資源簡介

(共31張PPT)
項目七
信息安全基礎
1994年4月20日，中國正式接入國際互聯網。
信息安全問題是互聯網的“頑疾”。信息安全不僅意味著個人的隱私安全，更意味著經濟、社會、國防等國家層面的安全。因此，面對這一“頑疾”，政府和公民必須齊心協力，從觀念、意識、法律、制度、標準、技術等多方面入手，“切要害”“開組方”“下猛藥”，共同解決信息安全問題。
理解信息安全的概念、目標和特征。
了解信息安全面臨的威脅和現狀。
了解信息安全相關法律法規。
了解網絡安全等級保護制度。
了解常見惡意攻擊的形式及特點。
了解信息系統安全防范常用技術。
學習目標
CONTENTS
任務一
了解信息安全常識
任務二
防范信息系統惡意攻擊
8435759
8435759
千圖:Blue Dragonfly
DESIGN
任務一
了解信息安全常識
在現代社會中，信息安全與我們每個人的隱私、財產和身心健康都息息相關。作為新時代的公民，我們有必要了解一些信息安全常識，充分認識信息安全的重要意義，以提高自身的信息安全意識。
在本任務中，我們將從調研App違法違規收集使用個人信息現狀及治理情況開始，了解信息安全的概念、目標和特征，了解信息安全面臨的威脅及現狀，了解信息安全相關法律法規，提高信息安全和隱私保護意識。
如今，智能手機已經成為人們生活中不可缺少的一部分。通過智能手機，用戶只需安裝各種App，即可獲取相應的網絡服務。
但是，用戶在享受移動互聯網快速發展帶來的各種利好時，App強制授權、過度索權、超范圍收集個人信息的現象大量存在，違法違規使用個人信息的問題十分突出。例如，某App要使用的權限竟高達47項之多，如圖所示。
體驗探究
——調研App違法違規收集使用個人信息現狀及治理情況
某App使用的權限
通常情況下，App申請超范圍權限的主要目的是收集用戶的個人信息。這些個人信息可用于分析用戶偏好，預測用戶行為，從而便于App運營者精準投放廣告、推送個性化內容。
除用戶自愿授權外，相當一部分超范圍權限是App運營者以收回軟件使用權、權限捆綁等手段變相強迫用戶授權獲取的，有些甚至是在用戶不知情的情況下獲取的。
課堂互動
請以小組為單位，討論問題：
（1）你一般使用哪些App？從什么途徑獲取呢？
（2）在初次打開App時，你會閱讀App的服務協議和隱私政策嗎？為什么？
體驗探究
——調研App違法違規收集使用個人信息現狀及治理情況
2018年8月29日，中國消費者協會發布了《App個人信息泄露情況調查報告》（以下簡稱《報告》）。
《報告》顯示，我國個人信息泄露總體情況比較嚴重：在共計5458份有效問卷中，遇到過個人信息泄露情況的人數占比為85.2%，沒有遇到過個人信息泄露情況的人數占比為14.8%。在個人信息泄露后，約86.5%的受訪者曾遭遇推銷電話或短信的騷擾，約75.0%的受訪者曾接到詐騙電話，約63.4%的受訪者曾收到垃圾郵件，排名位居前三位。此外，部分受訪者曾收到違法信息（如非法鏈接等），更有甚者出現了個人賬戶密碼被盜的問題。
課堂互動
請以小組為單位，討論問題：
（3）你身邊有人經歷過信息泄露事件嗎？信息泄露后，是否接到過騷擾或詐騙電話、垃圾短信、電子郵件？
（4）在使用App時，如何保護個人信息安全？
體驗探究
——調研App違法違規收集使用個人信息現狀及治理情況
《報告》一經發布，引起了社會各界的廣泛關注。
2019年1月25日，中央網信辦會同工業和信息化部、公安部、市場監管總局聯合發布了《關于開展App違法違規收集使用個人信息專項治理的公告》，宣布正式開展App違法違規收集使用個人信息行為的專項治理工作，如下圖所示。
App運營者未經授權收集個人信息
開展App專項治理工作
體驗探究
——調研App違法違規收集使用個人信息現狀及治理情況
開設了“App個人信息舉報”公眾號以受理公眾的舉報信息，截至2019年12月，共受理了1.2萬余條網民有效舉報信息，核驗了2300余款問題App；組織了14家專業評估機構對1 000余款常用重點App進行了深度評估，對于違法違規收集使用用戶信息并出現問題的，責令App運營者限期整改，逾期不改的公開曝光，情節嚴重的，依法暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。
自全國范圍內開展工作以來，App違法違規收集使用個人信息專項治理成效顯著：
體驗探究
——調研App違法違規收集使用個人信息現狀及治理情況
一、信息安全基礎知識
信息安全的目標
其目標是保護和維持信息的三大基本安全屬性，即保密性、完整性、可用性，三者也常合稱為信息的CIA屬性。
信息安全的特征
信息安全具有系統性、動態性、無邊界性和非傳統性4項特征。
信息安全的概念
信息安全是一門涉及計算機科學、網絡技術、通信技術、計算機病毒學、密碼學、應用數學、數論、信息論、法律學、犯罪學、心理學、經濟學、審計學等多門學科的綜合性學科。
A
B
C
A
B
C
系統漏洞：指信息系統中的軟件、硬件或通信協議中存在缺陷或不適當的配置，使得 服務和數據的安全性受到重大威脅。
二、信息安全面臨的威脅
信息安全面臨的威脅是動態變化的，因此要列舉信息安全面臨的全部威脅是不可能的。下面列舉一些較具代表性的威脅。
自然災害：自然災害會引起數據丟失、設備失效、線路中斷等。
惡意程序：惡意程序可大致分為特洛伊木馬、僵尸程序、蠕蟲、病毒等。
（1）病毒總體數量呈下降趨勢。
（2）手機病毒以信息竊取、遠程控制、惡意扣費和資費消耗等類型為主，其中信息竊取類病毒占比36.21%，位居第一。
（3）針對APT攻擊的防護意識顯著增強，但APT攻擊仍然猖獗。
（4）感染勒索病毒的計算機數量明顯下降，但勒索病毒依然活躍且危害嚴重。
（5）信息安全立法工作取得有力進展，法律法規體系得到不斷完善。
2023年2月，某知名信息安全解決方案提供商發布了《2022年中國網絡安全報告》（以下簡稱《報告》）。該《報告》綜合大量數據和資料，對互聯網背景下我國2022年的信息安全現狀進行了詳盡分析，具體可概述為以下5點。
三、信息安全現狀
1946年通過的《原子能法》和1947年通過的《國家安全法》可看作是美國信息安全法律體系建設起步的標志。之后，隨著信息技術的快速發展，美國根據實際需要對現有法律進行了修訂和增補，并頒布了一系列新的法律法規（如1966年通過的《信息自由法》和1987年通過的《計算機安全法》等），不斷完善其信息安全法律體系。
作為互聯網的發源地，美國最早開始信息安全法律體系的建設工作：
四、信息安全相關法律法規
20世紀90年代以來，針對計算機網絡與利用計算機網絡從事刑事犯罪的案件越來越多，許多國家開始注重用刑事手段打擊網絡犯罪，這方面的國際合作也迅速發展起來。
2001年11月，歐盟、美國、加拿大、日本和南非等30多個國家和地區共同簽署了國際上第一個針對計算機系統、網絡或數據犯罪的多邊協定——《網絡犯罪公約》
該公約涉及以下內容：
明確了網絡犯罪的種類和內容，要求其成員國采取立法和其他必要措施，將這些行為在國內法予以確認；要求各成員國建立相應的執法機關和程序，并對具體的偵查措施和管轄權做出了規定；
加強成員國間的國際合作，對計算機和數據犯罪展開調查（包括搜集電子證據）或采取聯合行動，對犯罪分子進行引渡；對個人數據和隱私進行保護等。
四、信息安全相關法律法規
經過多年的探索和實踐，我國已經制定和頒布了多項涉及信息系統安全、信息內容安全、信息產品安全、網絡犯罪、密碼管理等方面的法律法規，構建了較為完善的信息安全法律法規框架，如圖所示。
我國歷來重視信息安全法律法規的建設：
我國信息安全法律法規框架
四、信息安全相關法律法規
1994年2月18日，國務院發布了《計算機信息系統安全保護條例》。在其中首次使用了“信息系統安全”的表述，以該條例為起點，中國開始了信息安全領域的立法進程；
1997年12月30日，公安部發布了《計算機信息網絡國際聯網安全保護管理辦法》；
2000年9月25日，國務院發布了《中華人民共和國電信條例》，同年，第九屆全國人大常委會第十九次會議通過了《全國人民代表大會常務委員會關于維護互聯網安全的決定》，這是我國針對信息網絡安全制定的第一部法律性決定，其中規定了若干應按照《中華人民共和國刑法》予以懲處的信息安全犯罪行為。
四、信息安全相關法律法規
2007年12月29日，為規范互聯網視聽節目服務秩序，促進其健康有序發展，國家廣播電視總局、信息產業部（現工業和信息化部）聯合發布了《互聯網視聽節目服務管理規定》。
2014年1月26日，國家工商行政管理總局（現國家市場監督管理總局）發布了《網絡交易管理辦法》，以規范網絡商品交易及有關服務，保護消費者和經營者的合法權益。
2016年11月7日，第十二屆全國人大常委會第二十四次會議通過了《中華人民共和國網絡安全法》。它是我國第一部網絡安全領域的專門性綜合立法，旨在保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展。
四、信息安全相關法律法規
2019年10月26日，第十三屆全國人大常委會第十四次會議通過了《中華人民共和國密碼法》。
它是我國第一部密碼領域的綜合性、基礎性法律，旨在規范密碼應用和管理，促進密碼事業發展，保障網絡與信息安全，提升密碼管理科學化、規范化、法治化水平。
四、信息安全相關法律法規
實踐探索——分析計算機軟件侵權案例
1．基本案情
被告人陳某某從騰訊科技有限公司的網站下載了不同版本的騰訊QQ軟件后，未經騰訊公司許可，在軟件中加入珊瑚蟲插件，并重新制作成安裝包，命名為“珊瑚蟲QQ”后放到珊瑚蟲工作室網站上供用戶下載，以收取廣告費的形式謀取非法利益。
2．法院判決
被告行為已構成對騰訊QQ軟件的復制發行，并據此獲利人民幣1 172 822元，違法所得數額巨大，其行為已構成侵犯著作權罪，依法應予懲處。
實踐探索——分析計算機軟件侵權案例
3．案例分析
《中華人民共和國刑法》第二百一十七條規定，侵犯著作權罪的主客觀構成要件包括以營利為目的，未經著作權人許可，復制發行其計算機軟件等作品，違法所得數額較大或者有其他嚴重情節。刑法之所以規定侵犯軟件著作權罪的最根本原因是，一旦侵權人的行為達到刑法規定的標準時，其社會危害性是無法通過民事責任就能達到維持社會秩序的目的的。
實踐探索——分析計算機軟件侵權案例
3．案例分析
鑒于侵犯知識產權犯罪案件（包括侵犯商標、專利、商業秘密、著作權等）的復雜性，刑法對該類案件規定了多種情節以判定其社會危害性的大小，如非法經營數額、銷售金額、侵權復制品數量、違法所得數額、損失數額等。而根據刑法的規定，認定計算機軟件著作權的社會危害性是以違法所得數額、非法經營數額及侵權復制品數量來進行的，計算標準如下。
實踐探索——分析計算機軟件侵權案例
3．案例分析
（1）違法所得，即實施違法行為的獲利。它包括兩個內容，其一是侵權人實施了違法行為，其二是侵權人因實施違法行為獲得了利潤。這個利潤是去除其因實施違法行為而支出的成本費用的。
（2）非法經營數額，即侵權人通過銷售侵權產品所取得的收入。這個數額并沒有去除成本。
（3）侵權產品的數量，即侵權人銷售侵權產品數量的多少。當侵權產品是計算機軟件時，可以計算軟件被下載的次數作為銷售的侵權產品數量。
8435759
8435759
千圖:Blue Dragonfly
DESIGN
任務二
防范信息系統惡意攻擊
信息系統中往往存儲著大量有價值的信息，因此它常常受到黑客或不法分子的惡意攻擊。此外，信息安全犯罪往往會造成很強的破壞性，因此必須采取必要的防范措施，以遏制信息安全犯罪的增長勢頭，保障信息系統安全。
在本任務中，我們將從了解近年來的信息系統惡意攻擊事件開始，了解網絡安全等級保護制度，認識常見惡意攻擊形式及特點，了解信息系統安全防范常用技術，為防范信息系統惡意攻擊打下基礎。
近年來，全球信息系統惡意攻擊事件頻發，從大型企業服務器遭受攻擊到個人隱秘信息的泄露，公司財產流失及個人名譽掃地等情況無一不嚴重威脅各國經濟社會的安全和穩定。
隨著全球信息產業的發展，信息安全的重要性與日俱增。
體驗探究——了解近年來的信息系統惡意攻擊事件
Facebook泄密事件
我國公民征信信息泄露事件
美國斷網事件
委內瑞拉斷電事件
課外拓展
體驗探究——了解近年來的信息系統惡意攻擊事件
除上述法律法規外，近年來的信息系統惡意攻擊事件還包括
2018年韓國平昌冬奧會遭網絡攻擊
臺積電遭病毒攻擊致三大基地生產線停產
黑客攻擊華住數據庫致旗下酒店5億條信息泄露等。
感興趣的同學可以查閱相關資料進行更深入的了解。
計算機信息系統安全等級保護階段
網絡安全等級保護階段
信息安全等級保護階段
A
B
C
一、壓力
一、網絡安全等級保護制度
我國的網絡安全等級保護制度經歷了計算機信息系統安全等級保護、信息安全等級保護和網絡安全等級保護3個階段。
網絡安全等級保護制度
點擊此處播放微課
02
03
01
05
04
第二級：等級保護對象受到破壞后，會對相關公民、法人和其他組織的合法權益造成嚴重損害或特別嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全。
第三級：等級保護對象受到破壞后，會對社會秩序和公共利益造成嚴重危害，或者對國家安全造成危害。
第四級：等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害。
第一級：等級保護對象受到破壞后，會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益。
第五級：等級保護對象受到破壞后﹐會對國家安全造成特別嚴重危害。
一、網絡安全等級保護制度
在2020年11月1日起正式實行的國家標準GB/T 22240—2020《信息安全技術 網絡安全等級保護定級指南》中，將等級保護對象的安全保護等級由低到高分為以下五級。
二、常見惡意攻擊形式及特點
偽裝成合法用戶
是指黑客通過嗅探、口令猜測、撞庫、詐騙等手段非法獲取用戶名和密碼，并以合法用戶的身份進入信息系統，竊取需要的信息。
利用計算機病毒攻擊
是指黑客找到系統漏洞后，利用病毒進行惡意攻擊，使信息系統中的設備出現中毒癥狀，在干擾其正常工作的同時竊取機密信息。
網絡監聽
網絡監聽是指黑客利用連接信息系統的通信網絡的漏洞，將用于竊聽的惡意代碼植入到信息系統中竊聽數據，并通過信號處理和協議分析，從中獲得有價值的信息。
A
B
C
A
B
C
（6）入侵檢測技術
（2）防火墻技術
（1）密碼技術
（4）反病毒技術
（5）審計技術
三、信息系統安全防范常用技術
（3）虛擬專用網技術
（1）打開計算機的“控制面板”窗口，單擊“系統和安全”圖標，打開“系統和安全”界面。
（2）單擊“Windows Defender防火墻”鏈接文字，打開“Windows Defender防火墻”界面。
（3）單擊左側的“啟用或關閉Windows Defender防火墻”鏈接文字，打開“自定義設置”界面。
（4）在“專用網絡設置”和“公用網絡設置”組中分別選中“啟用Windows防火墻”單選鈕，然后單擊“確定”按鈕即可。
實踐探索——啟用Windows Defender防火墻
Windows 10操作系統中自帶了軟件防火墻——Windows Defender防火墻，如圖所示。打開Windows Defender防火墻的步驟如下。
8435759
8435759
千圖:Blue Dragonfly
DESIGN
項目總結
信息化是當今世界發展的大趨勢，也是推動經濟社會發展和變革的重要力量。隨著我國信息化的不斷推進，國民經濟和社會發展對網絡和信息系統的依賴性越來越強。近年來，國內外發生的一系列信息安全事件表明，在信息安全面前，任何個人、組織或國家都無法獨善其身。作為信息時代的公民和祖國未來的建設者，我們應該掌握信息安全領域的基本常識，如信息安全的概念、目標和特征，信息安全面臨的威脅，我國信息安全的現狀及相關法律法規等，以提高自身的信息安全防范意識；此外，我們還應該初步掌握一些防范信息系統惡意攻擊的方法，如網絡安全等級保護制度、常見惡意攻擊形式及特點，以及信息系統安全防范的常用技術等，為我國的信息安全貢獻一分力量。

展開更多......

收起↑