网络安全公益科普知识手册

网络安全为人民

网络安全靠人民

国家网络安全宣传周网络安全知识公益科普

如何应对常见网络安全风险？

某某某市网信办

网络安全为人民

网络安全靠人民

万物互联的时代，机遇与风险并存。

要保证信息通信技术及产业的长期健康发展，网络安全是基础，信息安全是条件。网络平台不安全，平台所承载的数据就不安全；网络数据不安全，数据所承载的信息就不安全；信息内容不安全，各种网络应用就不安全。 

没有网络安全就没有国家安全，没有信息化就没有现代化。在信息时代，网络安全事关国家长治久安，事关经济社会发展和人民群众福祉。 

互联网通达亿万群众。随着数字化进程的加速推进，广大人民群众对网络安全、数据安全、个人信息安全的关注度与日俱增。 

2019年起，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展App违法违规收集个人信息专项治理。先后制定实施《App违法违规收集使用个人信息行为认定方法》等多项制度规范，采取公开通报、责令整改、下架等处罚措施，有力震慑了违法违规行为。 

《网络数据安全管理条例》《数据出境安全评估办法》等配套实施细则正在制定并已公开征求意见，数据安全和个人信息保护法律法规体系框架已初步确立。 

电信诈骗、黑客攻击、钓鱼软件等涉及老百姓切身安全利益的违法犯罪行为得到有力惩治，数据安全和个人信息保护持续推进。 

 随着社会信息化深入发展，互联网对人类文明进步将发挥更大促进作用。但与此同时，互联网领域的问题也日益凸显，网络犯罪、网络监听、网络攻击等时有发生。 

 应对网络安全风险挑战，需要防患于未然。《国家网络安全事件应急预案》的出台促使金融、能源、通信、交通等各行各业有效建立应急机制，不断完善安全防护体系，持续提升应急响应处置能力。 

网络安全为人民，网络安全靠人民。 

站在新的历史起点上，我国将全面加强网络安全保障体系和能力建设，不断打造网络安全工作新格局。

假冒热点

个人信息保护

恶意二维码

口令安全

勒索软件

钓鱼网站

电信诈骗

垃圾邮件

常见网络安全风险有右侧几种，那我们该如何应对呢？

01/假冒热点

手机上网有点贵，蹭网可省流量费。目前，家用无线宽带路由器非常普及。受无线信号传输距离限制，商业机构通常使用多个接入点提供区域信号覆盖。

定义

免费热点见就连，当心背后有风险。IC、IP、IQ卡，统统可能丢密码！攻击者利用人们节省流量费的心理，架设假冒的Wi-Fi热点，对受害人进行窃取数据、注入恶意软件、下载有害内容等侵害。一台笔记本、一块无线网卡、一套网络包分析软件、一根天线就可以伪造一个Wi-Fi网络，成本非常低，技术要求也不高。

仔细辨认真伪：向公共场合Wi-Fi提供方确认热点名称和密码；无需密码就可以访问的Wi-Fi风险较高，尽量不要使用。 

避免敏感业务：不要使用公共Wi-Fi进行购物、网上银行转账等操作，避免登录账户和输入个人敏感信息。如果要求安全性高，有条件的话可以使用VPN服务。

关闭Wi-Fi自动连接：黑客会建立同名的假冒热点，利用距离近信号强等优势成为直接入点的“邪恶双胞胎”。一旦手机自动连接上去，就会造成信息的泄露。

注意安全加固：为Wi-Fi路由器设置强口令以及开启WPA2是最有效的Wi-Fi安全设置。

运行完全扫描：安装安全软件，进行Wi-Fi环境等安全扫描，降低安全威胁。

风险

防范

建议

02/勒索软件

勒索软件是通过锁定系统屏幕或锁定用户文件来阻止或限制用户正常使用计算机，并以此要挟用户支付赎金的一类恶意软件。勒索软件的吓人策略包括：锁定屏幕、删除备份文件、加速删除文件、提高赎金金额等。赎金形式包括：真实货币、比特币以及其它虚拟货币。

定义

网页挂马传播 ：用户不小心访问了恶意的或被攻破的网站，浏览器自动下载勒索软件。

邮件传播 ：作为垃圾邮件的附件。

社交网络传播 ：以图片或者其它恶意文件为载体传播。

漏洞传播 ：利用攻击套件投到有漏洞的系统。

捆绑传播 ：被其它恶意软件作为载荷或下裁。

防毒杀毒：尽量到官方网站下载软件，安装正规杀毒软件，运行下载软件之前先进行病毒扫描。

拒付赎金 ：支付赎金会助长攻击者的气焰。攻击者还会通过用户支付赎金速度对用户财务、数据价值等情况进行分析，可能从此被盯上。

做好备份：使用光盘/移动硬盘等介质，对文档、邮件、数据库、源代码、图片、压缩文件等各种类型的数据资产定期进行备份，并脱机保存。

及时更新：关注操作系统安全公告，及时安装安全补丁，尽早堵住漏洞。

封堵端口：关闭无用的计算机服务/端口，开启Windows防火墙，减少被攻击的“通道”。

传播方式

防范

建议

03/个人信息保护

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。

个人敏感信息，是指一旦遭到泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

定义

风险

完全撕碎快递单

分享送流量确认是否是官方产品或业务活动，否则涉嫌诱导分享。

旅行途中尽量不晒图。

朋友圈设置访问规则，限制访问范围（如：关闭微信/我/设置/隐私/允许陌生人查看十张照片）。

防范

建议

随手乱丢快递单，泄露姓名、电话号码、工作地点或住址。

星座、性格测试，泄漏姓名、出生年月。

分享送流量，不法分子确认手机号是有效的。

抢红包输入个人信息，泄露姓名、手机号。

机构数据泄露，账户信息泄露。

凡是要求输入个人信息领取的都是假红包。

拍照时关闭GPS，删除图片属性中的位置相关信息，发送照片的截屏图。

关注信息泄露事件、及时调整设置口令、更换信用卡等。

拒绝参加星座、性格测试。

微博发帖、朋友圈分享旅行信息，家中没人可能引来窃贼。

晒图，照片元数据中包含GPS位置信息。

允许陌生人查看社交网络个人档案、陌生人查看朋友圈图片，泄露生日、爱好、电话号码等信息。

04/钓鱼网站

网络套路深,遍地都是坑。钓鱼网站是一种网络欺诈行为,指不法分子仿冒真实网站地址以及页面内容，或者利用真实网站漏洞在某些网页中插入危险代码，以此来窃取用户银行或信用卡帐号、密码等私人资料。

定义

方式

察“颜”观色：留意网站配色、内容、链接等细微之处。但对攻击者完整克隆网站的钓鱼方式无法适用。

学会悬停：不盲目相信搜索引擎的推荐，不乱点击邮件、微信、微博、短信中的网址，尤其是短网址。

注意提示：已被举报加入黑名单的网站，安全浏览器会提示“危险网站”。

细辨网址：如工商银行网址icbc.com.cn被混淆为lcbc.com.cnwww.microsoft.com被混淆为www.mcrosoft.com。

防范

建议

以公司周年庆、幸运观众、低价机票、电话充值、征婚交友为名，诈骗用户填写身份证号码、银行账户等信息。

模仿支付宝、网上银行等网站，窃取用户的账号及密码等信息。

电信诈骗是指犯罪分子通过电话、短信或网络方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人给犯罪分子打款或转账的犯罪行为。

定义

方式

冒充社保、医保、银行、电信等工作人员。以社保卡、医保卡、银行卡消费、扣年费、密码泄露、有线电视欠费、电话欠费为名，以自己的信息泄露，被他人利用从事犯罪，以给银行卡升级、验资证明清白，提供所谓的安全账户，引诱受害人将资金汇入犯罪嫌疑人指定的账户。

冒充公检法、邮政工作人员。以法院有传票、邮包内有毒品，涉嫌犯罪、洗黑钱等，以传唤、逮捕、以及冻结受害人名下存款进行恐吓，以验资证明清白、提供安全账户进行验资，引诱受害人将资金汇入犯罪嫌疑人指定的账户。

以销售廉价飞机票、火车票及违禁物品为诱饵进行诈骗。犯罪嫌疑人以出售廉价的走私车、飞机票、火车票及枪支弹药、迷魂药、窃听设备等违禁物品，利用人们贪图便宜和好奇的心理，引诱受害人打电话咨询，之后以交定金、托运费等进行诈骗。

冒充熟人进行诈骗。嫌疑人冒充受害人的熟人或领导，在电话中让受害人猜猜他是谁，当受害人报出一熟人姓名后即予承认，谎称将来看望受害人。隔日，再打电话编造因赌博、嫖娼、吸毒等被公安机关查获，或以出车祸、生病等急需用钱为由，向受害人借钱并告知汇款账户，达到诈骗目的。

利用中大奖进行诈骗。方式主要分三种。①预先大批量印刷精美的虚假中奖刮刮卡，通过信件邮寄或雇人投递发送；②通过手机短信发送；③通过互联网发送。受害人一旦与犯罪嫌疑人联系兑奖，对方即以先汇“个人所得税”、“公证费”、“转账手续费”等理由要求受害人汇款，达到诈骗目的。

利用无抵押贷款进行诈骗。犯罪嫌疑人以“我公司在本市为资金短缺者提供贷款，月息3%，无需担保，请致电某某经理”，一些企业和个人急需周转资金，被无抵押贷款引诱上钩，被犯罪嫌疑人以预付利息等名义诈骗。

利用高薪招聘进行诈骗。犯罪嫌疑人通过群发信息，以高薪招聘“公关先生”、“特别陪护”等为幌子，称受害人已通过面试，要向指定账户汇入一定培训、服装等费用后即可上班。步步设套，骗取钱财。

QQ聊天冒充好友借款诈骗。犯罪嫌疑人通过种植木马等黑客手段，盗用他人QQ，事先就有意和QQ使用人进行视频聊天，获取使用人的视频信息，在实施诈骗时播放事先录制的使用人视频，以获取信任。分别给使用人的QQ好友发送请求借款信息，进行诈骗。

虚构重金求子、婚介等诈骗。犯罪嫌疑人以张贴小广告、发短信、在小报刊等媒体刊登美女富婆招亲、重金求子、婚姻介绍等虚假信息，以交公证费、面试费、介绍费、买花篮等名义，让受害人向其提供的账户汇款，达到诈骗的目的

电商网购诈骗。诈骗分子来电话时，自称某购物平台卖家，以货物有问题为名给您退款，并准确说出您在某购物平台购买货物的信息，增加可信度。随后，诈骗分子会通过聊天软件或短信发来退款链接，但里面的链接其实是虚假退款网站，诱使您输入银行账号和密码，最后套取您的验证码，完成诈骗。

防范

建议

不轻信。不要轻信来历不明的电话和手机短信，不管不法分子使用什么甜言蜜语、花言巧语，都不要轻易相信，要及时挂掉电话，不回复手机短信，不给不法分子进一步布设圈套的机会。

不透露。巩固自己的心理防线，不要因贪小利而受不法分子或违法短信的诱惑。无论什么情况，都不向对方透露自己及家人的身份信息、存款、银行卡等情况。如有疑问，可拨打110求助咨询，或向亲戚、朋友、同事核实。

不转账。学习了解银行卡常识，保证自己银行卡内资金安全，决不向陌生人汇款、转账;公司财务人员和经常有资金往来的人群等，在汇款、转账前，要再三核实对方的账户，不要让不法分子得逞。

要及时报案。万一上当受骗或听到亲戚朋友被骗，请立即向公安机关报案，可直接拨打110，并提供骗子的账号和联系电话等详细情况，以使公安机关开展侦查破案。

06/口令安全

口令俗称密码，是人们向电脑/网站等证明自己身份的一串字符，如123456、1q2w3e、po$$w0rd等。

定义

风险

建议采用一些分级法来保证账号的安全。首先，对于核心账号如：支付宝，淘宝，微信等账号会牵扯到金钱和朋友联络等核心利益。对于这类账号建议采用字母大小写、数字和符号混合来作为密码。

次级重要的账号，建议用核心账号快捷登录。这样的方式，一方面不用记录各种种类繁多的账号和密码，而且登录这些账号也非常方便。

偶然用一次的账号，属于最不重要的账号了。这类账号建议用一个手机小号作为账号注册，这样可以避免很多小号的营销短信的骚扰。

防范

建议

暴力破解：尝试所有可能的口令，越简单越短越易猜！例如，6位的数字口令有100万种可能，但借助口令破解软件可以读秒破解。

字典攻击：标准单词拿来用，个人信息做变换。自己记得很简单，破解起来更不难。以标准词典或根据用户个人信息构造可能口令列表，即可进行快速搜索攻击。

网络嗅探：口令不光本地用，还会经常上网。如果传输没加密，黑客截获没商量。为了对抗嗅探器，可找“Sniffer”来帮忙！http不加密，https做改良！（注：https=http+SSL!更安全一些！）

键盘记录器：软件木马人尽皆知，硬件的键盘记录器也需当心。爱上网吧、怕被盗号的要注意了！

拖库和撞库：一个网站的用户名口令数据库泄露（被拖库），攻击者拿着用户名口令到其它网站撞运气！

07/恶意二维码

二维码是在平面上使用若干个与二进制数字0或1相对应图形来表示数据信息的几何形体。角落上的三个方块用于二维码扫描设备进行定位。大量用于信息获取、广告推送、优惠促销、防伪、支付等活动。

定义

方式

关注来源：对街边各种二维码提高警惕，不扫描不明来源的二维码，如假冒的停车罚单上的付款码等。

安全扫描：利用手机管家等二维码安全检测软件协助判别是否是恶意网址，背后是否有恶意软件。

分辨真假：有骗子在共享单车上的解锁二维码上覆盖粘贴一层新的、底色透明的二维码、或打印纸张贴在车上。要求转账或下载软件时要注意辨别资金去向和软件来源。

防范

建议

将病毒或木马挂在网上，得到网址。

利用二维码生成软件，将网址转换成二维码。

通过各种途径传播恶意二维码，使用煽动性的话语诱骗用户扫描，下载和安装木马。

08/垃圾邮件

垃圾邮件还没有一个非常严格的定义。一般来说，凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件都是垃圾邮件。

2003年2月26日，中国互联网协会颁布的《中国互联网协会反垃圾邮件规范》中的第三条明确指出，包括下述属性的电子邮件称为垃圾邮件：①收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件；②收件人无法拒收的电子邮件；③隐藏发件人身份、地址、标题等信息的电子邮件；④含有虚假的信息源、发件人、路由等信息的电子邮件。

定义

危害

占用大量网络带宽，浪费存储空间，影响网络传输和运算速度，造成邮件服务器拥堵，降低了网络的运行效率，严重影响正常的邮件服务。

泛滥成灾的商业性垃圾信件，每5个月数量翻倍，国外专家预计每封垃圾邮件所抵消的生产力成本为1美元左右。我国开始被其他国家视为垃圾邮件的温床，许多IP地址有遭受封杀的危险，长期下去可能会使我国成为“信息孤岛”。 

垃圾邮件以其数量多、反复性、强制性、欺骗性、不健康性和传播速度快等特点，严重干扰用户的正常生活，侵犯收件人的隐私权和信箱空间，并耗费收件人的时间、精力和金钱。 

垃圾邮件易被黑客利用，危害更大。2002年2月，黑客先侵入并控制了一些高带宽的网站，集中众多服务器的带宽能力，然后用数以亿计的垃圾邮件发动猛烈攻击，造成部分网站瘫痪。 

严重影响电子邮件服务商的形象。收到垃圾邮件的用户可能会因为服务商没有建立完善的垃圾邮件过滤机制，而转向其他服务商。 

妖言惑众，骗人钱财，传播色情、反动等内容的垃圾邮件，已对现实社会造成严重危害。

垃圾邮件还可能破坏公司的商业关系，引起法律诉讼，给双方带来昂贵的代价。

不轻易留下电子邮件地址：每次给某个人留下电子邮件地址时，被列入垃圾邮件发送者的发信清单中的机会就会增加一些。大多数网上购物站点都要求消费者留下电子邮箱地址。有些实体商店提供一些打折或免费商品，需要顾客留下电子邮箱地址。消费者应该了解到虽然留下电子邮箱地址会获得一点好处，但也可能使电子邮箱地址被垃圾邮件的制造者获得。

使用电子邮件的过滤功能：大多数电子邮件应用程序都有过滤功能，使用者能够封锁指定地址的邮件。如果收件人经常从同一个因特网域中收取垃圾邮件，就可以封锁来自这个用户的所有邮件。然而，封锁一个因特网域可能会导致这个域中的所有邮件都无法进入收件人的邮箱，即使是想要的邮件。所以只有在确定来自这个域的所有邮件都是垃圾邮件时才应使用这个特性。垃圾邮件产生的影响在物理上可能不会造成破坏性，但在经济上却具有破坏性。垃圾邮件使用系统资源，降低了员工的工作效率。雇员花费时间从垃圾邮件中进行筛选，降低了工作效率。有些雇员可能会阅读垃圾邮件，并点击信件中所包含的恶意URL或恶意附件，感染病毒并进一步产生连锁反应。垃圾邮件利用众多的业务使服务器超载，降低了服务器发送、接收与业务相关的信件的能力。过多的业务量减缓了系统运行，甚至造成邮件服务器的瘫痪。

防范

建议

垃圾邮件的发送者不断采用高级的新方法来发送他们的邮件，以下几种方法可以用来减少系统被攻击的危险：

垃圾邮件仍然是不可忽视的问题。虽然已经努力阻止垃圾邮件进入邮箱，但用户每天收到垃圾邮件的数量仍在不断地增加。一个防止垃圾邮件的最有效方法是不要轻易告诉别人重要的电子邮件地址，只告诉值得信任的团体。如果收到大量的来自一个地址的垃圾邮件，可以利用电子邮件应用程序中的过滤功能来阻挡所有邮件进入该地址。

09/DDoS攻击

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

定义

方式

通过使网络过载来干扰甚至阻断正常的网络通讯；

通过向 服务器提交大量请求，使服务器超负荷；

阻断某一用户访问 服务器；

阻断某 服务与特定系统或个人的 通讯。

主机设置：所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种： 关闭不必要的 服务 ，限制同时打开的Syn半连接数目 ，缩短Syn半连接的time out 时间 ，及时更新 系统补丁。

网络设置：网络设备可以从 防火墙与 路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。

1. 防火墙 ：禁止对主机的非开放 服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用 防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的 服务器被当做工具去害人。 

2. 路由器 ：设置SYN 数据包流量速率 升级版本过低的ISO 为 路由器建立log server

防范

建议

网络安全|文明用网，文明上网

养成文明上网好习惯

1

不在网上浏览不良信息：针对网上不良信息，要自觉抵制，避免浏览色情、暴力网站，遇到不良网站时，应当积极进行举报。

不在网上侮辱他人：我们始终要牢记，网络决非“法外之地”，网民更不是“法外之人”，有表达就应有责任，有自由就该受约束，有言论更该有边界。

增强自我保护意识：在网络技术日新月异的时代，学习运用网络是每个人适应社会发展的必然选择和要求，要学会准确识别他人真实用意，增强自我保护意识。

传递正向能量 ：我们要以网络为载体，聚向善之力，传递社会正能量，传播道德新风尚，推动形成适应新时代的网络文明。

保持头脑清醒，警惕谣言

自觉抵制谣言，负能量言论：互联网不是法外之地，要自觉增强底线意识，遵守法律法规，守法用网、文明上网。对于发布传播虚假信息，造成不良社会影响的，公安机关将依法依规予以严肃查处，追究相关法律责任。

做网络文明使者：自觉抵制、反驳网络上的不科学、不文明言论。不随意转发网络平台中没有权威和正规来源的截图、视频、音频信息。

正确树立法治意识，增强辨别能力：自觉规范网络行为，积极弘扬正能量，共同维护健康有序的网络环境和社会秩序。

对未经正式发布的消息，不轻信不盲从：对未经证实的消息以及地域不清、指向不明的信息理性对待，不轻信、不盲从、不发布、不传播、不评论。

2

从衣食住行到社交娱乐

互联网

已渗透到社会生活的各个方面

改变着人们的生活

良好的网民素质

安全可靠的网络秩序

已然成为文明城市建设的重要方面

构建健康清朗的网络空间

人人都应尽一份力

网络安全为人民，网络安全靠人民