信息安全研究

Select

1. 我国网络可信身份发展路径探索与展望

杨林, 国伟, 章锋, 郝久月,

信息安全研究 2022, 8 (12): 1236-.

摘要（562）

PDF （1941KB）（100）

当前，世界主要国家高度重视可信数字身份对数字经济发展和网络空间治理的重要支撑作用，纷纷出台战略规划，建立技术体系，完善法律法规，大力推动数字身份体系建设应用.近年来，我国也大力倡导和发展数字经济，数字化服务已深入人民群众生产生活各个方面.在给人民群众带来便利的同时，也产生了一些不容忽视的问题，如传统的基于实体证件的身份认证方式已难以适应网络化、数字化活动需求；个人身份信息滥采、滥用以及泄露问题依然突出，网络诈骗、侵犯公民个人隐私信息等违法案事件时有发生，严重扰乱了社会公共秩序，威胁着人民群众生命财产安全.因此，加快建立符合我国国情的网络可信身份服务管理体系.

参考文献 | 相关文章 | 多维度评价

Select

2. 5G网络商用密码应用研究

唐明环, 彭浩楠, 王伟忠, 查奇文, 王聪,

信息安全研究 2023, 9 (4): 331-.

摘要（530）

PDF （1197KB）（300）

5G作为新一代移动通信网络基础设施，应用场景贯穿工业互联网、能源、交通、医疗、教育等生产生活的方方面面.终端大量接入、大规模网络部署、海量数据汇聚等特点为5G网络带来前所未有的安全风险，5G安全关系到社会发展、经济运行乃至国家安全，逐渐成为近年来国内外研究的热点.密码是保障网络与信息安全的核心技术和基础支撑，我国拥有自主知识产权的商用密码算法ZUC,SM4,SM3,SM2等经过十几年的发展，逐步在维护我国网络空间安全中发挥着越来越重要的作用.从5G网络架构及接口切入，分析了5G网络面临的安全风险，并提出了相应的商用密码应用方案，为5G网络商用密码应用实践提供参考.

参考文献 | 相关文章 | 多维度评价

Select

3. ChatGPT在网络安全领域的应用、现状与趋势

张弛, 翁方宸, 张玉清,

信息安全研究 2023, 9 (6): 500-.

摘要（530）

PDF （2555KB）（468）

ChatGPT作为一种大型语言模型技术展现出了极强的语言理解和文本生成能力，不仅在各行各业受到巨大的关注，而且为网络安全带来新的变革.目前，ChatGPT在网络安全领域的相关研究仍处于起步阶段，为了使研究人员更系统化地了解ChatGPT在网络安全领域的研究情况，归纳总结了ChatGPT在网络安全领域的应用及其可能伴生的安全问题.首先，概述了大型语言模型技术的发展，并对ChatGPT的技术及其特点进行了简要介绍；其次，从助力攻击和助力防御2个方面详细讨论了ChatGPT在网络安全领域的赋能效应，包括漏洞挖掘、利用和修复，恶意软件的检测和识别，钓鱼邮件的生成和检测以及安全运营场景下的潜在用途；再次，深入剖析了ChatGPT在网络安全领域中的伴生风险，包括内容风险和提示注入攻击，并对这些风险进行了详细分析和探讨；最后，从安全赋能和伴生安全2个角度对ChatGPT在网络安全领域的未来进行了展望，指出了ChatGPT在网络安全领域的未来研究方向.

参考文献 | 相关文章 | 多维度评价

Select

4. 工业控制系统终端渗透测试应用研究

冯兆文, 马彦慧, 曹国彦,

信息安全研究 2023, 9 (4): 313-.

摘要（475）

PDF （3070KB）（154）

随着工业互联网的发展，设备终端自身的安全问题越来越突出.如何对工业控制系统终端进行有效的安全测试已成为亟待研究和解决的关键问题.依据渗透测试流程，以输入验证错误漏洞渗透为例，研究工业控制系统终端的渗透测试应用方法.该方法从信息收集和渗透工具入手，对系统输入验证进行深入了解.在漏洞挖掘阶段，提出利用敏感测试输入对该漏洞的形式进行建模，并设计适用于工控程序的种子变异模式.该方法能够有效检测工控系统终端的输入验证错误漏洞，并发现大多数工控系统终端都存在同样的问题.实验中同时发现了由输入验证漏洞所产生的数据篡改、拒绝服务、权限获取和恶意脚本注入等安全威胁.最后为工控系统终端安全保护和设备防护提供了安全防护建议.

参考文献 | 相关文章 | 多维度评价

Select

5. 政务数据安全合规评估要点及实践

陈永刚, 赵增振, 陈岚,

信息安全研究 2022, 8 (11): 1050-.

摘要（392）

PDF （719KB）（326）

随着数字政府建设的深入推进，政务数据安全已成为数字政府的生命线.国家高度重视政务数据的安全风险防范工作，颁布了一系列法律法规和政策文件，对加强政务数据安全管理提出了明确要求.结合政务数据安全合规要求，提出了政务数据安全合规评估方法和指标体系，为政务数据管理者开展政务数据安全合规评估提供参考.

参考文献 | 相关文章 | 多维度评价

Select

6. 个人隐私保护与网络身份认证

于锐

信息安全研究 2022, 8 (9): 856-.

摘要（391）

PDF （391KB）（260）

《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出，要加快数字经济、数字社会、数字政府建设，提升公共服务、社会治理等数字化、智能化水平，并要求把安全发展贯穿国家发展各领域和全过程，筑牢国家安全屏障.为我国数字化社会发展指明了前进方向，明确了发展路径.
建立完善的网络身份认证生态体系作为建立和传递信任的基石，是维护现实世界和网络空间秩序、保障数字经济繁荣和社会稳定的基础性、关键性环节.当前信息技术广泛深刻地深入国家各个领域，网络空间和现实社会高度融合.面对日益严峻的网络安全问题，一个可以确认行为主体的身份融合空间越来越重要.

相关文章 | 多维度评价

Select

7. 面向重大活动网络安全保障的新一代网络安全框架研究

齐向东, 刘勇, 韩永刚, 罗海龙, 孔坚, 高晓红, 郝雅楠

信息安全研究 2022, 8 (5): 492-.

摘要（373）

PDF （5642KB）（614）

重大活动因开放的网络环境、复杂的信息系统、广泛的社会关注而面临与日俱增的网络安全风险，传统的外挂式网络安全防护越来越难以适应日益复杂的重大活动网络安全形势.以2022年北京冬奥会和冬残奥会网络安全保障为背景，系统梳理了重大活动网络安全保障的主要特点，针对性地提出了新一代网络安全框架，并对该框架的结构、特点以及模型进行了详细分析.北京冬奥会和冬残奥会的网络安全保障工作“零事故”说明，该框架能够有效指导重大活动网络安全保障工作，为重大活动网络安全保障工作提供了成功样板.

相关文章 | 多维度评价

Select

8. 自动化漏洞挖掘与攻击检测专题

文伟平

信息安全研究 2022, 8 (7): 630-.

摘要（362）

PDF （434KB）（304）

系统、软件当中存在的漏洞使其在运行期间面临恶意攻击的威胁，漏洞挖掘旨在及时发现系统、软件中可能存在的漏洞，先于攻击者利用之前及时修补以有效减少面临的威胁.因此主动进行漏洞挖掘与分析对网络安全具有重要意义.此外，由于网络攻击层出不穷，攻击检测技术越来越受到安全从业者的关注，并构成保障网络安全中的重要一环.

相关文章 | 多维度评价

Select

9. 基于内存保护技术的二进制内存破坏型漏洞攻击防护方法研究

姚纪卫, 杨芳

信息安全研究 2022, 8 (7): 694-.

摘要（361）

PDF （1030KB）（177）

新冠疫情在全球的爆发，进一步加速了全球各行业数字化转型的进程.信息化资产价值越来越高，信息安全问题随之而来.漏洞攻击是近年来安全事件频发的根源，漏洞防护能力直接影响了系统的安全，如何在没有补丁的情况下防止漏洞利用成为迫切需求.漏洞利用攻击防护也成为信息安全攻防对抗领域的一个重要研究内容，对二进制漏洞防护方法进行研究，提出了一种新的方法来应对日益增长的漏洞攻击.关键词内存保护技术；内存破坏型漏洞；网络安全；行为监控；漏洞攻击防护；端点安全

相关文章 | 多维度评价

Select

10. 跨域管控：数据流通关键安全技术

潘无穷, 韦韬, 李宏宇, 李婷婷, 何安珣,

信息安全研究 2023, 9 (E1): 105-.

摘要（339）

PDF （1450KB）（166）

数据是一种新型生产要素，具备复制成本低、复制不易被察觉、规模化泄露危害大等特点.为保障数据在流通中的安全，避免数据被窃取滥用，保护数据隐私信息，提出了“跨域管控技术”，它能够保障数据持有者在数据离开其运维域后，仍能保持对数据流通全过程的管控权.通过进行数据外循环下安全模型的威胁分析，以TEETPM、密码学技术为基础，构建了一种大规模数据跨域管控的实现方法，为建设复杂高效大规模数据流程枢纽提供技术支撑.

参考文献 | 相关文章 | 多维度评价

Select

11. 网络安全治理

严寒冰

信息安全研究 2022, 8 (8): 734-.

摘要（325）

PDF （422KB）（277）

随着信息化的飞速发展，网络与社会生活高度融合，网络安全与人民生活、社会稳定息息相关.习近平总书记说“没有网络安全，就没有国家安全”.网络安全治理现代化是新时代国家治理体系和治理能力现代化发展的客观要求，只有网络安全得到保障，我国经济、社会才能够顺利发展.

相关文章 | 多维度评价

Select

12. 新型电力系统数据安全与隐私保护

李建彬, 高昆仑, 彭海朋,

信息安全研究 2023, 9 (3): 206-.

摘要（315）

PDF （513KB）（234）

《“十四五”现代能源体系规划》提出大力构建新型电力系统，推动电力系统向适应大规模高比例新能源方向演进.现阶段，电力系统数字化升级和新型电力系统建设快速迭代，新型电力技术应用和运行模式不断创新，新型电力系统面临的数据安全和隐私泄露问题日益严重.
新型电力系统以传统智能电网为基石,以光伏发电、风力发电等可再生能源发电为综合供给主体,并结合分布式储能系统以及各类复杂的电力设备等.相较于传统电力系统,新型电力系统安全涉及电力流、业务流与信息流的数据安全和隐私保护,数据安全和隐私保护问题成为限制新型电力系统高速发展的约束之一.在《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《信息安全技术网络安全等级保护基本要求》《中华人民共和国个人信息保护法》等法律法规的要求下，加强新型电力系统政策制度应用和数据安全与隐私保护技术研究，提升系统韧性、弹性和自愈能力，实现核心技术自主可控，构筑新型电力系统稳固的安全防线，是新型电力系统高效建设和长久稳定运行的关键所在.

相关文章 | 多维度评价

Select

13. 大型语言模型内容检测算法和绕过机制研究

叶露晨, 范渊, 王欣, 阮文波,

信息安全研究 2023, 9 (6): 524-.

摘要（281）

PDF （1924KB）（200）

近年来，大型语言模型(large language model, LLM)技术兴起，类似ChatGPT这样的AI机器人，虽然其内部设置了大量的安全对抗机制，攻击者依然可以精心设计问答，绕过这些AI机器人的安全机制，在其帮助下自动化生产钓鱼邮件，进行网络攻击.这种情形下，如何鉴别AI生成的文本也成为一个热门的问题.为了开展LLM生成内容检测实验，从互联网某社交平台和ChatGPT收集了一定数量的问答数据样本，依据AI文本可获得条件的不同，研究提出了一系列检测策略，包含基于在线可获取AI对照样本的文本相似度分析、基于离线条件下使用统计差异性的文本数据挖掘分析、基于无法获得AI样本条件下的LLM生成方式对抗分析以及基于通过微调目标LLM模型本身构建分类器的AI模型分析，计算并比较了每种情况下分析引擎的检测能力.另一方面，从网络攻防的角度，针对检测策略的特点，给出了一些对抗AI文本检测引擎的免杀技巧.

参考文献 | 相关文章 | 多维度评价

Select

14. 面向联盟链分布式预言机技术研究

郁莲, 李泽琛, 王思成, 叶德鹏, 朱岩, 唐方方

信息安全研究 2022, 8 (5): 418-.

摘要（273）

PDF （2768KB）（208）

目前许多联盟链都处于封闭、确定性的环境下，其智能合约不能与外界发生IO.一些应用场景(如征信链、碳交易链、供应链、快递追踪等)需要一种机制与联盟链外部进行数据交互，一般被称为预言机 (oracle machine).现有联盟链中的预言机技术存在如下不足： 1)有限的数据交互模式，无法满足分布式应用需求； 2)随着分布式预言机节点数量的增加，共识时延也会随之提升，无法对系统进行有效扩展； 3)分布式预言机系统中的预言机节点通常由联盟链的参与方维护，数据共识过程中的行为对联盟链是不可见的，不利于数据的治理.针对上述问题，提出如下方法： 1)基于事件驱动机制，提出4种预言机设计模式或交互模式，支持入链(Inbound)和出链(Outbound)，以及Pull和Push这4种预言机数据交互组合方式； 2)使用门限签名算法对数据达成共识，在保证数据可信的同时提高预言机系统的可扩展性； 3)引入一种信誉机制进行数据治理，每个预言机节点维护局部信誉和全局信誉，对预言机节点形成监管，提高整个预言机集群的可信度.最后，通过设计实现征信链及碳交易链场景下的多链应用，对4种预言机的设计模式、可扩展性及预言机节点可信度进行评测与分析.

相关文章 | 多维度评价

Select

15. 工业控制网络安全

周文

信息安全研究 2022, 8 (6): 522-.

摘要（268）

PDF （440KB）（161）

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出，要加强网络安全保护，建立健全关键信息基础设施保护体系，提升安全防护和维护政治安全能力，推动构建网络空间命运共同体.工业控制系统被广泛用于能源、电力、交通等重要领域，已成为关键信息基础设施的重要组成部分.工业控制系统长期存在网络安全防护能力薄弱问题，同时，随着数字化转型的深入推进，传统互联网安全威胁逐步向工业控制领域渗透，导致网络空间攻击面以前所未有的速度不断扩大，工业控制网络面临日趋严重的安全威胁.

相关文章 | 多维度评价

Select

16. 网络可信身份体系建设相关问题研究

国强

信息安全研究 2022, 8 (9): 871-.

摘要（265）

PDF （2082KB）（124）

对与“网络身份”相关的一系列概念进行了梳理，从现实社会身份管理的方式方法引申出网络身份管理应借鉴的经验和思路，对网络身份生命周期管理所涉及的4个基本阶段及其重点要解决的问题进行了分析，提出了网络可信身份体系参考架构及其系统功能结构，并提出了推进我国网络可信身份体系建设和应用的相关建议.

参考文献 | 相关文章 | 多维度评价

Select

17. 数据安全治理实践

李雪莹, 张锐卿, 杨波, 谢海昌, 马国伟,

信息安全研究 2022, 8 (11): 1069-.

摘要（265）

PDF （5897KB）（234）

数据安全治理写入了《中华人民共和国数据安全法》，同时，数据安全治理也是体系化的网络安全建设中的重点之一.分析了Gantner和微软的数据安全治理理念，结合企业架构、利益攸关者理论、数据流安全评估、成熟度安全评估等方法论，形成一套数据安全治理理念，并设计数据安全管理与运营平台，用于数据安全治理指标的动态监管与数据安全运营.从2018年开始，该方法论和平台已在项目进行实践，解决用户的数据管理与防御体系的建设与优化.

参考文献 | 相关文章 | 多维度评价

Select

18. 隐私计算关键技术及研究展望

沈传年, 徐彦婷, 陈滢霞

信息安全研究 2023, 9 (8): 714-.

摘要（262）

PDF （1814KB）（158）

隐私计算作为目前兼顾数据流通和隐私保护的重要技术手段，能在确保数据安全的同时有效打破“数据孤岛”壁垒，实现数据开放共享，促进数据的深度挖掘使用和跨领域融合.介绍隐私计算的背景知识、基本概念以及体系架构，分别阐述隐私计算3种关键技术安全多方计算、联邦学习和可信执行环境的基本概念，对其存在的隐私安全进行研究，并对3种关键技术的差异进行多维度的比较总结.在此基础上，以隐私计算与区块链、深度学习、知识图谱的技术融合为出发点对隐私计算的未来研究方向进行展望.

参考文献 | 相关文章 | 多维度评价

Select

19. 人工智能的安全风险与隐私保护

张玉清

信息安全研究 2023, 9 (6): 498-.

摘要（254）

PDF （472KB）（296）

随着信息技术和网络社会的快速发展，人工智能技术已经广泛应用于各个领域，包括医疗保健、金融、交通、军事等，这些领域的安全问题直接关系到人们的生命财产安全.然而，在使用人工智能技术实现智能化的过程中，也面临着算法安全风险、信息安全风险、数据安全风险、网络安全风险、社会安全风险及国家安全风险.

相关文章 | 多维度评价

Select

20. 一种基于Paillier和FO承诺的新型区块链隐私保护方案

李洋, 王萌萌, 朱建明, 王秀利, 王友卫,

信息安全研究 2023, 9 (4): 306-.

摘要（254）

PDF （934KB）（166）

区块链是一种共享数据库，具有高度去中心化和可追溯性等优良特性.然而，数据泄露仍然是区块链交易的一大难题.为了解决这个问题，提出了带变量k的Paillier同态加密(Paillier homomorphic encryption with variable k, KPH)方案，这是一种新型区块链隐私保护策略，使用RSA公钥加密算法隐藏交易信息，利用FO承诺对交易金额的合法性进行零知识证明，并通过Paillier半同态加密算法的加法同态性更新交易金额.与典型的Paillier算法不同，KPH方案的Paillier算法包含变量k，并结合函数L和中国剩余定理，将算法的时间复杂度从O(|n|2+e)降低到O(logn)，使算法解密过程更加高效.

参考文献 | 相关文章 | 多维度评价

Select

21. 关于二进制程序循环安全问题的研究

马金鑫

信息安全研究 2023, 9 (4): 364-.

摘要（244）

PDF （2829KB）（67）

循环是软件程序中的常见结构，对循环使用不当是造成程序安全问题的重要因素之一，循环安全问题检测对提升软件安全性具有重要意义.在二进制程序中，路径状态爆炸、循环建模等问题使得针对循环安全性的静态分析面临诸多挑战，传统方法对这些问题的处理能力相对不足.提出并实现了一种基于二进制程序静态分析的循环安全问题检测方法，能够对循环内存读写越界与循环不终止问题进行检测.首先，对二进制程序中的循环结构进行分析，提出一种基于控制流图的循环要素识别与提取方法；接着，提出专用于循环分析的多种路径搜索策略，对循环从入口到出口的路径进行排序与探测；然后，提出一种基于静态具体执行的函数建模方法,可有效解决循环中归纳函数调用引发的约束扩张问题.最后，提出一种循环谓词差分归纳分析方法检测二进制程序中由循环引发的安全问题.将该检测方法应用到真实程序中并与Angr作对比实验，结果表明该方法在循环安全问题检测方面具备较强的检测能力，可检测的循环安全问题数比Angr更多.

相关文章 | 多维度评价

Select

22. 大模型技术的网络安全治理和应对研究

高亚楠,

信息安全研究 2023, 9 (6): 551-.

摘要（244）

PDF （1101KB）（188）

随着人工智能技术的不断发展，大模型技术已经成为人工智能领域的重要研究方向，ChatGPT4.0和文心一言等的发布快速推进了这项技术的发展和应用.然而，大模型技术的出现也给网络安全带来新的挑战.将从大模型技术的定义、特点和应用入手，分析大模型技术下的网络安全态势，并提出相应的大模型网络安全治理框架，给出大模型网络安全应对步骤，为大模型网络安全保障工作提供参考.

参考文献 | 相关文章 | 多维度评价

Select

23. 基于实网的攻防平台设计研究

郭金所

信息安全研究 2022, 8 (9): 895-.

摘要（243）

PDF （2394KB）（99）

通过对目前国内攻防网络靶场基于仿真技术的现状展开研究分析，提出建设一套基于实网环境攻防平台的研究目标，围绕该目标设计了一套实网攻防平台具有攻防能力对抗空间、攻防对抗安全管控、安全态势分析展示、指挥调度挂图作战、安全大数据平台5大模块的技术架构，并阐述了架构应用实践方式，最终提升安全人员的网络安全综合防御能力.

参考文献 | 相关文章 | 多维度评价

Select

24. 覆盖率引导的灰盒模糊测试综述

苏文超, 费洪晓

信息安全研究 2022, 8 (7): 643-.

摘要（241）

PDF （1745KB）（193）

近年来，覆盖率引导的灰盒模糊测试成为流行的漏洞挖掘技术之一，在软件安全行业发挥着日趋重要的作用.随着模糊测试应用场景越来越多样、应用程序越来越复杂，对模糊测试的性能要求也进一步提高.对现有的覆盖率引导的灰盒模糊测试方法进行研究，总结了其通用框架；对其面临的挑战及发展现状进行了分析；总结了这些方法的实验效果并讨论其实验评估所存在的问题；最后对未来发展趋势进行了展望.关键词模糊测试;漏洞挖掘;覆盖率引导；灰盒；软件安全

相关文章 | 多维度评价

Select

25. 云计算场景商用密码应用研究

彭浩楠, 唐明环, 查奇文, 王伟忠, 王聪,

信息安全研究 2023, 9 (4): 375-.

摘要（239）

PDF （3447KB）（206）

云计算使用户通过网络获取信息通信技术资源服务，这种的新型信息处理方式正在成为信息技术产业发展的必然趋势.用户、数据、信息资源高度集中、对云平台服务连续性的高度依赖、虚拟化的资源可扩展性等特点为云计算带来不可避免的安全风险.因此，如何利用商用密码技术防范云计算的安全风险成为当前的研究热点.从云计算网络架构切入，分析了云计算的密码应用需求，在此基础上设计了相应的云计算场景商用密码应用方案.研究成果为云计算场景下商用密码应用实践提供参考借鉴和理论指导，有望解决云计算安全关键问题.

参考文献 | 相关文章 | 多维度评价

Select

26. 数据安全管理职责划分和追责机制探析

艾龙,

信息安全研究 2023, 9 (1): 73-.

摘要（236）

PDF （1038KB）（138）

强化安全意识和责任意识是做好数据安全管理工作的首要条件，人是数据安全建设中最重要的因素，一切数据安全管理规范和措施都是以人为基础的.从数据安全合规视角出发，依据《中华人民共和国数据安全法》(以下简称《数据安全法》)，充分分析企业数据安全保护义务，创新设计了企业数据安全责任矩阵和数据安全事件追责矩阵，为企业提供建设数据安全合规管理体系过程中各利益攸关方所需的关键职能的设计思路，并依据关键职能给出了切实可行的问责方案，可以为各行业各单位落实《数据安全法》、构建数据安全组织建设和事件问责机制提供充分的参考.

参考文献 | 相关文章 | 多维度评价

Select

27. 智能合约隐私保护技术发展现状研究

白国柱, 张文俊, 赵鹏

信息安全研究 2022, 8 (5): 484-.

摘要（236）

PDF （1191KB）（206）

智能合约是区块链上可共享的程序代码，涉及账户地址和数字资产等信息.近年来，智能合约发展迅猛，将区块链平台由简单的分布式账本系统扩展为一个丰富的去中心化操作系统，引领了区块链2.0时代.然而，智能合约面临较为严重的隐私泄露问题，限制了智能合约技术的进一步发展和应用.分析了零知识证明、安全多方计算、同态加密和可信执行环境4种智能合约隐私保护关键技术；以智能合约运行平台为基准，梳理了当前智能合约隐私保护解决方案的最新研究成果，并对未来研究方向进行了展望.

相关文章 | 多维度评价

Select

28. 基于ATT&CK框架的网络安全评估和检测技术研究

张福, 程度, 鄢曲, 卞建超

信息安全研究 2022, 8 (8): 751-.

摘要（234）

PDF （2071KB）（256）

ATT&CK框架作为近年出现的网络安全攻击视角框架，在业内引起广泛的研究.介绍了现有基于ATT&CK框架的网络安全评估和检测技术，并在此基础上给出了其研究成果.在评估方面，提出了基于ATT&CK框架的自动化评估系统；在检测方面，提出了基于ATT&CK框架的检测所需的数据源标准化方法、攻击分析框架以及基于知识图谱的攻击链分析框架.为ATT&CK框架在网络安全评估和检测中的应用实践提供了具体思路和实施方案.

相关文章 | 多维度评价

Select

29. 基于区块链可追溯的个人隐私数据共享技术研究

刘萌, 陈丹伟, 马圣东,

信息安全研究 2023, 9 (2): 109-.

摘要（224）

PDF （1327KB）（130）

互联网的个人隐私数据作为及其重要的信息资源，涉及到一系列安全问题.一般采用集中式或者分布式服务器对个人隐私数据进行集中管理，数据存储不透明，容易出现单点故障、信息盗取等问题.将区块链技术与改进的CPABE算法相结合，采用IPFS(inter planetary file system)对隐私数据进行存储，设计了一种基于改进的CPABE算法的策略灵活的可追溯的个人隐私数据共享方案PPSSBC.该方案支持对泄露私钥的恶意用户进行问责，实现了动态访问控制，证明了方案的安全性.实验分析表明该方案是有效的.

参考文献 | 相关文章 | 多维度评价

Select

30. 基于人工智能和区块链融合的隐私保护技术研究综述

李宗维, 孔德潮, 牛媛争, 彭红利, 李晓琦, 李文凯,

信息安全研究 2023, 9 (6): 557-.

摘要（222）

PDF （1307KB）（158）

随着人工智能和区块链技术受到广泛的关注和应用，基于人工智能和区块链融合的隐私保护技术也备受瞩目.这类技术不仅能够保护个人隐私，还能保障数据的安全性和可靠性.首先，概述了人工智能与区块链，并概括了它们的结合及所衍生出的隐私保护技术.其次，探究了人工智能与区块链融合的隐私保护技术在实际应用中的具体场景，包括数据加密、去标识化、多层次分布式账本和K匿名方法等.此外，还重点评估了基于人工智能与区块链融合的隐私保护系统的5个关键特性，即权限管理、访问控制、数据保护、网络安全和可扩展性.进一步地，对现有系统中存在的不足和原因进行了深入分析，提出一系列改进建议，以期提高人们对数据隐私保护的认识和应对措施.对基于人工智能与区块链融合的隐私保护技术的应用场景及技术方案进行了分类与总结.最后，探讨了基于人工智能和区块链融合的隐私保护技术的发展方向，包括提高效率、安全性等，以实现更完善的隐私保护.

参考文献 | 相关文章 | 多维度评价

Select

31. 基于级联失效的标准物联网抗毁性研究

黄童祎, 李长连, 张小飞

信息安全研究 2022, 8 (5): 506-.

摘要（219）

PDF （1113KB）（90）

IEEE P21451标准体系定义了下一代物联网的架构.为了提高标准物联网网络抗损毁能力，首先基于IEEE P21451标准物联网终端节点的特性提出分簇标准物联网网络演化模型，然后结合标准物联网的负载与功能特性建立一个负载重分配范围可调的级联失效模型，探讨模型关键参数和网络抗毁性能的关系.该模型将节点负载划分为传感负载和可转移负载，综合考虑网络局部和全局信息的影响，将节点度和节点介数相结合构建节点的初始可转移负载.仿真实验结果验证了所提模型在面临级联失效时具备更好的网络抗毁性，为提高标准物联网抗毁性提供理论指导和方法参考.关键词物联网；IEEE P21451；抗毁性；级联失效；负载

相关文章 | 多维度评价

Select

32. 开源软件供应链安全风险分析与发展建议

苏仟, 赵娆

信息安全研究 2022, 8 (8): 831-.

摘要（218）

PDF （719KB）（206）

当前，开源已成为人类超大规模智力协同的最佳组织方式之一，也成为科技创新的“主战场”，在世界范围内迎来大发展.与此同时，开源软件也成为软件供应链攻击的成熟目标，面临着安全漏洞、知识产权、开源管制等风险.通过对开源软件供应链安全现状和风险进行分析，提出开源软件开发安全解决方案，并对开源软件供应链的发展提出建议.

相关文章 | 多维度评价

Select

33. SQL注入攻击检测与防御技术研究综述

王安琪, 杨蓓, 张建辉, 王瑞民,

信息安全研究 2023, 9 (5): 412-.

摘要（217）

PDF （2612KB）（205）

在互联网+时代，数据是互联网最宝贵的资源，攻击者为获取数据库中的重要数据信息常采用SQL注入攻击方式对数据库进行破坏，数据库安全面临的威胁日益严峻.目前有关SQL注入攻击的研究多集中在传统SQL注入攻击上，而缺乏对于隐蔽性更强、危险性更高的新型高级SQL注入技术的认知及相关检测与防御技术的研究.针对这一现象，从SQL注入技术分类出发对传统和高级SQL注入攻击技术及其技术特点进行分析评价；对现有检测与防御技术归纳总结，并对这些方法的优缺点和防御有效性进行评价；最后针对当前研究领域存在的问题进行梳理，为今后的研究方向给出建议.

参考文献 | 相关文章 | 多维度评价

Select

34. 跨境数据流动治理进展研究

沈传年

信息安全研究 2023, 9 (7): 624-.

摘要（211）

PDF （1036KB）（89）

跨境数据流动在推动全球数据资源共享的同时也不可避免地威胁着数据主权与国家安全，以跨境数据流动治理为博弈点的国际数据话语权的争夺将成为未来国际社会竞争的重点.介绍了跨境数据流动的背景知识和制约因素，调研并比较了美国、欧盟、俄罗斯、日本、澳大利亚等国家和组织的跨境数据流动治理模式，分析了我国当前跨境数据流动治理的政策现状以及面临的挑战，在此基础上，从推进跨境数据流动分级分类监管、创新发展跨境数据流动治理模式、完善应对域外“长臂管辖”的反制措施、积极参与并主导国际治理规则制定等方面，对我国数据主权视角下的跨境数据流动治理提出对策建议.

参考文献 | 相关文章 | 多维度评价

Select

35. 基于强化学习的车联网系统拟态防御设计研究

陈平, 苏牧辰, 陈浩贤, 汪仕浩, 邓黎明, 曹岸杰

信息安全研究 2022, 8 (6): 545-.

摘要（208）

PDF （1253KB）（95）

随着汽车智能化的高速发展，车机行为自动化程度随智能车载系统日益提升，各种固件、硬件设备都可通过智能车载系统进行数据和信息交互.车联网以智能车载系统承载对软件应用、ECU、硬件的自动化控制；在向用户提供各种驾驶功能的同时，智能车载系统的复杂化和自动化程度大幅提升，这意味着系统安全与功能安全的边界模糊.对车联网智能系统进行了模型化概述，强调了车联网场景下，智能车载系统的脆弱性、系统故障会直接影响到车机的功能安全，从而危害到用户的人生安全，因此车联网的系统安全性变得至关重要.以现有车联网安全事件与问题为背景，探讨了车联网中系统安全与功能安全的关系；强调了为找寻系统安全在车联网中的可落地性.指出在有限的资源成本下，快速找寻车机性能与系统安全的平衡点成为关键，并提出了一种基于拟态防御的前置性强化学习防御机制.关键词车联网安全；内生安全；拟态防御；强化学习；信息系统安全

相关文章 | 多维度评价

Select

36. 基于指令序列嵌入的安卓恶意应用检测框架

孙才俊, 白冰, 王伟忠, 何能强, 王之宇, 孙天宁, 张奕鹏

信息安全研究 2022, 8 (8): 777-.

摘要（207）

PDF （1830KB）（124）

随着移动应用程序及其用户的增长，移动应用的安全性成为各利益相关者的首要关注点.目前，基于安卓平台的恶意软件变种日益增多，亟需高效且有效的恶意软件检测方法，用于保障移动应用的安全性与可靠性.为解决该问题，提出一种基于指令序列嵌入(instruction sequence embedding, ISE)的轻量级安卓恶意应用检测框架ISEDroid.ISEDroid从安卓应用的Dalvik代码片段中提取出指令执行序列，用于表示恶意软件在运行期间所有可执行、可跟踪的路径.然后，通过自然语言处理中的嵌入(embedding)方法将指令序列转化为低维度数值向量.接着，通过average pooling算法生成样本代码行为的语义摘要.最后，通过评估不同的机器学习算法、调整指令片段嵌入的维度以及优化各种机器学习超参数，保证模型的各项参数达到最优，从而实现最佳的分类性能.大量实验证明，提出的方法能够准确识别安卓恶意应用，并且取得了0.952的F1得分.

相关文章 | 多维度评价

Select

37. 一种基于自注意力机制的深度学习侧信道攻击方法

周梓馨, 张功萱, 寇小勇, 杨威

信息安全研究 2022, 8 (8): 812-.

摘要（202）

PDF （4751KB）（146）

深度学习可以自由地提取组合特征，基于深度学习的侧信道攻击方法避免了选取兴趣点和对齐等预处理操作，促使越来越多的研究者使用深度学习实施侧信道攻击.目前基于深度学习的侧信道攻击模型使用多层感知机网络、卷积神经网络和循环神经网络，在训练时存在快速过拟合、梯度消失和收敛速度慢等问题.自注意力机制在自然语言处理、计算机视觉等领域表现出强大的特征提取能力.深入剖析自注意力机制的原理后，根据基于深度学习的侧信道攻击特质，提出了基于自注意力机制的深度学习侧信道攻击模型SADLSCA，使自注意力机制适用于深度学习侧信道攻击领域.SADLSCA充分地发挥自注意力机制以全局视角提取兴趣点的优点，解决了基于深度学习的侧信道攻击模型在训练时存在的快速过拟合、梯度消失和收敛速度慢等问题，并通过实验验证了在公开数据集ASCAD和CHES CTF 2018上攻击成功所需要的能量迹数量分别减少了23.1%和41.7%.

相关文章 | 多维度评价

Select

38. ChatGPT安全威胁研究

朱孟垚, 李兴华

信息安全研究 2023, 9 (6): 533-.

摘要（201）

PDF （1801KB）（171）

随着深度学习技术与自然语言处理技术的快速发展，以ChatGPT为代表的大型语言模型应运而生，然而其在诸多领域展现出令人惊讶的能力的同时，也暴露出诸多安全威胁，这引发了学术界与产业界的担忧.首先，介绍了ChatGPT及其系列模型的发展历程、工作模式与训练方式；然后，从用户和模型2个层面总结并分析了当前ChatGPT可能遇到的各类安全问题，并提出应对思路与方案；最后，对ChatGPT以及大型语言模型领域未来如何安全可信地发展进行了展望.

参考文献 | 相关文章 | 多维度评价

Select

39. 物联网固件漏洞安全检测综述

李涛, 田迎军, 葛阳晨, 田源, 李剑,

信息安全研究 2022, 8 (12): 1146-.

摘要（199）

PDF （1780KB）（187）

随着万物互联时代的到来，物联网的安全问题越来越突出，尤其是物联网中由于固件漏洞引起的安全隐患或攻击行为导致的经济损失越来越大.高效的固件漏洞检测技术越来越成为保障物联网设备安全的关键，因此研究物联网中固件漏洞安全检测相关方法与技术具有重要的理论意义和实用价值.分析了物联网固件安全问题频发的原因，归纳了物联网固件面临的主要安全威胁，针对固件漏洞分析所面临的挑战，综述了现有固件漏洞检测方法.通过对不同方法优势与不足的分析，为进一步提升固件安全缺陷检测方法的智能化、精准化、自动化、有效性、可扩展性提供指导.最后，对物联网固件漏洞安全检测进行了展望.

参考文献 | 相关文章 | 多维度评价

Select

40. 推动数字政府建设更好服务经济治理

魏琪嘉

信息安全研究 2022, 8 (7): 715-.

摘要（198）

PDF （581KB）（184）

建设数字政府是信息化纵深发展的背景下提升政府治理效能的必然要求.经济治理是政府职能的重要组成部分，直接关系经济社会高质量发展.数字政府建设是一项系统工程，不是简单的“政府管理+信息化”，更不是“信息化+政府管理”.统筹好数字政府建设和政府履行经济治理职能，是巩固二者良性互动局面的重要前提.数字政府更好服务经济治理，关键是要总结成功经验和案例，找准应用场景并积极稳妥推广，在满足场景需求的过程中优化功能，促进深度融合.关键词数字政府；政府治理；宏观经济治理；数字化；融合

相关文章 | 多维度评价

摘要点击排行