第1章 概述

1.1 背景环境

在信息化时代，没有网络安全就没有国家安全，网络安全对国家安全而言牵一发而动全身。2017年5月，名为WannaCry的“蠕虫式”勒索病毒风暴席卷全球[1]，迅速感染了不同国家的多家机构的计算机系统，致使世界上多个国家的重要基础设施瘫痪，造成了极其严重的经济损失，影响了人们正常的社会生活。

笔者在对病毒入侵途径的调查研究中发现，目前许多入侵攻击依赖于社会工程学方法（详见本书第4章的内容），主要包括邮件钓鱼、短信钓鱼、二维码钓鱼、电话钓鱼等方式。这些利用各种通信途径诱导用户泄露个人信息并利用恶意软件或极具恶意诱导的伪装通信载体进行攻击的方式就被称为“网络钓鱼”。

网络钓鱼作为社会工程学中典型的攻击方式，对人们的网络生活而言是一种很大威胁。通过对近几年全球信息泄露、商业欺诈等事件分析发现，近80%的网络攻击与社会工程学有关，黑客利用人性普遍存在的弱点，使用网络钓鱼、欺骗等手段，针对固定或非固定的目标植入恶意软件或计算机病毒，给受害者造成了很大损失。

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是遭到重点攻击的潜在目标。“物理隔离”防线可被跨网入侵，电力调配指令可被恶意篡改，金融交易信息可被窃取，这些都是重大风险隐患。Stuxnet（震网）病毒入侵伊朗核设施等事件表明，即使是物理隔离也难以避免黑客用社会工程学手段对人的直接攻击。而难以直接采取技术攻击的关键信息基础设施往往最容易被黑客用社会工程学手段攻击。

很多网络安全事件发生的主要原因是工作人员缺乏一定的网络安全意识。倘若相关人员能够时刻警惕网络风险，提高网络安全意识，那么现有的网络安全事件保守估计可以减少1/4。

网络安全事件无疑是在提醒国民务必重视自身的网络安全意识培养，务必通过加强网络安全意识，提高对网络威胁和风险的敏感性来降低或避免网络攻击带来的损失。网络安全为人民，网络安全靠人民，维护网络安全是全社会共同的责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。网络安全意识绝不是网络安全从业人员的专属属性，提高网络安全意识是网络空间数亿网民的必修课，是事关全年龄段、全工作领域的网民全体的重要素养。提高我国全民的网络安全意识是构筑“网络安全长城”防线的重要工程，是维护国家安全、网络边疆安全的重要环节，也是网络安全领域专家、学者极其重视的领域。