基于社会技术系统理论的浏览器信息安全事件分析*

王克克，田 宇，赵云鹏，郭莉丽，杨 轩

(1.中国航天系统科学与工程研究院，北京 海淀 100048；2.中国电子科技集团公司电子科学研究院，北京 石景山 100041）

0 引言

浏览器作为一个用户广泛使用的网络入口工具，其信息安全问题日益突出，近年来不断发生以浏览器为核心的网络事故。例如，在2014 年的USENIX 安全大会上，安全研究人员揭露谷歌应用商店48000 个扩展中有至少130 个为恶意扩展，此外在谷歌扩展官方网站中有接近五千个被标记为可疑扩展[1]；2015 年7 月，意大利舆情监控公司Hacking Team 遭受黑客攻击，攻击者公开了Hacking Team 公司用于销售盈利的浏览器零日漏洞利用代码[2]；2015 年，360 首席工程师郑文彬在韩国POC 黑客大会上展示了对Edge 浏览器的沙箱逃逸操作，以此获得了对Windows10 操作系统的控制权[3]；2018 年，360 安全团队发现IE 浏览器的CVE-2018-8174 漏洞，攻击者利用该浏览器漏洞可远程操控受害人计算机[4]；2019 年，郝耀鸿等提出浏览器安全防护重点应从历史删除、安全设置、分级审查等方面进行防护[5]。浏览器安全对信息安全领域的影响日益增强，需要从浏览器的安全生产与具体使用上同时进行管控。

已有多位学者针对浏览器信息安全问题展开研究，例如孟永党等在分析浏览器漏洞形成原因和利用效果的基础上，提出了一种具有良好适用性的基于AHP 模型的浏览器漏洞分类方法[6]。王丹等提出了基于HMM（hidden Markov Model，隐马尔科夫模型）的攻击向量动态生成和优化方案，通过使用决策树模型对攻击向量进行分类，能够显著提升面向WEB 应用的XSS 漏洞检测方法的效果[7]。Kapravelos 等提出了一种检测恶意Chrome 扩展的动态分析系统Hulk[8]；而H.Pei 等提出了一种利用图挖掘算法对浏览器恶意扩展行为图进行挖掘的方法[9]；孙雅静等设计并实现的浏览器安全机制自动化测试系统，为发现浏览器未知漏洞的自动化实现提供一种思路[10]；除此之外，浏览器厂商也都纷纷为浏览器增添安全特性，典型的如数据保护机制（Data Execution Prevention，DEP）、地址空间分布随机化（Address Space Layout Randomization，ASLR）机制、沙箱机制、XSS(Cross Site Scripting，跨站脚本攻击)过滤器、DNT（Do Not Track，不要追踪）和CSP（Content Security Policy，内容安全策略）安全策略等。

当前，无论学术界还是工业界，均采用还原论思想识别浏览器某个阶段（典型的在使用阶段）或某些方面的安全因素（如黑客攻击、漏洞利用等），这表明无论学术界还是工业界都未能形成系统全面的浏览器信息安全因素认知。现有研究通常孤立地分析浏览器在用户使用阶段的各安全因素，即主要集中在浏览器软件与个人交互性方面，缺乏对社会技术系统层次的逻辑论述，以及各层级之间的相互关系分析。从系统角度来看，安全事故是复杂社会技术系统各组成部分非线性交互作用下的涌现现象。浏览器信息安全问题是一个典型的系统问题，涉及浏览器内部组件之间的数据传递与处理，涉及浏览器与人的交互，同样涉及浏览器研发过程以及影响研发过程和使用行为的各种社会因素和技术因素，研究浏览器系统研制开发与使用过程各因素之间的交互作用具有重要意义。

因此，本文主要贡献：从系统科学的角度出发，在借鉴国内外学者研究成果基础上，构建了基于社会技术系统理论的浏览器信息安全事件分析模型，并由此为基础详细阐述导致浏览器信息安全事件的原因，以及对其进行风险控制的措施。

1 社会技术系统理论概述

社会技术系统由英国Tavistock 人际关系研究所于1951 年提出，该研究所对一家英国煤矿进行了一项提升组织生产效率的研究，在对采煤工人行为进行分析后提出社会技术系统理论[11][12][13]。该理论认为，系统组成要素间存在高接触与紧耦合性，系统的稳定状态及原有秩序会随着社会环境动态变化而出现波动和混沌，这样的波动和混沌使得系统中的组织和个人产生行为偏差；当系统自身修复与调节功能无法纠正这些偏差时，其结果就是系统可能失效，甚至发生事故。

2 浏览器社会技术系统动态分析

在市场经济环境下，浏览器厂商的优选目标是企业利益最大化，即便是提供免费浏览器的厂商也会倾向支出最小的成本，并能够最早交付面市。而传统观点认为制约企业获得利益的一个重要因素就是安全，这就意味着浏览器厂商所追求的利益最大化，存在这样的必要条件：符合政府对信息安全约束边界设定[14]。使用者的优选目标是个人利益最大化，使用浏览器倾向于最大便利地访问网络资源，而安全通常被视为一种制约与束缚使用者获取使用便利的因素，这就意味着使用者必然倾向于在浏览器功能允许的条件下，最大程度发挥其功效以获得访问网络资源的便利性；对于有着恶意攻击目的的使用者来说，还可以通过浏览器发起网络攻击，甚至获得经济利益。

政府在社会正常发展的状态下，会首先考虑经济、就业、社会稳定等。如果社会对信息安全事件的容忍达到极限，受到政治氛围、经济发展、社会舆论和公众认知等因素影响，政府组织必需处理相应信息安全事件，以避免产生持续性负面影响，处理的手段包括且不限于以法律手段、行政手段和市场手段影响浏览器厂商和使用者的安全目标与决策，如图1 所示。

图1 浏览器社会技术系统分析

3 社会技术系统浏览器信息安全事件致因分析模型

浏览器信息安全事件致因各因素彼此间存在着相互反馈关系，因此涉及社会技术系统不同层级间的内外部因素，无论直接原因还是间接原因，其本质都是行政干预漏洞和技术控制缺陷。只有理清社会技术系统行为主体之间的结构与耦合作用关系后，才可能对浏览器信息安全事件致因进行正确分析，并从社会组织整体视角审视国际标准、国家法律法规、信息安全产业政策、安全监管体系与企业组织管理等关键性影响因素，以及其可能存在的失效风险与漏洞。本文将社会技术系统理论与浏览器的研制开发过程和使用过程相结合，建立了社会技术系统浏览器信息安全事件致因分析模型，如图2所示。

浏览器信息安全问题的根本原因在于国际组织制定的网络协议国际标准和政府机构制定的经济政策、产业政策。网络协议国际标准如果存在较大信息安全漏洞，则依赖该标准所研制的浏览器工具极可能存在较多安全隐患，通过对网络协议国际标准进行信息安全修补或者在研制中直接对浏览器工具进行安全加固，也难以避免这一情况。浏览器信息安全问题的间接原因在于行政监管主体、第三方监管主体制定的规章制度和安全监察机制。行政监管主体主要指国家网信办、公安部网络安全保卫局等，第三方监管主体主要指中国互联网协会、全国信息网络安全协会联盟。行政监管主体、第三方监管主体制定的规章制度和安全监察机制间接影响到浏览器工具研制过程，并对用户使用浏览器工具的行为产生约束与影响。同时应当注意到，行政监管主体、第三方监管主体会根据信息安全事件调整规章制度和安全监察机制，以更好发挥作用。国际组织制定的网络协议国际标准和政府机构制定的经济政策、产业政策，以及行政监管主体、第三方监管主体制定的规章制度、安全监察机制均对浏览器厂商的研制过程产生约束与影响，浏览器厂商的企业规程、安全管理、教育培训、安全文化、安全投入、信息系统等各方面可能对浏览器工具安全性产生影响的因素，均受到以上要素影响，并对参与研制者的行为产生影响。参与研制者的人为因素是浏览器工具信息安全问题的直接原因，参与研制者的人为误操作以及故意违规操作等都会直接给浏览器带来安全隐患，如浏览器的运行权限过高、防御机制不足、插件扩展缺陷和存在软件漏洞等问题，都会导致基于浏览器的信息安全事件发生。浏览器厂商的企业规程、安全管理、教育培训、安全文化、安全投入、信息系统等也会对浏览器使用者行为产生影响，如浏览器厂商对于安全使用浏览器的教育投入不足，则使用者更容易出现不当操作行为而导致基于浏览器的信息安全事件。影响浏览器信息安全的另一个重要因素是环境因素，使用人使用浏览器工具的行为受限于网络设施、技术措施等环境因素，网络站点漏洞、网络链路问题是基于浏览器的信息安全事件产生与否的另一个直接原因。

分析社会技术系统浏览器安全问题致因分析模型可知，浏览器信息安全问题即涉及行政管理，又涉及技术因素，在不同层级之间还呈现出安全问题的涌现现象，因此预防浏览器信息安全问题就需要从行政干预、技术控制和多重防御三个方面着手，此外本文还从宏观层面总结了浏览器行业行政干预与技术控制的缺陷。

图2 社会技术系统浏览器信息安全事件致因分析模型

3.1 行政干预

考虑到个人（包括员工和使用人）及浏览器厂商的社会属性，个人与浏览器厂商均属于“经济人”，个人是以生活质量最优化为目标（员工倾向于付出较小的劳动量而交付浏览器项目，使用人倾向于更加便捷利用浏览器功能获取网络资源，其中攻击者倾向于通过浏览器功能发起恶意攻击行为而获得利益），浏览器厂商以企业利益最大化为目标（突出表现在财务指标最大化），为使自身利益最大化，个人和浏览器厂商往往向社会技术系统中多重约束边界挑战，其中浏览器厂商和员工如果选择更加安全的研制开发方式则会增加支出成本，因此其必然选择更加经济的研制开发方式，这无形中积累了研制开发过程中的不安全因素；而使用人如果选择更加安全的使用方式也会增加自身支出成本，因此其必然选择更加便捷的使用方式，这无形中扩大了研制开发过程中不安全因素的影响力。所以如果没有外部力量直接或间接对行为主体施加影响，行为主体将不可避免地出现大量不安全决策及行为，因此需要进行行政干预。

对于行政干预而言，其实践主体包括有形主体和无形主体，典型的有形主体有开发小组、浏览器厂商、政府和国际组织，典型的无形主体有法律法规、政治氛围、经济形势和社会文化。当前浏览器工作依赖于网络协议与网络脚本语言标准等，国际组织具有对网络协议和网络脚本语言标准的决定权，对于浏览器信息安全问题具有无与伦比的影响力。当前我国对浏览器厂商的行政干预存在如下缺陷。

3.1.1 缺乏相关法律

缺乏针对浏览器软件的专业性法律法规，现有法律法规是针对网络安全的普适性法律法规，缺乏针对性、全面性，且忽略对于浏览器研制开发过程可能存在导致信息安全问题的预防与管控，难以对浏览器研制开发过程中引入的重大缺陷导致的信息安全问题进行责任裁定与追究责任。

3.1.2 多为外国产品

我国当前普遍使用的浏览器多为外国产品，其研制开发过程通常在国外，我国司法体系无法直接干预其研制开发过程，由于地域文化、意识形态、社会舆论、经济水平、技术标准等各方面差异，可能引发对于部分信息安全问题理解与处置方式不同。

3.1.3 定制化开发

国产浏览器厂商通常以国外浏览器内核进行定制化开发，缺少对于浏览器内核的认知与干预。

3.1.4 监管机制与机构不健全

我国社会技术系统具有高度人情化特点，法律意识仍然较为薄弱，政府、监管部门、浏览器厂商可能存在为了各自利益目标及人情关系进行权力寻租和监管缺失的情况，缺乏浏览器安全研制开发的第三方监管机构和第三方监管制度。

3.1.5 大众关注不足

浏览器信息安全问题仍然未引起社会的普遍注意，社会大众对浏览器信息安全问题的认识较为肤浅，未形成关注浏览器信息安全的氛围。

3.1.6 预防风险投入不足

浏览器厂商对于预防信息安全风险的投入成本不足，安全研制开发资金审计制度落实不到位，最终结果就是相应投入不足，尤其在信息安全测试、应急处置和安全文化方面不足。

3.2 技术控制

浏览器的研制开发与使用过程涉及个人、浏览器、环境、管理等方面，在研制开发过程中必然会产生人为失误、技术缺陷，受到环境因素影响，人为失误可能被放大并加剧浏览器信息安全问题的突变型和偶然性，需要通过相关技术措施来控制人为、浏览器软件和环境导致信息安全问题的潜在风险。当前阶段，我国对于浏览器信息安全问题技术控制的不足主要体现在如下方面。

3.2.1 标准理解不足

我国对于网络协议与网络脚本语言标准的制定工作参与不足，许多浏览器信息安全问题的源头在于网络协议与网络脚本语言标准，我国浏览器厂商与信息安全从业者对于网络协议与网络脚本语言标准的理解不足，难以发现标准中隐藏的信息安全问题。

3.2.2 不掌控浏览器内核技术

我国国产化浏览器普遍采用国外浏览器内核进行定制化开发，由于浏览器内核的复杂性，我国浏览器厂商难以完全掌握浏览器内核的技术，给国产化浏览器留下了安全隐患。

3.2.3 浏览器体量大结构复杂

浏览器源代码体量巨大且结构复杂，难以高效、全面地发现与排除浏览器源代码中的信息安全缺陷，当前的自动化安全测试工具无法保证有效发现浏览器级别软件源代码的深层次缺陷，需要投入极大的时间成本和人力成本才可能将浏览器源代码安全问题降低到可接受程度。

3.2.4 开发者安全编程能力不足

浏览器软件开发人员安全编程能力不足，无法满足浏览器代码安全需求，对于浏览器软件开发人员的信息安全培训不到位，软件开发人员不知道如何保证代码安全性甚至留下大量低级代码安全问题。

3.2.5 开发者认知缺陷

浏览器软件开发人员对可能发生的信息安全问题认识不足，忽略部分信息安全问题或对部分信息安全问题采取错误的应对措施。

3.2.6 安全事件通报机制不健全

国内信息安全事件通报机制不健全，无法做到举一反三、及时响应，不能及时收到有参考性的信息安全事件通报或收到后无法及时采取应对措施，以致应当及时修复的信息安全隐患长期存在。

3.3 多重防御

作为浏览器在社会技术系统中运转的行为主体，个人、浏览器和组织三者之间的关系是相互作用的关系，并在客观上实现了制衡，这就需要建立多重防御体系。这样的多重防御体系是兼顾社会技术系统的，也同时是兼顾信息安全事件动态演变的。

多重防御体系将人员培训作为中心，将浏览器软件完整性作为核心，将浏览器厂商组织纵深防御管理作为重心，如图3 所示。

以人员培训为中心，指的是管理者应当掌握充分的信息安全知识，参与指导普通开发人员掌握可能导致浏览器信息安全问题的违规行为和错误行为，并承担向广大使用者普及安全便捷使用浏览器的操作方式；普通开发人员应掌握充分的信息安全知识，能够合理规避与处理可能给浏览器带来信息安全问题的情况；使用者应掌握必要的信息安全知识，能够安全便捷操作浏览器访问网络资源，避免使用浏览器导致信息安全问题；从管理者、普通开发者到使用者，均应梳理正确的信息安全意识与信息安全技能。

浏览器软件的完整性侧重于对浏览器开发过程的立项、需求分析、概要设计、详细设计、编程、测试、交付等各节点的安全风险进行评估，最终达到浏览器软件全生命周期的风险闭环管理流程。

浏览器厂商将结合从国家层面到企业层面、从宏观管理到微观管理，形成由外而内的纵深管理体系，浏览器厂商的组织管理漏洞可以得以完善，从而间接对个人、浏览器和环境达到风险控制的目的。

4 案例分析

2018 年，360 高级威胁应对团队在全球范围内率先监测到全球首个使用浏览器零日漏洞的Office攻击，该漏洞被命名为CVE-2018-8174[4]。该漏洞是Windows VBScriptEngine 代码执行漏洞，VBScript脚本执行引擎(vbscript.dll)存在该漏洞，攻击者可以将恶意的VBScript 嵌入到Office 文件或者网站中，一旦用户受诱导或不慎点击恶意链接或文档，攻击者便可远程获取当前用户系统权限，进而完全控制用户电脑。利用本文提出的致因分析模型对攻击者利用该漏洞进行分析，其行政干预缺失和技术控制缺陷如图4 所示。

图3 多重防御体系

图4 CVE-2018-8174 漏洞的社会技术系统浏览器信息安全事件致因分析模型

5 结语

5.1 致因因素

内外部环境共同作用是浏览器的信息安全事件的致因因素，人员的不安全行为和浏览器的不安全状态只是表面上加速了浏览器信息安全事件的进程。从社会技术系统视角分析可知，浏览器信息安全事件致因涉及从全局到局部各层次的关联关系，从而找到从整体上提高浏览器信息安全能力的方法。

5.2 内部因素与外部因素

外部因素在全局上推动或抑制浏览器信息安全事件的发展，内部因素在局部引发浏览器信息安全事件，外部因素决定了可能达到的程度，内部因素决定了可能发展的路线。

5.3 应对举措

第三方监管机构（如行业协会等）能够协助完善浏览器企业质量管理体系，并与企业和员工个人信息安全能力评价相结合，形成层次分明、类型多样的监管体系。同时需加强浏览器厂商在信息安全领域的研究深度和广度，逐步消除浏览器中的深层次信息安全隐患。