分析典型案例,学习安全知识。公安机关侦办的各类网络乱象的典型案例值得警醒,这些真实案例可能就在身边发生。以下网络安全警示案例,供参考学习,防范“小疏忽”酿成“大隐患”。
2025年7月,国家安全部对外披露了一起“违规使用AI工具,导致数据泄密”案例:小李是某科研机构研究人员,在撰写一份研究报告时,为图方便,使用了某AI应用软件,擅自将核心数据及实验成果作为写作素材进行上传,导致该研究领域涉密信息泄露。事后,小李受到严肃处理。
国家安全部提示,使用生成式人工智能工具辅助工作时,坚决杜绝在互联网或非涉密环境中使用人工智能工具处理任何涉密信息。使用的人工智能应用软件应从正规的途径下载,避免落入“山寨”应用陷阱。
2025年6月,国家安全部发布消息,近期有间谍伪装成学生接近高校教授,企图套取我国防军工领域敏感信息。某天,国内某知名大学前沿科技领域专家杨教授,在工作邮箱中收到一封标题为“研究申请”的邮件,内容措辞模糊,自称是想报考成为杨教授学生的硕士研究生。杨教授怀疑其真实目的,于是立即联系学校保卫部门并报告国家安全机关。经调查,该邮件其名为“简历”的附件实际内置了境外间谍情报机关专研的木马程序。好在杨教授在日常科研工作中严格遵守保密管理要求,并未在该计算机中存储任何敏感信息,避免了失泄密情况的发生。
国家安全机关提示,网络“钓鱼”是境外间谍情报机关主要窃密手段之一,成本低、隐蔽性强、危害大。广大师生,要切实提高安全意识,做好安全防护。不点击不明链接,不扫描可疑二维码,不安装不明软件,不随意连接公共 Wi-Fi,不浏览非法网站,定期查杀病毒、修复漏洞。
2025年3月,不法分子在境外网上兜售舞钢市某学校个人信息数据。河南公安机关网安部门查明,相关数据泄露源头为该校智慧刷卡计费系统。由于该系统存在高危漏洞且数据未采取加密存储,系统未设置访问控制、安全认证等技术措施,导致系统数据被犯罪嫌疑人网络攻击窃取,且该校在委托第三方公司处理业务数据和个人信息时,未在合同中明确接收方的数据安全保护义务并监督其履约。当地公安机关已依法对该校予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
学校等教育机构收集处理的个人信息多且敏感,一旦泄露,可能被不法分子用于诈骗、非法信贷等违法犯罪活动,严重威胁学生群体财产和人身安全。开展数据处理活动应当依照法律、法规的规定,履行数据安全保护义务,防范数据泄露、篡改等风险,保障数据安全。
2024年11月,北碚区网信办依据《中华人民共和国网络安全法》对属地一学校因未履行好网络安全保护义务做出行政处罚。经查,该学校电脑被境外黑客组织远程控制并植入木马病毒,且未采取有效防护措施切实保障网络安全,存在较大网络数据泄露的安全风险,违反《中华人民共和国网络安全法》等互联网法律法规,北碚区网信办责令该学校全面深入整改,依法对其给予警告的行政处罚。
远程访问木马是一种通过后门实现远程控制的恶意程序,主要通过钓鱼邮件、恶意链接、软件捆绑等方式传播,实施监控屏幕、记录键盘、窃取文件、控制摄像头等恶意活动。防范恶意软件需同时安装防火墙和防病毒软件,从官方或可信来源下载软件,避免安装来路不明、可能携带病毒的软件。
2024年6月,北京某高校学生在日常学习中使用个人电脑,因设置弱密码导致设备被黑客通过暴力破解入侵。黑客在学生电脑中植入恶意扫描工具,利用该设备作为跳板,对校内网络进行自动化扫描,发现某教师服务器同样存在弱密码漏洞。攻击者通过该服务器漏洞植入病毒,最终导致服务器系统瘫痪,对校园网安全造成连带威胁。
小密码,大安全!账号密码设置的过于简单,可能会造成个人隐私信息泄露、重要信息被篡改、个人财务被盗取等问题,还有可能被黑客利用成为入侵信息系统和服务器的入口,对学校网络安全造成危害。保护账号密码安全,应设置强密码,避免使用默认的弱口令密码或简单密码。
教育领域已成为网络攻击重灾区,主要威胁集中于钓鱼邮件、系统漏洞、弱密码及第三方管理缺失,需从技术、管理和人员意识三方面协同防护。
对陌生邮件及附件保持警惕,不轻信、不点击。
定期开展反钓鱼演练,提升师生识别能力。
定期更新系统、修复高危漏洞,关闭非必要端口。
强化访问控制与安全认证,限制未授权访问。
强制使用“字母+数字+符号”组合的复杂密码,定期更换。
全面推行双因子认证,降低密码泄露风险。
与第三方合作时,合同中明确数据安全责任并定期监督履约。
对重要数据加密存储,严格管控数据处理权限。
定期组织网络安全培训,普及安全规范(如不用公网传密件、不装可疑软件)。
建立内部报告机制,鼓励及时上报安全异常。
安全无小事,须以“技术防御为基础、管理制度为保障、人员意识为核心”,构建全方位防护体系,杜绝“小疏忽”引发“大隐患”。
