一公局張家港項目網絡安全宣傳手冊

目錄

CONTENTS

一、法律法規(guī)

1.中華人民共和國網絡安全法 03

2.中華人民共和國數(shù)據(jù)安全法 09

3.關鍵信息基礎設施安全保護條例 13

4.中華人民共和國個人信息保護法 17

二、攻擊與防護

1.（社工攻擊）入侵方式和手段 22

2.網絡安全防護建議 29

三、網絡安全知識宣傳

1.護網行動 36

2.網絡安全 36

3.電腦中病毒表現(xiàn) 37

4.電子郵件安全 37

5.無線網絡安全 38

6.病毒防范風險 38

7.敏感信息保護 39

8.網上安全交易 39

9.防火墻 40

10.DNS 40

01

一公局張家港項目網絡安全宣傳手冊

一、法律法規(guī)

中華人民共和國網絡安全

法

02

中華人民共和國網絡安全法

其它條款解讀:[應急預案與響應要求]

涉及行業(yè): 事業(yè)單位 國企 傳媒 金融 電商 游戲 社變網站……

第二十五條規(guī)定:

網絡運營者應當制定網絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網絡攻擊、網絡

侵入等安全風險，在發(fā)生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并

按照規(guī)定向有關主管部門報告。

中華人民共和國網絡安全法

其它條款解讀:[應急預案與響應要求]

解讀:

本條款的提出也是完善安全技術體系非常重要的一環(huán)，而響應能力的建設是當前網絡運營者普遍

存在的弱點。

整體缺乏事件危害評估、應急預案、處置措施、上報流程等一系列的規(guī)范，或者說有規(guī)范但在出

現(xiàn)網絡安全事件的時候，發(fā)現(xiàn)應急預案根本沒辦法起到作用。

在公共云或者可運營的政務云上，有著完整的安全運營體系，當發(fā)生大規(guī)模網絡安全事件時，安

全運營團隊會第一時間處理相關問題。針對網絡運營者的業(yè)務制定應急預案和定期演練。

處罰:

拒不執(zhí)行本條款要求或因此導致危害網絡安全后果的網絡運營者，處一萬以上十萬以下罰款，對

于直接負責的主管人員處以 5000 元以上 5 萬元以下罰款。

03

一公局張家港項目網絡安全宣傳手冊

其它條款解讀:[政務安全治理]

涉及行業(yè): 政府機構 事業(yè)單位 公共服務職能部門......

第三十四條規(guī)定:

除本法第二十一條的規(guī)定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務:

1.設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查;

2.定期對從業(yè)人員進行網絡安全教育、技術培訓和技能考核;

3.對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份;

4.制定網絡安全事件應急預案，并定期進行演練;

5.法律、行政法規(guī)規(guī)定的其他義務。

中華人民共和國網絡安全法

其它條款解讀:[政務安全治理]

解讀:

關鍵基礎設施的安全隱患具有很大的破壞性和殺傷力，《網絡安全法》在關鍵信息基礎設施的運

行安全、建立網絡安全監(jiān)測預警與應急處置制度等方面都作出了明確規(guī)定。

處罰:

不履行本法相關條款的網絡安全保護義務的，拒不改正或者導致危害網絡安全等后果的，處十萬

元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

04

中華人民共和國網絡安全法

其它條款解讀:[明確等級保護工作重點]

網絡安全法的發(fā)布也標志著國家網絡安全等級保護工作正式進入 2.0 時代;

第二十一條:

國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列

安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數(shù)據(jù)泄露或者被竊取、

篡改:

解讀: 本條規(guī)定的是網絡運營者的義務。

(一)制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任;

解讀:

一般第一主要責任人是單位一把手，廳長、局長、院長、校長等領導，第二主要責任人是單位具

體分管信息化、分管網絡安全的領導，副廳長、副局長、副院長、副校長或總工等。

中華人民共和國網絡安全法

(二) 采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;

解讀:

一般來說防火墻、IDS、IPS、防病毒網關、殺毒軟件和防 DDOS 攻擊系統(tǒng)等屬于這類技術措施。

(三) 采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日

志不少于六個月;

解讀:

網絡審計、行為審計、運維審計、日志管理分析、安全管理平臺和態(tài)勢感知平臺等都屬于這類技

術措施.

(四) 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

解讀:

數(shù)據(jù)安全越來越重要，等保方案需要充分考慮數(shù)據(jù)備份、數(shù)據(jù)傳輸和數(shù)據(jù)存儲安全等內容。

(五)法律、行政法規(guī)規(guī)定的其他義務。

05

一公局張家港項目網絡安全宣傳手冊

其它條款解讀:[明確等級保護工作核心]

1. 關鍵信息基礎設施的定義

第三十一條:

國家公共通信信息服務、能源、交通、 水利、金融、公共服務、電子政務等重要行業(yè)和領域，以

及一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵

信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范

圍和安全保護辦法由國務院制定。

解讀:

等級保護工作的核心是關鍵信息基礎設施，本條首先定義了什么是關鍵信息基礎設施。國家互聯(lián)

網信息辦公室于 2017 年 7 月發(fā)布《關鍵信息基礎設施安全保護條例(征求意見稿)》。

中華人民共和國網絡安全法

其它條款解讀:[明確等級保護工作核心]

2.關鍵信息基礎設施的安全保護義務

第三十四條:

運營者設置專門機構和負責人、網絡安全教育培訓、容災備份、應急預案和演練等

解讀:

本條款說明關鍵信息基礎設施的保護要求高于網絡安全等級保護制度的一般要求，從制度、培訓、

災備、應急等方面提出了進一步要求。

第五十九條運營者拒不改正或導致危害網絡安全的，罰款 10-100 萬元，直接責任人罰款 1-10 萬

元。

06

中華人民共和國網絡安全法

其它條款解讀:[個人信息保護]

涉及行業(yè):事業(yè)單位 通信 傳媒金融 醫(yī)療 電商 游戲......

第四十一條:

網絡運營這收集、使用個人信息，應當遵循合法、正當、必要的原則、公開收集、使用規(guī)則，明

示收集、使用信息的目的、方式和范圍，并經被收集者同意，網絡運營者不得收集與其提供的服

務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當

依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

第四十二條: ......

第四十三條: ......

中華人民共和國網絡安全法

其它條款解讀:[個人信息保護]

解讀:

從這三條條款中可以看出，《網絡安全法》聚焦個人信息泄露，明確網絡產品服務提供者、運營

者的責任。嚴厲打擊出售販賣個人信息的行為，《網絡安全法》針對層出不窮的新型網絡詐騙犯

罪還規(guī)定:任何個人和組織不得設立用于實施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制

物品等違法犯罪活動的網站、通訊群組，不得利用網絡發(fā)布與實施詐騙，制作或者銷售違禁物品、

管制物品以及其他違法犯罪活動的信息。

處罰：

違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定，侵害個人信息依法得到保護的權利

的，由有關主管部門責令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一

倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直

接責任人員處一萬元以上十萬元以下罰款;情節(jié)嚴重的，并可以責令暫停相關業(yè)務、停業(yè)整頓、關

閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。

07

一公局張家港項目網絡安全宣傳手冊

其它條款解讀:[明確等級保護工作核心]

1.敏感信息保存

第三十七條:

境內收集產生的個人信息和重要數(shù)據(jù)應當在境內存儲。需向境外提供的，應進行安全評估。

解讀:

本條是外企和有海外業(yè)務的國內企業(yè)很關注的一條。主要是關于數(shù)據(jù)境內存儲和境外數(shù)據(jù)流動的

問題。

核心是數(shù)據(jù)安全。

第六十六條 運營者違反規(guī)定的，沒收違法所得，罰款 5-50 萬元，吊銷執(zhí)照，直接責任人罰款 1-10

萬元。

中華人民共和國網絡安全法

其它條款解讀:[明確等級保護工作核心]

2.風險檢測評估

第三十八條:

運營者每年至少組織一次安全風險檢測評估，并評估情況和改進措施報相關部門。

解讀:

本條主要是關于對關鍵信息基礎設施年度檢測評估的問題。這里提到了網絡安全服務機構，就是

我們常說的提供風險評估等各類安全服務的機構，這些機構以后又多了一項業(yè)務了。

第五十九條 運營者拒不改正或導致危害網絡安全的，罰款 10-100 萬元，直接責任人罰款 1-10 萬

元。

08

中華人民共和國數(shù)據(jù)安全法

01《數(shù)據(jù)安全法》的立法目的

《數(shù)據(jù)安全法》第一條規(guī)定“為了規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用,保護個

人、組織的合法權益，維護國家主權、安全和發(fā)展利益,制定本法?！?/p>

從歷史意義上看，該法的出臺意味著我國首次將數(shù)據(jù)安全上升到“維護國家主權、安全和發(fā)展利

益”的戰(zhàn)略層面。任何的數(shù)據(jù)的處理與利用都應以維護我國國家主權、保護我國國家安全為前提。

任何企業(yè)或者個人如有涉嫌威脅國家安全、影響國家主權的數(shù)據(jù)處理行為，不僅會面臨刑事審查，

還會面臨國家安全審查。

因此，企業(yè)在開展涉及數(shù)據(jù)加工、數(shù)據(jù)交易、數(shù)據(jù)跨境業(yè)務的過程中，不僅要在傳統(tǒng)意義上“網

絡安全和“數(shù)據(jù)安全”的框架內進行，還應當時刻評估數(shù)據(jù)處理行為對國家安全和社會公共利益

的影響，避免不當行為的發(fā)生。

中華人民共和國數(shù)據(jù)安全法

02《數(shù)據(jù)安全法》的指導理念

總體國家安全觀在《數(shù)據(jù)安全法》第四條予以明確。該法規(guī)定“維護數(shù)據(jù)安全，應當堅持總體國

家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。”國家安全涉及到政治、國土、

軍事、經濟文化、社會、網絡等各個方面，是一套復雜的工程。

09

一公局張家港項目網絡安全宣傳手冊

1).個人數(shù)據(jù)

個人數(shù)據(jù)這塊，可概括分為個人基礎數(shù)據(jù)、個人隱私數(shù)據(jù)、個人行為數(shù)據(jù)。

2).商業(yè)數(shù)據(jù)

商業(yè)數(shù)據(jù)這塊，可概括分為:公共數(shù)據(jù)、平臺數(shù)據(jù)與企業(yè)數(shù)據(jù)。

3).其他要點

如何理解個人數(shù)據(jù)與企業(yè)數(shù)據(jù)的交叉?

如何理解“重要數(shù)據(jù)和核心數(shù)據(jù)”?

如何理解保護數(shù)據(jù)的法律法規(guī)?

中華人民共和國數(shù)據(jù)安全法

03 數(shù)據(jù)分類與分級

數(shù)據(jù)的分類與分級，是談到數(shù)據(jù)安全的重要概念。圖中，按照縱向的行業(yè)劃分，即為數(shù)據(jù)分類;

在每個行業(yè)內，再將數(shù)據(jù)按照敏感程度分為不同層級即為數(shù)據(jù)分級。

按照業(yè)務發(fā)展需求和法規(guī)標準的要求對數(shù)據(jù)的分類分級“量體裁衣”才能適應日益多樣化的數(shù)據(jù)

使用場景和復雜的數(shù)據(jù)使用維度，為公司業(yè)務數(shù)據(jù)劃分完整的分類分級標準，為公司業(yè)務發(fā)展提

供高效的數(shù)推支撐。

10

具體條款解讀:

第十五條:

國家支持開發(fā)利用數(shù)據(jù)提升公共服務的智能化水平。提供智能化公共服務，應當充分考慮老年人、

殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

解讀:

響應十四五規(guī)劃數(shù)字社會建設，推動數(shù)字化服務普惠應用，并充分保障弱勢群體權益，共享新型

數(shù)字生活。

第十六條:

國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術研究，鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領域的技術推廣和

商業(yè)創(chuàng)新，培育、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產品、產業(yè)體系。

解讀:

響應十四五規(guī)劃數(shù)字經濟發(fā)展，加快數(shù)字技術創(chuàng)新研究及應用，推動數(shù)字產業(yè)化發(fā)展。

11

中華人民共和國數(shù)據(jù)安全法

04 落地分析與實現(xiàn)

企業(yè)在數(shù)據(jù)安全領域落地，是存在一系列痛點與難點。這里主要來自兩個方面：

一是對安全法規(guī)及標準的解讀;

[具體應對操作:遵循先法律法規(guī)、后標準規(guī)范，先國家行業(yè)、后區(qū)域地方的原則進行解讀，摸清

企業(yè)數(shù)據(jù)應遵循的安全原則。很多安全或咨詢公司，也提供此類安全咨詢服務，幫助企業(yè)做好政

策解讀。]

二是如何結合企業(yè)自身情況，制定并落地數(shù)據(jù)安全改進。

[一方面需要摸清企業(yè)數(shù)據(jù)，一方面需建立數(shù)據(jù)全生命周期安全規(guī)劃，有針對性地采取一系列安全

改造措施。應對數(shù)據(jù)生命周期的各階段所涉及的主要安全能力，包括從數(shù)據(jù)識別、傳輸、存儲、

使用、銷毀多環(huán)節(jié)。]

中華人民共和國數(shù)據(jù)安全法

12

具體條款解讀

第二十一條:

國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經濟社會發(fā)展中的重要程度，以及一旦遭到篡改、

破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危

害程度，對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據(jù)

目錄，加強對重要數(shù)據(jù)的保護。

關系國家安全、國民經濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴

格的管理制度。

各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重

要數(shù)據(jù)具體目錄，對列目錄的數(shù)據(jù)進行重點保護。

中華人民共和國數(shù)據(jù)安全法

解讀:

數(shù)據(jù)分級分類標準以風險程度為導向:重要程度+危害程度

明確重更數(shù)據(jù)制定的工作機制

明確國家核心數(shù)據(jù)的定義

由于不同行業(yè)，不同地區(qū)數(shù)據(jù)分類分級的具體規(guī)則和考慮因素差距巨大，重要數(shù)據(jù)具體目錄及具

體分類分級保護制度的制定權限下放到行

目前已出臺《浙江省公共數(shù)據(jù)條例》、DB 33/T 2351-2021《數(shù)字化改革公共數(shù)據(jù)分類分級指南》

-浙江省

一公局張家港項目網絡安全宣傳手冊

01 關鍵信息基礎設施的定義

關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利。金融、公共服務、電子

政務、國防科技工業(yè)等重要行業(yè)和領域，以及其他一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，可能

嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)等。

當通信設施的重要信息系統(tǒng)遭受攻擊時，可能引發(fā)重大安全事故或重大網絡安全事件，對國

家安全、國計民生和公共利益造成嚴重危害。

關鍵信息基礎設施安全保護條例

02 關鍵信息基礎設施安全保護總體要求

關鍵信息基礎設施安全保護堅持綜合協(xié)調、分工負責、依法保護，強化和落實關鍵信息基礎

設施運營者主體責任，充分發(fā)揮政府及社會各方面的作用，共同保護關鍵信息基礎設施安全。

國務院公安部門指導監(jiān)督關鍵信息基礎設施安全保護工作，國務院電信主管部門和其他有關

部門及省級人民政府在各自范圍內負責關鍵信息基礎設施安全保護和監(jiān)督管理工作，重點行業(yè)領

域主管部門是行業(yè)保護工作部門，負責制定認定與變更規(guī)則，組織開展行業(yè)關鍵基礎設施認定工

作，并報備國務院公安部門。

13

關鍵信息基礎設施安全保護條例

03 關鍵信息基礎設施運營者應當設置專門安全管理機構，并對專門安全管理機構負責人和關

鍵崗位人員進行安全背景審查。

04 關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，若存在問題，需要進行及

時整改并上報保護工作部門。

05 當關鍵信息基礎設施發(fā)生重大網絡安全事件或者發(fā)現(xiàn)重大網絡安全威脅時，應當向保護

工作部門、公安機關報告。

06 關鍵信息基礎設施運營者在進行關鍵信息基礎設施網絡安全保護時，采購的網絡安全產品

和服務需要安全可信，具備自主知識產權和具備相應銷售許可證，不能影響國家安全。

07 當關鍵信息基礎設施運營者發(fā)生合并、分立、解散等情況，應當及時報告保護工作部門，

并按照保護工作部門的要求對關鍵信息基礎設施進行處置。

一公局張家港項目網絡安全宣傳手冊

14

03 關鍵信息基礎設施運營者的責任

《關健信息基礎設施安全保護條例》中明確了關鍵信息基礎設施運營者的責任和義務，以保

障關鍵信息基礎設施安全。主更內容如下:

01 在進行關鍵信息基礎設施認定工作時，網絡安全保護措施必須同步考慮，即嚴格執(zhí)行同步

規(guī)劃、同步建設、同步使用的“三同步“原則，不允許在認定工作結束后，再進行網絡安全建設

動作。

02 關鍵信息基礎設施運營者的主要負責人對關鍵信息基礎設施安全保護負總責，領導關鍵信

息基礎設施安全保護和重大網絡安全事件處置工作，組織研究解決重大網絡安全問題。

關鍵信息基礎設施安全保護條例

04 關鍵信息基礎設施運營者的具體工作

對于關鍵信息基礎設施運營者的專門安全管理機構應落實以下 8 項具體保護工作：

01 建立健全網絡安全管理、評價考核制度，擬訂關鍵信息基礎設施安全保護計劃；

02 組織推動網絡安全防護能力建設，開展網絡安全監(jiān)測、檢測和風險評估；

03 按照國家及行業(yè)網絡安全事件應急預案，制定本單位應急預案，定期開展應急演練，處置

網絡安全事件；

關鍵信息基礎設施安全保護條例

04 認定網絡安全關鍵崗位，組織開展網絡安全工作考核，提出獎勵和懲處建議；

05 組織網絡安全教育、培訓；

06 履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度；

07 對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；

08 按照規(guī)定報告網絡安全事件和重要事項。

15

關鍵信息基礎設施安全保護條例

05 法律責任

規(guī)定關鍵信息基礎設施運營者應落實安全保護的權利和義務及其負責人的職責，要求建立關

鍵信息基礎設施網絡安全監(jiān)測預警體系和信息通報制度，違反本條例將會受到行政處罰、判處罰

金甚至要承擔刑事責任。

關鍵信息基礎設施安全保護條例

信息安全技術 關鍵信息基礎設施安全保護要求 GB/T39204 2022

《關鍵信息基礎設施安全保護要求》是我國首個關鍵信息基礎設施安全保護的國家標準，標

準提出了以關鍵業(yè)務為核心的整體防控、以風險管理為導向的動態(tài)防護、以信息共享為基礎的協(xié)

同聯(lián)防的關鍵信息基礎設施安全保護 3 項基本原則，從分析識別、安全防護、檢測評估、監(jiān)測預

警、主動防御、事件處置 6 個方面提出了 111 條安全要求，為運營者開展關鍵信息基礎設施保護

工作需求提供了強有力的標準保障。該標準于 2023 年 5 月 1 日正式實施。

16

一公局張家港項目網絡安全宣傳手冊

中華人民興和國主席令

第九十一號

《中華人民共和國個人信息保護法》已由中華人民共和國第十三屆全國人民代表大會常務委

員會第三十次會議于 2021 年 8 月 20 日通過，現(xiàn)予公布，自 2021 年 11 月 1 日起施行。

中華人民共和國主席 習近平

2021 年 8 月 20 日

中華人民共和國個人信息保護法

《個人信息保護法》進一步細化、完善了個人信息保護應遵循的原則和個人信息處理規(guī)則，

明確個人信息處理活動中的權力義務邊界，健全個人信息保護工作體制；

1. 確立個人信息保護原則，強調處理個人信息應當遵循合法、正當、必要、誠信、最小等原

則；

2. 規(guī)范處理活動，保障權益，構建了以“告知-同意”為核心的個人信息處理規(guī)則；

3.禁止“大數(shù)據(jù)殺熟”，要求個人信息處理者保證自動化決策的透明度和結果公平、公正；

4.規(guī)范國家機關處理活動，強調國家機關處理個人信息應當依照法律、行政法規(guī)規(guī)定的權限

和程序進行;

5.明確個人信息處理者應當采取必要措施保障所處理的個人信息的安全，特別規(guī)定了提供重

要互聯(lián)網平臺服務、用戶數(shù)據(jù)量巨大、業(yè)務類型復雜的信息處理者的義務；

6.設專章規(guī)定個人信息跨境提供的規(guī)則，規(guī)范個人信息跨境流動。

17

中華人民共和國個人信息保護法

01 要求更正、補充個人信息的權利

《個人信息保護法》第四十六條規(guī)定:“個人發(fā)現(xiàn)其個人信息不準確或者不完整的，有權請求

個人信息處理者更正、補充。

個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，并及時

更正、補充。”

中華人民共和國個人信息保護法

一公局張家港項目網絡安全宣傳手冊

02 要求刪除個人信息的權利

《個人信息保護法》第四十七條規(guī)定:“有下列情形之一的，個人信息處理者應當主動刪除個

人信息;個人信息處理者未刪除的，個人有權請求刪除；

(一)處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；

(二)個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；

(三) 個人撤回同意;

(四)個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息;

(五)法律、行政法規(guī)規(guī)定的其他情形。

法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現(xiàn)的，個人信息

處理者應當停止除存儲和采取必要的安全保護措施之外的處理。”

18

人臉識別等技術的使用規(guī)定

第二十六條 在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵

守國家有關規(guī)定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共

安全的目的，不得用于其他目的；取得個人單獨同意的除外。

19

中華人民共和國個人信息保護法

03 要求解釋說明個人信息處理規(guī)則

《個人信息保護法》第四十八條規(guī)定:“個人有權要求個人信息處理者對其個人信息處理規(guī)則

進行解釋說明?！?/p>

中華人民共和國個人信息保護法

大型網絡平臺的義務

大型網絡平臺掌握大量個人信息數(shù)據(jù)，一旦泄露后果不堪設想?！秱€人信息保護法》對大型

網絡平臺增設特別義務。

第五十八條 提供重要互聯(lián)網平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，應當

履行下列義務:

(一)按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機

構對個人信息保護情況進行監(jiān)督；

(二)遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內產品或者服務提供者處理個

人信息的規(guī)范和保護個人信息的義務；

(三)對嚴重違反法律、行政法規(guī)處理個人信息的平臺內的產品或者服務提供者，停止提供服

務。

中華人民共和國個人信息保護法

一公局張家港項目網絡安全宣傳手冊

健全投訴、舉報機制

第六十二條 國家網信部門統(tǒng)籌協(xié)調有關部門依據(jù)本法推進下列個人信息保護工作:

(一)制定個人信息保護具體規(guī)則、標準；

(二)針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應

用，制定專門的個人信息保護規(guī)則、標準；

(三) 支持研究開發(fā)和推廣應用安全、方便的電子身份認證技術，推進網絡身份認證公共服

務建設；

(四)推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服

務；

(五) 完善個人信息保護投訴、舉報工作機制。

20

21

一公局張家港項目網絡安全宣傳手冊

二、攻擊與防護

（社工攻擊）入侵方式和手段 社工攻擊）入侵方式和手段

22

1 社會工程學：利用人的弱點實現(xiàn)攻擊

人是網絡安全中最薄弱的環(huán)節(jié)。無論是在攻防演練還是真正的黑客入侵中，社工、釣魚相比

傳統(tǒng)滲透方法都是成本更低，收益效果更好的攻擊手段。

黑客攻擊的套路

01 收集信息

02 構建場景

03 偽裝身份

04 獲取信任

05 獲取權限

（社工攻擊）入侵方式和手段

一公局張家港項目網絡安全宣傳手冊

2 網絡釣魚

網絡釣魚類型

郵件釣魚：調薪通知、密碼過期修改、個稅退款…不輕信！

二維碼釣魚： 掃碼抽獎、掃碼領禮品、掃碼心理測試…不輕信！

社交釣魚： 招聘求職、天降桃花、賣慘求助…不輕信！

網頁釣魚： flash 需更新、瀏覽器需升級…不輕信！

公共 Wi-Fi 釣魚： 公共場所免費 Wi-Fi，不亂連！

網絡釣魚 （Phishing）是攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網絡詐騙活動。

詐騙者通將自己偽裝成網絡銀行、在線零售商等可信的品牌，騙取用戶的私人信息、資料，如銀

行卡賬戶、身份證號等內容。

3 郵件釣魚案例

網絡釣魚 （Phishing）攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網絡詐騙活

動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通

常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。

數(shù)據(jù)來源于《釣魚網》

（社工攻擊）入侵方式和手段

23

（社工攻擊）入侵方式和手段

24

4 社交釣魚案例

01.應聘

偽裝成求職者向 HR 建立聯(lián)系，言簡意賅，黑客通過學習求職者的溝通話術，保持求職者的作

風，非常容易多次獲得目標對象的信任。

（社工攻擊）入侵方式和手段

一公局張家港項目網絡安全宣傳手冊

4 社交釣魚案例

02.求職

黑客偽裝成求職者與目標建立求職關系，發(fā)送簡歷或多次發(fā)送其他身份的簡歷。

（社工攻擊）入侵方式和手段

25

（社工攻擊）入侵方式和手段

5 二維碼釣魚案例

傳統(tǒng)短信驗證和新興二維碼掃描方式背后均面臨安全風險。近年來年通過手機木馬支持支付

驗證碼短信，竊取用戶賬戶信息的犯罪活動將至呈高發(fā)態(tài)勢。黑客利用手機木馬攔截驗證碼短信，

并進一步套取用戶網絡支付賬戶和密碼，使得用戶的個人財產面臨巨大損失。

（社工攻擊）入侵方式和手段

一公局張家港項目網絡安全宣傳手冊

26

6 網頁釣魚案例

內部辦公平臺在企業(yè)當中發(fā)揮著重要的作用，日常的工作基本上都會需要使用到，而一旦例如

CMS，OA 平臺淪陷了，黑客就會在這類 WEB 平臺上植入一段 JS 代碼，這類代碼表現(xiàn)出來會是如下：

1、彈窗提示 Flash 需要更新

2、登錄反復提示失敗

3、瀏覽器提示訪問錯誤或提示瀏覽器錯誤需要下載更換瀏覽器

（社工攻擊）入侵方式和手段

7 入侵后，假冒員工身份釣魚

企業(yè)內部溝通的軟件

員工一般不會去考慮聊天的這個人的的確確就是這個人，尤其當是上下級關系的時候，這種

附庸關系更加不會讓受害者去思考這些危險的安全隱患點。

內部郵件釣魚

它可以掌握整個企業(yè)的組織架構，人員名單，通訊錄，這類資料對于社工專家來說就相當于

拿到了攻擊這個目標的地圖，社工者可以根據(jù)組織架構、通訊錄，通過構建精妙的場景來完成精

準的突破。

27

（社工攻擊）入侵方式和手段

8 近源攻擊

近源攻擊即黑客通過各種方式（如抱著一箱零食請保安幫忙開門、偽裝快遞員、訪問者、或

直接從地下車庫進入等等）進入到攻擊目標單位，通過無接觸式（不跟人打交道）或接觸式（直

接與人打交道）的方法，把病毒拷貝到受害終端上。

（社工攻擊）入侵方式和手段

一公局張家港項目網絡安全宣傳手冊

28

1 網絡信息安全 8 個常見誤解

誤解 1：安全是技術人員的事情：錯！太多著名互聯(lián)網公司因為客服，市場人員的安全意識疏忽，

導致嚴重安全事故。安全意識必須是全員的，每一個接入公司網絡的員工，都應該具有基本的安

全素質。

誤解 2：用正版的軟件就安全：正版軟件廠商也會出現(xiàn) bug、漏洞等情況，甚至會受到 0day 攻擊。

誤解 3：勤打補丁，經常殺毒，永遠第一 時間更新最新版本，就不會出問題：錯！0day 攻擊無法

防范。

誤解 4：安全就是嚴防死守，封堵一切入侵途徑：錯！封堵入侵途徑是必要的，但是并不充分，

要有意識的考慮，被侵入會怎樣？爆庫就是典型的例子，在一個真正安全的系統(tǒng)里，數(shù)據(jù)庫被爆

仍然要保障密碼的安全。要做到多層防御。

網絡安全防護建議

誤解 5：有專門的技術團隊，高枕無憂：錯！入侵只需一點突破，防護需要面面俱到。最牛的團

隊來做運維，一樣會有缺陷。

誤解 6：哪個無聊的黑客老盯著我？！：錯！攻擊第一步廣撒網形式，除非離開互聯(lián)網。

誤解 7：買了最貴的防火墻，就不怕入侵了：錯！防火墻擋不住 0day，當然，這話有點絕對，應

該說，防火墻能不能擋住 0day，基本上靠運氣。此外，很多防火墻自己也會出洞。

誤解 8：我的網站沒啥價值，黑客不會盯著我的：錯！黑客是不會盯著你，但是也會在路過打醬

油的時候干掉你。黑客有工具撒網的，不是針對你，但是很不幸你在網內。

29

網絡安全防護建議

30

2 十大安全防范建議

01 賬戶密碼安全 02 病毒風險防范

03 上網安全注意 04 網上交易安全

05 電子郵件安全 06 主機電腦安全

07 辦公環(huán)境安全 08 移動手機安全

09 無線網絡安全 10 敏感信息安全

網絡安全防護建議

一公局張家港項目網絡安全宣傳手冊

3 賬戶密碼安全

01 如果有初始密碼，應盡快修改

02 密碼長度不少于 8 個字符

03 不要使用單一的字符類型，例如只用小寫字母，或只用數(shù)字

04 用戶名與密碼不要使用相同字符

05 常見的弱口令盡量避免設置為密碼 自己、家人、朋友、親戚、寵物的名字避免設置為密

碼

06 生日、結婚紀念日、電話號碼等個人信息避免設置為密碼

07 工作中用到的專業(yè)術語、職業(yè)特征避免設置為密碼

4 賬號安全建議

選擇易記強口令的幾個竅門：

口令短語-14 位以上 單詞誤拼

大小寫+數(shù)字+特殊符號 定期更換

例如：密碼：Quit@smoking4ever

解釋：永遠戒煙

密碼：1dcypsz1/2jss1/2j#f00

解釋：一道殘陽鋪水中，半江瑟瑟半江紅

網絡安全防護建議

5 病毒風險防范

安裝病毒防護程序并及時更新病毒特征庫

下載電子郵件附件時注意文件名的后綴，陌生發(fā)件人附件不要打開

網絡下載的文件需要驗證文件數(shù)字簽名有效性，并用殺毒軟件手動掃描文件

使用移動存儲介質時，進行查殺病毒后打開

安裝不明來源的軟件時，手動查殺病毒

瀏覽網頁時，若發(fā)現(xiàn)電腦工作異常，建議斷開網絡并進行全盤殺毒

31

網絡安全防護建議

6 上網安全注意

使用知名的安全瀏覽器

收藏經常訪問的網站，不要輕易點擊別人傳給你的網址

對超低價、超低折扣、中獎等誘惑要提高警惕

避免訪問色情、賭博、反動等非法網站

重要文件通過網絡、郵件等方式傳輸時進行加密處理

通過社交網站的安全與隱私設置功能，隱藏不必要的敏感信息展示

避免將工作信息、文件上傳至互聯(lián)網存儲空間，如網盤、云共享文件夾等

在社交網站謹慎發(fā)布個人信息

根據(jù)自己對網站的需求進行注冊,不要盲目填寫信息

網絡安全防護建議

一公局張家港項目網絡安全宣傳手冊

7 辦公環(huán)境安全

禁止隨意放置或丟棄含有敏感信息的紙質文件，廢棄文件需用碎紙機粉碎

廢棄或待消磁介質轉交他人時應經管理部門消磁處理

離開座位時，應將貴重物品、含有敏感信息的資料鎖入柜中

應將復印或打印的資料及時取走

廢棄的光盤、U 盤、電腦等要消磁或徹底破壞

禁止在便簽紙上留存用戶名、密碼等信息

UKey 不使用時應及時拔出并妥善保管 辦公中重要內容電話找到安全安靜的地方接聽，避免

信息泄露

U 盤、移動硬盤，隨時存放在安全地方，勿隨意借用、放置

32

8 移動手機安全

手機設置自動鎖屏功能，建議鎖屏時間設置為 1-5 分鐘，避免手機被其他人惡意使用

手機系統(tǒng)升級應通過自帶的版本檢查功能聯(lián)網更新，避免通過第三方網站下載到如篡改后的

系統(tǒng)更新包等，從而導致信息泄露

盡可能通過手機自帶的應用市場下載手機應用程序

為手機安裝殺毒軟件

經常為手機做數(shù)據(jù)同步備份

手機中訪問 Web 站點應提高警惕

網絡安全防護建議

為手機設置訪問密碼是保護手機安全的第一道防線，防止手機丟失導致信息泄露

藍牙功能不用時，應處于關閉狀態(tài)

手機廢棄前應對數(shù)據(jù)進行完全備份，恢復出廠設置清除殘余信息

經常查看手機正在運行的程序，檢查是否有惡意程序在后臺運行，并定期使用手機安全管理

軟件掃描手機系統(tǒng)

對程序執(zhí)行權限加以限制，非必要程序禁止讀取通訊錄等敏感數(shù)據(jù)

不要試圖破解自己的手機，以保證應用程序的安全性

33

網絡安全防護建議

9 主機電腦安全

操作系統(tǒng)應及時更新最新安全補丁

禁止開啟無權限的文件共享服務，使用更安全的文件共享方式

針對中間件、數(shù)據(jù)庫、平臺組件等程序進行安全補丁升級

關閉辦公電腦的遠程訪問

定期備份重要數(shù)據(jù)

關閉系統(tǒng)中不需要的服務 計算機系統(tǒng)更換操作人員時，交接重要資料的同時，更改該系統(tǒng)

的密碼

及時清理回收站

員工離開座位時應設置電腦為退出狀態(tài)或鎖屏狀態(tài)，建議設置自動鎖屏

網絡安全防護建議

10 敏感信息安全

敏感及內網計算機不允許連接互聯(lián)網或其它公共網絡

處理敏感信息的計算機、傳真機、復印機等設備應當在單位內部進行維修，現(xiàn)場有專門人

員監(jiān)督

嚴禁維修人員讀取或復制敏感信息，確定需送外維修的，應當拆除敏感信息存儲部件

敏感信息設備改作普通設備使用或淘汰時，應當將敏感信息存儲部件拆除

敏感及內網計算機不得使用無線鍵盤、無線鼠標、無線網卡

敏感文件不允許在普通計算機上進行處理

內外網數(shù)據(jù)交換需使用專用的加密 U 盤或刻錄光盤

工作環(huán)境外避免透露工作內容

重要文件存儲應先進行加密處理

34

一公局張家港項目網絡安全宣傳手冊

35

一公局張家港項目網絡安全宣傳手冊

三、網絡安全知識宣傳

護網行動

1.什么是護網行動？

護網行動是一場網絡安全攻防演練。是針對全國范圍的真實網絡目標為對象的實戰(zhàn)攻防活動。

網絡安全知識宣傳

2.什么是網絡安全？

網絡安全從本質上講，就是網絡上的信息安全。從廣義上來說，凡是涉及到網絡上信息的保

密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。

36

一公局張家港項目網絡安全宣傳手冊

4.電子郵件安全：

1.不打開、回復可疑郵件、垃圾郵件、不明來 源郵件

2.收發(fā)公司業(yè)務的郵件時，應使用公司企業(yè)郵箱處理，私人郵件應使用個人郵箱處理

3.員工應對自己的郵箱用戶名及密碼安全負責，不得將其借與他人

4.若發(fā)現(xiàn)郵箱存在任何安全漏洞的情況，應及時通知公司郵件系統(tǒng)管理人員

5.應警惕郵件的內容、網址鏈接、圖片等

6.機關工作人員工作郵件建議使用政府自建郵箱，嚴禁使用境外郵箱

7.為電子郵箱設置高強度密碼，并設置每次登錄時必須經過用戶名密碼登錄

8.開啟防病毒軟件實時監(jiān)控,檢測收發(fā)的電子郵件是否帶有病毒

9.定期檢查郵件自動轉發(fā)功能是否關閉

10.不轉發(fā)來歷不明的電子郵件及附件

11.收到涉及敏感信息郵件時,要對郵件內容和發(fā)件人反復確認，盡量進行線下溝通

37

網絡安全知識宣傳

3.電腦中病毒表現(xiàn)：

癥狀一：電腦運行緩慢，CUP、內存等硬件資源飆升。

癥狀二：電腦運行的進程中含有可疑的進程。

癥狀三：電腦藍屏或黑屏。

癥狀四：電腦桌面出現(xiàn)異常。

癥狀五：瀏覽器主頁篡改，強行刷新或跳轉網頁，頻繁彈廣告。

癥狀六：數(shù)據(jù)丟失，文件或文件夾、應用圖標無故消失。

網絡安全知識宣傳

38

一公局張家港項目網絡安全宣傳手冊

5.無線網絡安全：

1.在辦公環(huán)境中禁止私自通過辦公網開放 Wi-Fi 熱點

2.不訪問任何非本單位的開放 Wi-Fi,發(fā)現(xiàn) 單位附近的無密碼、開放 Wi-Fi 應通知 IT 部門

3.部門需要單獨增設 Wi-Fi 網絡時，應到 IT 部門報備，禁止自行開熱點

4.禁止使用 Wi-Fi 共享類 APP,避免導致無 線網絡用戶名及密碼泄露

5.無線網絡設備及時更新到最新固件

6.警惕公共場所免費的無線信號為不法分子設置的釣魚陷阱

7.設置高強度的無線密碼，各單位的認證機制建議釆取實名方式

網絡安全知識宣傳

6.病毒防范風險：

1.安裝病毒防護程序并及時更新病毒特征庫

2.下載電子郵件附件時注意文件名的后綴, 陌生發(fā)件人附件不要打開

3.網絡下載的文件需要驗證文件數(shù)字簽名有效性，并用殺毒軟件手動掃描文件

4.使用移動存儲介質時，進行査殺病毒后打開

5.安裝不明來源的軟件時,手動査殺病毒

6.瀏覽網頁時,若發(fā)現(xiàn)電腦工作異常，建議斷開網絡并進行全盤殺毒

網絡安全知識宣傳

7.敏感信息保護：

1. 不要將個人證件、工作單位等敏感信息對外公布；

2. 不要將帶有個人、單位屬性的文件上傳至互聯(lián)網上；

3. 不要將敏感文件隨便放置于辦公桌面上；

4. 不向未確定的人員透露公司信息系統(tǒng)的任何狀態(tài)或配置信息，即使對方理由足夠充分。

網絡安全知識宣傳

8.網上安全交易：

1.所訪問的網址與官方地址進行比對，確認準確性

2.避免通過公用計算機使用網上交易系統(tǒng)

3.不在網吧等多人共用的電腦上進行金融業(yè)務操作

4.不通過搜索引擎上的網址或不明網站的鏈接進入交易

5.在網絡交易前，對交易網站和交易對方的資質全面了解

6.可通過査詢網站備案信息等方式核實網站資質真?zhèn)?/p>

7.應注意查看交易網站是否為 HTTPS 協(xié)議, 保證數(shù)據(jù)傳輸中不被監(jiān)聽篡改

8.在訪問涉及資金交易類網站時，盡量使用官方網站提供的虛擬鍵盤輸入登錄和交易密碼

9.遇到填寫個人詳細信息可獲得優(yōu)惠券，更要謹慎填寫

10.注意保護個人隱私，使用個人的銀行賬戶、密碼和證件號碼等敏感信息時要慎重

11.使用手機支付服務前，應按要求安裝支付環(huán)境的安全防范程序

39

9.防火墻：

是一個重要的安全層，充當專用網絡和外部世界之間的屏障，可監(jiān)控傳入和傳出的網絡流量，

以便使用指定的規(guī)則檢測和阻止危險數(shù)據(jù)包，僅允許真實信息訪問您的專用網絡。

網絡安全知識宣傳

10.DNS：

是域名系統(tǒng)（Domain Name System）的簡稱，因特網上作為域名和 IP 地址相互映射的一個

分布式數(shù)據(jù)庫，能夠使用戶更方便地訪問互聯(lián)網，而不用去記住能夠被機器直接讀取的 IP 地址。

40

一公局張家港項目網絡安全宣傳手冊