强化一网络安全和安全情报意识共筑网络安全防
1 引言
世界各国越来越重视网络安全和安全情报意识的培养。许畅等人[1]研究了美国公民国家网络安全意识的培养,李奎乐[2]研究了日本网络安全领域的情报共享机制,秦殿启等人[3]明确提出了情报素养是信息安全理论的核心要素。刘崇瑞等人[4]进一步探讨了大学生网络安全风险判断的现状与对策,张晓娟等人[5]针对手机用户进行信息安全意识与行为的研究,李建华[6]研究了网络空间威胁情报的感知、共享与分析技术,王英等人[7]从我国网络信息安全政策法律角度探讨了情报观,张志华等人[8]、曹如中等人[9]则从网络信息安全角度研究了我国竞争情报体系的构建。
学者的研究,体现了网络安全和安全情报意识的重要性。本文从实践层面,对OWASP(Open Web Application Service Project)和CNCERT(国家互联网应急中心)有关的项目进行分析,剖析当前我国公民对组织层面网络安全与安全情报的意识水平,并提出改进的措施与建议。
2 OWASP相关项目与分析
OWASP在全球范围内发起了众多的安全研究项目,这里主要介绍“OWASP中国”安全意识Top 10和OWASP Top 10两个项目的情况。
2.1 “OWASP中国”安全意识Top 10项目情况
为了引导社会公众认识网络安全事件所产生的不良后果,进而强化网络安全意识,“OWASP中国”(OWASP在中国的运营机构)策划了2018年版安全意识Top 10的项目。该项目由SecZone互联网安全研究中心创建和领导,本文研究人员所在的清远职业技术学院网络安全团队全程参与了该项目并承担了信息收集和处理的工作,2018年版安全意识Top 10文档已通过OWASP官网发布。
项目组收集和筛选了2017年至2018年间200个典型的网络安全事件,事件主题涵盖了网络攻击、有害程序、信息破坏、电信诈骗、设备故障、信息内容安全等方面,如图1所示。在对这200个典型网络安全事件进行深入统计和分析的基础上,从普遍性、危害性、可控性以及事件影响力等方面进行了一致性的评估和排序。
2018年版安全意识Top 10中,利用漏洞攻击、信息泄露事件、计算机病毒事件、木马事件等高居榜首,“WannaCry”勒索病毒、滴滴顺风车乘客信息泄露、公共充电桩藏有木马、点“微信红包”手机中毒、假账号诈骗(徐玉玉事件)等耳熟能详的事件,都被收入典型案例[10]中,如表1所示。对于非计算机相关专业的人士,是难以理解漏洞、病毒、木马、钓鱼、恶意代码、信息泄露、信息篡改等专业术语的。“OWASP中国”为唤起和强化社会公众的网络安全意识,主要做了三方面的工作。
(1)对网络安全事件分门别类,帮助社会公众梳理网络安全事件的种类和类型,认识网络安全事件涉及的技术手段和形式。
(2)事件的普遍性、危害性、可控性从0~5进行星级评价,区分度为半颗星;并根据事件后果的严重程度,综合考虑事件的排序,最终得出安全意识Top 10的列表,并通过相关典型案例加深公众对网络安全事件的直观认识。
(3)着力阐释事件的可能后果,让公众从相关事件中吸取经验教训,避免重蹈网络安全事件的覆辙,学会管理日常生活中的网络安全风险。
2.2 OWASP Top 10项目情况
在移动互联网、即时通讯盛行的今天,Web应用以其强大的生命力,成为了当前最主要的网络应用之一。从静态网页到动态网页,到适应电子支付加密需求的HTTPS,再到适应移动互联网需求的HTML5技术,Web应用一直与时俱进,功能越来越强大。伴随着Web应用的日益扩张,Web应用攻击也愈演愈烈。与C/C++、Java等编译型语言不同,Web网页大多采用解释型语言(HTML、PHP等)来编写,若对浏览器用户的输入不进行有效地检查,极易招致SQL注入等Web攻击。为提高Web开发人员和管理人员的安全意识,OWASP持续推出OWASP Top 10(10项最严重的Web应用程序安全风险)项目。目前,最新的版本为2017年版[11],上一个版本是2013年版,如表2所示。
图1 安全意识Top 10项目的思维导图
表1 安全意识Top 10一览?
2017年版的OWASP Top 10采集了40家专门从事Web应用安全业务公司的数据,调查了500位以上从业人员,其漏洞信息来自数以百计的组织、超过10万个实际Web应用程序和API。注入失效的身份认证连续两次位居榜首,网站管理员必须高度重视此类安全漏洞。而XML外部实体(XXE)、不安全的反序列化等首次进入Top 10榜单,这也应引起网站管理员的关注。
OWASP Top 10已经成为Web安全的实用标准之一,在网站的开发阶段和运行维护阶段,参照该标准将获益良多。特别是网站开发阶段,应尽可能遵循该标准的建议,并使Web应用系统通过信息安全等级保护测评,这将为日后的网站安全防护工作奠下坚实的基础。
下一篇:没有了