资源简介

(共34张PPT)
信息技术（基础模块）
信息安全基础
任务1 了解信息安全常识
第7章
第7章 信息安全基础
目　录
Contents
7.1.1 研讨危害信息安全的案例
7.1.2 了解信息安全的现状
7.1.3 掌握信息安全的基本要求
7.1.4 了解信息安全相关法律、法规
第7章 信息安全基础
│ 了解信息安全常识
从社会学的角度看，信息安全是关系国家安全、社会稳定、民族文化传承的重要方面。从技术的角度看，它又是一门涉及计算机科学、计算机网络、通信工程、密码技术、应用数学等多种学科的综合性学科，内容广泛且技术复杂，因此也造成了信息安全保障的复杂性。
第7章 信息安全基础
任务情景
一天中午，小华的父母非常着急地来到学校找班主任老师。
下午上课前，老师来到班里，专门给同学们讲述了小华父母的遭遇。小华母亲在当天11点多的时候，突然接到一个语气焦急、自称是校医的电话，告知小华突发急病被送医需住院治疗，因事发突然，带钱不够，请小华母亲速转1万元至提供的账号。小华母亲被惊得六神无主，立刻使用手机转账，且赶紧联系小华父亲。因事出紧急，小华母亲忘记询问医院地址，回拨电话时无人接听，只好急忙赶来学校。
看到小华在学校安然无恙，小华父母才明白，是遭遇了电信诈骗，他们立刻报了警。
老师告诉同学们，并要求转告家长，谨防各种诈骗，遇到问题不要乱了方寸，第一时间要进行事件的真伪求证。
小华听后非常气愤，也感到不解，骗子怎么会知道小华上学的学校？怎么知道小华的母亲和他母亲的电话号码的？这些骗子被抓到后会得到怎么样的惩罚呢？
第7章 信息安全基础
任务分析
老师看到许多学生都有和小华一样的疑问，于是细心解释：小华和他母亲的信息被泄露了，骗子利用获取的信息和人们面对突发情况时的紧张心理进行犯罪活动。信息泄露会产生严重的后果，小到个人遭受损失，大到国家受到严重威胁。
信息安全是一项长期且复杂的社会系统工程，既需要管理者充分运用先进的管理手段和技术进行专项治理，也需要信息应用者提高安全防护意识和安全应用技术，以有效保护信息在应用环节中的安全。作为信息专业的学生应该了解信息安全问题，有保护信息安全的意识、责任和技能。
小华感到责任重大，决心从案例入手，了解信息安全现状，掌握信息安全基本要求，了解信息安全法律、法规，全面、重新地认识信息安全。
了解信息安全常识，是深入学习信息安全防护技术的基础，更是安全使用计算机网络的需要。
第7章 信息安全基础
7.1.1 研讨危害信息安全的案例
案例1：利用网络直播传播有害信息团伙案。
2024年3月中旬，海淀警方接群众举报，称某直播平台有主播传播淫秽视频。接警后，海淀分局警务支援大队迅速行动，经调查，发现该公司多名主播均存在此类情况。民警立即成立攻坚小组开展多维度侦查，梳理团伙成员，固定相关证据。
2024年4月中旬，民警锁定李某、魏某等16名重大作案嫌疑人并实施抓捕，最终将涉案人员全部抓获。起初，面对民警的讯问，李某等人还心存侥幸，但在大量的证据面前，李某等人不得不认罪伏法，如实供述自己的犯罪行为。
第7章 信息安全基础
案例2：国外情报机构对我国大型科技企业网络攻击事件。
国家互联网应急中心监测发现，自2024年8月起，我国某先进材料设计研究单位遭疑似国外情报机构网络攻击。攻击者利用我境内某电子文档安全管理系统漏洞，入侵该公司软件升级管理服务器，通过软件升级服务向270余台主机投递控制木马，窃取大量商业秘密信息和知识产权。
自2023年5月起，我国某智慧能源和数字信息大型高科技企业遭疑似国外情报机构网络攻击。攻击者借助多个境外跳板，利用微软Exchange漏洞，入侵控制该公司邮件服务器并植入后门程序，持续窃取邮件数据。同时，攻击者还以该邮件服务器为跳板，攻击控制该公司及其下属企业30余台设备，窃取大量商业秘密信息。
第7章 信息安全基础
2．信息安全名词术语
（1）信息安全。
信息安全是指信息不会被故意或偶然地非法泄露、更改、破坏，不会被非法辨识、控制，人们能有益、有序地使用信息。
（2）个人信息。
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
（3）网络安全。
网络安全是指通过采取必要措施，防范网络遭受攻击、侵入、干扰、破坏、非法使用及意外事故，保障网络处于稳定可靠运行的状态，确保网络数据具备完整性、保密性、可用性。
（4）数据安全。
数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续处于安全状态的能力。
（5）恶意程序。
恶意程序通常指带有危害意图或会产生干扰影响的程序代码片段，包括病毒、木马、勒索、后门等。
第7章 信息安全基础
说一说
加强信息安全意识的重要性。
第7章 信息安全基础
7.1.2 了解信息安全的现状
1．了解危及信息安全的主要问题
从已发生的互联网信息安全事件看，虽然近两年没有发生较大规模的病毒威胁，也没有发生影响恶劣、损失严重的网络攻击事件，但信息安全所面临的形势依然严峻。
（1）网页仿冒问题依然棘手。
我国境内网站仿冒问题依然突出，仿冒者运用技巧和自动操作技术，借助热点、敏感问题强化仿冒网页的可信度。2025年3月10日—16日，国家互联网应急中心处理了31起网页仿冒事件，主要集中在证券、政府、银行领域，统计数据如图7-2所示。2024年，网信办处置违法违规仿冒诈骗类网站518个。其中，涉及仿冒教育部、财政部、人力资源和社会保障部等政府机关类网站平台279个。仿冒中国石化、中国一汽、国家电网等国有企事业单位类网站平台83个。仿冒腾讯、抖音、TCL等民营企业类网站平台41个。仿冒《现代大学教育》《暨南学报》《铁道科学与工程学报》等期刊杂志类网站平台115个。
第7章 信息安全基础
（2）垃圾邮件影响正常应用。
国外曾有黑客组织向数百万用户发送包含恶意JavaScript脚本的垃圾邮件，收到邮件的用户通过Hotmail浏览时会在不知不觉中泄露账号。随着反垃圾邮件过滤技术的提高，全球垃圾邮件的比例显著下降，但电子邮箱用户仍会收到骚扰性垃圾邮件。
（3）数据泄露带来安全隐患。
影响较大的数据泄露事件有某邮件网站10亿个邮箱账户泄露、某招聘网站简历信息泄露等，凸显数据防丢失对数据拥有者的重要性。数据泄露事件的发生是由各种因素造成的，强化技术防护和管理防护十分必要。
第7章 信息安全基础
（4）系统漏洞不容忽视。
2017年互联网出现针对Windows操作系统的勒索软件攻击，利用Windows SMB服务漏洞进行，受害对象有高校、能源企业等重要信息系统。新发现的漏洞数量不断增加，危害程度也相当高，由此对网络应用安全构成了重大威胁。2025年1月13日—19日，国家信息安全漏洞共享平台（CNVD）共收集、整理信息安全漏洞453个，其中高危漏洞221个、中危漏洞206个、低危漏洞26个。
第7章 信息安全基础
2．了解网络恶意代码的整体形势
病毒制造者和病毒传播者在巨大利益的驱使下，利用病毒、木马技术进行各种网络盗窃、诈骗、勒索活动，严重干扰计算机网络的正常应用，大家应予以高度关注。
（1）恶意代码的主流是木马。
木马在恶意代码数量中占绝大多数。在流行病毒中，主要以木马、后门为主。木马制造者通过盗取互联网上有价值的信息资料并转卖获利，其牟利目的十分明确。
（2）“挂马”成为恶意代码传播的主要手段。
“挂马”就是黑客通过各种手段获取管理员账号，修改网页加入恶意转向代码，使访问者进入网站后，自动进入转向地址或下载恶意代码。网站挂马成为恶意代码传播的主要手段，无论是主动或被动的挂马都为恶意代码的滋生和传播提供了优越的环境，当前相当数量的恶意代码变种来自这类网站。被挂马的网站覆盖新闻、软件下载、娱乐等各种网站，当用户使用有安全漏洞的浏览器访问这些网站时，恶意代码利用脚本下载并激活木马程序。
第7章 信息安全基础
（3）恶意代码的自我保护能力增强。
一些新技术，如主动防御技术、磁盘过滤驱动技术、影像劫持技术、穿透还原卡或还原软件技术被应用到恶意代码的编写中，使恶意代码从通过修改样本特征值以躲避查杀，逐渐过渡到直接与安全软件对抗。
（4）下载者病毒加剧了恶意代码传播。
下载者病毒具备从指定地址下载大量恶意代码的功能，使其成为恶意代码的快速输送者。网络用户的计算机一旦受到下载者病毒入侵，系统将会陆续下载安装几种甚至几十种病毒、木马等，种类几乎涉及所有流行的在线游戏盗号木马，危害十分严重。
第7章 信息安全基础
（5）应用软件漏洞扩大了恶意代码传播途径。
随着操作系统安全性不断提高，恶意代码利用系统漏洞“施法”的空间越来越小，恶意代码制造者开始关注应用软件的漏洞。近年来，恶意代码除了利用Windows系统漏洞传播，开始综合利用各类应用软件的漏洞以扩大恶意代码传播途径，多数恶意代码利用两个及两个以上的漏洞传播。
（6）利用社会工程学传播恶意代码。
恶意代码制造者利用人们关注热点事件的心理或好友间的信任关系设陷阱，加速恶意代码传播，偶有出现的热点事件或将成为恶意代码传播的“帮凶”。他们将恶意代码伪装成热门电影、网络视频、照片等，借助高点击率诱骗用户点击下载，进而扩大传播范围。
第7章 信息安全基础
说一说
当前的信息安全形势。
第7章 信息安全基础
7.1.3 掌握信息安全的基本要求
信息安全不仅涉及技术问题、管理问题，还涉及法学、犯罪学、心理学等问题，是一门由多学科综合形成的新学科。只有了解信息安全的基本要求，才能为构建安全、可靠的应用环境做好准备。
1．了解信息安全涉及的内容
信息系统是由设备实体、信息、人组成的人机系统，安全问题也应包括实体安全、信息安全、运行安全和安全管理等方面。内容涉及安全技术、安全管理、安全评价、安全产品、安全法律、安全监察等。
信息安全主要涉及信息存储安全、信息传输安全、信息应用安全3个方面，包括操作系统安全、数据库安全、访问控制、病毒防护、加密、鉴别等多类技术问题，可以通过保密性、完整性、真实性、可用性、可控性5种特性进行表述。
保密性，是信息不会泄露给非授权对象的特性。
完整性，是信息本身完整，且不会在未授权时发生变化的特性。
真实性，是保证处理过程真实可靠的特性。
可用性，是合法对象能有效使用信息资源的特性。
可控性，是对信息资源能进行有效控制的特性。
第7章 信息安全基础
2．了解信息安全控制层面
信息安全控制是复杂的系统工程，需要安全技术、科学管理和法律规范等多方面协调，并构成层次合理的保护体系，只有这样才能达到保障信息安全的目的。安全防护技术是保障实体、软件、数据安全的基础，安全管理是保障安全技术发挥作用的前提，法律规范是制约和打击危害信息安全行为的武器，所以，信息安全控制分为4个层面：实体安全防护、软件安全防护、安全管理和法律规范。
第7章 信息安全基础
实体安全防护：对信息设备实体进行安全防护是保证信息安全的重要环节，是保证信息安全的基础。
软件安全防护：软件系统故障同样会导致信息安全问题，所以，软件运行安全也是保证信息安全的基础。
安全管理：统计结果表明，70%以上的安全问题是管理不善造成的，真正由于技术原因出现的安全问题很少，由此可见，安全管理在保证信息安全中的作用极其重要。
法律规范：在发生安全问题前，安全法律有规范信息应用行为、威慑破坏行为的作用，是信息安全的法律保障。在发生安全问题后，安全法律是处理安全问题的法律依据。
第7章 信息安全基础
说一说
信息安全问题为什么会涉及众多学科或领域？
第7章 信息安全基础
7.1.4 了解信息安全相关法律、法规
随着信息、信息系统在国家安全、社会稳定、经济建设中的作用和地位不断提高，社会迫切需要调整、规范信息关系，为此保护信息安全的法律、规范应运而生，并逐渐形成完整的法律、规范体系，以适应信息化社会有序发展的要求。
第7章 信息安全基础
1．了解信息安全保护的法律法规
自1994年我国开始计算机信息系统立法活动，到目前为止，已基本形成了较为完整的法律体系。关于信息安全保护的刑事立法可以归纳为以刑法典为中心，辅之以单行刑法、行政法规、司法解释、行政规章及其他规范性文件的框架体系。目前我国惩治危害信息安全犯罪的现行主要规范性文件如表所示。
第7章 信息安全基础
第7章 信息安全基础
第7章 信息安全基础
第7章 信息安全基础
2．了解强制性国家网络安全标准
强制性标准是在一定范围内通过法律、行政法规等强制性手段加以实施的标准，具有法律属性，强制性标准可分为全文强制和条文强制两种形式。国家标准化管理委员会按照《中华人民共和国网络安全法》的要求和网络安全工作需要，从维护国家安全、用户利益出发，对网络产品、服务制定强制性国家网络安全标准。
第7章 信息安全基础
第7章 信息安全基础
第7章 信息安全基础
3．了解信息安全保护的法律责任
法律规范对主体行为实施制约的强制性，具体表现为当主体行为违反了法律规范的规定后，一定要追究法律规范主体应当承担的相关责任。根据所触犯的法律规范类型和情节轻重，应当承担的责任大体分为刑事责任、行政责任和民事责任。
第7章 信息安全基础
（1）网络应用中的刑事法律责任。
利用信息系统或信息知识作为手段，或者针对信息系统，对国家、团体或个人造成危害，依据法律规定，应当予以刑罚处罚的行为。
《中华人民共和国刑法》和《全国人民代表大会常务委员会关于维护互联网安全的决定》中关于计算机网络犯罪的直接或间接条款警示我们，在计算机网络活动中实施危害行为可能承担刑事责任，必须引起高度重视。
案例：徐某利用QQ尾巴等程序在互联网上传播其编写的ipxsrv.exe程序，先后植入40000余台计算机，形成Botnet僵尸网络。徐某操纵僵尸网络对某音乐网站发动多次DDoS攻击，致使该公司遭受重大经济损失，造成恶劣的社会影响。经法院审理认为：徐某的行为已构成破坏计算机信息系统罪。依照《中华人民共和国刑法》判处徐某有期徒刑一年零六个月；依法没收作案笔记本电脑、服务器、U盘。
第7章 信息安全基础
（2）网络应用中的行政法律责任。
违反计算机网络系统安全保护行政法规规定，主要是指违反有关计算机网络系统安全保护的法律、行政法规，以及地方性行政法规所规定的应负法律责任的内容。在相关的法规中有许多法律责任的条目，旨在提醒计算机网络用户遵纪守法，否则，将会承担相应的法律责任。
案例：2024年12月，浙江某公安机关工作中发现，浙江某软件科技公司受托搭建的数据库存在安全漏洞，数据库中承载的大量电子政务数据存在泄露风险。
经查，该公司主要为政府部门提供软件开发、信息系统建设和运维等服务。在与当地部分政府部门合作期间，该公司未对受托维护、处理的电子政务数据履行应尽的数据安全保护义务，未依法建立全流程数据安全管理制度，导致电子政务数据存在严重泄露风险，相关行为违反了《中华人民共和国数据安全法》。
公安机关依法对该公司和该公司负责人进行了行政罚款，并责令其依法依规履行数据安全保护义务。同时，依法约谈涉事政府部门相关负责人，通报委托处理电子政务数据活动中存在的安全问题，责令进一步加强数据安全管理和保护，严防数据泄露。
第7章 信息安全基础
（3）网络应用中的民事责任。
“应当依法承担民事责任”是相关民事法律责任的原则性规定，也是对各种违反民事义务行为的概括性规定，满足民事法律责任构成要件的民事行为的行为人都要承担民事责任。一些具体的限制行为，在相关的法律法规中也有明确规定。
案例：2022年12月26日最高人民法院发布了“李某某侵犯公民个人信息刑事附带民事公益诉讼案的指导性案例”。案情显示，李某某制作具有非法窃取他人相册照片功能的手机“黑客软件”，成功窃取包含人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民信息的照片1751张。后又在网上购买、分享包含各类公民个人信息8100万余条。
法院审理认为，李某某违反国家有关规定，非法获取并向他人提供公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪，判处有期徒刑三年，并处罚金人民币一万元。李某某非法获取并向他人提供公民个人信息的侵权行为，侵害了众多公民个人信息安全，损害社会公共利益，应当承担相应的民事责任。
第7章 信息安全基础
做一做
在网上发布不负责任的言论需要承担什么后果？
第6章 数字媒体技术应用
谢谢观看

展开更多......

收起↑