互联网应用安全现状与趋势（一）

目录

2018年，全球互联网数据进一步呈现指数级增长之势，传统行业数字化转型基本完成。面对人工智能、区块链等新一轮信息技术，需要建立系统开发、IT技术、产品、客户关系等多方面的能力，面临的威胁呈现出更加多元化、复杂化的趋势。

机器学习等AI技术在风险控制和反欺诈领域有了大量样本积累，准确率有所提升，在提高一致性和应用质量、降低错误率和成本以及关键过程自动化方面起到重要作用。未来随着准确率逐步提升，企业将进一步减少低水平人力消耗，让安全人员能投入到更加重要的工作中去。

各行业的发展带来应用安全威胁的不断增长，业务场景下的自动化攻击(Bots)逐渐成为业内重要关注点。据统计，网站流量中超过70%由自动化工具发起，而攻击流量中约90%都是自动化工具，对自动化攻击的防护已经成为反欺诈的核心。

热门漏洞按照威胁程度排行，命令执行、SQL注入及弱口令排名靠前;从数量上来看，逻辑漏洞、命令执行和XSS漏洞分列前三。

第一章 安全现状 法律法规监管 GCSCC CMM

最近几十年，信息通信技术（ICT）的作用和地位愈发重要。从经济角度来看，互联网和信息通信技术对经济的促进已得到广泛认可。然而，这些技术同时也使得网络空间的非法活动激增。由此，兰德公司于2018年8月发布报告《发展网络安全能力》（Developing Cybersecurity Capacity），旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定，以应对网络领域的挑战。报告中，对国家网络成熟度进行了详细的审查和评估，并将其结论更好地转化为切实的政策建议和投资战略，使政策制定更好地增强该国的网络安全能力。

国家网络安全能力成熟度模型（CMM）由牛津大学（Universityof Oxford）的全球网络空间安全能力中心（GCSCC）创建，并由英国外交部（UK FCO）的网络安全能力建设计划进行资助。由于美洲国家组织（OAS）、世界银行（WB）、国际电信联盟（ITU）和英联邦电信联盟（CTO）等国际组织在许多国家和地区都部署了这一工具，因此在实践者中备受关注。

全球网络空间安全能力中心能力成熟度模型（GCSCCCMM）的首个版本出版于2014年，2017年更新为最新版本。根据全球网络空间安全能力中心能力成熟度模型（GCSCCCMM）所述，一个国家的网络生态系统被认为由五个维度构成。

第1维——网络安全政策和战略

全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的维度着眼于国家制定、实施和审查国家级网络安全战略的能力，以及支持该战略的关键战略、理论学说和操作文件和活动。这一维度包括以下六大因素：

D1.1–国家网络安全战略

国家制定、审查和更新国家网络安全战略的能力，有助于确定网络安全行动的优先次序，确定责任，并分配相关资源。

D1.2–安全应急响应

关注安全应急响应能力，特别是在国家层面上应对网络安全事件的能力。

D1.3–关键基础设施保护

强调保护那些对维持包括健康、安全、安全保障、经济和社会福利在内的重要的社会职能必不可少的资产和系统的能力。

D1.4–危机管理

强调发展国家建立、审查和更新国家危机管理应用程序、功能协议和标准的能力。

D1.5–网络防御

国家设计和实施网络防御战略的能力，同时保持对政府、国际商业团体和社会开放网络空间的好处和灵活性。

D1.6–通信冗余

关注的是各国政府识别、详细规划和利用国家利益攸关方之间的数字冗余和冗余通信的能力。

维度2——网络文化与社会

模型考察了网络安全的宽阔的文化与社会维度，及其在提高网络空间安全性与恢复力方面所发挥的作用。个体、公众、民间和社会层次的参与者之间所存在的国家网络安全文化是以对有助于网络生态系统的成熟度和恢复力的价值观、态度和实践的共同的理解与接受为条件的。本维度包括5个因素：

D2.1–网络安全心态

集中于国家网络安全参与者的价值观、态度和实践，包括存在于网络生态系统中的政府、私营部门、个人用户及其他参与者。

D2.2–对互联网的信任和信赖

聚焦于普通民众以安全的和私密的方式使用因特网时所具有的信任和信赖，包括使用政府的电子服务平台和电子商务平台。

D2.3–用户对于线上个人信息保护的理解

聚焦于普通民众以及公共部门和私营部门中的用户和参与者是否能够意识到和理解线上个人信息保护的重要性和意义。

D2.4–报告机制

聚焦于用户报告网络犯罪的报告机制和渠道的存在和使用，包括线上欺骗、网络暴力、虐待孩子、身份盗窃、保密和安全破坏以及其他事件。

D2.5–媒体和社交媒体

聚焦于媒体和社交媒体的作用，着眼于它们在传达网络安全信息方面的作用以及网络安全作为一个主题在这些媒体和平台上讨论和争论的程度。

第3维——网络安全、教育、培训与技能

模型的第3维评估了高质量网络安全教育、培训和意识提升活动在全国的可实施性以及对这些活动进行开发和提供的能力。这包括为不同的政府利益相关者团体、私营部门和普通人群提供的教育和培训活动。包含三个因素：

D3.1– 意识提升

这个因素评估的是以公共部门、私营部门、学术界和民间团体中的利益相关者以及公众为目标的网络安全意识计划和倡议的可获得性、提供和接受情况。

D3.2– 网络安全教育框架

这个因素评估的是初等、中等和高等网络安全教育的可获得性和提供情况。

D3.3– 专业培训框架

这个因素关注的是网络安全专业培训对网络安全专业人员队伍而言的可获得性和提供情况，包括通过组织内部的水平和垂直网络安全知识转移以及通过持续技能开发来提供的网络安全专业培训。

第4维——法律法规框架

模型第4维评估了政府直接或间接地设计并颁布网络安全相关国家法律的能力，包括针对与网络犯罪、隐私和数据保护有关的问题所颁布的法律。GCSCC的这个维度由三个因素组成：

D4.1– 法律框架

这个因素聚焦于与网络安全有关的法律法规框架，包括：ICT安全性法律框架、隐私权、言论自由、网络人权、数据保护、儿童保护、消费者保护、知识产权以及实体和程序性网络犯罪立法。

D4.2– 刑事司法系统

这个因素聚焦于国家打击网络犯罪的能力，包括执法机构调查网络犯罪的能力、检察机关起诉网络犯罪及使用电子证据的能力以及法院审理网络犯罪案件和电子证据案件的能力。

D4.3– 以打击网络犯罪为目的的正式/非正式合作框架

这个因素聚焦于国家确保地方行为者之间以及与国外相关同行之间通过正式/非正式合作来震慑、打击网络犯罪的能力。

第5维——标准、组织和技术

模型第五维度考虑正式标准、国际准则和信息控制的使用，以帮助开发安全、公开和有弹性的网络生态系统。目前就技术信息控制、互联网协议、密码标准、网络安全承诺、审查和认证程序等主题不断展开研究，取得了大量的成果。由于技术发展的快速步伐，为了构建在这些领域的能力，建议参考最新版本的官方供应商文件和最先进的标准。GCSCC CMM的这个维度包括七个因素：

D5.1- 遵守标准

该因素侧重于采纳和遵守国际标准和网络安全、风险管理、采购和软件开发方面的优秀实践。

D5.2- 互联网基础设施的弹性

该因素侧重于国家互联网服务和基础设施的可用性和灵活性，以及支持其维护的安全程序。

D5.3- 软件质量

该因素侧重于对编码的使用把关，以减少公共和私营部门中普遍存在的易受攻击的软件代码，以及对有助于适当的软件改进更新和维护的政策机制予以保护。

D5.4- 技术安全控制

该因素侧重于通过采纳国际标准和优秀实践以实现网络空间安全的技术安全控制。

D5.5- 密码控制

该因素侧重于在国家层面对静态数据和动态数据使用加密和安全通讯方式，并在国家实践中遵守国际标准。

D5.6- 网络安全市场

该因素考虑了网络安全市场，着眼于竞争性网络安全技术的可操作性和发展，以及网络安全保险的可用性和接受度。

D5.7– 责任性披露

该因素侧重于负责任地披露网络入侵以及漏洞的能力和机制。

未完待续。。。