信息安全研究

Select

1. 人工智能在网络安全领域的应用及技术综述

彭祯方, 邢国强, 陈兴跃,

信息安全研究 2022, 8 (2): 110-.

摘要（797）

PDF （1142KB）（592）

与发达国家相比,我国在人工智能领域的基础研究和技术应用方面起步比较晚,特别是人工智能在网络安全这个重要领域的应用,国内外的差距还非常明显,从而严重影响了我国网络空间安全能力水平的提升．本文详细阐述了人工智能与网络攻击、网络防御之间的关系,广泛调研了国内外主流信息安全公司在人工智能方面的应用现状,提出了APT检测、0Day漏洞挖掘、云安全是影响网络空间安全能力水平的3大核心领域,深入分析了人工智能技术分别在这3个领域应用的关键技术,并提出了人工智能技术存在的安全隐患,指出人工智能技术并非包治百病的灵丹妙药,为下一步我国信息安全行业如何深度研究和应用人工智能技术提供了科学的参考依据．

参考文献 | 相关文章 | 多维度评价

Select

2. 面向重大活动网络安全保障的新一代网络安全框架研究

齐向东, 刘勇, 韩永刚, 罗海龙, 孔坚, 高晓红, 郝雅楠

信息安全研究 2022, 8 (5): 492-.

摘要（325）

PDF （5642KB）（552）

重大活动因开放的网络环境、复杂的信息系统、广泛的社会关注而面临与日俱增的网络安全风险，传统的外挂式网络安全防护越来越难以适应日益复杂的重大活动网络安全形势.以2022年北京冬奥会和冬残奥会网络安全保障为背景，系统梳理了重大活动网络安全保障的主要特点，针对性地提出了新一代网络安全框架，并对该框架的结构、特点以及模型进行了详细分析.北京冬奥会和冬残奥会的网络安全保障工作“零事故”说明，该框架能够有效指导重大活动网络安全保障工作，为重大活动网络安全保障工作提供了成功样板.

相关文章 | 多维度评价

Select

3. 大数据应用中的数据安全治理技术与实践

高磊, 赵章界, 宋劲松, 翟志佳, 杨芬, 蒋宋,

信息安全研究 2022, 8 (4): 326-.

摘要（437）

PDF （2139KB）（501）

大数据技术的广泛应用，让数据迸发出前所未有的价值和活力，但由于数据量大、数据源多、数据访问关系复杂等原因，致使数据安全缺乏精细化、规范化管理，也使得数据安全治理的重要性日益凸显.通过分析现有大数据应用中的数据安全问题和数据安全治理中的常见误区，提出数据安全治理的思路、原则和方法；并以分类分级为切入点，给出数据安全治理的技术架构；最后以大数据平台为例，给出数据安全治理的技术应用实践.

参考文献 | 相关文章 | 多维度评价

Select

4. 算力网络安全架构与数据安全治理技术

邱勤, 徐天妮, 于乐, 吕欣, 袁捷, 张峰, 张滨,

信息安全研究 2022, 8 (4): 340-.

摘要（531）

PDF （2657KB）（395）

算力网络作为提供算力和网络深度融合、一体化服务的新型基础设施，为网络强国、数字中国、智慧社会建设提供重要支撑.当前算力网络规划建设已步入关键时期，算力网络安全相关工作正逐步推进，但尚未形成体系化的安全架构.总结国内外算力网络相关研究进展，分析算力网络面临的网络安全机遇和挑战，提出安全参考架构，并梳理安全支撑技术，为推动完善算力网络安全体系建设，部署应用算力网络安全机制提供参考.关键词算力网络；新型基础设施；安全参考架构；编排安全；隐私计算；数据安全；人工智能

相关文章 | 多维度评价

Select

5. 数字经济背景下的数据安全治理

彭长根,

信息安全研究 2022, 8 (4): 316-.

摘要（243）

PDF （452KB）（336）

云计算、大数据和人工智能的快速发展和深度应用，为数字经济的发展奠定了重要基础，同时也不断催生出新技术、新产业、新业态和新模式，数据成为数字经济的一种新的生产要素.然而，新技术的发展是一把双刃剑，相伴而来的是数据安全风险日益严峻，数据的价值挖掘与安全保障之间的矛盾越来越突出，已成为制约数字经济发展的瓶颈.协调好数字经济中的发展与安全、公平与效率以及应用与监管的平衡已是当务之急.习近平总书记强调：“要规范数字经济发展，坚持促进发展和监管规范两手抓、两手都要硬，在发展中规范、在规范中发展”.已经正式实施的《中华人民共和国数据安全法》在“总则”中的第四条明确规定：“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力”.2021年底，国务院印发的《“十四五”数字经济发展规划》中也提出“促进公平与效率更加统一的新经济形态”.
数据安全治理是技术和管理相结合的安全保障体系，涉及技术、产品和服务，是面向数据采集、传输、存储、共享和应用全生命周期的数据安全技术和管理解决方案.因此，从技术、标准和法律多个维度建立数据安全治理保障体系是必由之路，也是当前极具挑战的难题.具体来说，既需要加强数据安全理论与技术研究以不断提升技术防护能力，也需要加快建立标准规范和法律法规以解决数据合规应用.因此，强化数据安全协同治理机制，构建全方位数据安全治理体系，为数字经济营造良好的应用环境，是当前迫切需要解决的问题.

相关文章 | 多维度评价

Select

6. 人脸深度伪造检测综述

孙毅, 王志浩, 邓佳, 李犇, 杨彬, 唐胜,

信息安全研究 2022, 8 (3): 241-.

摘要（445）

PDF （2995KB）（329）

近些年来，视频媒体随着移动互联网的普及发展迅猛，与此同时人脸伪造技术也随着计算机视觉的发展取得了很大的进步。诚然人脸伪造可以用来制作有趣的短视频应用，但由于其易生成、生成用时短、逼真度高等特性，其恶意使用对社会稳定和信息安全产生了极大威胁，如何检测互联网中的人脸伪造视频成为亟待解决的问题。在国内外学者的努力下，伪造检测在近些年也取得了很大的突破，因此本文旨在对现有的伪造检测方法进行详细的梳理和总结。特别地，本文首先介绍了伪造检测数据集，然后从伪造视频的痕迹、神经网络结构、视频时序信息、人脸身份信息、检测算法泛化性等方面对现有的方法进行了归纳和总结，并对相应方法的检测结果进行了对比和分析，最后对深度伪造检测的研究现状进行总结，并展望其面临的挑战和发展趋势，为相关研究工作提供借鉴。

参考文献 | 相关文章 | 多维度评价

Select

7. ChatGPT在网络安全领域的应用、现状与趋势

张弛, 翁方宸, 张玉清,

信息安全研究 2023, 9 (6): 500-.

摘要（372）

PDF （2555KB）（329）

ChatGPT作为一种大型语言模型技术展现出了极强的语言理解和文本生成能力，不仅在各行各业受到巨大的关注，而且为网络安全带来新的变革.目前，ChatGPT在网络安全领域的相关研究仍处于起步阶段，为了使研究人员更系统化地了解ChatGPT在网络安全领域的研究情况，归纳总结了ChatGPT在网络安全领域的应用及其可能伴生的安全问题.首先，概述了大型语言模型技术的发展，并对ChatGPT的技术及其特点进行了简要介绍；其次，从助力攻击和助力防御2个方面详细讨论了ChatGPT在网络安全领域的赋能效应，包括漏洞挖掘、利用和修复，恶意软件的检测和识别，钓鱼邮件的生成和检测以及安全运营场景下的潜在用途；再次，深入剖析了ChatGPT在网络安全领域中的伴生风险，包括内容风险和提示注入攻击，并对这些风险进行了详细分析和探讨；最后，从安全赋能和伴生安全2个角度对ChatGPT在网络安全领域的未来进行了展望，指出了ChatGPT在网络安全领域的未来研究方向.

参考文献 | 相关文章 | 多维度评价

Select

8. 交通运输领域数据安全技术框架研究与思考

贺志生, 张远云, 董绍岩,

信息安全研究 2022, 8 (11): 1092-.

摘要（176）

PDF （1237KB）（323）

近年来，在“数字政府”建设的不断推进过程中，政府部门之间的“数据鸿沟”“数据孤岛”现象逐渐被打破，数据作为数字政府的核心资源，是国家发展的重要原生动力，也是最有价值的核心资产.随着各类数据资源的大量汇聚、整合共享，延伸出一系列数据安全相关问题，如因数据高度集中导致数据更容易成为攻击的目标，内部人员的大量违规操作导致数据篡改、极大程度增加数据在流动和共享交换过程中数据泄露风险等.为了解决交通运输领域数据安全的问题，对交通技术运输领域面临的数据安全主要挑战进行了深入分析，提出打造“数据安全管控整体技术体系架构”，重点围绕交通运输领域的数据全生命周期安全和数据安全运营进行思考和探讨，数据安全管理不在此讨论范围内.

参考文献 | 相关文章 | 多维度评价

Select

9. 基于区块链的敏感数据安全共享方案

冯政鑫, 唐寅, 韩磊, 吴锡, 彭静,

信息安全研究 2022, 8 (4): 364-.

摘要（335）

PDF （2009KB）（321）

当前，区块链技术在数据共享应用中主要实现了数据主体的保护和校验，对于敏感数据而言，还应重点研究对用户行为和授权信息的存证与监管等问题.对此，提出一种基于区块链的敏感数据安全共享方案：通过联盟区块链、星际文件系统等技术，构建安全共享与数据验证的基础环境；通过设计敏感数据存储和分享算法，实现敏感数据的安全共享、用户行为的可靠存证及授权信息的合理监管.系统实现与分析表明，该方案能够实现各类型敏感数据的安全共享，保障敏感数据的存储、授权及访问安全，满足敏感数据的共享需求.关键词敏感数据；数据共享；区块链；星际文件系统；数据加密

相关文章 | 多维度评价

Select

10. 政务数据安全合规评估要点及实践

陈永刚, 赵增振, 陈岚,

信息安全研究 2022, 8 (11): 1050-.

摘要（367）

PDF （719KB）（310）

随着数字政府建设的深入推进，政务数据安全已成为数字政府的生命线.国家高度重视政务数据的安全风险防范工作，颁布了一系列法律法规和政策文件，对加强政务数据安全管理提出了明确要求.结合政务数据安全合规要求，提出了政务数据安全合规评估方法和指标体系，为政务数据管理者开展政务数据安全合规评估提供参考.

参考文献 | 相关文章 | 多维度评价

Select

11. 自动化漏洞挖掘与攻击检测专题

文伟平

信息安全研究 2022, 8 (7): 630-.

摘要（334）

PDF （434KB）（282）

系统、软件当中存在的漏洞使其在运行期间面临恶意攻击的威胁，漏洞挖掘旨在及时发现系统、软件中可能存在的漏洞，先于攻击者利用之前及时修补以有效减少面临的威胁.因此主动进行漏洞挖掘与分析对网络安全具有重要意义.此外，由于网络攻击层出不穷，攻击检测技术越来越受到安全从业者的关注，并构成保障网络安全中的重要一环.

相关文章 | 多维度评价

Select

12. 人工智能安全治理挑战与对策

彭长根,

信息安全研究 2022, 8 (4): 318-.

摘要（260）

PDF （2934KB）（281）

人工智能发展几经起伏，近年来再一次引发学术界和产业界的高度关注，其技术正在快速地应用于各个领域，已成为各国实现产业转型升级的新一轮战略性技术.但是以机器学习为核心技术的人工智能深度应用所引发的技术风险和社会风险日益凸显.从人工智能技术潜在安全漏洞、过度滥用和社会伦理3个方面，综述分析人工智能所面临的安全风险及其治理现状.进一步针对人工智能安全治理问题，从技术、标准和法律几个维度提出解决方案及建议，旨在为人工智能安全治理体系的建立及行业应用提供思路，也为人工智能安全技术研究提供探索方向.

参考文献 | 相关文章 | 多维度评价

Select

13. 5G网络商用密码应用研究

唐明环, 彭浩楠, 王伟忠, 查奇文, 王聪,

信息安全研究 2023, 9 (4): 331-.

摘要（494）

PDF （1197KB）（279）

5G作为新一代移动通信网络基础设施，应用场景贯穿工业互联网、能源、交通、医疗、教育等生产生活的方方面面.终端大量接入、大规模网络部署、海量数据汇聚等特点为5G网络带来前所未有的安全风险，5G安全关系到社会发展、经济运行乃至国家安全，逐渐成为近年来国内外研究的热点.密码是保障网络与信息安全的核心技术和基础支撑，我国拥有自主知识产权的商用密码算法ZUC,SM4,SM3,SM2等经过十几年的发展，逐步在维护我国网络空间安全中发挥着越来越重要的作用.从5G网络架构及接口切入，分析了5G网络面临的安全风险，并提出了相应的商用密码应用方案，为5G网络商用密码应用实践提供参考.

参考文献 | 相关文章 | 多维度评价

Select

14. 面向安全态势感知的统一运营技术研究

赵志伟, 顾涛,

信息安全研究 2021, 7 (E2): 90-.

摘要（236）

PDF （2497KB）（262）

随着网络技术的飞速发展，互联网已经成为当今社会不可或缺的重要组成部分，伴随而来的是对网络安全保障的持续高呼.安全态势感知平台的研发和建设成为网络安全保障的有利手段，但是安全态势感知平台作用的发挥依赖于有效的安全运营.如何保障有效的安全运营是业界研究的重点工作.首先介绍了面向安全态势感知平台的安全运营存在的问题和困难，其次提出一种统一运营的技术研究方案，最后结合典型场景分析实际效果，希望能够提供参考.

相关文章 | 多维度评价

Select

15. 基于业务场景的数据安全治理模型

李雪莹, 王玮,

信息安全研究 2022, 8 (4): 392-.

摘要（240）

PDF （1743KB）（260）

数字经济快速发展至今，世界各国都将数据资产作为可能影响国家安全的重要资源，纷纷采取行动，颁布数据安全相关的法规、条例，旨在全面提升数据安全能力.在此背景之下，涉及数据处理活动的组织一方面需要面临数据安全政策要求相关的制约，另一方面又希望保护好可能会影响到组织切身利益的数据.所以，在做好数据安全合规工作之外，还需要切实落实数据安全相关要求.基于组织业务场景，将实现业务目标作为动能是数据安全能力可持续改进的关键要素.针对典型数据安全框架进行了审视，提出基于业务场景的数据安全治理模型，为组织在开展数据安全治理工作提供一些参考.关键词业务场景；数据安全治理模型；数据流转；数据分类分级；数据安全运营；数据安全风险

参考文献 | 相关文章 | 多维度评价

Select

16. 网络安全治理

严寒冰

信息安全研究 2022, 8 (8): 734-.

摘要（299）

PDF （422KB）（253）

随着信息化的飞速发展，网络与社会生活高度融合，网络安全与人民生活、社会稳定息息相关.习近平总书记说“没有网络安全，就没有国家安全”.网络安全治理现代化是新时代国家治理体系和治理能力现代化发展的客观要求，只有网络安全得到保障，我国经济、社会才能够顺利发展.

相关文章 | 多维度评价

Select

17. 面向自然语言处理领域的对抗攻击研究与展望

金志刚周峻毅何晓勇

信息安全研究 2022, 8 (3): 202-.

摘要（225）

PDF （1351KB）（246）

随着人工智能的不断发展，深度学习已经被应用到各领域当中．然而，近些年来有相关研究已经表明，深度学习易受到对抗攻击的影响，这些对抗攻击可以欺骗深度学习模型使模型对样本类别产生错误判断．目前，有关计算机视觉的对抗攻击的研究已经逐渐趋于成熟，而由于文本数据的结构性质比较特殊，有关自然语言处理领域的对抗攻击的研究还处于发展阶段．因此，本文通过介绍对抗攻击的概念及其在计算机视觉领域的应用，来引出自然语言处理领域的对抗攻击的研究现状，并根据具体的自然语言处理下游任务来调研目前流行的对抗攻击方案．最后对自然语言处理领域的对抗攻击发展提出展望．本文对自然语言处理对抗攻击领域的研究人员具有参考价值．

参考文献 | 相关文章 | 多维度评价

Select

18. 基于区块链的边缘服务安全机制研究

李小娟, 臧义华, 吴楫捷

信息安全研究 2022, 8 (6): 613-.

摘要（112）

PDF （3509KB）（243）

边缘服务节点具备多样化保障能力，对于末端网络通信、数据采集、信息处理及控制等方面能力提升发挥着重要的作用，针对复杂环境中边缘服务节点易受攻击，安全信息共享手段缺乏的问题，基于DAG数据结构，设计了一个由主链、安全密钥链和业务链组成的安全区块链网络架构，采用硬件私钥存储、链上动态审计、数据安全传输和网络动态调整等多策略安全控制技术，为边缘服务节点建立了完备的安全机制.实验结果表明，提出的多策略安全机制能够确保边缘服务节点设备、数据存储、数据访问、数据传输、数据服务等各方面的安全，为工业互联网的发展奠定安全的基石.关键词边缘服务；区块链；密钥链；数据安全；动态审计

相关文章 | 多维度评价

Select

19. 个人隐私保护与网络身份认证

于锐

信息安全研究 2022, 8 (9): 856-.

摘要（299）

PDF （391KB）（243）

《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出，要加快数字经济、数字社会、数字政府建设，提升公共服务、社会治理等数字化、智能化水平，并要求把安全发展贯穿国家发展各领域和全过程，筑牢国家安全屏障.为我国数字化社会发展指明了前进方向，明确了发展路径.
建立完善的网络身份认证生态体系作为建立和传递信任的基石，是维护现实世界和网络空间秩序、保障数字经济繁荣和社会稳定的基础性、关键性环节.当前信息技术广泛深刻地深入国家各个领域，网络空间和现实社会高度融合.面对日益严峻的网络安全问题，一个可以确认行为主体的身份融合空间越来越重要.

相关文章 | 多维度评价

Select

20. 人工智能的安全风险与隐私保护

张玉清

信息安全研究 2023, 9 (6): 498-.

摘要（198）

PDF （472KB）（243）

随着信息技术和网络社会的快速发展，人工智能技术已经广泛应用于各个领域，包括医疗保健、金融、交通、军事等，这些领域的安全问题直接关系到人们的生命财产安全.然而，在使用人工智能技术实现智能化的过程中，也面临着算法安全风险、信息安全风险、数据安全风险、网络安全风险、社会安全风险及国家安全风险.

相关文章 | 多维度评价

Select

21. 一种基于隐私计算的数据共享模型研究

马英,

信息安全研究 2022, 8 (2): 122-.

摘要（213）

PDF （2404KB）（239）

当前政务数据共享中仍存在的数据需求和数据供给不匹配、数据安全保护和个人隐私保护薄弱、业务协同难等诸多亟待解决的问题。本文通过分析当前政务数据共享的运行服务机制，结合隐私计算技术的理论，提出基于隐私计算技术的数据共享模型，采用“可算不可见”的方式开展数据共享，给出基于隐私计算的数据共享总体架构，系统安全模型，并提出基于隐私计算进行数据统计分析和匿名查询两个主要应用流程。该模型对更好支撑安全管理要求高的重要数据的共享工作具有较好的理论和应用价值。

参考文献 | 相关文章 | 多维度评价

Select

22. 统一漏洞管理平台研究设计

刘畅,

信息安全研究 2022, 8 (2): 190-.

摘要（274）

PDF （1069KB）（237）

随着网络技术的发展，信息安全越来越受到人们的重视。安全漏洞做为攻击者最常利用的攻击手段之一，也受到了广泛关注。当前各大组织或企业进行漏洞管理的时候大都依赖于人工的方式，且缺乏统一的跟踪处置和展示分析，这样不仅效率较低，而且容易出错。针对这一问题，设计了一款统一漏洞管理平台，利用一体化平台实现漏洞全生命周期的自动化闭环管理，将不同的漏洞管理能力集成在特定的功能模块。同时使用通用的开发语言和标准的服务接口方便与其他基础服务平台系统或网络安全工具进行协同联动。实践表明，该平台可有效提高漏洞管理效能，实现了漏洞管理的集中化，流程化和自动化。

参考文献 | 相关文章 | 多维度评价

Select

23. 高度重视人工智能安全问题

谭毓安,

信息安全研究 2022, 8 (3): 311-.

摘要（114）

PDF （1250KB）（220）

近年来，以深度学习为代表的人工智能技术飞速发展，在图像分类、自然语言处理等多个任务中超过了人类的表现。在金融、教育、医疗、军事、制造、服务等多个领域，人工智能技术的应用不断深化，和社会生活的融合愈加紧密。然而，在这一过程中，人工智能系统自身暴露出众多安全问题，不断涌现出针对人工智能系统的新型安全攻击，包括对抗攻击、投毒攻击、后门攻击、伪造攻击、模型逆向攻击、成员推理攻击等。这些攻击损害了人工智能数据、算法和系统的机密性、完整性和可用性，迫切需要学术界和产业界的共同关注。

相关文章 | 多维度评价

Select

24. 重要工业控制系统网络安全防护体系

辛耀中

信息安全研究 2022, 8 (6): 528-.

摘要（119）

PDF （2687KB）（217）

近年来，全球网络安全事件频发.2015年12月23日黑客通过网络攻击进入乌克兰几个地区电网控制系统(SCADA)，直接控停了7个110kV变电站和23个35kV变电站，导致大规模停电；2016年10月21日，美国大量物联网视频设备DDoS攻击域名服务(DNS)，导致大半个美国互联网瘫痪；2017年5月12日勒索病毒袭击全球上百个国家，许多工控系统遭到攻击；2019年3月8日委内瑞拉大范围停电持续多日，委内瑞拉当即指责美国进行网络攻击，是首个通过攻击电网来颠覆国家的典型案例；2019年6月底美国军方宣称通过网络攻击了伊朗军事设施；2019年7月美国指责伊朗攻击纽约电网，导致曼哈顿地区停电；2021年5月美国输油管道遭勒索病毒攻击,进入紧急状态；2022年2月开始的俄罗斯乌克兰冲突中，双方的政府网站、军事设施和基础设施等都遭受了对方阵营的网络攻击.

相关文章 | 多维度评价

Select

25. 数据安全治理实践

李雪莹, 张锐卿, 杨波, 谢海昌, 马国伟,

信息安全研究 2022, 8 (11): 1069-.

摘要（245）

PDF （5897KB）（217）

数据安全治理写入了《中华人民共和国数据安全法》，同时，数据安全治理也是体系化的网络安全建设中的重点之一.分析了Gantner和微软的数据安全治理理念，结合企业架构、利益攸关者理论、数据流安全评估、成熟度安全评估等方法论，形成一套数据安全治理理念，并设计数据安全管理与运营平台，用于数据安全治理指标的动态监管与数据安全运营.从2018年开始，该方法论和平台已在项目进行实践，解决用户的数据管理与防御体系的建设与优化.

参考文献 | 相关文章 | 多维度评价

Select

26. 基于ATT&CK框架的网络安全评估和检测技术研究

张福, 程度, 鄢曲, 卞建超

信息安全研究 2022, 8 (8): 751-.

摘要（205）

PDF （2071KB）（216）

ATT&CK框架作为近年出现的网络安全攻击视角框架，在业内引起广泛的研究.介绍了现有基于ATT&CK框架的网络安全评估和检测技术，并在此基础上给出了其研究成果.在评估方面，提出了基于ATT&CK框架的自动化评估系统；在检测方面，提出了基于ATT&CK框架的检测所需的数据源标准化方法、攻击分析框架以及基于知识图谱的攻击链分析框架.为ATT&CK框架在网络安全评估和检测中的应用实践提供了具体思路和实施方案.

相关文章 | 多维度评价

Select

27. 数据安全治理的行业实践研究

王庆德, 吕欣, 王慧钧, 刘海洋, 秦天雄,

信息安全研究 2022, 8 (4): 333-.

摘要（174）

PDF （1170KB）（214）

摘要数据安全治理是数据治理的重要方面，是保障数据完整性、保密性、可用性以及防范数据处理活动给个人、社会、国家等带来安全风险，并协同业务发展的重要手段.当前，国内外对数据安全治理框架尚未形成统一认识，从数据安全治理的政策法规体系、国家标准体系出发，提出数据安全治理的指标体系，并分别从民航、企业、金融、能源和零售5个行业实践展开分析，提出数据安全治理的政策建议，以期助益我国数据安全治理体系的构建.关键词数据安全；数据安全治理；政策法规；指标体系；行业实践中图法分类号TP311

参考文献 | 相关文章 | 多维度评价

Select

28. 综合性集团网络安全水平评价指标体系构建与实证研究

曹龙, 吉梁, 朱彤,

信息安全研究 2022, 8 (1): 101-.

摘要（92）

PDF （2716KB）（212）

综合性集团往往涉及行业较多，旗下各行业网络安全水平参差不齐，网络安全水平统一评价工作经常难以开展.为解决这一问题，本文尝试站在综合性集团网络安全管理者的角度，分析了建立网络安全水平评价体系的意义、难点和思路，进而在已有的研究文献基础上，探索建立了跨行业网络安全3层指标体系及评价体系.通过在5家单位的试点应用，验证了指标体系、评价体系的合理性和可行性，并针对试点单位情况，提出了增进网络安全能力建设的意见，也为综合性集团的网络安全水平评价工作提供了参考.

参考文献 | 相关文章 | 多维度评价

Select

29. 新形势下网络安全等级保护2.0体系建设探索与实践

刘莉莉, 吕斌,

信息安全研究 2022, 8 (2): 196-.

摘要（213）

PDF （695KB）（209）

网络安全等级保护制度是在我国经济与社会信息化的发展过程中，以维护国家安全、提高信息化水平，促进信息化健康发展而设立的一项基本制度。随着以云计算、大数据等为代表的新技术的出现，信息系统建设已发生巨大改变。在网络安全等级保护建设中，原标准体系已无法适应新形势下的等级保护工作需要。本文围绕网络安全等级保护2.0体系化建设进行探讨，通过对比法、定性研究法、案例分析法、专家访谈法等方式，分析网络安全等级保护2.0体系建设思路与实践，探究其中的不足与改进之处，进行系统分析、总结归纳与概括，提炼出适合网络安全等级保护2.0体系建设系统化建议。最终达到促进我国信息化发展、加快信息化建设、提升网络安全实战化、全面化、体系化的应急响应能力，以期为相关工作者提供理论参考。

参考文献 | 相关文章 | 多维度评价

Select

30. 基于区块链的现代服务可信交易关键技术

蔡维德, 朱岩

信息安全研究 2022, 8 (5): 416-.

摘要（189）

PDF （497KB）（208）

区块链技术近两年无论是在国内还是国外都受到前所未有的重视.2021年美国和英国央行都表示，基于区块链的央行数字货币会改变整个金融体系，是100年来最大的一次经济改革.2021年12月，美国国会召开听证会表示，美国会全面接受Web 3.0，积极鼓励Web 3.0在美国发展，而Web 3.0的几个关键技术都是基于区块链，包括数字货币以及元宇宙.2022年2月，美国总统发布行政法令，要求政府内相关部门积极鼓励和支持开发区块链系统的数字货币以及相关的监管科技.

相关文章 | 多维度评价

Select

31. 新型电力系统数据安全与隐私保护

李建彬, 高昆仑, 彭海朋,

信息安全研究 2023, 9 (3): 206-.

摘要（247）

PDF （513KB）（202）

《“十四五”现代能源体系规划》提出大力构建新型电力系统，推动电力系统向适应大规模高比例新能源方向演进.现阶段，电力系统数字化升级和新型电力系统建设快速迭代，新型电力技术应用和运行模式不断创新，新型电力系统面临的数据安全和隐私泄露问题日益严重.
新型电力系统以传统智能电网为基石,以光伏发电、风力发电等可再生能源发电为综合供给主体,并结合分布式储能系统以及各类复杂的电力设备等.相较于传统电力系统,新型电力系统安全涉及电力流、业务流与信息流的数据安全和隐私保护,数据安全和隐私保护问题成为限制新型电力系统高速发展的约束之一.在《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《信息安全技术网络安全等级保护基本要求》《中华人民共和国个人信息保护法》等法律法规的要求下，加强新型电力系统政策制度应用和数据安全与隐私保护技术研究，提升系统韧性、弹性和自愈能力，实现核心技术自主可控，构筑新型电力系统稳固的安全防线，是新型电力系统高效建设和长久稳定运行的关键所在.

相关文章 | 多维度评价

Select

32. 联邦学习安全威胁综述

王坤庆, 刘婧, 赵语杭, 吕浩然, 李鹏, 刘炳莹,

信息安全研究 2022, 8 (3): 223-.

摘要（276）

PDF （1579KB）（195）

当前，联邦学习已被认为是解决数据孤岛和隐私保护的有效解决方案，其自身安全性和隐私保护问题一直备受工业界和学术界关注。现有的联邦学习系统已被证明存在诸多漏洞，这些漏洞可能被联邦学习系统内部或外部的攻击者所利用，破坏联邦学习数据的安全性。首先对特定场景下联邦学习的概念、分类和威胁模型进行介绍；其次介绍联邦学习的机密性、完整性、可用性（CIA）模型；然后对破坏联邦学习CIA模型的攻击方法进行分类研究；最后对CIA模型当前面临的问题挑战和未来研究方向进行分析和总结。

参考文献 | 相关文章 | 多维度评价

Select

33. 开源软件供应链安全风险分析与发展建议

苏仟, 赵娆

信息安全研究 2022, 8 (8): 831-.

摘要（199）

PDF （719KB）（188）

当前，开源已成为人类超大规模智力协同的最佳组织方式之一，也成为科技创新的“主战场”，在世界范围内迎来大发展.与此同时，开源软件也成为软件供应链攻击的成熟目标，面临着安全漏洞、知识产权、开源管制等风险.通过对开源软件供应链安全现状和风险进行分析，提出开源软件开发安全解决方案，并对开源软件供应链的发展提出建议.

相关文章 | 多维度评价

Select

34. 可机读消费的TTPs威胁情报平台体系研究

王晓波, 谢兰天, 郑然德, 徐菲,

信息安全研究 2021, 7 (E1): 8-.

摘要（50）

PDF （2353KB）（187）

目前，随着互联网APT攻击与安全对抗的不断升级，大量威胁情报信息早已直接应用到信息与网络安全的攻防战争中.各种网络安全信息、网络安全厂商和威胁情报信源也越来越多.安全厂商所提供的防御力量无论从人员规模还是硬件资源上来说都远远超过黑客组织，而从实际情况来看黑客组织却仍屡屡得手.攻击技术的演化领导着防御技术的演变，非传统的APT攻击需要非传统的防御.目前威胁情报的演化还处于早期阶段，战术威胁情报的收集、整理、运用已经初具规模，但目前基于战术的威胁情报还不能给防御方提供足够的战略价值.而能够提供战略价值的结构化、TTPs级、可智能分析和机读的威胁情报平台却仍在探索之中，国外在此方面的研究比国内早5~10年.提出一种TTPs级威胁情报平台的构架建设思路，包括APT、威胁情报等技术理论的诞生及发展，技术逻辑，发展现状和未来演进以及如何基于目前的安全信息资源，构建出真正可机读消费的TTPs级威胁情报平台.TTPs级威胁情报平台是一种基础建设，它将支撑着威胁情报发展到成熟的形态，作为APT攻击的有效战略响应指导手段，从而实现国家网络安全防御能力的全面提升.关键词APT攻击；威胁情报；自然语言处理；人工智能；知识图谱；TTPs；结构化威胁信息表达

相关文章 | 多维度评价

Select

35. SQL注入攻击检测与防御技术研究综述

王安琪, 杨蓓, 张建辉, 王瑞民,

信息安全研究 2023, 9 (5): 412-.

摘要（196）

PDF （2612KB）（185）

在互联网+时代，数据是互联网最宝贵的资源，攻击者为获取数据库中的重要数据信息常采用SQL注入攻击方式对数据库进行破坏，数据库安全面临的威胁日益严峻.目前有关SQL注入攻击的研究多集中在传统SQL注入攻击上，而缺乏对于隐蔽性更强、危险性更高的新型高级SQL注入技术的认知及相关检测与防御技术的研究.针对这一现象，从SQL注入技术分类出发对传统和高级SQL注入攻击技术及其技术特点进行分析评价；对现有检测与防御技术归纳总结，并对这些方法的优缺点和防御有效性进行评价；最后针对当前研究领域存在的问题进行梳理，为今后的研究方向给出建议.

参考文献 | 相关文章 | 多维度评价

Select

36. 政务数据安全框架构建

余晓斌

信息安全研究 2022, 8 (11): 1061-.

摘要（186）

PDF （1321KB）（183）

随着国家对数据安全的重视不断提升，政务数据作为新时代数字政府的核心资产，不仅会涉及公民个人信息数据，还会涉及政府机构相关的敏感信息等重要数据，因此，政务数据的安全防护保障能力不容忽视.目前国内针对政务数据安全方面的防护机制与研究相对欠缺.从法律法规政策、复杂的业务场景以及新型技术3个层面给政务数据带来的风险进行剖析，结合政务数据的安全管理、安全技术和安全运营3大安全层面，提出符合政务数据安全需求的政务数据安全组织能力框架，为后续政务数据安全保障体系的研究提供思路.

参考文献 | 相关文章 | 多维度评价

Select

37. 深度伪造生成和检测技术综述

张煜之, 王锐芳, 朱亮, 赵坤园, 刘梦琪,

信息安全研究 2022, 8 (3): 258-.

摘要（206）

PDF （1583KB）（181）

近年来兴起的深度伪造技术能够篡改或生成高度逼真且难以甄别的音视频内容，并得到了广泛的良性和恶意应用。针对深度伪造的生成和检测，国内外专家学者进行了深入研究，并提出了相应的生成和检测方案。对现有的基于深度学习的音视频深度伪造生成技术、检测技术、数据集以及未来的研究方向进行了全面的概述和详细分析，这些工作将有助于相关人员对深度伪造的理解和对恶意深度伪造防御检测的研究。

参考文献 | 相关文章 | 多维度评价

Select

38. 物联网固件漏洞安全检测综述

李涛, 田迎军, 葛阳晨, 田源, 李剑,

信息安全研究 2022, 8 (12): 1146-.

摘要（183）

PDF （1780KB）（180）

随着万物互联时代的到来，物联网的安全问题越来越突出，尤其是物联网中由于固件漏洞引起的安全隐患或攻击行为导致的经济损失越来越大.高效的固件漏洞检测技术越来越成为保障物联网设备安全的关键，因此研究物联网中固件漏洞安全检测相关方法与技术具有重要的理论意义和实用价值.分析了物联网固件安全问题频发的原因，归纳了物联网固件面临的主要安全威胁，针对固件漏洞分析所面临的挑战，综述了现有固件漏洞检测方法.通过对不同方法优势与不足的分析，为进一步提升固件安全缺陷检测方法的智能化、精准化、自动化、有效性、可扩展性提供指导.最后，对物联网固件漏洞安全检测进行了展望.

参考文献 | 相关文章 | 多维度评价

Select

39. 智能合约隐私保护技术发展现状研究

白国柱, 张文俊, 赵鹏

信息安全研究 2022, 8 (5): 484-.

摘要（215）

PDF （1191KB）（178）

智能合约是区块链上可共享的程序代码，涉及账户地址和数字资产等信息.近年来，智能合约发展迅猛，将区块链平台由简单的分布式账本系统扩展为一个丰富的去中心化操作系统，引领了区块链2.0时代.然而，智能合约面临较为严重的隐私泄露问题，限制了智能合约技术的进一步发展和应用.分析了零知识证明、安全多方计算、同态加密和可信执行环境4种智能合约隐私保护关键技术；以智能合约运行平台为基准，梳理了当前智能合约隐私保护解决方案的最新研究成果，并对未来研究方向进行了展望.

相关文章 | 多维度评价

Select

40. 面向联盟链分布式预言机技术研究

郁莲, 李泽琛, 王思成, 叶德鹏, 朱岩, 唐方方

信息安全研究 2022, 8 (5): 418-.

摘要（243）

PDF （2768KB）（175）

目前许多联盟链都处于封闭、确定性的环境下，其智能合约不能与外界发生IO.一些应用场景(如征信链、碳交易链、供应链、快递追踪等)需要一种机制与联盟链外部进行数据交互，一般被称为预言机 (oracle machine).现有联盟链中的预言机技术存在如下不足： 1)有限的数据交互模式，无法满足分布式应用需求； 2)随着分布式预言机节点数量的增加，共识时延也会随之提升，无法对系统进行有效扩展； 3)分布式预言机系统中的预言机节点通常由联盟链的参与方维护，数据共识过程中的行为对联盟链是不可见的，不利于数据的治理.针对上述问题，提出如下方法： 1)基于事件驱动机制，提出4种预言机设计模式或交互模式，支持入链(Inbound)和出链(Outbound)，以及Pull和Push这4种预言机数据交互组合方式； 2)使用门限签名算法对数据达成共识，在保证数据可信的同时提高预言机系统的可扩展性； 3)引入一种信誉机制进行数据治理，每个预言机节点维护局部信誉和全局信誉，对预言机节点形成监管，提高整个预言机集群的可信度.最后，通过设计实现征信链及碳交易链场景下的多链应用，对4种预言机的设计模式、可扩展性及预言机节点可信度进行评测与分析.

相关文章 | 多维度评价

全文下载排行