网络安全意识培训

深刻理解习近平总书记关于网络强国的重要思想2

0

2

1

年

1

月中共中央党史和文献研究院编辑的《习近平关于网络强国论述摘编》由中央文献出版社出版，在全国发行。《

论述摘编》

分

9

个专题，

共计

285段论述，摘自习近平同志2013年3月4日至2020年11月

23

日期间的讲话、

报告、

演讲、

指示、

批示、

贺信等一百篇重要文献。22网络安全国家战略驱动习近平网络强国思想《网络安全法》《密码法》网络安全等级保护制度关键信息基础设施保护条例国家战略十四五规划与2035愿景目标（网络安全保障体系与能力）国家网络空间安全战略国家总体安全观网络安全观《国家安全法》网络安全审查办法《个人信息保护法》未来：分类分级保护制度？《数据安全法》未来：数据交易管理制度？未来：数据安全审查制度？法律3行政法规网络安全国家战略驱动42网络安全宣传周简介2014年2月，中央网络安全和信息化领导小组第一次会议上，习近平总书记提出“没有网络安全就没有国家安全，没有信息化就没有现代化”。网络安全从此上升为国家战略。为了普及网络安全知识，提升人民群众网络安全意识，了解和掌握网络安全防范方法，中央网信办决定，2014年11月举办首届国家网络安全宣传周。2022年国家网络安全宣传周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等部门联合举办。主题为网络安全为人民，网络安全靠人民。举办网络安全宣传周、提升全民网络安全意识和技能，是国家网络安全工作的重要内容。习近平总书记曾多次强调网络安全意识的重要性，并对强化网络安全意识提出具体要求。53坚持1国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。坚持2要坚持网络安全教育、技术、产业、融合发展，形成人才培养、技术创新、产业发展的良性生态。坚持3要坚持促进发展和依法管理相统一，既大力培育人工智能、物联网、下一代通信网络等新技术新应用，又积极利用法律法规和标准规范引导新技术应用。坚持4要坚持安全可控和开放创新并重，立足于开放环境维护网络安全，加强国际交流合作，提升广大人民群众在网络空间的获得感、幸福感、安全感。网络安全宣传周简介6网络安全周主题网络安全为人民，网络安全靠人民44通过本次培训，让您了解到关于信息安全的重要性。您对于本次培训知识的分享，让更多的人意识到信息安全的重要性。您的一句提醒，或许就可以避免数以万计的财产损失。网络安全法律法规• 2017：《网络安全法》• 2019：《网络安全等级保护条例》• 2020：《网络安全审查办法》• 2021：《数据安全法》• 2021：《个人信息保护法》• 2021：《关键信息基础设施保护条例》• 2021：《关键信息基础设施保护指导意见》4网络安全法律法规4网络安全法第三章

网络运行安全第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。网络安全法律法规数据安全法第三章

数据安全制度第二十一条

国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。4网络安全法律法规网络安全等级保护等保2.0提出了新的要求

“一个中心、三重防护”通信网络安全针对网络架构和通信传输提出了安全控制要求，主要对象为广域网、城域网、局域网的通信传输及网络架构等，涉及的安全控制点包括网络架构、通信传输、可信验证。计算环境安全边界称为安全计算环境，通常通过局域网将各种设备节点连接起来，构成复杂的计算环境。构成节点的设备包括网络设备、安全设备、服务器设备、终端设备、应用系统和其他设备等，涉及的对象包括各类操作系统、数据库系统、中间件系统及其他各类系统软件、应用软件和数据对象等。对这些节点和系统的安全防护构成了“一个中心，三重防御”纵深防御体系的最后-道防线。4区域边界安全在现实环境中往往需要根据不同的安全需求对系统进行切割、对网络进行划分，形成不同系统的网络边界或不同等级保护对象的边界。网络边界防护构成了安全防御的第二道防线。在不同的网络之间实现互联互通的同时，在网络边界采取必要的授权接入、访问控制、人侵防范等措施实现对的保护，是安全防御的必要手段。安全管理中心是纵深防御体系的大脑，是一个技术管控枢纽，安全管理中心针对整个系统提出了安全管理方面的技术控

制要求，通过技术手段实现集中管理，涉及的安全控

制点包括系统管理、审计管理、安全管理和集中管控。4网络安全法律法规关键信息基础设施保护条例第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。-《中华人民共和国网络安全法》第二条本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。-《关键信息基础设施安全保护条例》网络安全法律法规（八）按照规定报告网络安全事件和重要事项。4第十二条第十三条安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。第十四条 运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：（一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；（二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；（三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；（四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；（五）组织网络安全教育、培训；（六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；关键信息基础设施保护条例网络安全法律法规4第十六条运营者应当保障专门安全管理机构的运行经费、配备相应的人员，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。第十七条运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。第十九条 运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。第二十条 运营者采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。第二十一条 运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。关键信息基础设施保护条例网络安全法律法规公安部〔2020〕1960号文指导意见

强调关基保护的运行和实战➢

贯彻实施网络安全等级保护制度：定级备案、等级测评、安全建设、安全检查等。➢

建立并实施关基安全保护制度：底数清晰，保护机构健全、责任明确；人员管理、供应链安全、数据安全、应急处置等。➢

提升安全监测预警和应急处置能力：跨行业、部门、地区的立体化网络安全监测体系和保护平台。态势感知、通报预警、事件发现处置能力。预案、处置机制、应急演练；➢

形成网络安全综合防控体系：工作机制、防范、监督指导和侦察打击能力，“打防管控”一体化安全综合防控体系。➢

四新要求：新目标（构建国家网络安全综合防控体系）、新理念（三化

–

实战化、体系化、常态化）、新举措（六防

-

动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控）、新高度（国家网络安全综合能力）公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》45两方面进行网络信息安全意识培训工作篇生活篇166工作第一步：走进公司大门，作为进入办公区域的第一道防线，可以有效的防范商业间谍或黑客进入后产生的物理风险。然而，当有急事或注意力被转移的时候，会忘记关门或忘记确认身后是否有人尾随，随手关门习惯的养成能有效的将风险扼制在门外。

非自动闭合的大门应注意随手关门

外部人员进入工作区需登记并全称陪同工作篇177坐到工位U盘，因其方便快捷的使用，被方便存储数据的同时，也成为了各种信息安全事件的高发地。纸质文件不同于电子设备，但也会涉及到信息安全的泄露。

使用过的U盘应妥善存放，避免资料的泄露和病毒木马的植入

禁止随意放置或丢弃含有敏感信息的纸质文件

复印或打印的文件及时取走，避免信息泄露

离开工位时，含有信息的资料锁入柜中，并对计算机进

行锁屏工作篇188安全小贴士工作环境与物理安全工位，是一天中在公司停留时间最长的位置，

也是最容易发生信息事故的位置。未锁屏的电

脑、没放好的U盘、摊开放的笔记本、准备报销的发票、刚打印的业务文件...信息泄露威胁无处不在，信息安全防护也不单指电子设备，物理环境也同样需要引起重视，提高安全防范意识。199计算机：系统和软件互联网作为第五大媒体已经越来越多的融入人民的生产生活

中，2020年以来，工作、教育对于网络的依赖性更强，网络带来的信息安全风险也不容小觑。

应安装杀毒软件，随时打开防火墙

尽量使用官方渠道下载的正版软件或系统

及时检查系统更新

不私自安装不明程序，不随意打开莫名软件、文件或链接工作篇209工作篇219工作篇221Wi-Fi连接Wi-Fi信号具有一定覆盖范围，机场、餐厅等公共场所通常都部署了免费Wi-Fi，免费热点在帮助人们节省流量费用、提高网络速度的同时，也存在着信息泄露、流量挟持、密码破解等风险。

公共场合连接Wi-Fi，要注意周边提示，接入官方网络

处理敏感信息或进行移动支付时，尽量不连接公共网络，而使用4G/5G

在办公区域，不自行搭建Wi-Fi热点，不使用密码共享类APP工作篇2311数据删除与恢复在进行文件删除和磁盘清空时，如果仅清空回收站，或者仅使用“快速格式化”功能，由于磁盘上的数据并没有彻底清除和覆盖，黑客还可以使用专业工具将其进行恢复。

养成定期备份数据的习惯删除单个敏感文件时，使用杀

毒软件自带的“文件粉碎”功能

保密性要求较高的数据在备份时设定完善的访问控制机制并存放在安全的地方

谨慎使用各大云平台自动备份功能，不要上传敏感数据工作篇2412云储存安全使用云储存作为互联网最常使用的存储工具，有存储、读取、下载

等服务，存储量大，应用简便，是大众喜爱的存储方式，也成

为了黑客攻击的首选目标。密码破译、Wi-Fi钓鱼以及云盘本身的漏洞，都是“技术贼”攻击的入口。

云储存应用过程中设定时间维度，并及时清理文件

不与他人共享使用，不存储、敏感文件

移动端使用时关闭自动备份功能工作篇2512工作篇2613邮件安全电子邮件作为一种通信手段，其重要性和防护日益增加的同时安全问题也逐渐增多。假冒攻击、账号泄露、流量监测、勒索病毒、钓鱼邮件，针对邮件的攻击手段让人防不胜防。

收发邮件过程中，应确保传输通道加密

收到邮件时，核对发件人信息是否正确，并通过其他渠道再和发件人本人确认

收到可疑邮件时，绝对不要打开任何未知文件类型的邮件附件

手机丢失时，谨防邮箱内收到的“查找手机位置”的邮件工作篇安全性升级邮箱扩容邮箱停用员工离职邮箱搬家2714工作篇系统管理员<abcdefg@263>邮件显示名邮件地址邮箱帐号 邮箱域名电子邮箱收件人的信息由邮件显示名和邮件地址两部分组成，而邮件地址又是由邮箱帐号和邮箱域名组成。特别提示：28

显示名很容易被仿冒邮件的显示名通常可以由发件人任意

编写.骗子们经常把邮件显示名伪装成：管理员、XX机构、XX领导等。

邮箱帐号也可能被仿冒如，真实邮箱是zhangsan@263,

仿冒邮箱却是zhangsan@qq，不仔细看很难分辨。所以，收到邮件不能光看显示名，还要认真查看发件人的邮件地址以及邮箱域名，稍不留心就可能上当受骗。15钓鱼邮件的目的是诱骗受害者在虚假的登录页面上输入帐号和密码，进而实现盗号。安全小贴士29钓鱼邮件防范办公邮箱不乱用，到处注册风险多16外出办公VPN被定义为通过一个公用互联网络建立一个临时的、安全的

连接，是一条穿过混乱的公用网络的安全、稳定隧道，使用这

条隧道可以对数据进行几倍加密，达到安全使用互联网的目的。

公司资料建立服务器资源

建立VPN系统，无论员工出差或是在家都能时刻访问内网资源工作篇3017移动通讯安全移动通讯工具相较台式机、笔记本等有便携常用的特点，智能

手机、APP的普及也给工作沟通带来方便的同时，也加大了信

息安全、隐私数据泄露的风险。越来越多的黑客专门针对移动通讯工具研究漏洞并窃取数据。

工作沟通的工具和日常社交的工具区分开

手机中安装移动安全软件，进行骚扰拦截，防范短信电话的诈骗风险

针对重要的平台，开启双因素认证，可绑定常用的手机邮箱

APP的权限根据需要进行开通工作篇3117工作篇3218两方面进行信息安全意识培训工作篇生活篇3319生活篇个人隐私各种软件APP的注册登录对个人信息的使用，使得个人隐私信息已经成为信息产业中重要的生产资料。广告投放，定向金融服务，保险，很多厂商都根据收集到的个人信息定向销售各类产品。但是个人信息的泄露，也让不法分子有了可乘之机。

扩充了不法分子的密码字典

冒充别人注册各类网上银行账号

利用网站找回密码机制，修改泄露信息人的账号密码

贩卖信息人的敏感信息以牟利3420善用法律维权，当发现个人信息泄露的确凿证据时，积极向监管单位进行举报。培养安全意识，做到不主动透露个人信息，不被利益诱惑泄露个人信息；养成安全习惯，如密码设置、软件及时更新、数据备份、不随意连接wifi、不随意扫描二维码；生活篇3522密码安全我们日常接触到的计算机、手机开码、邮箱登陆密码、微信密码、支付密码等，实际上是一种简单初级的身份认证手段，是个人网络信息安全的一把钥匙，也是保护个人网络信息安全的第一步。

单一的字符类型，并少于8位

最常被人使用的弱口令，如123456，888888

包含名字、生日、手机号等关联密码

所有系统都使用相同的用户名和密码口令生活篇3623生活篇密码的四项基本原则密码是所有帐号安全的基本保障，设置密码一般需遵守以下原则：

12位以上

数字+字母+特殊符号

定期修改（建议180天）

支付、社交、邮箱等核心帐号单独设密码动脑时间你能在2分钟内记住下面三个密码吗？哪一个密码最安

全？你知道怎样构造一个又长又好记的密码吗？chuangqianmingyueguangyishidishangshuangxiaobaitu2baiyoubai3liangzhierduoshuqilai4@xiyangyang#yuhuitailang$123特别提示：

帐号一旦被盗，应立即修改所有其他相关帐号的密码

短信验证码是一种动态的密码，千万不要告诉任何人特殊口令等情况（例如：gjgw@123QY、Zhangqiang@2022、Qa%1234567890、1qaz2wsx等）。373839404124二维码扫描扫码登记、扫码查询、扫码支付，2020年对二维码应用掀起了一波热潮，也让不发分子看到了可乘之机。二维码的安全隐患问题日趋突出。

病毒二维码取代正规二维码

二维码被伪造，重复贴码等

二维码扫描及信息填写没有必要生活篇4225不随意扫描陌生二维码扫码前确认二维码的来源正规，渠道官方在移动终端安装杀毒软件等相应的防护程序，及时提醒有害信息并删除。生活篇4325生活篇4426APP权限为了保证安全性，在安装和首次打开APP的过程中，通常会弹出提示要求用户授予权限。但是，APP需要的是否是全部的权限，被开通的权限是否会有未经同意擅自泄露信息、擅自发送短信的风险，这些是生活中常见的问题，也是目前亟需解决的问题。

获取通讯录数据并发送短信等

擅自录音

访问好友信息进行广告推送生活篇4527应用程序安装或首次打开时，认真阅读APP要求的权限，仅授予必要的权限慎用换脸软件、或其他上传个人隐私信息的APP

软件后续使用过程中，如果发现有未打开的权限，可通过设置中权限管理手动授权APP或小程序的详情页面，通常可以看到当前被授予的权限，其中敏感权限可进行手动关闭生活篇4628物联网设备物联网带来便利的同时，也给用户带来了网络攻击和身份盗用、隐私暴露等问题。网络犯罪分子可利用社会工程学或系统漏洞来远程访问设备或对用户使用造成严重破坏。掏出手机与家中的智能设备相连：

在夏天提前打开空调，在冬天提前打开加湿器

使用摄像头实时查看家里的情况

远程打开扫地机器人，清扫环境生活篇4729社会工程学社会工程学是一种通过对目标人心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密,社会工程学需要搜集大量的信息针对对方的实际情况，进行心理战术的一种手法。社会工程学是一种黑客攻击方法，利用欺骗等手段骗取对方信任，获取

情报。国内的社会工程学通常和人肉搜索进行联系起来，但实际上人肉搜索并不等于社会工程学。总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问安全小贴士4829492950295129522953295430（LBS）基于位置的服务可以在我们需要的时候提供帮助，但也可能成为坏人的入口；地理位置信息地理位置信息安全的泄露主要包含两个方面自身疏忽朋友圈视频中明显的位置标识，蓄意作案的人可能根据位置跟踪，或社会工程学对亲属实施盗窃欺诈的行为。生活篇5531手机应用过程中，注意关闭位置定位服务，需要时再打开在未完成的行程时，不发布含有明显地理标识的照片或视频社交软件中，对好友认证提高防范意识，定期整理通讯录生活篇5630生活篇5730生活篇5832手机丢失手机，作为日常使用频率最高的生活工具，也大大的增加了丢失以及丢失后被盗用信息的可能。当丢失的手机落入不发分子手中，他们会想尽办法的得到甚至修改开码，暴力破解不成，也会应用其他钓鱼链接等其他方式进行尝试。手机丢失生活篇5933生活篇

设置开码

指纹识别

面部识别

远程锁定和擦除等功能

第一时间补办电话卡

解绑原手机中社交账号、支付账号等核心应用

告知家人朋友，避免上当受骗

收到手机找回的邮件要谨慎，预防钓鱼邮件6034电信诈骗网络诈骗的手段多种多样，其中电信诈骗是应用最多的诈骗手段。电信诈骗不仅有冒用他人身份这一种诈骗手段、利用恶意链接与挂马页面，也是一种手段。手机中毒后，黑客通过监听、截获短信等方式，结合其他途径获得的身份证、银行卡、支付账号进行盗刷盗用。

不要点击短信中的可疑链接

及时升级手机系统与应用软件

对疑似套取信息或金钱往来者进行身份核验生活篇6135身份冒充金钱诱惑有奖活动消费退款网络诈骗的手段多种多样，已经形成了一条完整的违法产业链。网络诈骗的不发分子结成团伙作案，各环节互不认识但分工写作、勾连紧密安全小贴士6237切记，切忌！63

使用容易猜测的口令，或者根本不设口令

将密码写在便签上，贴在计算机旁提醒

开着计算机离开，就像离开家却忘记关灯那样

轻易相信来自陌生人的邮件，并好奇的打开邮件附件

在系统更新和安装补丁上总是行动迟缓

重要资料未正确销毁，随意丢弃在垃圾桶里

只关注外来的威胁，忽视企业人员的问题

事不关己高高挂起，不报告安全事件

口无遮拦，上当受骗，泄漏敏感信息38总结643939安

全

意

识

无论是对个人还是企业都是一笔宝贵的财富40案例-震网-超级破坏武器，定向攻击基础设施2010年以美国对伊朗的“震网”行动为代表，真正拉开了网络病毒作为“超级破坏性武器”，并且改变战争模式的序幕。作为完全由代码组成的网络武器，“震网”病毒以伊朗核设施使用的西门子监控与数据采集系统为进攻目标，通过控制离心机转轴的速度来破坏伊朗核设施。“震网”病毒本质上是一种利用“零日漏洞”进行攻击的病毒，也就是0-day，是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。66“震网”病毒潜入伊朗核设施后，伊朗近1/5、上千台离心机直接发生损毁或爆炸，感染了20多万台计算机，导致1000台机器物理退化，并使得伊朗核计划倒退了两年。同时也导致放射性元素铀的扩散和污染，造成了严重的环境灾难。离心机是一种高度精密的仪器，通过高速旋转来实现核材料的浓缩提纯。低浓缩铀则可用于发电，纯度超过90%即为武器级核材料，可用于制造核武器。案例-全球历年关基网络攻击事件6740案例-俄乌冲突导致全球网络对抗加剧6840