王克克，田 宇，趙云鵬，郭莉麗，楊 軒

(1.中國(guó)航天系統(tǒng)科學(xué)與工程研究院，北京 海淀 100048；2.中國(guó)電子科技集團(tuán)公司電子科學(xué)研究院，北京 石景山 100041）

0 引言

瀏覽器作為一個(gè)用戶廣泛使用的網(wǎng)絡(luò)入口工具，其信息安全問題日益突出，近年來不斷發(fā)生以瀏覽器為核心的網(wǎng)絡(luò)事故。例如，在2014 年的USENIX 安全大會(huì)上，安全研究人員揭露谷歌應(yīng)用商店48000 個(gè)擴(kuò)展中有至少130 個(gè)為惡意擴(kuò)展，此外在谷歌擴(kuò)展官方網(wǎng)站中有接近五千個(gè)被標(biāo)記為可疑擴(kuò)展[1]；2015 年7 月，意大利輿情監(jiān)控公司Hacking Team 遭受黑客攻擊，攻擊者公開了Hacking Team 公司用于銷售盈利的瀏覽器零日漏洞利用代碼[2]；2015 年，360 首席工程師鄭文彬在韓國(guó)POC 黑客大會(huì)上展示了對(duì)Edge 瀏覽器的沙箱逃逸操作，以此獲得了對(duì)Windows10 操作系統(tǒng)的控制權(quán)[3]；2018 年，360 安全團(tuán)隊(duì)發(fā)現(xiàn)IE 瀏覽器的CVE-2018-8174 漏洞，攻擊者利用該瀏覽器漏洞可遠(yuǎn)程操控受害人計(jì)算機(jī)[4]；2019 年，郝耀鴻等提出瀏覽器安全防護(hù)重點(diǎn)應(yīng)從歷史刪除、安全設(shè)置、分級(jí)審查等方面進(jìn)行防護(hù)[5]。瀏覽器安全對(duì)信息安全領(lǐng)域的影響日益增強(qiáng)，需要從瀏覽器的安全生產(chǎn)與具體使用上同時(shí)進(jìn)行管控。

已有多位學(xué)者針對(duì)瀏覽器信息安全問題展開研究，例如孟永黨等在分析瀏覽器漏洞形成原因和利用效果的基礎(chǔ)上，提出了一種具有良好適用性的基于AHP 模型的瀏覽器漏洞分類方法[6]。王丹等提出了基于HMM（hidden Markov Model，隱馬爾科夫模型）的攻擊向量動(dòng)態(tài)生成和優(yōu)化方案，通過使用決策樹模型對(duì)攻擊向量進(jìn)行分類，能夠顯著提升面向WEB 應(yīng)用的XSS 漏洞檢測(cè)方法的效果[7]。Kapravelos 等提出了一種檢測(cè)惡意Chrome 擴(kuò)展的動(dòng)態(tài)分析系統(tǒng)Hulk[8]；而H.Pei 等提出了一種利用圖挖掘算法對(duì)瀏覽器惡意擴(kuò)展行為圖進(jìn)行挖掘的方法[9]；孫雅靜等設(shè)計(jì)并實(shí)現(xiàn)的瀏覽器安全機(jī)制自動(dòng)化測(cè)試系統(tǒng)，為發(fā)現(xiàn)瀏覽器未知漏洞的自動(dòng)化實(shí)現(xiàn)提供一種思路[10]；除此之外，瀏覽器廠商也都紛紛為瀏覽器增添安全特性，典型的如數(shù)據(jù)保護(hù)機(jī)制（Data Execution Prevention，DEP）、地址空間分布隨機(jī)化（Address Space Layout Randomization，ASLR）機(jī)制、沙箱機(jī)制、XSS(Cross Site Scripting，跨站腳本攻擊)過濾器、DNT（Do Not Track，不要追蹤）和CSP（Content Security Policy，內(nèi)容安全策略）安全策略等。

當(dāng)前，無(wú)論學(xué)術(shù)界還是工業(yè)界，均采用還原論思想識(shí)別瀏覽器某個(gè)階段（典型的在使用階段）或某些方面的安全因素（如黑客攻擊、漏洞利用等），這表明無(wú)論學(xué)術(shù)界還是工業(yè)界都未能形成系統(tǒng)全面的瀏覽器信息安全因素認(rèn)知?，F(xiàn)有研究通常孤立地分析瀏覽器在用戶使用階段的各安全因素，即主要集中在瀏覽器軟件與個(gè)人交互性方面，缺乏對(duì)社會(huì)技術(shù)系統(tǒng)層次的邏輯論述，以及各層級(jí)之間的相互關(guān)系分析。從系統(tǒng)角度來看，安全事故是復(fù)雜社會(huì)技術(shù)系統(tǒng)各組成部分非線性交互作用下的涌現(xiàn)現(xiàn)象。瀏覽器信息安全問題是一個(gè)典型的系統(tǒng)問題，涉及瀏覽器內(nèi)部組件之間的數(shù)據(jù)傳遞與處理，涉及瀏覽器與人的交互，同樣涉及瀏覽器研發(fā)過程以及影響研發(fā)過程和使用行為的各種社會(huì)因素和技術(shù)因素，研究瀏覽器系統(tǒng)研制開發(fā)與使用過程各因素之間的交互作用具有重要意義。

因此，本文主要貢獻(xiàn)：從系統(tǒng)科學(xué)的角度出發(fā)，在借鑒國(guó)內(nèi)外學(xué)者研究成果基礎(chǔ)上，構(gòu)建了基于社會(huì)技術(shù)系統(tǒng)理論的瀏覽器信息安全事件分析模型，并由此為基礎(chǔ)詳細(xì)闡述導(dǎo)致瀏覽器信息安全事件的原因，以及對(duì)其進(jìn)行風(fēng)險(xiǎn)控制的措施。

1 社會(huì)技術(shù)系統(tǒng)理論概述

社會(huì)技術(shù)系統(tǒng)由英國(guó)Tavistock 人際關(guān)系研究所于1951 年提出，該研究所對(duì)一家英國(guó)煤礦進(jìn)行了一項(xiàng)提升組織生產(chǎn)效率的研究，在對(duì)采煤工人行為進(jìn)行分析后提出社會(huì)技術(shù)系統(tǒng)理論[11][12][13]。該理論認(rèn)為，系統(tǒng)組成要素間存在高接觸與緊耦合性，系統(tǒng)的穩(wěn)定狀態(tài)及原有秩序會(huì)隨著社會(huì)環(huán)境動(dòng)態(tài)變化而出現(xiàn)波動(dòng)和混沌，這樣的波動(dòng)和混沌使得系統(tǒng)中的組織和個(gè)人產(chǎn)生行為偏差；當(dāng)系統(tǒng)自身修復(fù)與調(diào)節(jié)功能無(wú)法糾正這些偏差時(shí)，其結(jié)果就是系統(tǒng)可能失效，甚至發(fā)生事故。

2 瀏覽器社會(huì)技術(shù)系統(tǒng)動(dòng)態(tài)分析

在市場(chǎng)經(jīng)濟(jì)環(huán)境下，瀏覽器廠商的優(yōu)選目標(biāo)是企業(yè)利益最大化，即便是提供免費(fèi)瀏覽器的廠商也會(huì)傾向支出最小的成本，并能夠最早交付面市。而傳統(tǒng)觀點(diǎn)認(rèn)為制約企業(yè)獲得利益的一個(gè)重要因素就是安全，這就意味著瀏覽器廠商所追求的利益最大化，存在這樣的必要條件：符合政府對(duì)信息安全約束邊界設(shè)定[14]。使用者的優(yōu)選目標(biāo)是個(gè)人利益最大化，使用瀏覽器傾向于最大便利地訪問網(wǎng)絡(luò)資源，而安全通常被視為一種制約與束縛使用者獲取使用便利的因素，這就意味著使用者必然傾向于在瀏覽器功能允許的條件下，最大程度發(fā)揮其功效以獲得訪問網(wǎng)絡(luò)資源的便利性；對(duì)于有著惡意攻擊目的的使用者來說，還可以通過瀏覽器發(fā)起網(wǎng)絡(luò)攻擊，甚至獲得經(jīng)濟(jì)利益。

政府在社會(huì)正常發(fā)展的狀態(tài)下，會(huì)首先考慮經(jīng)濟(jì)、就業(yè)、社會(huì)穩(wěn)定等。如果社會(huì)對(duì)信息安全事件的容忍達(dá)到極限，受到政治氛圍、經(jīng)濟(jì)發(fā)展、社會(huì)輿論和公眾認(rèn)知等因素影響，政府組織必需處理相應(yīng)信息安全事件，以避免產(chǎn)生持續(xù)性負(fù)面影響，處理的手段包括且不限于以法律手段、行政手段和市場(chǎng)手段影響瀏覽器廠商和使用者的安全目標(biāo)與決策，如圖1 所示。

圖1 瀏覽器社會(huì)技術(shù)系統(tǒng)分析

3 社會(huì)技術(shù)系統(tǒng)瀏覽器信息安全事件致因分析模型

瀏覽器信息安全事件致因各因素彼此間存在著相互反饋關(guān)系，因此涉及社會(huì)技術(shù)系統(tǒng)不同層級(jí)間的內(nèi)外部因素，無(wú)論直接原因還是間接原因，其本質(zhì)都是行政干預(yù)漏洞和技術(shù)控制缺陷。只有理清社會(huì)技術(shù)系統(tǒng)行為主體之間的結(jié)構(gòu)與耦合作用關(guān)系后，才可能對(duì)瀏覽器信息安全事件致因進(jìn)行正確分析，并從社會(huì)組織整體視角審視國(guó)際標(biāo)準(zhǔn)、國(guó)家法律法規(guī)、信息安全產(chǎn)業(yè)政策、安全監(jiān)管體系與企業(yè)組織管理等關(guān)鍵性影響因素，以及其可能存在的失效風(fēng)險(xiǎn)與漏洞。本文將社會(huì)技術(shù)系統(tǒng)理論與瀏覽器的研制開發(fā)過程和使用過程相結(jié)合，建立了社會(huì)技術(shù)系統(tǒng)瀏覽器信息安全事件致因分析模型，如圖2所示。

瀏覽器信息安全問題的根本原因在于國(guó)際組織制定的網(wǎng)絡(luò)協(xié)議國(guó)際標(biāo)準(zhǔn)和政府機(jī)構(gòu)制定的經(jīng)濟(jì)政策、產(chǎn)業(yè)政策。網(wǎng)絡(luò)協(xié)議國(guó)際標(biāo)準(zhǔn)如果存在較大信息安全漏洞，則依賴該標(biāo)準(zhǔn)所研制的瀏覽器工具極可能存在較多安全隱患，通過對(duì)網(wǎng)絡(luò)協(xié)議國(guó)際標(biāo)準(zhǔn)進(jìn)行信息安全修補(bǔ)或者在研制中直接對(duì)瀏覽器工具進(jìn)行安全加固，也難以避免這一情況。瀏覽器信息安全問題的間接原因在于行政監(jiān)管主體、第三方監(jiān)管主體制定的規(guī)章制度和安全監(jiān)察機(jī)制。行政監(jiān)管主體主要指國(guó)家網(wǎng)信辦、公安部網(wǎng)絡(luò)安全保衛(wèi)局等，第三方監(jiān)管主體主要指中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、全國(guó)信息網(wǎng)絡(luò)安全協(xié)會(huì)聯(lián)盟。行政監(jiān)管主體、第三方監(jiān)管主體制定的規(guī)章制度和安全監(jiān)察機(jī)制間接影響到瀏覽器工具研制過程，并對(duì)用戶使用瀏覽器工具的行為產(chǎn)生約束與影響。同時(shí)應(yīng)當(dāng)注意到，行政監(jiān)管主體、第三方監(jiān)管主體會(huì)根據(jù)信息安全事件調(diào)整規(guī)章制度和安全監(jiān)察機(jī)制，以更好發(fā)揮作用。國(guó)際組織制定的網(wǎng)絡(luò)協(xié)議國(guó)際標(biāo)準(zhǔn)和政府機(jī)構(gòu)制定的經(jīng)濟(jì)政策、產(chǎn)業(yè)政策，以及行政監(jiān)管主體、第三方監(jiān)管主體制定的規(guī)章制度、安全監(jiān)察機(jī)制均對(duì)瀏覽器廠商的研制過程產(chǎn)生約束與影響，瀏覽器廠商的企業(yè)規(guī)程、安全管理、教育培訓(xùn)、安全文化、安全投入、信息系統(tǒng)等各方面可能對(duì)瀏覽器工具安全性產(chǎn)生影響的因素，均受到以上要素影響，并對(duì)參與研制者的行為產(chǎn)生影響。參與研制者的人為因素是瀏覽器工具信息安全問題的直接原因，參與研制者的人為誤操作以及故意違規(guī)操作等都會(huì)直接給瀏覽器帶來安全隱患，如瀏覽器的運(yùn)行權(quán)限過高、防御機(jī)制不足、插件擴(kuò)展缺陷和存在軟件漏洞等問題，都會(huì)導(dǎo)致基于瀏覽器的信息安全事件發(fā)生。瀏覽器廠商的企業(yè)規(guī)程、安全管理、教育培訓(xùn)、安全文化、安全投入、信息系統(tǒng)等也會(huì)對(duì)瀏覽器使用者行為產(chǎn)生影響，如瀏覽器廠商對(duì)于安全使用瀏覽器的教育投入不足，則使用者更容易出現(xiàn)不當(dāng)操作行為而導(dǎo)致基于瀏覽器的信息安全事件。影響瀏覽器信息安全的另一個(gè)重要因素是環(huán)境因素，使用人使用瀏覽器工具的行為受限于網(wǎng)絡(luò)設(shè)施、技術(shù)措施等環(huán)境因素，網(wǎng)絡(luò)站點(diǎn)漏洞、網(wǎng)絡(luò)鏈路問題是基于瀏覽器的信息安全事件產(chǎn)生與否的另一個(gè)直接原因。

分析社會(huì)技術(shù)系統(tǒng)瀏覽器安全問題致因分析模型可知，瀏覽器信息安全問題即涉及行政管理，又涉及技術(shù)因素，在不同層級(jí)之間還呈現(xiàn)出安全問題的涌現(xiàn)現(xiàn)象，因此預(yù)防瀏覽器信息安全問題就需要從行政干預(yù)、技術(shù)控制和多重防御三個(gè)方面著手，此外本文還從宏觀層面總結(jié)了瀏覽器行業(yè)行政干預(yù)與技術(shù)控制的缺陷。

圖2 社會(huì)技術(shù)系統(tǒng)瀏覽器信息安全事件致因分析模型

3.1 行政干預(yù)

考慮到個(gè)人（包括員工和使用人）及瀏覽器廠商的社會(huì)屬性，個(gè)人與瀏覽器廠商均屬于“經(jīng)濟(jì)人”，個(gè)人是以生活質(zhì)量最優(yōu)化為目標(biāo)（員工傾向于付出較小的勞動(dòng)量而交付瀏覽器項(xiàng)目，使用人傾向于更加便捷利用瀏覽器功能獲取網(wǎng)絡(luò)資源，其中攻擊者傾向于通過瀏覽器功能發(fā)起惡意攻擊行為而獲得利益），瀏覽器廠商以企業(yè)利益最大化為目標(biāo)（突出表現(xiàn)在財(cái)務(wù)指標(biāo)最大化），為使自身利益最大化，個(gè)人和瀏覽器廠商往往向社會(huì)技術(shù)系統(tǒng)中多重約束邊界挑戰(zhàn)，其中瀏覽器廠商和員工如果選擇更加安全的研制開發(fā)方式則會(huì)增加支出成本，因此其必然選擇更加經(jīng)濟(jì)的研制開發(fā)方式，這無(wú)形中積累了研制開發(fā)過程中的不安全因素；而使用人如果選擇更加安全的使用方式也會(huì)增加自身支出成本，因此其必然選擇更加便捷的使用方式，這無(wú)形中擴(kuò)大了研制開發(fā)過程中不安全因素的影響力。所以如果沒有外部力量直接或間接對(duì)行為主體施加影響，行為主體將不可避免地出現(xiàn)大量不安全決策及行為，因此需要進(jìn)行行政干預(yù)。

對(duì)于行政干預(yù)而言，其實(shí)踐主體包括有形主體和無(wú)形主體，典型的有形主體有開發(fā)小組、瀏覽器廠商、政府和國(guó)際組織，典型的無(wú)形主體有法律法規(guī)、政治氛圍、經(jīng)濟(jì)形勢(shì)和社會(huì)文化。當(dāng)前瀏覽器工作依賴于網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)腳本語(yǔ)言標(biāo)準(zhǔn)等，國(guó)際組織具有對(duì)網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)腳本語(yǔ)言標(biāo)準(zhǔn)的決定權(quán)，對(duì)于瀏覽器信息安全問題具有無(wú)與倫比的影響力。當(dāng)前我國(guó)對(duì)瀏覽器廠商的行政干預(yù)存在如下缺陷。

3.1.1 缺乏相關(guān)法律

缺乏針對(duì)瀏覽器軟件的專業(yè)性法律法規(guī)，現(xiàn)有法律法規(guī)是針對(duì)網(wǎng)絡(luò)安全的普適性法律法規(guī)，缺乏針對(duì)性、全面性，且忽略對(duì)于瀏覽器研制開發(fā)過程可能存在導(dǎo)致信息安全問題的預(yù)防與管控，難以對(duì)瀏覽器研制開發(fā)過程中引入的重大缺陷導(dǎo)致的信息安全問題進(jìn)行責(zé)任裁定與追究責(zé)任。

3.1.2 多為外國(guó)產(chǎn)品

我國(guó)當(dāng)前普遍使用的瀏覽器多為外國(guó)產(chǎn)品，其研制開發(fā)過程通常在國(guó)外，我國(guó)司法體系無(wú)法直接干預(yù)其研制開發(fā)過程，由于地域文化、意識(shí)形態(tài)、社會(huì)輿論、經(jīng)濟(jì)水平、技術(shù)標(biāo)準(zhǔn)等各方面差異，可能引發(fā)對(duì)于部分信息安全問題理解與處置方式不同。

3.1.3 定制化開發(fā)

國(guó)產(chǎn)瀏覽器廠商通常以國(guó)外瀏覽器內(nèi)核進(jìn)行定制化開發(fā)，缺少對(duì)于瀏覽器內(nèi)核的認(rèn)知與干預(yù)。

3.1.4 監(jiān)管機(jī)制與機(jī)構(gòu)不健全

我國(guó)社會(huì)技術(shù)系統(tǒng)具有高度人情化特點(diǎn)，法律意識(shí)仍然較為薄弱，政府、監(jiān)管部門、瀏覽器廠商可能存在為了各自利益目標(biāo)及人情關(guān)系進(jìn)行權(quán)力尋租和監(jiān)管缺失的情況，缺乏瀏覽器安全研制開發(fā)的第三方監(jiān)管機(jī)構(gòu)和第三方監(jiān)管制度。

3.1.5 大眾關(guān)注不足

瀏覽器信息安全問題仍然未引起社會(huì)的普遍注意，社會(huì)大眾對(duì)瀏覽器信息安全問題的認(rèn)識(shí)較為膚淺，未形成關(guān)注瀏覽器信息安全的氛圍。

3.1.6 預(yù)防風(fēng)險(xiǎn)投入不足

瀏覽器廠商對(duì)于預(yù)防信息安全風(fēng)險(xiǎn)的投入成本不足，安全研制開發(fā)資金審計(jì)制度落實(shí)不到位，最終結(jié)果就是相應(yīng)投入不足，尤其在信息安全測(cè)試、應(yīng)急處置和安全文化方面不足。

3.2 技術(shù)控制

瀏覽器的研制開發(fā)與使用過程涉及個(gè)人、瀏覽器、環(huán)境、管理等方面，在研制開發(fā)過程中必然會(huì)產(chǎn)生人為失誤、技術(shù)缺陷，受到環(huán)境因素影響，人為失誤可能被放大并加劇瀏覽器信息安全問題的突變型和偶然性，需要通過相關(guān)技術(shù)措施來控制人為、瀏覽器軟件和環(huán)境導(dǎo)致信息安全問題的潛在風(fēng)險(xiǎn)。當(dāng)前階段，我國(guó)對(duì)于瀏覽器信息安全問題技術(shù)控制的不足主要體現(xiàn)在如下方面。

3.2.1 標(biāo)準(zhǔn)理解不足

我國(guó)對(duì)于網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)腳本語(yǔ)言標(biāo)準(zhǔn)的制定工作參與不足，許多瀏覽器信息安全問題的源頭在于網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)腳本語(yǔ)言標(biāo)準(zhǔn)，我國(guó)瀏覽器廠商與信息安全從業(yè)者對(duì)于網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)腳本語(yǔ)言標(biāo)準(zhǔn)的理解不足，難以發(fā)現(xiàn)標(biāo)準(zhǔn)中隱藏的信息安全問題。

3.2.2 不掌控瀏覽器內(nèi)核技術(shù)

我國(guó)國(guó)產(chǎn)化瀏覽器普遍采用國(guó)外瀏覽器內(nèi)核進(jìn)行定制化開發(fā)，由于瀏覽器內(nèi)核的復(fù)雜性，我國(guó)瀏覽器廠商難以完全掌握瀏覽器內(nèi)核的技術(shù)，給國(guó)產(chǎn)化瀏覽器留下了安全隱患。

3.2.3 瀏覽器體量大結(jié)構(gòu)復(fù)雜

瀏覽器源代碼體量巨大且結(jié)構(gòu)復(fù)雜，難以高效、全面地發(fā)現(xiàn)與排除瀏覽器源代碼中的信息安全缺陷，當(dāng)前的自動(dòng)化安全測(cè)試工具無(wú)法保證有效發(fā)現(xiàn)瀏覽器級(jí)別軟件源代碼的深層次缺陷，需要投入極大的時(shí)間成本和人力成本才可能將瀏覽器源代碼安全問題降低到可接受程度。

3.2.4 開發(fā)者安全編程能力不足

瀏覽器軟件開發(fā)人員安全編程能力不足，無(wú)法滿足瀏覽器代碼安全需求，對(duì)于瀏覽器軟件開發(fā)人員的信息安全培訓(xùn)不到位，軟件開發(fā)人員不知道如何保證代碼安全性甚至留下大量低級(jí)代碼安全問題。

3.2.5 開發(fā)者認(rèn)知缺陷

瀏覽器軟件開發(fā)人員對(duì)可能發(fā)生的信息安全問題認(rèn)識(shí)不足，忽略部分信息安全問題或?qū)Σ糠中畔踩珕栴}采取錯(cuò)誤的應(yīng)對(duì)措施。

3.2.6 安全事件通報(bào)機(jī)制不健全

國(guó)內(nèi)信息安全事件通報(bào)機(jī)制不健全，無(wú)法做到舉一反三、及時(shí)響應(yīng)，不能及時(shí)收到有參考性的信息安全事件通報(bào)或收到后無(wú)法及時(shí)采取應(yīng)對(duì)措施，以致應(yīng)當(dāng)及時(shí)修復(fù)的信息安全隱患長(zhǎng)期存在。

3.3 多重防御

作為瀏覽器在社會(huì)技術(shù)系統(tǒng)中運(yùn)轉(zhuǎn)的行為主體，個(gè)人、瀏覽器和組織三者之間的關(guān)系是相互作用的關(guān)系，并在客觀上實(shí)現(xiàn)了制衡，這就需要建立多重防御體系。這樣的多重防御體系是兼顧社會(huì)技術(shù)系統(tǒng)的，也同時(shí)是兼顧信息安全事件動(dòng)態(tài)演變的。

多重防御體系將人員培訓(xùn)作為中心，將瀏覽器軟件完整性作為核心，將瀏覽器廠商組織縱深防御管理作為重心，如圖3 所示。

以人員培訓(xùn)為中心，指的是管理者應(yīng)當(dāng)掌握充分的信息安全知識(shí)，參與指導(dǎo)普通開發(fā)人員掌握可能導(dǎo)致瀏覽器信息安全問題的違規(guī)行為和錯(cuò)誤行為，并承擔(dān)向廣大使用者普及安全便捷使用瀏覽器的操作方式；普通開發(fā)人員應(yīng)掌握充分的信息安全知識(shí)，能夠合理規(guī)避與處理可能給瀏覽器帶來信息安全問題的情況；使用者應(yīng)掌握必要的信息安全知識(shí)，能夠安全便捷操作瀏覽器訪問網(wǎng)絡(luò)資源，避免使用瀏覽器導(dǎo)致信息安全問題；從管理者、普通開發(fā)者到使用者，均應(yīng)梳理正確的信息安全意識(shí)與信息安全技能。

瀏覽器軟件的完整性側(cè)重于對(duì)瀏覽器開發(fā)過程的立項(xiàng)、需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、編程、測(cè)試、交付等各節(jié)點(diǎn)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，最終達(dá)到瀏覽器軟件全生命周期的風(fēng)險(xiǎn)閉環(huán)管理流程。

瀏覽器廠商將結(jié)合從國(guó)家層面到企業(yè)層面、從宏觀管理到微觀管理，形成由外而內(nèi)的縱深管理體系，瀏覽器廠商的組織管理漏洞可以得以完善，從而間接對(duì)個(gè)人、瀏覽器和環(huán)境達(dá)到風(fēng)險(xiǎn)控制的目的。

4 案例分析

2018 年，360 高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)在全球范圍內(nèi)率先監(jiān)測(cè)到全球首個(gè)使用瀏覽器零日漏洞的Office攻擊，該漏洞被命名為CVE-2018-8174[4]。該漏洞是Windows VBScriptEngine 代碼執(zhí)行漏洞，VBScript腳本執(zhí)行引擎(vbscript.dll)存在該漏洞，攻擊者可以將惡意的VBScript 嵌入到Office 文件或者網(wǎng)站中，一旦用戶受誘導(dǎo)或不慎點(diǎn)擊惡意鏈接或文檔，攻擊者便可遠(yuǎn)程獲取當(dāng)前用戶系統(tǒng)權(quán)限，進(jìn)而完全控制用戶電腦。利用本文提出的致因分析模型對(duì)攻擊者利用該漏洞進(jìn)行分析，其行政干預(yù)缺失和技術(shù)控制缺陷如圖4 所示。

圖3 多重防御體系

圖4 CVE-2018-8174 漏洞的社會(huì)技術(shù)系統(tǒng)瀏覽器信息安全事件致因分析模型

5 結(jié)語(yǔ)

5.1 致因因素

內(nèi)外部環(huán)境共同作用是瀏覽器的信息安全事件的致因因素，人員的不安全行為和瀏覽器的不安全狀態(tài)只是表面上加速了瀏覽器信息安全事件的進(jìn)程。從社會(huì)技術(shù)系統(tǒng)視角分析可知，瀏覽器信息安全事件致因涉及從全局到局部各層次的關(guān)聯(lián)關(guān)系，從而找到從整體上提高瀏覽器信息安全能力的方法。

5.2 內(nèi)部因素與外部因素

外部因素在全局上推動(dòng)或抑制瀏覽器信息安全事件的發(fā)展，內(nèi)部因素在局部引發(fā)瀏覽器信息安全事件，外部因素決定了可能達(dá)到的程度，內(nèi)部因素決定了可能發(fā)展的路線。

5.3 應(yīng)對(duì)舉措

第三方監(jiān)管機(jī)構(gòu)（如行業(yè)協(xié)會(huì)等）能夠協(xié)助完善瀏覽器企業(yè)質(zhì)量管理體系，并與企業(yè)和員工個(gè)人信息安全能力評(píng)價(jià)相結(jié)合，形成層次分明、類型多樣的監(jiān)管體系。同時(shí)需加強(qiáng)瀏覽器廠商在信息安全領(lǐng)域的研究深度和廣度，逐步消除瀏覽器中的深層次信息安全隱患。