一公局张家港项目网络安全宣传手册

目录

CONTENTS

一、法律法规

1.中华人民共和国网络安全法 03

2.中华人民共和国数据安全法 09

3.关键信息基础设施安全保护条例 13

4.中华人民共和国个人信息保护法 17

二、攻击与防护

1.（社工攻击）入侵方式和手段 22

2.网络安全防护建议 29

三、网络安全知识宣传

1.护网行动 36

2.网络安全 36

3.电脑中病毒表现 37

4.电子邮件安全 37

5.无线网络安全 38

6.病毒防范风险 38

7.敏感信息保护 39

8.网上安全交易 39

9.防火墙 40

10.DNS 40

01

一公局张家港项目网络安全宣传手册

一、法律法规

中华人民共和国网络安全

法

02

中华人民共和国网络安全法

其它条款解读:[应急预案与响应要求]

涉及行业: 事业单位 国企 传媒 金融 电商 游戏 社变网站……

第二十五条规定:

网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络

侵入等安全风险，在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并

按照规定向有关主管部门报告。

中华人民共和国网络安全法

其它条款解读:[应急预案与响应要求]

解读:

本条款的提出也是完善安全技术体系非常重要的一环，而响应能力的建设是当前网络运营者普遍

存在的弱点。

整体缺乏事件危害评估、应急预案、处置措施、上报流程等一系列的规范，或者说有规范但在出

现网络安全事件的时候，发现应急预案根本没办法起到作用。

在公共云或者可运营的政务云上，有着完整的安全运营体系，当发生大规模网络安全事件时，安

全运营团队会第一时间处理相关问题。针对网络运营者的业务制定应急预案和定期演练。

处罚:

拒不执行本条款要求或因此导致危害网络安全后果的网络运营者，处一万以上十万以下罚款，对

于直接负责的主管人员处以 5000 元以上 5 万元以下罚款。

03

一公局张家港项目网络安全宣传手册

其它条款解读:[政务安全治理]

涉及行业: 政府机构 事业单位 公共服务职能部门......

第三十四条规定:

除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务:

1.设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查;

2.定期对从业人员进行网络安全教育、技术培训和技能考核;

3.对重要系统和数据库进行容灾备份;

4.制定网络安全事件应急预案，并定期进行演练;

5.法律、行政法规规定的其他义务。

中华人民共和国网络安全法

其它条款解读:[政务安全治理]

解读:

关键基础设施的安全隐患具有很大的破坏性和杀伤力，《网络安全法》在关键信息基础设施的运

行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。

处罚:

不履行本法相关条款的网络安全保护义务的，拒不改正或者导致危害网络安全等后果的，处十万

元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

04

中华人民共和国网络安全法

其它条款解读:[明确等级保护工作重点]

网络安全法的发布也标志着国家网络安全等级保护工作正式进入 2.0 时代;

第二十一条:

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列

安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、

篡改:

解读: 本条规定的是网络运营者的义务。

(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;

解读:

一般第一主要责任人是单位一把手，厅长、局长、院长、校长等领导，第二主要责任人是单位具

体分管信息化、分管网络安全的领导，副厅长、副局长、副院长、副校长或总工等。

中华人民共和国网络安全法

(二) 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

解读:

一般来说防火墙、IDS、IPS、防病毒网关、杀毒软件和防 DDOS 攻击系统等属于这类技术措施。

(三) 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日

志不少于六个月;

解读:

网络审计、行为审计、运维审计、日志管理分析、安全管理平台和态势感知平台等都属于这类技

术措施.

(四) 采取数据分类、重要数据备份和加密等措施;

解读:

数据安全越来越重要，等保方案需要充分考虑数据备份、数据传输和数据存储安全等内容。

(五)法律、行政法规规定的其他义务。

05

一公局张家港项目网络安全宣传手册

其它条款解读:[明确等级保护工作核心]

1. 关键信息基础设施的定义

第三十一条:

国家公共通信信息服务、能源、交通、 水利、金融、公共服务、电子政务等重要行业和领域，以

及一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键

信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范

围和安全保护办法由国务院制定。

解读:

等级保护工作的核心是关键信息基础设施，本条首先定义了什么是关键信息基础设施。国家互联

网信息办公室于 2017 年 7 月发布《关键信息基础设施安全保护条例(征求意见稿)》。

中华人民共和国网络安全法

其它条款解读:[明确等级保护工作核心]

2.关键信息基础设施的安全保护义务

第三十四条:

运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等

解读:

本条款说明关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求，从制度、培训、

灾备、应急等方面提出了进一步要求。

第五十九条运营者拒不改正或导致危害网络安全的，罚款 10-100 万元，直接责任人罚款 1-10 万

元。

06

中华人民共和国网络安全法

其它条款解读:[个人信息保护]

涉及行业:事业单位 通信 传媒金融 医疗 电商 游戏......

第四十一条:

网络运营这收集、使用个人信息，应当遵循合法、正当、必要的原则、公开收集、使用规则，明

示收集、使用信息的目的、方式和范围，并经被收集者同意，网络运营者不得收集与其提供的服

务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当

依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第四十二条: ......

第四十三条: ......

中华人民共和国网络安全法

其它条款解读:[个人信息保护]

解读:

从这三条条款中可以看出，《网络安全法》聚焦个人信息泄露，明确网络产品服务提供者、运营

者的责任。严厉打击出售贩卖个人信息的行为，《网络安全法》针对层出不穷的新型网络诈骗犯

罪还规定:任何个人和组织不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制

物品等违法犯罪活动的网站、通讯群组，不得利用网络发布与实施诈骗，制作或者销售违禁物品、

管制物品以及其他违法犯罪活动的信息。

处罚：

违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利

的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一

倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直

接责任人员处一万元以上十万元以下罚款;情节严重的，并可以责令暂停相关业务、停业整顿、关

闭网站、吊销相关业务许可证或者吊销营业执照。

07

一公局张家港项目网络安全宣传手册

其它条款解读:[明确等级保护工作核心]

1.敏感信息保存

第三十七条:

境内收集产生的个人信息和重要数据应当在境内存储。需向境外提供的，应进行安全评估。

解读:

本条是外企和有海外业务的国内企业很关注的一条。主要是关于数据境内存储和境外数据流动的

问题。

核心是数据安全。

第六十六条 运营者违反规定的，没收违法所得，罚款 5-50 万元，吊销执照，直接责任人罚款 1-10

万元。

中华人民共和国网络安全法

其它条款解读:[明确等级保护工作核心]

2.风险检测评估

第三十八条:

运营者每年至少组织一次安全风险检测评估，并评估情况和改进措施报相关部门。

解读:

本条主要是关于对关键信息基础设施年度检测评估的问题。这里提到了网络安全服务机构，就是

我们常说的提供风险评估等各类安全服务的机构，这些机构以后又多了一项业务了。

第五十九条 运营者拒不改正或导致危害网络安全的，罚款 10-100 万元，直接责任人罚款 1-10 万

元。

08

中华人民共和国数据安全法

01《数据安全法》的立法目的

《数据安全法》第一条规定“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个

人、组织的合法权益，维护国家主权、安全和发展利益,制定本法。”

从历史意义上看，该法的出台意味着我国首次将数据安全上升到“维护国家主权、安全和发展利

益”的战略层面。任何的数据的处理与利用都应以维护我国国家主权、保护我国国家安全为前提。

任何企业或者个人如有涉嫌威胁国家安全、影响国家主权的数据处理行为，不仅会面临刑事审查，

还会面临国家安全审查。

因此，企业在开展涉及数据加工、数据交易、数据跨境业务的过程中，不仅要在传统意义上“网

络安全和“数据安全”的框架内进行，还应当时刻评估数据处理行为对国家安全和社会公共利益

的影响，避免不当行为的发生。

中华人民共和国数据安全法

02《数据安全法》的指导理念

总体国家安全观在《数据安全法》第四条予以明确。该法规定“维护数据安全，应当坚持总体国

家安全观，建立健全数据安全治理体系，提高数据安全保障能力。”国家安全涉及到政治、国土、

军事、经济文化、社会、网络等各个方面，是一套复杂的工程。

09

一公局张家港项目网络安全宣传手册

1).个人数据

个人数据这块，可概括分为个人基础数据、个人隐私数据、个人行为数据。

2).商业数据

商业数据这块，可概括分为:公共数据、平台数据与企业数据。

3).其他要点

如何理解个人数据与企业数据的交叉?

如何理解“重要数据和核心数据”?

如何理解保护数据的法律法规?

中华人民共和国数据安全法

03 数据分类与分级

数据的分类与分级，是谈到数据安全的重要概念。图中，按照纵向的行业划分，即为数据分类;

在每个行业内，再将数据按照敏感程度分为不同层级即为数据分级。

按照业务发展需求和法规标准的要求对数据的分类分级“量体裁衣”才能适应日益多样化的数据

使用场景和复杂的数据使用维度，为公司业务数据划分完整的分类分级标准，为公司业务发展提

供高效的数推支撑。

10

具体条款解读:

第十五条:

国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、

残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。

解读:

响应十四五规划数字社会建设，推动数字化服务普惠应用，并充分保障弱势群体权益，共享新型

数字生活。

第十六条:

国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和

商业创新，培育、发展数据开发利用和数据安全产品、产业体系。

解读:

响应十四五规划数字经济发展，加快数字技术创新研究及应用，推动数字产业化发展。

11

中华人民共和国数据安全法

04 落地分析与实现

企业在数据安全领域落地，是存在一系列痛点与难点。这里主要来自两个方面：

一是对安全法规及标准的解读;

[具体应对操作:遵循先法律法规、后标准规范，先国家行业、后区域地方的原则进行解读，摸清

企业数据应遵循的安全原则。很多安全或咨询公司，也提供此类安全咨询服务，帮助企业做好政

策解读。]

二是如何结合企业自身情况，制定并落地数据安全改进。

[一方面需要摸清企业数据，一方面需建立数据全生命周期安全规划，有针对性地采取一系列安全

改造措施。应对数据生命周期的各阶段所涉及的主要安全能力，包括从数据识别、传输、存储、

使用、销毁多环节。]

中华人民共和国数据安全法

12

具体条款解读

第二十一条:

国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、

破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危

害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据

目录，加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严

格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重

要数据具体目录，对列目录的数据进行重点保护。

中华人民共和国数据安全法

解读:

数据分级分类标准以风险程度为导向:重要程度+危害程度

明确重更数据制定的工作机制

明确国家核心数据的定义

由于不同行业，不同地区数据分类分级的具体规则和考虑因素差距巨大，重要数据具体目录及具

体分类分级保护制度的制定权限下放到行

目前已出台《浙江省公共数据条例》、DB 33/T 2351-2021《数字化改革公共数据分类分级指南》

-浙江省

一公局张家港项目网络安全宣传手册

01 关键信息基础设施的定义

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利。金融、公共服务、电子

政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏，丧失功能或者数据泄露，可能

严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

当通信设施的重要信息系统遭受攻击时，可能引发重大安全事故或重大网络安全事件，对国

家安全、国计民生和公共利益造成严重危害。

关键信息基础设施安全保护条例

02 关键信息基础设施安全保护总体要求

关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础

设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。

国务院公安部门指导监督关键信息基础设施安全保护工作，国务院电信主管部门和其他有关

部门及省级人民政府在各自范围内负责关键信息基础设施安全保护和监督管理工作，重点行业领

域主管部门是行业保护工作部门，负责制定认定与变更规则，组织开展行业关键基础设施认定工

作，并报备国务院公安部门。

13

关键信息基础设施安全保护条例

03 关键信息基础设施运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关

键岗位人员进行安全背景审查。

04 关键信息基础设施每年至少进行一次网络安全检测和风险评估，若存在问题，需要进行及

时整改并上报保护工作部门。

05 当关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，应当向保护

工作部门、公安机关报告。

06 关键信息基础设施运营者在进行关键信息基础设施网络安全保护时，采购的网络安全产品

和服务需要安全可信，具备自主知识产权和具备相应销售许可证，不能影响国家安全。

07 当关键信息基础设施运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，

并按照保护工作部门的要求对关键信息基础设施进行处置。

一公局张家港项目网络安全宣传手册

14

03 关键信息基础设施运营者的责任

《关健信息基础设施安全保护条例》中明确了关键信息基础设施运营者的责任和义务，以保

障关键信息基础设施安全。主更内容如下:

01 在进行关键信息基础设施认定工作时，网络安全保护措施必须同步考虑，即严格执行同步

规划、同步建设、同步使用的“三同步“原则，不允许在认定工作结束后，再进行网络安全建设

动作。

02 关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信

息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

关键信息基础设施安全保护条例

04 关键信息基础设施运营者的具体工作

对于关键信息基础设施运营者的专门安全管理机构应落实以下 8 项具体保护工作：

01 建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

02 组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

03 按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置

网络安全事件；

关键信息基础设施安全保护条例

04 认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

05 组织网络安全教育、培训；

06 履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

07 对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

08 按照规定报告网络安全事件和重要事项。

15

关键信息基础设施安全保护条例

05 法律责任

规定关键信息基础设施运营者应落实安全保护的权利和义务及其负责人的职责，要求建立关

键信息基础设施网络安全监测预警体系和信息通报制度，违反本条例将会受到行政处罚、判处罚

金甚至要承担刑事责任。

关键信息基础设施安全保护条例

信息安全技术 关键信息基础设施安全保护要求 GB/T39204 2022

《关键信息基础设施安全保护要求》是我国首个关键信息基础设施安全保护的国家标准，标

准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协

同联防的关键信息基础设施安全保护 3 项基本原则，从分析识别、安全防护、检测评估、监测预

警、主动防御、事件处置 6 个方面提出了 111 条安全要求，为运营者开展关键信息基础设施保护

工作需求提供了强有力的标准保障。该标准于 2023 年 5 月 1 日正式实施。

16

一公局张家港项目网络安全宣传手册

中华人民兴和国主席令

第九十一号

《中华人民共和国个人信息保护法》已由中华人民共和国第十三届全国人民代表大会常务委

员会第三十次会议于 2021 年 8 月 20 日通过，现予公布，自 2021 年 11 月 1 日起施行。

中华人民共和国主席 习近平

2021 年 8 月 20 日

中华人民共和国个人信息保护法

《个人信息保护法》进一步细化、完善了个人信息保护应遵循的原则和个人信息处理规则，

明确个人信息处理活动中的权力义务边界，健全个人信息保护工作体制；

1. 确立个人信息保护原则，强调处理个人信息应当遵循合法、正当、必要、诚信、最小等原

则；

2. 规范处理活动，保障权益，构建了以“告知-同意”为核心的个人信息处理规则；

3.禁止“大数据杀熟”，要求个人信息处理者保证自动化决策的透明度和结果公平、公正；

4.规范国家机关处理活动，强调国家机关处理个人信息应当依照法律、行政法规规定的权限

和程序进行;

5.明确个人信息处理者应当采取必要措施保障所处理的个人信息的安全，特别规定了提供重

要互联网平台服务、用户数据量巨大、业务类型复杂的信息处理者的义务；

6.设专章规定个人信息跨境提供的规则，规范个人信息跨境流动。

17

中华人民共和国个人信息保护法

01 要求更正、补充个人信息的权利

《个人信息保护法》第四十六条规定:“个人发现其个人信息不准确或者不完整的，有权请求

个人信息处理者更正、补充。

个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时

更正、补充。”

中华人民共和国个人信息保护法

一公局张家港项目网络安全宣传手册

02 要求删除个人信息的权利

《个人信息保护法》第四十七条规定:“有下列情形之一的，个人信息处理者应当主动删除个

人信息;个人信息处理者未删除的，个人有权请求删除；

(一)处理目的已实现、无法实现或者为实现处理目的不再必要；

(二)个人信息处理者停止提供产品或者服务，或者保存期限已届满；

(三) 个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息

处理者应当停止除存储和采取必要的安全保护措施之外的处理。”

18

人脸识别等技术的使用规定

第二十六条 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵

守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共

安全的目的，不得用于其他目的；取得个人单独同意的除外。

19

中华人民共和国个人信息保护法

03 要求解释说明个人信息处理规则

《个人信息保护法》第四十八条规定:“个人有权要求个人信息处理者对其个人信息处理规则

进行解释说明。”

中华人民共和国个人信息保护法

大型网络平台的义务

大型网络平台掌握大量个人信息数据，一旦泄露后果不堪设想。《个人信息保护法》对大型

网络平台增设特别义务。

第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当

履行下列义务:

(一)按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机

构对个人信息保护情况进行监督；

(二)遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个

人信息的规范和保护个人信息的义务；

(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服

务。

中华人民共和国个人信息保护法

一公局张家港项目网络安全宣传手册

健全投诉、举报机制

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:

(一)制定个人信息保护具体规则、标准；

(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应

用，制定专门的个人信息保护规则、标准；

(三) 支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服

务建设；

(四)推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服

务；

(五) 完善个人信息保护投诉、举报工作机制。

20

21

一公局张家港项目网络安全宣传手册

二、攻击与防护

（社工攻击）入侵方式和手段 社工攻击）入侵方式和手段

22

1 社会工程学：利用人的弱点实现攻击

人是网络安全中最薄弱的环节。无论是在攻防演练还是真正的黑客入侵中，社工、钓鱼相比

传统渗透方法都是成本更低，收益效果更好的攻击手段。

黑客攻击的套路

01 收集信息

02 构建场景

03 伪装身份

04 获取信任

05 获取权限

（社工攻击）入侵方式和手段

一公局张家港项目网络安全宣传手册

2 网络钓鱼

网络钓鱼类型

邮件钓鱼：调薪通知、密码过期修改、个税退款…不轻信！

二维码钓鱼： 扫码抽奖、扫码领礼品、扫码心理测试…不轻信！

社交钓鱼： 招聘求职、天降桃花、卖惨求助…不轻信！

网页钓鱼： flash 需更新、浏览器需升级…不轻信！

公共 Wi-Fi 钓鱼： 公共场所免费 Wi-Fi，不乱连！

网络钓鱼 （Phishing）是攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动。

诈骗者通将自己伪装成网络银行、在线零售商等可信的品牌，骗取用户的私人信息、资料，如银

行卡账户、身份证号等内容。

3 邮件钓鱼案例

网络钓鱼 （Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活

动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通

常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。

数据来源于《钓鱼网》

（社工攻击）入侵方式和手段

23

（社工攻击）入侵方式和手段

24

4 社交钓鱼案例

01.应聘

伪装成求职者向 HR 建立联系，言简意赅，黑客通过学习求职者的沟通话术，保持求职者的作

风，非常容易多次获得目标对象的信任。

（社工攻击）入侵方式和手段

一公局张家港项目网络安全宣传手册

4 社交钓鱼案例

02.求职

黑客伪装成求职者与目标建立求职关系，发送简历或多次发送其他身份的简历。

（社工攻击）入侵方式和手段

25

（社工攻击）入侵方式和手段

5 二维码钓鱼案例

传统短信验证和新兴二维码扫描方式背后均面临安全风险。近年来年通过手机木马支持支付

验证码短信，窃取用户账户信息的犯罪活动将至呈高发态势。黑客利用手机木马拦截验证码短信，

并进一步套取用户网络支付账户和密码，使得用户的个人财产面临巨大损失。

（社工攻击）入侵方式和手段

一公局张家港项目网络安全宣传手册

26

6 网页钓鱼案例

内部办公平台在企业当中发挥着重要的作用，日常的工作基本上都会需要使用到，而一旦例如

CMS，OA 平台沦陷了，黑客就会在这类 WEB 平台上植入一段 JS 代码，这类代码表现出来会是如下：

1、弹窗提示 Flash 需要更新

2、登录反复提示失败

3、浏览器提示访问错误或提示浏览器错误需要下载更换浏览器

（社工攻击）入侵方式和手段

7 入侵后，假冒员工身份钓鱼

企业内部沟通的软件

员工一般不会去考虑聊天的这个人的的确确就是这个人，尤其当是上下级关系的时候，这种

附庸关系更加不会让受害者去思考这些危险的安全隐患点。

内部邮件钓鱼

它可以掌握整个企业的组织架构，人员名单，通讯录，这类资料对于社工专家来说就相当于

拿到了攻击这个目标的地图，社工者可以根据组织架构、通讯录，通过构建精妙的场景来完成精

准的突破。

27

（社工攻击）入侵方式和手段

8 近源攻击

近源攻击即黑客通过各种方式（如抱着一箱零食请保安帮忙开门、伪装快递员、访问者、或

直接从地下车库进入等等）进入到攻击目标单位，通过无接触式（不跟人打交道）或接触式（直

接与人打交道）的方法，把病毒拷贝到受害终端上。

（社工攻击）入侵方式和手段

一公局张家港项目网络安全宣传手册

28

1 网络信息安全 8 个常见误解

误解 1：安全是技术人员的事情：错！太多著名互联网公司因为客服，市场人员的安全意识疏忽，

导致严重安全事故。安全意识必须是全员的，每一个接入公司网络的员工，都应该具有基本的安

全素质。

误解 2：用正版的软件就安全：正版软件厂商也会出现 bug、漏洞等情况，甚至会受到 0day 攻击。

误解 3：勤打补丁，经常杀毒，永远第一 时间更新最新版本，就不会出问题：错！0day 攻击无法

防范。

误解 4：安全就是严防死守，封堵一切入侵途径：错！封堵入侵途径是必要的，但是并不充分，

要有意识的考虑，被侵入会怎样？爆库就是典型的例子，在一个真正安全的系统里，数据库被爆

仍然要保障密码的安全。要做到多层防御。

网络安全防护建议

误解 5：有专门的技术团队，高枕无忧：错！入侵只需一点突破，防护需要面面俱到。最牛的团

队来做运维，一样会有缺陷。

误解 6：哪个无聊的黑客老盯着我？！：错！攻击第一步广撒网形式，除非离开互联网。

误解 7：买了最贵的防火墙，就不怕入侵了：错！防火墙挡不住 0day，当然，这话有点绝对，应

该说，防火墙能不能挡住 0day，基本上靠运气。此外，很多防火墙自己也会出洞。

误解 8：我的网站没啥价值，黑客不会盯着我的：错！黑客是不会盯着你，但是也会在路过打酱

油的时候干掉你。黑客有工具撒网的，不是针对你，但是很不幸你在网内。

29

网络安全防护建议

30

2 十大安全防范建议

01 账户密码安全 02 病毒风险防范

03 上网安全注意 04 网上交易安全

05 电子邮件安全 06 主机电脑安全

07 办公环境安全 08 移动手机安全

09 无线网络安全 10 敏感信息安全

网络安全防护建议

一公局张家港项目网络安全宣传手册

3 账户密码安全

01 如果有初始密码，应尽快修改

02 密码长度不少于 8 个字符

03 不要使用单一的字符类型，例如只用小写字母，或只用数字

04 用户名与密码不要使用相同字符

05 常见的弱口令尽量避免设置为密码 自己、家人、朋友、亲戚、宠物的名字避免设置为密

码

06 生日、结婚纪念日、电话号码等个人信息避免设置为密码

07 工作中用到的专业术语、职业特征避免设置为密码

4 账号安全建议

选择易记强口令的几个窍门：

口令短语-14 位以上 单词误拼

大小写+数字+特殊符号 定期更换

例如：密码：Quit@smoking4ever

解释：永远戒烟

密码：1dcypsz1/2jss1/2j#f00

解释：一道残阳铺水中，半江瑟瑟半江红

网络安全防护建议

5 病毒风险防范

安装病毒防护程序并及时更新病毒特征库

下载电子邮件附件时注意文件名的后缀，陌生发件人附件不要打开

网络下载的文件需要验证文件数字签名有效性，并用杀毒软件手动扫描文件

使用移动存储介质时，进行查杀病毒后打开

安装不明来源的软件时，手动查杀病毒

浏览网页时，若发现电脑工作异常，建议断开网络并进行全盘杀毒

31

网络安全防护建议

6 上网安全注意

使用知名的安全浏览器

收藏经常访问的网站，不要轻易点击别人传给你的网址

对超低价、超低折扣、中奖等诱惑要提高警惕

避免访问色情、赌博、反动等非法网站

重要文件通过网络、邮件等方式传输时进行加密处理

通过社交网站的安全与隐私设置功能，隐藏不必要的敏感信息展示

避免将工作信息、文件上传至互联网存储空间，如网盘、云共享文件夹等

在社交网站谨慎发布个人信息

根据自己对网站的需求进行注册,不要盲目填写信息

网络安全防护建议

一公局张家港项目网络安全宣传手册

7 办公环境安全

禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎

废弃或待消磁介质转交他人时应经管理部门消磁处理

离开座位时，应将贵重物品、含有敏感信息的资料锁入柜中

应将复印或打印的资料及时取走

废弃的光盘、U 盘、电脑等要消磁或彻底破坏

禁止在便签纸上留存用户名、密码等信息

UKey 不使用时应及时拔出并妥善保管 办公中重要内容电话找到安全安静的地方接听，避免

信息泄露

U 盘、移动硬盘，随时存放在安全地方，勿随意借用、放置

32

8 移动手机安全

手机设置自动锁屏功能，建议锁屏时间设置为 1-5 分钟，避免手机被其他人恶意使用

手机系统升级应通过自带的版本检查功能联网更新，避免通过第三方网站下载到如篡改后的

系统更新包等，从而导致信息泄露

尽可能通过手机自带的应用市场下载手机应用程序

为手机安装杀毒软件

经常为手机做数据同步备份

手机中访问 Web 站点应提高警惕

网络安全防护建议

为手机设置访问密码是保护手机安全的第一道防线，防止手机丢失导致信息泄露

蓝牙功能不用时，应处于关闭状态

手机废弃前应对数据进行完全备份，恢复出厂设置清除残余信息

经常查看手机正在运行的程序，检查是否有恶意程序在后台运行，并定期使用手机安全管理

软件扫描手机系统

对程序执行权限加以限制，非必要程序禁止读取通讯录等敏感数据

不要试图破解自己的手机，以保证应用程序的安全性

33

网络安全防护建议

9 主机电脑安全

操作系统应及时更新最新安全补丁

禁止开启无权限的文件共享服务，使用更安全的文件共享方式

针对中间件、数据库、平台组件等程序进行安全补丁升级

关闭办公电脑的远程访问

定期备份重要数据

关闭系统中不需要的服务 计算机系统更换操作人员时，交接重要资料的同时，更改该系统

的密码

及时清理回收站

员工离开座位时应设置电脑为退出状态或锁屏状态，建议设置自动锁屏

网络安全防护建议

10 敏感信息安全

敏感及内网计算机不允许连接互联网或其它公共网络

处理敏感信息的计算机、传真机、复印机等设备应当在单位内部进行维修，现场有专门人

员监督

严禁维修人员读取或复制敏感信息，确定需送外维修的，应当拆除敏感信息存储部件

敏感信息设备改作普通设备使用或淘汰时，应当将敏感信息存储部件拆除

敏感及内网计算机不得使用无线键盘、无线鼠标、无线网卡

敏感文件不允许在普通计算机上进行处理

内外网数据交换需使用专用的加密 U 盘或刻录光盘

工作环境外避免透露工作内容

重要文件存储应先进行加密处理

34

一公局张家港项目网络安全宣传手册

35

一公局张家港项目网络安全宣传手册

三、网络安全知识宣传

护网行动

1.什么是护网行动？

护网行动是一场网络安全攻防演练。是针对全国范围的真实网络目标为对象的实战攻防活动。

网络安全知识宣传

2.什么是网络安全？

网络安全从本质上讲，就是网络上的信息安全。从广义上来说，凡是涉及到网络上信息的保

密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

36

一公局张家港项目网络安全宣传手册

4.电子邮件安全：

1.不打开、回复可疑邮件、垃圾邮件、不明来 源邮件

2.收发公司业务的邮件时，应使用公司企业邮箱处理，私人邮件应使用个人邮箱处理

3.员工应对自己的邮箱用户名及密码安全负责，不得将其借与他人

4.若发现邮箱存在任何安全漏洞的情况，应及时通知公司邮件系统管理人员

5.应警惕邮件的内容、网址链接、图片等

6.机关工作人员工作邮件建议使用政府自建邮箱，严禁使用境外邮箱

7.为电子邮箱设置高强度密码，并设置每次登录时必须经过用户名密码登录

8.开启防病毒软件实时监控,检测收发的电子邮件是否带有病毒

9.定期检查邮件自动转发功能是否关闭

10.不转发来历不明的电子邮件及附件

11.收到涉及敏感信息邮件时,要对邮件内容和发件人反复确认，尽量进行线下沟通

37

网络安全知识宣传

3.电脑中病毒表现：

症状一：电脑运行缓慢，CUP、内存等硬件资源飙升。

症状二：电脑运行的进程中含有可疑的进程。

症状三：电脑蓝屏或黑屏。

症状四：电脑桌面出现异常。

症状五：浏览器主页篡改，强行刷新或跳转网页，频繁弹广告。

症状六：数据丢失，文件或文件夹、应用图标无故消失。

网络安全知识宣传

38

一公局张家港项目网络安全宣传手册

5.无线网络安全：

1.在办公环境中禁止私自通过办公网开放 Wi-Fi 热点

2.不访问任何非本单位的开放 Wi-Fi,发现 单位附近的无密码、开放 Wi-Fi 应通知 IT 部门

3.部门需要单独增设 Wi-Fi 网络时，应到 IT 部门报备，禁止自行开热点

4.禁止使用 Wi-Fi 共享类 APP,避免导致无 线网络用户名及密码泄露

5.无线网络设备及时更新到最新固件

6.警惕公共场所免费的无线信号为不法分子设置的钓鱼陷阱

7.设置高强度的无线密码，各单位的认证机制建议釆取实名方式

网络安全知识宣传

6.病毒防范风险：

1.安装病毒防护程序并及时更新病毒特征库

2.下载电子邮件附件时注意文件名的后缀, 陌生发件人附件不要打开

3.网络下载的文件需要验证文件数字签名有效性，并用杀毒软件手动扫描文件

4.使用移动存储介质时，进行査杀病毒后打开

5.安装不明来源的软件时,手动査杀病毒

6.浏览网页时,若发现电脑工作异常，建议断开网络并进行全盘杀毒

网络安全知识宣传

7.敏感信息保护：

1. 不要将个人证件、工作单位等敏感信息对外公布；

2. 不要将带有个人、单位属性的文件上传至互联网上；

3. 不要将敏感文件随便放置于办公桌面上；

4. 不向未确定的人员透露公司信息系统的任何状态或配置信息，即使对方理由足够充分。

网络安全知识宣传

8.网上安全交易：

1.所访问的网址与官方地址进行比对，确认准确性

2.避免通过公用计算机使用网上交易系统

3.不在网吧等多人共用的电脑上进行金融业务操作

4.不通过搜索引擎上的网址或不明网站的链接进入交易

5.在网络交易前，对交易网站和交易对方的资质全面了解

6.可通过査询网站备案信息等方式核实网站资质真伪

7.应注意查看交易网站是否为 HTTPS 协议, 保证数据传输中不被监听篡改

8.在访问涉及资金交易类网站时，尽量使用官方网站提供的虚拟键盘输入登录和交易密码

9.遇到填写个人详细信息可获得优惠券，更要谨慎填写

10.注意保护个人隐私，使用个人的银行账户、密码和证件号码等敏感信息时要慎重

11.使用手机支付服务前，应按要求安装支付环境的安全防范程序

39

9.防火墙：

是一个重要的安全层，充当专用网络和外部世界之间的屏障，可监控传入和传出的网络流量，

以便使用指定的规则检测和阻止危险数据包，仅允许真实信息访问您的专用网络。

网络安全知识宣传

10.DNS：

是域名系统（Domain Name System）的简称，因特网上作为域名和 IP 地址相互映射的一个

分布式数据库，能够使用户更方便地访问互联网，而不用去记住能够被机器直接读取的 IP 地址。

40

一公局张家港项目网络安全宣传手册