綜述
The current development and future trend of data trading market in ChinaWang
王江,姜偉,王普
doi: 10.19358/j.issn.2097-1788.2024.07.001
數(shù)據(jù)是國家重要的新型生產(chǎn)要素和基礎(chǔ)性戰(zhàn)略資源,已成為推動經(jīng)濟社會數(shù)字化轉(zhuǎn)型、國家創(chuàng)新發(fā)展的新動力。數(shù)據(jù)流通交易可以最大化激發(fā)數(shù)據(jù)要素價值潛能,提高數(shù)字經(jīng)濟和數(shù)字產(chǎn)業(yè)的競爭力和創(chuàng)新能力。我國有著發(fā)展數(shù)據(jù)要素交易市場的良好基礎(chǔ)條件,全國各省市也掀起了新一輪的數(shù)據(jù)要素交易市場建設(shè)進程。在總結(jié)美國、歐盟等世界主要經(jīng)濟體在數(shù)據(jù)要素交易市場建設(shè)措施和特點的基礎(chǔ)上,分析我國及主要省市數(shù)據(jù)要素交易市場建設(shè)的總體情況與實踐特點,提出我國數(shù)據(jù)要素交易市場發(fā)展的未來趨勢。
網(wǎng)絡(luò)與信息安全
Research on security risks and response strategies of cloud based industry software
孟祥曦,姚歡,杜洪濤
doi: 10.19358/j.issn.2097-1788.2024.07.002
隨著云計算技術(shù)的快速發(fā)展,云化工業(yè)軟件已成為推動制造業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵驅(qū)動力,但也面臨越來越復雜的安全風險挑戰(zhàn),并已受到廣泛重視。云化工業(yè)軟件的安全風險主要來自技術(shù)層面、信息通信層面、業(yè)務管理層面和外部約束層面,具體包括技術(shù)與架構(gòu)、網(wǎng)絡(luò)與訪問控制、人員與流程及法律與合規(guī)性四個方面。在對安全風險進行分析的基礎(chǔ)上,提出在云化工業(yè)軟件全生命周期管理中引入內(nèi)生安全方法的應對策略,以確保系統(tǒng)的穩(wěn)定運行和數(shù)據(jù)的安全可靠。同時,研究論述了云化工業(yè)軟件內(nèi)生安全管理體系的建設(shè)要點和主要特征,為云化工業(yè)軟件的安全風險管理提供了具體路徑。
Research on fuzzing of industrial control protocol based on generative adversarial network
宗學軍1,2,隋一凡1,2,王國剛1,2,寧博偉2,3,何戡1,2,連蓮1,2,孫逸菲1,2
doi: 10.19358/j.issn.2097-1788.2024.07.003
傳統(tǒng)模糊測試依賴專家經(jīng)驗和協(xié)議規(guī)范,基于神經(jīng)網(wǎng)絡(luò)的方法受限于訓練數(shù)據(jù)質(zhì)量和模型結(jié)構(gòu),面對不同的ICPs(Industrial Control Protocols)有效性差,缺乏通用有效的模糊測試方法。針對上述問題,提出一種基于WGAN-GP(Wasserstein Generative Adversarial Network with Gradient Penalty)的ICP模糊測試方法,結(jié)合統(tǒng)計語言模型N-gram修正訓練結(jié)果,并構(gòu)建了面向多種ICPs的通用模糊測試框架GPFuzz。在油氣集輸全流程工業(yè)攻防靶場中對3種常見工控協(xié)議(Modbus/TCP,Ethernet/IP,S7comm)進行實驗,結(jié)果表明該框架生成的測試用例具有多樣性,在接受率和異常觸發(fā)指標上優(yōu)于其他模糊測試方法,為ICS提供一種高效、通用的安全性評估方法,提升系統(tǒng)整體的安全性。
Design of DNS based Zero Trust enhanced authentication system
鄒立剛1,張逸凡1,張新躍2,袁建廷3
doi: 10.19358/j.issn.2097-1788.2024.07.004
針對當前大量HTTPS應用復用證書存在安全風險問題,借鑒了零信任模型中安全策略動態(tài)授權(quán)的思路,提出了一種基于現(xiàn)有互聯(lián)網(wǎng)基礎(chǔ)設(shè)施DNS來擴展增強認證功能的方案,通過在現(xiàn)有DNS權(quán)威服務器上額外配置增強的認證信息來對HTTPS訪問請求進行動態(tài)認證,從而能實時驗證當前HTTPS證書的安全狀態(tài)。該方案通過可信易得的DNS基礎(chǔ)設(shè)施解決了當前普遍存在的HTTPS證書復用帶來的安全問題,是一種靈活高效并且可擴展的零信任安全增強認證架構(gòu)。
Research on risk URL detection based on Boosting ensemble learning
馮美琪1,2,李赟1,2,蔣冰1,2,王立松1,2,劉春波3,陳偉1,2
doi: 10.19358/j.issn.2097-1788.2024.07.006
隨著互聯(lián)網(wǎng)的不斷發(fā)展,網(wǎng)站數(shù)量不斷增長,URL作為訪問網(wǎng)站的唯一入口,成為Web攻擊的重點對象。傳統(tǒng)的URL檢測方式主要是針對惡意URL,主要方法是基于特征值和黑白名單,容易產(chǎn)生漏報,且對于復雜URL的檢測能力不足。為解決上述問題,基于集成學習中的Boosting思想,提出一種針對業(yè)務訪問的風險URL檢測的混合模型。該模型前期將URL作為字符串,使用自然語言處理技術(shù)對其進行分詞及向量化,然后采用分步建模法的思想,首先利用GBDT算法構(gòu)建二分類模型,判斷URL是否存在風險,接著將風險URL原始字符串輸入到多分類模型中,利用XGBoost算法對其進行多分類判定,明確風險URL的具體風險類型,為安全分析人員提供參考。在模型構(gòu)建過程中不斷進行參數(shù)調(diào)優(yōu),并采用AUC值和F1值分別對二分類模型和多分類模型進行評估,評估結(jié)果顯示二分類模型的AUC值為98.91%,多分類模型的F1值為0.993,效果較好。將其應用到實際環(huán)境中,與現(xiàn)有檢測手段進行對比,發(fā)現(xiàn)模型的檢出率高于現(xiàn)有WAF和APT安全設(shè)備,其檢測結(jié)果彌補了現(xiàn)有檢測手段的漏報。
Ethereum malicious address detection method based on transaction time decay
梁飛1,石文君2,蘇則燊3,張敏4
doi: 10.19358/j.issn.2097-1788.2024.07.005
提出Trans-TAN模型,用于以太坊上的交易流向圖中關(guān)聯(lián)惡意地址的檢測任務,模型改進基于Transformer模型的自注意力機制,根據(jù)以太坊地址的交易特點并受到牛頓冷卻定理的啟發(fā),引入隨時間交易的時間間隔衰減因素,同時融合以太坊地址間的相似度因素和交易金額因素。基于以上三方面,通過牛頓冷卻定理的常微分方程解形式構(gòu)建的地址關(guān)聯(lián)矩陣,從而改進原有的自注意力矩陣。實驗證明,Trans-TAN模型能夠有效捕捉以太坊交易流向圖過程中惡意節(jié)點地址的特征,在測試集中精準率 (Precision)、召回率(Recall)和F1指標優(yōu)于傳統(tǒng)的檢測模型。
人工智能
Analysis of Russian AI regulation policies: framework, characteristics and implications
張濤,翟夢婷
doi: 10.19358/j.issn.2097-1788.2024.07.007
ChatGPT、Sora等大模型的出現(xiàn),再次凸顯人工智能技術(shù)進步對經(jīng)濟、文化等領(lǐng)域的深遠影響,與此同時,其所帶來的安全風險問題更令人擔憂,全球主要國家和地區(qū)也均將人工智能監(jiān)管問題納入國家安全總體戰(zhàn)略。以俄羅斯人工智能監(jiān)管政策為研究對象,對近年來俄羅斯人工智能監(jiān)管現(xiàn)狀進行分析,在此基礎(chǔ)上以第123-FZ號聯(lián)邦法與第258-FZ號聯(lián)邦法為核心構(gòu)建人工智能監(jiān)管框架,并總結(jié)其監(jiān)管特征。研究結(jié)果表明俄羅斯對于人工智能監(jiān)管已形成以主體層、機構(gòu)層、制度層為基礎(chǔ)的監(jiān)管框架;俄羅斯人工智能統(tǒng)籌自我監(jiān)管和共同監(jiān)管協(xié)同作用,以刺激作為監(jiān)管的基礎(chǔ),積極推進多行業(yè)監(jiān)管;隨著ChatGPT、Sora等應用的涌現(xiàn),俄羅斯對于人工智能的監(jiān)管框架正在不斷完善。
A textual study of cultural policies in Chinese provincial five-year plans based on Word2Vec and LDA topic model
高娜1,東梅2
doi: 10.19358/j.issn.2097-1788.2024.07.008
運用Word2Vec和LDA相結(jié)合的主題模型分析技術(shù),對我國31個省份三個時期五年規(guī)劃文本中文化政策部分進行主題識別,從時間和空間兩個維度進行“文化政策”主題挖掘和演化分析。研究發(fā)現(xiàn),“文化政策”主題在發(fā)展趨勢、重點轉(zhuǎn)移、政策導向、技術(shù)應用等方面隨時間推移呈現(xiàn)不同演化趨勢;四大區(qū)域受經(jīng)濟發(fā)展水平、文化資源稟賦、政策導向影響,在企業(yè)角色強調(diào)程度、地區(qū)特色旅游發(fā)展以及國家級項目和競爭力方面存在地域差異。
大數(shù)據(jù)與數(shù)據(jù)技術(shù)
Application and research of master data coding rules based on condition setting
于百勇,楊旭,易危香,呼雨欣,馬彬焱
doi: 10.19358/j.issn.2097-1788.2024.07.009
在主數(shù)據(jù)的標準化建設(shè)過程中,往往面臨著諸如一物多碼,一碼多物等數(shù)據(jù)編碼不一致問題。主數(shù)據(jù)編碼標準定義了主數(shù)據(jù)的分類和編碼規(guī)則,是進行信息交換和資源共享的重要前提。然而,在企業(yè)正式構(gòu)建主數(shù)據(jù)管理平臺之前,往往就已經(jīng)存在了大量的業(yè)務系統(tǒng),這些系統(tǒng)通常由不同的廠家構(gòu)建,采用的數(shù)據(jù)標準不一,不同系統(tǒng)之間缺乏銜接點。針對上述問題,提出一種基于條件設(shè)置的主數(shù)據(jù)編碼規(guī)則配置方法,對主數(shù)據(jù)模型的編碼規(guī)則進行統(tǒng)一管理,解決了復雜業(yè)務場景下同一個主數(shù)據(jù)模型屬性需要配置不同的編碼規(guī)則問題。最后使用 Spring Security 和 MyBatis 框架,對該方法進行實現(xiàn)。通過在南京地鐵主數(shù)據(jù)管理平臺中的實際應用,結(jié)果表明該方法合理可行,有效地提高了數(shù)據(jù)治理的性能。
數(shù)據(jù)治理與計算法學
The rationale and path of platform data monopoly compliance under the digital economy
陳鏡霖
doi: 10.19358/j.issn.2097-1788.2024.07.010
數(shù)據(jù)要素的非競爭性、非排他性因平臺壟斷意圖逐漸異化,并誘發(fā)算法共謀、大數(shù)據(jù)殺熟、平臺扼殺式并購等反競爭行為。基于維護數(shù)據(jù)市場交易秩序的現(xiàn)實需要、競爭倡導理論的法理支撐以及域外數(shù)據(jù)合規(guī)監(jiān)管的經(jīng)驗參考,平臺數(shù)據(jù)壟斷合規(guī)具有適用的可行性與必要性。然而,平臺數(shù)據(jù)壟斷合規(guī)往往因頂層規(guī)范缺失、規(guī)則模糊以及監(jiān)管機制弱化等無法實現(xiàn)預期效果。對此,應細化“數(shù)據(jù)反壟斷合規(guī)指南”的設(shè)計邏輯指引合規(guī),區(qū)分不同類型數(shù)據(jù)權(quán)屬以明確數(shù)據(jù)流通規(guī)則,依據(jù)數(shù)據(jù)流通的不同環(huán)節(jié)形塑數(shù)據(jù)競爭合規(guī)評價標準,銜接事前監(jiān)管與事后監(jiān)管理念促進監(jiān)管理念革新,并依托人工智能算法技術(shù)賦能監(jiān)管方式轉(zhuǎn)型。
Challenges and paths to responsible development of generative AI
鄧臻宇
doi: 10.19358/j.issn.2097-1788.2024.07.011
生成式人工智能正推動著新一輪科技產(chǎn)業(yè)的變革,但也引發(fā)了諸多治理風險,例如數(shù)據(jù)濫用、訓練數(shù)據(jù)質(zhì)量不高,算法黑箱、算法歧視現(xiàn)象普遍,但目前的監(jiān)管理念和措施仍具有滯后性。為了實現(xiàn)生成式人工智能負責任的發(fā)展,在治理路徑上,需要用戶、開發(fā)者和監(jiān)管部門等多元主體從技術(shù)和法律等多維度協(xié)同參與治理,構(gòu)建數(shù)據(jù)質(zhì)量管理體系、建立開放共享的公共訓練數(shù)據(jù)平臺;實行算法備案登記、審查評估機制,實現(xiàn)對算法公平公正的敏捷治理;完善生成式人工智能侵權(quán)歸責體系、探索監(jiān)管沙盒制度的應用,實現(xiàn)技術(shù)創(chuàng)新的負責任發(fā)展。
Conflict resolution of data-related legal norms: form and substance dichotomy
柴雪映
doi: 10.19358/j.issn.2097-1788.2024.07.012
目前涉數(shù)據(jù)法律規(guī)范在適用中存在沖突,沖突解決不當導致法律責任歸結(jié)失衡。判斷涉數(shù)據(jù)法律規(guī)范沖突的本質(zhì),可將其分為法益侵害單一性的形式?jīng)_突和法益侵害多重性的實質(zhì)沖突。涉數(shù)據(jù)法律規(guī)范沖突解決的前提是:明確《數(shù)據(jù)安全法》《個人信息保護法》及《網(wǎng)絡(luò)安全法》保護法益所指涉對象的不同及關(guān)聯(lián)性;厘清法律規(guī)范間的關(guān)系輪廓。涉數(shù)據(jù)法律規(guī)范的沖突解決方式需要類型化區(qū)分形式?jīng)_突及實質(zhì)沖突,形式?jīng)_突類比于《刑法》中法條競合,遵循“特別優(yōu)先”;實質(zhì)沖突類比于《刑法》中想象競合和并罰競合,遵循“擇一重罪處罰”或“并罰”。正確解決涉數(shù)據(jù)法律規(guī)范沖突不僅實現(xiàn)恰當評價涉數(shù)據(jù)違法行為的目標,也是提升數(shù)據(jù)生產(chǎn)力的內(nèi)在要求。
From a legislative perspective: a fourfold conceptual definition and distinction between "Information" and "Data"
靳雨露
doi: 10.19358/j.issn.2097-1788.2024.07.013
由于在立法與理論研究中信息與數(shù)據(jù)概念未進行明確區(qū)分,個人信息與數(shù)據(jù)、個人信息與個人數(shù)據(jù)被混同使用,導致數(shù)據(jù)財產(chǎn)權(quán)內(nèi)涵與外延爭議不斷。從事實、多學科、規(guī)范與理論共四重維度,對信息與數(shù)據(jù)概念進行分析后發(fā)現(xiàn),信息與數(shù)據(jù)在本質(zhì)上不能等同,信息指代人類社會中的一切資訊、消息和內(nèi)容,而數(shù)據(jù)是對信息的一種電子化記錄或表達形態(tài)。從這個意義上說,數(shù)據(jù)屬于信息。因此,中國法律文本與理論研究中的個人信息、個人數(shù)據(jù)等概念也具有法律層面的區(qū)分意義。
The dilemma of the application of the CPTPP security exception provision under data sovereignty and relief
陳思怡
doi: 10.19358/j.issn.2097-1788.2024.07.014
CPTPP沿用的WTO安全例外條款已難以應對當前大數(shù)據(jù)時代的挑戰(zhàn)。數(shù)據(jù)主權(quán)理論能夠有效紓解CPTPP安全例外條款所面臨的理論困境。為此,應當肯定爭端裁判機構(gòu)的管轄權(quán),至于自裁決的范圍可由專家組自行判斷,或是考慮該成員方向WTO遞交的相關(guān)意見書;從規(guī)則層面,應將可能直接威脅國家主權(quán)的非傳統(tǒng)安全問題納入到“基本安全利益”的范圍,明確列舉可適用的情形;從程序方面,應完善安全例外條款的程序要求,以防范安全例外條款的濫用。
