业务驱动的数据跨境风险机理研究

1

作者 荣景峰 陈思宇 +6 位作者 王艺洋 牛俊 刘徐杰 周安顺 付安民 曹春杰 张玉清 《通信学报》 北大核心 2025年第6期251-269,共19页

针对当前数据安全风险机理研究未能充分考虑跨境数据特有的风险形成原因及要素,难以全面揭示跨境数据风险的全貌与内在联系等问题。为此,提出了基于业务驱动的数据跨境风险机理研究。首先,应用Petri网抽象业务流程并收集过程资料数据。... 针对当前数据安全风险机理研究未能充分考虑跨境数据特有的风险形成原因及要素,难以全面揭示跨境数据风险的全貌与内在联系等问题。为此,提出了基于业务驱动的数据跨境风险机理研究。首先,应用Petri网抽象业务流程并收集过程资料数据。然后,基于过程资料数据抽取相关概念范畴并映射成演化网络叶子节点,同时依据风险因果理论构建风险演化网络。在此基础上,分析计算风险演化网络的相关系数,确定风险要素并系统阐释数据跨境风险机理的形成与演化过程。最后以调查问卷和历史数据分析方式验证分析结论,结果表明研究结论符合调研数据统计结果且与历史风险诱因高度契合。总体而言,所提研究可以为数据跨境风险量化评估提供理论支持,并为数据跨境风险应对提供决策依据。 展开更多

关键词 数据跨境风险机理 风险要素 数据跨境有序流动 数据安全

在线阅读 下载PDF 职称材料

泛在计算安全综述 被引量：6

2

作者 李印 陈勇 +4 位作者 赵景欣 岳星辉 郑晨 武延军 伍高飞 《计算机研究与发展》 EI CSCD 北大核心 2022年第5期1054-1081,共28页

随着人机物互联融合的泛在计算及其关键技术的快速发展,泛在计算已成为我国智能软硬件创新研发和生态构建的研究热点,驱动了智慧家庭、工业互联网、自动驾驶、智能云计算等众多典型应用产业日益普及繁荣,其安全问题也受到越来越多研究... 随着人机物互联融合的泛在计算及其关键技术的快速发展,泛在计算已成为我国智能软硬件创新研发和生态构建的研究热点,驱动了智慧家庭、工业互联网、自动驾驶、智能云计算等众多典型应用产业日益普及繁荣,其安全问题也受到越来越多研究者的关注.目前,泛在计算安全研究尚在起步阶段,相关研究成果还不能系统地解决泛在计算发展中面临的安全问题.首先对当前泛在计算及其操作系统的发展现状进行了介绍,系统阐述了泛在计算的操作系统架构.归纳和分析了近几年国内外相关研究文献,将泛在计算安全问题划分为3个层面:系统软件安全、智能设备安全和通信安全,并系统总结了各个层面的安全问题与研究现状和重点.集中分析并讨论了泛在计算4个典型应用场景(智慧家庭、工业互联网、自动驾驶和智能云计算)中特定场景相关的安全问题和研究进展.归纳总结了现有研究工作中存在的不足与问题,并指出了泛在计算安全研究面临的八大安全技术挑战与机遇.最后,通过详尽分析这些安全技术挑战,指出了泛在计算安全的8个未来研究方向. 展开更多

关键词 泛在计算 泛在操作系统 云计算 物联网安全 隐私 人工智能

在线阅读 下载PDF 职称材料

ChatGPT在网络安全领域的应用、现状与趋势 被引量：20

3

作者 张弛 翁方宸 张玉清 《信息安全研究》 CSCD 2023年第6期500-509,共10页

ChatGPT作为一种大型语言模型技术展现出了极强的语言理解和文本生成能力,不仅在各行各业受到巨大的关注,而且为网络安全带来新的变革.目前,ChatGPT在网络安全领域的相关研究仍处于起步阶段,为了使研究人员更系统化地了解ChatGPT在网络... ChatGPT作为一种大型语言模型技术展现出了极强的语言理解和文本生成能力,不仅在各行各业受到巨大的关注,而且为网络安全带来新的变革.目前,ChatGPT在网络安全领域的相关研究仍处于起步阶段,为了使研究人员更系统化地了解ChatGPT在网络安全领域的研究情况,归纳总结了ChatGPT在网络安全领域的应用及其可能伴生的安全问题.首先,概述了大型语言模型技术的发展,并对ChatGPT的技术及其特点进行了简要介绍;其次,从助力攻击和助力防御2个方面详细讨论了ChatGPT在网络安全领域的赋能效应,包括漏洞挖掘、利用和修复,恶意软件的检测和识别,钓鱼邮件的生成和检测以及安全运营场景下的潜在用途;再次,深入剖析了ChatGPT在网络安全领域中的伴生风险,包括内容风险和提示注入攻击,并对这些风险进行了详细分析和探讨;最后,从安全赋能和伴生安全2个角度对ChatGPT在网络安全领域的未来进行了展望,指出了ChatGPT在网络安全领域的未来研究方向. 展开更多

关键词 ChatGPT 安全赋能 伴生安全 大型语言模型 提示注入

在线阅读 下载PDF 职称材料

对加密电子医疗记录有效的连接关键词的搜索？ 被引量：4

4

作者 张丽丽 张玉清 +1 位作者 刘雪峰 全韩彧 《软件学报》 EI CSCD 北大核心 2016年第6期1577-1591,共15页

随着云计算的发展,医院或医疗组织为了节省存储资源将加密的电子医疗记录的存储和管理外包给云服务器.尽管加密有助于保护用户数据的机密性,但是对加密的数据执行安全而有效的搜索是一个挑战性的问题.首先构造了被称为MCKS_Ⅰ的简单的... 随着云计算的发展,医院或医疗组织为了节省存储资源将加密的电子医疗记录的存储和管理外包给云服务器.尽管加密有助于保护用户数据的机密性,但是对加密的数据执行安全而有效的搜索是一个挑战性的问题.首先构造了被称为MCKS_Ⅰ的简单的多域连接关键词搜索（MCKS）方案,该方案仅支持连接相等查询.为了实现更加灵活而复杂的多域关键词连接查询,例如子集查询和范围查询,又提出了被称为MCKS_Ⅱ的提高方案.该方案利用了分层属性的矢量表示方法.这两个方案被证明能够抵抗已知明文攻击.大量的分析和实验数据表明,该方案有效实用. 展开更多

关键词 云计算 电子医疗记录 连接关键词搜索 谓词加密 非对称的向量积保持加密(ASPE)

在线阅读 下载PDF 职称材料

基于通用数据保护条例的数据隐私安全综述 被引量：35

5

作者 赵景欣 岳星辉 +8 位作者 冯崇朋 张静 李印 王娜 任家东 张昊星 伍高飞 朱笑岩 张玉清 《计算机研究与发展》 EI CSCD 北大核心 2022年第10期2130-2163,共34页

随着全球数字化进程逐渐加快,数据已经成为当今社会重要的生产要素.数据的流动为社会创造了无穷的价值,但也潜藏着巨大的隐私风险.随着欧盟通用数据保护条例(GDPR)的出台,个人数据安全成为了大数据时代下的敏感话题,也越来越受到研究人... 随着全球数字化进程逐渐加快,数据已经成为当今社会重要的生产要素.数据的流动为社会创造了无穷的价值,但也潜藏着巨大的隐私风险.随着欧盟通用数据保护条例(GDPR)的出台,个人数据安全成为了大数据时代下的敏感话题,也越来越受到研究人员的重视.首先,对数据隐私安全发展历程进行了回顾,介绍了欧盟数据保护条例GDPR及其应用领域和影响;其次归纳分析了近几年国内外相关研究文献,将GDPR合规问题划分为3个方面:GDPR违规行为分析、隐私政策分析、GDPR模型框架,并分析了这3个方面的研究现状.总结分析了基于GDPR的数据技术,并分别探讨了GDPR在区块链、物联网等具体领域的应用;最后,根据现有研究工作存在的不足与问题,指出了基于GDPR的数据隐私安全研究面临的主要挑战和机遇,并针对中国数据隐私保护提出了一些启示. 展开更多

关键词 数据隐私保护 通用数据保护条例(GDPR) 隐私政策 合规性 跨境数据流动 数据保护影响评估

在线阅读 下载PDF 职称材料

基于深度学习的软件安全漏洞挖掘 被引量：33

6

作者 顾绵雪 孙鸿宇 +6 位作者 韩丹 杨粟 曹婉莹 郭祯 曹春杰 王文杰 张玉清 《计算机研究与发展》 EI CSCD 北大核心 2021年第10期2140-2162,共23页

软件的高复杂性和安全漏洞的形态多样化给软件安全漏洞研究带来了严峻的挑战.传统的漏洞挖掘方法效率低下且存在高误报和高漏报等问题,已经无法满足日益增长的软件安全性需求.目前,大量的研究工作尝试将深度学习应用于漏洞挖掘领域,以... 软件的高复杂性和安全漏洞的形态多样化给软件安全漏洞研究带来了严峻的挑战.传统的漏洞挖掘方法效率低下且存在高误报和高漏报等问题,已经无法满足日益增长的软件安全性需求.目前,大量的研究工作尝试将深度学习应用于漏洞挖掘领域,以实现自动化和智能化漏洞挖掘.对深度学习应用于安全漏洞挖掘领域进行了深入的调研和分析.首先,通过梳理和分析基于深度学习的软件安全漏洞挖掘现有研究工作,概括其一般工作框架和技术方法;其次,以深度特征表示为切入点,分类阐述和归纳不同代码表征形式的安全漏洞挖掘模型;然后,分别探讨基于深度学习的软件安全漏洞挖掘模型在具体领域的应用,并重点关注物联网和智能合约安全漏洞挖掘;最后,依据对现有研究工作的整理和总结,指出该领域面临的不足与挑战,并对未来的研究趋势进行展望. 展开更多

关键词 深度学习 漏洞挖掘 代码表征 物联网安全 智能合约安全

在线阅读 下载PDF 职称材料

安全漏洞自动利用综述 被引量：14

7

作者 赵尚儒 李学俊 +5 位作者 方越 余媛萍 黄伟豪 陈恺 苏璞睿 张玉清 《计算机研究与发展》 EI CSCD 北大核心 2019年第10期2097-2111,共15页

随着安全漏洞数量急剧上升,高效率地评估与修复漏洞面临更大的挑战.目前漏洞的可利用性评估主要依赖人工方法,如何智能化和自动化地进行安全漏洞利用是本领域一个热点研究问题.调研了2006年至今安全漏洞自动利用文献,分析了现状并指出... 随着安全漏洞数量急剧上升,高效率地评估与修复漏洞面临更大的挑战.目前漏洞的可利用性评估主要依赖人工方法,如何智能化和自动化地进行安全漏洞利用是本领域一个热点研究问题.调研了2006年至今安全漏洞自动利用文献,分析了现状并指出了漏洞利用研究的发展趋势,同时给出了漏洞自动利用的一般框架;分别从漏洞自动利用的信息输入、漏洞类型和利用方法这3个角度对当前研究成果进行了梳理,指出了这3个角度对漏洞自动利用的影响;分析了漏洞自动利用研究的不足与挑战,并对将来的研究趋势进行了展望. 展开更多

关键词 漏洞利用 利用生成 自动生成 安全漏洞 自动利用

在线阅读 下载PDF 职称材料

开源软件缺陷预测方法综述 被引量：12

8

作者 田笑 常继友 +7 位作者 张弛 荣景峰 王子昱 张光华 王鹤 伍高飞 胡敬炉 张玉清 《计算机研究与发展》 EI CSCD 北大核心 2023年第7期1467-1488,共22页

开源软件缺陷预测通过挖掘软件历史仓库的数据,利用与软件缺陷相关的度量元或源代码本身的语法语义特征,借助机器学习或深度学习方法提前发现软件缺陷,从而减少软件修复成本并提高产品质量.漏洞预测则通过挖掘软件实例存储库来提取和标... 开源软件缺陷预测通过挖掘软件历史仓库的数据,利用与软件缺陷相关的度量元或源代码本身的语法语义特征,借助机器学习或深度学习方法提前发现软件缺陷,从而减少软件修复成本并提高产品质量.漏洞预测则通过挖掘软件实例存储库来提取和标记代码模块,预测新的代码实例是否含有漏洞,减少漏洞发现和修复的成本.通过对2000年至2022年12月软件缺陷预测研究领域的相关文献调研,以机器学习和深度学习为切入点,梳理了基于软件度量和基于语法语义的预测模型.基于这2类模型,分析了软件缺陷预测和漏洞预测之间的区别和联系,并针对数据集来源与处理、代码向量的表征方法、预训练模型的提高、深度学习模型的探索、细粒度预测技术、软件缺陷预测和漏洞预测模型迁移六大前沿热点问题进行了详尽分析,最后指出了软件缺陷预测未来的发展方向. 展开更多

关键词 软件缺陷预测 漏洞预测 机器学习 深度学习 度量元 语法语义分析

在线阅读 下载PDF 职称材料

基于漏洞类型的漏洞可利用性量化评估系统 被引量：14

9

作者 雷柯楠 张玉清 +1 位作者 吴晨思 马华 《计算机研究与发展》 EI CSCD 北大核心 2017年第10期2296-2309,共14页

准确量化单个漏洞可利用性是解决基于攻击路径分析网络安全态势的基础和关键,目前运用最广泛的漏洞可利用性评估系统是通用漏洞评分系统(common vulnerability scoring system,CVSS).首先利用CVSS对54 331个漏洞的可利用性进行评分,将... 准确量化单个漏洞可利用性是解决基于攻击路径分析网络安全态势的基础和关键,目前运用最广泛的漏洞可利用性评估系统是通用漏洞评分系统(common vulnerability scoring system,CVSS).首先利用CVSS对54 331个漏洞的可利用性进行评分,将结果进行统计分析发现CVSS评分系统存在着评分结果多样性不足,分数过于集中等问题.鉴于CVSS的不足,进一步对漏洞可利用性影响要素进行研究,研究发现漏洞类型能影响可利用性大小.因此将漏洞类型作为评估漏洞可利用性的要素之一,采用层次分析法将其进行量化,基于CVSS上提出一种更为全面的漏洞可利用性量化评估系统(exploitability of vulnerability scoring systems,EOVSS).实验证明:EOVSS具有良好的多样性,并能更准确有效地量化评估单个漏洞的可利用性. 展开更多

关键词 漏洞 可利用性 漏洞类型 层次分析法 量化

在线阅读 下载PDF 职称材料

物联网安全综述 被引量：124

10

作者 张玉清 周威 彭安妮 《计算机研究与发展》 EI CSCD 北大核心 2017年第10期2130-2143,共14页

随着智能家居、数字医疗、车联网等技术的发展,物联网应用越发普及,其安全问题也受到越来越多研究者的关注.目前,物联网安全的相关研究尚在起步阶段,大部分研究成果还不能完善地解决物联网发展中的安全问题.首先对物联网3层逻辑架构进... 随着智能家居、数字医疗、车联网等技术的发展,物联网应用越发普及,其安全问题也受到越来越多研究者的关注.目前,物联网安全的相关研究尚在起步阶段,大部分研究成果还不能完善地解决物联网发展中的安全问题.首先对物联网3层逻辑架构进行了介绍,阐述了每个层次的安全问题与研究现状重点;然后分析并讨论了物联网的主要应用场景(智能家居、智能医疗、车联网、智能电网、工业与公共基础设施)中需要特别关注的隐私保护、入侵检测等安全问题;再次,归纳分析了现有研究工作中的不足与安全问题产生的主要原因,指出物联网安全存在的五大技术挑战:数据共享的隐私保护方法、有限资源的设备安全保护方法、更加有效的入侵检测防御系统与设备测试方法、针对自动化操作的访问控制策略、移动设备的跨域认证方法;最后,通过详尽分析这五大技术挑战,指出了物联网安全未来的研究方向. 展开更多

关键词 物联网 安全 隐私 智能 综述 挑战

在线阅读 下载PDF 职称材料

开源密码软件供应链安全综述 被引量：1

11

作者 荣景峰 刘新荣 +5 位作者 贾培养 葛平原 陈颖 司喜绢 孙承一 张玉清 《密码学报》 CSCD 2023年第5期966-985,共20页

本文是首篇对开源密码软件供应链安全问题进行调研、分析和总结的综述文章.首先,通过梳理和分析关于开源软件供应链、加密算法等相关领域文献,探讨了开源软件供应链与开源密码软件供应链的差异,明确了开源密码软件供应链的研究范围;其次... 本文是首篇对开源密码软件供应链安全问题进行调研、分析和总结的综述文章.首先,通过梳理和分析关于开源软件供应链、加密算法等相关领域文献,探讨了开源软件供应链与开源密码软件供应链的差异,明确了开源密码软件供应链的研究范围;其次,以密码软件供应链典型安全事件作为切入点,构建了开源密码软件供应链风险模型;再次,针对梳理出来的各类安全风险,横向参考了实体供应链风险管理成熟案例以及开源密码软件的风险应对措施,总结了开源密码软件供应链的安全风险防控手段.最后,指出了开源密码软件供应链领域所面临的挑战和机遇,并指出了未来的研究方向. 展开更多

关键词 开源密码软件供应链 密码实现 软件供应链 开源软件

在线阅读 下载PDF 职称材料