2024網絡安全知識手冊國家網絡安全宣傳周主題教育班會

網絡安全知識手冊講解人：XXX時間：20XX.XX國/家/網/絡/安/全/宣/傳/周224YOURLOGOCONTENTS目錄01網絡安全法律法規(guī)體系02關鍵信息基礎設施安全保護03釣魚郵件04數(shù)據安全05電信網絡詐騙網絡安全大講堂YOURLOGOYOURLOGO網絡安全法律法規(guī)體系PART.01第一章節(jié)網絡安全法律法規(guī)體系2016年11月7日《中華人民共和國網絡安全法》2016年11月7日，第十二屆全國人民代表大會常務委員會第二十四次會議通過，自2017年6月1日起施行。是我國第一部全面規(guī)范網絡空間安全管理方面問題的基礎性法律，是我國網絡空間法治建設的重要里程碑，是讓互聯(lián)網在法治軌道上健康運行的重要保障。2021年4月27日《關鍵信息基礎設施安全保護條例》2021年4月27日，經國務院第133次常務會議通過，2021年7月30日，國務院總理簽署中華人民共和國國務院令第745號公布，自2021年9月1日起施行。是我國首部專門針對關鍵信息基礎設施安全保護工作的行政法規(guī)。2021年6月10日《中華人民共和國數(shù)據安全法》2021年6月10日，第十三屆全國人民代表大會常務委員會第二十九次會議通過，自2021年9月1日起施行。是我國數(shù)據領域的基礎性法律，也是國家安全領域的一部重要法律。2021年7月5日《汽車數(shù)據安全管理若干規(guī)定（試行）》2021年7月5日，國家互聯(lián)網信息辦公室2021年第10次室務會議審議通過，并經國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部同意，自2021年10月1日起施行。用于規(guī)范汽車數(shù)據處理活動，保護個人、組織的合法權益，維護國家安全和社會公共利益，促進汽車數(shù)據合理開發(fā)利用。2021年8月20日《中華人民共和國個人信息保護法》2021年8月20日，第十三屆全國人大常委會第三十次會議通過，自2021年11月1日起施行。是為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用而制定的法律。網絡安全法律法規(guī)體系2020年4月13日《網絡安全審查辦法》2020年4月13日，《網絡安全審查辦法》公布。2021年11月16日，國家互聯(lián)網信息辦公室2021年第20次室務會議審議通過新修訂的《網絡安全審查辦法》，自2022車2月15日起施行。是為了進一步保障網絡安全和數(shù)據安全，維護國家安全而制定的部門規(guī)章。2023年5月23日《生成式人工智能服務管理暫行辦法》2023年5月23日，國家互聯(lián)網信息辦公室2023年第12次室務會會議審議通過，并經國家發(fā)展和改革委員會、教育部、科學技術部、工業(yè)和信息化部、公安部、國家廣播電視總局同意，自2023年8月15日起施行。是我國首個針對生成式人工智能服務的規(guī)范性政策，用于促進生成式人工智能健康發(fā)展和規(guī)范應用，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益。網絡安全法律法規(guī)體系我國網絡安全法律法規(guī)體系已基本形成。網絡空間不是法外之地YOURLOGO關鍵信息基礎設施安全保護PART.02第二章節(jié)關鍵信息基礎設施安全保護什么是關鍵信息基礎設施是指能源、交通、水利、金融、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)等。怎樣認定關鍵信息基礎設施重要行業(yè)和領域的主管部門、監(jiān)督管理部門是負責關鍵信息基礎設施安全保護工作的部門。保護工作部門結合本行業(yè)、本領域實際，制定關鍵信息基礎設施認定規(guī)則。制定認定規(guī)則主要考慮因素網絡設施、信息系統(tǒng)等對于本行業(yè)、本領域關鍵核心業(yè)務的重要程度；網絡設施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據泄露可能帶來的危害程度；對其他行業(yè)和領域的關聯(lián)性影響。關鍵信息基礎設施安全保護保護條例是落實《網絡安全法》要求、構建國家關鍵信息基礎設施安全保護體系的頂層設計和重要舉措，更是保障國家安全、社會穩(wěn)定和經濟發(fā)展的現(xiàn)實需要。安全保護舉措國家標準是我國第一項關鍵信息基礎設施安全保護的國家標準，對于我國關鍵信息基礎設施安全保護有著重要的指導意義。2021年8月17日，國務院公布《關鍵信息基礎設施安全保護條例》，自2021年9月1日起施行。2022年11月7日，我國關鍵信息基礎設施安全保護要求國家標準（GB/T39204-2022）發(fā)布，2023年5月1日，正式實施。烏克蘭2015年12月，烏克蘭配電公司約60座變電站遭到網絡攻擊，140萬名居民遭遇數(shù)小時停電。安全事件美國2021年5月，美國最大成品油運輸管道運營商ColonialPipeline3公司工控系統(tǒng)遭勒索病毒攻擊導致停機，造成成品油運輸管道運營中斷。歐洲2022年7月，歐洲天然氣管道遭遇勒索軟件攻擊。分析識別01關鍵信息基礎設施安全保護安全防護02檢測評估03監(jiān)測預警04主動防御05事件處理06堅持綜合協(xié)調堅持分工負責堅持依法保護閉環(huán)安全防護體系關鍵信息基礎設施安全保護各部門職責國家網信部門統(tǒng)籌協(xié)調；公安部門負責指導監(jiān)督關鍵信息基礎設施安全保護工作；電信有關部門依照相關規(guī)定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監(jiān)督管理工作；政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監(jiān)督管理。運營者責任義務落實網絡安全保護制度和責任制與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用安全保護措施建立健全網絡安全保護制度設置專門安全管理機構開展安全監(jiān)測和風險評估報告網絡安全事件或網絡安全威脅規(guī)范網絡產品和服務采購活動保護關鍵信息基礎設施筑牢網絡安全屏障YOURLOGO釣魚郵件PART.03第三章節(jié)釣魚郵件01針對高層管理人員鯨釣攻擊釣魚郵件是指黑客偽裝成同事、合作伙伴、朋友、家人等用戶信任的人，通過發(fā)送電子郵件的方式，誘使用戶回復郵件、點擊嵌入郵件正文的惡意鏈接或者打開郵件附件以植入木馬或間諜程序，進而竊取用戶敏感數(shù)據、個人銀行賬戶和密碼等信息，或者在設備上執(zhí)行惡意代碼實施進一步的網絡攻擊活動。釣魚郵件：信任偽裝下的網絡攻擊02針對組織內的特定人員魚叉式網絡釣魚03針對公司財務等要職人員商業(yè)郵件詐騙黑客搜索爬取求職、婚戀交友、論文數(shù)據庫等特定網站上包含的郵箱地址；黑客攻擊網站，批量竊取用戶信息數(shù)據庫中的郵箱地址；黑客之間通過暗網買賣交換。電子郵件是怎么泄露的？釣魚郵件釣魚郵件偽裝術防護建議偽造發(fā)件人地址以假亂真利用“l(fā)”和“1”，“m”和“r”等之間的視覺差異性較小的特點，來欺騙收件人。量身定制郵件正文騙取信任根據用戶個人信息、工作情況、習慣等針對性設計郵件文本。隱藏惡意鏈接暗度陳倉使用引用性文字，引誘收件人點擊訪問惡意網站。降低用戶戒備，添加惡意程序為郵件附件用超長文件名來隱藏后綴、偽造附件圖標，發(fā)送帶有病毒的文件、程序。要將公私郵箱分開，不要輕易泄露郵箱地址；要仔細辨認發(fā)件人地址，不要輕易點擊陌生郵箱發(fā)來的郵件；多渠道核實來自熟人的轉賬匯款請求；懸停鼠標在鏈接上，檢查其指向的網址，不輕易提交用戶名、密碼等賬戶信息；提前安裝殺毒軟件，不輕易下載來歷不明的郵件附件；要綁定郵箱賬戶和手機，便于必要時找回密碼，接收“異地登錄提醒”掌握狀態(tài)。YOURLOGO數(shù)據安全PART.04第四章節(jié)數(shù)據安全黑客攻擊、員工竊取、數(shù)據安全能力不足、內部違規(guī)操作、違規(guī)共享等。竊取或泄露違規(guī)篡改、破壞、丟失等。數(shù)據毀損黑客攻擊、員工竊取、數(shù)據安全能力不足、內部違規(guī)操作、違規(guī)共享等。數(shù)據非法利黑客攻擊、員工竊取、數(shù)據安全能力不足、內部違規(guī)操作、違規(guī)共享等。數(shù)據非法出境數(shù)據，是指任何以電子或者其他方式對信息的記錄。數(shù)據處理，包括數(shù)據的收集、存儲、使用、加工、傳輸、提供、公開等。數(shù)據安全，是指通過采取必要措施，確保數(shù)據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。01個人網購產生的交易記錄02快遞物流信息03網約車行車軌跡及服務信息04大型互聯(lián)網平臺處理的海量數(shù)據信息數(shù)據安全威脅數(shù)據安全2021年3月，李某等人私自在某重要軍事基地周邊架設氣象觀測設備，采集并向境外傳送敏感氣象數(shù)據。危害重要數(shù)據安全的典型案例2022年6月，西北工業(yè)大學遭受美國國家安全局網絡攻擊，持續(xù)竊取該校關鍵網絡設備配置、網管數(shù)據、運維數(shù)據等核心技術數(shù)據。一般數(shù)據重要數(shù)據核心數(shù)據按照《中華人民共和國數(shù)據安全法》要求，根據數(shù)據一旦遭到纂改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，將數(shù)據分為一般數(shù)據、重要數(shù)據、核心數(shù)據共三個級別。數(shù)據分級數(shù)據安全備份、加密、訪問控制、數(shù)據安全應急處置機制、申報網絡安全審查數(shù)據處理者明確數(shù)據安全負責人，成立數(shù)據安全管理機構；制定數(shù)據安全培訓計劃，組織開展全員數(shù)據安全教育培訓；優(yōu)先采購安全可信的網絡產品和服務、每年開展一次數(shù)據安全評估。重要數(shù)據的處理者建立與數(shù)據相關的平臺規(guī)則、隱私政策和算法策略披露制度，及時披露制定程序、裁決程序，保障平臺規(guī)則、隱私政策、算法公平公正互聯(lián)網平臺運營者YOURLOGO電信網絡詐騙PART.05第五章節(jié)電信網絡詐騙騙術一殺豬盤詐騙指通過婚戀平臺、社交軟件等方式尋找潛在受害者，通過聊天發(fā)展感情取得信任，然后將受害者引入博彩、理財?shù)仍p騙平臺進行充值，騙取受害者錢財?shù)尿_局。 甜言蜜語暖心房，卷錢跑路兩茫茫電信網絡詐騙，是指以非法占有為目的，利用電信網絡技術手段，通過遠程、非接觸等方式，詐騙公私財物的行為。騙術二殺鳥盤詐騙指刷單詐騙、兼職詐騙，騙子通過發(fā)高薪不斷鼓動受害者投錢代刷，最終騙取所有投資錢財?shù)尿_術。投資理財循正路，刷單兼職是騙術電信網絡詐騙我在外地競標，借用你賬戶，公對公過賬下保證金真的是你么？視頻一下信你了！沒問題，必須的??！沒有核實錢款是否到賬，就將錢轉到了“好友”提供的銀行卡上轉款完成，發(fā)現(xiàn)被騙AI換臉是一種基于人工智能技術的圖像處理應用，可以將一個人的面部特征和表情應用到另一張照片或視頻中，實現(xiàn)快速、高效的人臉替換。電信網絡詐騙騙子給受害人打騷擾電話提取受害人聲音對聲音素材進行合成用偽造的聲音實施詐騙新型AI詐騙：Al擬聲電信網絡詐騙0204060503不向陌生人提供身份證號碼、家庭住址等重要信息；盡量減少個人照片、視頻的泄露；保護個人信息為銀行卡、網上銀行、手機銀行設置復雜程度較高的密碼，不向任何人透露或轉發(fā)短信驗證碼或其它形式動態(tài)密碼；不透露密碼建議將轉賬匯款到賬時間設定為“2小時到賬”或“24小時到賬”，以預留處理時間；預留處理時間不要與他人共享屏幕；不要聽信陌生人的轉賬匯款請求；遇熟人借款等情形，盡量通過多種方式（如主動撥打電話等）確認對方是否為本人；多種形式確認幫助信息網絡犯罪活動罪（簡稱“幫信罪”）是《刑法修正案（九）＞》新增設的罪名，簡單來說，就是在明知道他人利用信息網絡實施犯罪（電信詐騙）還為其犯罪提供幫助的行為。不違法犯罪（幫信罪）辦理銀行信用卡及額度提升等業(yè)務，一定要通過銀行官方微信平臺、官方網站等可靠渠道進行申請。在網購平臺辦理退款、退貨要通過官方App渠道；官方渠道辦業(yè)務防范建議：01YOURLOGO個人信息保護PART.06第六章節(jié)個人信息保護泄露途徑非法披露非法買賣非故意泄露攻擊手機攻擊網站收集是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的定義個人信息的處理包括個人信息的：存儲使用加工傳輸提供公開刪除敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。個人信息保護要優(yōu)先選擇尊重個人信息保護的產品、服務；要審核App要求的權限，并謹慎授權；要在身份證復印件上標注“僅限辦理某業(yè)務時使用”；要對重要信息進行加密保護；要設置他人對自己所分享信息的訪問權限。五要垃圾短信源源不斷；騷擾、詐騙電話接二連三；垃圾郵件鋪天蓋地；大數(shù)據“殺熟”“人肉搜索”等惡意披露特定對象的個人信息事件。信息泄露危害防護建議：五要三不要不要隨意連接免費Wi-Fi熱點；不要隨意點擊進入短信、郵件中的網站，提交個人敏感信息；不在網上曬車票、證件，以及含有孩子學校、家庭住址、個人收入情況的照片。三不要個人信息保護2022年7月1日，在中央網信辦指導下，資助企業(yè)、一流網絡