强化一网络安全和安全情报意识共筑网络安全防(2)

表2 OWASP Top 10一览?

2.3 OWASP相关项目的运用

上述项目在网络安全科普方面进行了有益的探索和实践，尝试在网络安全技术和社会公众之间建立沟通的桥梁和通道。在2018年、2019年国家“网络安全宣传周”期间，本文研究人员多次运用上述项目的成果向校内外学生、社会人士作介绍和分享，在唤起和强化公众网络安全意识上起到极大的促进作用。

3 CNCERT相关项目与分析

个人层面强化网络安全意识，是全社会参与网络安全治理的良好开端。全面落实网络安全保护，还需要各行各业的社会组织广泛参与、共同发力。本节从国家互联网应急中心的有关项目进行分析，以期组织层面对网络安全情报给予足够的重视。

3.1 对CNCERT年度网络安全态势报告的分析

本文收集了CNCERT 2011～2018年我国互联网网络安全态势综述的年度报告[12～19]，做出了进一步的总结和数据分析。

3.1.1 对网络安全态势关键词的分析

对2015～2018年报告中网络安全年度状况进行统计发现，网络安全态势的关键词出现频率最高（3次）的是敲诈勒索、工业控制系统，拒绝服务、移动应用、高级持续性威胁（APT）、智能设备次之（2次），最后是云平台、应用软件供应链安全、信息泄露（1次）。如图2所示。

图2 网络安全态势关键词频率

CNCERT年度报告还分析了各种网络安全威胁所影响的行业，如表3所示。例如，勒索软件主要影响政府、医疗、教育、制造业等行业，在“WannaCry”勒索病毒爆发期间，一些技术管理不严的政府部门、医院首先中招，深受其害；工业控制系统主要影响电力、燃气、煤炭等行业。

表3 各种网络安全威胁影响的行业一览?

在网络和信息化程度越来越高的今天，面对越来越严峻的网络安全形势，各行各业、各种组织都难以独善其身。关注所在行业的网络安全威胁，认清面临的网络安全风险，善于收集和利用网络安全情报并进行有效应对，才是最好的解决之道。

3.1.2 对CNVD收录漏洞情况的分析

《我国互联网网络安全态势综述》年度报告中，网络安全漏洞情况分析是其中的一个重头戏。2014年以来，国家信息安全漏洞共享平台CNVD收录安全漏洞年平均增长率为15%，如表4所示。

表4 CNVD2011～2018年收录漏洞情况一览?

2018年收录漏洞总数较2017年有所下降，但高危漏洞、“零日”漏洞（CNVD收录该漏洞时还未公布补丁）数量持续走高。综合2011年至2018年的数据，如图3所示，可得收录漏洞数量的整体趋势是持续增长的。网络安全行业不断在加强网络安全漏洞管理，近年来引入“安全众测”的模式来鼓励社会各方技术力量进行漏洞挖掘，这也是CNVD收录漏洞数量增长的一方面原因。从这个角度看，收录漏洞数量增长也有其积极的意义。

我国推行的信息安全等级保护，沿用了“资产-威胁-漏洞”的安全模型，如图4所示。资产指信息资产，关注点是保密性、完整性和可用性这些安全属性。威胁可以分成人为因素（恶意和疏忽）和环境因素。漏洞，也叫脆弱性，是资产本身存在的，威胁要利用资产的漏洞才能对其造成危害。因此，安全漏洞信息是一项极其重要的网络安全情报。

图4 资产-威胁-漏洞安全模型

CNVD按应用程序漏洞、Web应用漏洞、操作系统漏洞、网络设备漏洞、安全产品漏洞和数据库漏洞六个门类对漏洞进行分类，并给出各年的统计数据，如表5所示。

表5 CNVD2015～2018年收录漏洞类型一览?

为得出2015～2018年间漏洞类型的平均占比，可做如公式（1）的计算处理。设年份为i，漏洞类型为j，某年漏洞总数为Si，该年第j项漏洞的百分比为Pij，记第j项漏洞在2015～2018年四年间的百分比为Pj。

通过上述计算方法，可得到2015～2018年四年间六种漏洞类型的平均占比，如表6所示。计算结果与2017年各种漏洞类型占比数据较为接近。

在直方图中，应用程序漏洞遥遥领先，其次为Web应用漏洞。如图5所示。

表6 CNVD2015～2018年间收录漏洞类型平均值?

图5 2015～2018年间CNVD收录漏洞类型占比

在信息安全等级保护的框架中，物理安全、网络安全、主机安全、应用安全和数据安全构成技术评估的五个基本面。对照CNVD的漏洞分类，网络设备漏洞属于网络安全领域，操作系统漏洞属于主机安全领域，而Web应用漏洞、应用程序漏洞则属于应用安全领域。根据上述分析，应用安全领域的漏洞占到76.60%（Web应用漏洞与应用程序漏洞之和）。可推断，在网络安全实践过程中，网络攻击已集中在应用安全领域。对于组织而言，重视自身信息系统的安全漏洞、关注网络安全漏洞情报，已经刻不容缓。

文章来源：《情报探索》 网址: http://www.qbtszz.cn/qikandaodu/2021/0710/1445.html