行业趋势 - 数字化和智能化浪潮席卷全球导致关键基础设施面临的安全威胁日益严峻 [1] - 网络攻击从传统IT系统转向工业控制系统和物联网系统等关键数字基础设施 [1] - 关键信息基础设施安全保护需要采用系统工程方法构建技术体系、管理体系及运营体系 [1] 公司业务 - 公司已布局香港市场三年有余并与特区政府部门、公营机构及金融单位建立合作 [2] - 公司成为香港网络安全市场的中坚力量及代表厂商 [2] - 公司将主力承担粤港澳大湾区第十五届全运会的香港、澳门及广东地区网络安全防护任务 [2] 市场机遇 - 香港关键基础设施保护条例将于2026年1月1日实施 [2] - 公司希望与各关键基础设施行业用户携手筑牢网络安全防护屏障 [2]

2025年国家网络安全宣传周 - 活动于2025年9月15日至21日举行，主题为“网络安全为人民、网络安全靠人民”，旨在以高水平安全守护高质量发展 [1] - 宣传周将深入学习宣传贯彻习近平总书记关于网络强国的重要思想，并积极宣贯《网络安全法》《数据安全法》《个人信息保护法》等多项法律法规和政策文件 [1] - 活动目标包括展现党的十八大以来网络安全领域的发展成就，并向全社会普及网络安全知识和技能，以应对电信诈骗、信息泄露、网络谣言、恶意软件等隐患 [1] 网络安全法律法规体系 - 中国网络安全法律法规体系已基本形成，网络空间不是法外之地 [12] - 《中华人民共和国网络安全法》于2017年6月1日起施行，是中国第一部全面规范网络空间安全管理的基础性法律 [3] - 《关键信息基础设施安全保护条例》于2021年9月1日起施行，是中国首部专门针对关键信息基础设施安全保护工作的行政法规 [4][5] - 《中华人民共和国数据安全法》于2021年9月1日起施行，是中国数据领域的基础性法律和国家安全领域的重要法律 [6][7] - 《中华人民共和国个人信息保护法》于2021年11月1日起施行，旨在保护个人信息权益，规范个人信息处理活动 [9] - 《生成式人工智能服务管理暂行办法》于2023年8月15日起施行，是中国首个针对生成式人工智能服务的规范性政策 [11] 关键信息基础设施安全 - 关键信息基础设施是指能源、交通、水利、金融、国防科技工业等重要行业和领域，以及其他一旦遭破坏可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统 [14] - 认定关键信息基础设施主要考虑：对本行业关键核心业务的重要程度、遭破坏后可能带来的危害程度、对其他行业和领域的关联性影响 [17] - 典型安全事件包括：2015年乌克兰约60座变电站遭网络攻击导致140万名居民停电；2016年美国域名服务器管理机构Dyn遭攻击导致大半个互联网瘫痪；2021年美国最大成品油管道运营商Colonial Pipeline遭勒索病毒攻击导致运营中断 [17] - 保护举措包括：施行《关键信息基础设施安全保护条例》；发布并实施首项关键信息基础设施安全保护国家标准GB/T 39204-2022 [18][19] - 运营者责任包括：落实安全保护制度和责任制、安全措施与基础设施同步规划建设使用、设置专门安全管理机构、开展安全监测和风险评估、报告安全事件 [20] 网络威胁：钓鱼邮件 - 钓鱼邮件是指黑客伪装成信任的人，通过发送电子邮件诱使用户点击恶意链接或打开附件，以窃取敏感数据或实施进一步网络攻击 [22] - 电子邮件泄露途径包括：黑客从求职、婚恋等网站爬取邮箱地址；攻击网站批量窃取用户信息数据库；通过暗网买卖交换 [24] - 钓鱼邮件伪装术包括：伪造发件人地址、量身定制邮件正文骗取信任、隐藏恶意链接、在附件中添加恶意程序 [26][27][28][29] - 防护建议包括：公私邮箱分开、仔细辨认发件人地址、多渠道核实转账请求、检查链接指向网址、安装杀毒软件、不下载来历不明附件 [31] 数据安全 - 数据是指任何以电子或其他方式对信息的记录，数据处理包括收集、存储、使用、加工、传输、提供、公开等，数据安全是确保数据处于有效保护和合法利用的状态 [32] - 数据安全威胁包括：数据窃取或泄露（如黑客攻击、员工窃取）、数据毁损（如违规篡改、破坏）、数据非法利用（如滥用大数据分析挖掘）、数据非法出境（如赴国外上市公司被要求提供审计细节等信息） [32] - 危害重要数据安全的典型案例包括：2021年李某等人在重要军事基地周边采集并向境外传送敏感气象数据；2022年美国国家安全局网络攻击西北工业大学窃取核心技术数据 [33] - 根据《数据安全法》，数据按危害程度分为一般数据、重要数据、核心数据三个级别 [34] - 加强数据安全保护的措施包括：数据处理者需建立备份、加密、访问控制等机制；互联网平台运营者需建立平台规则披露制度；重要数据处理者需明确安全负责人、制定培训计划、优先采购安全可信产品、每年开展一次数据安全评估 [35][36][37] 电信网络诈骗 - 电信网络诈骗是指以非法占有为目的，利用电信网络技术手段，通过远程、非接触方式诈骗公私财物的行为 [37] - 典型骗术包括：“杀猪盘”诈骗（通过婚恋平台聊天发展感情后引入博彩、理财平台诈骗）、“杀鸟盘”诈骗（通过高薪兼职信息吸引受害者参与刷单诈骗） [37] - 新型AI诈骗手段包括：利用AI换脸技术伪造熟人视频实施诈骗；利用AI拟声技术合成受害人声音实施诈骗 [38][39] - 防范建议包括：保护个人信息、不透露密码、通过官方渠道办理业务、将转账到账时间设定为“2小时到账”或“24小时到账”、不与他人共享屏幕、多种方式确认熟人借款请求、妥善保管银行卡不出借或出售 [40] 个人信息保护 - 个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的信息，不包括匿名化处理后的信息，处理包括收集、存储、使用、加工、传输、提供、公开、删除等 [42] - 敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息，一旦泄露或非法使用容易导致危害 [42] - 个人信息泄露途径包括：非法买卖、非法披露、非故意泄露（如设备不完善、技术不成熟、管理不规范、保护意识不足）、网络攻击（如攻击网站或手机信息数据库） [44][45][46][47] - 信息泄露危害包括：垃圾短信不断、骚扰诈骗电话接连、垃圾邮件铺天盖地、遭遇大数据“杀熟”或“人肉搜索”等恶意披露事件 [48]