基于社會技術(shù)系統(tǒng)理論的瀏覽器信息安全事件分析

０引言瀏覽器作為一個用戶廣泛使用的網(wǎng)絡(luò)入口工具，其信息安全問題日益突出，近年來不斷發(fā)生以瀏覽器為核心的網(wǎng)絡(luò)事故。例如，在2014年的USENIX安全大會上，安全研究人員揭露谷歌應(yīng)用商店48000個擴(kuò)展中有至少130個為惡意擴(kuò)展，此外在谷歌擴(kuò)展官方網(wǎng)站中有接近五千個被標(biāo)記為可疑擴(kuò)展；2015年7月，意大利輿情監(jiān)控公司HackingTeam遭受黑客攻擊，攻擊者公開了HackingTeam公司用于銷售盈利的瀏覽器零日漏洞利用代碼；2015年，360首席工程師鄭文彬在韓國POC黑客大會上展示了對Edge瀏覽器的沙箱逃逸操作，以此獲得了對Windows10操作系統(tǒng)的控制權(quán)；2018年，360安全團(tuán)隊(duì)發(fā)現(xiàn)IE瀏覽器的CVE-2018-8174漏洞，攻擊者利用該瀏覽器漏洞可遠(yuǎn)程操控受害人計(jì)算機(jī)；2019年，郝耀鴻等提出瀏覽器安全防護(hù)重點(diǎn)應(yīng)從歷史刪除、安全設(shè)置、分級審查等方面進(jìn)行防護(hù)。瀏覽器安全對信息安全領(lǐng)域的影響日益增強(qiáng)，需要從瀏覽器的安全生產(chǎn)與具體使用上同時進(jìn)行管控。已有多位學(xué)者針對瀏覽器信息安全問題展開研究，例如孟永黨等在分析瀏覽器漏洞形成原因和利用效果的基礎(chǔ)上，提出了一種具有良好適用性的基于AHP模型的瀏覽器漏洞分類方法。王丹等提出了基于HMM（hiddenMarkovModel，隱馬爾科夫模型）的攻擊向量動態(tài)生成和優(yōu)化方案，通過使用決策樹模型對攻擊向量進(jìn)行分類，能夠顯著提升面向WEB應(yīng)用的XSS漏洞檢測方法的效果。提出了一種檢測惡意Chrome擴(kuò)展的動態(tài)分析系統(tǒng)Hulk；而H.Pei等提出了一種利用圖挖掘算法對瀏覽器惡意擴(kuò)展行為圖進(jìn)行挖掘的方法；孫雅靜等設(shè)計(jì)并實(shí)現(xiàn)的瀏覽器安全機(jī)制自動化測試系統(tǒng)，為發(fā)現(xiàn)瀏覽器未知漏洞的自動化實(shí)現(xiàn)提供一種思路；除此之外，瀏覽器廠商也都紛紛為瀏覽器增添安全特性，典型的如數(shù)據(jù)保護(hù)機(jī)制（DataExecutionPrevention，DEP）、地址空間分布隨機(jī)化（AddressSpaceLayoutRandomization，ASLR）機(jī)制、沙箱機(jī)制、XSS(CrossSiteScripting，跨站腳本攻擊)過濾器、DNT（DoNotTrack，不要追蹤）和CSP（ContentSecurityPolicy，內(nèi)容安全策略）安全策略等。當(dāng)前，無論學(xué)術(shù)界還是工業(yè)界，均采用還原論思想識別瀏覽器某個階段（典型的在使用階段）或某些方面的安全因素（如黑客攻擊、漏洞利用等），這表明無論學(xué)術(shù)界還是工業(yè)界都未能形成系統(tǒng)全面的瀏覽器信息安全因素認(rèn)知?，F(xiàn)有研究通常孤立地分析瀏覽器在用戶使用階段的各安全因素，即主要集中在瀏覽器軟件與個人交互性方面，缺乏對社會技術(shù)系統(tǒng)層次的邏輯論述，以及各層級之間的相互關(guān)系分析。從系統(tǒng)角度來看，安全事故是復(fù)雜社會技術(shù)系統(tǒng)各組成部分非線性交互作用下的涌現(xiàn)現(xiàn)象。瀏覽器信息安全問題是一個典型的系統(tǒng)問題，涉及瀏覽器內(nèi)部組件之間的數(shù)據(jù)傳遞與處理，涉及瀏覽器與人的交互，同樣涉及瀏覽器研發(fā)過程以及影響研發(fā)過程和使用行為的各種社會因素和技術(shù)因素，研究瀏覽器系統(tǒng)研制開發(fā)與使用過程各因素之間的交互作用具有重要意義。因此，本文主要貢獻(xiàn)：從系統(tǒng)科學(xué)的角度出發(fā)，在借鑒國內(nèi)外學(xué)者研究成果基礎(chǔ)上，構(gòu)建了基于社會技術(shù)系統(tǒng)理論的瀏覽器信息安全事件分析模型，并由此為基礎(chǔ)詳細(xì)闡述導(dǎo)致瀏覽器信息安全事件的原因，以及對其進(jìn)行風(fēng)險控制的措施。１社會技術(shù)系統(tǒng)理論概述社會技術(shù)系統(tǒng)由英國Tavistock人際關(guān)系研究所于1951年提出，該研究所對一家英國煤礦進(jìn)行了一項(xiàng)提升組織生產(chǎn)效率的研究，在對采煤工人行為進(jìn)行分析后提出社會技術(shù)系統(tǒng)理論。該理論認(rèn)為，系統(tǒng)組成要素間存在高接觸與緊耦合性，系統(tǒng)的穩(wěn)定狀態(tài)及原有秩序會隨著社會環(huán)境動態(tài)變化而出現(xiàn)波動和混沌，這樣的波動和混沌使得系統(tǒng)中的組織和個人產(chǎn)生行為偏差；當(dāng)系統(tǒng)自身修復(fù)與調(diào)節(jié)功能無法糾正這些偏差時，其結(jié)果就是系統(tǒng)可能失效，甚至發(fā)生事故。２瀏覽器社會技術(shù)系統(tǒng)動態(tài)分析在市場經(jīng)濟(jì)環(huán)境下，瀏覽器廠商的優(yōu)選目標(biāo)是企業(yè)利益最大化，即便是提供免費(fèi)瀏覽器的廠商也會傾向支出最小的成本，并能夠最早交付面市。而傳統(tǒng)觀點(diǎn)認(rèn)為制約企業(yè)獲得利益的一個重要因素就是安全，這就意味著瀏覽器廠商所追求的利益最大化，存在這樣的必要條件：符合政府對信息安全約束邊界設(shè)定。使用者的優(yōu)選目標(biāo)是個人利益最大化，使用瀏覽器傾向于最大便利地訪問網(wǎng)絡(luò)資源，而安全通常被視為一種制約與束縛使用者獲取使用便利的因素，這就意味著使用者必然傾向于在瀏覽器功能允許的條件下，最大程度發(fā)揮其功效以獲得訪問網(wǎng)絡(luò)資源的便利性；對于有著惡意攻擊目的的使用者來說，還可以通過瀏覽器發(fā)起網(wǎng)絡(luò)攻擊，甚至獲得經(jīng)濟(jì)利益。政府在社會正常發(fā)展的狀態(tài)下，會首先考慮經(jīng)濟(jì)、就業(yè)、社會穩(wěn)定等。如果社會對信息安全事件的容忍達(dá)到極限，受到政治氛圍、經(jīng)濟(jì)發(fā)展、社會輿論和公眾認(rèn)知等因素影響，政府組織必需處理相應(yīng)信息安全事件，以避免產(chǎn)生持續(xù)性負(fù)面影響，處理的手段包括且不限于以法律手段、行政手段和市場手段影響瀏覽器廠商和使用者的安全目標(biāo)與決策，如圖1所示。圖1瀏覽器社會技術(shù)系統(tǒng)分析３社會技術(shù)系統(tǒng)瀏覽器信息安全事件致因分析模型瀏覽器信息安全事件致因各因素彼此間存在著相互反饋關(guān)系，因此涉及社會技術(shù)系統(tǒng)不同層級間的內(nèi)外部因素，無論直接原因還是間接原因，其本質(zhì)都是行政干預(yù)漏洞和技術(shù)控制缺陷。只有理清社會技術(shù)系統(tǒng)行為主體之間的結(jié)構(gòu)與耦合作用關(guān)系后，才可能對瀏覽器信息安全事件致因進(jìn)行正確分析，并從社會組織整體視角審視國際標(biāo)準(zhǔn)、國家法律法規(guī)、信息安全產(chǎn)業(yè)政策、安全監(jiān)管體系與企業(yè)組織管理等關(guān)鍵性影響因素，以及其可能存在的失效風(fēng)險與漏洞。本文將社會技術(shù)系統(tǒng)理論與瀏覽器的研制開發(fā)過程和使用過程相結(jié)合，建立了社會技術(shù)系統(tǒng)瀏覽器信息安全事件致因分析模型，如圖2所示。圖2社會技術(shù)系統(tǒng)瀏覽器信息安全事件致因分析模型瀏覽器信息安全問題的根本原因在于國際組織制定的網(wǎng)絡(luò)協(xié)議國際標(biāo)準(zhǔn)和政府機(jī)構(gòu)制定的經(jīng)濟(jì)政策、產(chǎn)業(yè)政策。網(wǎng)絡(luò)協(xié)議國際標(biāo)準(zhǔn)如果存在較大信息安全漏洞，則依賴該標(biāo)準(zhǔn)所研制的瀏覽器工具極可能存在較多安全隱患，通過對網(wǎng)絡(luò)協(xié)議國際標(biāo)準(zhǔn)進(jìn)行信息安全修補(bǔ)或者在研制中直接對瀏覽器工具進(jìn)行安全加固，也難以避免這一情況。瀏覽器信息安全問題的間接原因在于行政監(jiān)管主體、第三方監(jiān)管主體制定的規(guī)章制度和安全監(jiān)察機(jī)制。行政監(jiān)管主體主要指國家網(wǎng)信辦、公安部網(wǎng)絡(luò)安全保衛(wèi)局等，第三方監(jiān)管主體主要指中國互聯(lián)網(wǎng)協(xié)會、全國信息網(wǎng)絡(luò)安全協(xié)會聯(lián)盟。行政監(jiān)管主體、第三方監(jiān)管主體制定的規(guī)章制度和安全監(jiān)察機(jī)制間接影響到瀏覽器工具研制過程，并對用戶使用瀏覽器工具的行為產(chǎn)生約束與影響。同時應(yīng)當(dāng)注意到，行政監(jiān)管主體、第三方監(jiān)管主體會根據(jù)信息安全事件調(diào)整規(guī)章制度和安全監(jiān)察機(jī)制，以更好發(fā)揮作用。國際組織制定的網(wǎng)絡(luò)協(xié)議國際標(biāo)準(zhǔn)和政府機(jī)構(gòu)制定的經(jīng)濟(jì)政策、產(chǎn)業(yè)政策，以及行政監(jiān)管主體、第三方監(jiān)管主體制定的規(guī)章制度、安全監(jiān)察機(jī)制均對瀏覽器廠商的研制過程產(chǎn)生約束與影響，瀏覽器廠商的企業(yè)規(guī)程、安全管理、教育培訓(xùn)、安全文化、安全投入、信息系統(tǒng)等各方面可能對瀏覽器工具安全性產(chǎn)生影響的因素，均受到以上要素影響，并對參與研制者的行為產(chǎn)生影響。參與研制者的人為因素是瀏覽器工具信息安全問題的直接原因，參與研制者的人為誤操作以及故意違規(guī)操作等都會直接給瀏覽器帶來安全隱患，如瀏覽器的運(yùn)行權(quán)限過高、防御機(jī)制不足、插件擴(kuò)展缺陷和存在軟件漏洞等問題，都會導(dǎo)致基于瀏覽器的信息安全事件發(fā)生。瀏覽器廠商的企業(yè)規(guī)程、安全管理、教育培訓(xùn)、安全文化、安全投入、信息系統(tǒng)等也會對瀏覽器使用者行為產(chǎn)生影響，如瀏覽器廠商對于安全使用瀏覽器的教育投入不足，則使用者更容易出現(xiàn)不當(dāng)操作行為而導(dǎo)致基于瀏覽器的信息安全事件。影響瀏覽器信息安全的另一個重要因素是環(huán)境因素，使用人使用瀏覽器工具的行為受限于網(wǎng)絡(luò)設(shè)施、技術(shù)措施等環(huán)境因素，網(wǎng)絡(luò)站點(diǎn)漏洞、網(wǎng)絡(luò)鏈路問題是基于瀏覽器的信息安全事件產(chǎn)生與否的另一個直接原因。分析社會技術(shù)系統(tǒng)瀏覽器安全問題致因分析模型可知，瀏覽器信息安全問題即涉及行政管理，又涉及技術(shù)因素，在不同層級之間還呈現(xiàn)出安全問題的涌現(xiàn)現(xiàn)象，因此預(yù)防瀏覽器信息安全問題就需要從行政干預(yù)、技術(shù)控制和多重防御三個方面著手，此外本文還從宏觀層面總結(jié)了瀏覽器行業(yè)行政干預(yù)與技術(shù)控制的缺陷。3.1行政干預(yù)考慮到個人（包括員工和使用人）及瀏覽器廠商的社會屬性，個人與瀏覽器廠商均屬于“經(jīng)濟(jì)人”，個人是以生活質(zhì)量最優(yōu)化為目標(biāo)（員工傾向于付出較小的勞動量而交付瀏覽器項(xiàng)目，使用人傾向于更加便捷利用瀏覽器功能獲取網(wǎng)絡(luò)資源，其中攻擊者傾向于通過瀏覽器功能發(fā)起惡意攻擊行為而獲得利益），瀏覽器廠商以企業(yè)利益最大化為目標(biāo)（突出表現(xiàn)在財務(wù)指標(biāo)最大化），為使自身利益最大化，個人和瀏覽器廠商往往向社會技術(shù)系統(tǒng)中多重約束邊界挑戰(zhàn)，其中瀏覽器廠商和員工如果選擇更加安全的研制開發(fā)方式則會增加支出成本，因此其必然選擇更加經(jīng)濟(jì)的研制開發(fā)方式，這無形中積累了研制開發(fā)過程中的不安全因素；而使用人如果選擇更加安全的使用方式也會增加自身支出成本，因此其必然選擇更加便捷的使用方式，這無形中擴(kuò)大了研制開發(fā)過程中不安全因素的影響力。所以如果沒有外部力量直接或間接對行為主體施加影響，行為主體將不可避免地出現(xiàn)大量不安全決策及行為，因此需要進(jìn)行行政干預(yù)。對于行政干預(yù)而言，其實(shí)踐主體包括有形主體和無形主體，典型的有形主體有開發(fā)小組、瀏覽器廠商、政府和國際組織，典型的無形主體有法律法規(guī)、政治氛圍、經(jīng)濟(jì)形勢和社會文化。當(dāng)前瀏覽器工作依賴于網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)腳本語言標(biāo)準(zhǔn)等，國際組織具有對網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)腳本語言標(biāo)準(zhǔn)的決定權(quán)，對于瀏覽器信息安全問題具有無與倫比的影響力。當(dāng)前我國對瀏覽器廠商的行政干預(yù)存在如下缺陷。3.1.1缺乏相關(guān)法律缺乏針對瀏覽器軟件的專業(yè)性法律法規(guī)，現(xiàn)有法律法規(guī)是針對網(wǎng)絡(luò)安全的普適性法律法規(guī)，缺乏針對性、全面性，且忽略對于瀏覽器研制開發(fā)過程可能存在導(dǎo)致信息安全問題的預(yù)防與管控，難以對瀏覽器研制開發(fā)過程中引入的重大缺陷導(dǎo)致的信息安全問題進(jìn)行責(zé)任裁定與追究責(zé)任。3.1.2多為外國產(chǎn)品我國當(dāng)前普遍使用的瀏覽器多為外國產(chǎn)品，其研制開發(fā)過程通常在國外，我國司法體系無法直接干預(yù)其研制開發(fā)過程，由于地域文化、意識形態(tài)、社會輿論、經(jīng)濟(jì)水平、技術(shù)標(biāo)準(zhǔn)等各方面差異，可能引發(fā)對于部分信息安全問題理解與處置方式不同。3.1.3定制化開發(fā)國產(chǎn)瀏覽器廠商通常以國外瀏覽器內(nèi)核進(jìn)行定制化開發(fā)，缺少對于瀏覽器內(nèi)核的認(rèn)知與干預(yù)。3.1.4監(jiān)管機(jī)制與機(jī)構(gòu)不健全我國社會技術(shù)系統(tǒng)具有高度人情化特點(diǎn)，法律意識仍然較為薄弱，政府、監(jiān)管部門、瀏覽器廠商可能存在為了各自利益目標(biāo)及人情關(guān)系進(jìn)行權(quán)力尋租和監(jiān)管缺失的情況，缺乏瀏覽器安全研制開發(fā)的第三方監(jiān)管機(jī)構(gòu)和第三方監(jiān)管制度。3.1.5大眾關(guān)注不足瀏覽器信息安全問題仍然未引起社會的普遍注意，社會大眾對瀏覽器信息安全問題的認(rèn)識較為膚淺，未形成關(guān)注瀏覽器信息安全的氛圍。3.1.6預(yù)防風(fēng)險投入不足瀏覽器廠商對于預(yù)防信息安全風(fēng)險的投入成本不足，安全研制開發(fā)資金審計(jì)制度落實(shí)不到位，最終結(jié)果就是相應(yīng)投入不足，尤其在信息安全測試、應(yīng)急處置和安全文化方面不足。3.2技術(shù)控制瀏覽器的研制開發(fā)與使用過程涉及個人、瀏覽器、環(huán)境、管理等方面，在研制開發(fā)過程中必然會產(chǎn)生人為失誤、技術(shù)缺陷，受到環(huán)境因素影響，人為失誤可能被放大并加劇瀏覽器信息安全問題的突變型和偶然性，需要通過相關(guān)技術(shù)措施來控制人為、瀏覽器軟件和環(huán)境導(dǎo)致信息安全問題的潛在風(fēng)險。當(dāng)前階段，我國對于瀏覽器信息安全問題技術(shù)控制的不足主要體現(xiàn)在如下方面。3.2.1標(biāo)準(zhǔn)理解不足我國對于網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)腳本語言標(biāo)準(zhǔn)的制定工作參與不足，許多瀏覽器信息安全問題的源頭在于網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)腳本語言標(biāo)準(zhǔn)，我國瀏覽器廠商與信息安全從業(yè)者對于網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)腳本語言標(biāo)準(zhǔn)的理解不足，難以發(fā)現(xiàn)標(biāo)準(zhǔn)中隱藏的信息安全問題。3.2.2不掌控瀏覽器內(nèi)核技術(shù)我國國產(chǎn)化瀏覽器普遍采用國外瀏覽器內(nèi)核進(jìn)行定制化開發(fā)，由于瀏覽器內(nèi)核的復(fù)雜性，我國瀏覽器廠商難以完全掌握瀏覽器內(nèi)核的技術(shù)，給國產(chǎn)化瀏覽器留下了安全隱患。3.2.3瀏覽器體量大結(jié)構(gòu)復(fù)雜瀏覽器源代碼體量巨大且結(jié)構(gòu)復(fù)雜，難以高效、全面地發(fā)現(xiàn)與排除瀏覽器源代碼中的信息安全缺陷，當(dāng)前的自動化安全測試工具無法保證有效發(fā)現(xiàn)瀏覽器級別軟件源代碼的深層次缺陷，需要投入極大的時間成本和人力成本才可能將瀏覽器源代碼安全問題降低到可接受程度。3.2.4開發(fā)者安全編程能力不足瀏覽器軟件開發(fā)人員安全編程能力不足，無法滿足瀏覽器代碼安全需求，對于瀏覽器軟件開發(fā)人員的信息安全培訓(xùn)不到位，軟件開發(fā)人員不知道如何保證代碼安全性甚至留下大量低級代碼安全問題。3.2.5開發(fā)者認(rèn)知缺陷瀏覽器軟件開發(fā)人員對可能發(fā)生的信息安全問題認(rèn)識不足，忽略部分信息安全問題或?qū)Σ糠中畔踩珕栴}采取錯誤的應(yīng)對措施。3.2.6安全事件通報機(jī)制不健全國內(nèi)信息安全事件通報機(jī)制不健全，無法做到舉一反三、及時響應(yīng)，不能及時收到有參考性的信息安全事件通報或收到后無法及時采取應(yīng)對措施，以致應(yīng)當(dāng)及時修復(fù)的信息安全隱患長期存在。3.3多重防御作為瀏覽器在社會技術(shù)系統(tǒng)中運(yùn)轉(zhuǎn)的行為主體，個人、瀏覽器和組織三者之間的關(guān)系是相互作用的關(guān)系，并在客觀上實(shí)現(xiàn)了制衡，這就需要建立多重防御體系。這樣的多重防御體系是兼顧社會技術(shù)系統(tǒng)的，也同時是兼顧信息安全事件動態(tài)演變的。多重防御體系將人員培訓(xùn)作為中心，將瀏覽器軟件完整性作為核心，將瀏覽器廠商組織縱深防御管理作為重心，如圖3所示。以人員培訓(xùn)為中心，指的是管理者應(yīng)當(dāng)掌握充分的信息安全知識，參與指導(dǎo)普通開發(fā)人員掌握可能導(dǎo)致瀏覽器信息安全問題的違規(guī)行為和錯誤行為，并承擔(dān)向廣大使用者普及安全便捷使用瀏覽器的操作方式；普通開發(fā)人員應(yīng)掌握充分的信息安全知識，能夠合理規(guī)避與處理可能給瀏覽器帶來信息安全問題的情況；使用者應(yīng)掌握必要的信息安全知識，能夠安全便捷操作瀏覽器訪問網(wǎng)絡(luò)資源，避免使用瀏覽器導(dǎo)致信息安全問題；從管理者、普通開發(fā)者到使用者，均應(yīng)梳理正確的信息安全意識與信息安全技能。瀏覽器軟件的完整性側(cè)重于對瀏覽器開發(fā)過程的立項(xiàng)、需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、編程、測試、交付等各節(jié)點(diǎn)的安全風(fēng)險進(jìn)行評估，最終達(dá)到瀏覽器軟件全生命周期的風(fēng)險閉環(huán)管理流程。瀏覽器廠商將結(jié)合從國家層面到企業(yè)層面、從宏觀管理到微觀管理，形成由外而內(nèi)的縱深管理體系，瀏覽器廠商的組織管理漏洞可以得以完善，從而間接對個人、瀏覽器和環(huán)境達(dá)到風(fēng)險控制的目的。圖3多重防御體系４案例分析2018年，