数字安全观察·数据安全专刊
AI智能总结
数据安全专刊No.008(总第241期) 责编:钟力zhongli1@360.cn 导读 第八期《数字安全观察·数据安全专刊》梳理了2023年上半年的数据安全发展动态,分为政策形势、技术标准、市场趋势、安全事件分析、工程中心研究五个板块,主要内容如下: 政策形势方面,全球均在加快制定并完善数字经济与数据安全相关政策法规。国际方面,欧盟、美国、英国、印度、俄罗斯等国家持续完善数据安全方面的法律政策,并且尤其关注数据跨境传输方面的问题。同时世界各国都着力关注人工智能数据安全风险,强化人工智能领域的监管。国内方面,我国正全方位推进数据安全相关政策法规的健全与落实,据不完全统计,2023年上半年,已发布10余项国家政策法规、10项重点行业政策以及20余项地方政策规章。 技术标准方面,上半年数据安全技术创新不断,多项国家/行业标准陆续颁布。技术创新主要围绕量子计算、数据保密等,其中,面向数据安全的态势感知将成为新热点。此外,据工程中心不完全统计,2023上半年共有超过30项数据安全相关技术标准规范得到制定,多项国家标准围绕个人信息保护、数据安全风险评估等方面进行制定。 市场趋势方面,数据库安全、数据交易安全、API安全、数据要素等是热点话题,受益于发展数据安全产业的政策红利,数据安全市场也将持续增长,2025年数据安全市场天花板有望接近千亿元;同时,业界关于数据交易、数据出境安全评估的产品平台不断涌现,如 贵阳大数据交易所上线全国首个数据产品交易价格计算器、苏州市上线数据出境安全评估申报备案平台等。 安全事件分析方面,上半年数据安全形势依旧严峻,以数据泄露、数据加密勒索、数据合规等为代表的数据安全事件正在对全球数据安全形势造成深远影响。其中,数据泄露事件最为频繁,个人信息首当其冲。由外部攻击引发的数据安全事件类型最多,且78%的攻击源自有组织的犯罪团伙,可见如今的网络攻击都是高度专业化和战略性的,需要格外引起注意。 工程中心研究方面,BDS国家工程研究中心AI安全实验室发布了国内首份《大语言模型提示注入攻击安全风险分析报告》,为国内大模型安全发展提供整体指南。报告指出,提示注入攻击已成大模型安全威胁之首,建议从安全测评、安全防御、安全监测预警等方面,多维度提升大模型的安全性。 目录 第一部分政策形势总结 (一)国内政策形势................................................51、稳妥推进数字经济建设,明确数据安全产业发展路径...............62、日益健全数据出境安全制度体系.................................73、AI浪潮方兴未艾,数据安全监管势在必行........................94、推动落实数据安全岗位责任....................................105、切实加强地方数据安全法制....................................12(二)国际政策形势...............................................161、各国数据安全治理规则不断完善................................162、欧美国家加强对人工智能的监管立法............................18 第二部分技术标准动态 (一)技术趋势...................................................191、IBM发布量子安全路线图......................................192、Gartner发布2023年安全和风险管理技术采用路线图.............213、隐私计算未来趋势:融合与提升,方案可落地....................224、面向数据安全的态势感知将成为新热点..........................235、清华浙大在量子计算破解RSA密码方面取得重要突破..............246、美国NIST推出物联网数据保护加密算法........................257、使用神经网络,NIST抗量子算法第四次被破解...................268、美国政府更新零信任成熟度模型,将零信任转型作为长期目标......28(二)标准动态...................................................291、国家标准....................................................292、地方标准....................................................313、行业标准....................................................31 第三部分市场趋势盘点 (一)市场洞察...................................................331、2024年中国数据库市场规模将达461亿元,本土厂商热度持续攀升.332、数据要素市场十大研判........................................343、IDC发布中国API安全市场洞察报告............................364、IDC发布中国数据安全基础设施管理平台市场洞察报告............375、2025年数据安全市场天花板接近千亿元.........................386、2026年中国数字化转型支出规模预计超过6000亿美元............40 (二)业界动态...................................................421、微软推出Security Copilot:内置GPT-4,自动抵御65万亿个网络安全威胁.........................................................422、全国首个数据交易领域行业数据指数发布平台上线................433、全国首个“算力资源专区”正式上线!..........................434、上海探路数据交易资产化,国内首个数据交易链问世..............445、贵阳大数据交易所上线全国首个数据产品交易价格计算器..........456、苏州市数据出境安全评估申报备案平台上线......................467、中国移动发布“数联网”,保障数据“可用不可见”..............46 第四部分安全事件分析 (一)整体态势分析...............................................471、类型分析....................................................472、行业分布....................................................483、起因分析....................................................494、外部攻击画像................................................51(二)数据泄露事件分析...........................................531、行业分布....................................................532、泄露规模....................................................543、泄露数据类型................................................55(三)勒索攻击事件分析...........................................561、行业分布....................................................562、勒索金额....................................................583、活跃的勒索组织..............................................58(四)数据合规事件分析...........................................591、行业分布....................................................592、处罚金额....................................................613、违规原因....................................................62(五)总结.......................................................63 第五部分工程中心研究 《大语言模型提示注入攻击安全风险分析报告》.......................64 一、政策形势总结 2022年末,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)对外发布,从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度,提出20条政策举措。今年上半年,我国全方位推动“数据二十条”的落实,并持续增强和完善在数据跨境安全约束、数据安全人才及岗位等方面的机制建设,各省、市、地区纷纷争相全面加快数据要素市场的构建,并积极贯彻数据基础制度的落实。 国际上,全球各主要经济体持续完善和加强数据安全法律法规政策体系建设,尤其关注数据跨境传输方面的问题;同时在ChatGPT等大语言模型的带动下,各国都着力关注人工智能数据安全风险,强化人工智能监管已是大势所趋。 (一)国内政策形势 今年我国围绕“数据二十条”的落实任务,不断细化完善相关的法规政策。在数据出境安全制度体系、AI领域数据安全监管、数据安全岗位职责等领域得到了较多的立法加强,反映了这一阶段数据安全领域的热点问题。同时北京、上海、广东等地区积极进行数据安全能力的示范性建设,全国上下的数据安全建设正在加快发展。 1、稳妥推进数字经济建设,明确数据安全产业发展路径 1月13日,工业和信息化部等十六部门联合发表了《关于促进数据安全产业发展的指导意见》,提出了我国数据安全产业的发展目标:到2025年,数据安全产业基础能力和综合实力明显增强;产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。到2035年,数据安全产业进入繁荣成熟期。为实现该目标,指导意见从提升产业创新能力、壮大数据安全服务、推进标准体系建设、推广技术产品应用、构建繁荣产业生态、构建繁荣产业生态、深化国际交流合作等方面明确发展方向。 2月27日,中共中央、国务院印发《数字中国建设整体布局规划》,指出建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。规划提出要通过构筑自立自强的数字技术创新体系、筑牢可信可控的数字安全屏障强化数字中国关键能力,强调要增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。 3月10日,党的二十届二中全会通过了《党和国家机构改革方案》,明确要求组建国家数据局,负责协调推进数据基
