强化一网络安全和安全情报意识共筑网络安全防(3)

3.1.3 对网站被篡改情况的分析

在2015～2018年四年间，Web应用漏洞占比达到17.20%。CNVD甚至把Web应用漏洞单列，从应用程序漏洞中区分出来，足见Web应用漏洞数量之多、影响之大。网站被入侵和攻击时，影响最为恶劣的莫过于网站页面被篡改。网站被篡改，轻则被植入暗链，重则被挂上不恰当的内容。组织的形象和声誉都会受损，甚至有演变成网络意识形态安全问题的可能。国家互联网应急中心2011～2018年持续发布了网站被篡改情况的统计信息，如表7所示。

在直方图中，如图6所示，可得2011～2018年间网站被篡改数量有所波动，但整体趋势是减少和受控的。政府网站是被篡改的“重灾区”之一，一方面是政府网站公信力高，易成为攻击目标；另一方面部分地方和基层政府单位对网站疏于管理，对安全漏洞信息和情报置若罔闻或没有进行针对性的整改，令攻击者有机可乘。

表7 CNCERT2015～2018年监测网站被篡改情况一览?

图6 2011～2018年CNCERT监测被篡改网站情况一览

3.2 基于107份CNVD原创漏洞证明的分析

本文研究人员所在的网络安全团队，在2016～2018年向国家信息安全漏洞共享平台CNVD提交了数百个网络安全漏洞。对于中危及以上通用型漏洞、高危事件型漏洞，CNVD将给予原创漏洞证明。经CNVD审核，研究人员获得了107份原创漏洞证明。对这些原创漏洞证明做进一步分析。

首先，107份原创漏洞证明均为Web应用漏洞的类型。具体技术漏洞包括命令执行漏洞、sql注入漏洞、phpMyAdmin弱口令以及与Structs2相关的几种命令执行漏洞，如图7所示。其中，sql注入漏洞最多，为39份。

图7 107份原创漏洞证明技术漏洞分类

对Structs2相关的几种命令执行漏洞进行归并，合为“S2汇总”一个大类后，漏洞排序更为清晰，如图8所示。技术漏洞占比由少至多的顺序为：phpMyAdmin弱口、命令执行漏洞、sql注入漏洞、S2汇总。其中，S2汇总漏洞最多，为60份。

图8 归并后漏洞排序情况

Structs2相关漏洞属于OWASP Top 10中的A9-使用含有已知漏洞的组件，而sql注入漏洞则属于OWASP Top 10中的A1-注入。在107份原创漏洞证明中，使用含有已知漏洞的组件成为第一位的漏洞，是因为2017年Structs2相关漏洞处于爆发期，本文团队成员在该时段获得了大量的原创漏洞证明。若排除Structs2漏洞爆发的因素，注入仍然是第一位的漏洞，这从侧面印证了OWASP Top 10的合理性和科学性。

107份原创漏洞证明中，属于政府部门网站的有82份，属于行业企业网站的有14份，属于事业单位的有11份，如图9所示。这反映出不少政府部门、事业单位对网站安全管理的轻视和不作为。

图9 存在网站漏洞的组织一览

对存在网站漏洞的组织所处地域进行统计，情况为：

（1）华东地区：山东、江苏、上海、浙江、安徽、福建、江西；

（2）华南地区：广东；

（3）华中地区：河南、湖南、湖北；

（4）华北地区：北京、天津、河北、山西、内蒙古；

（5）西北地区：陕西、甘肃；

（6）西南地区：四川、贵州、重庆；

（7）东北地区：辽宁、吉林、黑龙江。

地域覆盖全国24个省（直辖市、自治区），比较有代表性。这反映了全国各地的网络和信息化应用意识、应用水平都比较高，但与之不适应的则是网络安全意识不强、网络安全管理不善。

4 加强网络安全防线的措施与建议

网络安全为人民，网络安全靠人民。网络安全需要全民、全方位的参与，建议今后从三个方面着手，进一步推进网络安全的治理，全社会筑牢网络安全的防线。

4.1 个人层面，强化网络安全意识

在当前的网络和信息化时代，个人必然处于现代通信网络环境之中，必然接触到形形色色的网络应用。在享受网络和信息化便利的同时，网络安全这根弦一定不能放松。

社会公众强化网络安全意识，可紧紧把握“后果”“手段”这两个关键词。“后果”指网络安全事件带来的不良影响，像“徐玉玉事件”的代价是一条年轻的生命和美好的青春年华，“WannaCry”勒索病毒影响的可能是单位重要的业务系统和业务数据。“手段”指网络安全事件涉及的技术与方法，如病毒、木马等计算机技术手段以及钓鱼、诈骗等社会工程伎俩。网络应用种类繁多，网络技术日新月异，个人网络安全的“防守范围”也越来越大。2018年版安全意识Top 10给出了个人网络安全防范措施的建议，如表8所示，最为关键的是强化网络安全意识，养成良好的使用习惯。

文章来源：《情报探索》 网址: http://www.qbtszz.cn/qikandaodu/2021/0710/1445.html