当期目录

    2021年 第7卷 第6期    刊出日期:2021-06-10
    上一期   
    网络空间治理专题
    新时代下的网络空间治理
    张玉清, 刘奇旭, 付安民, 张光华, 陈本辉, 朱珍超, 冯景瑜, 刘雁孝
    2021, 7(6):  486-487. 
    摘要 ( )   PDF (479KB) ( )  
    相关文章 | 计量指标
    跨境数据流动的现状、分析与展望 
    王娜 顾绵雪 伍高飞 张玉清 曹春杰
    2021, 7(6):  488-495. 
    摘要 ( )   PDF (1439KB) ( )  
    参考文献 | 相关文章 | 计量指标
    大数据时代的来临加快了全球化的进程,让国家之间的经济和政治上的交流变得更加频繁,关于数据的竞争也越来越激烈,数据的跨境流动也已经无法避免.虽然欧盟、美国等国际主要经济体优先对数据跨境进行了部署,为不同国家提供了有效的参考意见,但随着数据跨境流动的需求日益迫切,与之相关的国家安全、个人数据保护问题也逐渐凸显.首先,通过梳理跨境数据流动的现有研究工作,从数据跨境概念出发,归纳其利弊;接着,从其中核心的数据安全技术和监管机制切入,系统地分析和对比多个国家数据跨境流动现状;最后,依据对现有工作的整理与总结,探讨中国现有数据跨境管理体系的不足和面临的挑战,提出针对性的建议和解决方案,并展望该领域的研究和发展趋势.

    国际安全漏洞公平裁决程序对比研究
    时翌飞 冯景瑜 曹旭栋 黄鹤翔 王鹤
    2021, 7(6):  496-502. 
    摘要 ( )   PDF (2115KB) ( )  
    参考文献 | 相关文章 | 计量指标
    网络安全漏洞已成为各国重要的网络武器,为加强国家对安全漏洞的管控, 各国政府相继出台了安全漏洞公平裁决程序(VEP),该程序在政府层面评估安全漏洞,以保护国家利益为目的,决定披露或保留安全漏洞.目前安全漏洞公平裁决程序面临普及率不高、透明度和规范化程度低的问题.为应对这一情况,总结安全漏洞公平裁决程序的发展历程,针对目前世界范围的VEP程序制定情况进行了分析和对比,主要列举了目前较为成熟的安全漏洞公平裁决程序,并探索目前给出的给出各国VEP政策的对比分析表.同时对如何建立规范化安全漏洞公平裁决程序进行探讨,指出了目前安全漏洞公平裁决程序面临的挑战并提出解决方案.最终为我国建立安全漏洞公平裁决程序提供一些参考建议.
    网络威胁情报标准化建设分析
    何志鹏 刘鹏 王鹤
    2021, 7(6):  503-511. 
    摘要 ( )   PDF (1256KB) ( )  
    参考文献 | 相关文章 | 计量指标
    威胁情报能够帮助组织研判可能面临的安全现状与态势,并由此制定安全决策与应急响应.而面对威胁情报多样性内容导致情报素材本身的异构性问题,若要高效地利用各种威胁情报,首先需要对威胁情报的表达进行规范化和标准化.美国早已建立并运营起一套完整的威胁情报标准体系,而我国标准体系的建设尚处于起步阶段.本文总结概述了国际上部分国家(组织)在网络威胁情报领域开展的标准化工作,并从发布历程、模型框架、信息示例、平台应用等四个方面对我国国家标准与美国STIX标准进行了对比分析.归纳出美国网络威胁情报标准化工作分别在项目定位、模型建设、生态搭建上可借鉴的长处,并对我国今后的标准化建设提出三点建议.
    高级持续性威胁及其重构研究进展与挑战
    张博 崔佳巍 屈肃 付安民
    2021, 7(6):  512-519. 
    摘要 ( )   PDF (1752KB) ( )  
    参考文献 | 相关文章 | 计量指标
    高级持续威胁攻击指针对高价值目标发起的长期的定制攻击,会在不同主机上留下零散的痕迹,同时攻击者会使用各种技术将自己的行动隐藏在正常系统活动之中,因此难以被分析人员观测到.为了对其进行分析并采取对策,需要开发新一代的威胁检测与攻击重构工具,使分析人员能够快速确定是否有重大入侵,了解攻击者破坏系统安全的过程,并确定攻击的影响.其中因果关系分析是很受关注的一种手段,拥有较强的鲁棒性.本文首先简要介绍了高级持续威胁攻击,然后讨论了依赖因果关系分析的攻击重构基本方案,重点分析了基于异常分析、启发式和图形分析方法的威胁检测与攻击重构方案,并对现有的方案进行了评估,分析了当前攻击重构系统面临的挑战,最后对攻击重构潜在的研究方向进行了讨论和展望.
    网络安全人才政策及标准化研究
    王惠莅 王秉政 杨杰
    2021, 7(6):  520-526. 
    摘要 ( )   PDF (1449KB) ( )  
    参考文献 | 相关文章 | 计量指标
    网络安全人才队伍建设是实现我国网络强国科技强国的重要因素。加强网络安全人才队伍建设,已成为维护国家网络安全和建设网络强国任务的核心需求。我国目前在网络安全学科建设、职业教育和培训、人才选拔等方面都取得了一定的成就,但总体上看,我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题,与保障国家网络安全、推进网络强国建设的要求还存在一定差距,需要进一步加强网络安全人才建设工作。本文梳理分析了美国、英国和中国网络安全人才方面相关的标准情况,提出我国网络安全人才建设标准化建议。
    Web服务资源消耗脆弱性检测技术研究
    史立敏 王晓茜 张宏斌 刘心宇 汪旭童
    2021, 7(6):  527-534. 
    摘要 ( )   PDF (1291KB) ( )  
    参考文献 | 相关文章 | 计量指标
    当前,针对Web应用层的分布式拒绝服务攻击(DDoS)形式愈加严俊,但是对此类DDoS的缓解手段研究较少且技术不够成熟,并且主要聚集于攻击过程中的检测和流量清洗,而缺乏针对Web服务器资源消耗脆弱性的主动检测手段。为此,本文提出了面向Web服务资源消耗脆弱性的检测模型和评测框架,能够检测Web服务资源消耗脆弱点,并且评测Web服务资源消耗脆弱程度,旨在Web服务受到攻击前预先分析和了解Web服务的资源消耗脆弱性安全问题,为网站安全性能优化和需要采取的防御手段提供支撑。通过对某网站的实际测评验证了本模型和框架的有效性,能够通过对实际应用的网站进行Web服务资源消耗脆弱性检测和评测,发现其Web服务资源消耗脆弱点。
    电力物联网场景下基于零信任的分布式数据库细粒度访问控制
    黄杰 余若晨 毛冬
    2021, 7(6):  535-542. 
    摘要 ( )   PDF (1442KB) ( )  
    参考文献 | 相关文章 | 计量指标
    电力物联网体系结构的发展对数据层数据安全存储提出了更高的要求,为实现电力物联网中分布式数据库的数据资源细粒度访问控制,提出了利用零信任架构组件保护数据库资源的方案。讨论了使用动态信任管理对访问请求进行实时的、上下文的判决与授权,采用资源的细粒度访问控制方法实现对访问主体的最小授权,最后阐述了通过多粒度策略匹配和权限扩充对访问控制性能进行优化的方法。
    一种基于流量指纹的物联网设备实时自动检测及识别
    徐超 王纪军 吴小虎 张明远
    2021, 7(6):  543-549. 
    摘要 ( )   PDF (1598KB) ( )  
    参考文献 | 相关文章 | 计量指标
    近年来,随着物联网(IoT)技术的飞速发展,网络空间中涌现了大量的物联网设备,例如网络打印机,网络摄像头和路由器。但是,网络安全状况越来越严重。由连接到Internet的终端设备发起的大规模网络攻击频繁发生,造成一系列不利影响,例如信息泄漏和人员财产损失。建立一套用于物联网设备的指纹生成系统,以准确识别设备类型,对于物联网的统一安全控制具有重要意义。我们提出了一种基于流量指纹的物联网设备实时自动检测及识别方案,该方案包含两个主要模块,包括自动检测和指纹识别。首先通过被动侦听来收集由不同的物联网设备发送的消息。基于不同设备的标头字段的差异,使用一系列多分类算法来识别设备类型。仿真实验表明,该方案可以达到93.75%的平均预测精度。
    基于区块链交易验证的设备认证方法
    章振海 虞思城 蒋云杰 吴柯桢 顾国民 陈园
    2021, 7(6):  550-557. 
    摘要 ( )   PDF (1384KB) ( )  
    参考文献 | 相关文章 | 计量指标
    物联网在各个领域的广泛应用,造成设备井喷式增长.终端设备认证成为物联网接入安全管控的关键问题.目前,区块链技术已开始应用于物联网业务安全,但基于区块链的设备认证方面尚未出现有效的方案.本文基于区块头同步验证与简单支付验证(SPV)技术,提出基于区块链交易验证的设备认证方法,减少密钥凭证在通信过程中泄漏的风险,降低区块链通过共识机制进行交易确认的等待时延,为物联网设备提供可靠、高效的安全接入机制.
    智能网联汽车安全综述 
    钟永超, 杨波, 杨浩男, 杨毅宇, 王文杰, 徐紫枫
    2021, 7(6):  558-565. 
    摘要 ( )   PDF (1924KB) ( )  
    参考文献 | 相关文章 | 计量指标
    车联网与智能汽车的有机结合,产生了智能网联汽车。智能网联汽车以人工智能、5G通信技术等新兴技术为基础,通过车载传感系统和信息终端来实现与人、车、路等方面的信息交换。然而,厂商将新兴智能网联技术集成到汽车中,为客户带来方便、快捷、智能和舒适体验的同时,也带来一些信息安全问题。本文介绍了智能网联汽车的发展趋势以及与日俱增的安全问题;在给出智能网联汽车定义与架构的同时,比较了“智能”与“网联”关系以洋溢于及国内外技术路线的差异;对当前智能网联汽车所面临的安全威胁进行了汇总分析,结合智能网联汽车与传统汽车的技术架构差异将攻击划分了传统攻击与新型攻击两大类,并给出了每种攻击对应的安全防御对策;最后对当前智能网联汽车安全研究现状进行了分析和归纳,指出了当下环境的研究方向建议。 
    开源软件漏洞库综述
    贾培养 孙鸿宇 曹婉莹 伍高飞 王文杰
    2021, 7(6):  566-574. 
    摘要 ( )   PDF (2349KB) ( )  
    参考文献 | 相关文章 | 计量指标
    近年来,随着软件开发周期的不断缩短,越来越多的软件开发者在其项目代码中使用大量的开源代码,软件开发者往往只关注自己负责部分的代码安全,几乎不关注项目采用的开源代码的安全性问题,开源软件的使用者很难将传统漏洞数据库中的漏洞条目对应到当前的软件版本中,现有的漏洞版本控制方案和开源代码的版本控制方案之间存在一定的差异,这使得开源代码使用者无法及时修复存在漏洞的代码,因此一个能够准确收集开源漏洞情报并对漏洞进行精确匹配的漏洞库是十分必要的.本文首先介绍了开源代码的广泛使用带来的潜在安全挑战,其次对现有开源漏洞库平台的情况进行了详细分析,同时对现有开源漏洞库从多个维度进行了对比研究,然后给出了当前开源漏洞库建设面临的问题和挑战,最后给出了建设开源漏洞数据库的一些建议.
    基于获奖数据的全国大学生信息安全作品赛分析
    刘涛 张歌 宋汝超 杨毅宇 赵嘉煜 伍高飞 李学俊 张玉清
    2021, 7(6):  575-588. 
    摘要 ( )   PDF (5052KB) ( )  
    参考文献 | 相关文章 | 计量指标
    竞赛作为实践教学的有效载体,侧重考查学生的创新能力和实际动手能力,是提升人才培养能力的重要手段。全国大学生信息安全竞赛作为目前网络空间安全学科领域唯一一个入围高校学科竞赛排行榜的比赛,自2008年至今已举办13届。本文以全国大学生信息安全作品赛为例,通过对近年参赛信息以及获奖数据的收集、处理与统计,首次深入地剖析了信息安全竞赛,尝试挖掘出比赛获奖数据背后隐藏的信息与规律,探讨获奖作品的选题方向与安全技术发展和需求之间的内在联系,以此对未来参加信息安全作品赛的院校和同学提供理论借鉴和数据参考。