当期目录

2021年 第7卷 第6期    刊出日期：2021-06-10

上一期    下一期

网络空间治理专题

新时代下的网络空间治理

张玉清, 刘奇旭, 付安民, 张光华, 陈本辉, 朱珍超, 冯景瑜, 刘雁孝

2021, 7(6):  486-487. 

摘要 ( )   PDF (479KB) ( )  

相关文章 | 计量指标

随着信息技术和网络社会的快速发展，人们的沟通方式和生活方式发生巨大改变，人类社会已进入万物互联时代这样一个新的历史阶段。网络空间已经成为继陆地、海洋、天空、外空之外的第五空间，承载着人类越来越多的活动，成为人类社会发展中不可或缺的重要内容。
与陆海空天等自然空间不同，网络空间是一个以技术为主导、虚实结合的空间。网络空间和信息技术的不断发展，在让人们生活更便利、更舒适、更美好的同时，也滋生了网络入侵、网络谣言、网络色情、网络侵权盗版甚至网络恐怖主义等违法犯罪行为，持续威胁着网络空间命运共同体的和谐发展，成为人类发展的新障碍。
网络空间是人类生存和国家发展的新空间，在这样的大背景下，网络空间治理也成为了国家治理和全球治理过程中新的组成部分。目前在相关技术的支撑下，依法依规治理网络空间，是维护社会和谐稳定、维护公民合法权益、促进网络空间健康有序发展的必然之举和迫切需要。
相比于现实社会，网络空间治理面对的问题更为复杂，机遇和挑战并存：一方面受益于国家的重视和政策的支持。党的十八大以来，习近平总书记从网络空间治理重大理论和现实问题、中国关于国际互联网治理的主张等诸方面，发表重要论述，提出具有主体性、原创性、时代性、实践性的理论观点，系统地回答了网络空间治理的一系列基本问题，形成了关于网络空间治理的一系列新理念新思想新战略。后续，党的十九大报告提出：“加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间。”党的十九届五中全会审议通过的十四五规划中提出：“加强网络文明建设，发展积极健康的网络文化。”因此在以政策为导向，以技术为支撑的大环境下，我国的网络空间治理在科学研究、产品开发和平台建设方面，取得了一批先期成果。另一方面，从总体来看，在解决政策与技术的协调性和适应性、构建完整的网络空间治理体系、安全技术方法应用等方面仍存在着众多问题，面临着诸多挑战。
《信息安全研究》为加快推动网络空间治理的产学研用协同发展，组织了此期以“网络空间治理政策与技术”为主题的专刊。论述新时代下的网络空间治理是个宏大的命题，由于篇幅有限，专题在主题上不可能面面俱到，相关问题也不可能一一枚举。本期重在网络空间治理政策与技术，涵盖宏观综述、政策建议和微观技术研究。在内容上注重政策与技术的观点互鉴，期望既能展现网络空间安全、计算机领域的专家视角，也能倾听政策设计、制定相关领域的学者声音。征文中的作者尽可能覆盖“产学研用”，既有来自国科大、东南、西电等优秀的科研团队，也有重庆海关技术中心、中国电子技术标准化研究院等一线队伍，还有国家电网、中国电子科技集团、中国电子信息产业集团等产业巨头。专题组织上注重方向综述与关键研究的穿插，既为读者提供开源软件漏洞库、智能网联汽车安全、跨境数据流动、信安竞赛分析等技术发展方向的概览,也呈现威胁重构、访问控制、设备认证与识别、区块链交易验证等关键技术点上的具体研究工作。最终期望在有限的篇幅中,尽可能展现我国网络空间治理政策与技术研究与应用的概貌。具体如下:
1）王娜等人对跨境数据流动进行了研究，探讨中国现有数据跨境管理体系的不足和面临的挑战，提出针对性的建议和解决方案，并进行了展望。
2）时翌飞等人针对目前世界范围的VEP程序制定情况进行了分析和对比，同时对如何建立规范化安全漏洞公平裁决程序进行探讨并提出解决方案。
3）何志鹏等人总结概述了国际上部分国家(组织)在网络威胁情报领域开展的标准化工作,进行了对比分析，以此对我国今后的标准化建设提出建议。
4）张博等人对高级持续性威胁及其重构进行了研究，评估了现有的方案，分析了面临的挑战，对攻击重构潜在的研究方向进行了讨论和展望。
5）王惠莅等人梳理分析了美国、英国和中国网络安全人才方面相关的标准情况，提出我国网络安全人才建设标准化建议。
6）黄杰等人提出了利用零信任架构组件保护数据库资源的方案，阐述了通过多粒度策略匹配和权限扩充对访问控制性能进行优化的方法。
7）史立敏等人提出了面向Web服务资源消耗脆弱性的检测模型和评测框架，为网站安全性能优化和需要采取的防御手段提供支撑。
8）徐超等人提出了一种基于流量指纹的物联网设备实时自动检测及识别方案，仿真实验表明，该方案可以达到93.75％的平均预测精度。
9）章振海等人基于区块头同步验证与简单支付验证，提出基于区块链交易验证的设备认证方法，为物联网设备提供可靠、高效的认证接入机制。
10）钟永超等人介绍了智能网联汽车的发展趋势以及安全问题，给出了对应的安全防御对策，对当前智能网联汽车安全研究现状进行了分析和归纳，给出了研究建议。
11）贾培养等人介绍了开源代码广泛使用带来的潜在安全挑战，对现有开源漏洞库平台的情况进行了详细分析，同时从多个维度进行了对比，给出了建设开源漏洞数据库的一些建议。
12）刘涛等人对全国大学生信息安全竞赛的获奖数据进行了挖掘，分析了获奖作品的选题方向与安全技术发展和需求之间的内在联系，以此对未来参加比赛的院校和同学提供理论借鉴和数据参考。
本专刊刊载的12篇论文展示了我国网络空间治理相关领域的专家学者、科研人员以及信息安全从业人员的部分研究成果。成果去粗取精，求同存异，力图勾勒出最新的网络空间治理发展态势，为学术研究、产品开发和管理决策者提供有实用价值的理论借鉴和技术参考。
本专刊的出版得到了作者、审稿专家和编辑部等各方面的大力支持，作为本专刊特约编辑，我们衷心感谢各位作者、审稿专家和编辑部等各方的大力支持，希望本专刊能够为广大读者和国内信息安全同行提供一些有益的参考和帮助。





跨境数据流动的现状、分析与展望 

王娜 顾绵雪 伍高飞 张玉清 曹春杰

2021, 7(6):  488-495. 

摘要 ( )   PDF (1439KB) ( )  

参考文献 | 相关文章 | 计量指标

大数据时代的来临加快了全球化的进程，让国家之间的经济和政治上的交流变得更加频繁，关于数据的竞争也越来越激烈，数据的跨境流动也已经无法避免．虽然欧盟、美国等国际主要经济体优先对数据跨境进行了部署，为不同国家提供了有效的参考意见，但随着数据跨境流动的需求日益迫切，与之相关的国家安全、个人数据保护问题也逐渐凸显．首先，通过梳理跨境数据流动的现有研究工作，从数据跨境概念出发，归纳其利弊；接着，从其中核心的数据安全技术和监管机制切入，系统地分析和对比多个国家数据跨境流动现状；最后，依据对现有工作的整理与总结，探讨中国现有数据跨境管理体系的不足和面临的挑战，提出针对性的建议和解决方案，并展望该领域的研究和发展趋势．





国际安全漏洞公平裁决程序对比研究

时翌飞 冯景瑜 曹旭栋 黄鹤翔 王鹤

2021, 7(6):  496-502. 

摘要 ( )   PDF (2115KB) ( )  

参考文献 | 相关文章 | 计量指标

网络安全漏洞已成为各国重要的网络武器，为加强国家对安全漏洞的管控, 各国政府相继出台了安全漏洞公平裁决程序（VEP），该程序在政府层面评估安全漏洞，以保护国家利益为目的，决定披露或保留安全漏洞．目前安全漏洞公平裁决程序面临普及率不高、透明度和规范化程度低的问题．为应对这一情况，总结安全漏洞公平裁决程序的发展历程，针对目前世界范围的VEP程序制定情况进行了分析和对比，主要列举了目前较为成熟的安全漏洞公平裁决程序，并探索目前给出的给出各国VEP政策的对比分析表．同时对如何建立规范化安全漏洞公平裁决程序进行探讨，指出了目前安全漏洞公平裁决程序面临的挑战并提出解决方案．最终为我国建立安全漏洞公平裁决程序提供一些参考建议．

网络威胁情报标准化建设分析

何志鹏 刘鹏 王鹤

2021, 7(6):  503-511. 

摘要 ( )   PDF (1256KB) ( )  

参考文献 | 相关文章 | 计量指标

威胁情报能够帮助组织研判可能面临的安全现状与态势,并由此制定安全决策与应急响应.而面对威胁情报多样性内容导致情报素材本身的异构性问题,若要高效地利用各种威胁情报,首先需要对威胁情报的表达进行规范化和标准化.美国早已建立并运营起一套完整的威胁情报标准体系,而我国标准体系的建设尚处于起步阶段.本文总结概述了国际上部分国家(组织)在网络威胁情报领域开展的标准化工作,并从发布历程、模型框架、信息示例、平台应用等四个方面对我国国家标准与美国STIX标准进行了对比分析.归纳出美国网络威胁情报标准化工作分别在项目定位、模型建设、生态搭建上可借鉴的长处,并对我国今后的标准化建设提出三点建议.

高级持续性威胁及其重构研究进展与挑战

张博 崔佳巍 屈肃 付安民

2021, 7(6):  512-519. 

摘要 ( )   PDF (1752KB) ( )  

参考文献 | 相关文章 | 计量指标

高级持续威胁攻击指针对高价值目标发起的长期的定制攻击，会在不同主机上留下零散的痕迹，同时攻击者会使用各种技术将自己的行动隐藏在正常系统活动之中，因此难以被分析人员观测到．为了对其进行分析并采取对策，需要开发新一代的威胁检测与攻击重构工具，使分析人员能够快速确定是否有重大入侵，了解攻击者破坏系统安全的过程，并确定攻击的影响．其中因果关系分析是很受关注的一种手段，拥有较强的鲁棒性．本文首先简要介绍了高级持续威胁攻击，然后讨论了依赖因果关系分析的攻击重构基本方案，重点分析了基于异常分析、启发式和图形分析方法的威胁检测与攻击重构方案，并对现有的方案进行了评估，分析了当前攻击重构系统面临的挑战，最后对攻击重构潜在的研究方向进行了讨论和展望．

网络安全人才政策及标准化研究

王惠莅 王秉政 杨杰

2021, 7(6):  520-526. 

摘要 ( )   PDF (1449KB) ( )  

参考文献 | 相关文章 | 计量指标

网络安全人才队伍建设是实现我国网络强国科技强国的重要因素。加强网络安全人才队伍建设，已成为维护国家网络安全和建设网络强国任务的核心需求。我国目前在网络安全学科建设、职业教育和培训、人才选拔等方面都取得了一定的成就，但总体上看，我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题，与保障国家网络安全、推进网络强国建设的要求还存在一定差距，需要进一步加强网络安全人才建设工作。本文梳理分析了美国、英国和中国网络安全人才方面相关的标准情况，提出我国网络安全人才建设标准化建议。

Web服务资源消耗脆弱性检测技术研究

史立敏 王晓茜 张宏斌 刘心宇 汪旭童

2021, 7(6):  527-534. 

摘要 ( )   PDF (1291KB) ( )  

参考文献 | 相关文章 | 计量指标

当前，针对Web应用层的分布式拒绝服务攻击（DDoS）形式愈加严俊，但是对此类DDoS的缓解手段研究较少且技术不够成熟，并且主要聚集于攻击过程中的检测和流量清洗，而缺乏针对Web服务器资源消耗脆弱性的主动检测手段。为此，本文提出了面向Web服务资源消耗脆弱性的检测模型和评测框架，能够检测Web服务资源消耗脆弱点，并且评测Web服务资源消耗脆弱程度，旨在Web服务受到攻击前预先分析和了解Web服务的资源消耗脆弱性安全问题，为网站安全性能优化和需要采取的防御手段提供支撑。通过对某网站的实际测评验证了本模型和框架的有效性，能够通过对实际应用的网站进行Web服务资源消耗脆弱性检测和评测，发现其Web服务资源消耗脆弱点。

电力物联网场景下基于零信任的分布式数据库细粒度访问控制

黄杰 余若晨 毛冬

2021, 7(6):  535-542. 

摘要 ( )   PDF (1442KB) ( )  

参考文献 | 相关文章 | 计量指标

电力物联网体系结构的发展对数据层数据安全存储提出了更高的要求，为实现电力物联网中分布式数据库的数据资源细粒度访问控制，提出了利用零信任架构组件保护数据库资源的方案。讨论了使用动态信任管理对访问请求进行实时的、上下文的判决与授权，采用资源的细粒度访问控制方法实现对访问主体的最小授权，最后阐述了通过多粒度策略匹配和权限扩充对访问控制性能进行优化的方法。

一种基于流量指纹的物联网设备实时自动检测及识别

徐超 王纪军 吴小虎 张明远

2021, 7(6):  543-549. 

摘要 ( )   PDF (1598KB) ( )  

参考文献 | 相关文章 | 计量指标

近年来，随着物联网（IoT）技术的飞速发展，网络空间中涌现了大量的物联网设备，例如网络打印机，网络摄像头和路由器。但是，网络安全状况越来越严重。由连接到Internet的终端设备发起的大规模网络攻击频繁发生，造成一系列不利影响，例如信息泄漏和人员财产损失。建立一套用于物联网设备的指纹生成系统，以准确识别设备类型，对于物联网的统一安全控制具有重要意义。我们提出了一种基于流量指纹的物联网设备实时自动检测及识别方案，该方案包含两个主要模块，包括自动检测和指纹识别。首先通过被动侦听来收集由不同的物联网设备发送的消息。基于不同设备的标头字段的差异，使用一系列多分类算法来识别设备类型。仿真实验表明，该方案可以达到93.75％的平均预测精度。

基于区块链交易验证的设备认证方法

章振海 虞思城 蒋云杰 吴珂桢 顾国民 陈园

2021, 7(6):  550-557. 

摘要 ( )   PDF (1384KB) ( )  

参考文献 | 相关文章 | 计量指标

物联网在各个领域的广泛应用，造成设备井喷式增长．终端设备认证成为物联网接入安全管控的关键问题．目前，区块链技术已开始应用于物联网业务安全，但基于区块链的设备认证方面尚未出现有效的方案．本文基于区块头同步验证与简单支付验证（SPV）技术，提出基于区块链交易验证的设备认证方法，减少密钥凭证在通信过程中泄漏的风险，降低区块链通过共识机制进行交易确认的等待时延，为物联网设备提供可靠、高效的安全接入机制．

智能网联汽车安全综述 

钟永超, 杨波, 杨浩男, 杨毅宇, 王文杰, 徐紫枫

2021, 7(6):  558-565. 

摘要 ( )   PDF (1924KB) ( )  

参考文献 | 相关文章 | 计量指标

车联网与智能汽车的有机结合，产生了智能网联汽车。智能网联汽车以人工智能、5G通信技术等新兴技术为基础，通过车载传感系统和信息终端来实现与人、车、路等方面的信息交换。然而，厂商将新兴智能网联技术集成到汽车中，为客户带来方便、快捷、智能和舒适体验的同时，也带来一些信息安全问题。本文介绍了智能网联汽车的发展趋势以及与日俱增的安全问题；在给出智能网联汽车定义与架构的同时，比较了“智能”与“网联”关系以洋溢于及国内外技术路线的差异；对当前智能网联汽车所面临的安全威胁进行了汇总分析，结合智能网联汽车与传统汽车的技术架构差异将攻击划分了传统攻击与新型攻击两大类，并给出了每种攻击对应的安全防御对策；最后对当前智能网联汽车安全研究现状进行了分析和归纳，指出了当下环境的研究方向建议。 

开源软件漏洞库综述

贾培养 孙鸿宇 曹婉莹 伍高飞 王文杰

2021, 7(6):  566-574. 

摘要 ( )   PDF (2349KB) ( )  

参考文献 | 相关文章 | 计量指标

近年来，随着软件开发周期的不断缩短，越来越多的软件开发者在其项目代码中使用大量的开源代码，软件开发者往往只关注自己负责部分的代码安全，几乎不关注项目采用的开源代码的安全性问题，开源软件的使用者很难将传统漏洞数据库中的漏洞条目对应到当前的软件版本中，现有的漏洞版本控制方案和开源代码的版本控制方案之间存在一定的差异，这使得开源代码使用者无法及时修复存在漏洞的代码，因此一个能够准确收集开源漏洞情报并对漏洞进行精确匹配的漏洞库是十分必要的．本文首先介绍了开源代码的广泛使用带来的潜在安全挑战，其次对现有开源漏洞库平台的情况进行了详细分析，同时对现有开源漏洞库从多个维度进行了对比研究，然后给出了当前开源漏洞库建设面临的问题和挑战，最后给出了建设开源漏洞数据库的一些建议．

基于获奖数据的全国大学生信息安全作品赛分析

刘涛 张歌 宋汝超 杨毅宇 赵嘉煜 伍高飞 李学俊 张玉清

2021, 7(6):  575-588. 

摘要 ( )   PDF (5052KB) ( )  

参考文献 | 相关文章 | 计量指标

竞赛作为实践教学的有效载体，侧重考查学生的创新能力和实际动手能力，是提升人才培养能力的重要手段。全国大学生信息安全竞赛作为目前网络空间安全学科领域唯一一个入围高校学科竞赛排行榜的比赛，自2008年至今已举办13届。本文以全国大学生信息安全作品赛为例，通过对近年参赛信息以及获奖数据的收集、处理与统计，首次深入地剖析了信息安全竞赛，尝试挖掘出比赛获奖数据背后隐藏的信息与规律，探讨获奖作品的选题方向与安全技术发展和需求之间的内在联系，以此对未来参加信息安全作品赛的院校和同学提供理论借鉴和数据参考。