9月5日，2022年國家網絡安全宣傳周啟動，來自國家計算機病毒應急處理中心和360發布的調查報告顯示，美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)多年來對我國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了相關網絡設備，疑似竊取了高價值數據，其中就包括4月對西北工業大學(以下簡稱“西工大”)的網絡攻擊。近年來，國家針對個人信息保護和政企網絡安全保護出臺了多部法律法規，倡導全民關注。面對看不見的網絡安全防線，普通用戶應該如何保護個人信息，除了要關注傳統的電信、網絡安全保護，還有哪些場景存在網絡安全風險?

國家網絡安全宣傳周啟動

9月5日-11日，中央宣布部、中央網信辦等聯合在全國范圍內統一舉辦2022年國家網絡安全宣傳周，主題是“網絡安全為人民，網絡安全靠人民”。安全周期間，全國各省(區、市)統一組織本行政區內的網絡安全宣傳周活動，各有關中央部門、人民團體組織指導本系統本行業的活動，其中包括網絡安全教育云課堂、網絡安全賽事、網絡安全進基層，另外，網安周期間還將安排校園日、電信日、法治日、金融日、青少年日、個人信息保護日等主題日活動。

國家網絡安全宣傳周啟動當天，相關話題均登上微博、百度熱搜。當天掛在熱搜上的還有西工大遭網絡安全攻擊事件。

根據360等發布的“關于西工大發現美國NSA網絡攻擊調查報告”，6月22日，西工大發布《公開聲明》稱，該校遭受境外網絡攻擊。陜西省西安市公安局碑林分局隨即發布《警情通報》，證實在西工大的信息網絡中發現了多款源于境外的木馬程序樣本，西安警方已對此正式立案調查。初步判明相關攻擊活動源自美國(NSA)的TAO。

“360主要通過多年積累的海量安全大數據，以及獨立捕獲大量高級復雜的攻擊程序樣本，對美國NSA攻擊事件進行了追蹤分析，還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭”，360安全專家邊亮告訴北京商報記者。

調查發現，近年，美國NSA下屬TAO對中國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了數以萬計的網絡設備，包括：網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火墻等，竊取了超過140GB的高價值數據。

網絡攻擊事件非個例

對于西工大遭到美國國家安全局網絡攻擊一事，外交部發言人在9月5日舉行的中國外交部例行記者會上表示，中方對此強烈譴責。美國應立即停止對他國進行竊密和攻擊，為維護網絡安全作出建設性作用。外交部發言人毛寧指出，中方堅決反對任何形式的網絡攻擊。維護網絡安全是國際社會共同責任，愿同國際社會一道，攜手構建網絡空間命運共同體。

根據調查報告，美國NSA還利用其控制的網絡攻擊武器平臺、“零日漏洞”(0day)和網絡設備，長期對中國的手機用戶進行無差別的語音監聽，非法竊取手機用戶的短信內容，并對其進行無線定位。

事實上，2020年360曾公開披露，美國中央情報局CIA攻擊組織(APT-C-39)對我國進行長達十一年的網絡攻擊滲透。在此期間，我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等多個單位均遭到不同程度的攻擊。

2022年3月，360獨家披露了美國國家安全局NSA(APT-C-40)為達到美國政府情報收集目的，針對全球發起大規模網絡攻擊，其中我國是NSA組織的重點攻擊目標之一。攻擊對象包括政府、金融、科研院所、軍工、航空航天、醫療行業等重要基礎設施，潛伏滲透的時間長達近十年。

邊亮告訴北京商報記者，“截至今年，360已累計發現了50個其他國家背景的APT(高級持續性威脅)組織，監測到5200多起針對中國的國家級網絡攻擊行為。2022年上半年，360捕獲到對中國地區發起攻擊涉及的組織12個”。

個人信息安全保護口訣：會識別、關權限、安裝反詐App

由于越來越多的網站、App要求用戶必須實名注冊和登錄，這使普通網民對個人信息安全保護的關注度越來越高。

國家相關部門也已發布《網絡安全法》《數據安全法》《個人信息保護法》等多項法律法規。自2021年11月1日施行《個人信息保護法》規定，在取得個人的同意;為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;為履行法定職責或者法定義務所必需等情況下，個人信息處理者方可處理個人信息。基于個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。

作為普通用戶，應該怎樣防范不必要的個人信息泄露?奇安信行業安全研究中心主任裴智勇向北京商報記者總結了三項能力：“一是要掌握一定的詐騙信息識別能力，努力避免通過電話、短信、郵件、社交軟件或釣魚網站，向陌生人泄露自己的個人信息;二是要學會使用智能手機的權限管理功能，關閉App非必要的個人信息獲取權限，最大限度地保護個人信息不被商家過度獲取;三是安裝國家反詐中心App或全民反詐App，安裝手機安全軟件，減少惡意軟件或詐騙電話攻擊的風險”。

作為政企機構，特別是經營業務本身涉及大量公民個人信息的政企機構，如互聯網企業、有關政府部門、社會組織，以及金融、能源等社會服務型行業機構，裴智勇的建議是：“需要把用戶的或服務管理對象的個人信息保護工作，作為網絡安全工作的重點來抓，從業務設計、系統開發、數據梳理等多個方面，全面加強數據安全的建設與運維，既要防外賊，又要防內窺;既要防泄露，又要防勒索;既要做好數據加密，又要做好數據災備。”

那些網絡安全風險新場景

除了從攻擊對象出發關注網絡安全問題，網絡安全場景也有新的變化，其中智能汽車安全是個典型。

根據相關數據，2016年到2020年，全球圍繞汽車網絡安全方面發生的事件數量增長了近10倍，IDC數據顯示，2020年全球智能網聯汽車出貨量4440萬輛，到2024年全球智能網聯汽車出貨量將達到約7620萬輛，全球出貨的新車中超過71%將搭載智能網聯系統。2021年特斯拉全球服務器宕機導致車主無法通過App 解鎖車輛事件，將智能汽車網絡安全問題推上風口浪尖。

一般來說，車主通過鑰匙、手機App即可進行車輛解鎖、遠程啟動等操作。但安恒信息研究人員發現，通過破解，只要知道這個車架號，即可獲取車輛的控制權限，在不需要鑰匙的情況下，即可開關車門、開關后備箱等。

安恒信息總經理吳卓群告訴北京商報記者，“車輛被控制后，可以在不知情的情況下安裝惡意程序。不法分子可以植入一個惡意二維碼，冒充綁定系統。一旦不小心掃碼，就會泄露手機號碼等個人信息”。

以行車記錄儀為例，行車記錄儀具備錄音、錄像等功能，也存儲著大量隱私數據。安恒信息研究人員發現，部分行車記錄儀也存在著漏洞，行車記錄儀在啟動時會釋放一個WiFi熱點(默認無密碼)，當該熱點被惡意攻擊者接入時，就可以訪問行車記錄儀的一些服務。按正常流程這些服務需要獲取到行車記錄儀的授權(如登錄賬號密碼或App認證)才可以訪問，但惡意攻擊者可以通過行車記錄儀的安全漏洞進行未授權訪問，查看當前行車記錄儀的實時視頻，還可以獲取行車記錄儀系統內部存儲的歷史視頻，比如行車軌跡、甚至于車內交流的聲音等等，危害到行車記錄儀車主的個人隱私。

針對車聯網存在的安全風險，吳卓群向車主建議：“1、要及時進行系統更新;2、不使用時，盡量關閉電源，關閉不必要的藍牙、WiFi等功能，設置強密碼并定期修改密碼。我們也呼吁車企，能夠加強車主的數據安全保護。”(記者 魏蔚)

關鍵詞： 國家網絡安全宣傳周 西北工業大學被攻擊真相 個人信息安全保護口訣 智能汽車安全