强化一网络安全和安全情报意识共筑网络安全防 - 情报探索杂志社投稿_期刊论文发表|版面费|电话|编辑部|论文发表- 情报探索

一、来稿必须是作者独立取得的原创性学术研究成果，来稿的文字复制比（相似度或重复率）必须低于用稿标准，引用部分文字的要在参考文献中注明；署名和作者单位无误，未曾以任何形式用任何文种在国内外公开发表过；未一稿多投。二、来稿除文中特别加以标注和致谢之外，不侵犯任何版权或损害第三方的任何其他权利。如果20天后未收到本刊的录用通知，可自行处理(双方另有约定的除外)。三、来稿经审阅通过，编辑部会将修改意见反馈给您，您应在收到通知7天内提交修改稿。作者享有引用和复制该文的权利及著作权法的其它权利。四、一般来说，4500字（电脑WORD统计，图表另计）以下的文章，不能说清问题，很难保证学术质量，本刊恕不受理。五、论文格式及要素：标题、作者、工作单位全称(院系处室)、摘要、关键词、正文、注释、参考文献(遵从国家标准：GB\T7714-2005，点击查看参考文献格式示例)、作者简介(100字内)、联系方式(通信地址、邮编、电话、电子信箱)。六、处理流程：（1）通过电子邮件将稿件发到我刊唯一投稿信箱（2）我刊初审周期为2－3个工作日，请在投稿3天后查看您的邮箱，收阅我们的审稿回复或用稿通知；若30天内没有收到我们的回复，稿件可自行处理。（3）按用稿通知上的要求办理相关手续后，稿件将进入出版程序。（4）杂志出刊后，我们会按照您提供的地址免费奉寄样刊。七、凡向文教资料杂志社投稿者均被视为接受如下声明：（1）稿件必须是作者本人独立完成的，属原创作品（包括翻译），杜绝抄袭行为，严禁学术腐败现象，严格学术不端检测，如发现系抄袭作品并由此引起的一切责任均由作者本人承担，本刊不承担任何民事连带责任。（2）本刊发表的所有文章，除另有说明外，只代表作者本人的观点，不代表本刊观点。由此引发的任何纠纷和争议本刊不受任何牵连。（3）本刊拥有自主编辑权，但仅限于不违背作者原意的技术性调整。如必须进行重大改动的，编辑部有义务告知作者，或由作者授权编辑修改，或提出意见由作者自己修改。（4）作品在《文教资料》发表后，作者同意其电子版同时发布在文教资料杂志社官方网上。（5）作者同意将其拥有的对其论文的汇编权、翻译权、印刷版和电子版的复制权、网络传播权、发行权等权利在世界范围内无限期转让给《文教资料》杂志社。本刊在与国内外文献数据库或检索系统进行交流合作时，不再征询作者意见，并且不再支付稿酬。九、特别欢迎用电子文档投稿，或邮寄编辑部,勿邮寄私人，以免延误稿件处理时间。

强化一网络安全和安全情报意识共筑网络安全防

作者:

关键词:

摘要：

1 引言

世界各国越来越重视网络安全和安全情报意识的培养。许畅等人[1]研究了美国公民国家网络安全意识的培养，李奎乐[2]研究了日本网络安全领域的情报共享机制，秦殿启等人[3]明确提出了情报素养是信息安全理论的核心要素。刘崇瑞等人[4]进一步探讨了大学生网络安全风险判断的现状与对策，张晓娟等人[5]针对手机用户进行信息安全意识与行为的研究，李建华[6]研究了网络空间威胁情报的感知、共享与分析技术，王英等人[7]从我国网络信息安全政策法律角度探讨了情报观，张志华等人[8]、曹如中等人[9]则从网络信息安全角度研究了我国竞争情报体系的构建。

学者的研究，体现了网络安全和安全情报意识的重要性。本文从实践层面，对OWASP（Open Web Application Service Project）和CNCERT（国家互联网应急中心）有关的项目进行分析，剖析当前我国公民对组织层面网络安全与安全情报的意识水平，并提出改进的措施与建议。

2 OWASP相关项目与分析

OWASP在全球范围内发起了众多的安全研究项目，这里主要介绍“OWASP中国”安全意识Top 10和OWASP Top 10两个项目的情况。

2.1 “OWASP中国”安全意识Top 10项目情况

为了引导社会公众认识网络安全事件所产生的不良后果，进而强化网络安全意识，“OWASP中国”（OWASP在中国的运营机构）策划了2018年版安全意识Top 10的项目。该项目由SecZone互联网安全研究中心创建和领导，本文研究人员所在的清远职业技术学院网络安全团队全程参与了该项目并承担了信息收集和处理的工作，2018年版安全意识Top 10文档已通过OWASP官网发布。

项目组收集和筛选了2017年至2018年间200个典型的网络安全事件，事件主题涵盖了网络攻击、有害程序、信息破坏、电信诈骗、设备故障、信息内容安全等方面，如图1所示。在对这200个典型网络安全事件进行深入统计和分析的基础上，从普遍性、危害性、可控性以及事件影响力等方面进行了一致性的评估和排序。

2018年版安全意识Top 10中，利用漏洞攻击、信息泄露事件、计算机病毒事件、木马事件等高居榜首，“WannaCry”勒索病毒、滴滴顺风车乘客信息泄露、公共充电桩藏有木马、点“微信红包”手机中毒、假账号诈骗（徐玉玉事件）等耳熟能详的事件，都被收入典型案例[10]中，如表1所示。对于非计算机相关专业的人士，是难以理解漏洞、病毒、木马、钓鱼、恶意代码、信息泄露、信息篡改等专业术语的。“OWASP中国”为唤起和强化社会公众的网络安全意识，主要做了三方面的工作。

（1）对网络安全事件分门别类，帮助社会公众梳理网络安全事件的种类和类型，认识网络安全事件涉及的技术手段和形式。

（2）事件的普遍性、危害性、可控性从0～5进行星级评价，区分度为半颗星；并根据事件后果的严重程度，综合考虑事件的排序，最终得出安全意识Top 10的列表，并通过相关典型案例加深公众对网络安全事件的直观认识。

（3）着力阐释事件的可能后果，让公众从相关事件中吸取经验教训，避免重蹈网络安全事件的覆辙，学会管理日常生活中的网络安全风险。

2.2 OWASP Top 10项目情况

在移动互联网、即时通讯盛行的今天，Web应用以其强大的生命力，成为了当前最主要的网络应用之一。从静态网页到动态网页，到适应电子支付加密需求的HTTPS，再到适应移动互联网需求的HTML5技术，Web应用一直与时俱进，功能越来越强大。伴随着Web应用的日益扩张，Web应用攻击也愈演愈烈。与C/C++、Java等编译型语言不同，Web网页大多采用解释型语言（HTML、PHP等）来编写，若对浏览器用户的输入不进行有效地检查，极易招致SQL注入等Web攻击。为提高Web开发人员和管理人员的安全意识，OWASP持续推出OWASP Top 10（10项最严重的Web应用程序安全风险）项目。目前，最新的版本为2017年版[11]，上一个版本是2013年版，如表2所示。

图1 安全意识Top 10项目的思维导图

表1 安全意识Top 10一览?

2017年版的OWASP Top 10采集了40家专门从事Web应用安全业务公司的数据，调查了500位以上从业人员，其漏洞信息来自数以百计的组织、超过10万个实际Web应用程序和API。注入失效的身份认证连续两次位居榜首，网站管理员必须高度重视此类安全漏洞。而XML外部实体（XXE）、不安全的反序列化等首次进入Top 10榜单，这也应引起网站管理员的关注。

OWASP Top 10已经成为Web安全的实用标准之一，在网站的开发阶段和运行维护阶段，参照该标准将获益良多。特别是网站开发阶段，应尽可能遵循该标准的建议，并使Web应用系统通过信息安全等级保护测评，这将为日后的网站安全防护工作奠下坚实的基础。

文章来源：《情报探索》网址: http://www.qbtszz.cn/qikandaodu/2021/0710/1445.html