張家港高鐵新城項(xiàng)目

“HW”行動

網(wǎng)絡(luò)安全宣傳手冊

中交一公局集團(tuán)張家港項(xiàng)目

2023 年 7 月

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

目錄

CONTENTS

一、法律法規(guī)

1.中華人民共和國網(wǎng)絡(luò)安全法 03

2.中華人民共和國數(shù)據(jù)安全法 09

3.關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例 13

4.中華人民共和國個人信息保護(hù)法 17

二、攻擊與防護(hù)

1.（社工攻擊）入侵方式和手段 22

2.網(wǎng)絡(luò)安全防護(hù)建議 29

三、網(wǎng)絡(luò)安全知識宣傳

1.護(hù)網(wǎng)行動 36

2.網(wǎng)絡(luò)安全 36

3.電腦中病毒表現(xiàn) 37

4.電子郵件安全 37

5.無線網(wǎng)絡(luò)安全 38

6.病毒防范風(fēng)險 38

7.敏感信息保護(hù) 39

8.網(wǎng)上安全交易 39

9.防火墻 40

10.DNS 40

01

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

一、法律法規(guī)

中華人民共和國網(wǎng)絡(luò)安全

法

02

中華人民共和國網(wǎng)絡(luò)安全法

其它條款解讀:[應(yīng)急預(yù)案與響應(yīng)要求]

涉及行業(yè): 事業(yè)單位 國企 傳媒 金融 電商 游戲 社變網(wǎng)站……

第二十五條規(guī)定:

網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)

侵入等安全風(fēng)險，在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并

按照規(guī)定向有關(guān)主管部門報告。

中華人民共和國網(wǎng)絡(luò)安全法

其它條款解讀:[應(yīng)急預(yù)案與響應(yīng)要求]

解讀:

本條款的提出也是完善安全技術(shù)體系非常重要的一環(huán)，而響應(yīng)能力的建設(shè)是當(dāng)前網(wǎng)絡(luò)運(yùn)營者普遍

存在的弱點(diǎn)。

整體缺乏事件危害評估、應(yīng)急預(yù)案、處置措施、上報流程等一系列的規(guī)范，或者說有規(guī)范但在出

現(xiàn)網(wǎng)絡(luò)安全事件的時候，發(fā)現(xiàn)應(yīng)急預(yù)案根本沒辦法起到作用。

在公共云或者可運(yùn)營的政務(wù)云上，有著完整的安全運(yùn)營體系，當(dāng)發(fā)生大規(guī)模網(wǎng)絡(luò)安全事件時，安

全運(yùn)營團(tuán)隊會第一時間處理相關(guān)問題。針對網(wǎng)絡(luò)運(yùn)營者的業(yè)務(wù)制定應(yīng)急預(yù)案和定期演練。

處罰:

拒不執(zhí)行本條款要求或因此導(dǎo)致危害網(wǎng)絡(luò)安全后果的網(wǎng)絡(luò)運(yùn)營者，處一萬以上十萬以下罰款，對

于直接負(fù)責(zé)的主管人員處以 5000 元以上 5 萬元以下罰款。

03

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

其它條款解讀:[政務(wù)安全治理]

涉及行業(yè): 政府機(jī)構(gòu) 事業(yè)單位 公共服務(wù)職能部門......

第三十四條規(guī)定:

除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù):

1.設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;

2.定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核;

3.對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份;

4.制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練;

5.法律、行政法規(guī)規(guī)定的其他義務(wù)。

中華人民共和國網(wǎng)絡(luò)安全法

其它條款解讀:[政務(wù)安全治理]

解讀:

關(guān)鍵基礎(chǔ)設(shè)施的安全隱患具有很大的破壞性和殺傷力，《網(wǎng)絡(luò)安全法》在關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)

行安全、建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警與應(yīng)急處置制度等方面都作出了明確規(guī)定。

處罰:

不履行本法相關(guān)條款的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬

元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。

04

中華人民共和國網(wǎng)絡(luò)安全法

其它條款解讀:[明確等級保護(hù)工作重點(diǎn)]

網(wǎng)絡(luò)安全法的發(fā)布也標(biāo)志著國家網(wǎng)絡(luò)安全等級保護(hù)工作正式進(jìn)入 2.0 時代;

第二十一條:

國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列

安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、

篡改:

解讀: 本條規(guī)定的是網(wǎng)絡(luò)運(yùn)營者的義務(wù)。

(一)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;

解讀:

一般第一主要責(zé)任人是單位一把手，廳長、局長、院長、校長等領(lǐng)導(dǎo)，第二主要責(zé)任人是單位具

體分管信息化、分管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)，副廳長、副局長、副院長、副校長或總工等。

中華人民共和國網(wǎng)絡(luò)安全法

(二) 采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;

解讀:

一般來說防火墻、IDS、IPS、防病毒網(wǎng)關(guān)、殺毒軟件和防 DDOS 攻擊系統(tǒng)等屬于這類技術(shù)措施。

(三) 采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日

志不少于六個月;

解讀:

網(wǎng)絡(luò)審計、行為審計、運(yùn)維審計、日志管理分析、安全管理平臺和態(tài)勢感知平臺等都屬于這類技

術(shù)措施.

(四) 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

解讀:

數(shù)據(jù)安全越來越重要，等保方案需要充分考慮數(shù)據(jù)備份、數(shù)據(jù)傳輸和數(shù)據(jù)存儲安全等內(nèi)容。

(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

05

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

其它條款解讀:[明確等級保護(hù)工作核心]

1. 關(guān)鍵信息基礎(chǔ)設(shè)施的定義

第三十一條:

國家公共通信信息服務(wù)、能源、交通、 水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以

及一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵

信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范

圍和安全保護(hù)辦法由國務(wù)院制定。

解讀:

等級保護(hù)工作的核心是關(guān)鍵信息基礎(chǔ)設(shè)施，本條首先定義了什么是關(guān)鍵信息基礎(chǔ)設(shè)施。國家互聯(lián)

網(wǎng)信息辦公室于 2017 年 7 月發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》。

中華人民共和國網(wǎng)絡(luò)安全法

其它條款解讀:[明確等級保護(hù)工作核心]

2.關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)義務(wù)

第三十四條:

運(yùn)營者設(shè)置專門機(jī)構(gòu)和負(fù)責(zé)人、網(wǎng)絡(luò)安全教育培訓(xùn)、容災(zāi)備份、應(yīng)急預(yù)案和演練等

解讀:

本條款說明關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)要求高于網(wǎng)絡(luò)安全等級保護(hù)制度的一般要求，從制度、培訓(xùn)、

災(zāi)備、應(yīng)急等方面提出了進(jìn)一步要求。

第五十九條運(yùn)營者拒不改正或?qū)е挛：W(wǎng)絡(luò)安全的，罰款 10-100 萬元，直接責(zé)任人罰款 1-10 萬

元。

06

中華人民共和國網(wǎng)絡(luò)安全法

其它條款解讀:[個人信息保護(hù)]

涉及行業(yè):事業(yè)單位 通信 傳媒金融 醫(yī)療 電商 游戲......

第四十一條:

網(wǎng)絡(luò)運(yùn)營這收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則、公開收集、使用規(guī)則，明

示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服

務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)

依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。

第四十二條: ......

第四十三條: ......

中華人民共和國網(wǎng)絡(luò)安全法

其它條款解讀:[個人信息保護(hù)]

解讀:

從這三條條款中可以看出，《網(wǎng)絡(luò)安全法》聚焦個人信息泄露，明確網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者、運(yùn)營

者的責(zé)任。嚴(yán)厲打擊出售販賣個人信息的行為，《網(wǎng)絡(luò)安全法》針對層出不窮的新型網(wǎng)絡(luò)詐騙犯

罪還規(guī)定:任何個人和組織不得設(shè)立用于實(shí)施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制

物品等違法犯罪活動的網(wǎng)站、通訊群組，不得利用網(wǎng)絡(luò)發(fā)布與實(shí)施詐騙，制作或者銷售違禁物品、

管制物品以及其他違法犯罪活動的信息。

處罰：

違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定，侵害個人信息依法得到保護(hù)的權(quán)利

的，由有關(guān)主管部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一

倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直

接責(zé)任人員處一萬元以上十萬元以下罰款;情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)

閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

07

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

其它條款解讀:[明確等級保護(hù)工作核心]

1.敏感信息保存

第三十七條:

境內(nèi)收集產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。需向境外提供的，應(yīng)進(jìn)行安全評估。

解讀:

本條是外企和有海外業(yè)務(wù)的國內(nèi)企業(yè)很關(guān)注的一條。主要是關(guān)于數(shù)據(jù)境內(nèi)存儲和境外數(shù)據(jù)流動的

問題。

核心是數(shù)據(jù)安全。

第六十六條 運(yùn)營者違反規(guī)定的，沒收違法所得，罰款 5-50 萬元，吊銷執(zhí)照，直接責(zé)任人罰款 1-10

萬元。

中華人民共和國網(wǎng)絡(luò)安全法

其它條款解讀:[明確等級保護(hù)工作核心]

2.風(fēng)險檢測評估

第三十八條:

運(yùn)營者每年至少組織一次安全風(fēng)險檢測評估，并評估情況和改進(jìn)措施報相關(guān)部門。

解讀:

本條主要是關(guān)于對關(guān)鍵信息基礎(chǔ)設(shè)施年度檢測評估的問題。這里提到了網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，就是

我們常說的提供風(fēng)險評估等各類安全服務(wù)的機(jī)構(gòu)，這些機(jī)構(gòu)以后又多了一項(xiàng)業(yè)務(wù)了。

第五十九條 運(yùn)營者拒不改正或?qū)е挛：W(wǎng)絡(luò)安全的，罰款 10-100 萬元，直接責(zé)任人罰款 1-10 萬

元。

08

中華人民共和國數(shù)據(jù)安全法

01《數(shù)據(jù)安全法》的立法目的

《數(shù)據(jù)安全法》第一條規(guī)定“為了規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進(jìn)數(shù)據(jù)開發(fā)利用,保護(hù)個

人、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益,制定本法?！?/p>

從歷史意義上看，該法的出臺意味著我國首次將數(shù)據(jù)安全上升到“維護(hù)國家主權(quán)、安全和發(fā)展利

益”的戰(zhàn)略層面。任何的數(shù)據(jù)的處理與利用都應(yīng)以維護(hù)我國國家主權(quán)、保護(hù)我國國家安全為前提。

任何企業(yè)或者個人如有涉嫌威脅國家安全、影響國家主權(quán)的數(shù)據(jù)處理行為，不僅會面臨刑事審查，

還會面臨國家安全審查。

因此，企業(yè)在開展涉及數(shù)據(jù)加工、數(shù)據(jù)交易、數(shù)據(jù)跨境業(yè)務(wù)的過程中，不僅要在傳統(tǒng)意義上“網(wǎng)

絡(luò)安全和“數(shù)據(jù)安全”的框架內(nèi)進(jìn)行，還應(yīng)當(dāng)時刻評估數(shù)據(jù)處理行為對國家安全和社會公共利益

的影響，避免不當(dāng)行為的發(fā)生。

中華人民共和國數(shù)據(jù)安全法

02《數(shù)據(jù)安全法》的指導(dǎo)理念

總體國家安全觀在《數(shù)據(jù)安全法》第四條予以明確。該法規(guī)定“維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅持總體國

家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力?！眹野踩婕暗秸?、國土、

軍事、經(jīng)濟(jì)文化、社會、網(wǎng)絡(luò)等各個方面，是一套復(fù)雜的工程。

09

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

1).個人數(shù)據(jù)

個人數(shù)據(jù)這塊，可概括分為個人基礎(chǔ)數(shù)據(jù)、個人隱私數(shù)據(jù)、個人行為數(shù)據(jù)。

2).商業(yè)數(shù)據(jù)

商業(yè)數(shù)據(jù)這塊，可概括分為:公共數(shù)據(jù)、平臺數(shù)據(jù)與企業(yè)數(shù)據(jù)。

3).其他要點(diǎn)

如何理解個人數(shù)據(jù)與企業(yè)數(shù)據(jù)的交叉?

如何理解“重要數(shù)據(jù)和核心數(shù)據(jù)”?

如何理解保護(hù)數(shù)據(jù)的法律法規(guī)?

中華人民共和國數(shù)據(jù)安全法

03 數(shù)據(jù)分類與分級

數(shù)據(jù)的分類與分級，是談到數(shù)據(jù)安全的重要概念。圖中，按照縱向的行業(yè)劃分，即為數(shù)據(jù)分類;

在每個行業(yè)內(nèi)，再將數(shù)據(jù)按照敏感程度分為不同層級即為數(shù)據(jù)分級。

按照業(yè)務(wù)發(fā)展需求和法規(guī)標(biāo)準(zhǔn)的要求對數(shù)據(jù)的分類分級“量體裁衣”才能適應(yīng)日益多樣化的數(shù)據(jù)

使用場景和復(fù)雜的數(shù)據(jù)使用維度，為公司業(yè)務(wù)數(shù)據(jù)劃分完整的分類分級標(biāo)準(zhǔn)，為公司業(yè)務(wù)發(fā)展提

供高效的數(shù)推支撐。

10

具體條款解讀:

第十五條:

國家支持開發(fā)利用數(shù)據(jù)提升公共服務(wù)的智能化水平。提供智能化公共服務(wù)，應(yīng)當(dāng)充分考慮老年人、

殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

解讀:

響應(yīng)十四五規(guī)劃數(shù)字社會建設(shè)，推動數(shù)字化服務(wù)普惠應(yīng)用，并充分保障弱勢群體權(quán)益，共享新型

數(shù)字生活。

第十六條:

國家支持?jǐn)?shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究，鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和

商業(yè)創(chuàng)新，培育、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產(chǎn)品、產(chǎn)業(yè)體系。

解讀:

響應(yīng)十四五規(guī)劃數(shù)字經(jīng)濟(jì)發(fā)展，加快數(shù)字技術(shù)創(chuàng)新研究及應(yīng)用，推動數(shù)字產(chǎn)業(yè)化發(fā)展。

11

中華人民共和國數(shù)據(jù)安全法

04 落地分析與實(shí)現(xiàn)

企業(yè)在數(shù)據(jù)安全領(lǐng)域落地，是存在一系列痛點(diǎn)與難點(diǎn)。這里主要來自兩個方面：

一是對安全法規(guī)及標(biāo)準(zhǔn)的解讀;

[具體應(yīng)對操作:遵循先法律法規(guī)、后標(biāo)準(zhǔn)規(guī)范，先國家行業(yè)、后區(qū)域地方的原則進(jìn)行解讀，摸清

企業(yè)數(shù)據(jù)應(yīng)遵循的安全原則。很多安全或咨詢公司，也提供此類安全咨詢服務(wù)，幫助企業(yè)做好政

策解讀。]

二是如何結(jié)合企業(yè)自身情況，制定并落地數(shù)據(jù)安全改進(jìn)。

[一方面需要摸清企業(yè)數(shù)據(jù)，一方面需建立數(shù)據(jù)全生命周期安全規(guī)劃，有針對性地采取一系列安全

改造措施。應(yīng)對數(shù)據(jù)生命周期的各階段所涉及的主要安全能力，包括從數(shù)據(jù)識別、傳輸、存儲、

使用、銷毀多環(huán)節(jié)。]

中華人民共和國數(shù)據(jù)安全法

12

具體條款解讀

第二十一條:

國家建立數(shù)據(jù)分類分級保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、

破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危

害程度，對數(shù)據(jù)實(shí)行分類分級保護(hù)。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)

目錄，加強(qiáng)對重要數(shù)據(jù)的保護(hù)。

關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)

格的管理制度。

各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重

要數(shù)據(jù)具體目錄，對列目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。

中華人民共和國數(shù)據(jù)安全法

解讀:

數(shù)據(jù)分級分類標(biāo)準(zhǔn)以風(fēng)險程度為導(dǎo)向:重要程度+危害程度

明確重更數(shù)據(jù)制定的工作機(jī)制

明確國家核心數(shù)據(jù)的定義

由于不同行業(yè)，不同地區(qū)數(shù)據(jù)分類分級的具體規(guī)則和考慮因素差距巨大，重要數(shù)據(jù)具體目錄及具

體分類分級保護(hù)制度的制定權(quán)限下放到行

目前已出臺《浙江省公共數(shù)據(jù)條例》、DB 33/T 2351-2021《數(shù)字化改革公共數(shù)據(jù)分類分級指南》

-浙江省

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

01 關(guān)鍵信息基礎(chǔ)設(shè)施的定義

關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利。金融、公共服務(wù)、電子

政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，可能

嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

當(dāng)通信設(shè)施的重要信息系統(tǒng)遭受攻擊時，可能引發(fā)重大安全事故或重大網(wǎng)絡(luò)安全事件，對國

家安全、國計民生和公共利益造成嚴(yán)重危害。

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例

02 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)總體要求

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)堅持綜合協(xié)調(diào)、分工負(fù)責(zé)、依法保護(hù)，強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)

設(shè)施運(yùn)營者主體責(zé)任，充分發(fā)揮政府及社會各方面的作用，共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。

國務(wù)院公安部門指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，國務(wù)院電信主管部門和其他有關(guān)

部門及省級人民政府在各自范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作，重點(diǎn)行業(yè)領(lǐng)

域主管部門是行業(yè)保護(hù)工作部門，負(fù)責(zé)制定認(rèn)定與變更規(guī)則，組織開展行業(yè)關(guān)鍵基礎(chǔ)設(shè)施認(rèn)定工

作，并報備國務(wù)院公安部門。

13

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例

03 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu)，并對專門安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)

鍵崗位人員進(jìn)行安全背景審查。

04 關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估，若存在問題，需要進(jìn)行及

時整改并上報保護(hù)工作部門。

05 當(dāng)關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，應(yīng)當(dāng)向保護(hù)

工作部門、公安機(jī)關(guān)報告。

06 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)時，采購的網(wǎng)絡(luò)安全產(chǎn)品

和服務(wù)需要安全可信，具備自主知識產(chǎn)權(quán)和具備相應(yīng)銷售許可證，不能影響國家安全。

07 當(dāng)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者發(fā)生合并、分立、解散等情況，應(yīng)當(dāng)及時報告保護(hù)工作部門，

并按照保護(hù)工作部門的要求對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行處置。

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

14

03 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的責(zé)任

《關(guān)健信息基礎(chǔ)設(shè)施安全保護(hù)條例》中明確了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的責(zé)任和義務(wù)，以保

障關(guān)鍵信息基礎(chǔ)設(shè)施安全。主更內(nèi)容如下:

01 在進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定工作時，網(wǎng)絡(luò)安全保護(hù)措施必須同步考慮，即嚴(yán)格執(zhí)行同步

規(guī)劃、同步建設(shè)、同步使用的“三同步“原則，不允許在認(rèn)定工作結(jié)束后，再進(jìn)行網(wǎng)絡(luò)安全建設(shè)

動作。

02 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的主要負(fù)責(zé)人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé)，領(lǐng)導(dǎo)關(guān)鍵信

息基礎(chǔ)設(shè)施安全保護(hù)和重大網(wǎng)絡(luò)安全事件處置工作，組織研究解決重大網(wǎng)絡(luò)安全問題。

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例

04 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的具體工作

對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的專門安全管理機(jī)構(gòu)應(yīng)落實(shí)以下 8 項(xiàng)具體保護(hù)工作：

01 建立健全網(wǎng)絡(luò)安全管理、評價考核制度，擬訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計劃；

02 組織推動網(wǎng)絡(luò)安全防護(hù)能力建設(shè)，開展網(wǎng)絡(luò)安全監(jiān)測、檢測和風(fēng)險評估；

03 按照國家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，制定本單位應(yīng)急預(yù)案，定期開展應(yīng)急演練，處置

網(wǎng)絡(luò)安全事件；

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例

04 認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位，組織開展網(wǎng)絡(luò)安全工作考核，提出獎勵和懲處建議；

05 組織網(wǎng)絡(luò)安全教育、培訓(xùn)；

06 履行個人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個人信息和數(shù)據(jù)安全保護(hù)制度；

07 對關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理；

08 按照規(guī)定報告網(wǎng)絡(luò)安全事件和重要事項(xiàng)。

15

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例

05 法律責(zé)任

規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)落實(shí)安全保護(hù)的權(quán)利和義務(wù)及其負(fù)責(zé)人的職責(zé)，要求建立關(guān)

鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系和信息通報制度，違反本條例將會受到行政處罰、判處罰

金甚至要承擔(dān)刑事責(zé)任。

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例

信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求 GB/T39204 2022

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》是我國首個關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的國家標(biāo)準(zhǔn)，標(biāo)

準(zhǔn)提出了以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險管理為導(dǎo)向的動態(tài)防護(hù)、以信息共享為基礎(chǔ)的協(xié)

同聯(lián)防的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù) 3 項(xiàng)基本原則，從分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)

警、主動防御、事件處置 6 個方面提出了 111 條安全要求，為運(yùn)營者開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

工作需求提供了強(qiáng)有力的標(biāo)準(zhǔn)保障。該標(biāo)準(zhǔn)于 2023 年 5 月 1 日正式實(shí)施。

16

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

中華人民興和國主席令

第九十一號

《中華人民共和國個人信息保護(hù)法》已由中華人民共和國第十三屆全國人民代表大會常務(wù)委

員會第三十次會議于 2021 年 8 月 20 日通過，現(xiàn)予公布，自 2021 年 11 月 1 日起施行。

中華人民共和國主席 習(xí)近平

2021 年 8 月 20 日

中華人民共和國個人信息保護(hù)法

《個人信息保護(hù)法》進(jìn)一步細(xì)化、完善了個人信息保護(hù)應(yīng)遵循的原則和個人信息處理規(guī)則，

明確個人信息處理活動中的權(quán)力義務(wù)邊界，健全個人信息保護(hù)工作體制；

1. 確立個人信息保護(hù)原則，強(qiáng)調(diào)處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要、誠信、最小等原

則；

2. 規(guī)范處理活動，保障權(quán)益，構(gòu)建了以“告知-同意”為核心的個人信息處理規(guī)則；

3.禁止“大數(shù)據(jù)殺熟”，要求個人信息處理者保證自動化決策的透明度和結(jié)果公平、公正；

4.規(guī)范國家機(jī)關(guān)處理活動，強(qiáng)調(diào)國家機(jī)關(guān)處理個人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限

和程序進(jìn)行;

5.明確個人信息處理者應(yīng)當(dāng)采取必要措施保障所處理的個人信息的安全，特別規(guī)定了提供重

要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)據(jù)量巨大、業(yè)務(wù)類型復(fù)雜的信息處理者的義務(wù)；

6.設(shè)專章規(guī)定個人信息跨境提供的規(guī)則，規(guī)范個人信息跨境流動。

17

中華人民共和國個人信息保護(hù)法

01 要求更正、補(bǔ)充個人信息的權(quán)利

《個人信息保護(hù)法》第四十六條規(guī)定:“個人發(fā)現(xiàn)其個人信息不準(zhǔn)確或者不完整的，有權(quán)請求

個人信息處理者更正、補(bǔ)充。

個人請求更正、補(bǔ)充其個人信息的，個人信息處理者應(yīng)當(dāng)對其個人信息予以核實(shí)，并及時

更正、補(bǔ)充?！?/p>

中華人民共和國個人信息保護(hù)法

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

02 要求刪除個人信息的權(quán)利

《個人信息保護(hù)法》第四十七條規(guī)定:“有下列情形之一的，個人信息處理者應(yīng)當(dāng)主動刪除個

人信息;個人信息處理者未刪除的，個人有權(quán)請求刪除；

(一)處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；

(二)個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；

(三) 個人撤回同意;

(四)個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息;

(五)法律、行政法規(guī)規(guī)定的其他情形。

法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實(shí)現(xiàn)的，個人信息

處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理?！?/p>

18

人臉識別等技術(shù)的使用規(guī)定

第二十六條 在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵

守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像、身份識別信息只能用于維護(hù)公共

安全的目的，不得用于其他目的；取得個人單獨(dú)同意的除外。

19

中華人民共和國個人信息保護(hù)法

03 要求解釋說明個人信息處理規(guī)則

《個人信息保護(hù)法》第四十八條規(guī)定:“個人有權(quán)要求個人信息處理者對其個人信息處理規(guī)則

進(jìn)行解釋說明?！?/p>

中華人民共和國個人信息保護(hù)法

大型網(wǎng)絡(luò)平臺的義務(wù)

大型網(wǎng)絡(luò)平臺掌握大量個人信息數(shù)據(jù)，一旦泄露后果不堪設(shè)想?！秱€人信息保護(hù)法》對大型

網(wǎng)絡(luò)平臺增設(shè)特別義務(wù)。

第五十八條 提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，應(yīng)當(dāng)

履行下列義務(wù):

(一)按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)

構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督；

(二)遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個

人信息的規(guī)范和保護(hù)個人信息的義務(wù)；

(三)對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服

務(wù)。

中華人民共和國個人信息保護(hù)法

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

健全投訴、舉報機(jī)制

第六十二條 國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進(jìn)下列個人信息保護(hù)工作:

(一)制定個人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn)；

(二)針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)

用，制定專門的個人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)；

(三) 支持研究開發(fā)和推廣應(yīng)用安全、方便的電子身份認(rèn)證技術(shù)，推進(jìn)網(wǎng)絡(luò)身份認(rèn)證公共服

務(wù)建設(shè)；

(四)推進(jìn)個人信息保護(hù)社會化服務(wù)體系建設(shè)，支持有關(guān)機(jī)構(gòu)開展個人信息保護(hù)評估、認(rèn)證服

務(wù)；

(五) 完善個人信息保護(hù)投訴、舉報工作機(jī)制。

20

21

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

二、攻擊與防護(hù)

（社工攻擊）入侵方式和手段

22

1 社會工程學(xué)：利用人的弱點(diǎn)實(shí)現(xiàn)攻擊

人是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)。無論是在攻防演練還是真正的黑客入侵中，社工、釣魚相比

傳統(tǒng)滲透方法都是成本更低，收益效果更好的攻擊手段。

黑客攻擊的套路

01 收集信息

02 構(gòu)建場景

03 偽裝身份

04 獲取信任

05 獲取權(quán)限

（社工攻擊）入侵方式和手段

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

2 網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚類型

郵件釣魚：調(diào)薪通知、密碼過期修改、個稅退款…不輕信！

二維碼釣魚： 掃碼抽獎、掃碼領(lǐng)禮品、掃碼心理測試…不輕信！

社交釣魚： 招聘求職、天降桃花、賣慘求助…不輕信！

網(wǎng)頁釣魚： flash 需更新、瀏覽器需升級…不輕信！

公共 Wi-Fi 釣魚： 公共場所免費(fèi) Wi-Fi，不亂連！

網(wǎng)絡(luò)釣魚 （Phishing）是攻擊者利用欺騙性的電子郵件和偽造的 Web 站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙活動。

詐騙者通將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商等可信的品牌，騙取用戶的私人信息、資料，如銀

行卡賬戶、身份證號等內(nèi)容。

3 郵件釣魚案例

網(wǎng)絡(luò)釣魚 （Phishing）攻擊者利用欺騙性的電子郵件和偽造的 Web 站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙活

動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。詐騙者通

常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。

數(shù)據(jù)來源于《釣魚網(wǎng)》

（社工攻擊）入侵方式和手段

23

（社工攻擊）入侵方式和手段

24

4 社交釣魚案例

01.應(yīng)聘

偽裝成求職者向 HR 建立聯(lián)系，言簡意賅，黑客通過學(xué)習(xí)求職者的溝通話術(shù)，保持求職者的作

風(fēng)，非常容易多次獲得目標(biāo)對象的信任。

（社工攻擊）入侵方式和手段

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

4 社交釣魚案例

02.求職

黑客偽裝成求職者與目標(biāo)建立求職關(guān)系，發(fā)送簡歷或多次發(fā)送其他身份的簡歷。

（社工攻擊）入侵方式和手段

25

（社工攻擊）入侵方式和手段

5 二維碼釣魚案例

傳統(tǒng)短信驗(yàn)證和新興二維碼掃描方式背后均面臨安全風(fēng)險。近年來年通過手機(jī)木馬支持支付

驗(yàn)證碼短信，竊取用戶賬戶信息的犯罪活動將至呈高發(fā)態(tài)勢。黑客利用手機(jī)木馬攔截驗(yàn)證碼短信，

并進(jìn)一步套取用戶網(wǎng)絡(luò)支付賬戶和密碼，使得用戶的個人財產(chǎn)面臨巨大損失。

（社工攻擊）入侵方式和手段

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

26

6 網(wǎng)頁釣魚案例

內(nèi)部辦公平臺在企業(yè)當(dāng)中發(fā)揮著重要的作用，日常的工作基本上都會需要使用到，而一旦例如

CMS，OA 平臺淪陷了，黑客就會在這類 WEB 平臺上植入一段 JS 代碼，這類代碼表現(xiàn)出來會是如下：

1、彈窗提示 Flash 需要更新

2、登錄反復(fù)提示失敗

3、瀏覽器提示訪問錯誤或提示瀏覽器錯誤需要下載更換瀏覽器

（社工攻擊）入侵方式和手段

7 入侵后，假冒員工身份釣魚

企業(yè)內(nèi)部溝通的軟件

員工一般不會去考慮聊天的這個人的的確確就是這個人，尤其當(dāng)是上下級關(guān)系的時候，這種

附庸關(guān)系更加不會讓受害者去思考這些危險的安全隱患點(diǎn)。

內(nèi)部郵件釣魚

它可以掌握整個企業(yè)的組織架構(gòu)，人員名單，通訊錄，這類資料對于社工專家來說就相當(dāng)于

拿到了攻擊這個目標(biāo)的地圖，社工者可以根據(jù)組織架構(gòu)、通訊錄，通過構(gòu)建精妙的場景來完成精

準(zhǔn)的突破。

27

（社工攻擊）入侵方式和手段

8 近源攻擊

近源攻擊即黑客通過各種方式（如抱著一箱零食請保安幫忙開門、偽裝快遞員、訪問者、或

直接從地下車庫進(jìn)入等等）進(jìn)入到攻擊目標(biāo)單位，通過無接觸式（不跟人打交道）或接觸式（直

接與人打交道）的方法，把病毒拷貝到受害終端上。

（社工攻擊）入侵方式和手段

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

28

1 網(wǎng)絡(luò)信息安全 8 個常見誤解

誤解 1：安全是技術(shù)人員的事情：錯！太多著名互聯(lián)網(wǎng)公司因?yàn)榭头?，市場人員的安全意識疏忽，

導(dǎo)致嚴(yán)重安全事故。安全意識必須是全員的，每一個接入公司網(wǎng)絡(luò)的員工，都應(yīng)該具有基本的安

全素質(zhì)。

誤解 2：用正版的軟件就安全：正版軟件廠商也會出現(xiàn) bug、漏洞等情況，甚至?xí)艿?0day 攻擊。

誤解 3：勤打補(bǔ)丁，經(jīng)常殺毒，永遠(yuǎn)第一 時間更新最新版本，就不會出問題：錯！0day 攻擊無法

防范。

誤解 4：安全就是嚴(yán)防死守，封堵一切入侵途徑：錯！封堵入侵途徑是必要的，但是并不充分，

要有意識的考慮，被侵入會怎樣？爆庫就是典型的例子，在一個真正安全的系統(tǒng)里，數(shù)據(jù)庫被爆

仍然要保障密碼的安全。要做到多層防御。

網(wǎng)絡(luò)安全防護(hù)建議

誤解 5：有專門的技術(shù)團(tuán)隊，高枕無憂：錯！入侵只需一點(diǎn)突破，防護(hù)需要面面俱到。最牛的團(tuán)

隊來做運(yùn)維，一樣會有缺陷。

誤解 6：哪個無聊的黑客老盯著我？?。哄e！攻擊第一步廣撒網(wǎng)形式，除非離開互聯(lián)網(wǎng)。

誤解 7：買了最貴的防火墻，就不怕入侵了：錯！防火墻擋不住 0day，當(dāng)然，這話有點(diǎn)絕對，應(yīng)

該說，防火墻能不能擋住 0day，基本上靠運(yùn)氣。此外，很多防火墻自己也會出洞。

誤解 8：我的網(wǎng)站沒啥價值，黑客不會盯著我的：錯！黑客是不會盯著你，但是也會在路過打醬

油的時候干掉你。黑客有工具撒網(wǎng)的，不是針對你，但是很不幸你在網(wǎng)內(nèi)。

29

網(wǎng)絡(luò)安全防護(hù)建議

30

2 十大安全防范建議

01 賬戶密碼安全 02 病毒風(fēng)險防范

03 上網(wǎng)安全注意 04 網(wǎng)上交易安全

05 電子郵件安全 06 主機(jī)電腦安全

07 辦公環(huán)境安全 08 移動手機(jī)安全

09 無線網(wǎng)絡(luò)安全 10 敏感信息安全

網(wǎng)絡(luò)安全防護(hù)建議

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

3 賬戶密碼安全

01 如果有初始密碼，應(yīng)盡快修改

02 密碼長度不少于 8 個字符

03 不要使用單一的字符類型，例如只用小寫字母，或只用數(shù)字

04 用戶名與密碼不要使用相同字符

05 常見的弱口令盡量避免設(shè)置為密碼 自己、家人、朋友、親戚、寵物的名字避免設(shè)置為密

碼

06 生日、結(jié)婚紀(jì)念日、電話號碼等個人信息避免設(shè)置為密碼

07 工作中用到的專業(yè)術(shù)語、職業(yè)特征避免設(shè)置為密碼

4 賬號安全建議

選擇易記強(qiáng)口令的幾個竅門：

口令短語-14 位以上 單詞誤拼

大小寫+數(shù)字+特殊符號 定期更換

例如：密碼：Quit@smoking4ever

解釋：永遠(yuǎn)戒煙

密碼：1dcypsz1/2jss1/2j#f00

解釋：一道殘陽鋪水中，半江瑟瑟半江紅

網(wǎng)絡(luò)安全防護(hù)建議

5 病毒風(fēng)險防范

安裝病毒防護(hù)程序并及時更新病毒特征庫

下載電子郵件附件時注意文件名的后綴，陌生發(fā)件人附件不要打開

網(wǎng)絡(luò)下載的文件需要驗(yàn)證文件數(shù)字簽名有效性，并用殺毒軟件手動掃描文件

使用移動存儲介質(zhì)時，進(jìn)行查殺病毒后打開

安裝不明來源的軟件時，手動查殺病毒

瀏覽網(wǎng)頁時，若發(fā)現(xiàn)電腦工作異常，建議斷開網(wǎng)絡(luò)并進(jìn)行全盤殺毒

31

網(wǎng)絡(luò)安全防護(hù)建議

6 上網(wǎng)安全注意

使用知名的安全瀏覽器

收藏經(jīng)常訪問的網(wǎng)站，不要輕易點(diǎn)擊別人傳給你的網(wǎng)址

對超低價、超低折扣、中獎等誘惑要提高警惕

避免訪問色情、賭博、反動等非法網(wǎng)站

重要文件通過網(wǎng)絡(luò)、郵件等方式傳輸時進(jìn)行加密處理

通過社交網(wǎng)站的安全與隱私設(shè)置功能，隱藏不必要的敏感信息展示

避免將工作信息、文件上傳至互聯(lián)網(wǎng)存儲空間，如網(wǎng)盤、云共享文件夾等

在社交網(wǎng)站謹(jǐn)慎發(fā)布個人信息

根據(jù)自己對網(wǎng)站的需求進(jìn)行注冊,不要盲目填寫信息

網(wǎng)絡(luò)安全防護(hù)建議

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

7 辦公環(huán)境安全

禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機(jī)粉碎

廢棄或待消磁介質(zhì)轉(zhuǎn)交他人時應(yīng)經(jīng)管理部門消磁處理

離開座位時，應(yīng)將貴重物品、含有敏感信息的資料鎖入柜中

應(yīng)將復(fù)印或打印的資料及時取走

廢棄的光盤、U 盤、電腦等要消磁或徹底破壞

禁止在便簽紙上留存用戶名、密碼等信息

UKey 不使用時應(yīng)及時拔出并妥善保管 辦公中重要內(nèi)容電話找到安全安靜的地方接聽，避免

信息泄露

U 盤、移動硬盤，隨時存放在安全地方，勿隨意借用、放置

32

8 移動手機(jī)安全

手機(jī)設(shè)置自動鎖屏功能，建議鎖屏?xí)r間設(shè)置為 1-5 分鐘，避免手機(jī)被其他人惡意使用

手機(jī)系統(tǒng)升級應(yīng)通過自帶的版本檢查功能聯(lián)網(wǎng)更新，避免通過第三方網(wǎng)站下載到如篡改后的

系統(tǒng)更新包等，從而導(dǎo)致信息泄露

盡可能通過手機(jī)自帶的應(yīng)用市場下載手機(jī)應(yīng)用程序

為手機(jī)安裝殺毒軟件

經(jīng)常為手機(jī)做數(shù)據(jù)同步備份

手機(jī)中訪問 Web 站點(diǎn)應(yīng)提高警惕

網(wǎng)絡(luò)安全防護(hù)建議

為手機(jī)設(shè)置訪問密碼是保護(hù)手機(jī)安全的第一道防線，防止手機(jī)丟失導(dǎo)致信息泄露

藍(lán)牙功能不用時，應(yīng)處于關(guān)閉狀態(tài)

手機(jī)廢棄前應(yīng)對數(shù)據(jù)進(jìn)行完全備份，恢復(fù)出廠設(shè)置清除殘余信息

經(jīng)常查看手機(jī)正在運(yùn)行的程序，檢查是否有惡意程序在后臺運(yùn)行，并定期使用手機(jī)安全管理

軟件掃描手機(jī)系統(tǒng)

對程序執(zhí)行權(quán)限加以限制，非必要程序禁止讀取通訊錄等敏感數(shù)據(jù)

不要試圖破解自己的手機(jī)，以保證應(yīng)用程序的安全性

33

網(wǎng)絡(luò)安全防護(hù)建議

9 主機(jī)電腦安全

操作系統(tǒng)應(yīng)及時更新最新安全補(bǔ)丁

禁止開啟無權(quán)限的文件共享服務(wù)，使用更安全的文件共享方式

針對中間件、數(shù)據(jù)庫、平臺組件等程序進(jìn)行安全補(bǔ)丁升級

關(guān)閉辦公電腦的遠(yuǎn)程訪問

定期備份重要數(shù)據(jù)

關(guān)閉系統(tǒng)中不需要的服務(wù) 計算機(jī)系統(tǒng)更換操作人員時，交接重要資料的同時，更改該系統(tǒng)

的密碼

及時清理回收站

員工離開座位時應(yīng)設(shè)置電腦為退出狀態(tài)或鎖屏狀態(tài)，建議設(shè)置自動鎖屏

網(wǎng)絡(luò)安全防護(hù)建議

10 敏感信息安全

敏感及內(nèi)網(wǎng)計算機(jī)不允許連接互聯(lián)網(wǎng)或其它公共網(wǎng)絡(luò)

處理敏感信息的計算機(jī)、傳真機(jī)、復(fù)印機(jī)等設(shè)備應(yīng)當(dāng)在單位內(nèi)部進(jìn)行維修，現(xiàn)場有專門人

員監(jiān)督

嚴(yán)禁維修人員讀取或復(fù)制敏感信息，確定需送外維修的，應(yīng)當(dāng)拆除敏感信息存儲部件

敏感信息設(shè)備改作普通設(shè)備使用或淘汰時，應(yīng)當(dāng)將敏感信息存儲部件拆除

敏感及內(nèi)網(wǎng)計算機(jī)不得使用無線鍵盤、無線鼠標(biāo)、無線網(wǎng)卡

敏感文件不允許在普通計算機(jī)上進(jìn)行處理

內(nèi)外網(wǎng)數(shù)據(jù)交換需使用專用的加密 U 盤或刻錄光盤

工作環(huán)境外避免透露工作內(nèi)容

重要文件存儲應(yīng)先進(jìn)行加密處理

34

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

35

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

三、網(wǎng)絡(luò)安全知識宣傳

護(hù)網(wǎng)行動

1.什么是護(hù)網(wǎng)行動？

護(hù)網(wǎng)行動是一場網(wǎng)絡(luò)安全攻防演練。是針對全國范圍的真實(shí)網(wǎng)絡(luò)目標(biāo)為對象的實(shí)戰(zhàn)攻防活動。

網(wǎng)絡(luò)安全知識宣傳

2.什么是網(wǎng)絡(luò)安全？

網(wǎng)絡(luò)安全從本質(zhì)上講，就是網(wǎng)絡(luò)上的信息安全。從廣義上來說，凡是涉及到網(wǎng)絡(luò)上信息的保

密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

36

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

4.電子郵件安全：

1.不打開、回復(fù)可疑郵件、垃圾郵件、不明來 源郵件

2.收發(fā)公司業(yè)務(wù)的郵件時，應(yīng)使用公司企業(yè)郵箱處理，私人郵件應(yīng)使用個人郵箱處理

3.員工應(yīng)對自己的郵箱用戶名及密碼安全負(fù)責(zé)，不得將其借與他人

4.若發(fā)現(xiàn)郵箱存在任何安全漏洞的情況，應(yīng)及時通知公司郵件系統(tǒng)管理人員

5.應(yīng)警惕郵件的內(nèi)容、網(wǎng)址鏈接、圖片等

6.機(jī)關(guān)工作人員工作郵件建議使用政府自建郵箱，嚴(yán)禁使用境外郵箱

7.為電子郵箱設(shè)置高強(qiáng)度密碼，并設(shè)置每次登錄時必須經(jīng)過用戶名密碼登錄

8.開啟防病毒軟件實(shí)時監(jiān)控,檢測收發(fā)的電子郵件是否帶有病毒

9.定期檢查郵件自動轉(zhuǎn)發(fā)功能是否關(guān)閉

10.不轉(zhuǎn)發(fā)來歷不明的電子郵件及附件

11.收到涉及敏感信息郵件時,要對郵件內(nèi)容和發(fā)件人反復(fù)確認(rèn)，盡量進(jìn)行線下溝通

37

網(wǎng)絡(luò)安全知識宣傳

3.電腦中病毒表現(xiàn)：

癥狀一：電腦運(yùn)行緩慢，CUP、內(nèi)存等硬件資源飆升。

癥狀二：電腦運(yùn)行的進(jìn)程中含有可疑的進(jìn)程。

癥狀三：電腦藍(lán)屏或黑屏。

癥狀四：電腦桌面出現(xiàn)異常。

癥狀五：瀏覽器主頁篡改，強(qiáng)行刷新或跳轉(zhuǎn)網(wǎng)頁，頻繁彈廣告。

癥狀六：數(shù)據(jù)丟失，文件或文件夾、應(yīng)用圖標(biāo)無故消失。

網(wǎng)絡(luò)安全知識宣傳

38

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊

5.無線網(wǎng)絡(luò)安全：

1.在辦公環(huán)境中禁止私自通過辦公網(wǎng)開放 Wi-Fi 熱點(diǎn)

2.不訪問任何非本單位的開放 Wi-Fi,發(fā)現(xiàn) 單位附近的無密碼、開放 Wi-Fi 應(yīng)通知 IT 部門

3.部門需要單獨(dú)增設(shè) Wi-Fi 網(wǎng)絡(luò)時，應(yīng)到 IT 部門報備，禁止自行開熱點(diǎn)

4.禁止使用 Wi-Fi 共享類 APP,避免導(dǎo)致無 線網(wǎng)絡(luò)用戶名及密碼泄露

5.無線網(wǎng)絡(luò)設(shè)備及時更新到最新固件

6.警惕公共場所免費(fèi)的無線信號為不法分子設(shè)置的釣魚陷阱

7.設(shè)置高強(qiáng)度的無線密碼，各單位的認(rèn)證機(jī)制建議釆取實(shí)名方式

網(wǎng)絡(luò)安全知識宣傳

6.病毒防范風(fēng)險：

1.安裝病毒防護(hù)程序并及時更新病毒特征庫

2.下載電子郵件附件時注意文件名的后綴, 陌生發(fā)件人附件不要打開

3.網(wǎng)絡(luò)下載的文件需要驗(yàn)證文件數(shù)字簽名有效性，并用殺毒軟件手動掃描文件

4.使用移動存儲介質(zhì)時，進(jìn)行査殺病毒后打開

5.安裝不明來源的軟件時,手動?xùn)藲⒉《?/p>

6.瀏覽網(wǎng)頁時,若發(fā)現(xiàn)電腦工作異常，建議斷開網(wǎng)絡(luò)并進(jìn)行全盤殺毒

網(wǎng)絡(luò)安全知識宣傳

7.敏感信息保護(hù)：

1. 不要將個人證件、工作單位等敏感信息對外公布；

2. 不要將帶有個人、單位屬性的文件上傳至互聯(lián)網(wǎng)上；

3. 不要將敏感文件隨便放置于辦公桌面上；

4. 不向未確定的人員透露公司信息系統(tǒng)的任何狀態(tài)或配置信息，即使對方理由足夠充分。

網(wǎng)絡(luò)安全知識宣傳

8.網(wǎng)上安全交易：

1.所訪問的網(wǎng)址與官方地址進(jìn)行比對，確認(rèn)準(zhǔn)確性

2.避免通過公用計算機(jī)使用網(wǎng)上交易系統(tǒng)

3.不在網(wǎng)吧等多人共用的電腦上進(jìn)行金融業(yè)務(wù)操作

4.不通過搜索引擎上的網(wǎng)址或不明網(wǎng)站的鏈接進(jìn)入交易

5.在網(wǎng)絡(luò)交易前，對交易網(wǎng)站和交易對方的資質(zhì)全面了解

6.可通過査詢網(wǎng)站備案信息等方式核實(shí)網(wǎng)站資質(zhì)真?zhèn)?/p>

7.應(yīng)注意查看交易網(wǎng)站是否為 HTTPS 協(xié)議, 保證數(shù)據(jù)傳輸中不被監(jiān)聽篡改

8.在訪問涉及資金交易類網(wǎng)站時，盡量使用官方網(wǎng)站提供的虛擬鍵盤輸入登錄和交易密碼

9.遇到填寫個人詳細(xì)信息可獲得優(yōu)惠券，更要謹(jǐn)慎填寫

10.注意保護(hù)個人隱私，使用個人的銀行賬戶、密碼和證件號碼等敏感信息時要慎重

11.使用手機(jī)支付服務(wù)前，應(yīng)按要求安裝支付環(huán)境的安全防范程序

39

9.防火墻：

是一個重要的安全層，充當(dāng)專用網(wǎng)絡(luò)和外部世界之間的屏障，可監(jiān)控傳入和傳出的網(wǎng)絡(luò)流量，

以便使用指定的規(guī)則檢測和阻止危險數(shù)據(jù)包，僅允許真實(shí)信息訪問您的專用網(wǎng)絡(luò)。

網(wǎng)絡(luò)安全知識宣傳

10.DNS：

是域名系統(tǒng)（Domain Name System）的簡稱，因特網(wǎng)上作為域名和 IP 地址相互映射的一個

分布式數(shù)據(jù)庫，能夠使用戶更方便地訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的 IP 地址。

40

一公局張家港項(xiàng)目網(wǎng)絡(luò)安全宣傳手冊