院各部门、各创新单元：

针对近期院内出现的网络信息安全事件（包括但不限于钓鱼邮件攻击、系统漏洞攻击、弱口令、勒索病毒攻击、植入“挖矿”木马等），为杜绝此类事件再次发生，建议大家进行如下操作：

一、做好个人信息保护

1．网站注册和使用。要关注网站信息泄露事件方面的新闻，及时修改相关密码。

2．手机、电脑使用。要安装安全软件，定期升级更新操作系统；要从官方软件市场下载和安装APP；要认真辨别公共Wi-Fi的真实性，不要通过公共Wi-Fi办理转账汇款等敏感业务；要防范通过伪基站短信等途径访问钓鱼网站；不要再虚假贷款APP或网站上提交姓名、身份证照片、个人资产证明、银行账户、地址等个人隐私信息。

3．个人信息保管。要保管好身份证信息；提供复印件时，一定要写明“仅供某某单位做某某用，他用无效”；不要随意丢弃与个人信息相关的物品，在处理快递单时先抹掉个人信息再丢弃；不要随意参加小调查、小接力、抽奖或免费赠送、街头问卷、电话问卷、非正规办卡等活动，不要随意透漏、填写个人信息。

4．个人信息分享。不要在朋友圈、社交网站等发布个人敏感信息。

5．投诉举报。个人信息一旦被泄露，应立即向互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。

二、加强密码保护

1．避免弱口令。密码避免使用登录名的任何一部分、字典中的任何单词、曾经用过的口令的任何一部分、字母或数字的重复序列、键盘上相邻的健（如qwerty）、个人信息相关（如驾照、电话、地址等）。

2．设置强口令。密码应设置至少8个字符，包含至少大写和小写字母（e.g.A-Z，a-z）；包含至少一个数字（e.g.0-9）；包含至少一个特殊字符（e.g.~!@#$%^&*()_-+=）；不同网站设置不同的用户名、口令；利用歇后语等技巧设置和记忆口令。

3．服务器特权用户保护。服务器使用时，应禁止root用户直接登录；关闭administrator登录账户。

三、防范恶意软件

1．电脑端要安装防火墙和防病毒软件，并持续更新病毒特征库，定期对系统进行病毒查杀。

2．国家发改委全面整治虚拟货币“挖矿”活动，禁止使用任何设备进行“挖矿”活动，也要注意防范“挖矿”木马等恶意软件的入侵。

3．应从官方市场下载正版软件，及时给操作系统和其他软件打补丁。

4．要为计算机系统账号设置密码，及时删除或禁用过期账号。

5．在打开任何移动存储器前，应用杀毒软件进行检查。

6．应定期备份电脑、手机、服务器的系统和数据，留意异常告警，及时修复恢复。

7．不要打开来历不明的网页、邮箱连接或短信中的短链接。

8．不要执行未经杀毒扫描的下载软件。

9．不要打开QQ等聊天工具上收到的不明文件。

10．不要轻信浏览网页时弹出的“支付风险、垃圾、漏洞”等提示。

四、关注手机安全风险

1．要警惕使用手机时出现的异常状况，如电话账单中出现一些莫名其妙的收费、非正常短信和网络活动或是在手机锁屏的情况下出现的一些应用活动。

2．要从安全来源网站、应用商店下载应用程序，不明来源的软件尽量不要装，评价不好的软件谨慎装；应安装手机安全软件，及时更新操作系统和APP；不要点击来源不明的二维码、短信中的短链接，提示安装.APK时最好果断拒绝！

3．谨慎通过APP授权请求，经常检查授权请求是否与实际功能匹配，及时关闭不匹配、有风险的授权。

4．要谨慎辨别公共Wi-Fi热点的真实性，连接公共Wi-Fi热点时，不进行网络购物、网上银行转账等操作，避免登录账户和输入个人敏感信息；关闭Wi-Fi自动连接功能，不接受陌生蓝牙、红外等无线连接请求。

5．要将废旧手机与各平台账号解绑，恢复出厂设置或格式化后，再反复存入大文件覆盖存储空间；参加“路边摊”以旧换新活动的风险要高于卖给正规商家。

6．激活远程定位和擦除功能。一旦手机丢失，致电运营商挂失手机号、致电银行冻结手机网银、解绑支付宝，解除微信绑定。

中国科学技术大学先进技术研究院

网络安全和信息化领导小组

2021年11月24日