网络安全法律法规体系 - 我国第一部全面规范网络空间安全管理的基础性法律《中华人民共和国网络安全法》于2017年6月1日起施行 [5] - 首部专门针对关键信息基础设施安全保护的行政法规《关键信息基础设施安全保护条例》于2021年9月1日起施行 [6] - 数据领域的基础性法律《中华人民共和国数据安全法》于2021年9月1日起施行 [7] - 用于规范汽车数据处理活动的《汽车数据安全管理若干规定（试行）》于2021年10月1日起施行 [8] - 为保护个人信息权益而制定的《中华人民共和国个人信息保护法》于2021年11月1日起施行 [9] - 为保障网络安全和数据安全而修订的《网络安全审查办法》于2022年2月15日起施行 [10] - 我国首个针对生成式人工智能服务的规范性政策《生成式人工智能服务管理暂行办法》于2023年8月15日起施行 [11] - 我国网络安全法律法规体系已基本形成 [12] 关键信息基础设施安全保护 - 关键信息基础设施是指能源、交通、水利、金融、国防科技工业等重要行业和领域的重要网络设施、信息系统 [15] - 关键信息基础设施认定规则由各行业主管部门制定，主要考虑因素包括对核心业务的重要程度、可能带来的危害程度以及对其他行业的关联性影响 [16][17] - 2015年乌克兰配电公司遭网络攻击导致约60座变电站受影响，140万名居民遭遇数小时停电 [19] - 2021年美国最大成品油运输管道运营商Colonial Pipeline工控系统遭勒索病毒攻击导致运营中断 [19] - 我国第一项关键信息基础设施安全保护的国家标准（GB/T 39204-2022）于2023年5月1日正式实施 [20] - 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护的原则，运营者需落实安全保护制度并与设施同步规划、建设、使用安全措施 [20] 数据安全保护 - 数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等 [23] - 数据安全威胁主要包括数据窃取或泄露、数据毁损、数据非法利用及数据非法出境 [23] - 2021年李某等人在重要军事基地周边采集并向境外传送敏感气象数据 [24] - 2022年西北工业大学遭受美国国家安全局网络攻击，关键核心技术数据被持续窃取 [24] - 根据《数据安全法》要求，数据分为一般数据、重要数据、核心数据三个级别 [25] - 重要数据的处理者需明确数据安全负责人、制定安全培训计划并每年开展一次数据安全评估 [26][27][28] 个人信息保护 - 个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息 [32] - 敏感个人信息包括生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹等信息及不满十四周岁未成年人的个人信息 [32] - 个人信息泄露途径包括非法披露、非法买卖以及因设备不完善、管理不规范导致的非故意泄露 [32] 网络诈骗与攻击手段 - 钓鱼邮件通过伪装成信任的人诱使用户点击恶意链接或附件以窃取信息 [21] - 鲸钓攻击针对高层管理人员，鱼叉式网络钓鱼针对组织内特定人员，商业邮件诈骗针对公司财务要职人员 [21] - 黑客通过搜索爬取特定网站、攻击网站数据库以及在暗网买卖交换等方式获取邮箱地址 [21] - 新型AI诈骗利用AI换脸和AI拟声技术伪造熟人身份实施诈骗 [30][31] - 杀猪盘诈骗通过社交软件发展感情后引导至诈骗平台进行充值 [30] - 杀鸟盘诈骗通过发布高薪兼职信息吸引受害者投钱代刷 [30]