信息安全研究

Select

1. 国内外数据安全治理现状综述

邵晶晶韩晓峰

信息安全研究 2021, 7 (10): 922-.

摘要（1170）

PDF （3579KB）（724）

随着数字经济的蓬勃发展，隐私侵权、数据泄露、平台垄断、虚假信息等问题层出不穷，日益成为威胁个人权利、行业发展和国家安全的重要问题．从国家政策法律层面入手，将数据安全治理分解为个人数据保护、数据跨境流动监管、数据市场治理、数据内容管理5个领域，梳理分析美国、欧盟、中国等数字经济较为发达的国家和地区，在数据安全国家战略规划、立法、执法等方面的经验做法，形成国内外数据安全治理现状综述，并在此基础上，提出有关加强我国数据安全治理体系和能力建设的建议，即进一步完善法律体系，争夺数字经济领导权；深度参与全球数据治理，提升规则制定国际话语权；加强对新技术新应用的扶持监管，抢占数字经济治理新高地．

参考文献 | 相关文章 | 多维度评价

Select

2. ChatGPT在网络安全领域的应用、现状与趋势

张弛, 翁方宸, 张玉清,

信息安全研究 2023, 9 (6): 500-.

摘要（372）

PDF （2555KB）（329）

ChatGPT作为一种大型语言模型技术展现出了极强的语言理解和文本生成能力，不仅在各行各业受到巨大的关注，而且为网络安全带来新的变革.目前，ChatGPT在网络安全领域的相关研究仍处于起步阶段，为了使研究人员更系统化地了解ChatGPT在网络安全领域的研究情况，归纳总结了ChatGPT在网络安全领域的应用及其可能伴生的安全问题.首先，概述了大型语言模型技术的发展，并对ChatGPT的技术及其特点进行了简要介绍；其次，从助力攻击和助力防御2个方面详细讨论了ChatGPT在网络安全领域的赋能效应，包括漏洞挖掘、利用和修复，恶意软件的检测和识别，钓鱼邮件的生成和检测以及安全运营场景下的潜在用途；再次，深入剖析了ChatGPT在网络安全领域中的伴生风险，包括内容风险和提示注入攻击，并对这些风险进行了详细分析和探讨；最后，从安全赋能和伴生安全2个角度对ChatGPT在网络安全领域的未来进行了展望，指出了ChatGPT在网络安全领域的未来研究方向.

参考文献 | 相关文章 | 多维度评价

Select

3. 人工智能在网络安全领域的应用及技术综述

彭祯方, 邢国强, 陈兴跃,

信息安全研究 2022, 8 (2): 110-.

摘要（797）

PDF （1142KB）（592）

与发达国家相比,我国在人工智能领域的基础研究和技术应用方面起步比较晚,特别是人工智能在网络安全这个重要领域的应用,国内外的差距还非常明显,从而严重影响了我国网络空间安全能力水平的提升．本文详细阐述了人工智能与网络攻击、网络防御之间的关系,广泛调研了国内外主流信息安全公司在人工智能方面的应用现状,提出了APT检测、0Day漏洞挖掘、云安全是影响网络空间安全能力水平的3大核心领域,深入分析了人工智能技术分别在这3个领域应用的关键技术,并提出了人工智能技术存在的安全隐患,指出人工智能技术并非包治百病的灵丹妙药,为下一步我国信息安全行业如何深度研究和应用人工智能技术提供了科学的参考依据．

参考文献 | 相关文章 | 多维度评价

Select

4. 5G网络商用密码应用研究

唐明环, 彭浩楠, 王伟忠, 查奇文, 王聪,

信息安全研究 2023, 9 (4): 331-.

摘要（494）

PDF （1197KB）（279）

5G作为新一代移动通信网络基础设施，应用场景贯穿工业互联网、能源、交通、医疗、教育等生产生活的方方面面.终端大量接入、大规模网络部署、海量数据汇聚等特点为5G网络带来前所未有的安全风险，5G安全关系到社会发展、经济运行乃至国家安全，逐渐成为近年来国内外研究的热点.密码是保障网络与信息安全的核心技术和基础支撑，我国拥有自主知识产权的商用密码算法ZUC,SM4,SM3,SM2等经过十几年的发展，逐步在维护我国网络空间安全中发挥着越来越重要的作用.从5G网络架构及接口切入，分析了5G网络面临的安全风险，并提出了相应的商用密码应用方案，为5G网络商用密码应用实践提供参考.

参考文献 | 相关文章 | 多维度评价

Select

5. 交通运输领域数据安全技术框架研究与思考

贺志生, 张远云, 董绍岩,

信息安全研究 2022, 8 (11): 1092-.

摘要（176）

PDF （1237KB）（323）

近年来，在“数字政府”建设的不断推进过程中，政府部门之间的“数据鸿沟”“数据孤岛”现象逐渐被打破，数据作为数字政府的核心资源，是国家发展的重要原生动力，也是最有价值的核心资产.随着各类数据资源的大量汇聚、整合共享，延伸出一系列数据安全相关问题，如因数据高度集中导致数据更容易成为攻击的目标，内部人员的大量违规操作导致数据篡改、极大程度增加数据在流动和共享交换过程中数据泄露风险等.为了解决交通运输领域数据安全的问题，对交通技术运输领域面临的数据安全主要挑战进行了深入分析，提出打造“数据安全管控整体技术体系架构”，重点围绕交通运输领域的数据全生命周期安全和数据安全运营进行思考和探讨，数据安全管理不在此讨论范围内.

参考文献 | 相关文章 | 多维度评价

Select

6. 人工智能的安全风险与隐私保护

张玉清

信息安全研究 2023, 9 (6): 498-.

摘要（198）

PDF （472KB）（243）

随着信息技术和网络社会的快速发展，人工智能技术已经广泛应用于各个领域，包括医疗保健、金融、交通、军事等，这些领域的安全问题直接关系到人们的生命财产安全.然而，在使用人工智能技术实现智能化的过程中，也面临着算法安全风险、信息安全风险、数据安全风险、网络安全风险、社会安全风险及国家安全风险.

相关文章 | 多维度评价

Select

7. 基于《数据安全法》的数据分类分级方法研究

高磊赵章界林野丽翟志佳

信息安全研究 2021, 7 (10): 933-.

摘要（801）

PDF （2157KB）（702）

《中华人民共和国数据安全法》（以下简称《数据安全法》）已正式出台，明确规定国家建立数据分类分级保护制度，对数据实行分类分级保护。但目前我国数据分类分级相关标准规范较为欠缺，各行业在数据分类分级方面可借鉴的实践经验较为不足，如何将数据分类分级保护工作有效落地实施仍是比较棘手的问题。以《数据安全法》第二十一条为基础，分析数据遭受破坏后的影响对象、影响广度、影响深度等因素，提出数据分类、数据分级的原则和方法，并根据数据的应用场景、行业特点等，给出一种数据分类和数据分级相结合的实施路径，为行业数据分类分级保护工作提供一定的参考。

参考文献 | 相关文章 | 多维度评价

Select

8. 零信任研究综述

张宇张妍

信息安全研究 2020, 6 (7): 608-614.

摘要（780）

PDF （2068KB）（1161）

随着云计算，移动办公等技术的普及，企业网络结构变得复杂．传统的网络安全模型基于边界防护的思想，无法适应当前的需求．零信任是一种新的网络安全模型，不区分内外网，所有实体访问资源均需要认证、授权，能够用于防护边界日益模糊的网络．给出了零信任的定义，介绍了零信任的架构，分析了其依赖的核心技术，对代表性的几个零信任方案进行了对比分析，并总结了发展现状，指出了该领域中需要重点关注的研究方向，可为零信任的研究与应用提供参考．

参考文献 | 相关文章 | 多维度评价

Select

9. 算力网络安全架构与数据安全治理技术

邱勤, 徐天妮, 于乐, 吕欣, 袁捷, 张峰, 张滨,

信息安全研究 2022, 8 (4): 340-.

摘要（531）

PDF （2657KB）（395）

算力网络作为提供算力和网络深度融合、一体化服务的新型基础设施，为网络强国、数字中国、智慧社会建设提供重要支撑.当前算力网络规划建设已步入关键时期，算力网络安全相关工作正逐步推进，但尚未形成体系化的安全架构.总结国内外算力网络相关研究进展，分析算力网络面临的网络安全机遇和挑战，提出安全参考架构，并梳理安全支撑技术，为推动完善算力网络安全体系建设，部署应用算力网络安全机制提供参考.关键词算力网络；新型基础设施；安全参考架构；编排安全；隐私计算；数据安全；人工智能

相关文章 | 多维度评价

Select

10. 新型电力系统数据安全与隐私保护

李建彬, 高昆仑, 彭海朋,

信息安全研究 2023, 9 (3): 206-.

摘要（247）

PDF （513KB）（202）

《“十四五”现代能源体系规划》提出大力构建新型电力系统，推动电力系统向适应大规模高比例新能源方向演进.现阶段，电力系统数字化升级和新型电力系统建设快速迭代，新型电力技术应用和运行模式不断创新，新型电力系统面临的数据安全和隐私泄露问题日益严重.
新型电力系统以传统智能电网为基石,以光伏发电、风力发电等可再生能源发电为综合供给主体,并结合分布式储能系统以及各类复杂的电力设备等.相较于传统电力系统,新型电力系统安全涉及电力流、业务流与信息流的数据安全和隐私保护,数据安全和隐私保护问题成为限制新型电力系统高速发展的约束之一.在《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《信息安全技术网络安全等级保护基本要求》《中华人民共和国个人信息保护法》等法律法规的要求下，加强新型电力系统政策制度应用和数据安全与隐私保护技术研究，提升系统韧性、弹性和自愈能力，实现核心技术自主可控，构筑新型电力系统稳固的安全防线，是新型电力系统高效建设和长久稳定运行的关键所在.

相关文章 | 多维度评价

Select

11. SM9标识密码算法综述

袁峰

信息安全研究 2016, 2 (11): 1008-1027.

摘要（2305）

PDF （13949KB）（5637）

SM9标识密码算法是一种基于双线性对的标识密码算法，它可以把用户的身份标识用以生成用户的公、私密钥对，主要用于数字签名、数据加密、密钥交换以及身份认证等.SM9密码算法的密钥长度为256b.SM9密码算法的应用与管理不需要数字证书、证书库或密钥库.该算法于2015年发布为国家密码行业标准(GMT 0044—2016).总结了SM9密码算法的设计原理、算法描述、软硬件实现和安全性分析.

参考文献 | 相关文章 | 多维度评价

Select

12. SQL注入攻击检测与防御技术研究综述

王安琪, 杨蓓, 张建辉, 王瑞民,

信息安全研究 2023, 9 (5): 412-.

摘要（196）

PDF （2612KB）（185）

在互联网+时代，数据是互联网最宝贵的资源，攻击者为获取数据库中的重要数据信息常采用SQL注入攻击方式对数据库进行破坏，数据库安全面临的威胁日益严峻.目前有关SQL注入攻击的研究多集中在传统SQL注入攻击上，而缺乏对于隐蔽性更强、危险性更高的新型高级SQL注入技术的认知及相关检测与防御技术的研究.针对这一现象，从SQL注入技术分类出发对传统和高级SQL注入攻击技术及其技术特点进行分析评价；对现有检测与防御技术归纳总结，并对这些方法的优缺点和防御有效性进行评价；最后针对当前研究领域存在的问题进行梳理，为今后的研究方向给出建议.

参考文献 | 相关文章 | 多维度评价

Select

13. 多方安全计算研究综述

蒋凯元

信息安全研究 2021, 7 (12): 1161-.

摘要（614）

PDF （1190KB）（451）

随着互联网的快速发展，数据资源已经成为各行业的重要竞争力，但由于数据的拥有者和使用者无法统一，数据安全和个人隐私等问题日益加剧，因而产生了“数据孤岛”现象。多方安全计算技术能够同时确保数据输入的隐私性和数据计算的正确性，并且在无第三方的情况下通过协议保证参与计算的参与方输入的数据不泄露，有望解决以上类似问题。本文从多方安全计算的定义和特点出发，介绍多方安全计算的研究现状、组成模型和应用场景。

参考文献 | 相关文章 | 多维度评价

Select

14. “互联网+”时代国家电子政务外网的安全发展之路

周民

信息安全研究 2015, 1 (2): 98-104.

摘要（295）

PDF （2278KB）（1001）

当前，新一轮科技革命和产业变革正在全球范围内孕育兴起，世界各国纷纷抢占未来产业发展制高点。国家相继发布“互联网 +”行动计划，大数据发展行动纲要，推动大众创业、万众创新，促进传统产业转型，培育壮大新兴业态，增强公共服务能力，加快经济提质增效升级。在“互联网 +”时代下，更需要政府积极作为，利用互联网 +政务、互联网 + 益民服务等创新方式，推进政府简政放权、放管结合、优化服务，提升国家治理体系和治理能力现代化水平。国家电子政务外网作为我国电子政务的重要公共基础设施，通过与互联网安全、可控地融合，一方面可全面支撑电子政务和公共服务应用，另一方面，通过构筑“数、云、管、端”一体化的安全保障平台，为稳增长、促改革、调结构、惠民生、保安全等重大任务保驾护航。

相关文章 | 多维度评价

Select

15. AI与数据隐私保护：联邦学习的破解之道

杨强

信息安全研究 2019, 5 (11): 961-965.

摘要（531）

PDF （1395KB）（826）

伴随着计算力、算法和数据量的巨大进步，人工智能迎来第3次发展高潮，开始了各行业的落地探索.然而，在“大数据”兴起的同时，更多行业应用领域中是“小数据”或者质量很差的数据，“数据孤岛”现象广泛存在.例如在信息安全领域的应用中，虽然多家企业推出了基于人工智能技术的内容安全审核、入侵检测等安全服务，但出于用户隐私和商业机密的考虑，企业之间很难进行原始数据的交换，各个企业之间服务是独立的，整体协作和技术水平很难在短时间内实现突破式发展.如何在保护各机构数据隐私的前提下促成更大范围的合作，能否通过技术手段破解数据隐私保护难题，联邦学习是解决这一问题、实现跨企业协同治理的有效方式.

参考文献 | 相关文章 | 多维度评价

Select

16. 物联网固件漏洞安全检测综述

李涛, 田迎军, 葛阳晨, 田源, 李剑,

信息安全研究 2022, 8 (12): 1146-.

摘要（183）

PDF （1780KB）（180）

随着万物互联时代的到来，物联网的安全问题越来越突出，尤其是物联网中由于固件漏洞引起的安全隐患或攻击行为导致的经济损失越来越大.高效的固件漏洞检测技术越来越成为保障物联网设备安全的关键，因此研究物联网中固件漏洞安全检测相关方法与技术具有重要的理论意义和实用价值.分析了物联网固件安全问题频发的原因，归纳了物联网固件面临的主要安全威胁，针对固件漏洞分析所面临的挑战，综述了现有固件漏洞检测方法.通过对不同方法优势与不足的分析，为进一步提升固件安全缺陷检测方法的智能化、精准化、自动化、有效性、可扩展性提供指导.最后，对物联网固件漏洞安全检测进行了展望.

参考文献 | 相关文章 | 多维度评价

Select

17. 区块链技术在政务领域的应用探索

朱典

信息安全研究 2022, 8 (12): 1223-.

摘要（173）

PDF （3627KB）（170）

区块链作为新一代信息技术之一，在促进数据共享利用、优化业务流程环节、提升多方协同效率、降低总体运营成本、建立可信生态体系等方面具有较大的技术优势，为实现电子政务业务数据可信流通共享、安全资产信息防护、跨部门协同监管提供了能力新范式.设计了一种全新的区块链技术架构体系，通过构建区块链服务中台、政务应用链服务平台和政务安全链服务平台，在全省赋能多个试点应用，以实现对业务及多链数据资源进行盘点、联接、规范管理，构成基础的“数据资产”管理体系.

参考文献 | 相关文章 | 多维度评价

Select

18. 网络攻击模型研究综述

平国楼叶晓俊

信息安全研究 2020, 6 (12): 1058-1067.

摘要（788）

PDF （1774KB）（869）

随着信息技术的快速发展，网络攻击逐渐呈现多阶段、分布式和智能化的特性，单一的防火墙、入侵检测系统等传统网络防御措施不能很好地保护开放环境下的网络系统安全。网络攻击模型作为一种攻击者视角的攻击场景表示，能够综合描述复杂多变环境下的网络攻击行为，是常用的网络攻击分析与应对工具之一。本文首先介绍主要网络攻击模型，包括传统树、图、网结构模型和现代杀伤链、ATT&CK、钻石模型等；然后再对网络攻击模型的分析与应用进行说明，其中以求解攻击指标为目的的分析过程主要包括概率框架、赋值方法和求解方法，基于生命周期的攻击模型应用则包括了攻击者视角和防守者视角的应用过程；最后总结了网络攻击模型及其分析应用的现有挑战与未来方向。

参考文献 | 相关文章 | 多维度评价

Select

19. 基于深度学习的网络入侵检测研究综述

黄屿璁, 张潮, 吕鑫, 曾涛, 王鑫元, 丁辰龙,

信息安全研究 2022, 8 (12): 1163-.

摘要（169）

PDF （2421KB）（162）

互联网的迅速发展在给用户带来巨大便利的同时，也引发了诸多安全事故.随着零日漏洞、加密攻击等网络攻击行为日益增加，网络安全形势愈发严峻.入侵检测是网络攻击检测的一种重要手段.近年来，随着深度学习技术的持续发展，基于深度学习的入侵检测系统逐渐成为网络安全领域的研究热点.通过对文献的广泛调查，介绍了利用深度学习技术进行网络入侵检测的最新工作.首先，对当前网络安全形势及传统入侵检测技术进行简要概括；然后，介绍了网络入侵检测系统中常用的几种深度学习模型；接着，总结了深度学习中常用的数据预处理技术、数据集以及评价指标；再从实际应用的角度介绍了深度学习模型在网络入侵检测系统中的具体应用；最后，讨论了目前研究过程中面临的问题，提出了未来的发展方向.

参考文献 | 相关文章 | 多维度评价

Select

20. 云计算场景商用密码应用研究

彭浩楠, 唐明环, 查奇文, 王伟忠, 王聪,

信息安全研究 2023, 9 (4): 375-.

摘要（198）

PDF （3447KB）（157）

云计算使用户通过网络获取信息通信技术资源服务，这种的新型信息处理方式正在成为信息技术产业发展的必然趋势.用户、数据、信息资源高度集中、对云平台服务连续性的高度依赖、虚拟化的资源可扩展性等特点为云计算带来不可避免的安全风险.因此，如何利用商用密码技术防范云计算的安全风险成为当前的研究热点.从云计算网络架构切入，分析了云计算的密码应用需求，在此基础上设计了相应的云计算场景商用密码应用方案.研究成果为云计算场景下商用密码应用实践提供参考借鉴和理论指导，有望解决云计算安全关键问题.

参考文献 | 相关文章 | 多维度评价

Select

21. 大模型技术的网络安全治理和应对研究

高亚楠,

信息安全研究 2023, 9 (6): 551-.

摘要（200）

PDF （1101KB）（156）

随着人工智能技术的不断发展，大模型技术已经成为人工智能领域的重要研究方向，ChatGPT4.0和文心一言等的发布快速推进了这项技术的发展和应用.然而，大模型技术的出现也给网络安全带来新的挑战.将从大模型技术的定义、特点和应用入手，分析大模型技术下的网络安全态势，并提出相应的大模型网络安全治理框架，给出大模型网络安全应对步骤，为大模型网络安全保障工作提供参考.

参考文献 | 相关文章 | 多维度评价

Select

22. 大型语言模型内容检测算法和绕过机制研究

叶露晨, 范渊, 王欣, 阮文波,

信息安全研究 2023, 9 (6): 524-.

摘要（186）

PDF （1924KB）（154）

近年来，大型语言模型(large language model, LLM)技术兴起，类似ChatGPT这样的AI机器人，虽然其内部设置了大量的安全对抗机制，攻击者依然可以精心设计问答，绕过这些AI机器人的安全机制，在其帮助下自动化生产钓鱼邮件，进行网络攻击.这种情形下，如何鉴别AI生成的文本也成为一个热门的问题.为了开展LLM生成内容检测实验，从互联网某社交平台和ChatGPT收集了一定数量的问答数据样本，依据AI文本可获得条件的不同，研究提出了一系列检测策略，包含基于在线可获取AI对照样本的文本相似度分析、基于离线条件下使用统计差异性的文本数据挖掘分析、基于无法获得AI样本条件下的LLM生成方式对抗分析以及基于通过微调目标LLM模型本身构建分类器的AI模型分析，计算并比较了每种情况下分析引擎的检测能力.另一方面，从网络攻防的角度，针对检测策略的特点，给出了一些对抗AI文本检测引擎的免杀技巧.

参考文献 | 相关文章 | 多维度评价

Select

23. 一种基于Paillier和FO承诺的新型区块链隐私保护方案

李洋, 王萌萌, 朱建明, 王秀利, 王友卫,

信息安全研究 2023, 9 (4): 306-.

摘要（228）

PDF （934KB）（147）

区块链是一种共享数据库，具有高度去中心化和可追溯性等优良特性.然而，数据泄露仍然是区块链交易的一大难题.为了解决这个问题，提出了带变量k的Paillier同态加密(Paillier homomorphic encryption with variable k, KPH)方案，这是一种新型区块链隐私保护策略，使用RSA公钥加密算法隐藏交易信息，利用FO承诺对交易金额的合法性进行零知识证明，并通过Paillier半同态加密算法的加法同态性更新交易金额.与典型的Paillier算法不同，KPH方案的Paillier算法包含变量k，并结合函数L和中国剩余定理，将算法的时间复杂度从O(|n|2+e)降低到O(logn)，使算法解密过程更加高效.

参考文献 | 相关文章 | 多维度评价

Select

24. 大数据应用中的数据安全治理技术与实践

高磊, 赵章界, 宋劲松, 翟志佳, 杨芬, 蒋宋,

信息安全研究 2022, 8 (4): 326-.

摘要（437）

PDF （2139KB）（501）

大数据技术的广泛应用，让数据迸发出前所未有的价值和活力，但由于数据量大、数据源多、数据访问关系复杂等原因，致使数据安全缺乏精细化、规范化管理，也使得数据安全治理的重要性日益凸显.通过分析现有大数据应用中的数据安全问题和数据安全治理中的常见误区，提出数据安全治理的思路、原则和方法；并以分类分级为切入点，给出数据安全治理的技术架构；最后以大数据平台为例，给出数据安全治理的技术应用实践.

参考文献 | 相关文章 | 多维度评价

Select

25. 基于Tor的暗网数据爬虫设计与实现

汤艳君安俊霖

信息安全研究 2019, 5 (9): 798-804.

摘要（695）

PDF （3976KB）（1175）

随着匿名通信技术的发展，越来越多的用户开始采用匿名通信手段来保护个人隐私.Tor作为匿名通信系统中最为流行的应用，它能够非常有效地预防流量嗅探、窃听等行为.“暗网”在保护用户个人隐私不被窃取的同时也被很多不法分子所利用，这给公安部门的监管工作带来了巨大挑战.如何加强对暗网网站违法信息监管与打击是亟需解决的问题.因此，爬取暗网网站的数据是对暗网网站进行有效监管的重要基础.简要介绍目前最主流的暗网匿名通信系统Tor,分析其技术原理，设计了一套暗网数据爬虫程序，主要利用Selenium进入Tor网络，对暗网网页进行批量爬取并将数据固定保存至本地，有助于公安部门进一步监控和分析暗网中的相关内容，也为公安部门监管暗网提出一种可行的技术手段.

参考文献 | 相关文章 | 多维度评价

Select

26. 基于APT组织攻击行为的网络安全主动防御方法研究

殷树刚, 李祉岐, 刘晓蕾, 李宁, 林寅伟,

信息安全研究 2023, 9 (5): 423-.

摘要（139）

PDF （2792KB）（138）

当前国际形势复杂多变，国内社会转型期不断产生新的社会冲突和矛盾，各敌对势力妄图破坏我国关键信息基础设施，造成不良社会影响.现有基于已发生的网络攻击进行检测防御的防御措施缺乏灵活性，且对防御体系的全面性要求极高.因此，提出一种基于攻击行为的电力行业网络安全主动防御方法.经实验验证，该方法通过对攻击者的攻击行为进行分析，结合 ATT&CK攻击框架模型，针对高级可持续性威胁(advanced persistent threat, APT)组织通过大量跳板节点层层转发进行间断性的攻击尝试，直到找到突破口和跳板节点，在攻击前或者攻击中可能出现行为和结果的问题，提前发现攻击者的各级跳板、组织或个人信息，在攻击者实施踩点阶段提前发现攻击行为，预先阻断，实现了对攻击行为的主动防御.

参考文献 | 相关文章 | 多维度评价

Select

27. SM4 分组密码算法综述

吕述望

信息安全研究 2016, 2 (11): 995-1007.

摘要（913）

PDF （8653KB）（785）

SM4分组密码算法简称为SM4算法，为配合WAPI无线局域网标准的推广应用，SM4算法于2006年公开发布，2012年3月发布成为国家密码行业标准(标准号为GMT 0002—2012)，2016年8月发布成为国家标准(标准号为GBT 32907—2016).介绍了SM4分组密码算法的算法流程、结构特点及其密码特性，以及SM4算法的安全性分析研究现状，并与国际标准分组算法的安全性进行了对比.

参考文献 | 相关文章 | 多维度评价

Select

28. 数据安全共享技术发展综述及在能源电力领域应用研究

余晗, 梁音, 宋继勐, 李何筱, 奚溪, 原洁璇,

信息安全研究 2023, 9 (3): 208-.

摘要（159）

PDF （2019KB）（136）

数据要素的流通共享与协同应用是数字时代中数据要素市场培育的核心内容，数据安全共享技术能够有效实现数据的安全共享，避免“数据孤岛”现象、隐私泄露事件等.对国内外数据安全共享技术研究成果及进展进行了全面综述.首先，概述了数据安全共享技术的发展与演进历程，然后从技术特点、解决问题、优缺点等方面对比分析了现有数据安全共享解决方案，并总结了其依赖的关键技术及面临的风险挑战；其次，讨论了数据安全共享技术在电力能源交易、电力物联网、电动汽车等能源电力领域典型场景的应用，为能源电力领域数据合规与治理提供新的思路与启示；最后，展望了数据安全共享技术在能源电力领域应用的未来研究方向及发展前景.

参考文献 | 相关文章 | 多维度评价

Select

29. ChatGPT安全威胁研究

朱孟垚, 李兴华

信息安全研究 2023, 9 (6): 533-.

摘要（145）

PDF （1801KB）（136）

随着深度学习技术与自然语言处理技术的快速发展，以ChatGPT为代表的大型语言模型应运而生，然而其在诸多领域展现出令人惊讶的能力的同时，也暴露出诸多安全威胁，这引发了学术界与产业界的担忧.首先，介绍了ChatGPT及其系列模型的发展历程、工作模式与训练方式；然后，从用户和模型2个层面总结并分析了当前ChatGPT可能遇到的各类安全问题，并提出应对思路与方案；最后，对ChatGPT以及大型语言模型领域未来如何安全可信地发展进行了展望.

参考文献 | 相关文章 | 多维度评价

Select

30. 政务数据安全合规评估要点及实践

陈永刚, 赵增振, 陈岚,

信息安全研究 2022, 8 (11): 1050-.

摘要（367）

PDF （719KB）（310）

随着数字政府建设的深入推进，政务数据安全已成为数字政府的生命线.国家高度重视政务数据的安全风险防范工作，颁布了一系列法律法规和政策文件，对加强政务数据安全管理提出了明确要求.结合政务数据安全合规要求，提出了政务数据安全合规评估方法和指标体系，为政务数据管理者开展政务数据安全合规评估提供参考.

参考文献 | 相关文章 | 多维度评价

Select

31. 跨境数据流动的现状、分析与展望

王娜顾绵雪伍高飞张玉清曹春杰

信息安全研究 2021, 7 (6): 488-495.

摘要（811）

PDF （1439KB）（442）

大数据时代的来临加快了全球化的进程，让国家之间的经济和政治上的交流变得更加频繁，关于数据的竞争也越来越激烈，数据的跨境流动也已经无法避免．虽然欧盟、美国等国际主要经济体优先对数据跨境进行了部署，为不同国家提供了有效的参考意见，但随着数据跨境流动的需求日益迫切，与之相关的国家安全、个人数据保护问题也逐渐凸显．首先，通过梳理跨境数据流动的现有研究工作，从数据跨境概念出发，归纳其利弊；接着，从其中核心的数据安全技术和监管机制切入，系统地分析和对比多个国家数据跨境流动现状；最后，依据对现有工作的整理与总结，探讨中国现有数据跨境管理体系的不足和面临的挑战，提出针对性的建议和解决方案，并展望该领域的研究和发展趋势．

参考文献 | 相关文章 | 多维度评价

Select

32. 面向重大活动网络安全保障的新一代网络安全框架研究

齐向东, 刘勇, 韩永刚, 罗海龙, 孔坚, 高晓红, 郝雅楠

信息安全研究 2022, 8 (5): 492-.

摘要（325）

PDF （5642KB）（552）

重大活动因开放的网络环境、复杂的信息系统、广泛的社会关注而面临与日俱增的网络安全风险，传统的外挂式网络安全防护越来越难以适应日益复杂的重大活动网络安全形势.以2022年北京冬奥会和冬残奥会网络安全保障为背景，系统梳理了重大活动网络安全保障的主要特点，针对性地提出了新一代网络安全框架，并对该框架的结构、特点以及模型进行了详细分析.北京冬奥会和冬残奥会的网络安全保障工作“零事故”说明，该框架能够有效指导重大活动网络安全保障工作，为重大活动网络安全保障工作提供了成功样板.

相关文章 | 多维度评价

Select

33. 密钥泄露下Even-Mansour密码的滑动攻击

杨光张平胡红钢

信息安全研究 2018, 4 (6): 518-525.

摘要（172）

PDF （1288KB）（395）

Even-Mansour密码体制以其简单的结构和严格的安全性证明被广泛地应用于分组密码，一直以来都是分组密码研究方向中热门的研究点.该密码体制最典型的一类攻击方案研究是滑动密码分析.然而，对于该体制在密钥泄露情况下的攻击之前并没有相关的研究.首先给出一个基于Even-Mansour密码的滑动攻击改进的密钥泄露攻击.在Even-Mansour密码体制密钥泄露情况下，攻击性能大大优于原始攻击.接着，针对Even-Mansour加密的变种加密方案，给出其密钥泄露情况下的攻击方案.改进的攻击方案在性能上较原始攻击方案有很大提升.

参考文献 | 相关文章 | 多维度评价

Select

34. 工业控制系统终端渗透测试应用研究

冯兆文, 马彦慧, 曹国彦,

信息安全研究 2023, 9 (4): 313-.

摘要（446）

PDF （3070KB）（128）

随着工业互联网的发展，设备终端自身的安全问题越来越突出.如何对工业控制系统终端进行有效的安全测试已成为亟待研究和解决的关键问题.依据渗透测试流程，以输入验证错误漏洞渗透为例，研究工业控制系统终端的渗透测试应用方法.该方法从信息收集和渗透工具入手，对系统输入验证进行深入了解.在漏洞挖掘阶段，提出利用敏感测试输入对该漏洞的形式进行建模，并设计适用于工控程序的种子变异模式.该方法能够有效检测工控系统终端的输入验证错误漏洞，并发现大多数工控系统终端都存在同样的问题.实验中同时发现了由输入验证漏洞所产生的数据篡改、拒绝服务、权限获取和恶意脚本注入等安全威胁.最后为工控系统终端安全保护和设备防护提供了安全防护建议.

参考文献 | 相关文章 | 多维度评价

Select

35. 重要信息系统数据分类分级的研究与思考

李萌, 李健, 徐平洋, 张荷, 林琳,

信息安全研究 2023, 9 (7): 631-.

摘要（109）

PDF （1882KB）（128）

随着信息技术和网络化发展，围绕数据安全的事件风波也在不断增多，数据作为新的生产要素，确保重要数据的安全尤为重要，《中华人民共和国数据安全法》中明确规定国家建立数据分类分级保护制度，对数据实行分类分级保护.将通过研究我国数据安全管理法规政策，分析数据遭受破坏后的影响程度、影响对象等因素，提出具体的数据分类分级方法，并根据政务数据的行业特点、应用场景等，给出数据分类分级管理下的安全防护治理措施，实现数据在安全防范下的开放性、共享性，给未来政务数据分类分级保护工作提供参考.

参考文献 | 相关文章 | 多维度评价

Select

36. 数据安全管理职责划分和追责机制探析

艾龙,

信息安全研究 2023, 9 (1): 73-.

摘要（218）

PDF （1038KB）（127）

强化安全意识和责任意识是做好数据安全管理工作的首要条件，人是数据安全建设中最重要的因素，一切数据安全管理规范和措施都是以人为基础的.从数据安全合规视角出发，依据《中华人民共和国数据安全法》(以下简称《数据安全法》)，充分分析企业数据安全保护义务，创新设计了企业数据安全责任矩阵和数据安全事件追责矩阵，为企业提供建设数据安全合规管理体系过程中各利益攸关方所需的关键职能的设计思路，并依据关键职能给出了切实可行的问责方案，可以为各行业各单位落实《数据安全法》、构建数据安全组织建设和事件问责机制提供充分的参考.

参考文献 | 相关文章 | 多维度评价

Select

37. 软件安全性可靠性专题评述

孙伟

信息安全研究 2018, 4 (11): 974-976.

摘要（81）

PDF （781KB）（442）

相关文章 | 多维度评价

Select

38. 数据合规高效流通使用

周辉, 王志海,

信息安全研究 2023, 9 (7): 610-.

摘要（127）

PDF （519KB）（125）

数据作为数字技术的关键要素和新型生产要素，其流通使用在技术进步、经济社会创新发展和公共治理中发挥着日益突出的战略作用.
数据流通使用中面临着数字化转型的各类挑战，也存在着违法违规的潜在风险.能否把该管的管住，积极有效防范和化解之，关系各类数据主体权益，关系国家数据安全；能否把该放的放开，发展利用好数据，关系数字时代经济发展新动能，关系国家竞争新优势.

相关文章 | 多维度评价

Select

39. 数字孪生城市大数据平台数据流转安全模型研究

张帅, 于忠臣, 刘勇, 顾家乐, 冯词童, 杨建, 靳佑鼎, 应志军,

信息安全研究 2023, 9 (1): 48-.

摘要（175）

PDF （3862KB）（124）

数字孪生城市大数据平台可促进智慧城市数据资源集聚，全面推动政务数据与社会数据的跨领域融合应用，打通数据流通通道，避免孤岛，创新数据管理和共享开放体系与数据交易服务体系.针对城市大数据平台数据来源涉及数据格式种类繁多，且应用数据交换需求多样、系统权限体系复杂、跨域延伸不可控等数字孪生城市数据流转过程中面临的安全难点，提出了基于城市大数据平台的数据流转安全框架.以数据分类分级为基础，依据数据安全流转周期与数据治理安全域的时空维度，构建数据安全流转体系，从而解决数字孪生城市数据多源异构、跨网跨平台交换和共享的安全问题.

参考文献 | 相关文章 | 多维度评价

Select

40. 基于GPT模型的人工智能数据伪造风险研究

孙雷亮

信息安全研究 2023, 9 (6): 518-.

摘要（134）

PDF （1887KB）（121）

随着人工智能技术的快速发展应用，人工智能生成内容(artificial intelligence generated context, AIGC)的出现极大地解放了生产力，以ChatGPT为代表的产品风靡全球，其多样化的应用场景催动商业化迅猛发展.以人工智能数据伪造风险为研究目标，将GPT模型作为研究对象，通过分析其已经暴露或出现的安全隐患，重点研究数据伪造可能出现的原因及其实现过程.结合传统网络空间安全、数据安全攻防对抗方法，对基于模型微调导致数据伪造的实践进行了研究，推测人工智能广泛商业化后部分数据伪造利用场景.最后提出应对数据伪造风险的方法和建议，为将来人工智能大规模应用前规避数据伪造风险提供参考.

参考文献 | 相关文章 | 多维度评价

全文下载排行