资源简介

(共29张PPT)
网络安全知识手册
讲解人：XXX
时间：20XX.XX
国/家/网/络/安/全/宣/传/周
2 24
YOUR LOGO
CONTENTS
目
录
01
网络安全法律法规体系
02
关键信息基础设施安全保护
03
钓鱼邮件
04
数据安全
05
电信网络诈骗
网络安全大讲堂
YOUR LOGO
YOUR LOGO
网络安全
法律法规体系
PART.01
第一章节
网络安全法律法规体系
2016年
11月7日
《中华人民共和国网络安全法》
2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过，自2017年6月1日起施行。
是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是让互联网在法治轨道上健康运行的重要保障。
2021年
4月27日
《关键信息基础设施安全保护条例》
2021年4月27日，经国务院第133次常务会议通过，2021年7月30日，国务院总理签署中华人民共和国国务院令第745号公布，自2021年9月1日起施行。
是我国首部专门针对关键信息基础设施安全保护工作的行政法规。
2021年
6月10日
《中华人民共和国数据安全法》
2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过，自2021年9月1日起施行。
是我国数据领域的基础性法律，也是国家安全领域的一部重要法律。
2021年
7月5日
《汽车数据安全管理若干规定（试行）》
2021年7月5日，国家互联网信息办公室2021年第10次室务会议审议通过，并经国家发展和改革委员会、工业和信息化部、公安部、交通运输部同意，自2021年10月1日起施行。
用于规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。
2021年
8月20日
《中华人民共和国个人信息保护法》
2021年8月20日，第十三届全国人大常委会第三十次会议通过，自2021年11月1日起施行。
是为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用而制定的法律。
网络安全法律法规体系
2020年
4月13日
《网络安全审查办法》
2020年4月13日，《网络安全审查办法》公布。2021年11月16日，国家互联网信息办公室2021年第20次室务会议审议通过新修订的《网络安全审查办法》，自2022车2月15日起施行。
是为了进一步保障网络安全和数据安全，维护国家安全而制定的部门规章。
2023年
5月23日
《生成式人工智能服务管理暂行办法》
2023年5月23日，国家互联网信息办公室2023年第12次室务会会议审议通过，并经国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局同意，自2023年8月15日起施行。
是我国首个针对生成式人工智能服务的规范性政策，用于促进生成式人工智能健康发展和规范应用，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。
网络安全法律法规体系
我国网络安全法律法规体系已基本形成。
网络空间不是法外之地
YOUR LOGO
关键信息基础设施安全保护
PART.02
第二章节
关键信息基础设施安全保护
什么是关键信息基础设施
是指能源、交通、水利、金融、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
怎样认定关键信息基础设施
重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则。
制定认定规则主要考虑因素
网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；
网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；
对其他行业和领域的关联性影响。
关键信息基础设施安全保护
保护条例
是落实《网络安全法》要求、构建国家关键信息基础设施安全保护体系的顶层设计和重要举措，更是保障国家安全、社会稳定和经济发展的现实需要。
安全保护举措
国家标准
是我国第一项关键信息基础设施安全保护的国家标准，对于我国关键信息基础设施安全保护有着重要的指导意义。
2021年8月17日，国务院公布《关键信息基础设施安全保护条例》，自2021年9月1日起施行。
2022年11月7日，我国关键信息基础设施安全保护要求国家标准（GB/T39204-2022）发布，2023年5月1日，正式实施。
乌克兰
2015年12月，乌克兰配电公司约60座变电站遭到网络攻击，140万名居民遭遇数小时停电。
安全事件
美国
2021年5月，美国最大成品油运输管道运营商Colonial Pipeline3公司工控系统遭勒索病毒攻击导致停机，造成成品油运输管道运营中断。
欧洲
2022年7月，欧洲天然气管道遭遇勒索软件攻击。
分析识别
01
关键信息基础设施安全保护
安全防护
02
检测评估
03
监测预警
04
主动防御
05
事件处理
06
坚持综合协调
坚持分工负责
坚持依法保护
闭环安全
防护体系
关键信息基础设施安全保护
各部门职责
国家网信部门
统筹协调；
公安部门
负责指导监督关键信息基础设施安全保护工作；
电信有关部门
依照相关规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作；
政府有关部门
依据各自职责对关键信息基础设施实施安全保护和监督管理。
运营者责任义务
落实网络安全保护制度和责任制
与关键信息基础设施同步规划、同步建设、同步使用安全保护措施建立健全网络安全保护制度
设置专门安全管理机构
开展安全监测和风险评估
报告网络安全事件或网络安全威胁
规范网络产品和服务采购活动
保护关键信息基础设施
筑牢网络安全屏障
YOUR LOGO
钓鱼邮件
PART.03
第三章节
钓鱼邮件
01
针对高层管理人员
鲸钓攻击
钓鱼邮件是指黑客伪装成同事、合作伙伴、朋友、家人等用户信任的人，通过发送电子邮件的方式，诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序，进而窃取用户敏感数据、个人银行账户和密码等信息，或者在设备上执行恶意代码实施进一步的网络攻击活动。
钓鱼邮件：信任伪装下的网络攻击
02
针对组织内的特定人员
鱼叉式网络钓鱼
03
针对公司财务等要职人员
商业邮件诈骗
黑客搜索爬取求职、婚恋交友、论文数据库等特定网站上包含的邮箱地址；
黑客攻击网站，批量窃取用户信息数据库中的邮箱地址；
黑客之间通过暗网买卖交换。
电子邮件是怎么泄露的？
钓鱼邮件
钓鱼邮件伪装术
防护
建议
伪造发件人地址以假乱真
利用“l”和“1”，“m”和“r”等之间的视觉差异性较小的特点，来欺骗收件人。
量身定制邮件正文骗取信任
根据用户个人信息、工作情况、习惯等针对性设计邮件文本。
隐藏恶意链接暗度陈仓
使用引用性文字，引诱收件人点击访问恶意网站。
降低用户戒备，添加恶意程序为邮件附件
用超长文件名来隐藏后缀、伪造附件图标，发送带有病毒的文件、程序。
要将公私邮箱分开，不要轻易泄露邮箱地址；
要仔细辨认发件人地址，不要轻易点击陌生邮箱发来的邮件；多渠道核实来自熟人的转账汇款请求；
悬停鼠标在链接上，检查其指向的网址，不轻易提交用户名、密码等账户信息；
提前安装杀毒软件，不轻易下载来历不明的邮件附件；
要绑定邮箱账户和手机，便于必要时找回密码，接收“异地登录提醒”掌握状态。
YOUR LOGO
数据安全
PART.04
第四章节
数据安全
黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等。
窃取或泄露
违规篡改、破坏、丢失等。
数据毁损
黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等。
数据非法利
黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等。
数据非法出境
数据，是指任何以电子或者其他方式对信息的记录。
数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。
01
个人网购产生的交易记录
02
快递物流信息
03
网约车行车轨迹及服务信息
04
大型互联网平台处理的海量数据信息
数据安全威胁
数据安全
2021年3月，李某等人私自在某重要军事基地周边架设气象观测设备，采集并向境外传送敏感气象数据。
危害重要数据安全的典型案例
2022年6月，西北工业大学遭受美国国家安全局网络攻击，持续窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
一般数据
重要数据
核心数据
按照《中华人民共和国数据安全法》要求，根据数据一旦遭到纂改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，将数据分为一般数据、重要数据、核心数据共三个级别。
数据分级
数据安全
备份、加密、访问控制、数据安全应急处置机制、申报网络安全审查
数据处理者
明确数据安全负责人，成立数据安全管理机构；
制定数据安全培训计划，组织开展全员数据安全教育培训；
优先采购安全可信的网络产品和服务、每年开展一次数据安全评估。
重要数据的处理者
建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正
互联网平台运营者
YOUR LOGO
电信网络诈骗
PART.05
第五章节
电信网络诈骗
骗术一
杀猪盘诈骗
指通过婚恋平台、社交软件等方式寻找潜在受害者，通过聊天发展感情取得信任，然后将受害者引入博彩、理财等诈骗平台进行充值，骗取受害者钱财的骗局。
甜言蜜语暖心房，卷钱跑路两茫茫
电信网络诈骗，是指以非法占有为目的，利用电信网络技术手段，通过远程、非接触等方式，诈骗公私财物的行为。
骗术二
杀鸟盘诈骗
指刷单诈骗、兼职诈骗，骗子通过发高薪不断鼓动受害者投钱代刷，最终骗取所有投资钱财的骗术。
投资理财循正路，刷单兼职是骗术
电信网络诈骗
我在外地竞标，借用你账户，公对公过账下保证金
真的是你么？视频一下
信你了！
没问题，必须的！！
没有核实钱款是否到账，就将钱转到了“好友”提供的银行卡上
转款完成，发现被骗
AI换脸是一种基于人工智能技术的图像处理应用，可以将一个人的面部特征和表情应用到另一张照片或视频中，实现快速、高效的人脸替换。
电信网络诈骗
骗子给受害人打
骚扰电话
提取受害人
声音
对声音素材
进行合成
用伪造的声音
实施诈骗
新型AI诈骗：Al拟声
电信网络诈骗
02
04
06
05
03
不向陌生人提供身份证号码、家庭住址等重要信息；尽量减少个人照片、视频的泄露；
保护个人信息
为银行卡、网上银行、手机银行设置复杂程度较高的密码，不向任何人透露或转发短信验证码或其它形式动态密码；
不透露密码
建议将转账汇款到账时间设定为“2小时到账”或“24小时到账”，以预留处理时间；
预留处理时间
不要与他人共享屏幕；不要听信陌生人的转账汇款请求；遇熟人借款等情形，尽量通过多种方式（如主动拨打电话等）确认对方是否为本人；
多种形式确认
帮助信息网络犯罪活动罪（简称“帮信罪”）是《刑法 修正案（九）＞》新增设的罪名，简单来说，就是在明知道他人利用信息网络实施犯罪（电信诈骗）还为其犯罪提供帮助的行为。
不违法犯罪（帮信罪）
办理银行信用卡及额度提升等业务，一定要通过银行官方微信平台、官方网站等可靠渠道进行申请。在网购平台办理退款、退货要通过官方App渠道；
官方渠道办业务
防范建议：
01
YOUR LOGO
个人信息保护
PART.06
第六章节
个人信息保护
泄露途径
非法披露
非法买卖
非故意泄露
攻击手机
攻击网站
收集
是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。
个人信息的定义
个人信息的处理包括个人信息的：
存储
使用
加工
传输
提供
公开
删除
敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。
个人信息保护
要优先选择尊重个人信息保护的产品、服务；
要审核App要求的权限，并谨慎授权；
要在身份证复印件上标注“仅限办理某业务时使用”；
要对重要信息进行加密保护；
要设置他人对自己所分享信息的访问权限。
五要
垃圾短信源源不断；
骚扰、诈骗电话接二连三；垃圾邮件铺天盖地；
大数据“杀熟”“人肉搜索”等恶意披露特定对象的个人信息事件。
信息泄露危害
防护建议：五要三不要
不要随意连接免费Wi-Fi热点；
不要随意点击进入短信、邮件中的网站，提交个人敏感信息；
不在网上晒车票、证件，以及含有孩子学校、家庭住址、个人收入情况的照片。
三不要
个人信息保护
2022年7月1日，在中央网信办指导下，资助企业、一流网络安全学院、中国网络空间安全协会、中国互联网发展基金会共同发起。
产业教育融合
着力打通产业和教育之间的“堵点”，所有创新任务均由企业提出，直接面向产业实际需求和共性问题，提升高校学生基础性研究能力。
初期资助对象
地方一流网络安全学院建设示范项目高校网络安全学院的全日制在读本科、硕士、博士学生。
资助计划
开展创新研究择优奖励
计划资助1200名学生
第一期资助企业共提出103个研究选题，并经选拔确定共资助240名学生，资助费用已经全部拨付，受资助学生都已经参与到企业研究项目中，企业为每名学生配备了企业导师。
第一阶段已验收总结
第二阶段正陆续开展
实施创新资助计划
个人信息保护
“通过参与创新资助计划，加强了我们与各院校的合作，有利于推动网络安全人才培养和技术创新。
企业谈
对于学校和学生
提供了良好的研究和学习基础，有利于提升学生动手能力和实操能力，培育网络安全人才创新能力；
对于企业
增加了企业和学校、学生直接接触的机会，对提前储备人才和提升市场影响力有非常好的效果。”
“对于我来说，这是一次非常难得的机会可以和企业直接对接交流开发经验。
在开发过程中，遇到很多难题，但在企业导师和学校导师的指导下，一个个迎刃而解，让我在实践中对研究工作有了更多新的理解。”
学生谈
提高警惕安全上网
讲解人：XXX
时间：20XX.XX
国/家/网/络/安/全/宣/传/周
2 24
YOUR LOGO

展开更多......

收起↑