1、 1 主要观点 数据泄露是数据安全领域的核心问题。在 2024 年全球公开报道的 201 起数据安全事件中，数据泄露事件为 170 起，占比高达 84.6%。可确认的泄露数据超过 122.7TB，较 2023年的 51.8TB 增长 136.9%；共计泄露数据 471.6 亿条，较 2023 年的 103.8 亿条增长354.3%。此外，2024 年，奇安信威胁情报中心累计监测到境内政企机构数据泄露风险事件 156 起，至少 299.5 亿条各类数据存在泄露风险。数据勒索，已经成为数据泄露最主要的原因之一。在 2024 年全球公开报道的 201 起数据安全事件中，勒索攻击事件共有 92 起，占

2、比为 45.8%。勒索攻击事件的发生，通常会造成数据破坏和数据泄露。而在所有的勒索攻击事件中，共有 55 起为单纯的数据勒索事件，占比勒索攻击事件总量的 59.8%，占所有 170 起数据泄露事件的 32.4%。个人信息是数据泄露和黑产交易的主要数据类型，严重危害公民和社会安全。从全球重大数据泄露事件公开报道数量来看，44.7%的事件涉及个人信息，可泄露个人信息数量高达 343.7 亿条。而在境内政企机构数据泄露风险事件中，71.8%的事件涉及个人信息，可造成个人信息泄露数量多达 266.9 亿条，相当于 14 亿中国人平均每人可泄露约 19 条个人信息数据。网盘、文库、代码托管等互联网知识共

3、享平台也是数据泄露的重要渠道，内部人员与合作伙伴是造成此类数据泄露事件的罪魁祸首。统计显示，数据在互联网知识共享平台上泄露的首要原因是内部人员泄露，占比 32.3%；其次是合作伙伴泄露，占比 23.7%；明确为外部攻击导致的数据泄露事件仅为 5.0%。API 安全是数据安全的重要一环。研究显示，平均每家机构拥有 API 接口 10926 个，拥有敏感数据传输 API 接口 942 个。平均每家机构拥有各类系统应用 1651 个，平均每个系统拥有 API 接口 516 个，拥有敏感数据传输 API 接口约 45 个。金融行业、各地大数据局、医疗卫生等行业是传输敏感数据 API 接口最多、传输敏感

4、字段较多的行业，应当特别加强 API 安全建设与管理。数据安全建设，应当遵循内生安全原则，从设计规划之初就把数据分类分级、数据防泄露、防勒索、API 安全、跨境数据治理等关键问题列入整体规划，确保数据安全工作与数字化建设同步规划、同步建设、同步运行，用系统性的方法解决数字系统的安全问题。摘 要 综合形势篇 2024 年 1 月12 月，安全内参共收录全球政企机构重大数据安全新闻事件 201 起，其中，数据泄露事件为 170 起，占比 84.6%。泄露数据超过 122.7TB，较 2023 年增长136.9%；共计泄露数据 471.6 亿条。较 2023 年增长 354.3%。2024 年 1

5、月12 月，在公开报道的全球政企机构重大数据安全事件中，20.2%发生在 IT信息技术企业；其次是生活服务业，占比为 12.8%；互联网行业排第三，占比 12.2%。从事生原因来看，71.8%的重大数据安全事件是由于外部威胁导致的，28.2%是由于内部原因和其他原因导致的。在内部原因中，操作失误占比 6.9%、内鬼泄露占比 6.4%，合作伙伴泄露占比 2.1%。从全球重大数据泄露事件公开报道数量来看，44.7%的事件涉及个人信息；19.7%的事件涉及商业机密；9.6%的事件涉及用户数据和政府机密。数据泄露篇 2024 年 1 月12 月，奇安信威胁情报中心累计监测到境内政企机构数据泄露风险事件

6、156 起。合计约可泄露超过 299.5 亿条各类数据；合计约有 23.9TB 数据信息。其中，71.8%的事件涉及个人信息泄露，可造成个人信息泄露数量多达 266.9 亿条，相当于 14亿中国人平均每人可泄露约 19 条个人信息数据。2024 年，网络安全威胁情报生态联盟（CEATI 联盟）成员天际友盟共监测到互联网知识共享平台数据泄露事件 4137 起，涉及 22 个行业的 134 个家机构。其中，金融行业对此类问题最为重视，互联网行业、政府及事业单位存在此类问题的风险更高。内部人员和合作伙伴是互联网知识共享平台数据泄露事件的主要“元凶”，二者之和占比达到 56.0%。运营风险篇 2024