《信息技术(基础模块)》07-信息安全基础

信息技术应用基础·网络应用·图文编辑（基础模块）信息技术项目七信息安全基础1994年4月20日，中国正式接入国际互联网。

信息安全问题是互联网的“顽疾”。信息安全不仅意味着个人的隐私安全，更意味着经济、社会、国防等国家层面的安全。因此，面对这一“顽疾”，政府和公民必须齐心协力，从观念、意识、法律、制度、标准、技术等多方面入手，“切要害”“开组方”“下猛药”，共同解决信息安全问题。 理解信息安全的概念、目标和特征。 了解信息安全面临的威胁和现状。 了解信息安全相关法律法规。 了解网络安全等级保护制度。 了解常见恶意攻击的形式及特点。 了解信息系统安全防范常用技术。学习目标CONTENTS任务一了解信息安全常识任务二防范信息系统恶意攻击任务一了解信息安全常识在现代社会中，信息安全与我们每个人的隐私、财产和身心健康都息息相关。作为新时代的公民，我们有必要了解一些信息安全常识，充分认识信息安全的重要意义，以提高自身的信息安全意识。在本任务中，我们将从调研App违法违规收集使用个人信息现状及治理情况开始，了解信息安全的概念、目标和特征，了解信息安全面临的威胁及现状，了解信息安全相关法律法规，提高信息安全和隐私保护意识。如今，智能手机已经成为人们生活中不可缺少的一部分。通过智能手机，用户只需安装各种App，即可获取相应的网络服务。

但是，用户在享受移动互联网快速发展带来的各种利好时，App强制授权、过度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出。例如，某App要使用的权限竟高达47项之多，如图所示。体验探究——调研App违法违规收集使用个人信息现状及治理情况某App使用的权限通常情况下，App申请超范围权限的主要目的是收集用户的个人信息。这些个人信息可用于分析用户偏好，预测用户行为，从而便于App运营者精准投放广告、推送个性化内容。例如，某摄影App除必要的摄像头和存储权限外，还超范围索取了通知推送和位置授权，以便利用这些权限向用户推送符合当地特色或个性化的广告。除用户自愿授权外，相当一部分超范围权限是App运营者以收回软件使用权、权限捆绑等手段变相强迫用户授权获取的，有些甚至是在用户不知情的情况下获取的。App违法违规收集使用个人信息的行为不禁令人担忧：一旦个人信息遭到泄露，用户的信息安全必将受到严重威胁。就目前的情形来看，这种担忧恐怕已成现实。课堂互动请以小组为单位，讨论问题：（1）你一般使用哪些App？从什么途径获取呢？（2）在初次打开App时，你会阅读App的服务协议和隐私政策吗？为什么？2018年8月29日，中国消费者协会发布了《App个人信息泄露情况调查报告》（以下简称《报告》）。《报告》显示，我国个人信息泄露总体情况比较严重：在共计5458份有效问卷中，遇到过个人信息泄露情况的人数占比为85.2%，没有遇到过个人信息泄露情况的人数占比为14.8%。在个人信息泄露后，约86.5%的受访者曾遭遇推销电话或短信的骚扰，约75.0%的受访者曾接到诈骗电话，约63.4%的受访者曾收到垃圾邮件，排名位居前三位。此外，部分受访者曾收到违法信息（如非法链接等），更有甚者出现了个人账户密码被盗的问题。课堂互动请以小组为单位，讨论问题：（3）你身边有人经历过信息泄露事件吗？信息泄露后，是否接到过骚扰或诈骗电话、垃圾短信、电子邮件？（4）在使用App时，如何保护个人信息安全？《报告》一经发布，引起了社会各界的广泛关注。2019年1月25日，中央网信办会同工业和信息化部、公安部、市场监管总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》，宣布正式开展App违法违规收集使用个人信息行为的专项治理工作，如下图所示。

App运营者未经授权收集个人信息开展App专项治理工作开设了“App个人信息举报”公众号以受理公众的举报信息，截至2019年12月，共受理了1.2万余条网民有效举报信息，核验了2300余款问题App；组织了14家专业评估机构对1000余款常用重点App进行了深度评估，对于违法违规收集使用用户信息并出现问题的，责令App运营者限期整改，逾期不改的公开曝光，情节严重的，依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。自全国范围内开展工作以来，App违法违规收集使用个人信息专项治理成效显著：必备知识一、信息安全基础知识信息安全的目标其目标是保护和维持信息的三大基本安全属性，即保密性、完整性、可用性，三者也常合称为信息的CIA属性。信息安全的特征信息安全具有系统性、动态性、无边界性和非传统性4项特征。信息安全的概念信息安全是一门涉及计算机科学、网络技术、通信技术、计算机病毒学、密码学、应用数学、数论、信息论、法律学、犯罪学、心理学、经济学、审计学等多门学科的综合性学科。ABCABC人为失误：人员是信息系统中最活跃、最不稳定的因素，人为失误常常导致信息安全面临威胁。系统漏洞：指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置，使得服务和数据的安全性受到重大威胁。二、信息安全面临的威胁信息安全面临的威胁是动态变化的，因此要列举信息安全面临的全部威胁是不可能的。下面列举一些较具代表性的威胁。自然灾害：自然灾害会引起数据丢失、设备失效、线路中断等。恶意程序：恶意程序可大致分为特洛伊木马、僵尸程序、蠕虫、病毒等。

2020年8月11日，国家计算机网络应急技术处理协调中心（CNCERT/CC）发布了《2019年中国互联网网络安全报告》。我国在信息安全领域始终保持着高警惕性，经过不懈努力，我国在信息安全的各方面均取得了一定进展：三、信息安全现状1946年通过的《原子能法》和1947年通过的《国家安全法》可看作是美国信息安全法律体系建设起步的标志。之后，随着信息技术的快速发展，美国根据实际需要对现有法律进行了修订和增补，并颁布了一系列新的法律法规（如1966年通过的《信息自由法》和1987年通过的《计算机安全法》等），不断完善其信息安全法律体系。作为互联网的发源地，美国最早开始信息安全法律体系的建设工作：四、信息安全相关法律法规20世纪90年代以来，针对计算机网络与利用计算机网络从事刑事犯罪的案件越来越多，许多国家开始注重用刑事手段打击网络犯罪，这方面的国际合作也迅速发展起来。2001年11月，欧盟、美国、加拿大、日本和南非等30多个国家和地区共同签署了国际上第一个针对计算机系统、网络或数据犯罪的多边协定——《网络犯罪公约》该公约涉及以下内容：明确了网络犯罪的种类和内容，要求其成员国采取立法和其他必要措施，将这些行为在国内法予以确认；要求各成员国建立相应的执法机关和程序，并对具体的侦查措施和管辖权做出了规定；加强成员国间的国际合作，对计算机和数据犯罪展开调查（包括搜集电子证据）或采取联合行动，对犯罪分子进行引渡；对个人数据和隐私进行保护等。经过多年的探索和实践，我国已经制定和颁布了多项涉及信息系统安全、信息内容安全、信息产品安全、网络犯罪、密码管理等方面的法律法规，构建了较为完善的信息安全法律法规框架，如图所示。我国历来重视信息安全法律法规的建设：我国信息安全法律法规框架1994年2月18日，国务院发布了《计算机信息系统安全保护条例》。在其中首次使用了“信息系统安全”的表述，以该条例为起点，中国开始了信息安全领域的立法进程；1997年12月30日，公安部发布了《计算机信息网络国际联网安全保护管理办法》；2000年9月25日，国务院发布了《中华人民共和国电信条例》，同年，第九届全国人大常委会第十九次会议通过了《全国人民代表大会常务委员会关于维护互联网安全的决定》，这是我国针对信息网络安全制定的第一部法律性决定，其中规定了若干应按照《中华人民共和国刑法》予以惩处的信息安全犯罪行为。2007年12月29日，为规范互联网视听节目服务秩序，促进其健康有序发展，国家广播电视总局、信息产业部（现工业和信息化部）联合发布了《互联网视听节目服务管理规定》。2014年1月26日，国家工商行政管理总局（现国家市场监督管理总局）发布了《网络交易管理办法》，以规范网络商品交易及有关服务，保护消费者和经营者的合法权益。2016年11月7日，第十二届全国人大常委会第二十四次会议通过了《中华人民共和国网络安全法》。它是我国第一部网络安全领域的专门性综合立法，旨在保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。2019年10月26日，第十三届全国人大常委会第十四次会议通过了《中华人民共和国密码法》。它是我国第一部密码领域的综合性、基础性法律，旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平。任务二防范信息系统恶意攻击信息系统中往往存储着大量有价值的信息，因此它常常受到黑客或不法分子的恶意攻击。此外，信息安全犯罪往往会造成很强的破坏性，因此必须采取必要的防范措施，以遏制信息安全犯罪的增长势头，保障信息系统安全。在本任务中，我们将从了解近年来的信息系统恶意攻击事件开始，了解网络安全等级保护制度，认识常见恶意攻击形式及特点，了解信息系统安全防范常用技术，为防范信息系统恶意攻击打下基础。近年来，全球信息系统恶意攻击事件频发，从大型企业服务器遭受攻击到个人隐秘信息的泄露，公司财产流失及个人名誉扫地等情况无一不严重威胁各国经济社会的安全和稳定。随着全球信息产业的发展，信息安全的重要性与日俱增。体验探究——了解近年来的信息系统恶意攻击事件Facebook泄密事件我国公民征信信息泄露事件美国断网事件委内瑞拉断电事件0203010504第二级：等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全。第三级：等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害。第四级：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害。第一级：等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。第五级：等级保护对象受到破坏后﹐会对国家安全造成特别严重危害。一、网络安全等级保护制度在2020年11月1日起正式实行的国家标准GB/T22240—2020《信息安全技术网络安全等级保护定级指南》中，将等级保护对象的安全保护等级由低到高分为以下五级。必备知识二、常见恶意攻击形式及特点伪装成合法用户是指黑客通过嗅探、口令猜测、撞库、诈骗等手段非法获取用户名和密码，并