税务敏感数据泄露风险管控平台 www.leagsoft.com LeagSoft 平台功能 联软介绍 平台简介 目录 案例介绍 www.leagsoft.com 平台介绍 www.leagsoft.com 建设税务敏感数据防泄露平台的必要性 3.4“ 税务业务数据是税务信息系统所处理的税务业务的数字化表现形式。 以税务业务系统为目标，以合规为目的，对静态数据、动态移动数据 及使用中的数据进行发现、识别、分类、分级、监控、保护，进而保护税务 敏感数据的安全。 。 www.leagsoft.com 联软税务数据防泄露平台特点 自动化流程管理 以征管系统为中心 主被动结合式防护 联 软 科 技 传 统 厂 商 被动文件防护 传统设备管理 人工管理方式 www.leagsoft.com 平台功能 统计分析： 违规行为 风险分析 www.leagsoft.com 风险报告 数据违规导出 统计表 800 项数 据 全自动计算和自动填充 10 余种统计指标 违规情况总览表 税务数据防泄露平台违规情况总览表 业务系统数据大文件导出次数统计表 数据 违规打印统计表 数据流转统计表 风险状态及关键指标表 账户违规 使用统计表 违规事件 统计表 敏感页面 违规访问 统计表

16 23.可信数据空间中数据脱敏的国家标准与适用场景？ 16 24.隐私计算技术在可信数据空间的合规性验证要点？ 18 25.可信数据空间中安全审计的日志留存要求是什么？ 18 26.数据泄露事件的应急响应流程与合规要求？ 19 27.可信数据空间中数据安全风险评估的频率与内容？ 20 28.数据安全管理体系的认证标准（如等保2.0）如何应用？ 21 29.边缘数据在可信数据空间中的安全合规要点？ 60.跨域数据标准互认的流程与合规？ 44 七、法律责任类 44 61.数据违规收集的法律责任（依据《个人信息保护法》）？ 44 62.数据滥用的民事赔偿标准与计算方法？ 45 63.数据泄露事件的行政罚款额度及适用情形？ 46 64.数据犯罪的刑事处罚情形（如侵犯公民个人信息罪）？ 46 65.平台未尽审核义务的连带责任认定？ 47 66.责任追溯的技术手段（如区块链溯源）合规要求？ 界清晰，确保交互对象可信赖；三是流程操作可信，数据采集、存 储、处理、共享至销毁的全链路需留痕可追溯、操作可审计，严格 遵循合规要求；四是技术支撑可信，依托加密算法、隐私计算、区 块链等技术保障数据安全，防止泄露、篡改或非法访问；五是治理 规则可信，通过政策法规、行业标准、自律机制与争议解决框架， 明确数据使用边界与责任，形成可执行的信任约束。这些维度有机 融合，共同构建“数据可靠、主体可信、过程可查、技术可控、规则

络安全的紧 迫性不容忽视，尤其是对于初创企业而言。新兴企业，专注于创新和增长，在 保护其数字资产免受日益复杂的网络威胁方面面临独特的挑战。根据普华永道 （PwC）2024年全球数字信任洞察报告，数据泄露的频率和财务影响正以令人 担忧的速度上升。 我们感谢AC Ventures为我们印尼PwC提供的机会，使其成为AC Ventures的 知识伙伴。我们自豪地支持了AC Ventures，通过出版这份针对初创企业的网 不幸的是，对于一些初创企业来说，只有在经历了数据泄露、钓鱼攻击或系统黑 客等事件之后，网络安全才会成为优先事项。因此，网络安全往往被降级为较低 优先级，通常被视为次要关注点。 然而，这种自满的成本可能巨大。根据普华永道（PwC）的2024年《全球数字信 任洞察报告》， 在医疗保健、科技媒体和电信、金融服务、能源、公用事业和资 源、工业和汽车以及零售和消费者等领域，数据泄露平均造成的损失约为150亿 印尼盾。 大型数据泄露事件在频率、规模和成本上都在不断增加，过去三年内， 大型数据泄露事件在频率、规模和成本上都在不断增加，过去三年内， 有36%的公司报告称数据泄露相关的成本达到100万美元或更多，比前一年增加 了27%。此外，普华永道2024年年度企业董事调查指出，64%的董事会增加了其 分配给网络安全问题的时间。 随着初创企业成长和成熟，它们越来越意识到网络安全的重要性，这通常是由 更丰富的财务资源或扩展的技术团队所驱动。在一些公司中，这导致成立了专 门的信息技术或安全团队。 尽管其

与嵌入式机器学习 （ML） 已融入 数据安全态势管理 （DSPM--Data Security Posture Management）、数据泄露防护 （DLP）、数据目录和威胁检测等产品， AI赋能的数据安全体系实现了对海量数据的分类分级、自动化脱敏、敏感数据识别、 泄露检测，威胁检测和实时响应，显著提升了对新型攻击的防御效率，例如在自动化敏感数据发现方面，基于自监督向量模型，跨本地、多云及SaaS环境自动识别敏感数据分 动态阻断数据外泄及修复 3、 数据安全态势可视化 4、 隐私及主权合规映射能力 5、 生成式人工智能风险检测 1、 数据智能分类分级 2、 敏感数据流入流出智能监测与脱敏 3、 数据泄露防护 4、 数据资产持续盘点测绘 5、 数据安全态势管理与合规检测 数据分类分级 异常行为检测与 访问控制策略 敏感数据监测 及脱敏 数据资产持续 盘点测绘 数据安全态势 管理与合规 与有害内容生成频繁出现。 AI应用防火墙（AIFW）应运而生，专为AI系统量身打造，通过对AI模型、数据流、接口调用等环节进行实时监控，智能识别并阻断恶意攻击，有效防范模型窃取、越权访问、敏 感信息泄露等威胁。 与传统安全产品相比，AIFW能够深入理解AI交互的上下文和复杂语义，识别潜藏在提示词设计、模型调用链路中的隐蔽风险。同时具备动态学习与自适应能力，根据新型攻击手 法及时调整防护策略。未来，

.......................................................................................80 8.2.2 数据泄露................................................................................................... 选。这种灵活性为企业拓展人才库提供了强有力的技术支持。 然而，尽管 Deepseek 在技术上具备显著的可行性，但在实际 应用中仍需注意以下几点： - 数据隐私与安全：企业需要确保简历 数据的安全性，避免信息泄露。 - 技术培训：招聘团队需接受必要 的技术培训，以充分利用 Deepseek 的功能。 - 模型更新：定期更 新 Deepseek 的学习模型，确保其与最新的招聘需求保持一致。 综上所述，Deepseek 系统集成：Deepseek 提供 API 接口，方便与企业现有的 HR 系统集成，确保数据的实时同步和过程的自动化。  安全性：Deepseek 遵循严格的数据安全标准，保护候选人的 隐私信息不被泄露。 此外，Deepseek 的技术在实际应用中已经证明了其有效性。 例如，在某大型企业的试点项目中，Deepseek 成功地将简历筛选 时间从平均 5 分钟每份减少到 30 秒每份，同时提高了候选人与职

2.2 车联网安全能力普遍不足，关键环节存安全挑战 6 03 车联网重点安全事件解读 9 3.1 本田汽车钥匙存在设计缺陷，无钥匙进入系统再报漏洞 9 3.2 蔚来汽车遭遇数据勒索，车企数据泄露谁来买单？ 11 3.3 YANDEX TAXI 遇黑客操纵，莫斯科上演交通大堵塞 13 3.4 奔驰、宝马、法拉利接连中招，API 漏洞再出江湖 15 3.5 特斯拉系统遭黑客破解，OTA 背后的“灰色”市场 网络安全需求把控不足，需要安全厂商为其梳理网络安全需求，指明建设方向。 在个性化服务与智能决策场景下，车联网数据和隐私泄露事件增多，同样也面临数据安全和个 人安全保护的风险。为了精准的个性化服务和智能决策，汽车行业不断增加用户数据的收集、分析 和利用，而从汽车服务商的研发数据泄露再到特斯拉个人隐私事件，不难发现数据在采集、传输、 存储、使用、共享、销毁各个环节中缺少了安全管控，导致数据安全和隐私风险不断增加，据研究 私风险不断增加，据研究 车联网安全研究报告（第六期） 7 机构对近十年车联网安全事件分析发现，数据和隐私泄露成为车联网安全事件影响的首要类型，既 损害了消费者利益、影响了企业品牌形象。 数据在跨境传输过程也存在诸多挑战。我国数据出境安全评估办法，欧盟通用数据保护条例 （GDPR）对车企车辆出口业务中涉及到的数据安全问题严格把控，对企业安全架构、车辆架构提 出了更高要求。 车联网安全研究报告（第六期）

12.3.1 系统故障应急.........................................................................254 12.3.2 数据泄露应急.........................................................................256 13. 项目管理与实施........ 乏智能化的支持，无法满足现代政务处理中对大数据分析、智能决 策支持等高级功能的需求。 在现代政务办公中，数据安全性和隐私保护是重中之重。然 而，现有的安全防护措施往往不足以应对日益复杂的网络安全威 胁，如数据泄露、黑客攻击等问题频繁发生，严重威胁政务数据的 安全。同时，由于缺乏统一的标准和规范，各部门在数据管理和信 息系统建设上各自为政，导致系统兼容性差，难以实现跨部门、跨 地区的高效协同办公。 敏感级数据：实施访问控制和日志记录，确保数据使用可追 溯。  普通级数据：进行基本加密和访问控制，确保数据不被滥用。 此外，平台应建立数据脱敏机制，在数据的使用和共享过程 中，对敏感信息进行脱敏处理，以降低数据泄露风险。例如，在数 据分析和模型训练过程中，对公民身份证号、手机号等信息进行部 分隐藏或模糊处理。 最后，平台应定期开展数据安全演练和风险评估，及时发现和 修复潜在的安全漏洞，并制定应急预案，确保在发生数据安全事件

.......................................................................................89 7.4.1 数据泄露与滥用................................................................................................ 信息保护 法》和《数据安全法》的相关规定。这意味着在收集员工的个人信 息、工作表现数据时，必须获得员工的明确同意，并且仅用于岗位 推荐的目的。同时，企业需要建立严格的数据保护机制，防止数据 泄露或滥用。 在伦理层面，系统的设计应避免任何形式的歧视或偏见。例 如，算法模型在训练时应确保数据的多样性和公平性，避免因为性 别、年龄、种族等因素导致的不公平推荐结果。此外，系统应具备 透明性 行为并采取相应措施。 为应对潜在的数据泄露风险，系统还应建立完善的数据泄露应 急响应机制。一旦发生数据泄露，应立即启动应急响应计划，通知 相关方并采取必要措施减轻损失。例如，可以通过以下步骤来处理 数据泄露事件： 1. 确认数据泄露的范围和影响。 2. 封锁泄露源头，防止进一步扩散。 3. 通知受影响的个人和相关监管机构。 4. 进行内部调查，查明泄露原因并采取措施防止类似事件再次发 生。

基础设施风险：供应链漏洞、DDoS 攻击 17 与模型资产威胁 2.2 大模型风险：算法合规、内容安全、对抗攻击 18 2.3 应用服务安全风险：算力消耗、供应链与 18 隐私泄露 3 公共云和 MaaS 是兼顾性能、效率、 20 安全的最佳解决方案 CHAPTER CHAPTER 01 02 通义大模型：全生命周期安全 合规 1 风险现状及能力构建 46 的稳 定性、安全性和商业可持续性。 ● AI 供应链漏洞风险：AI 常用的训练与推理框架、平台软件中常存在公开的高危漏洞。 若未及时修复，攻击者可借此入侵系统，控制训练环境或业务平台，导致数据泄露、 服务中断，甚至影响关键社会领域，造成严重后果； ● 拒绝服务风险：AI 系统易受分布式拒绝服务（DDoS）攻击。攻击者通过海量恶意 流量耗尽计算或网络资源，导致系统无法响应正常请求，引发服务中断。这不仅带来 ● 对抗攻击风险：攻击者可通过构造对抗样本或指令注入攻击，诱导模型生成错误的 回答。 2.3 应用服务安全风险：算力消耗、供应链与隐私泄露 MaaS 平台在提供便捷服务的同时，也产生了特有的安全隐患。 ● 数据安全与隐私风险：攻击者可通过特定提示诱导模型泄露训练数据等商业秘密。 此外，用户与模型之间的交互链路若未采取充分的安全保护措施，也可能导致数据外 泄； ● 算力消耗风险：攻击者通过提交大量高复杂度请求，在不触发传统

网络安全保护提出 了更高的要求。安全风险较高的功能有： 07 随时联网：智能汽车通过蜂窝网和WLAN随时连接互联网，并可以安装APP应用，在提供 智能、丰富体验的同时，也增加了远程攻击与数据泄露的风险。 远程控制：智能汽车提供通过手机、手表远程控制汽车的功能，包括开门开窗、远程启动、 远程召唤等功能，带来非授权远程控制汽车的风险。 无感解闭锁：智能汽车提供数字车钥匙功能，通过手机蓝牙车钥匙，无需用户操作即可解锁 45654-2025 网络安全技术 生成式人工智能服务安全基本要求 GB/T 45674-2025 网络安全技术 生成式人工智能数据标注安全规范 数据隐私泄露 数据泄露是模型相关的敏感信息被非授权访问、使用或泄露。具体包括通过模型反向工程泄露 训练数据，模型错误输出暴露个人身份等敏感信息，模型本身的结构和参数被窃取或滥用。 人工智能技术的内生安全问题深植于其系统内部，涉及多个层面的安全挑战。从基础设施的薄 提示词注入攻击指攻击者通过巧妙构造输入文本，来操纵AI模型执行非预期或潜在有害操作的 一种恶意行为方法。 提示词注入对大模型构成了广泛的安全风险，涉及文本、图像、音频等多模态内容。这种恶意 行为可能导致敏感信息泄露、系统执行非授权操作、生成误导性或有害内容，以及利用第三方 应用漏洞进行欺诈。 应用安全风险 智能体安全风险 智能体（Agent）是一种能够感知环境、进行决策和执行动作的智能实体。随着大模型的能力