为记述数字安全领域发生的大事件以反映产业现状与趋势，基于长期的观察、调查和研究工作，数世咨询每年都从当年中上千条事件中进行精选、提炼并编辑、撰写，以形成年度大事记，供各界人士参考。

一、 2024年度十大事件

1. Change Healthcare遭勒索软件攻击

美国医疗服务机构 Change Healthcare遭勒索软件攻击，导致业务中断，且超1亿民众的个人信息和医疗数据泄露。该公司每年处理美国约50%的医疗索赔，承担150亿笔医疗保健交易。该机构管理人员估计，本次网络攻击造成的成本可能达到23-24.5亿美元。

2. 勒索攻击赎金金额巨大

网络安全公司Zscaler的《2024勒索软件报告》披露，一家位列全球财富50强的跨国企业，向勒索软件组织 Dark Angels 支付了迄今为止已知最大的一笔赎金，7500万美元。据数世咨询的观察研究，勒索软件组织瞄准大型企业发动针对性攻击，以获取单笔最大收益的趋势愈加明显。

3. CrowdStrike蓝屏事件

网络安全公司CrowdStrike因配置文件更新导致windows系统崩溃，造成全球IT系统大规模停机。微软预计此次故障影响了全球近850万台设备，而保险公司则估计，此次给全球各行业用户带来的总损失可能高达150亿美元。（编者注：严格来讲，此次事件并非网络安全事件，但由于CrowdStrike是全球顶尖网络安全公司，因此收录到今年的大事记中）

4. 黎巴嫩通信设备爆炸

2024年9月，黎巴嫩多地连续两天发生寻呼机和对讲机爆炸事件，造成死亡十人，伤者数千。据美国哥伦比亚广播公司报道，这是以色列情报机构摩萨德针对黎巴嫩真主党成员策划了十年的攻击行动。此次的攻击手法史无前例，是一起将通信技术及其设备武器化的典型事件，引发全球范围的震惊和关注。将供应链、通信技术、网络安全和武装袭击的概念，前所未有的连接在一起。

5. 数字安全创新力下降

数字安全产业年增长率的最高点在2020年，复合增长率达到29.9%。然后在2021年、2022年、2023年连续三年快速下滑到零增长。数世咨询预计，2024年全产业仍将下滑至少5个百分点。在大多数安全企业纷纷减员降薪的背景下，用于创新的研发投入大幅度下降。再加上融资市场的低迷，导致整个产业的创新力严重不足。

6. 国内外资本市场一升一降

2024年国内数字安全股权融资再创新低，与2023年相比融资总额下降21%，仅为25亿元。与此同时，国外数字安全资本市场出现反转，2024年融资总额上升52%，达77.13亿美元。股权融资170余笔，与2023年相比上升14%。（2023年融资总额50亿美元，与2022年相比下滑55%）

7. 史上第四笔超百亿美元收购

2024年年初，惠普宣布以全现金交易140亿美元的价格收购老牌网络设备与网络安全厂商Juniper Networks。这是迄今为止数字安全产业第四次规模超百亿美元的收购，之前超百亿美元的三笔收购分别为：2021年，Thoma Bravo收购Proofpoint（123亿美元）；同年，以Advent International主导的私募集团收购McAfee（140亿美元）；2023年，思科收购Splunk（280亿美元）。

8. Meta再度领衔罚款榜单

Meta在2024年度，罚款、赔偿及和解费用总额约为18亿美元。自2018年GDPR生效以来，仅在GDPR就被罚30亿美元。如果再加上早年Facebook的巨额和解费用，Meta的罚金总数接近百亿美元规模。

9. 全球频发网络战升级

包括了欧洲、美洲、亚洲、非洲、大洋洲在内的20多个国家或地区，网络间谍活动与网络攻击事件的频频发生。攻击手法不仅包括传统的漏洞利用、恶意软件、拒绝服务，还包括了供应链、舆情引导、社会工程和深度伪造。攻击对象更是不限于网络与信息系统，上至飞机、卫星，下至车辆、港口。网络战已经走向全球，且逐步上升到大规模、群体性攻击阶段。

10. 《网络数据安全管理条例》公布

继《网络安全法》、《数据安全法》、《个人信息保护法》之后，2024年9月，中华人民共和国国务院公布《网络数据安全管理条例》，并于2025年1月1日起施行。《条例》统筹落实三部上位法律的数据安全管理要求，标志着我国数据安全法规体系的进一步完善，对我国强化数据安全和个人信息保护、保障数据要素有序开发利用、促进数字经济健康有序发展有着重大的意义。

二、 数据泄露与网络攻击篇

1. 重要结论

• 数据泄漏事件出现大幅度上升。数世咨询监测到的公开披露的数据泄露事件，与2023年相比，激升150%。

• 数据泄露的三大主因，数据库配置错误、勒索软件和针对性的网络攻击。其中，后二者连续两年呈上升态势。

• 软件、互联网及其他信息科技企业，依然是网络攻击的重灾区。与往年相比，今年医疗行业和零售业的网络攻击事件有了明显的上升。此外，与现实战争、政治对抗相关的网络攻击事件明显上升。

• 2023年的加密货币遭攻击带来的损失明显下降，与2022年43亿美元的损失相比，至少下降了50%。这可能与全球各国政府加强监管和控制力度，从而导致加密货币行业的热度下降有关。

• 据Chainalysis的报告，截至2024年7月底，加密货币被盗的总损失达到15.8亿美元，与去年同期相比增长了84%。同时，勒索软件受害者支付了4.6亿美元的赎金，2024年有望成为勒索软件赎金收入最高的一年，原因是勒索者对大型企业的针对性攻击。

• FBI互联网犯罪投诉中心（IC3）的报告，在2013年10月至2023年12月期间，发生超30万起BEC资金转账欺诈事件，全球各组织损失约555亿美元。

2.年度十大数据泄漏事件

1月，安全研究人员Bob Diachenko发现一个大型数据集暴露在网上，该数据集数据量高达12TB，包含260亿条记录，腾讯、网易、领英、Adobe、优酷、推特等数十家全球知名互联网、软件公司的数据均在其中。

2月，安全研究人员Jeremiah Fowler发现全球网络服务提供商Zenlayer的云数据库可无需密码公开访问。数据库中包括了应用程序、仪表板、供应商、通知和安全性的日志记录，以及包含了授权人姓名和电子邮件等客户数据，数据量达3.8亿条记录。

3月，法国政府负责登记和协助失业者的部门France Travail ，上报大型数据泄露事件，涉及4300 万公民，包括姓名、出生日期、社会安全号码、标识符、电子邮件地址、邮政地址和电话号码等信息。此前，就在2月份，法国数据保护局（CNIL）声称，该国两家医疗保险服务提供商在遭遇网络攻击后，超过3300万（占全国一半人口）法国公民数据被盗。

4月，美国电信巨头AT&T确认一起大规模数据泄露事件，5100万用户受到影响，泄露的信息包括姓名、电子邮件、地址、电话号码、出生日期、社会安全号码以及AT&T账号和密码。

5月，网络攻击者USDoD在黑客论坛LeakBase上声称，将发布超过7000 万条美国犯罪分子信息的数据库。包括姓名、出生日期、出生地、年龄、社会安全号码，甚至头发眼睛颜色、身高、体重、种族、性别、肤色、疤痕、兵役、指控、犯罪日期和代码、认罪、定罪日期、定罪地点、判决、缓刑、法院、假释日期、发布日期、入院日期、逮捕机构、法庭费用等详细信息。

5月，黑客组织 ShinyHunters 声称获取了门票销售公司 Ticketmaster 5.6亿的用户数据，数据量达1.3 TB，包括姓名、地址、电子邮件、电话号码、订单信息和部分支付卡信息。这些数据将以 500,000 美元的价格一次性出售。

7月，安全研究人员 Jeremiah Fowler 发现墨西哥最大的ERP提供商ClickBalance，其包含 7.69 亿条记录的云数据库，可在没有密码的情况下公开访问。该数据库包含访问令牌、密钥、银行账号、税号和电子邮件等信息。

8月，美国国家公共数据公司遭到攻击，导致 29 亿条个人隐私数据泄露，包括姓名、社会安全号码、电话号码、地址和出生日期，甚至还有2.27亿人口的社会安全号码。由于无力应对即将面临的多起集体诉讼，该公司于事件发生后两个月向当地法院申请破产。

10月，美国卫生与公众服务部称，医疗保健提供商 UnitedHealth数据泄露是美国有史以来最大的医疗保健数据泄露事件。泄露数据包括社会安全号码、健康保险会员 ID、治疗详情、患者的诊断和医疗服务提供者的账单代码，约1 亿人的信息。

12月，美国信贷机构LoanDepot声称遭遇勒索软件攻击，导致约1700万名客户的敏感信息泄露。泄露的数据包括个人身份信息、社会安全号码、财务信息和贷款历史等。

（数世咨询供图，转载请注明来源）

（数世咨询供图，转载请注明来源）

3. 2024年度十大网络攻击事件

2月，欧洲折扣零售巨头Pepco遭受BEC攻击，被黑客利用电子邮件，诱骗员工将1550万欧元转入黑客控制的银行账户。

2月，美国医疗服务机构 Change Healthcare 遭勒索软件攻击，导致业务中断。该公司每年处理150亿笔医疗保健交易，本次网络攻击造成的成本可能达到23-24.5亿美元。安全公司的研究报告显示，这家公司已向网络犯罪分子支付了价值约2200万美元的加密货币。

5月，全球知名建筑设计公司Arup证实，其香港的一名财务人员遭遇深度伪造视频电话会议诱骗，向欺诈者支付了2500 万美元。

5月，比特币平台DMM被黑客操纵内部员工，通过合法交易请求，盗取了价值3.08 亿美元的加密货币。

6月，澳大利亚电子处方服务公司MediSecure，在5月份的大规模数据泄露事件（6.5TB的患者和医生信息在黑客论坛上出售）后进入运营清算状态，由咨询公司接手了管理权和清算权。

7月，某盗窃加密货币的网络攻击者向受害者返还了价值约900万美元的稳定币。盗窃发生在2023年，受害者损失了约2500万美元的加密货币资产。这已经是自2018年以来第六起向受害者归还部分甚至是全部资产的案例。

7月，印度加密货币交易所 WazirX 承认，由于平台的系统漏洞，攻击者盗窃了价值2.3亿美元的加密货币资产。

7月，网络安全公司Zscaler的《2024勒索软件报告》披露，某大型跨国企业公司向勒索软件组织 Dark Angels 支付了迄今为止已知最大的赎金，7500万美元。

8月，攻击者利用社会工程学，冒充 Google 和 Gemini 的支持人员，获取到受害者比特币私钥，盗窃了价值 2.43 亿美元的加密货币。

9月，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生寻呼机、对讲机爆炸事件，共造成二十多人死亡、约三千人受伤。推测爆炸原理为，利用供应链在设备中植入少量炸药，然后通过遥控装置远程触发。

三、 漏洞篇

1. 漏洞情况综述

截止到目前（12月31日）为止，CNVD（国家信息安全漏洞共享平台）2024年漏洞总数为18675，比去年19379减少约3.63%。CNNVD（国家信息安全漏洞库），2024年总漏洞数为28434，同比去年增长了约40.23%。截止12月31日，NVD共去年发布漏洞数量25287个，较去年同期增长6.76%。

2024年CNVD的漏洞分布显示排名第一的漏洞类型为“设计错误”，占比57.2%，其次为“输入验证错误”，占比28.5%。

2024年VULHUB开源网站威胁库收录的总漏洞数为21744个，同比去年降低了约27.70%。其中严重漏洞3262个，高危漏洞7453个，中危漏洞9754个，低危漏洞1305个。

VULHUB采用CWE作为漏洞分类标准，其中排名前10的漏洞类型分别为：

1. 在Web页面生成时对输入的转义处理不恰当（跨站脚本）（CWE-79）；
2. 内存缓冲区边界内操作的限制不恰当（CWE-119）；
3. SQL命令中使用的特殊元素转义处理不恰当（CWE-89）；
4. 输入验证不恰当（CWE-20）；
5. 越界写入（CWE-787）；
6. 信息暴露（CWE-200）；
7. 权限、特权与访问控制（CWE-264）；
8. 对路径名的限制不恰当（CWE-22）；
9. 越界读取（CWE-125）；
10. 跨站请求伪造（CWE-352）

    
    

截止2024年，据VULHUB统计，历史累计漏洞最多的厂商如下：

• WordPress（漏洞15979个）

• jgniecki（漏洞15975个）

• 微软（漏洞11549个）

• 谷歌（漏洞8873个）

• 甲骨文（漏洞7525个）

• Linux（漏洞7228个）

• IBM（漏洞6704个）

• 苹果（漏洞6549个）

• 思科（漏洞5740个）

• Adobe（漏洞5136个）

  
  

2024年，据VULHUB统计，年度漏洞最多的厂商如下：

• Wordpress（漏洞8100个）

• Linux（漏洞4049个）

• 微软（漏洞1091个）

• Adobe（漏洞805个）

• 谷歌（漏洞731个）

• 苹果（漏洞560个）

• 腾达（漏洞515个）

• IBM（漏洞506个）

• 友讯（漏洞417个）

  
  

截止2024年12月31日，VULHUB通过对近期漏洞风险状况进行综合评估计算得出当前的漏洞风险指数为“高”。

2.年度十大漏洞

1. Tomcat 远程代码执行漏洞(CVE-2024-50379)
2. Python包llama_cpp_python远程代码执行漏洞（CVE-2024-42479）
3. Windows搜索工具中的远程代码执行漏洞（CVE-2024-36884）
4. 苹果WebKit浏览器引擎任意代码执行漏洞（CVE-2024-41993）
5. Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞（CVE-2024-38063）
6. Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)
7. Apache Struts任意文件上传漏洞(CVE-2024-53677)
8. FortiGate SSLVPN未授权越界写漏洞（CVE-2024-21762）
9. Windows 远程桌面授权服务远程代码执行漏洞（CVE-2024-38077）
10. 7-Zip代码执行漏洞(CVE-2024-11477)

（注：排名依照Vulhub CVSS分值排序，数据由丈八网安蛇矛实验室提供）

四、事件处罚篇

1. 重要结论

• 与上年度相同，2024年度的十大违规处罚事件全部为数据泄露或个人隐私相关，而且针对个人隐私的罚款金额远大于数据泄露。

• 数世咨询根据公开资料统计，与2023年20亿美元的罚款总额相比，2024年的处罚金额增长了10亿美元，达到约30亿美元。

2.2024年度十大违规处罚事件

4月，美国联邦通信委员会（FCC）对AT&T、Verizon、Sprint和T-Mobile四大电信公司处以总计近2亿美元的罚款，原因是这些公司未经用户同意，向数据经纪人出售用户的实时位置信息。

7月，Facebook、Instagram 和 WhatsApp 的母公司 Meta 同意与德克萨斯州司法部门达成创纪录的14亿美元和解协议，原因是它被指控在未经许可的情况下非法收集数百万用户的生物识别数据。

8月，荷兰数据保护局（DPA）认为，Uber在将欧洲司机的个人数据传输至美国时，未采取足够的保护措施，违反了《通用数据保护条例》（GDPR）。因此对Uber处以2.9亿欧元的罚款，这是该机构迄今为止开出的最大罚单。

9月，爱尔兰数据保护委员会，以Meta以明文形式存储用户的某些密码，违反欧盟的GDPR规定的因由，向Meta开出1.02亿美元的罚款。

9月，荷兰数据保护局认为面部识别软件开发商Clearview AI拥有的面孔数据库为非法收集构建，处其以 3050 万欧元（约合 5030 万美元）的罚款。

9月，美国宾夕法尼亚州医疗保健提供商LVHN在一项针对 2023 年数据泄露的集体诉讼中达成了6500万美元的和解协议。集体诉讼的每位成员将收到 50 至 70,000 美元不等的赔偿。

10月，爱尔兰数据保护委员会对LinkedIn处以创纪录的3.1亿欧元罚款。经调查发现，LinkedIn未经用户同意，使用个人数据进行行为分析和定向广告，违反了GDPR的合法性、公平性和透明性原则。

10月，万豪国际与联邦贸易委员会达成和解，同意支付5200万美元，以解决其涉及全球3亿客户的重大数据泄露事件带来的索赔。

12月，Meta 因 2018 年 Facebook 安全漏洞泄露了全球 2900 万用户的敏感数据而被爱尔兰数据保护委员会罚款 2.635 亿美元。目前，Meta因违反GDPR导致的罚款总额已达到 30 亿美元。

12月，澳大利亚信息专员办公室与Meta达成5000万澳元的和解协议。2018年英国数据分析公司“Cambridge Analytica”事件中，facebook超过30万名澳大利亚用户的数据被收集。

五、技术产品与资本市场篇

1. 重要结论

• 大模型驱动的安全运营成为2024年度最受业界关注的概念，实际落地在三大场景，问答助手、告警降噪、钓鱼邮件与恶意软件的检测与识别。

• 智能体(AI Agent)开始受到创新型厂商以及具备前瞻视野的专业人员的重视。大家已经意识到，无论是大语言模型还是生成式AI，或是垂域模型、小模型，均需要智能体的配合，才能真正解放AI的生产力。

• 国内数字安全融资方面，安全运营、工业互联安全、数据安全、软件供应链、AI安全和密码为六大重点赛道。

• 2024年国内数字安全资本市场的股权融资继续下行，与2023年相比融资总额下降37%，仅为25亿元。但与前两年动辄100%、50%的下降相比，可看出下滑趋势有所减缓。

• 2024年国际数字安全资本市场的股权融资明显上升，与2023年相比融资总额上升52%，达77.13亿美元。股权融资170余笔，与2023年相比上升14%。

2. 技术产品

数世咨询创始团队于2020将之前以产品为核心的分类图谱，升级迭代为以能力为核心的分类图谱。经过4年的技术演进和市场变化，数世咨询再次将图谱升级，业界首推以价值为核心的分类图谱，中国数字安全价值图谱。价值图谱以“需求场景”和“解决方案”为抓手，配合图谱的底层分类逻辑“数字安全三元论”，向业界推荐具备相应产品和能力的优秀厂商。该图谱计划将于2025年4月份推出。

“三元一核”数字安全三元论

数字安全的三个元素分别为，安全能力、数字资产和数字活动。数字资产是安全能力的保护对象，数字活动是安全能力以及数字资产的服务对象，而数据则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。

在经济下行、研发投入大幅下降的背景下，为数不多的创新项目尤为可贵：

3. 2024年度数字安全五大创新项目

1. 基于Yak语言的安全测试平台—典型厂商：万径安全

2. 云网安一体化—典型厂商：电信安全

3. 数字水印—典型厂商：和人广智

4. 微模型驱动应用安全—典型厂商：聚信得仁

5. 安全智能体—典型厂商：云起无垠

4. 资本市场

据数世咨询统计，2024年国内数字安全企业股权融资55余笔，与2023年相比下降21%。股权融资总额约25亿元，与2023年相比下降17%。收并购数量明显增多，达8起。但收购金额普遍太低，去除电信安全收购国盾量子的17.75亿元之后，平均收购金额仅为6500万元。

（数世咨询供图，转载请注明来源）

（数世咨询供图，转载请注明来源）

海外资本市场方面，依据公开的消息，与2023年相比融资总额上升52%，达77.13亿美元。股权融资170余笔，与2023年相比上升14%。

（数世咨询供图，转载请注明来源）

（数世咨询供图，转载请注明来源）

5. 2024年度数字安全十大收并购

1. 惠普收购网络设备厂商Juniper Networks，140亿美元

2. IBM收购远程安全访问厂商HashiCorp，64亿美元

3. Thoma Bravo收购威胁检测与响应厂商Darktrace，53.2亿美元

4. EQT收购安全托管厂商Acronis，40亿美元（估）

5. Hg收购风险管理厂商AuditBoard，30 亿美元

6. 万事达卡收购威胁情报公司 Recorded Future，26 亿美元

7. Clearlake Capital 和 Francisco Partners收购软件安全厂商Synopsys，21亿美元

8. CyberArk收购身份安全厂商Machine Identity Manager Venafi，15.4亿美元

9. Sophos收购威胁检测与响应厂商Secureworks，8.59亿美元

10. Travelers收购网络保险提供商Corvus Insurance Holdings，4.35亿美元

六、国家安全与法规政策篇

1. 重要结论

• 伴随着以哈、俄乌战争和地缘政治冲突，美国、英国、法国、德国、日本、韩国、澳大利亚、加拿大、以色列、瑞典、罗马尼亚、伊朗、俄罗斯、中国、朝鲜、巴基斯坦等国，相互之间的网络间谍活动与网络攻击事件频发。网络战已经走向全球，且逐步上升到大规模、群体性攻击阶段。
• 宁德时代、比亚迪、上海振华重工、海康威视、大疆、Tiktok……美国政府各机构在发布了一系列中国产品威胁国家安全的警告之后，又在12月初将140家中国半导体相关公司列入“实体清单”。随后，中国四协会集体发表声明进行坚决抵制美国对华采取的出口限制，呼吁中国政府支持可靠半导体产品供应商的稳定发展，并建议企业谨慎采购美国芯片。科技竞争加剧，贸易摩擦升级。
• 工业、民航、财会、自然资源、金融、工信、网信、国家数据局等各机构、各领域相继出台数据安全相关政策和管理办法。此外，行动计划类的文件也频频发布，体现出各项网络安全工作的切实推进和逐渐落地。
• 国际方面，2024年是人工智能安全相关政策法规密集出台的一年，联合国、美国、欧盟、英国、新加坡等政府和机构先后发布AI安全的法案、倡议、建议、指南、规定、最佳实践、行政命令等文件。欧美等国近几年在网络安全领域的政策脉络走向，大致为数据安全，供应链安全和AI安全。

2. 2024年度国家级网络安全十件大事

1月，乌克兰黑客摧毁了数百台俄罗斯太空研究服务器和超级计算机，2PB的数据和280台服务器被破坏。此次攻击不久之前，俄罗斯黑客对乌克兰最大的电信公司Kyivstar发动攻击，导致其通信中断，超过一半人口失去移动和家庭互联网服务。

3月，欧洲议会和理事会轮值主席国就《网络团结法案》达成临时协议，等待一轮投票即可通过并成为法律。该法案有四个核心目标，检测和感知威胁、关键基础设施保护、协调危机管理和加强欧盟团结、提供安全可靠的数字环境。

4月，美国联邦调查局声称，伊朗资助的黑客团队成功渗透美国政府和企业的数十万名员工账户以窃取军事机密。该行动从 2016 年持续到 2021 年，涉及拥有高级安全许可的多家国防承包商、一家会计师事务所和一家高级酒店。

4月，中国人民解放军信息支援部队成立。中共中央总书记、国家主席、中央军委主席习近平在成立大会上强调：“按照体系融合、全域支撑的战略要求，锐意进取，扎实工作，努力建设一支强大的现代化信息支援部队。”

5月，德国外交部长指责俄罗斯一场持续数月的针对德国的黑客活动。该活动至少在2022年3月开始，德国社会民主党总部的电子邮件系统，以及包括国防和航空航天等领域的公司均沦为黑客活动的目标。

7月，美国政府宣布禁止在美国销售卡巴斯基反病毒产品和服务，理由是由于该公司与俄罗斯政府的关系存在国家安全风险。之前使用卡巴斯基的个人和企业应“迅速过渡到新的供应商……”卡巴斯基将被允许继续提供反病毒签名和代码库更新直到 9 月底。

7月，日本、美国和澳大利亚首次联手举办信息战演习活动。2024年4月，美国总统拜登、日本首相岸田文雄和菲律宾总统马科斯在三边峰会期间达成达成战略性网络威胁共享的协议。日本海上自卫队、澳大利亚皇家海军和美国太平洋舰队签署了三边海上信息战工作组指导备忘录。之前美、日、韩的三边会谈，也曾达成“就地区威胁进行磋商并共享数据”的协议。

9月，美国网络安全和基础设施安全局发布警告称，隶属于俄罗斯军事情报总局（GRU）29155部队的网络攻击者，至少自2020年以来面向全球目标的计算机网络，从事间谍和破坏活动。同时，还起诉了29155部队的五名人员和一位平民同谋者。

10月，中国网络空间安全协会发文称，英特尔产品安全漏洞问题频发，可靠性差，漠视用户投诉。且假借远程管理之名，行监控用户之实。建议对英特尔在华销售产品启动网络安全审查，切实维护中国国家安全和中国消费者的合法权益。

12月，美国商务部工业与安全局（BIS）公布了对中国半导体出口管制措施新规则，将140家中国半导体相关公司列入“实体清单”。这是美国对华芯片制裁有史以来新增“实体清单”公司数量最多、规模最大的一次。对此，中国汽车工业协会、中国半导体行业协会、中国互联网协会、中国通信企业协会集体发布声明，针对美国对华采取的出口限制进行坚决抵制。并表示，美国相关芯片产品不再安全、不再可靠，建议相关企业谨慎采购美国芯片。同时也欢迎全球芯片企业加强与中国芯片企业开展多方面合作，共享发展机会。

3. 2024年度国内数字安全十大法规政策

1月，国家数据局等17部门联合印发《“数据要素×”三年行动计划（2024—2026年）》，旨在充分发挥数据要素乘数效应，赋能经济社会发展。其中第十八条为“加强数据安全保障”，要求“落实数据安全法规制度，完善数据分类分级保护制度，落实网络安全等级保护、关键信息基础设施安全保护等制度，加强个人信息保护，提升数据安全保障水平。丰富数据安全产品，发展面向重点行业、重点领域的精细化、专业型数据安全产品，开发适合中小企业的解决方案和工具包，支持发展定制化、轻便化的个人数据安全防护产品。培育数据安全服务，鼓励数据安全企业开展基于云端的安全服务，有效提升数据安全水平。”

1月，工信化部印发《工业控制系统网络安全防护指南》，防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。《指南》分为安全管理、技术防护、安全运营和责任落实四个部分共33条细则。

2月，工信部印发《工业领域数据安全能力提升实施方案（2024-2026年）》。《实施方案》提出“到2026年底，工业领域数据安全保障体系基本建立”、“开展数据分类分级保护的企业超4.5万家”、“数据安全培训覆盖3万人次，培养工业数据安全人才超5000人”等要求。

3月，全国网络安全标准化技术委员会发布《网络安全标准实践指南—网络安全产品互联互通 资产信息格式》。《实践指南》给出了网络安全产品互联互通时资产信息的描述格式，可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。

3月，国家互联网信息办公室公布并实施《促进和规范数据跨境流动规定》。《规定》包含了过境数据的数量触发门槛，增加了豁免情形示例及适用的具体条件，明确了过境数据豁免的具体要求等内容。

5月，网信办、中编办、工信部、公安部等四部门印发了《互联网政务应用安全管理规定》。《管理规定》要求“，建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求，采取技术措施和其他必要措施，防范内容篡改、攻击致瘫、数据窃取等风险，保障互联网政务应用安全稳定运行和数据安全”。

7月，由公安部、网信办研究起草的《国家网络身份认证公共服务管理办法（征求意见稿）》，向社会公开征求意见。征求意见稿明确使用“网号”“网证”进行网络身份认证方式，并对“网号”’、“网证”的申领条件、公共服务的使用场景、法定身份证件范围、数据和个人信息安全保护义务等基础性事项作出规定。

9月，中华人民共和国国务院公布《网络数据安全管理条例》（中华人民共和国国务院令第790号）。《条例》在对个人信息保护、保障重要数据安全、建立高效便利安全的数据跨境流动机制、开展网络数据安全管理工作的部门职责分工等方面做出了规定。

11月，国家数据局印发《可信数据空间发展行动计划（2024—2028年）》。《行动计划》要求，“到 2028 年，可信数据空间运营、技术、生态、标准、安全等体系取得突破，建成100个以上可信数据空间，形成一批数据空间解决方案和最佳实践，基本建成广泛互联、资源集聚、生态繁荣、价值共创、治理有序的可信数据空间网络，各领域数据开发开放和流通使用水平显著提升，初步形成与我国经济社会发展水平相适应的数据生态体系”。

12月，国家发展改革委等六部门印发《关于促进数据产业高质量发展的指导意见》。《意见》第八项提出，“提高数据领域动态安全保障能力”、“创新数据安全产品服务”、“加强动态数据安全保障”。

4. 2024年度国外数字安全十大法规政策

2月，美国国家标准与技术研究院发布了其网络安全框架（CSF）2.0版本。该版本最重要的结构变化，在之前的识别、保护、检测、响应、恢复五大功能之上增加了第六项功能治理，以帮助组织将网络安全风险管理纳入更广泛的企业风险管理计划。即，将网络安全风险管理活动提升到组织的核心高管和董事会级别。

2月，美国总统乔·拜登签署了一项涉及多个政府机构的全面行政命令，旨在通过禁止数据经纪人将这些敏感信息出售给“受关注的国家”，并要求司法部和其他政府机构采取一系列行动，来保护美国人的敏感个人数据不被利用。

3月，联合国通过了一项关于负责任地使用人工智能的决议，指在推广“安全、可靠和值得信赖的人工智能”。当下，人们已经意识到人工智能制造虚假信息、加剧国家之间和国家内部侵犯人权和不平等的风险。该决议由美国起草提案，由120个国家共同提出，但未经投票接受。

4月，美国网络安全与基础设施安全局发布《关键基础设施网络事件报告法案》上报要求（拟），并面向社会征集意见。《报告法案》中所涵盖的实体，要在发生重大网络安全事件的72小时内上报，关键基础设施实体则必须在24小时内报告赎金支付情况。

4月，美国、英国、加拿大、澳大利亚和新西兰五个国家的网络安全机构联合 发布《安全部署 AI 系统：部署安全和弹性AI 系统的最佳实践》。《实践》重点介绍了如何保护部署环境、持续保护 AI 系统以及确保 AI 运维安全。该实践是美国国家安全部成立“人工智能安全中心”之后主导的第一个指南类文件。

5月，拜登政府发布了一份新的国家安全备忘录（NSM-22），核心内容有，将网络安全和基础设施安全局指定为安全和弹性的国家协调机构；根据国家情报战略，指导美国情报界收集和生产情报，并与利益相关部门共享；重申指定16个关键基础设施领域和各自的风险管理机构；提升关键基础设施的最低安全性和弹性要求的重要性。

5月，澳大利亚《数字身份法案》在联邦议会获得通过。该法案为澳大利亚政府数字身份系统的扩展，以及提供商和服务申请加入政府系统提供了确定性，提高人们在线时的隐私和安全性。该法案生效后，澳大利亚竞争和消费者委员会将成为数字身份监管机构，澳大利亚信息专员办公室负责监管隐私方面的工作。

8月，由欧盟制定的全球首部《人工智能法案》正式生效。该法案涵盖任何人工智能产品或服务，并对四个级别的风险进行限制。如内容推荐系统或垃圾邮件过滤器属于低风险类别；决定谁获得贷款或操作自主机器人的系统则属于高风险类别。而影响人们行为方式的社会评分系统、某些类型的预测性警务以及学校和工作场所的情绪识别系统，则属于“不可接受的风险”。不遵守法案的企业将面临高达其全球年收入 7% 的罚款。

10月，欧盟委员会宣布《网络和信息安全指令2》（NIS2）正式通过并开始执行。新指令包含供应链安全、漏洞处理、事件披露等10个合规性“关键要素”，适用于数据中心、在线交易、搜索引擎和社交媒体平台等关键实体，这些实体在报告重大网络事件时必须遵守新的安全和通知要求。新指令也适用于成员国本身，例如，需要成立计算机安全事件响应小组和各自的网信机构。

12月，拜登签署《2025年国防授权法案》（NDAA）。其中批准了几项与网络相关的举措，包括为美国电信网络的《移除和替换计划》额外提供30亿美元的资金，更换华为和中兴等中国公司制造的设备。还授权可采取措施保护国防部设备“免受外国商业间谍软件的扩散和使用”。

结语

去年的大事记，笔者在结语中写道：“从2015年开始，数字安全产业进入增长快车道，在8年左右的时间里规模就增长到了近千亿的规模，是过去20多年发展规模的4倍之多，这种增长速度已经是各行各业各领域中的翘楚。从2021开始，虽然增速已经连续减缓三年，但未来重回快速增长的希望仍然很大……”

2024年过去了，坏的情况是数字安全产业还在继续下行，好的情况是下滑速度明显放缓。虽然不能说是复苏回暖，至少止跌企稳的态势已经出现。国家层面的一连串鼓励政策开始实际落地，客户的预算也不再像往年那样悲观，乙方的成本也减无可减。与此同时，数字化的进程仍在高速推进。城市全域数字化、信创4.0、可信数据空间，十四五收关、十五五启动……

我们始终在强调，只要数字世界、数字中国的大趋势不变，人们对数字活动的依赖程度就会越高，数字安全就会成为保障数字资产、服务数字活动的基本需求。这是不以人为意志而转移的客观规律。作为数字安全业界的一员，如何更好的助力数字化进程的健康发展，迎接一个更加美好的数字世界、数字中国的到来，是我们责无旁贷的事情。

冬末阳苏，岁序更张。让我们抖擞精神，笃定前行，共同成就数字安全的宏伟事业。

祝大家新年快乐！

统计分析师：牛爱民

首席分析师：李少鹏

机构简介：

北京数字世界咨询有限公司，中国数字安全领域中立的第三方调研机构，以数字时代为背景，提供数字安全领域的调查、研究与咨询服务。