructure to support secure internet routing.RFC 6480,201217.AzimovA,BogomazovE,BushR,etal.Verificationof AS_PATHUsingtheResourceCertificatePublicKey InfrastructureandAutonomousSystemProviderAuthorization.Internet Engineering Task Force,2018:18.18.CAIDA.ASrelationships.https:/www.caida.org/catalog/datasets/as-relationships/.2021-05-01.中国联通路由安全白皮书（2023）52战略决策的参谋者技术发展的引领者产业发展的助推者态度、速度、气度有情怀、有格局、有担当中国联通研究院是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院致力于提高核心竞争力和增强核心功能，紧密围绕联网通信、算网数智两大类主业，按照 4 2 X 研发布局，开展面向 C3 网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国建设，大力发展战略性新兴产业，加快形成新质生产力。联通研究院现有员工 700 余人，85%以上为硕士、博士研究生，以“三度三有”上海品茶为根基，发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。中国联合网络通信有限公司研究院地址：北京市亦庄经济技术开发区北环东路 1 号电话：邮编：100176

0人已浏览 2023-11-29 52页 5星级

点击查看更多炼石网络：图解 财政部、网信办《会计师事务所数据安全管理暂行办法（征求意见稿）》V1.0.0（2023）（34页）.pdf精彩内容。

0人已浏览 2023-11-27 34页 5星级