強化一網絡安全和安全情報意識，共筑網絡安全防線基于OWASP和CNCERT相關項目的分析

郭錫泉，陳香錫

（1.清遠職業技術學院，廣東清遠 511510；2.清遠市網絡空間安全工程技術研究開發中心，廣東清遠 511510）

1 引言

世界各國越來越重視網絡安全和安全情報意識的培養。許暢等人[1]研究了美國公民國家網絡安全意識的培養，李奎樂[2]研究了日本網絡安全領域的情報共享機制，秦殿啟等人[3]明確提出了情報素養是信息安全理論的核心要素。劉崇瑞等人[4]進一步探討了大學生網絡安全風險判斷的現狀與對策，張曉娟等人[5]針對手機用戶進行信息安全意識與行為的研究，李建華[6]研究了網絡空間威脅情報的感知、共享與分析技術，王英等人[7]從我國網絡信息安全政策法律角度探討了情報觀，張志華等人[8]、曹如中等人[9]則從網絡信息安全角度研究了我國競爭情報體系的構建。

學者的研究，體現了網絡安全和安全情報意識的重要性。本文從實踐層面，對OWASP（Open Web Application Service Project）和CNCERT（國家互聯網應急中心）有關的項目進行分析，剖析當前我國公民對組織層面網絡安全與安全情報的意識水平，并提出改進的措施與建議。

2 OWASP相關項目與分析

OWASP在全球范圍內發起了眾多的安全研究項目，這里主要介紹“OWASP中國”安全意識Top 10和OWASP Top 10兩個項目的情況。

2.1 “OWASP中國”安全意識Top 10項目情況

為了引導社會公眾認識網絡安全事件所產生的不良后果，進而強化網絡安全意識，“OWASP中國”（OWASP在中國的運營機構）策劃了2018年版安全意識Top 10的項目。該項目由SecZone互聯網安全研究中心創建和領導，本文研究人員所在的清遠職業技術學院網絡安全團隊全程參與了該項目并承擔了信息收集和處理的工作，2018年版安全意識Top 10文檔已通過OWASP官網發布。

項目組收集和篩選了2017年至2018年間200個典型的網絡安全事件，事件主題涵蓋了網絡攻擊、有害程序、信息破壞、電信詐騙、設備故障、信息內容安全等方面，如圖1所示。在對這200個典型網絡安全事件進行深入統計和分析的基礎上，從普遍性、危害性、可控性以及事件影響力等方面進行了一致性的評估和排序。

2018年版安全意識Top 10中，利用漏洞攻擊、信息泄露事件、計算機病毒事件、木馬事件等高居榜首，“WannaCry”勒索病毒、滴滴順風車乘客信息泄露、公共充電樁藏有木馬、點“微信紅包”手機中毒、假賬號詐騙（徐玉玉事件）等耳熟能詳的事件，都被收入典型案例[10]中，如表1所示。對于非計算機相關專業的人士，是難以理解漏洞、病毒、木馬、釣魚、惡意代碼、信息泄露、信息篡改等專業術語的。“OWASP中國”為喚起和強化社會公眾的網絡安全意識，主要做了三方面的工作。

（1）對網絡安全事件分門別類，幫助社會公眾梳理網絡安全事件的種類和類型，認識網絡安全事件涉及的技術手段和形式。

（2）事件的普遍性、危害性、可控性從0～5進行星級評價，區分度為半顆星；并根據事件后果的嚴重程度，綜合考慮事件的排序，最終得出安全意識Top 10的列表，并通過相關典型案例加深公眾對網絡安全事件的直觀認識。

（3）著力闡釋事件的可能后果，讓公眾從相關事件中吸取經驗教訓，避免重蹈網絡安全事件的覆轍，學會管理日常生活中的網絡安全風險。

2.2 OWASP Top 10項目情況

在移動互聯網、即時通訊盛行的今天，Web應用以其強大的生命力，成為了當前最主要的網絡應用之一。從靜態網頁到動態網頁，到適應電子支付加密需求的HTTPS，再到適應移動互聯網需求的HTML5技術，Web應用一直與時俱進，功能越來越強大。伴隨著Web應用的日益擴張，Web應用攻擊也愈演愈烈。與C/C++、Java等編譯型語言不同，Web網頁大多采用解釋型語言（HTML、PHP等）來編寫，若對瀏覽器用戶的輸入不進行有效地檢查，極易招致SQL注入等Web攻擊。為提高Web開發人員和管理人員的安全意識，OWASP持續推出OWASP Top 10（10項最嚴重的Web應用程序安全風險）項目。目前，最新的版本為2017年版[11]，上一個版本是2013年版，如表2所示。

圖1 安全意識Top 10項目的思維導圖

表1 安全意識Top 10一覽

2017年版的OWASP Top 10采集了40家專門從事Web應用安全業務公司的數據，調查了500位以上從業人員，其漏洞信息來自數以百計的組織、超過10萬個實際Web應用程序和API。注入失效的身份認證連續兩次位居榜首，網站管理員必須高度重視此類安全漏洞。而XML外部實體（XXE）、不安全的反序列化等首次進入Top 10榜單，這也應引起網站管理員的關注。

OWASP Top 10已經成為Web安全的實用標準之一，在網站的開發階段和運行維護階段，參照該標準將獲益良多。特別是網站開發階段，應盡可能遵循該標準的建議，并使Web應用系統通過信息安全等級保護測評，這將為日后的網站安全防護工作奠下堅實的基礎。

表2 OWASP Top 10一覽

2.3 OWASP相關項目的運用

上述項目在網絡安全科普方面進行了有益的探索和實踐，嘗試在網絡安全技術和社會公眾之間建立溝通的橋梁和通道。在2018年、2019年國家“網絡安全宣傳周”期間，本文研究人員多次運用上述項目的成果向校內外學生、社會人士作介紹和分享，在喚起和強化公眾網絡安全意識上起到極大的促進作用。

3 CNCERT相關項目與分析

個人層面強化網絡安全意識，是全社會參與網絡安全治理的良好開端。全面落實網絡安全保護，還需要各行各業的社會組織廣泛參與、共同發力。本節從國家互聯網應急中心的有關項目進行分析，以期組織層面對網絡安全情報給予足夠的重視。

3.1 對CNCERT年度網絡安全態勢報告的分析

本文收集了CNCERT 2011～2018年我國互聯網網絡安全態勢綜述的年度報告[12～19]，做出了進一步的總結和數據分析。

3.1.1 對網絡安全態勢關鍵詞的分析

對2015～2018年報告中網絡安全年度狀況進行統計發現，網絡安全態勢的關鍵詞出現頻率最高（3次）的是敲詐勒索、工業控制系統，拒絕服務、移動應用、高級持續性威脅（APT）、智能設備次之（2次），最后是云平臺、應用軟件供應鏈安全、信息泄露（1次）。如圖2所示。

圖2 網絡安全態勢關鍵詞頻率

CNCERT年度報告還分析了各種網絡安全威脅所影響的行業，如表3所示。例如，勒索軟件主要影響政府、醫療、教育、制造業等行業，在“WannaCry”勒索病毒爆發期間，一些技術管理不嚴的政府部門、醫院首先中招，深受其害；工業控制系統主要影響電力、燃氣、煤炭等行業。

表3 各種網絡安全威脅影響的行業一覽

在網絡和信息化程度越來越高的今天，面對越來越嚴峻的網絡安全形勢，各行各業、各種組織都難以獨善其身。關注所在行業的網絡安全威脅，認清面臨的網絡安全風險，善于收集和利用網絡安全情報并進行有效應對，才是最好的解決之道。

3.1.2 對CNVD收錄漏洞情況的分析

《我國互聯網網絡安全態勢綜述》年度報告中，網絡安全漏洞情況分析是其中的一個重頭戲。2014年以來，國家信息安全漏洞共享平臺CNVD收錄安全漏洞年平均增長率為15%，如表4所示。

表4 CNVD2011～2018年收錄漏洞情況一覽

2018年收錄漏洞總數較2017年有所下降，但高危漏洞、“零日”漏洞（CNVD收錄該漏洞時還未公布補丁）數量持續走高。綜合2011年至2018年的數據，如圖3所示，可得收錄漏洞數量的整體趨勢是持續增長的。網絡安全行業不斷在加強網絡安全漏洞管理，近年來引入“安全眾測”的模式來鼓勵社會各方技術力量進行漏洞挖掘，這也是CNVD收錄漏洞數量增長的一方面原因。從這個角度看，收錄漏洞數量增長也有其積極的意義。

我國推行的信息安全等級保護，沿用了“資產-威脅-漏洞”的安全模型，如圖4所示。資產指信息資產，關注點是保密性、完整性和可用性這些安全屬性。威脅可以分成人為因素（惡意和疏忽）和環境因素。漏洞，也叫脆弱性，是資產本身存在的，威脅要利用資產的漏洞才能對其造成危害。因此，安全漏洞信息是一項極其重要的網絡安全情報。

圖4 資產-威脅-漏洞安全模型

CNVD按應用程序漏洞、Web應用漏洞、操作系統漏洞、網絡設備漏洞、安全產品漏洞和數據庫漏洞六個門類對漏洞進行分類，并給出各年的統計數據，如表5所示。

表5 CNVD2015～2018年收錄漏洞類型一覽

為得出2015～2018年間漏洞類型的平均占比，可做如公式（1）的計算處理。設年份為i，漏洞類型為j，某年漏洞總數為Si，該年第j項漏洞的百分比為Pij，記第j項漏洞在2015～2018年四年間的百分比為Pj。

通過上述計算方法，可得到2015～2018年四年間六種漏洞類型的平均占比，如表6所示。計算結果與2017年各種漏洞類型占比數據較為接近。

在直方圖中，應用程序漏洞遙遙領先，其次為Web應用漏洞。如圖5所示。

表6 CNVD2015～2018年間收錄漏洞類型平均值

圖5 2015～2018年間CNVD收錄漏洞類型占比

在信息安全等級保護的框架中，物理安全、網絡安全、主機安全、應用安全和數據安全構成技術評估的五個基本面。對照CNVD的漏洞分類，網絡設備漏洞屬于網絡安全領域，操作系統漏洞屬于主機安全領域，而Web應用漏洞、應用程序漏洞則屬于應用安全領域。根據上述分析，應用安全領域的漏洞占到76.60%（Web應用漏洞與應用程序漏洞之和）。可推斷，在網絡安全實踐過程中，網絡攻擊已集中在應用安全領域。對于組織而言，重視自身信息系統的安全漏洞、關注網絡安全漏洞情報，已經刻不容緩。

3.1.3 對網站被篡改情況的分析

在2015～2018年四年間，Web應用漏洞占比達到17.20%。CNVD甚至把Web應用漏洞單列，從應用程序漏洞中區分出來，足見Web應用漏洞數量之多、影響之大。網站被入侵和攻擊時，影響最為惡劣的莫過于網站頁面被篡改。網站被篡改，輕則被植入暗鏈，重則被掛上不恰當的內容。組織的形象和聲譽都會受損，甚至有演變成網絡意識形態安全問題的可能。國家互聯網應急中心2011～2018年持續發布了網站被篡改情況的統計信息，如表7所示。

在直方圖中，如圖6所示，可得2011～2018年間網站被篡改數量有所波動，但整體趨勢是減少和受控的。政府網站是被篡改的“重災區”之一，一方面是政府網站公信力高，易成為攻擊目標；另一方面部分地方和基層政府單位對網站疏于管理，對安全漏洞信息和情報置若罔聞或沒有進行針對性的整改，令攻擊者有機可乘。

表7 CNCERT2015～2018年監測網站被篡改情況一覽

圖6 2011～2018年CNCERT監測被篡改網站情況一覽

3.2 基于107份CNVD原創漏洞證明的分析

本文研究人員所在的網絡安全團隊，在2016～2018年向國家信息安全漏洞共享平臺CNVD提交了數百個網絡安全漏洞。對于中危及以上通用型漏洞、高危事件型漏洞，CNVD將給予原創漏洞證明。經CNVD審核，研究人員獲得了107份原創漏洞證明。對這些原創漏洞證明做進一步分析。

首先，107份原創漏洞證明均為Web應用漏洞的類型。具體技術漏洞包括命令執行漏洞、sql注入漏洞、phpMyAdmin弱口令以及與Structs2相關的幾種命令執行漏洞，如圖7所示。其中，sql注入漏洞最多，為39份。

圖7 107份原創漏洞證明技術漏洞分類

對Structs2相關的幾種命令執行漏洞進行歸并，合為“S2匯總”一個大類后，漏洞排序更為清晰，如圖8所示。技術漏洞占比由少至多的順序為：phpMyAdmin弱口、命令執行漏洞、sql注入漏洞、S2匯總。其中，S2匯總漏洞最多，為60份。

圖8 歸并后漏洞排序情況

Structs2相關漏洞屬于OWASP Top 10中的A9-使用含有已知漏洞的組件，而sql注入漏洞則屬于OWASP Top 10中的A1-注入。在107份原創漏洞證明中，使用含有已知漏洞的組件成為第一位的漏洞，是因為2017年Structs2相關漏洞處于爆發期，本文團隊成員在該時段獲得了大量的原創漏洞證明。若排除Structs2漏洞爆發的因素，注入仍然是第一位的漏洞，這從側面印證了OWASP Top 10的合理性和科學性。

107份原創漏洞證明中，屬于政府部門網站的有82份，屬于行業企業網站的有14份，屬于事業單位的有11份，如圖9所示。這反映出不少政府部門、事業單位對網站安全管理的輕視和不作為。

圖9 存在網站漏洞的組織一覽

對存在網站漏洞的組織所處地域進行統計，情況為：

（1）華東地區：山東、江蘇、上海、浙江、安徽、福建、江西；

（2）華南地區：廣東；

（3）華中地區：河南、湖南、湖北；

（4）華北地區：北京、天津、河北、山西、內蒙古；

（5）西北地區：陜西、甘肅；

（6）西南地區：四川、貴州、重慶；

（7）東北地區：遼寧、吉林、黑龍江。

地域覆蓋全國24個省（直轄市、自治區），比較有代表性。這反映了全國各地的網絡和信息化應用意識、應用水平都比較高，但與之不適應的則是網絡安全意識不強、網絡安全管理不善。

4 加強網絡安全防線的措施與建議

網絡安全為人民，網絡安全靠人民。網絡安全需要全民、全方位的參與，建議今后從三個方面著手，進一步推進網絡安全的治理，全社會筑牢網絡安全的防線。

4.1 個人層面，強化網絡安全意識

在當前的網絡和信息化時代，個人必然處于現代通信網絡環境之中，必然接觸到形形色色的網絡應用。在享受網絡和信息化便利的同時，網絡安全這根弦一定不能放松。

社會公眾強化網絡安全意識，可緊緊把握“后果”“手段”這兩個關鍵詞。“后果”指網絡安全事件帶來的不良影響，像“徐玉玉事件”的代價是一條年輕的生命和美好的青春年華，“WannaCry”勒索病毒影響的可能是單位重要的業務系統和業務數據。“手段”指網絡安全事件涉及的技術與方法，如病毒、木馬等計算機技術手段以及釣魚、詐騙等社會工程伎倆。網絡應用種類繁多，網絡技術日新月異，個人網絡安全的“防守范圍”也越來越大。2018年版安全意識Top 10給出了個人網絡安全防范措施的建議，如表8所示，最為關鍵的是強化網絡安全意識，養成良好的使用習慣。

4.2 組織層面，關注和善用網絡安全情報

各行各業的組織有必要建立信息安全管理體系，落實信息安全等級保護。在網絡安全管理的實踐過程中，要把應用安全作為關鍵工作來抓。有Web應用系統的組織，要特別注意做好網站的安全管理，具體可根據OWASP Top 10的指引來進行針對性的檢查和整改。

表7 CNCERT2015～2018年監測網站被篡改情況一覽

根據所在行業和領域的網絡應用特點，關注網絡安全情報，善于利用各種情報來加強網絡安全管理。其中，有應用價值的網絡安全情報為：

（1）資產情報。組織應當建立信息資產的臺賬，包括硬件、線路、軟件和數據等。要特別關注直接暴露于互聯網的信息資產，如對外的Web服務器，一天24小時均處于聯網和工作的狀態，容易成為網絡攻擊的目標。黑客對Web服務器進行掃描時，可以輕易獲知操作系統、Web服務器、Web開發語言、應用框架與組件等Web應用指紋信息，利用這些信息可進行針對性的漏洞挖掘。

（2）漏洞情報。國家信息安全漏洞共享平臺CNVD、國家信息安全漏洞庫CNNVD、國際安全漏洞庫CVE（Common Vulnerabilities &Exposures）等國內外漏洞平臺，均提供大量的漏洞情報。CNVD設有“綿羊墻”機制，主動聯系漏洞的涉事單位進行整改。如果收到類似通知或查詢到登上了“綿羊墻”，一定要及時進行安全響應和應急處置，盡快修補漏洞。網絡管理員平時要根據自身的信息資產（特別是暴露于互聯網的系統），關注相應的漏洞情報。如Web應用系統采用的Structs2框架，一定要留意有沒有新的Structs2漏洞；采用內容管理系統（CMS）的，要留意該CMS系統有沒有新的漏洞出現。在被篡改的政府網站中，存在“陳年”漏洞的情況不在少數，應引以為戒。

（3）威脅情報。威脅情報是近年來新出現的事物，美國2015年推出的《網絡威脅情報權威指南》[20]中提出“威脅情報是通過收集和分析對手的情報、動機、企圖和方法，幫助安全人員防范可能發生的攻擊并保護關鍵資產”。我國緊跟網絡威脅情報的發展趨勢，目前已出臺的國家標準《信息安全技術網絡安全威脅信息格式規范》(GB/T 36643-2018)，以引導威脅情報的共享和應用。國內的微步在線、天際友盟等平臺可提供免費的威脅情報信息，并支持IP、域名、URL、E-mail、MD5、SHA1、SHA256等方式對威脅情報進行搜索。

4.3 國家層面，構建國家網絡安全情報體系

針對技術和形勢的發展，建議從立法普法、網信工作、管理創新、技術與人才等方面構建和完善我國的網絡安全情報體系。

（1）立法普法。我國已相繼實施《中華人民共和國網絡安全法》《中華人民共和國國家情報法》，初步實現了網信工作有法可依。國家和地方需強化網絡安全和安全情報的立法意識，根據網信工作的需要適時出臺法律法規。同時要做好 “普法”工作，強化青少年、社會公眾、社會組織不同群體的網絡安全和安全情報意識。

（2）網信工作。國家和地方的網信部門在網絡安全和安全情報的工作實踐中，有必要進一步豐富網信工作的內容和形式，切實提高公民和組織對網絡空間的認知，規范自身在網絡空間的行為，共同維護網絡空間安全。

（3）管理創新。我國逐步建立了CNVD、CNNV等國家級漏洞庫，還涌現出補天平臺、漏洞盒子等行業企業的漏洞庫，再加上微步在線、天際友盟、烽火臺安全威脅情報聯盟等威脅情報平臺，情報資源越來越豐富。國家可因勢利導，整合政府部門和行業企業的網絡安全情報資源。未來可提供統一和開放的接口，為社會公眾和社會組織提供更便捷、更有價值的網絡安全情報。

（4）技術與人才。進一步加強網絡安全人才的培養，推動網絡安全技術的進步。特別注意網絡安全學科和情報學科的交叉和滲透，培養既懂網絡安全技術，又懂情報工作的復合型網絡安全人才，為國家網絡安全情報體系提供人才保障和智力支持。

5 結束語

網絡安全不僅是技術問題，也是管理問題、社會問題。只有全社會真正動員起來，從個人、組織和國家多個層面強化網絡安全意識，重視網絡安全情報的利用，才有利于開創網絡安全和信息化工作的新局面，才有利于總體國家安全觀的貫徹落實。