信息安全研究

2021年第7卷第10期刊出日期：2021-10-09

上一期

专家视点

按照《关键信息基础设施安全保护条例》筑牢网络空间安全底线

沈昌祥

2021, 7(10): 890.

摘要 ( )

PDF (685KB) ( )

相关文章 | 计量指标

数据作为一种新生产要素，已成为国家基础性战略资源，与国家主权、社会秩序和公共利益息息相关，没有数据安全就没有国家安全。《数据安全法》和《个人信息保护法》的陆续发布有助于提升国家数据安全保障能力，有效应对数据这一非传统领域的国家安全风险与挑战，切实维护国家主权、安全和发展利益。这两部法律均提出支持专业机构开展数据安全检测、认证服务，当前急需加强数据安全检测认证体系建设，支撑国家数据安全管理。

多方计算特定应用场景的匿名化认定与建议

庄媛媛靳晨何昊青

2021, 7(10): 896.

摘要 ( )

PDF (5945KB) ( )

参考文献 | 相关文章 | 计量指标

数据正在逐渐成为关键生产要素，各产业对数据的需求也随之不断增长。2021年9月1日即将实施的《数据安全法》，对国内信息和数据安全领域的普适性法律框架做了进一步完善。作为数据当中最为特殊的一部分，个人信息在《个人信息保护法》受到更加严格的保护。《个人信息保护法》中有关匿名化与去标识化的概念与欧盟相关规定类似，但亦有其不同之处。本文以欧美相关规定为起点，洞察欧美对匿名化相关概念的差异，评价其可操作性与值得借鉴之处。随后，本文将我国相关规定与基于多方计算（Multi-party Computation，MPC）的数据交易场景进行结合，分析目前匿名化与去标识化相关规定在适用上可能面临的问题。最后，从个人信息保护与数据流通的角度，对匿名化与去标识化及其相关规定提出建议。

数据安全治理中的安全技术研究

吴振豪高健博李青山陈钟

2021, 7(10): 907.

摘要 ( )

PDF (1444KB) ( )

参考文献 | 相关文章 | 计量指标

以数据为中心的数字经济连续几年快速发展，占国民GDP的比重不断提高。但在发展的同时，数据安全事件频发，数据安全问题愈加突出。在已经将数据视为生产要素的大背景下，以规范数据处理活动、提高数据安全能力、建设数据健康生态为目标的数据安全治理是引导数据产业继续稳步前进的关键。《中华人民共和国数据安全法》的推行可以为数据安全治理提供方向，但还需要相应的技术来配合数据安全治理的落地。数据安全治理的技术研究，需要从数据安全的基本概念出发，围绕用于数据安全治理的数据生命周期，研究数据生命周期各个阶段的适用技术。此外，也需要根据数据安全治理的主要理念，如隐私保护或数据权属，进行数据安全治理的技术路线研究，才可以形成推进数据安全治理的相应思路。

数据安全治理实践探索

胡国华

2021, 7(10): 915.

摘要 ( )

PDF (935KB) ( )

参考文献 | 相关文章 | 计量指标

随着《中华人民共和国数据安全法》的深入实施和数据要素市场化深入发展，数据安全治理相关技术与实践也将得到持续发展．但是目前为止业内对于数据安全治理的相关实践还未形成统一的认识，相关国家及行业标准也未能推出，尝试从数据安全治理实现目标与方法等方面探索一种行之有效的数据安全治理实践．提出了一套数据安全治理体系架构，并围绕数据安全治理实践机制的管理、技术、评估和运营等几个方面要求逐一展开进行详细说明，并重点对于数据安全治理实践所涉及的关键措施及技术要求进行了介绍．

国内外数据安全治理现状综述

邵晶晶韩晓峰

2021, 7(10): 922.

摘要 ( )

PDF (3579KB) ( )

参考文献 | 相关文章 | 计量指标

随着数字经济的蓬勃发展，隐私侵权、数据泄露、平台垄断、虚假信息等问题层出不穷，日益成为威胁个人权利、行业发展和国家安全的重要问题．从国家政策法律层面入手，将数据安全治理分解为个人数据保护、数据跨境流动监管、数据市场治理、数据内容管理5个领域，梳理分析美国、欧盟、中国等数字经济较为发达的国家和地区，在数据安全国家战略规划、立法、执法等方面的经验做法，形成国内外数据安全治理现状综述，并在此基础上，提出有关加强我国数据安全治理体系和能力建设的建议，即进一步完善法律体系，争夺数字经济领导权；深度参与全球数据治理，提升规则制定国际话语权；加强对新技术新应用的扶持监管，抢占数字经济治理新高地．

基于《数据安全法》的数据分类分级方法研究

高磊赵章界林野丽翟志佳

2021, 7(10): 933.

摘要 ( )

PDF (2157KB) ( )

参考文献 | 相关文章 | 计量指标

《中华人民共和国数据安全法》（以下简称《数据安全法》）已正式出台，明确规定国家建立数据分类分级保护制度，对数据实行分类分级保护。但目前我国数据分类分级相关标准规范较为欠缺，各行业在数据分类分级方面可借鉴的实践经验较为不足，如何将数据分类分级保护工作有效落地实施仍是比较棘手的问题。以《数据安全法》第二十一条为基础，分析数据遭受破坏后的影响对象、影响广度、影响深度等因素，提出数据分类、数据分级的原则和方法，并根据数据的应用场景、行业特点等，给出一种数据分类和数据分级相结合的实施路径，为行业数据分类分级保护工作提供一定的参考。

关于构建数据安全生态圈的研究与实践

曾令平杨浩淼李凯

2021, 7(10): 941.

摘要 ( )

PDF (3921KB) ( )

参考文献 | 相关文章 | 计量指标

2021年3月，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》正式发布，其中提到“坚持放管并重，促进发展与规范管理相统一，构建数字规则体系，营造开放、健康、安全的数字生态”。“数字生态”的提出为构建数据安全生态圈的研究和实践提供了有力支撑，在国家数据安全战略的指导下，正逐渐形成全社会共同参与、共同维护数据安全和促进发展的良好环境。本次研究提出数据安全生态圈的整体框架包括一个中心、二个循环、三个体系、五个关键和八大路线。以数字生态为建设目标，从组织如何落实数据安全治理与建设要求的角度出发，确定数据安全生态圈的具体内容以及各个指标，最终形成数据安全各层级的落地执行路径。

数据运营安全在数据主权中的应用研究

王文宇

2021, 7(10): 949.

摘要 ( )

PDF (1785KB) ( )

参考文献 | 相关文章 | 计量指标

数字化背景下，数据是国家之间、企业之间竞争的核心竞争力，数据流动是当今国内国际发展的常态化趋势，包括国家之间的跨境流动、企业之间的数据开放、企业内部的数据处理以及个人与组织之间的个人信息交互。在数据流动的全流程中，把握数据主权是重中之重。不管是国家层面、企业层面、个人层面，只有掌握数据主权，才能保障国家安全、维护企业利益以及个人的合法权利。数字化转型时期，如何在数据安全层面对数据主权进行保护，是现有技术手段无法解决的难点。通过数据运营安全的研究，在数据流动中内嵌安全属性，以数据本体为核心对象，基于人工智能对数据进行风险评估与合规检查，融合数据沙盒，将数据运营安全技术应用于数据主权保护，从数据安全层面保障数据主权。

电子政务数据安全态势感知平台建设实践探索

范絮妍吴小倩冯立胜王欣

2021, 7(10): 954.

摘要 ( )

PDF (1501KB) ( )

参考文献 | 相关文章 | 计量指标

随着国家大力推进数据要素市场培育，数据价值日益凸显，数据泄露造成的危害日益加剧，国家出台数据安全法，提出健全数据安全治理体系，加强数据开放共享和安全保障措施．在这种发展态势下，一些电子政务运营单位着手规划设计覆盖全生存周期、以数据安全态势感知平台为核心的数据安全技术防护体系．本文通过对电子政务系统数据安全风险及需求分析，在对国内外数据安全管理能力建设模型研究基础上，探索数据安全态势感知平台设计及建设实践，为促使电子政务运营者逐步实现数据资产看得见、说得清、管得住、强审计、能追溯的业务目标提供了依据．

电子政务数据安全治理框架研究

高亚楠

2021, 7(10): 962.

摘要 ( )

PDF (1303KB) ( )

参考文献 | 相关文章 | 计量指标

电子政务数据作为国家基础性战略资源，事关国家政治经济运行、国防和社会稳定。电子政务数据面临着严峻的安全形势和错综复杂的安全威胁，亟需高屋建瓴的安全框架指导数据安全治理工作的开展。对电子政务数据安全治理存在的问题和当前研究情况展开了研究。在分析电子政务数据面临的威胁和风险的基础上，研究数据治理框架和安全治理框架，基于系统工程方法，提出了电子政务数据安全治理框架和治理途径。给出了电子政务数据安全治理的新目标、新方法、新途径、新举措，为电子政务数据安全治理的落地实施提供了参考。

数据分级划分

金涛

2021, 7(10): 969.

摘要 ( )

PDF (498KB) ( )

参考文献 | 相关文章 | 计量指标

1)(清华大学软件学院, 北京 100084)
2)(清华大学-中国人寿财产保险股份有限公司工业安全大数据联合研究中心, 北京 100084)

我国开源软件产业面临的突出风险及对策研究

王晓冬

2021, 7(10): 973.

摘要 ( )

PDF (649KB) ( )

参考文献 | 相关文章 | 计量指标

近年来，开源软件已经成为我国软件产业创新发展的重要模式之一。系统分析了全球开源模式的发展趋势，分析了我国开源软件产业存在的开源断供风险、代码安全风险、知识产权风险、自主创新风险，并据此提出了推进开源自主、加强模式创新、优化发展环境的具体政策举措，以促进我国开源产业生态健康可持续发展。

数字货币洗钱模式及追踪分析

江汉祥苏玉海

2021, 7(10): 977.

摘要 ( )

PDF (2085KB) ( )

参考文献 | 相关文章 | 计量指标

洗钱活动从传统的地下钱庄模式演化为第四方支付模式，以及当前兴起的数字货币模式，给侦查办案带来了巨大的挑战，也给社会金融体系产生了破坏.针对当前数字货币软件应用安装缺乏监管，数据货币交易缺乏监管，以及数据货币交易匿名性等问题，提出解决问题的关键渠道.分别从个人钱包地址实名化标签实现、数据货币交易所地址实名化标签实现、建立交易所电子数据调证通道等角度进行描述.最终实现数字货币交易过程数据可视化和地址标签化展示，为工作人员在办案中提供数据货币交易过程的清晰流向追踪图形，展示哪个节点是交易所，是否调证，以及哪个节点是可以查询实名的钱包地址，从而有效地提高工作效率。

人脸识别“易破解”面临的风险挑战及监管研究

苗杰

2021, 7(10): 984.

摘要 ( )

PDF (921KB) ( )

参考文献 | 相关文章 | 计量指标

今年2月清华大学RealAI研究团队利用对抗样本干扰技术，在短短15分钟内成功破解了19款国内主流手机的人脸识别系统，这些被破解的手机均采用2D人脸识别。而对于采用3D人脸识别的苹果手机则未能成功破解。考虑到成本原因，目前国内较多人脸识别应用场合仍采用2D人脸识别，因此这些场合存在人脸识别“易破解”造成的安全隐患。本文简要阐述了人脸识别基本原理及应用现状。充分调研分析了目前人脸识别“易破解”面临的技术挑战，并分析其所面临的安全风险。应对人脸识别“易破解”现状并提供良性的行业生态发展环境，提出具有针对性的监管研究。

北斗时空信息在工业互联网安全保障领域的应用研究

孟斌史劼王伟周中华冀宏斌

2021, 7(10): 989.

摘要 ( )

PDF (3379KB) ( )

参考文献 | 相关文章 | 计量指标

随着人工智能、云计算、大数据、物联网等技术发展，信息安全问题日益凸显，安全变得越来越复杂，网络恶意攻击强度、频率、规模和影响在不断升级，安全“边界”发生巨大变化。本文通过北斗时空信息的应用，为工业互联网中的数据提供统一的时间、位置信息，将时空信息作为工业大数据的关键标识，构建了基于北斗时空基准服务的工业互联网安全保障平台，实现高精度定位、时间基准、多源传感器柔性接入和空间地理信息服务，实现了工业数据与高精度时空数据的融合，解决了工业大数据的隐匿性，大大降低了工业互联网的安全风险，提升工业生产效率。