信息安全研究

平国楼叶晓俊

2020, 6(12): 1058-1067.

摘要 ( )

PDF (1774KB) ( )

参考文献 | 相关文章 | 计量指标

随着信息技术的快速发展，网络攻击逐渐呈现多阶段、分布式和智能化的特性，单一的防火墙、入侵检测系统等传统网络防御措施不能很好地保护开放环境下的网络系统安全。网络攻击模型作为一种攻击者视角的攻击场景表示，能够综合描述复杂多变环境下的网络攻击行为，是常用的网络攻击分析与应对工具之一。本文首先介绍主要网络攻击模型，包括传统树、图、网结构模型和现代杀伤链、ATT&CK、钻石模型等；然后再对网络攻击模型的分析与应用进行说明，其中以求解攻击指标为目的的分析过程主要包括概率框架、赋值方法和求解方法，基于生命周期的攻击模型应用则包括了攻击者视角和防守者视角的应用过程；最后总结了网络攻击模型及其分析应用的现有挑战与未来方向。

北斗导航系统信息安全研究

王斯梁冯暄陈翼蔡友保

2020, 6(12): 1068-1073.

摘要 ( )

PDF (1450KB) ( )

参考文献 | 相关文章 | 计量指标

目前北斗三代系统已完成部署，北斗系统将为全球用户提供导航定位和通信数传于一体的服务。北斗系统在我国已广泛应用于交通运输、国土资源、防灾减灾、农林水利、测绘勘探、应急救援等领域，但北斗系统信息安全相关技术标准体系尚未完善，密码应用方案较少。本文首先解析了北斗系统的组成及已发布的标准体系情况，分析了北斗系统各个环节存在的安全风险，然后参照等级保护要求提出了北斗系统的信息安全保障体系。针对北斗系统独有的短报文应用，给出了基于三层密钥机制和对称加密算法的加密方案，方案综合考虑了安全性和北斗终端的处理性能，能较好地应用于北斗民口的短报文加密领域。

基于文献计量的国内区块链研究现状分析

邱悦文魏谢文

2020, 6(12): 1074-1081.

摘要 ( )

PDF (2981KB) ( )

参考文献 | 相关文章 | 计量指标

区块链技术发展与应用在新技术革新与产业变革中起重要作用，探究国内区块链领域研究现状、研究热点和发展趋势，为相关产业创新发展提供参考。数据选取核心期刊，利用文献计量和可视化方法，从发文趋势、来源期刊、核心作者、学科交叉情况、机构、关键词六方面分别进行计量与共现分析。结果表明，区块链研究在计算机、经济与管理科学、社会科学均有交叉；研究资源集中在少数知名院校，普通高校不易获国家资源和最新技术信息；跨地区合作机构数量较少、合作频次较少、合作较封闭；在技术层面，研究主要集中在网络层、共识层、合约层；应用层面主要在金融业与数字货币，食品安全领域应用有待挖掘；安全层面需加强保证数据安全，重视用户隐私保护；政府层面应建立惩罚机制以应对危害信息安全等问题。

区块链信息的证据属性研究

曾梦

2020, 6(12): 1082-1087.

摘要 ( )

PDF (946KB) ( )

参考文献 | 相关文章 | 计量指标

区块链的技术优势及国内外应用，使得其与当下社会生活、法律关系已密不可分，继而在纠纷发生后必然要承担查清事实、维护权利、证成归责的证据功能。区块链电子证据既在各自特点下分为多种类型，又具有共同的技术特征，它们是其证据基本属性——证据能力及证明力的决定性因素。同时，证据的两个基本属性在司法适用中是“一体两面”的关系，不可将有一定区别的它们完全割裂开来考察。尽管实证法肯定了区块链电子证据的司法适用，但它仍然面临着多种可能致其丧失证据能力或证明力降低的挑战，实践中亦有多个案例间接回应了上述挑战，其共通原理值得借鉴。

大数据时代我国个人信息权利化保护制度探析? ——基于政府数据融合背景

王晓牛邓舜怡李梦颖陈任杰

2020, 6(12): 1088-1100.

摘要 ( )

PDF (1984KB) ( )

参考文献 | 相关文章 | 计量指标

大数据时代个人信息安全面临着新的挑战，新冠肺炎疫情使得政府数据融合这一政府治理新举措进入新的发展阶段，随之也带来了新的个人信息安全威胁。通过权利方式保护个人信息已经成为一种世界趋势，也是信息时代的应有之义，我国立法目前虽然并未明确个人信息权的概念，理论界对于个人信息是否进行权利化的保护亦不乏讨论。为了通过确权保护个人信息的安全，在明确梳理我国个人信息保护的立法体系以及理论界对个人信息作为权利的观点的基础上，选取英国、美国、加拿大与德国作为比较法研究对象，最终从公法与私法相结合的角度提出个人信息权利化保护的具体对策，应对政府数据融合背景下的个人信息权利保护问题。

我国主权数字货币安全风险及法律规制

肖志宏

2020, 6(12): 1101-1108.

摘要 ( )

PDF (1172KB) ( )

参考文献 | 相关文章 | 计量指标

当前主权数字货币是全球关注的焦点事件之一．我国主权数字货币今年上半年开始试运行，但是其安全风险尤其是信息安全、资产安全风险影响人们对其信任、接受和使用．因此需要从法律角度探讨如何将主权数字货币安全风险纳入规制的范围．主权数字货币既是技术系统的集成，也是资产的存在形式．其运行安全风险可以分为2类,即技术安全风险和社会安全风险．技术安全风险不但要以技术方式解决，更要考虑以法律方式加以规制．建设性地提出了立法规制的目标、主体和对象、内容和法律类别；同时也提出执法和司法规制的要求，希望对推进我国主权数字货币工作有积极的意义．

著作权法下“换脸技术”的法律约束缺位与规制路径

陈阳

2020, 6(12): 1109-1117.

摘要 ( )

PDF (1385KB) ( )

参考文献 | 相关文章 | 计量指标

“换脸技术”是利用人工智能的深度学习能力，通过对抗生成网络模型形成的智能视频处理技术。与传统技术相比，“换脸技术”具有高度真实性、普遍适应性与快速演进性的特点。在著作权法领域中，其生产的“换脸视频”是否具有独创性以及是否需要法律保护存在较大争议。同时，该技术的滥用将侵犯原作品著作权人、原作品表演者的合法权利，而现行著作权法第22条难以解释其合理使用性。下一阶段，要在现有技术与法律规制基础上，明确该技术产物的著作权法保护手段，并构建“制作者-平台-受众”的事前规制体系，明确制作者申明义务，强化平台审查义务，增强民众识别信息的能力。

论人脸识别技术的应用风险及法律规制路径

袁俊

2020, 6(12): 1118-1126.

摘要 ( )

PDF (1397KB) ( )

参考文献 | 相关文章 | 计量指标

人脸识别技术是基于人的面部特征信息进行身份识别的一种生物识别技术．人脸识别技术具备远程识别性、识别唯一性和关联验证性，导致在系统识别过程中，恐产生应用风险，例如精准识别的稳定性不足，数据算法偏见的结构性锁定，人脸数据收集与流转的知情同意风险，以及在1：N动态场景下不合比例地侵犯隐私权．鉴于域外人脸识别存在综合立法模式与专门立法模式，遂重点考察了专门立法模式，并总结提炼了其内涵的三大法律规制路径，即强化处理者外部义责，平衡个体赋权与合理利益的治理私营部门的民事法律规制路径；禁止性规范为主，行政禁令先行的规范政府机构的行政法律规制路径：重拳身份识别犯罪，打击二次标识行为的旨在打击非法群体的刑事法律规制路径．

基于云计算和深度学习的协议监测系统设计

雷惊鹏

2020, 6(12): 1127-1132.

摘要 ( )

PDF (1830KB) ( )

参考文献 | 相关文章 | 计量指标

各类Web应用的发展，使得HTTP协议应用范围不断扩大.由于Web技术的灵活性、多样性特征，针对Web应用的新的攻击方法也在不断产生和演变.类似XSS跨站脚本攻击、数据库注入攻击等恶意行为越来越多地体现在HTTP请求中.传统安全防御体系无时无刻不在应对新的挑战.为了应对Web安全新变化，本文提出建立HTTP协议安全监测模型、针对模型进行分类算法训练、检测HTTP访问数据类别的方法.结合恶意行为在HTTP请求中形式多变、恶意特征路径多变、监测存在难度的特点，探索利用云计算机技术分析HTTP请求格式和恶意特征，自动生成敏感词数据库，通过基于信息熵的特征选择算法，结合深度学习技术设计分类算法训练安全检测模型，进而提出改进HTTP协议安全的监测系统.

基于机器学习算法的物联网卡安全风险监测系统研究与实现

安宁宇马东洋粟栗杜海涛

2020, 6(12): 1133-1138.

摘要 ( )

PDF (1828KB) ( )

参考文献 | 相关文章 | 计量指标

目前中国的物联网卡用户发展迅速，但运营商却缺乏对物联网卡的安全监管，使得物联网卡出现违规滥用、盗用等情况。文本介绍了基于机器学习的物联网卡监测技术，该技术可以使用模糊C均值算法进行上网业务稽核，使用朴素贝叶斯算法对上网内容以及短信进行分类。基于以上技术，本文实现了物联网安全风险监测系统，并且在中国移动辽宁公司进行实施。该系统在保证效率与准确率的前提下，可发现大量违规物联网卡，有效的对物联网安全进行保障。

信息系统建设者视角下生命周期安全管理研究

朱林陆明

2020, 6(12): 1139-1144.

摘要 ( )

PDF (2168KB) ( )

参考文献 | 相关文章 | 计量指标

本文通过分析信息系统生命周期的安全管理活动，从信息系统建设者视角出发，结合PDCA模型和系统安全工程思路提出了针对信息系统安全管理的持续优化闭环控制模型，阐述信息系统全生命周期各阶段建设者的安全管理活动，通过规划安全目标、设计安全体系、落实安全开发、验证安全目标、持续维护安全等工作实现信息系统全生命周期各阶段的安全管理，明确每个阶段的管理对象、管理活动和管理目标，最终为信息系统建设者提供信息系统全生命周期安全管理思路．

当期目录