《信息技術(shù)(基礎(chǔ)模塊)》07-信息安全基礎(chǔ)

信息技術(shù)應(yīng)用基礎(chǔ)·網(wǎng)絡(luò)應(yīng)用·圖文編輯（基礎(chǔ)模塊）信息技術(shù)項(xiàng)目七信息安全基礎(chǔ)1994年4月20日，中國(guó)正式接入國(guó)際互聯(lián)網(wǎng)。

信息安全問(wèn)題是互聯(lián)網(wǎng)的“頑疾”。信息安全不僅意味著個(gè)人的隱私安全，更意味著經(jīng)濟(jì)、社會(huì)、國(guó)防等國(guó)家層面的安全。因此，面對(duì)這一“頑疾”，政府和公民必須齊心協(xié)力，從觀念、意識(shí)、法律、制度、標(biāo)準(zhǔn)、技術(shù)等多方面入手，“切要害”“開(kāi)組方”“下猛藥”，共同解決信息安全問(wèn)題。 理解信息安全的概念、目標(biāo)和特征。 了解信息安全面臨的威脅和現(xiàn)狀。 了解信息安全相關(guān)法律法規(guī)。 了解網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。 了解常見(jiàn)惡意攻擊的形式及特點(diǎn)。 了解信息系統(tǒng)安全防范常用技術(shù)。學(xué)習(xí)目標(biāo)CONTENTS任務(wù)一了解信息安全常識(shí)任務(wù)二防范信息系統(tǒng)惡意攻擊任務(wù)一了解信息安全常識(shí)在現(xiàn)代社會(huì)中，信息安全與我們每個(gè)人的隱私、財(cái)產(chǎn)和身心健康都息息相關(guān)。作為新時(shí)代的公民，我們有必要了解一些信息安全常識(shí)，充分認(rèn)識(shí)信息安全的重要意義，以提高自身的信息安全意識(shí)。在本任務(wù)中，我們將從調(diào)研App違法違規(guī)收集使用個(gè)人信息現(xiàn)狀及治理情況開(kāi)始，了解信息安全的概念、目標(biāo)和特征，了解信息安全面臨的威脅及現(xiàn)狀，了解信息安全相關(guān)法律法規(guī)，提高信息安全和隱私保護(hù)意識(shí)。如今，智能手機(jī)已經(jīng)成為人們生活中不可缺少的一部分。通過(guò)智能手機(jī)，用戶只需安裝各種App，即可獲取相應(yīng)的網(wǎng)絡(luò)服務(wù)。

但是，用戶在享受移動(dòng)互聯(lián)網(wǎng)快速發(fā)展帶來(lái)的各種利好時(shí)，App強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在，違法違規(guī)使用個(gè)人信息的問(wèn)題十分突出。例如，某App要使用的權(quán)限竟高達(dá)47項(xiàng)之多，如圖所示。體驗(yàn)探究——調(diào)研App違法違規(guī)收集使用個(gè)人信息現(xiàn)狀及治理情況某App使用的權(quán)限通常情況下，App申請(qǐng)超范圍權(quán)限的主要目的是收集用戶的個(gè)人信息。這些個(gè)人信息可用于分析用戶偏好，預(yù)測(cè)用戶行為，從而便于App運(yùn)營(yíng)者精準(zhǔn)投放廣告、推送個(gè)性化內(nèi)容。例如，某攝影App除必要的攝像頭和存儲(chǔ)權(quán)限外，還超范圍索取了通知推送和位置授權(quán)，以便利用這些權(quán)限向用戶推送符合當(dāng)?shù)靥厣騻€(gè)性化的廣告。除用戶自愿授權(quán)外，相當(dāng)一部分超范圍權(quán)限是App運(yùn)營(yíng)者以收回軟件使用權(quán)、權(quán)限捆綁等手段變相強(qiáng)迫用戶授權(quán)獲取的，有些甚至是在用戶不知情的情況下獲取的。App違法違規(guī)收集使用個(gè)人信息的行為不禁令人擔(dān)憂：一旦個(gè)人信息遭到泄露，用戶的信息安全必將受到嚴(yán)重威脅。就目前的情形來(lái)看，這種擔(dān)憂恐怕已成現(xiàn)實(shí)。課堂互動(dòng)請(qǐng)以小組為單位，討論問(wèn)題：（1）你一般使用哪些App？從什么途徑獲取呢？（2）在初次打開(kāi)App時(shí)，你會(huì)閱讀App的服務(wù)協(xié)議和隱私政策嗎？為什么？2018年8月29日，中國(guó)消費(fèi)者協(xié)會(huì)發(fā)布了《App個(gè)人信息泄露情況調(diào)查報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）。《報(bào)告》顯示，我國(guó)個(gè)人信息泄露總體情況比較嚴(yán)重：在共計(jì)5458份有效問(wèn)卷中，遇到過(guò)個(gè)人信息泄露情況的人數(shù)占比為85.2%，沒(méi)有遇到過(guò)個(gè)人信息泄露情況的人數(shù)占比為14.8%。在個(gè)人信息泄露后，約86.5%的受訪者曾遭遇推銷(xiāo)電話或短信的騷擾，約75.0%的受訪者曾接到詐騙電話，約63.4%的受訪者曾收到垃圾郵件，排名位居前三位。此外，部分受訪者曾收到違法信息（如非法鏈接等），更有甚者出現(xiàn)了個(gè)人賬戶密碼被盜的問(wèn)題。課堂互動(dòng)請(qǐng)以小組為單位，討論問(wèn)題：（3）你身邊有人經(jīng)歷過(guò)信息泄露事件嗎？信息泄露后，是否接到過(guò)騷擾或詐騙電話、垃圾短信、電子郵件？（4）在使用App時(shí)，如何保護(hù)個(gè)人信息安全？《報(bào)告》一經(jīng)發(fā)布，引起了社會(huì)各界的廣泛關(guān)注。2019年1月25日，中央網(wǎng)信辦會(huì)同工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局聯(lián)合發(fā)布了《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理的公告》，宣布正式開(kāi)展App違法違規(guī)收集使用個(gè)人信息行為的專(zhuān)項(xiàng)治理工作，如下圖所示。

App運(yùn)營(yíng)者未經(jīng)授權(quán)收集個(gè)人信息開(kāi)展App專(zhuān)項(xiàng)治理工作開(kāi)設(shè)了“App個(gè)人信息舉報(bào)”公眾號(hào)以受理公眾的舉報(bào)信息，截至2019年12月，共受理了1.2萬(wàn)余條網(wǎng)民有效舉報(bào)信息，核驗(yàn)了2300余款問(wèn)題App；組織了14家專(zhuān)業(yè)評(píng)估機(jī)構(gòu)對(duì)1000余款常用重點(diǎn)App進(jìn)行了深度評(píng)估，對(duì)于違法違規(guī)收集使用用戶信息并出現(xiàn)問(wèn)題的，責(zé)令A(yù)pp運(yùn)營(yíng)者限期整改，逾期不改的公開(kāi)曝光，情節(jié)嚴(yán)重的，依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。自全國(guó)范圍內(nèi)開(kāi)展工作以來(lái)，App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理成效顯著：必備知識(shí)一、信息安全基礎(chǔ)知識(shí)信息安全的目標(biāo)其目標(biāo)是保護(hù)和維持信息的三大基本安全屬性，即保密性、完整性、可用性，三者也常合稱為信息的CIA屬性。信息安全的特征信息安全具有系統(tǒng)性、動(dòng)態(tài)性、無(wú)邊界性和非傳統(tǒng)性4項(xiàng)特征。信息安全的概念信息安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、計(jì)算機(jī)病毒學(xué)、密碼學(xué)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論、法律學(xué)、犯罪學(xué)、心理學(xué)、經(jīng)濟(jì)學(xué)、審計(jì)學(xué)等多門(mén)學(xué)科的綜合性學(xué)科。ABCABC人為失誤：人員是信息系統(tǒng)中最活躍、最不穩(wěn)定的因素，人為失誤常常導(dǎo)致信息安全面臨威脅。系統(tǒng)漏洞：指信息系統(tǒng)中的軟件、硬件或通信協(xié)議中存在缺陷或不適當(dāng)?shù)呐渲?，使得服?wù)和數(shù)據(jù)的安全性受到重大威脅。二、信息安全面臨的威脅信息安全面臨的威脅是動(dòng)態(tài)變化的，因此要列舉信息安全面臨的全部威脅是不可能的。下面列舉一些較具代表性的威脅。自然災(zāi)害：自然災(zāi)害會(huì)引起數(shù)據(jù)丟失、設(shè)備失效、線路中斷等。惡意程序：惡意程序可大致分為特洛伊木馬、僵尸程序、蠕蟲(chóng)、病毒等。

2020年8月11日，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）發(fā)布了《2019年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》。我國(guó)在信息安全領(lǐng)域始終保持著高警惕性，經(jīng)過(guò)不懈努力，我國(guó)在信息安全的各方面均取得了一定進(jìn)展：三、信息安全現(xiàn)狀1946年通過(guò)的《原子能法》和1947年通過(guò)的《國(guó)家安全法》可看作是美國(guó)信息安全法律體系建設(shè)起步的標(biāo)志。之后，隨著信息技術(shù)的快速發(fā)展，美國(guó)根據(jù)實(shí)際需要對(duì)現(xiàn)有法律進(jìn)行了修訂和增補(bǔ)，并頒布了一系列新的法律法規(guī)（如1966年通過(guò)的《信息自由法》和1987年通過(guò)的《計(jì)算機(jī)安全法》等），不斷完善其信息安全法律體系。作為互聯(lián)網(wǎng)的發(fā)源地，美國(guó)最早開(kāi)始信息安全法律體系的建設(shè)工作：四、信息安全相關(guān)法律法規(guī)20世紀(jì)90年代以來(lái)，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與利用計(jì)算機(jī)網(wǎng)絡(luò)從事刑事犯罪的案件越來(lái)越多，許多國(guó)家開(kāi)始注重用刑事手段打擊網(wǎng)絡(luò)犯罪，這方面的國(guó)際合作也迅速發(fā)展起來(lái)。2001年11月，歐盟、美國(guó)、加拿大、日本和南非等30多個(gè)國(guó)家和地區(qū)共同簽署了國(guó)際上第一個(gè)針對(duì)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或數(shù)據(jù)犯罪的多邊協(xié)定——《網(wǎng)絡(luò)犯罪公約》該公約涉及以下內(nèi)容：明確了網(wǎng)絡(luò)犯罪的種類(lèi)和內(nèi)容，要求其成員國(guó)采取立法和其他必要措施，將這些行為在國(guó)內(nèi)法予以確認(rèn)；要求各成員國(guó)建立相應(yīng)的執(zhí)法機(jī)關(guān)和程序，并對(duì)具體的偵查措施和管轄權(quán)做出了規(guī)定；加強(qiáng)成員國(guó)間的國(guó)際合作，對(duì)計(jì)算機(jī)和數(shù)據(jù)犯罪展開(kāi)調(diào)查（包括搜集電子證據(jù)）或采取聯(lián)合行動(dòng)，對(duì)犯罪分子進(jìn)行引渡；對(duì)個(gè)人數(shù)據(jù)和隱私進(jìn)行保護(hù)等。經(jīng)過(guò)多年的探索和實(shí)踐，我國(guó)已經(jīng)制定和頒布了多項(xiàng)涉及信息系統(tǒng)安全、信息內(nèi)容安全、信息產(chǎn)品安全、網(wǎng)絡(luò)犯罪、密碼管理等方面的法律法規(guī)，構(gòu)建了較為完善的信息安全法律法規(guī)框架，如圖所示。我國(guó)歷來(lái)重視信息安全法律法規(guī)的建設(shè)：我國(guó)信息安全法律法規(guī)框架1994年2月18日，國(guó)務(wù)院發(fā)布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。在其中首次使用了“信息系統(tǒng)安全”的表述，以該條例為起點(diǎn)，中國(guó)開(kāi)始了信息安全領(lǐng)域的立法進(jìn)程；1997年12月30日，公安部發(fā)布了《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》；2000年9月25日，國(guó)務(wù)院發(fā)布了《中華人民共和國(guó)電信條例》，同年，第九屆全國(guó)人大常委會(huì)第十九次會(huì)議通過(guò)了《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》，這是我國(guó)針對(duì)信息網(wǎng)絡(luò)安全制定的第一部法律性決定，其中規(guī)定了若干應(yīng)按照《中華人民共和國(guó)刑法》予以懲處的信息安全犯罪行為。2007年12月29日，為規(guī)范互聯(lián)網(wǎng)視聽(tīng)節(jié)目服務(wù)秩序，促進(jìn)其健康有序發(fā)展，國(guó)家廣播電視總局、信息產(chǎn)業(yè)部（現(xiàn)工業(yè)和信息化部）聯(lián)合發(fā)布了《互聯(lián)網(wǎng)視聽(tīng)節(jié)目服務(wù)管理規(guī)定》。2014年1月26日，國(guó)家工商行政管理總局（現(xiàn)國(guó)家市場(chǎng)監(jiān)督管理總局）發(fā)布了《網(wǎng)絡(luò)交易管理辦法》，以規(guī)范網(wǎng)絡(luò)商品交易及有關(guān)服務(wù)，保護(hù)消費(fèi)者和經(jīng)營(yíng)者的合法權(quán)益。2016年11月7日，第十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。它是我國(guó)第一部網(wǎng)絡(luò)安全領(lǐng)域的專(zhuān)門(mén)性綜合立法，旨在保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。2019年10月26日，第十三屆全國(guó)人大常委會(huì)第十四次會(huì)議通過(guò)了《中華人民共和國(guó)密碼法》。它是我國(guó)第一部密碼領(lǐng)域的綜合性、基礎(chǔ)性法律，旨在規(guī)范密碼應(yīng)用和管理，促進(jìn)密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，提升密碼管理科學(xué)化、規(guī)范化、法治化水平。任務(wù)二防范信息系統(tǒng)惡意攻擊信息系統(tǒng)中往往存儲(chǔ)著大量有價(jià)值的信息，因此它常常受到黑客或不法分子的惡意攻擊。此外，信息安全犯罪往往會(huì)造成很強(qiáng)的破壞性，因此必須采取必要的防范措施，以遏制信息安全犯罪的增長(zhǎng)勢(shì)頭，保障信息系統(tǒng)安全。在本任務(wù)中，我們將從了解近年來(lái)的信息系統(tǒng)惡意攻擊事件開(kāi)始，了解網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，認(rèn)識(shí)常見(jiàn)惡意攻擊形式及特點(diǎn)，了解信息系統(tǒng)安全防范常用技術(shù)，為防范信息系統(tǒng)惡意攻擊打下基礎(chǔ)。近年來(lái)，全球信息系統(tǒng)惡意攻擊事件頻發(fā)，從大型企業(yè)服務(wù)器遭受攻擊到個(gè)人隱秘信息的泄露，公司財(cái)產(chǎn)流失及個(gè)人名譽(yù)掃地等情況無(wú)一不嚴(yán)重威脅各國(guó)經(jīng)濟(jì)社會(huì)的安全和穩(wěn)定。隨著全球信息產(chǎn)業(yè)的發(fā)展，信息安全的重要性與日俱增。體驗(yàn)探究——了解近年來(lái)的信息系統(tǒng)惡意攻擊事件Facebook泄密事件我國(guó)公民征信信息泄露事件美國(guó)斷網(wǎng)事件委內(nèi)瑞拉斷電事件0203010504第二級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成危害，但不危害國(guó)家安全。第三級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重危害，或者對(duì)國(guó)家安全造成危害。第四級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害，或者對(duì)國(guó)家安全造成嚴(yán)重危害。第一級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成損害，但不危害國(guó)家安全、社會(huì)秩序和公共利益。第五級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后﹐會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重危害。一、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度在2020年11月1日起正式實(shí)行的國(guó)家標(biāo)準(zhǔn)GB/T22240—2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》中，將等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)由低到高分為以下五級(jí)。必備知識(shí)二、常見(jiàn)惡意攻擊形式及特點(diǎn)偽裝成合法用戶是指黑客通過(guò)嗅探、口令猜測(cè)、撞庫(kù)、詐騙等手段非法獲取用戶名和密碼，并