- · 《情报探索》栏目设置[08/03]
- · 《情报探索》数据库收录[08/03]
- · 《情报探索》投稿方式[08/03]
- · 《情报探索》征稿要求[08/03]
- · 《情报探索》刊物宗旨[08/03]
强化一网络安全和安全情报意识共筑网络安全防(3)
作者:网站采编关键词:
摘要:3.1.3 对网站被篡改情况的分析 在2015~2018年四年间,Web应用漏洞占比达到17.20%。CNVD甚至把Web应用漏洞单列,从应用程序漏洞中区分出来,足见Web应用漏洞
3.1.3 对网站被篡改情况的分析
在2015~2018年四年间,Web应用漏洞占比达到17.20%。CNVD甚至把Web应用漏洞单列,从应用程序漏洞中区分出来,足见Web应用漏洞数量之多、影响之大。网站被入侵和攻击时,影响最为恶劣的莫过于网站页面被篡改。网站被篡改,轻则被植入暗链,重则被挂上不恰当的内容。组织的形象和声誉都会受损,甚至有演变成网络意识形态安全问题的可能。国家互联网应急中心2011~2018年持续发布了网站被篡改情况的统计信息,如表7所示。
在直方图中,如图6所示,可得2011~2018年间网站被篡改数量有所波动,但整体趋势是减少和受控的。政府网站是被篡改的“重灾区”之一,一方面是政府网站公信力高,易成为攻击目标;另一方面部分地方和基层政府单位对网站疏于管理,对安全漏洞信息和情报置若罔闻或没有进行针对性的整改,令攻击者有机可乘。
表7 CNCERT2015~2018年监测网站被篡改情况一览?
图6 2011~2018年CNCERT监测被篡改网站情况一览
3.2 基于107份CNVD原创漏洞证明的分析
本文研究人员所在的网络安全团队,在2016~2018年向国家信息安全漏洞共享平台CNVD提交了数百个网络安全漏洞。对于中危及以上通用型漏洞、高危事件型漏洞,CNVD将给予原创漏洞证明。经CNVD审核,研究人员获得了107份原创漏洞证明。对这些原创漏洞证明做进一步分析。
首先,107份原创漏洞证明均为Web应用漏洞的类型。具体技术漏洞包括命令执行漏洞、sql注入漏洞、phpMyAdmin弱口令以及与Structs2相关的几种命令执行漏洞,如图7所示。其中,sql注入漏洞最多,为39份。
图7 107份原创漏洞证明技术漏洞分类
对Structs2相关的几种命令执行漏洞进行归并,合为“S2汇总”一个大类后,漏洞排序更为清晰,如图8所示。技术漏洞占比由少至多的顺序为:phpMyAdmin弱口、命令执行漏洞、sql注入漏洞、S2汇总。其中,S2汇总漏洞最多,为60份。
图8 归并后漏洞排序情况
Structs2相关漏洞属于OWASP Top 10中的A9-使用含有已知漏洞的组件,而sql注入漏洞则属于OWASP Top 10中的A1-注入。在107份原创漏洞证明中,使用含有已知漏洞的组件成为第一位的漏洞,是因为2017年Structs2相关漏洞处于爆发期,本文团队成员在该时段获得了大量的原创漏洞证明。若排除Structs2漏洞爆发的因素,注入仍然是第一位的漏洞,这从侧面印证了OWASP Top 10的合理性和科学性。
107份原创漏洞证明中,属于政府部门网站的有82份,属于行业企业网站的有14份,属于事业单位的有11份,如图9所示。这反映出不少政府部门、事业单位对网站安全管理的轻视和不作为。
图9 存在网站漏洞的组织一览
对存在网站漏洞的组织所处地域进行统计,情况为:
(1)华东地区:山东、江苏、上海、浙江、安徽、福建、江西;
(2)华南地区:广东;
(3)华中地区:河南、湖南、湖北;
(4)华北地区:北京、天津、河北、山西、内蒙古;
(5)西北地区:陕西、甘肃;
(6)西南地区:四川、贵州、重庆;
(7)东北地区:辽宁、吉林、黑龙江。
地域覆盖全国24个省(直辖市、自治区),比较有代表性。这反映了全国各地的网络和信息化应用意识、应用水平都比较高,但与之不适应的则是网络安全意识不强、网络安全管理不善。
4 加强网络安全防线的措施与建议
网络安全为人民,网络安全靠人民。网络安全需要全民、全方位的参与,建议今后从三个方面着手,进一步推进网络安全的治理,全社会筑牢网络安全的防线。
4.1 个人层面,强化网络安全意识
在当前的网络和信息化时代,个人必然处于现代通信网络环境之中,必然接触到形形色色的网络应用。在享受网络和信息化便利的同时,网络安全这根弦一定不能放松。
社会公众强化网络安全意识,可紧紧把握“后果”“手段”这两个关键词。“后果”指网络安全事件带来的不良影响,像“徐玉玉事件”的代价是一条年轻的生命和美好的青春年华,“WannaCry”勒索病毒影响的可能是单位重要的业务系统和业务数据。“手段”指网络安全事件涉及的技术与方法,如病毒、木马等计算机技术手段以及钓鱼、诈骗等社会工程伎俩。网络应用种类繁多,网络技术日新月异,个人网络安全的“防守范围”也越来越大。2018年版安全意识Top 10给出了个人网络安全防范措施的建议,如表8所示,最为关键的是强化网络安全意识,养成良好的使用习惯。
文章来源:《情报探索》 网址: http://www.qbtszz.cn/qikandaodu/2021/0710/1445.html
上一篇:从到
下一篇:网络反恐的情报工作研究