網絡安全知識手冊講解人：XXX時間：20XX.XX國/家/網/絡/安/全/宣/傳/周224YOURLOGOCONTENTS目錄01網絡安全法律法規體系02關鍵信息基礎設施安全保護03釣魚郵件04數據安全05電信網絡詐騙網絡安全大講堂YOURLOGOYOURLOGO網絡安全法律法規體系PART.01第一章節網絡安全法律法規體系2016年11月7日《中華人民共和國網絡安全法》2016年11月7日，第十二屆全國人民代表大會常務委員會第二十四次會議通過，自2017年6月1日起施行。是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律，是我國網絡空間法治建設的重要里程碑，是讓互聯網在法治軌道上健康運行的重要保障。2021年4月27日《關鍵信息基礎設施安全保護條例》2021年4月27日，經國務院第133次常務會議通過，2021年7月30日，國務院總理簽署中華人民共和國國務院令第745號公布，自2021年9月1日起施行。是我國首部專門針對關鍵信息基礎設施安全保護工作的行政法規。2021年6月10日《中華人民共和國數據安全法》2021年6月10日，第十三屆全國人民代表大會常務委員會第二十九次會議通過，自2021年9月1日起施行。是我國數據領域的基礎性法律，也是國家安全領域的一部重要法律。2021年7月5日《汽車數據安全管理若干規定（試行）》2021年7月5日，國家互聯網信息辦公室2021年第10次室務會議審議通過，并經國家發展和改革委員會、工業和信息化部、公安部、交通運輸部同意，自2021年10月1日起施行。用于規范汽車數據處理活動，保護個人、組織的合法權益，維護國家安全和社會公共利益，促進汽車數據合理開發利用。2021年8月20日《中華人民共和國個人信息保護法》2021年8月20日，第十三屆全國人大常委會第三十次會議通過，自2021年11月1日起施行。是為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用而制定的法律。網絡安全法律法規體系2020年4月13日《網絡安全審查辦法》2020年4月13日，《網絡安全審查辦法》公布。2021年11月16日，國家互聯網信息辦公室2021年第20次室務會議審議通過新修訂的《網絡安全審查辦法》，自2022車2月15日起施行。是為了進一步保障網絡安全和數據安全，維護國家安全而制定的部門規章。2023年5月23日《生成式人工智能服務管理暫行辦法》2023年5月23日，國家互聯網信息辦公室2023年第12次室務會會議審議通過，并經國家發展和改革委員會、教育部、科學技術部、工業和信息化部、公安部、國家廣播電視總局同意，自2023年8月15日起施行。是我國首個針對生成式人工智能服務的規范性政策，用于促進生成式人工智能健康發展和規范應用，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益。網絡安全法律法規體系我國網絡安全法律法規體系已基本形成。網絡空間不是法外之地YOURLOGO關鍵信息基礎設施安全保護PART.02第二章節關鍵信息基礎設施安全保護什么是關鍵信息基礎設施是指能源、交通、水利、金融、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。怎樣認定關鍵信息基礎設施重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門。保護工作部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則。制定認定規則主要考慮因素網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度；網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度；對其他行業和領域的關聯性影響。關鍵信息基礎設施安全保護保護條例是落實《網絡安全法》要求、構建國家關鍵信息基礎設施安全保護體系的頂層設計和重要舉措，更是保障國家安全、社會穩定和經濟發展的現實需要。安全保護舉措國家標準是我國第一項關鍵信息基礎設施安全保護的國家標準，對于我國關鍵信息基礎設施安全保護有著重要的指導意義。2021年8月17日，國務院公布《關鍵信息基礎設施安全保護條例》，自2021年9月1日起施行。2022年11月7日，我國關鍵信息基礎設施安全保護要求國家標準（GB/T39204-2022）發布，2023年5月1日，正式實施。烏克蘭2015年12月，烏克蘭配電公司約60座變電站遭到網絡攻擊，140萬名居民遭遇數小時停電。安全事件美國2021年5月，美國最大成品油運輸管道運營商ColonialPipeline3公司工控系統遭勒索病毒攻擊導致停機，造成成品油運輸管道運營中斷。歐洲2022年7月，歐洲天然氣管道遭遇勒索軟件攻擊。分析識別01關鍵信息基礎設施安全保護安全防護02檢測評估03監測預警04主動防御05事件處理06堅持綜合協調堅持分工負責堅持依法保護閉環安全防護體系關鍵信息基礎設施安全保護各部門職責國家網信部門統籌協調；公安部門負責指導監督關鍵信息基礎設施安全保護工作；電信有關部門依照相關規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作；政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。運營者責任義務落實網絡安全保護制度和責任制與關鍵信息基礎設施同步規劃、同步建設、同步使用安全保護措施建立健全網絡安全保護制度設置專門安全管理機構開展安全監測和風險評估報告網絡安全事件或網絡安全威脅規范網絡產品和服務采購活動保護關鍵信息基礎設施筑牢網絡安全屏障關鍵信息基礎設施安全保護各部門職責國家網信部門統籌協調；公安部門負責指導監督關鍵信息基礎設施安全保護工作；電信有關部門依照相關規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作；政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。運營者責任義務落實網絡安全保護制度和責任制與關鍵信息基礎設施同步規劃、同步建設、同步使用安全保護措施建立健全網絡安全保護制度設置專門安全管理機構開展安全監測和風險評估報告網絡安全事件或網絡安全威脅規范網絡產品和服務采購活動保護關鍵信息基礎設施筑牢網絡安全屏障YOURLOGO釣魚郵件PART.03第三章節釣魚郵件01針對高層管理人員鯨釣攻擊釣魚郵件是指黑客偽裝成同事、合作伙伴、朋友、家人等用戶信任的人，通過發送電子郵件的方式，誘使用戶回復郵件、點擊嵌入郵件正文的惡意鏈接或者打開郵件附件以植入木馬或間諜程序，進而竊取用戶敏感數據、個人銀行賬戶和密碼等信息，或者在設備上執行惡意代碼實施進一步的網絡攻擊活動。釣魚郵件：信任偽裝下的網絡攻擊02針對組織內的特定人員魚叉式網絡釣魚03針對公司財務等要職人員商業郵件詐騙黑客搜索爬取求職、婚戀交友、論文數據庫等特定網站上包含的郵箱地址；黑客攻擊網站，批量竊取用戶信息數據庫中的郵箱地址；黑客之間通過暗網買賣交換。電子郵件是怎么泄露的？釣魚郵件釣魚郵件偽裝術防護建議偽造發件人地址以假亂真利用“l”和“1”，“m”和“r”等之間的視覺差異性較小的特點，來欺騙收件人。量身定制郵件正文騙取信任根據用戶個人信息、工作情況、習慣等針對性設計郵件文本。隱藏惡意鏈接暗度陳倉使用引用性文字，引誘收件人點擊訪問惡意網站。降低用戶戒備，添加惡意程序為郵件附件用超長文件名來隱藏后綴、偽造附件圖標，發送帶有病毒的文件、程序。要將公私郵箱分開，不要輕易泄露郵箱地址；要仔細辨認發件人地址，不要輕易點擊陌生郵箱發來的郵件；多渠道核實來自熟人的轉賬匯款請求；懸停鼠標在鏈接上，檢查其指向的網址，不輕易提交用戶名、密碼等賬戶信息；提前安裝殺毒軟件，不輕易下載來歷不明的郵件附件；要綁定郵箱賬戶和手機，便于必要時找回密碼，接收“異地登錄提醒”掌握狀態。YOURLOGO數據安全PART.04第四章節數據安全黑客攻擊、員工竊取、數據安全能力不足、內部違規操作、違規共享等。竊取或泄露違規篡改、破壞、丟失等。數據毀損黑客攻擊、員工竊取、數據安全能力不足、內部違規操作、違規共享等。數據非法利黑客攻擊、員工竊取、數據安全能力不足、內部違規操作、違規共享等。數據非法出境數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。01個人網購產生的交易記錄02快遞物流信息03網約車行車軌跡及服務信息04大型互聯網平臺處理的海量數據信息數據安全威脅數據安全黑客攻擊、員工竊取、數據安全能力不足、內部違規操作、違規共享等。竊取或泄露違規篡改、破壞、丟失等。數據毀損黑客攻擊、員工竊取、數據安全能力不足、內部違規操作、違規共享等。數據非法利黑客攻擊、員工竊取、數據安全能力不足、內部違規操作、違規共享等。數據非法出境數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。01個人網購產生的交易記錄02快遞物流信息03網約車行車軌跡及服務信息04大型互聯網平臺處理的海量數據信息數據安全威脅數據安全2021年3月，李某等人私自在某重要軍事基地周邊架設氣象觀測設備，采集并向境外傳送敏感氣象數據。危害重要數據安全的典型案例2022年6月，西北工業大學遭受美國國家安全局網絡攻擊，持續竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。一般數據重要數據核心數據按照《中華人民共和國數據安全法》要求，根據數據一旦遭到纂改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，將數據分為一般數據、重要數據、核心數據共三個級別。數據分級數據安全備份、加密、訪問控制、數據安全應急處置機制、申報網絡安全審查數據處理者明確數據安全負責人，成立數據安全管理機構；制定數據安全培訓計劃，組織開展全員數據安全教育培訓；優先采購安全可信的網絡產品和服務、每年開展一次數據安全評估。重要數據的處理者建立與數據相關的平臺規則、隱私政策和算法策略披露制度，及時披露制定程序、裁決程序，保障平臺規則、隱私政策、算法公平公正互聯網平臺運營者YOURLOGO電信網絡詐騙PART.05第五章節電信網絡詐騙騙術一殺豬盤詐騙指通過婚戀平臺、社交軟件等方式尋找潛在受害者，通過聊天發展感情取得信任，然后將受害者引入博彩、理財等詐騙平臺進行充值，騙取受害者錢財的騙局。 甜言蜜語暖心房，卷錢跑路兩茫茫電信網絡詐騙，是指以非法占有為目的，利用電信網絡技術手段，通過遠程、非接觸等方式，詐騙公私財物的行為。騙術二殺鳥盤詐騙指刷單詐騙、兼職詐騙，騙子通過發高薪不斷鼓動受害者投錢代刷，最終騙取所有投資錢財的騙術。投資理財循正路，刷單兼職是騙術電信網絡詐騙我在外地競標，借用你賬戶，公對公過賬下保證金真的是你么？視頻一下信你了！沒問題，必須的！！沒有核實錢款是否到賬，就將錢轉到了“好友”提供的銀行卡上轉款完成，發現被騙AI換臉是一種基于人工智能技術的圖像處理應用，可以將一個人的面部特征和表情應用到另一張照片或視頻中，實現快速、高效的人臉替換。電信網絡詐騙騙子給受害人打騷擾電話提取受害人聲音對聲音素材進行合成用偽造的聲音實施詐騙新型AI詐騙：Al擬聲電信網絡詐騙0204060503不向陌生人提供身份證號碼、家庭住址等重要信息；盡量減少個人照片、視頻的泄露；保護個人信息為銀行卡、網上銀行、手機銀行設置復雜程度較高的密碼，不向任何人透露或轉發短信驗證碼或其它形式動態密碼；不透露密碼建議將轉賬匯款到賬時間設定為“2小時到賬”或“24小時到賬”，以預留處理時間；預留處理時間不要與他人共享屏幕；不要聽信陌生人的轉賬匯款請求；遇熟人借款等情形，盡量通過多種方式（如主動撥打電話等）確認對方是否為本人；多種形式確認幫助信息網絡犯罪活動罪（簡稱“幫信罪”）是《刑法修正案（九）＞》新增設的罪名，簡單來說，就是在明知道他人利用信息網絡實施犯罪（電信詐騙）還為其犯罪提供幫助的行為。不違法犯罪（幫信罪）辦理銀行信用卡及額度提升等業務，一定要通過銀行官方微信平臺、官方網站等可靠渠道進行申請。在網購平臺辦理退款、退貨要通過官方App渠道；官方渠道辦業務防范建議：01YOURLOGO個人信息保護PART.06第六章節個人信息保護泄露途徑非法披露非法買賣非故意泄露攻擊手機攻擊網站收集是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的定義個人信息的處理包括個人信息的：存儲使用加工傳輸提供公開刪除敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。個人信息保護要優先選擇尊重個人信息保護的產品、服務；要審核App要求的權限，并謹慎授權；要在身份證復印件上標注“僅限辦理某業務時使用”；要對重要信息進行加密保護；要設置他人對自己所分享信息的訪問權限。五要垃圾短信源源不斷；騷擾、詐騙電話接二連三；垃圾郵件鋪天蓋地；大數據“殺熟”“人肉搜索”等惡意披露特定對象的個人信息事件。信息泄露危害防護建議：五要三不要不要隨意連接免費Wi-Fi熱點；不要隨意點擊進入短信、郵件中的網站，提交個人敏感信息；不在網上曬車票、證件，以及含有孩子學校、家庭住址、個人收入情況的照片。三不要個人信息保護2022年7月1日，在中央網信辦指導下，資助企業、一流網絡安全學院、中國網絡空間安全協會、中國互聯網發展基金會共同發起。產業教育融合著力打通產業和教育之間的“堵點”，所有創新任務均由企業提出，直接面向產業實際需求和共性問題，提升高校學生基礎性研究能力。初期資助對象地方一流網絡安全學院建設示范項目高校網絡安全學院的全日制在讀本科、碩士、博士學生。資助計劃開展創新研究擇優獎勵計劃資助1200名學生第一期資助企業共提出103個研究選題，并經選拔確定共資助240名學生，資助費用已經全部撥付，受資助學生都已經參與到企業研究項目中，企業為每名學生配備了企業導師。第一階段已驗收總結第二階段正陸續開展實施創新資助計劃個人信息保護“通過參與創新資助計劃，加強了我們與各院校的合作，有利于推動網絡安全人才培養和技術創新。企業談對于學校和學生提供了良好的研究和學習基礎，有利于提升學生動手能力和實操能力，培育網絡安全人才創新能力；對于企業增加了企業和學校、學生直接接觸的機會，對提前儲備人才和提升市場影響力有非常好的效果。”“對于我來說，這是一次非常難得的機會可以和企業直接對接交流開發經驗。在開發過程中，遇到很多難題，但在企業導師和學校導師的指導下，一個個迎刃而解，讓我在實踐中對研究工作有了更多新的理解。”學生談個人信息保護要優先選擇尊重個人信息保護的產品、服務；要審核App要求的權限，并謹慎授權；要在身份證復印件上標注“僅限辦理某業務時使用”；要對重要信息進行加密保護；要設置他人對自己所分享信息的訪問權限。五要垃圾短信源源不斷；騷擾、詐騙電話接二連三；垃圾郵件鋪天蓋地；大數據“殺熟”“人肉搜索”等惡意披露特定對象的個人信息事件。信息泄露危害防護建議：五要三不要不要隨意連接免費Wi-Fi熱點；不要隨意點擊進入短信、郵件中的網站，提交個人敏感信息；不在網上曬車票、證件，以及含有孩子學校、家庭住址、個人收入情況的照片。三不要YOURLOGO個人信息保護PART.06第六章節關鍵信息基礎設施安全保護各部門職責國家網信部門統籌協調；公安部門負責指導監督關鍵信息基礎設施安全保護工作；電信有關部門依照相關規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作；政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。運營者責任義務落實網絡安全保護制度和責任制與關鍵信息基礎設施同步規劃、同步建設、同步使用安全保護措施建立健全網絡安全保護制度設置專門安全管理機構開展安全監測和風險評估報告網絡安全事件或網絡安全威脅規范網絡產品和服務采購活動保護關鍵信息基礎設施筑牢網絡安全屏障關鍵信息基礎設施安全保護什么是關鍵信息基礎設施是指能源、交通、水利、金融、國防科技工