綜述
The current development and future trend of data trading market in ChinaWang
王江,姜偉,王普
doi: 10.19358/j.issn.2097-1788.2024.07.001
數據是國家重要的新型生產要素和基礎性戰略資源,已成為推動經濟社會數字化轉型、國家創新發展的新動力。數據流通交易可以最大化激發數據要素價值潛能,提高數字經濟和數字產業的競爭力和創新能力。我國有著發展數據要素交易市場的良好基礎條件,全國各省市也掀起了新一輪的數據要素交易市場建設進程。在總結美國、歐盟等世界主要經濟體在數據要素交易市場建設措施和特點的基礎上,分析我國及主要省市數據要素交易市場建設的總體情況與實踐特點,提出我國數據要素交易市場發展的未來趨勢。
網絡與信息安全
Research on security risks and response strategies of cloud based industry software
孟祥曦,姚歡,杜洪濤
doi: 10.19358/j.issn.2097-1788.2024.07.002
隨著云計算技術的快速發展,云化工業軟件已成為推動制造業數字化轉型的關鍵驅動力,但也面臨越來越復雜的安全風險挑戰,并已受到廣泛重視。云化工業軟件的安全風險主要來自技術層面、信息通信層面、業務管理層面和外部約束層面,具體包括技術與架構、網絡與訪問控制、人員與流程及法律與合規性四個方面。在對安全風險進行分析的基礎上,提出在云化工業軟件全生命周期管理中引入內生安全方法的應對策略,以確保系統的穩定運行和數據的安全可靠。同時,研究論述了云化工業軟件內生安全管理體系的建設要點和主要特征,為云化工業軟件的安全風險管理提供了具體路徑。
Research on fuzzing of industrial control protocol based on generative adversarial network
宗學軍1,2,隋一凡1,2,王國剛1,2,寧博偉2,3,何戡1,2,連蓮1,2,孫逸菲1,2
doi: 10.19358/j.issn.2097-1788.2024.07.003
傳統模糊測試依賴專家經驗和協議規范,基于神經網絡的方法受限于訓練數據質量和模型結構,面對不同的ICPs(Industrial Control Protocols)有效性差,缺乏通用有效的模糊測試方法。針對上述問題,提出一種基于WGAN-GP(Wasserstein Generative Adversarial Network with Gradient Penalty)的ICP模糊測試方法,結合統計語言模型N-gram修正訓練結果,并構建了面向多種ICPs的通用模糊測試框架GPFuzz。在油氣集輸全流程工業攻防靶場中對3種常見工控協議(Modbus/TCP,Ethernet/IP,S7comm)進行實驗,結果表明該框架生成的測試用例具有多樣性,在接受率和異常觸發指標上優于其他模糊測試方法,為ICS提供一種高效、通用的安全性評估方法,提升系統整體的安全性。
Design of DNS based Zero Trust enhanced authentication system
鄒立剛1,張逸凡1,張新躍2,袁建廷3
doi: 10.19358/j.issn.2097-1788.2024.07.004
針對當前大量HTTPS應用復用證書存在安全風險問題,借鑒了零信任模型中安全策略動態授權的思路,提出了一種基于現有互聯網基礎設施DNS來擴展增強認證功能的方案,通過在現有DNS權威服務器上額外配置增強的認證信息來對HTTPS訪問請求進行動態認證,從而能實時驗證當前HTTPS證書的安全狀態。該方案通過可信易得的DNS基礎設施解決了當前普遍存在的HTTPS證書復用帶來的安全問題,是一種靈活高效并且可擴展的零信任安全增強認證架構。
Research on risk URL detection based on Boosting ensemble learning
馮美琪1,2,李赟1,2,蔣冰1,2,王立松1,2,劉春波3,陳偉1,2
doi: 10.19358/j.issn.2097-1788.2024.07.006
隨著互聯網的不斷發展,網站數量不斷增長,URL作為訪問網站的唯一入口,成為Web攻擊的重點對象。傳統的URL檢測方式主要是針對惡意URL,主要方法是基于特征值和黑白名單,容易產生漏報,且對于復雜URL的檢測能力不足。為解決上述問題,基于集成學習中的Boosting思想,提出一種針對業務訪問的風險URL檢測的混合模型。該模型前期將URL作為字符串,使用自然語言處理技術對其進行分詞及向量化,然后采用分步建模法的思想,首先利用GBDT算法構建二分類模型,判斷URL是否存在風險,接著將風險URL原始字符串輸入到多分類模型中,利用XGBoost算法對其進行多分類判定,明確風險URL的具體風險類型,為安全分析人員提供參考。在模型構建過程中不斷進行參數調優,并采用AUC值和F1值分別對二分類模型和多分類模型進行評估,評估結果顯示二分類模型的AUC值為98.91%,多分類模型的F1值為0.993,效果較好。將其應用到實際環境中,與現有檢測手段進行對比,發現模型的檢出率高于現有WAF和APT安全設備,其檢測結果彌補了現有檢測手段的漏報。
Ethereum malicious address detection method based on transaction time decay
梁飛1,石文君2,蘇則燊3,張敏4
doi: 10.19358/j.issn.2097-1788.2024.07.005
提出Trans-TAN模型,用于以太坊上的交易流向圖中關聯惡意地址的檢測任務,模型改進基于Transformer模型的自注意力機制,根據以太坊地址的交易特點并受到牛頓冷卻定理的啟發,引入隨時間交易的時間間隔衰減因素,同時融合以太坊地址間的相似度因素和交易金額因素。基于以上三方面,通過牛頓冷卻定理的常微分方程解形式構建的地址關聯矩陣,從而改進原有的自注意力矩陣。實驗證明,Trans-TAN模型能夠有效捕捉以太坊交易流向圖過程中惡意節點地址的特征,在測試集中精準率 (Precision)、召回率(Recall)和F1指標優于傳統的檢測模型。
人工智能
Analysis of Russian AI regulation policies: framework, characteristics and implications
張濤,翟夢婷
doi: 10.19358/j.issn.2097-1788.2024.07.007
ChatGPT、Sora等大模型的出現,再次凸顯人工智能技術進步對經濟、文化等領域的深遠影響,與此同時,其所帶來的安全風險問題更令人擔憂,全球主要國家和地區也均將人工智能監管問題納入國家安全總體戰略。以俄羅斯人工智能監管政策為研究對象,對近年來俄羅斯人工智能監管現狀進行分析,在此基礎上以第123-FZ號聯邦法與第258-FZ號聯邦法為核心構建人工智能監管框架,并總結其監管特征。研究結果表明俄羅斯對于人工智能監管已形成以主體層、機構層、制度層為基礎的監管框架;俄羅斯人工智能統籌自我監管和共同監管協同作用,以刺激作為監管的基礎,積極推進多行業監管;隨著ChatGPT、Sora等應用的涌現,俄羅斯對于人工智能的監管框架正在不斷完善。
A textual study of cultural policies in Chinese provincial five-year plans based on Word2Vec and LDA topic model
高娜1,東梅2
doi: 10.19358/j.issn.2097-1788.2024.07.008
運用Word2Vec和LDA相結合的主題模型分析技術,對我國31個省份三個時期五年規劃文本中文化政策部分進行主題識別,從時間和空間兩個維度進行“文化政策”主題挖掘和演化分析。研究發現,“文化政策”主題在發展趨勢、重點轉移、政策導向、技術應用等方面隨時間推移呈現不同演化趨勢;四大區域受經濟發展水平、文化資源稟賦、政策導向影響,在企業角色強調程度、地區特色旅游發展以及國家級項目和競爭力方面存在地域差異。
大數據與數據技術
Application and research of master data coding rules based on condition setting
于百勇,楊旭,易危香,呼雨欣,馬彬焱
doi: 10.19358/j.issn.2097-1788.2024.07.009
在主數據的標準化建設過程中,往往面臨著諸如一物多碼,一碼多物等數據編碼不一致問題。主數據編碼標準定義了主數據的分類和編碼規則,是進行信息交換和資源共享的重要前提。然而,在企業正式構建主數據管理平臺之前,往往就已經存在了大量的業務系統,這些系統通常由不同的廠家構建,采用的數據標準不一,不同系統之間缺乏銜接點。針對上述問題,提出一種基于條件設置的主數據編碼規則配置方法,對主數據模型的編碼規則進行統一管理,解決了復雜業務場景下同一個主數據模型屬性需要配置不同的編碼規則問題。最后使用 Spring Security 和 MyBatis 框架,對該方法進行實現。通過在南京地鐵主數據管理平臺中的實際應用,結果表明該方法合理可行,有效地提高了數據治理的性能。
數據治理與計算法學
The rationale and path of platform data monopoly compliance under the digital economy
陳鏡霖
doi: 10.19358/j.issn.2097-1788.2024.07.010
數據要素的非競爭性、非排他性因平臺壟斷意圖逐漸異化,并誘發算法共謀、大數據殺熟、平臺扼殺式并購等反競爭行為。基于維護數據市場交易秩序的現實需要、競爭倡導理論的法理支撐以及域外數據合規監管的經驗參考,平臺數據壟斷合規具有適用的可行性與必要性。然而,平臺數據壟斷合規往往因頂層規范缺失、規則模糊以及監管機制弱化等無法實現預期效果。對此,應細化“數據反壟斷合規指南”的設計邏輯指引合規,區分不同類型數據權屬以明確數據流通規則,依據數據流通的不同環節形塑數據競爭合規評價標準,銜接事前監管與事后監管理念促進監管理念革新,并依托人工智能算法技術賦能監管方式轉型。
Challenges and paths to responsible development of generative AI
鄧臻宇
doi: 10.19358/j.issn.2097-1788.2024.07.011
生成式人工智能正推動著新一輪科技產業的變革,但也引發了諸多治理風險,例如數據濫用、訓練數據質量不高,算法黑箱、算法歧視現象普遍,但目前的監管理念和措施仍具有滯后性。為了實現生成式人工智能負責任的發展,在治理路徑上,需要用戶、開發者和監管部門等多元主體從技術和法律等多維度協同參與治理,構建數據質量管理體系、建立開放共享的公共訓練數據平臺;實行算法備案登記、審查評估機制,實現對算法公平公正的敏捷治理;完善生成式人工智能侵權歸責體系、探索監管沙盒制度的應用,實現技術創新的負責任發展。
Conflict resolution of data-related legal norms: form and substance dichotomy
柴雪映
doi: 10.19358/j.issn.2097-1788.2024.07.012
目前涉數據法律規范在適用中存在沖突,沖突解決不當導致法律責任歸結失衡。判斷涉數據法律規范沖突的本質,可將其分為法益侵害單一性的形式沖突和法益侵害多重性的實質沖突。涉數據法律規范沖突解決的前提是:明確《數據安全法》《個人信息保護法》及《網絡安全法》保護法益所指涉對象的不同及關聯性;厘清法律規范間的關系輪廓。涉數據法律規范的沖突解決方式需要類型化區分形式沖突及實質沖突,形式沖突類比于《刑法》中法條競合,遵循“特別優先”;實質沖突類比于《刑法》中想象競合和并罰競合,遵循“擇一重罪處罰”或“并罰”。正確解決涉數據法律規范沖突不僅實現恰當評價涉數據違法行為的目標,也是提升數據生產力的內在要求。
From a legislative perspective: a fourfold conceptual definition and distinction between "Information" and "Data"
靳雨露
doi: 10.19358/j.issn.2097-1788.2024.07.013
由于在立法與理論研究中信息與數據概念未進行明確區分,個人信息與數據、個人信息與個人數據被混同使用,導致數據財產權內涵與外延爭議不斷。從事實、多學科、規范與理論共四重維度,對信息與數據概念進行分析后發現,信息與數據在本質上不能等同,信息指代人類社會中的一切資訊、消息和內容,而數據是對信息的一種電子化記錄或表達形態。從這個意義上說,數據屬于信息。因此,中國法律文本與理論研究中的個人信息、個人數據等概念也具有法律層面的區分意義。
The dilemma of the application of the CPTPP security exception provision under data sovereignty and relief
陳思怡
doi: 10.19358/j.issn.2097-1788.2024.07.014
CPTPP沿用的WTO安全例外條款已難以應對當前大數據時代的挑戰。數據主權理論能夠有效紓解CPTPP安全例外條款所面臨的理論困境。為此,應當肯定爭端裁判機構的管轄權,至于自裁決的范圍可由專家組自行判斷,或是考慮該成員方向WTO遞交的相關意見書;從規則層面,應將可能直接威脅國家主權的非傳統安全問題納入到“基本安全利益”的范圍,明確列舉可適用的情形;從程序方面,應完善安全例外條款的程序要求,以防范安全例外條款的濫用。
