第13课 万维网安全新协议 课件 2025—2026学年人教版初中 信息科技七年级全一册

该初中信息科技课件围绕万维网安全协议展开，核心讲解HTTP的安全风险与HTTPS的防护机制。课堂以“寄信是否安全”类比导入，先分析HTTP明文传输的窃听、篡改、冒充风险，再引入HTTPS的加密隧道、数字证书等安全机制，通过案例与实践活动构建知识支架。 其亮点在于运用生活类比（如信封、暗号）和真实案例（小明账号被盗、银行短信诈骗），结合分组讨论、抢答赛等互动形式，培养学生信息意识（识别安全标志）和信息社会责任（安全习惯养成）。学生能提升网络安全辨别能力，教师可借助丰富活动素材提高教学效果。

第13课 万维网安全新协议 揭秘网址栏里的“小锁”和字母“S” 1.7.2013 ‹#› 想一想：这样寄信安全吗？ 提问：同学们，如果让你选择一种方式给远方的朋友寄一封包含秘密的信，你会选哪一种？为什么？ 信封能保护隐私，同理在网络世界里，我们的信息就像信件，有些网站会像信封一样“封装”信息保障安全，而有些则会让信息“裸奔”，直接暴露在网络中。 1.7.2013 ‹#› 我们访问的网站，正在“裸奔”吗？ 什么是 HTTP “裸奔”？ 我们平时上网，浏览器地址栏里的http://代表超文本传输协议。它就像“没有信封的信”，在网络上传输的数据都是“明文”的。 这就好比在公共场所大声说话，任何人只要在网络节点旁“偷听”，就能获取你的账号、密码或聊天内容。 这种状态有多危险？ 在“裸奔”状态下，黑客可以轻易地： 1.窃听数据：拦截你的隐私信息，如银行卡号、验证码。 2.篡改内容：在你浏览的网页中植入广告、病毒或虚假信息。 3.钓鱼攻击：伪造银行或购物网站，骗取你的信任。 1.7.2013 那么，我们平时访问的网站，是不是也在“裸奔”呢？大家看这张图，地址栏里显示的是“http://”，并且浏览器提示“不安全”。这就是我们今天要讨论的主角之一——HTTP协议。它传输的数据是“明文”的，就像没有加密的对话，很容易被别人窃听。这种状态会带来哪些风险呢？ ‹#› “裸奔”的三大风险 风险一：信息被窃听 黑客可以像偷听别人打电话一样，轻松截获你在网站上输入的账号、密码、地址等敏感信息，隐私毫无保障。 风险二：信息被篡改 黑客可偷偷修改传输中的数据。比如你本想给同学转10元，数据在途中被恶意改成100元，造成财产的意外损失。 风险三：身份被冒充 黑客伪装成你信任的网站（如游戏、银行官网），搭建钓鱼页面骗取你的账号密码，让你在毫无察觉中落入圈套。 1.7.2013 HTTP的“裸奔”状态主要有三大风险。第一，信息被窃听，你的账号密码可能被轻易偷走。第二，信息被篡改，你转账10块可能变成100块。第三，身份被冒充，你以为登录的是官网，实际上却是骗子的钓鱼网站。这些风险都非常可怕。 ‹#› 如何保护我们的网络通信？ 解决方案：HTTPS 协议 为了解决 HTTP 的安全隐患，科学家们设计了更安全的HTTPS（超文本传输安全协议）。 它比 HTTP 多了一个字母 “S”，代表Secure（安全）。这个 “S” 就像是给信息穿上了一件“加密外衣”，在客户端和服务器之间修建了一条私密的“加密隧道”，让窃听者无法窥探和篡改传输中的数据。 开启 HTTPS 的网站，浏览器地址栏通常会显示绿色的小锁图标，这是安全的重要标志。 浏览器地址栏中的 HTTPS 绿色小锁标志 1.7.2013 ‹#› 什么是“加密隧道”？ 讲解 当你访问一个HTTPS网站时，你的浏览器和网站服务器之间会建立一条“加密隧道”。你发送的所有数据，比如密码，都会先在隧道入口被“加密”成一串乱码，然后通过隧道传输。即使黑客截获了这些乱码，他也无法看懂。只有在隧道的另一端，网站服务器才能用一把“钥匙”把乱码解密成原始信息。 1.7.2013 HTTPS的核心就是建立一条“加密隧道”。大家可以看这张图，我们的信息（明文）在发送前会被加密成一串乱码（密文），通过这条安全的隧道传输。即使黑客在中间截获了这些乱码，也无法理解其内容。只有到达目的地，服务器才能用密钥解密，还原成原始信息。 ‹#› 加密的魔法：两种神奇的“锁” 对称加密（一把钥匙） 💡 通俗比喻：你和朋友约定好一个暗号（比如“芝麻开门”），你用这个暗号把纸条内容打乱（加密），朋友收到后用同样的暗号把内容还原（解密）。这把暗号就是“密钥”。 🌟 核心优点：加解密速度非常快，就像用同一把钥匙瞬间开锁，适合传输大量数据，效率极高。 非对称加密（两把钥匙） 💡 通俗比喻：服务器有两把钥匙，“公钥”（公开给所有人）和“私钥”（秘密保存）。你用“公钥”把信息锁进盒子，这个盒子只有服务器的“私钥”才能打开，别人拿了公钥也没用。 🌟 核心优点：安全性更高。因为用来加密的“公钥”即使被泄露也不会影响数据安全，是互联网通信安全的基石。 1.7.2013 加密的方式主要有两种，我们可以把它们想象成两种神奇的锁。第一种是对称加密，就像用同一把钥匙锁门和开门，速度很快。第二种是非对称加密，它有两把钥匙，一把公开的“公钥”用来锁东西，一把私有的“私钥”用来开锁，非常安全。 ‹#› HTTPS的“握手”过程 01. 发起请求 客户端向服务器打招呼：“你好，我想建立安全连接！” 02. 出示凭证 服务器回应：“你好，这是我的‘身份证’（数字证书）和‘公钥’。” 03. 验证真伪 客户端仔细检查服务器的“身份证”，确认是真实有效的。 04. 生成密钥 客户端生成“会话密钥”，用服务器公钥加密后发送给服务器。 05. 解密密钥 服务器收到密文，用自己的“私钥”解密，得到“会话密钥”。 06. 安全通信 双方使用“会话密钥”进行对称加密，开始安全、高效的聊天。 HTTPS先用“非对称加密”安全交换一把“对称加密”的钥匙，随后用这把钥匙进行快速数据传输，兼顾了安全性与效率。 1.7.2013 那么HTTPS具体是怎么工作的呢？它会进行一场“握手”仪式。首先，你的浏览器向服务器请求建立安全连接。服务器会出示它的“身份证”和“公钥”。你的浏览器验证身份证没问题后，会生成一把临时的“会话密钥”，并用服务器的公钥加密后发回去。服务器用自己的私钥解密得到密钥。最后，双方就用这把密钥进行快速、安全的通信了。 ‹#› 什么是“数字证书”？ 概念讲解 数字证书就像是网站的“网络身份证”。它由专门的、大家都信任的“网络警察”（CA机构）颁发。这张“身份证”上记录了网站的名字、公钥以及有效期等关键信息，是网站在网络世界中的合法身份证明。 核心作用 当你的浏览器收到这张“身份证”时，会自动检查其真伪与有效期。如果验证通过，就证明你访问的网站是真实可靠的，有效防止被钓鱼网站或恶意伪装的虚假站点欺骗，保障网络访问的安全性。 1.7.2013 ‹#› 学会看“红绿灯”：识别安全标志 安全（绿灯） 地址栏左侧有一个绿色的小锁图标，网址以 https:// 开头。这表示连接是安全的，可以放心输入密码等信息。 警告（黄灯） 地址栏显示“不安全”或一个黄色的感叹号。这通常是因为网站的证书有问题，需要提高警惕！ 危险（红灯） 地址栏显示“危险”或一个红色的叉号。这表示网站的证书是伪造的，极有可能是钓鱼网站！请立即关闭页面！ 1.7.2013 ‹#› HTTP vs HTTPS：一场安全升级（1） HTTP 采用明文传输方式，如同在公共广场上大声交谈，数据在传输过程中完全暴露，极易被黑客窃听、篡改或冒充，安全性极低，适用于非敏感信息的传输场景。 HTTPS 基于SSL/TLS协议进行加密传输，如同在密闭隔音的房间里说悄悄话。数据经过高强度加密，即使被截获也无法破解，能有效防止窃听和篡改，是目前安全传输的标准方案。 1.7.2013 现在我们来对比一下HTTP和HTTPS。首先是安全性，HTTP是明文传输，毫无隐私可言。而HTTPS是加密传输，能有效防止信息被窃听和篡改。 ‹#› HTTP vs HTTPS：一场安全升级（2） HTTP 无身份验证机制，无法确认通信对方的真实身份。这意味着你可能正在与一个伪装的“骗子”网站进行对话，数据极易被冒充和劫持，存在极大的安全隐患。 HTTPS 通过权威机构颁发的数字证书验证服务器身份。在建立连接前先确认对方是真实、合法的网站，从源头防止被钓鱼网站或恶意服务器冒充，保障通信双方的真实性。 1.7.2013 ‹#› HTTP vs HTTPS：一场安全升级（3） HTTP 协议 浏览器通常会在地址栏显著标记为“不安全”，触发用户的警惕心理，可能导致用户因担忧数据泄露而放弃访问。 HTTPS 协议 地址栏会显示标志性的“小绿锁”图标，直观地向用户传达网站的安全性，有效提升用户信任度和访问意愿。 1.7.2013 ‹#› HTTP vs HTTPS：一场安全升级（4） HTTP 性能表现 HTTP 协议由于省略了复杂的加密和解密过程，数据传输的速度相对更快。在对实时性要求极高且安全风险较低的场景下，这种“轻量级”的特性是其主要优势。 HTTPS 安全升级 HTTPS 因包含 SSL/TLS 握手与加密运算，理论上会有极轻微的延迟。但得益于现代服务器性能优化与技术改进，这种延迟在实际浏览中几乎无感知，却能换来数据防窃听、防篡改的巨大安全保障。 1.7.2013 最后是性能。HTTP因为没有加密解密步骤，速度会快一些。而HTTPS虽然会增加一点点计算开销，但在现代技术下，这个延迟几乎可以忽略不计，换来的却是巨大的安全提升。 ‹#› 案例分析：小明的悲剧 事件回顾 小明在玩一款热门网络游戏时，突然收到一条私信：“恭喜您成为幸运玩家，点击链接http://game-gift.cn领取绝版皮肤！” 小明信以为真，点击链接进入了一个高仿游戏官网的页面。在对方要求输入账号和密码后，他不假思索地填写了信息。结果不仅没领到皮肤，再次登录游戏时发现账号密码已被篡改，游戏内的珍贵装备也全部被盗空！ 思考时刻 同学们，结合我们刚才学到的网络安全知识，请大家分组讨论一下： 1.小明哪里做错了？他在整个过程中犯了哪些致命的错误？ 2.假网站有什么破绽？从网址、页面细节等方面，有哪些地方可以看出这是一个钓鱼网站？ 请大家踊跃发言，分享你们的发现！ 1.7.2013 ‹#› 揭秘钓鱼网站的伪装术 破绽1：网址不对 官方网站可能是 game.com，而钓鱼网站常是 game-gift.cn 或使用形似的西里尔字母，需仔细辨别。 破绽2：没有安全锁 以 http:// 开头，浏览器地址栏没有绿色小锁标识，说明该网站未经过安全加密，存在风险。 破绽3：诱导性语言 频繁使用“免费”、“绝版”、“恭喜中奖”等极具诱惑性的词语，利用贪小便宜心理引导用户点击。 这种通过模仿官方网站界面、伪造相似域名，进而骗取用户账号、密码、银行卡等敏感信息的恶意网站，我们就称之为“钓鱼网站”。遇到以上特征的网站，请务必提高警惕，切勿随意输入个人信息。 1.7.2013 我们来剖析一下这个案例。首先，网址不对，和官方网址有细微差别。其次，它是HTTP开头，没有安全锁。最后，它用“免费”、“绝版”等诱人的词语来引诱用户。这种网站就是典型的“钓鱼网站”。 ‹#› 案例分析：收到“银行”短信怎么办？ 故事背景 小红收到一条看似官方的短信：“【XX银行】您的账户积分即将过期，请立即点击 http://xybank-verify.top 兑换礼品。” 短信排版正规，极具迷惑性。 思考时刻 如果你是小红，面对这种情况，你会直接点击链接兑换礼品，还是会先保持警惕，核实信息真伪？ 1.7.2013 再来看一个案例。小红收到一条看似来自银行的短信，要求点击链接兑换积分。如果你是小红，你会怎么做呢？是直接点击，还是谨慎对待？ ‹#› 如何安全应对？ 正确做法1：不轻信 银行不会通过短信发送链接让你登录。收到此类信息时，保持警惕，切勿轻信陌生号码发来的内容。 正确做法2：不点击 直接忽略短信中的可疑链接。陌生链接可能包含钓鱼网站或恶意程序，随意点击可能导致个人信息泄露。 正确做法3：走官方渠道 若需确认，手动打开银行官方APP，或在浏览器地址栏输入官网（如www.xybank.com）进行核实。 正规机构绝不会通过短信、邮件索要你的密码或验证码！凡是要求提供此类敏感信息的，均为诈骗行为，请务必提高警惕。 1.7.2013 正确的做法是：不轻信、不点击。正规的银行或机构绝对不会通过短信发送链接让你登录。如果有疑问，一定要通过官方APP或手动输入官网地址来核实。 ‹#› 火眼金睛：识别钓鱼网站五步法 01 看域名 检查网址是否和官方网址一致，警惕字母大小写、细微拼写差别。 02 看锁标 检查地址栏是否有 https:// 前缀和绿色小锁图标，确保传输安全。 03 看内容 警惕排版粗糙、错别字多的页面；切勿在非官方页面输入敏感信息。 04 看来源 不轻信陌生号码、垃圾邮件或社交媒体私信发来的可疑链接。 05 多核实 通过官方APP、客服电话等渠道核实信息真伪，切勿直接点击链接。 1.7.2013 总结一下，识别钓鱼网站有五个步骤：一看域名，二看锁标，三看内容，四看来源，五要多核实。记住这五步，就能练就火眼金睛，识破骗子的伪装。 ‹#› 谁是真正的“安全网站”？ 分组协作 将学生分为若干小组，以团队形式进行讨论与分析，共同完成挑战任务。 素材展示 展示4-5张真实网站截图，涵盖HTTPS安全站、HTTP风险站及钓鱼网站等不同类型。 慧眼识珠 小组讨论并指出截图中哪些是安全网站、哪些是危险网站，并详细阐述判断理由。 安全网站 https://www.taobao.com 特征：地址栏显示绿色小锁图标，协议为HTTPS，域名正规。这是经过加密的安全连接。 钓鱼网站 http://www.taobao-login.com 特征：无安全锁，域名中带有“login”等诱导性词汇，且协议为HTTP。这是典型的仿冒钓鱼陷阱。 证书错误 https://www.qq.com (Err) 特征：虽然是HTTPS，但浏览器提示“证书不受信任”。这可能是中间人攻击，切勿继续访问。 相对风险 http://news.example.com 特征：HTTP协议但仅展示公开新闻，无登录/支付框。虽无敏感信息泄露风险，但数据传输可能被窃听。 1.7.2013 现在，我们来玩一个游戏，叫做“火眼金睛大比拼”。我会展示几张网站截图，请各个小组讨论，找出哪些是安全的网站，哪些是危险的，并说明你们的理由。看看哪个小组是真正的网络安全小卫士！ ‹#› 知识问答：安全知识我知道！ 活动形式：抢答赛 Q1: 网址 http://www.xxx.com 和 https://www.xxx.com 哪个更安全？ A: 后者，因为HTTPS协议更安全。 Q2: 浏览器地址栏的小绿锁代表什么？ A: 代表当前连接是加密且安全的，数据传输不易被窃取。 Q3: 收到中奖短信要求点击链接领奖，应该怎么做？ A: 不理睬，切勿点击陌生链接，可向官方渠道核实。 Q4: “钓鱼网站”主要目的是什么？ A: 伪装成正规网站，骗取用户的账号、密码、银行卡等敏感信息。 Q5: HTTPS协议中的“S”代表什么单词？ A: Secure，即“安全的”，代表该协议是安全超文本传输协议。 准备好了吗？ 考验大家的时刻到了，开始抢答吧！ 1.7.2013 ‹#› 小组讨论：我们身边的网络安全（1） 讨论题 1 在公共WiFi环境下（如咖啡馆、商场、机场等），使用手机或电脑上网时，我们需要注意哪些潜在的风险？又该采取什么措施来保护自己的信息安全呢？请大家结合生活实际展开讨论。 引导方向 1.警惕数据监听：公共WiFi通常未加密或加密级别低，黑客可能通过技术手段监听网络数据，窃取传输的敏感信息。 2.禁止敏感操作：应避免进行网上银行支付、登录支付宝/微信等重要账号、输入身份证号或银行卡号等操作，防止个人信息泄露。 1.7.2013 ‹#› 小组讨论：我们身边的网络安全（2） 讨论题2：除了HTTPS，我们还可以通过哪些方式保护自己的网络安全？结合日常使用网络的经验，思考并列举出具体的防护手段。 设置强密码 使用字母、数字和符号的组合，避免使用生日、手机号等容易被猜到的信息。 警惕不明软件 不随意下载安装来源不明的软件、插件或文件，防止恶意程序入侵设备。 定期更新维护 及时更新操作系统补丁，升级杀毒软件病毒库，修复已知的安全漏洞。 1.7.2013 第二个讨论题：除了我们今天学的HTTPS，还有哪些方法可以保护我们的网络安全？比如密码设置、软件下载等方面，大家有什么好的建议？ ‹#› 分享与总结 请小组代表分享讨论结果，教师进行点评和补充，让我们一起来回顾和梳理本次课程的核心知识点。 公共WiFi风险防范 警惕“钓鱼WiFi”陷阱，在公共场合避免连接未加密的陌生网络，防止个人信息被窃取。 设置强密码的重要性 使用字母、数字和符号组合的复杂密码，定期更换不同平台的密码，避免“一套密码走天下”。 养成安全下载习惯 仅从官方应用商店或正规官网下载软件，仔细阅读授权协议，拒绝安装来源不明的文件。 及时更新系统和应用 系统和应用的更新往往修复了已知漏洞，保持设备软件处于最新状态是抵御攻击的关键防线。 1.7.2013 好了，讨论时间到。现在请每个小组派一位代表来分享你们的讨论结果。我们一起来总结一下，如何全方位地保护我们的网络安全。 ‹#› 本节课我们学到了什么？ HTTP 协议风险 明文传输数据，安全性极低，通信过程中存在被窃听、篡改数据或身份冒充的风险，不适用于敏感信息传输。 HTTPS 安全升级 HTTP的安全增强版，通过SSL/TLS协议对传输数据进行加密，并验证服务器身份，有效防止数据泄露和中间人攻击。 识别安全标志 学会辨别浏览器地址栏的“小绿锁”图标，这是网站可信的重要标识；同时警惕浏览器弹出的不安全连接警告。 养成安全习惯 不随意点击陌生链接，不在非正规网站输入银行卡、密码等敏感信息，仔细辨别钓鱼网站的伪装特征。 1.7.2013 课程接近尾声，我们来回顾一下今天学到的核心知识点。我们了解了HTTP的不安全，学会了HTTPS如何通过加密和身份验证来保护我们。最重要的是，我们学会了识别安全标志，并养成了安全上网的好习惯。 ‹#› 从我做起，做安全文明的小网民 上安全的网 在网络冲浪时，认准网址栏中的HTTPS加密标识，确保访问的网站是安全可信的，远离钓鱼陷阱。 做安全的事 增强个人信息保护意识，不随意泄露身份证号、银行卡号及验证码，守护好自己的数字身份。 传安全的言 保持理性思考，面对网络信息不信谣、不传谣、不造谣，积极传播正能量，共建清朗网络空间。 1.7.2013 网络安全不仅是技术问题，更是我们每个人的责任。让我们一起倡议：上安全的网，做安全的事，传安全的言，从我做起，做一名安全文明的小网民！ ‹#› 实践作业 01 观察与记录 回家后，打开电脑或手机浏览器，访问几个你常用的网站（如百度、QQ、淘宝），仔细观察它们的地址栏，看看是否都显示了小绿锁图标和https://前缀，将你的发现记录下来。 02 分享与交流 当一回“家庭网络安全小老师”，和家人分享今天学到的知识。重点教他们如何通过地址栏的细节快速识别不安全的网站，共同提升家庭的网络安全意识。 1.7.2013 ‹#› $