強(qiáng)化一網(wǎng)絡(luò)安全和安全情報(bào)意識(shí)，共筑網(wǎng)絡(luò)安全防線基于OWASP和CNCERT相關(guān)項(xiàng)目的分析

郭錫泉，陳香錫

（1.清遠(yuǎn)職業(yè)技術(shù)學(xué)院，廣東清遠(yuǎn) 511510；2.清遠(yuǎn)市網(wǎng)絡(luò)空間安全工程技術(shù)研究開(kāi)發(fā)中心，廣東清遠(yuǎn) 511510）

1 引言

世界各國(guó)越來(lái)越重視網(wǎng)絡(luò)安全和安全情報(bào)意識(shí)的培養(yǎng)。許暢等人[1]研究了美國(guó)公民國(guó)家網(wǎng)絡(luò)安全意識(shí)的培養(yǎng)，李奎樂(lè)[2]研究了日本網(wǎng)絡(luò)安全領(lǐng)域的情報(bào)共享機(jī)制，秦殿啟等人[3]明確提出了情報(bào)素養(yǎng)是信息安全理論的核心要素。劉崇瑞等人[4]進(jìn)一步探討了大學(xué)生網(wǎng)絡(luò)安全風(fēng)險(xiǎn)判斷的現(xiàn)狀與對(duì)策，張曉娟等人[5]針對(duì)手機(jī)用戶進(jìn)行信息安全意識(shí)與行為的研究，李建華[6]研究了網(wǎng)絡(luò)空間威脅情報(bào)的感知、共享與分析技術(shù)，王英等人[7]從我國(guó)網(wǎng)絡(luò)信息安全政策法律角度探討了情報(bào)觀，張志華等人[8]、曹如中等人[9]則從網(wǎng)絡(luò)信息安全角度研究了我國(guó)競(jìng)爭(zhēng)情報(bào)體系的構(gòu)建。

學(xué)者的研究，體現(xiàn)了網(wǎng)絡(luò)安全和安全情報(bào)意識(shí)的重要性。本文從實(shí)踐層面，對(duì)OWASP（Open Web Application Service Project）和CNCERT（國(guó)家互聯(lián)網(wǎng)應(yīng)急中心）有關(guān)的項(xiàng)目進(jìn)行分析，剖析當(dāng)前我國(guó)公民對(duì)組織層面網(wǎng)絡(luò)安全與安全情報(bào)的意識(shí)水平，并提出改進(jìn)的措施與建議。

2 OWASP相關(guān)項(xiàng)目與分析

OWASP在全球范圍內(nèi)發(fā)起了眾多的安全研究項(xiàng)目，這里主要介紹“OWASP中國(guó)”安全意識(shí)Top 10和OWASP Top 10兩個(gè)項(xiàng)目的情況。

2.1 “OWASP中國(guó)”安全意識(shí)Top 10項(xiàng)目情況

為了引導(dǎo)社會(huì)公眾認(rèn)識(shí)網(wǎng)絡(luò)安全事件所產(chǎn)生的不良后果，進(jìn)而強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，“OWASP中國(guó)”（OWASP在中國(guó)的運(yùn)營(yíng)機(jī)構(gòu)）策劃了2018年版安全意識(shí)Top 10的項(xiàng)目。該項(xiàng)目由SecZone互聯(lián)網(wǎng)安全研究中心創(chuàng)建和領(lǐng)導(dǎo)，本文研究人員所在的清遠(yuǎn)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全團(tuán)隊(duì)全程參與了該項(xiàng)目并承擔(dān)了信息收集和處理的工作，2018年版安全意識(shí)Top 10文檔已通過(guò)OWASP官網(wǎng)發(fā)布。

項(xiàng)目組收集和篩選了2017年至2018年間200個(gè)典型的網(wǎng)絡(luò)安全事件，事件主題涵蓋了網(wǎng)絡(luò)攻擊、有害程序、信息破壞、電信詐騙、設(shè)備故障、信息內(nèi)容安全等方面，如圖1所示。在對(duì)這200個(gè)典型網(wǎng)絡(luò)安全事件進(jìn)行深入統(tǒng)計(jì)和分析的基礎(chǔ)上，從普遍性、危害性、可控性以及事件影響力等方面進(jìn)行了一致性的評(píng)估和排序。

2018年版安全意識(shí)Top 10中，利用漏洞攻擊、信息泄露事件、計(jì)算機(jī)病毒事件、木馬事件等高居榜首，“WannaCry”勒索病毒、滴滴順風(fēng)車乘客信息泄露、公共充電樁藏有木馬、點(diǎn)“微信紅包”手機(jī)中毒、假賬號(hào)詐騙（徐玉玉事件）等耳熟能詳?shù)氖录?，都被收入典型案例[10]中，如表1所示。對(duì)于非計(jì)算機(jī)相關(guān)專業(yè)的人士，是難以理解漏洞、病毒、木馬、釣魚(yú)、惡意代碼、信息泄露、信息篡改等專業(yè)術(shù)語(yǔ)的?！癘WASP中國(guó)”為喚起和強(qiáng)化社會(huì)公眾的網(wǎng)絡(luò)安全意識(shí)，主要做了三方面的工作。

（1）對(duì)網(wǎng)絡(luò)安全事件分門(mén)別類，幫助社會(huì)公眾梳理網(wǎng)絡(luò)安全事件的種類和類型，認(rèn)識(shí)網(wǎng)絡(luò)安全事件涉及的技術(shù)手段和形式。

（2）事件的普遍性、危害性、可控性從0～5進(jìn)行星級(jí)評(píng)價(jià)，區(qū)分度為半顆星；并根據(jù)事件后果的嚴(yán)重程度，綜合考慮事件的排序，最終得出安全意識(shí)Top 10的列表，并通過(guò)相關(guān)典型案例加深公眾對(duì)網(wǎng)絡(luò)安全事件的直觀認(rèn)識(shí)。

（3）著力闡釋事件的可能后果，讓公眾從相關(guān)事件中吸取經(jīng)驗(yàn)教訓(xùn)，避免重蹈網(wǎng)絡(luò)安全事件的覆轍，學(xué)會(huì)管理日常生活中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2.2 OWASP Top 10項(xiàng)目情況

在移動(dòng)互聯(lián)網(wǎng)、即時(shí)通訊盛行的今天，Web應(yīng)用以其強(qiáng)大的生命力，成為了當(dāng)前最主要的網(wǎng)絡(luò)應(yīng)用之一。從靜態(tài)網(wǎng)頁(yè)到動(dòng)態(tài)網(wǎng)頁(yè)，到適應(yīng)電子支付加密需求的HTTPS，再到適應(yīng)移動(dòng)互聯(lián)網(wǎng)需求的HTML5技術(shù)，Web應(yīng)用一直與時(shí)俱進(jìn)，功能越來(lái)越強(qiáng)大。伴隨著Web應(yīng)用的日益擴(kuò)張，Web應(yīng)用攻擊也愈演愈烈。與C/C++、Java等編譯型語(yǔ)言不同，Web網(wǎng)頁(yè)大多采用解釋型語(yǔ)言（HTML、PHP等）來(lái)編寫(xiě)，若對(duì)瀏覽器用戶的輸入不進(jìn)行有效地檢查，極易招致SQL注入等Web攻擊。為提高Web開(kāi)發(fā)人員和管理人員的安全意識(shí)，OWASP持續(xù)推出OWASP Top 10（10項(xiàng)最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險(xiǎn)）項(xiàng)目。目前，最新的版本為2017年版[11]，上一個(gè)版本是2013年版，如表2所示。

圖1 安全意識(shí)Top 10項(xiàng)目的思維導(dǎo)圖

表1 安全意識(shí)Top 10一覽

2017年版的OWASP Top 10采集了40家專門(mén)從事Web應(yīng)用安全業(yè)務(wù)公司的數(shù)據(jù)，調(diào)查了500位以上從業(yè)人員，其漏洞信息來(lái)自數(shù)以百計(jì)的組織、超過(guò)10萬(wàn)個(gè)實(shí)際Web應(yīng)用程序和API。注入失效的身份認(rèn)證連續(xù)兩次位居榜首，網(wǎng)站管理員必須高度重視此類安全漏洞。而XML外部實(shí)體（XXE）、不安全的反序列化等首次進(jìn)入Top 10榜單，這也應(yīng)引起網(wǎng)站管理員的關(guān)注。

OWASP Top 10已經(jīng)成為Web安全的實(shí)用標(biāo)準(zhǔn)之一，在網(wǎng)站的開(kāi)發(fā)階段和運(yùn)行維護(hù)階段，參照該標(biāo)準(zhǔn)將獲益良多。特別是網(wǎng)站開(kāi)發(fā)階段，應(yīng)盡可能遵循該標(biāo)準(zhǔn)的建議，并使Web應(yīng)用系統(tǒng)通過(guò)信息安全等級(jí)保護(hù)測(cè)評(píng)，這將為日后的網(wǎng)站安全防護(hù)工作奠下堅(jiān)實(shí)的基礎(chǔ)。

表2 OWASP Top 10一覽

2.3 OWASP相關(guān)項(xiàng)目的運(yùn)用

上述項(xiàng)目在網(wǎng)絡(luò)安全科普方面進(jìn)行了有益的探索和實(shí)踐，嘗試在網(wǎng)絡(luò)安全技術(shù)和社會(huì)公眾之間建立溝通的橋梁和通道。在2018年、2019年國(guó)家“網(wǎng)絡(luò)安全宣傳周”期間，本文研究人員多次運(yùn)用上述項(xiàng)目的成果向校內(nèi)外學(xué)生、社會(huì)人士作介紹和分享，在喚起和強(qiáng)化公眾網(wǎng)絡(luò)安全意識(shí)上起到極大的促進(jìn)作用。

3 CNCERT相關(guān)項(xiàng)目與分析

個(gè)人層面強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，是全社會(huì)參與網(wǎng)絡(luò)安全治理的良好開(kāi)端。全面落實(shí)網(wǎng)絡(luò)安全保護(hù)，還需要各行各業(yè)的社會(huì)組織廣泛參與、共同發(fā)力。本節(jié)從國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的有關(guān)項(xiàng)目進(jìn)行分析，以期組織層面對(duì)網(wǎng)絡(luò)安全情報(bào)給予足夠的重視。

3.1 對(duì)CNCERT年度網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告的分析

本文收集了CNCERT 2011～2018年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述的年度報(bào)告[12～19]，做出了進(jìn)一步的總結(jié)和數(shù)據(jù)分析。

3.1.1 對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)關(guān)鍵詞的分析

對(duì)2015～2018年報(bào)告中網(wǎng)絡(luò)安全年度狀況進(jìn)行統(tǒng)計(jì)發(fā)現(xiàn)，網(wǎng)絡(luò)安全態(tài)勢(shì)的關(guān)鍵詞出現(xiàn)頻率最高（3次）的是敲詐勒索、工業(yè)控制系統(tǒng)，拒絕服務(wù)、移動(dòng)應(yīng)用、高級(jí)持續(xù)性威脅（APT）、智能設(shè)備次之（2次），最后是云平臺(tái)、應(yīng)用軟件供應(yīng)鏈安全、信息泄露（1次）。如圖2所示。

圖2 網(wǎng)絡(luò)安全態(tài)勢(shì)關(guān)鍵詞頻率

CNCERT年度報(bào)告還分析了各種網(wǎng)絡(luò)安全威脅所影響的行業(yè)，如表3所示。例如，勒索軟件主要影響政府、醫(yī)療、教育、制造業(yè)等行業(yè)，在“WannaCry”勒索病毒爆發(fā)期間，一些技術(shù)管理不嚴(yán)的政府部門(mén)、醫(yī)院首先中招，深受其害；工業(yè)控制系統(tǒng)主要影響電力、燃?xì)?、煤炭等行業(yè)。

表3 各種網(wǎng)絡(luò)安全威脅影響的行業(yè)一覽

在網(wǎng)絡(luò)和信息化程度越來(lái)越高的今天，面對(duì)越來(lái)越嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，各行各業(yè)、各種組織都難以獨(dú)善其身。關(guān)注所在行業(yè)的網(wǎng)絡(luò)安全威脅，認(rèn)清面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，善于收集和利用網(wǎng)絡(luò)安全情報(bào)并進(jìn)行有效應(yīng)對(duì)，才是最好的解決之道。

3.1.2 對(duì)CNVD收錄漏洞情況的分析

《我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》年度報(bào)告中，網(wǎng)絡(luò)安全漏洞情況分析是其中的一個(gè)重頭戲。2014年以來(lái)，國(guó)家信息安全漏洞共享平臺(tái)CNVD收錄安全漏洞年平均增長(zhǎng)率為15%，如表4所示。

表4 CNVD2011～2018年收錄漏洞情況一覽

2018年收錄漏洞總數(shù)較2017年有所下降，但高危漏洞、“零日”漏洞（CNVD收錄該漏洞時(shí)還未公布補(bǔ)?。?shù)量持續(xù)走高。綜合2011年至2018年的數(shù)據(jù)，如圖3所示，可得收錄漏洞數(shù)量的整體趨勢(shì)是持續(xù)增長(zhǎng)的。網(wǎng)絡(luò)安全行業(yè)不斷在加強(qiáng)網(wǎng)絡(luò)安全漏洞管理，近年來(lái)引入“安全眾測(cè)”的模式來(lái)鼓勵(lì)社會(huì)各方技術(shù)力量進(jìn)行漏洞挖掘，這也是CNVD收錄漏洞數(shù)量增長(zhǎng)的一方面原因。從這個(gè)角度看，收錄漏洞數(shù)量增長(zhǎng)也有其積極的意義。

我國(guó)推行的信息安全等級(jí)保護(hù)，沿用了“資產(chǎn)-威脅-漏洞”的安全模型，如圖4所示。資產(chǎn)指信息資產(chǎn)，關(guān)注點(diǎn)是保密性、完整性和可用性這些安全屬性。威脅可以分成人為因素（惡意和疏忽）和環(huán)境因素。漏洞，也叫脆弱性，是資產(chǎn)本身存在的，威脅要利用資產(chǎn)的漏洞才能對(duì)其造成危害。因此，安全漏洞信息是一項(xiàng)極其重要的網(wǎng)絡(luò)安全情報(bào)。

圖4 資產(chǎn)-威脅-漏洞安全模型

CNVD按應(yīng)用程序漏洞、Web應(yīng)用漏洞、操作系統(tǒng)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、安全產(chǎn)品漏洞和數(shù)據(jù)庫(kù)漏洞六個(gè)門(mén)類對(duì)漏洞進(jìn)行分類，并給出各年的統(tǒng)計(jì)數(shù)據(jù)，如表5所示。

表5 CNVD2015～2018年收錄漏洞類型一覽

為得出2015～2018年間漏洞類型的平均占比，可做如公式（1）的計(jì)算處理。設(shè)年份為i，漏洞類型為j，某年漏洞總數(shù)為Si，該年第j項(xiàng)漏洞的百分比為Pij，記第j項(xiàng)漏洞在2015～2018年四年間的百分比為Pj。

通過(guò)上述計(jì)算方法，可得到2015～2018年四年間六種漏洞類型的平均占比，如表6所示。計(jì)算結(jié)果與2017年各種漏洞類型占比數(shù)據(jù)較為接近。

在直方圖中，應(yīng)用程序漏洞遙遙領(lǐng)先，其次為Web應(yīng)用漏洞。如圖5所示。

表6 CNVD2015～2018年間收錄漏洞類型平均值

圖5 2015～2018年間CNVD收錄漏洞類型占比

在信息安全等級(jí)保護(hù)的框架中，物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全構(gòu)成技術(shù)評(píng)估的五個(gè)基本面。對(duì)照CNVD的漏洞分類，網(wǎng)絡(luò)設(shè)備漏洞屬于網(wǎng)絡(luò)安全領(lǐng)域，操作系統(tǒng)漏洞屬于主機(jī)安全領(lǐng)域，而Web應(yīng)用漏洞、應(yīng)用程序漏洞則屬于應(yīng)用安全領(lǐng)域。根據(jù)上述分析，應(yīng)用安全領(lǐng)域的漏洞占到76.60%（Web應(yīng)用漏洞與應(yīng)用程序漏洞之和）?？赏茢?，在網(wǎng)絡(luò)安全實(shí)踐過(guò)程中，網(wǎng)絡(luò)攻擊已集中在應(yīng)用安全領(lǐng)域。對(duì)于組織而言，重視自身信息系統(tǒng)的安全漏洞、關(guān)注網(wǎng)絡(luò)安全漏洞情報(bào)，已經(jīng)刻不容緩。

3.1.3 對(duì)網(wǎng)站被篡改情況的分析

在2015～2018年四年間，Web應(yīng)用漏洞占比達(dá)到17.20%。CNVD甚至把Web應(yīng)用漏洞單列，從應(yīng)用程序漏洞中區(qū)分出來(lái)，足見(jiàn)Web應(yīng)用漏洞數(shù)量之多、影響之大。網(wǎng)站被入侵和攻擊時(shí)，影響最為惡劣的莫過(guò)于網(wǎng)站頁(yè)面被篡改。網(wǎng)站被篡改，輕則被植入暗鏈，重則被掛上不恰當(dāng)?shù)膬?nèi)容。組織的形象和聲譽(yù)都會(huì)受損，甚至有演變成網(wǎng)絡(luò)意識(shí)形態(tài)安全問(wèn)題的可能。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心2011～2018年持續(xù)發(fā)布了網(wǎng)站被篡改情況的統(tǒng)計(jì)信息，如表7所示。

在直方圖中，如圖6所示，可得2011～2018年間網(wǎng)站被篡改數(shù)量有所波動(dòng)，但整體趨勢(shì)是減少和受控的。政府網(wǎng)站是被篡改的“重災(zāi)區(qū)”之一，一方面是政府網(wǎng)站公信力高，易成為攻擊目標(biāo)；另一方面部分地方和基層政府單位對(duì)網(wǎng)站疏于管理，對(duì)安全漏洞信息和情報(bào)置若罔聞或沒(méi)有進(jìn)行針對(duì)性的整改，令攻擊者有機(jī)可乘。

表7 CNCERT2015～2018年監(jiān)測(cè)網(wǎng)站被篡改情況一覽

圖6 2011～2018年CNCERT監(jiān)測(cè)被篡改網(wǎng)站情況一覽

3.2 基于107份CNVD原創(chuàng)漏洞證明的分析

本文研究人員所在的網(wǎng)絡(luò)安全團(tuán)隊(duì)，在2016～2018年向國(guó)家信息安全漏洞共享平臺(tái)CNVD提交了數(shù)百個(gè)網(wǎng)絡(luò)安全漏洞。對(duì)于中危及以上通用型漏洞、高危事件型漏洞，CNVD將給予原創(chuàng)漏洞證明。經(jīng)CNVD審核，研究人員獲得了107份原創(chuàng)漏洞證明。對(duì)這些原創(chuàng)漏洞證明做進(jìn)一步分析。

首先，107份原創(chuàng)漏洞證明均為Web應(yīng)用漏洞的類型。具體技術(shù)漏洞包括命令執(zhí)行漏洞、sql注入漏洞、phpMyAdmin弱口令以及與Structs2相關(guān)的幾種命令執(zhí)行漏洞，如圖7所示。其中，sql注入漏洞最多，為39份。

圖7 107份原創(chuàng)漏洞證明技術(shù)漏洞分類

對(duì)Structs2相關(guān)的幾種命令執(zhí)行漏洞進(jìn)行歸并，合為“S2匯總”一個(gè)大類后，漏洞排序更為清晰，如圖8所示。技術(shù)漏洞占比由少至多的順序?yàn)椋簆hpMyAdmin弱口、命令執(zhí)行漏洞、sql注入漏洞、S2匯總。其中，S2匯總漏洞最多，為60份。

圖8 歸并后漏洞排序情況

Structs2相關(guān)漏洞屬于OWASP Top 10中的A9-使用含有已知漏洞的組件，而sql注入漏洞則屬于OWASP Top 10中的A1-注入。在107份原創(chuàng)漏洞證明中，使用含有已知漏洞的組件成為第一位的漏洞，是因?yàn)?017年Structs2相關(guān)漏洞處于爆發(fā)期，本文團(tuán)隊(duì)成員在該時(shí)段獲得了大量的原創(chuàng)漏洞證明。若排除Structs2漏洞爆發(fā)的因素，注入仍然是第一位的漏洞，這從側(cè)面印證了OWASP Top 10的合理性和科學(xué)性。

107份原創(chuàng)漏洞證明中，屬于政府部門(mén)網(wǎng)站的有82份，屬于行業(yè)企業(yè)網(wǎng)站的有14份，屬于事業(yè)單位的有11份，如圖9所示。這反映出不少政府部門(mén)、事業(yè)單位對(duì)網(wǎng)站安全管理的輕視和不作為。

圖9 存在網(wǎng)站漏洞的組織一覽

對(duì)存在網(wǎng)站漏洞的組織所處地域進(jìn)行統(tǒng)計(jì)，情況為：

（1）華東地區(qū)：山東、江蘇、上海、浙江、安徽、福建、江西；

（2）華南地區(qū)：廣東；

（3）華中地區(qū)：河南、湖南、湖北；

（4）華北地區(qū)：北京、天津、河北、山西、內(nèi)蒙古；

（5）西北地區(qū)：陜西、甘肅；

（6）西南地區(qū)：四川、貴州、重慶；

（7）東北地區(qū)：遼寧、吉林、黑龍江。

地域覆蓋全國(guó)24個(gè)?。ㄖ陛犑?、自治區(qū)），比較有代表性。這反映了全國(guó)各地的網(wǎng)絡(luò)和信息化應(yīng)用意識(shí)、應(yīng)用水平都比較高，但與之不適應(yīng)的則是網(wǎng)絡(luò)安全意識(shí)不強(qiáng)、網(wǎng)絡(luò)安全管理不善。

4 加強(qiáng)網(wǎng)絡(luò)安全防線的措施與建議

網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民。網(wǎng)絡(luò)安全需要全民、全方位的參與，建議今后從三個(gè)方面著手，進(jìn)一步推進(jìn)網(wǎng)絡(luò)安全的治理，全社會(huì)筑牢網(wǎng)絡(luò)安全的防線。

4.1 個(gè)人層面，強(qiáng)化網(wǎng)絡(luò)安全意識(shí)

在當(dāng)前的網(wǎng)絡(luò)和信息化時(shí)代，個(gè)人必然處于現(xiàn)代通信網(wǎng)絡(luò)環(huán)境之中，必然接觸到形形色色的網(wǎng)絡(luò)應(yīng)用。在享受網(wǎng)絡(luò)和信息化便利的同時(shí)，網(wǎng)絡(luò)安全這根弦一定不能放松。

社會(huì)公眾強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，可緊緊把握“后果”“手段”這兩個(gè)關(guān)鍵詞?！昂蠊敝妇W(wǎng)絡(luò)安全事件帶來(lái)的不良影響，像“徐玉玉事件”的代價(jià)是一條年輕的生命和美好的青春年華，“WannaCry”勒索病毒影響的可能是單位重要的業(yè)務(wù)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)?！笆侄巍敝妇W(wǎng)絡(luò)安全事件涉及的技術(shù)與方法，如病毒、木馬等計(jì)算機(jī)技術(shù)手段以及釣魚(yú)、詐騙等社會(huì)工程伎倆。網(wǎng)絡(luò)應(yīng)用種類繁多，網(wǎng)絡(luò)技術(shù)日新月異，個(gè)人網(wǎng)絡(luò)安全的“防守范圍”也越來(lái)越大。2018年版安全意識(shí)Top 10給出了個(gè)人網(wǎng)絡(luò)安全防范措施的建議，如表8所示，最為關(guān)鍵的是強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，養(yǎng)成良好的使用習(xí)慣。

4.2 組織層面，關(guān)注和善用網(wǎng)絡(luò)安全情報(bào)

各行各業(yè)的組織有必要建立信息安全管理體系，落實(shí)信息安全等級(jí)保護(hù)。在網(wǎng)絡(luò)安全管理的實(shí)踐過(guò)程中，要把應(yīng)用安全作為關(guān)鍵工作來(lái)抓。有Web應(yīng)用系統(tǒng)的組織，要特別注意做好網(wǎng)站的安全管理，具體可根據(jù)OWASP Top 10的指引來(lái)進(jìn)行針對(duì)性的檢查和整改。

表7 CNCERT2015～2018年監(jiān)測(cè)網(wǎng)站被篡改情況一覽

根據(jù)所在行業(yè)和領(lǐng)域的網(wǎng)絡(luò)應(yīng)用特點(diǎn)，關(guān)注網(wǎng)絡(luò)安全情報(bào)，善于利用各種情報(bào)來(lái)加強(qiáng)網(wǎng)絡(luò)安全管理。其中，有應(yīng)用價(jià)值的網(wǎng)絡(luò)安全情報(bào)為：

（1）資產(chǎn)情報(bào)。組織應(yīng)當(dāng)建立信息資產(chǎn)的臺(tái)賬，包括硬件、線路、軟件和數(shù)據(jù)等。要特別關(guān)注直接暴露于互聯(lián)網(wǎng)的信息資產(chǎn)，如對(duì)外的Web服務(wù)器，一天24小時(shí)均處于聯(lián)網(wǎng)和工作的狀態(tài)，容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。黑客對(duì)Web服務(wù)器進(jìn)行掃描時(shí)，可以輕易獲知操作系統(tǒng)、Web服務(wù)器、Web開(kāi)發(fā)語(yǔ)言、應(yīng)用框架與組件等Web應(yīng)用指紋信息，利用這些信息可進(jìn)行針對(duì)性的漏洞挖掘。

（2）漏洞情報(bào)。國(guó)家信息安全漏洞共享平臺(tái)CNVD、國(guó)家信息安全漏洞庫(kù)CNNVD、國(guó)際安全漏洞庫(kù)CVE（Common Vulnerabilities &Exposures）等國(guó)內(nèi)外漏洞平臺(tái)，均提供大量的漏洞情報(bào)。CNVD設(shè)有“綿羊墻”機(jī)制，主動(dòng)聯(lián)系漏洞的涉事單位進(jìn)行整改。如果收到類似通知或查詢到登上了“綿羊墻”，一定要及時(shí)進(jìn)行安全響應(yīng)和應(yīng)急處置，盡快修補(bǔ)漏洞。網(wǎng)絡(luò)管理員平時(shí)要根據(jù)自身的信息資產(chǎn)（特別是暴露于互聯(lián)網(wǎng)的系統(tǒng)），關(guān)注相應(yīng)的漏洞情報(bào)。如Web應(yīng)用系統(tǒng)采用的Structs2框架，一定要留意有沒(méi)有新的Structs2漏洞；采用內(nèi)容管理系統(tǒng)（CMS）的，要留意該CMS系統(tǒng)有沒(méi)有新的漏洞出現(xiàn)。在被篡改的政府網(wǎng)站中，存在“陳年”漏洞的情況不在少數(shù)，應(yīng)引以為戒。

（3）威脅情報(bào)。威脅情報(bào)是近年來(lái)新出現(xiàn)的事物，美國(guó)2015年推出的《網(wǎng)絡(luò)威脅情報(bào)權(quán)威指南》[20]中提出“威脅情報(bào)是通過(guò)收集和分析對(duì)手的情報(bào)、動(dòng)機(jī)、企圖和方法，幫助安全人員防范可能發(fā)生的攻擊并保護(hù)關(guān)鍵資產(chǎn)”。我國(guó)緊跟網(wǎng)絡(luò)威脅情報(bào)的發(fā)展趨勢(shì)，目前已出臺(tái)的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》(GB/T 36643-2018)，以引導(dǎo)威脅情報(bào)的共享和應(yīng)用。國(guó)內(nèi)的微步在線、天際友盟等平臺(tái)可提供免費(fèi)的威脅情報(bào)信息，并支持IP、域名、URL、E-mail、MD5、SHA1、SHA256等方式對(duì)威脅情報(bào)進(jìn)行搜索。

4.3 國(guó)家層面，構(gòu)建國(guó)家網(wǎng)絡(luò)安全情報(bào)體系

針對(duì)技術(shù)和形勢(shì)的發(fā)展，建議從立法普法、網(wǎng)信工作、管理創(chuàng)新、技術(shù)與人才等方面構(gòu)建和完善我國(guó)的網(wǎng)絡(luò)安全情報(bào)體系。

（1）立法普法。我國(guó)已相繼實(shí)施《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)國(guó)家情報(bào)法》，初步實(shí)現(xiàn)了網(wǎng)信工作有法可依。國(guó)家和地方需強(qiáng)化網(wǎng)絡(luò)安全和安全情報(bào)的立法意識(shí)，根據(jù)網(wǎng)信工作的需要適時(shí)出臺(tái)法律法規(guī)。同時(shí)要做好 “普法”工作，強(qiáng)化青少年、社會(huì)公眾、社會(huì)組織不同群體的網(wǎng)絡(luò)安全和安全情報(bào)意識(shí)。

（2）網(wǎng)信工作。國(guó)家和地方的網(wǎng)信部門(mén)在網(wǎng)絡(luò)安全和安全情報(bào)的工作實(shí)踐中，有必要進(jìn)一步豐富網(wǎng)信工作的內(nèi)容和形式，切實(shí)提高公民和組織對(duì)網(wǎng)絡(luò)空間的認(rèn)知，規(guī)范自身在網(wǎng)絡(luò)空間的行為，共同維護(hù)網(wǎng)絡(luò)空間安全。

（3）管理創(chuàng)新。我國(guó)逐步建立了CNVD、CNNV等國(guó)家級(jí)漏洞庫(kù)，還涌現(xiàn)出補(bǔ)天平臺(tái)、漏洞盒子等行業(yè)企業(yè)的漏洞庫(kù)，再加上微步在線、天際友盟、烽火臺(tái)安全威脅情報(bào)聯(lián)盟等威脅情報(bào)平臺(tái)，情報(bào)資源越來(lái)越豐富。國(guó)家可因勢(shì)利導(dǎo)，整合政府部門(mén)和行業(yè)企業(yè)的網(wǎng)絡(luò)安全情報(bào)資源。未來(lái)可提供統(tǒng)一和開(kāi)放的接口，為社會(huì)公眾和社會(huì)組織提供更便捷、更有價(jià)值的網(wǎng)絡(luò)安全情報(bào)。

（4）技術(shù)與人才。進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全人才的培養(yǎng)，推動(dòng)網(wǎng)絡(luò)安全技術(shù)的進(jìn)步。特別注意網(wǎng)絡(luò)安全學(xué)科和情報(bào)學(xué)科的交叉和滲透，培養(yǎng)既懂網(wǎng)絡(luò)安全技術(shù)，又懂情報(bào)工作的復(fù)合型網(wǎng)絡(luò)安全人才，為國(guó)家網(wǎng)絡(luò)安全情報(bào)體系提供人才保障和智力支持。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全不僅是技術(shù)問(wèn)題，也是管理問(wèn)題、社會(huì)問(wèn)題。只有全社會(huì)真正動(dòng)員起來(lái)，從個(gè)人、組織和國(guó)家多個(gè)層面強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，重視網(wǎng)絡(luò)安全情報(bào)的利用，才有利于開(kāi)創(chuàng)網(wǎng)絡(luò)安全和信息化工作的新局面，才有利于總體國(guó)家安全觀的貫徹落實(shí)。