资源简介

(共31张PPT)
项目七
信息安全基础
1994年4月20日，中国正式接入国际互联网。
信息安全问题是互联网的“顽疾”。信息安全不仅意味着个人的隐私安全，更意味着经济、社会、国防等国家层面的安全。因此，面对这一“顽疾”，政府和公民必须齐心协力，从观念、意识、法律、制度、标准、技术等多方面入手，“切要害”“开组方”“下猛药”，共同解决信息安全问题。
理解信息安全的概念、目标和特征。
了解信息安全面临的威胁和现状。
了解信息安全相关法律法规。
了解网络安全等级保护制度。
了解常见恶意攻击的形式及特点。
了解信息系统安全防范常用技术。
学习目标
CONTENTS
任务一
了解信息安全常识
任务二
防范信息系统恶意攻击
8435759
8435759
千图:Blue Dragonfly
DESIGN
任务一
了解信息安全常识
在现代社会中，信息安全与我们每个人的隐私、财产和身心健康都息息相关。作为新时代的公民，我们有必要了解一些信息安全常识，充分认识信息安全的重要意义，以提高自身的信息安全意识。
在本任务中，我们将从调研App违法违规收集使用个人信息现状及治理情况开始，了解信息安全的概念、目标和特征，了解信息安全面临的威胁及现状，了解信息安全相关法律法规，提高信息安全和隐私保护意识。
如今，智能手机已经成为人们生活中不可缺少的一部分。通过智能手机，用户只需安装各种App，即可获取相应的网络服务。
但是，用户在享受移动互联网快速发展带来的各种利好时，App强制授权、过度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出。例如，某App要使用的权限竟高达47项之多，如图所示。
体验探究
——调研App违法违规收集使用个人信息现状及治理情况
某App使用的权限
通常情况下，App申请超范围权限的主要目的是收集用户的个人信息。这些个人信息可用于分析用户偏好，预测用户行为，从而便于App运营者精准投放广告、推送个性化内容。
除用户自愿授权外，相当一部分超范围权限是App运营者以收回软件使用权、权限捆绑等手段变相强迫用户授权获取的，有些甚至是在用户不知情的情况下获取的。
课堂互动
请以小组为单位，讨论问题：
（1）你一般使用哪些App？从什么途径获取呢？
（2）在初次打开App时，你会阅读App的服务协议和隐私政策吗？为什么？
体验探究
——调研App违法违规收集使用个人信息现状及治理情况
2018年8月29日，中国消费者协会发布了《App个人信息泄露情况调查报告》（以下简称《报告》）。
《报告》显示，我国个人信息泄露总体情况比较严重：在共计5458份有效问卷中，遇到过个人信息泄露情况的人数占比为85.2%，没有遇到过个人信息泄露情况的人数占比为14.8%。在个人信息泄露后，约86.5%的受访者曾遭遇推销电话或短信的骚扰，约75.0%的受访者曾接到诈骗电话，约63.4%的受访者曾收到垃圾邮件，排名位居前三位。此外，部分受访者曾收到违法信息（如非法链接等），更有甚者出现了个人账户密码被盗的问题。
课堂互动
请以小组为单位，讨论问题：
（3）你身边有人经历过信息泄露事件吗？信息泄露后，是否接到过骚扰或诈骗电话、垃圾短信、电子邮件？
（4）在使用App时，如何保护个人信息安全？
体验探究
——调研App违法违规收集使用个人信息现状及治理情况
《报告》一经发布，引起了社会各界的广泛关注。
2019年1月25日，中央网信办会同工业和信息化部、公安部、市场监管总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》，宣布正式开展App违法违规收集使用个人信息行为的专项治理工作，如下图所示。
App运营者未经授权收集个人信息
开展App专项治理工作
体验探究
——调研App违法违规收集使用个人信息现状及治理情况
开设了“App个人信息举报”公众号以受理公众的举报信息，截至2019年12月，共受理了1.2万余条网民有效举报信息，核验了2300余款问题App；组织了14家专业评估机构对1 000余款常用重点App进行了深度评估，对于违法违规收集使用用户信息并出现问题的，责令App运营者限期整改，逾期不改的公开曝光，情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
自全国范围内开展工作以来，App违法违规收集使用个人信息专项治理成效显著：
体验探究
——调研App违法违规收集使用个人信息现状及治理情况
一、信息安全基础知识
信息安全的目标
其目标是保护和维持信息的三大基本安全属性，即保密性、完整性、可用性，三者也常合称为信息的CIA属性。
信息安全的特征
信息安全具有系统性、动态性、无边界性和非传统性4项特征。
信息安全的概念
信息安全是一门涉及计算机科学、网络技术、通信技术、计算机病毒学、密码学、应用数学、数论、信息论、法律学、犯罪学、心理学、经济学、审计学等多门学科的综合性学科。
A
B
C
A
B
C
系统漏洞：指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置，使得 服务和数据的安全性受到重大威胁。
二、信息安全面临的威胁
信息安全面临的威胁是动态变化的，因此要列举信息安全面临的全部威胁是不可能的。下面列举一些较具代表性的威胁。
自然灾害：自然灾害会引起数据丢失、设备失效、线路中断等。
恶意程序：恶意程序可大致分为特洛伊木马、僵尸程序、蠕虫、病毒等。
（1）病毒总体数量呈下降趋势。
（2）手机病毒以信息窃取、远程控制、恶意扣费和资费消耗等类型为主，其中信息窃取类病毒占比36.21%，位居第一。
（3）针对APT攻击的防护意识显著增强，但APT攻击仍然猖獗。
（4）感染勒索病毒的计算机数量明显下降，但勒索病毒依然活跃且危害严重。
（5）信息安全立法工作取得有力进展，法律法规体系得到不断完善。
2023年2月，某知名信息安全解决方案提供商发布了《2022年中国网络安全报告》（以下简称《报告》）。该《报告》综合大量数据和资料，对互联网背景下我国2022年的信息安全现状进行了详尽分析，具体可概述为以下5点。
三、信息安全现状
1946年通过的《原子能法》和1947年通过的《国家安全法》可看作是美国信息安全法律体系建设起步的标志。之后，随着信息技术的快速发展，美国根据实际需要对现有法律进行了修订和增补，并颁布了一系列新的法律法规（如1966年通过的《信息自由法》和1987年通过的《计算机安全法》等），不断完善其信息安全法律体系。
作为互联网的发源地，美国最早开始信息安全法律体系的建设工作：
四、信息安全相关法律法规
20世纪90年代以来，针对计算机网络与利用计算机网络从事刑事犯罪的案件越来越多，许多国家开始注重用刑事手段打击网络犯罪，这方面的国际合作也迅速发展起来。
2001年11月，欧盟、美国、加拿大、日本和南非等30多个国家和地区共同签署了国际上第一个针对计算机系统、网络或数据犯罪的多边协定——《网络犯罪公约》
该公约涉及以下内容：
明确了网络犯罪的种类和内容，要求其成员国采取立法和其他必要措施，将这些行为在国内法予以确认；要求各成员国建立相应的执法机关和程序，并对具体的侦查措施和管辖权做出了规定；
加强成员国间的国际合作，对计算机和数据犯罪展开调查（包括搜集电子证据）或采取联合行动，对犯罪分子进行引渡；对个人数据和隐私进行保护等。
四、信息安全相关法律法规
经过多年的探索和实践，我国已经制定和颁布了多项涉及信息系统安全、信息内容安全、信息产品安全、网络犯罪、密码管理等方面的法律法规，构建了较为完善的信息安全法律法规框架，如图所示。
我国历来重视信息安全法律法规的建设：
我国信息安全法律法规框架
四、信息安全相关法律法规
1994年2月18日，国务院发布了《计算机信息系统安全保护条例》。在其中首次使用了“信息系统安全”的表述，以该条例为起点，中国开始了信息安全领域的立法进程；
1997年12月30日，公安部发布了《计算机信息网络国际联网安全保护管理办法》；
2000年9月25日，国务院发布了《中华人民共和国电信条例》，同年，第九届全国人大常委会第十九次会议通过了《全国人民代表大会常务委员会关于维护互联网安全的决定》，这是我国针对信息网络安全制定的第一部法律性决定，其中规定了若干应按照《中华人民共和国刑法》予以惩处的信息安全犯罪行为。
四、信息安全相关法律法规
2007年12月29日，为规范互联网视听节目服务秩序，促进其健康有序发展，国家广播电视总局、信息产业部（现工业和信息化部）联合发布了《互联网视听节目服务管理规定》。
2014年1月26日，国家工商行政管理总局（现国家市场监督管理总局）发布了《网络交易管理办法》，以规范网络商品交易及有关服务，保护消费者和经营者的合法权益。
2016年11月7日，第十二届全国人大常委会第二十四次会议通过了《中华人民共和国网络安全法》。它是我国第一部网络安全领域的专门性综合立法，旨在保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。
四、信息安全相关法律法规
2019年10月26日，第十三届全国人大常委会第十四次会议通过了《中华人民共和国密码法》。
它是我国第一部密码领域的综合性、基础性法律，旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平。
四、信息安全相关法律法规
实践探索——分析计算机软件侵权案例
1．基本案情
被告人陈某某从腾讯科技有限公司的网站下载了不同版本的腾讯QQ软件后，未经腾讯公司许可，在软件中加入珊瑚虫插件，并重新制作成安装包，命名为“珊瑚虫QQ”后放到珊瑚虫工作室网站上供用户下载，以收取广告费的形式谋取非法利益。
2．法院判决
被告行为已构成对腾讯QQ软件的复制发行，并据此获利人民币1 172 822元，违法所得数额巨大，其行为已构成侵犯著作权罪，依法应予惩处。
实践探索——分析计算机软件侵权案例
3．案例分析
《中华人民共和国刑法》第二百一十七条规定，侵犯著作权罪的主客观构成要件包括以营利为目的，未经著作权人许可，复制发行其计算机软件等作品，违法所得数额较大或者有其他严重情节。刑法之所以规定侵犯软件著作权罪的最根本原因是，一旦侵权人的行为达到刑法规定的标准时，其社会危害性是无法通过民事责任就能达到维持社会秩序的目的的。
实践探索——分析计算机软件侵权案例
3．案例分析
鉴于侵犯知识产权犯罪案件（包括侵犯商标、专利、商业秘密、著作权等）的复杂性，刑法对该类案件规定了多种情节以判定其社会危害性的大小，如非法经营数额、销售金额、侵权复制品数量、违法所得数额、损失数额等。而根据刑法的规定，认定计算机软件著作权的社会危害性是以违法所得数额、非法经营数额及侵权复制品数量来进行的，计算标准如下。
实践探索——分析计算机软件侵权案例
3．案例分析
（1）违法所得，即实施违法行为的获利。它包括两个内容，其一是侵权人实施了违法行为，其二是侵权人因实施违法行为获得了利润。这个利润是去除其因实施违法行为而支出的成本费用的。
（2）非法经营数额，即侵权人通过销售侵权产品所取得的收入。这个数额并没有去除成本。
（3）侵权产品的数量，即侵权人销售侵权产品数量的多少。当侵权产品是计算机软件时，可以计算软件被下载的次数作为销售的侵权产品数量。
8435759
8435759
千图:Blue Dragonfly
DESIGN
任务二
防范信息系统恶意攻击
信息系统中往往存储着大量有价值的信息，因此它常常受到黑客或不法分子的恶意攻击。此外，信息安全犯罪往往会造成很强的破坏性，因此必须采取必要的防范措施，以遏制信息安全犯罪的增长势头，保障信息系统安全。
在本任务中，我们将从了解近年来的信息系统恶意攻击事件开始，了解网络安全等级保护制度，认识常见恶意攻击形式及特点，了解信息系统安全防范常用技术，为防范信息系统恶意攻击打下基础。
近年来，全球信息系统恶意攻击事件频发，从大型企业服务器遭受攻击到个人隐秘信息的泄露，公司财产流失及个人名誉扫地等情况无一不严重威胁各国经济社会的安全和稳定。
随着全球信息产业的发展，信息安全的重要性与日俱增。
体验探究——了解近年来的信息系统恶意攻击事件
Facebook泄密事件
我国公民征信信息泄露事件
美国断网事件
委内瑞拉断电事件
课外拓展
体验探究——了解近年来的信息系统恶意攻击事件
除上述法律法规外，近年来的信息系统恶意攻击事件还包括
2018年韩国平昌冬奥会遭网络攻击
台积电遭病毒攻击致三大基地生产线停产
黑客攻击华住数据库致旗下酒店5亿条信息泄露等。
感兴趣的同学可以查阅相关资料进行更深入的了解。
计算机信息系统安全等级保护阶段
网络安全等级保护阶段
信息安全等级保护阶段
A
B
C
一、压力
一、网络安全等级保护制度
我国的网络安全等级保护制度经历了计算机信息系统安全等级保护、信息安全等级保护和网络安全等级保护3个阶段。
网络安全等级保护制度
点击此处播放微课
02
03
01
05
04
第二级：等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全。
第三级：等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害。
第四级：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害。
第一级：等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。
第五级：等级保护对象受到破坏后﹐会对国家安全造成特别严重危害。
一、网络安全等级保护制度
在2020年11月1日起正式实行的国家标准GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》中，将等级保护对象的安全保护等级由低到高分为以下五级。
二、常见恶意攻击形式及特点
伪装成合法用户
是指黑客通过嗅探、口令猜测、撞库、诈骗等手段非法获取用户名和密码，并以合法用户的身份进入信息系统，窃取需要的信息。
利用计算机病毒攻击
是指黑客找到系统漏洞后，利用病毒进行恶意攻击，使信息系统中的设备出现中毒症状，在干扰其正常工作的同时窃取机密信息。
网络监听
网络监听是指黑客利用连接信息系统的通信网络的漏洞，将用于窃听的恶意代码植入到信息系统中窃听数据，并通过信号处理和协议分析，从中获得有价值的信息。
A
B
C
A
B
C
（6）入侵检测技术
（2）防火墙技术
（1）密码技术
（4）反病毒技术
（5）审计技术
三、信息系统安全防范常用技术
（3）虚拟专用网技术
（1）打开计算机的“控制面板”窗口，单击“系统和安全”图标，打开“系统和安全”界面。
（2）单击“Windows Defender防火墙”链接文字，打开“Windows Defender防火墙”界面。
（3）单击左侧的“启用或关闭Windows Defender防火墙”链接文字，打开“自定义设置”界面。
（4）在“专用网络设置”和“公用网络设置”组中分别选中“启用Windows防火墙”单选钮，然后单击“确定”按钮即可。
实践探索——启用Windows Defender防火墙
Windows 10操作系统中自带了软件防火墙——Windows Defender防火墙，如图所示。打开Windows Defender防火墙的步骤如下。
8435759
8435759
千图:Blue Dragonfly
DESIGN
项目总结
信息化是当今世界发展的大趋势，也是推动经济社会发展和变革的重要力量。随着我国信息化的不断推进，国民经济和社会发展对网络和信息系统的依赖性越来越强。近年来，国内外发生的一系列信息安全事件表明，在信息安全面前，任何个人、组织或国家都无法独善其身。作为信息时代的公民和祖国未来的建设者，我们应该掌握信息安全领域的基本常识，如信息安全的概念、目标和特征，信息安全面临的威胁，我国信息安全的现状及相关法律法规等，以提高自身的信息安全防范意识；此外，我们还应该初步掌握一些防范信息系统恶意攻击的方法，如网络安全等级保护制度、常见恶意攻击形式及特点，以及信息系统安全防范的常用技术等，为我国的信息安全贡献一分力量。

展开更多......

收起↑