网络安全主动防御技术:策略、方法和挑战 扈红超, 隋嘉祺, 张帅, 仝玉 引用本文 扈红超, 隋嘉祺, 张帅, 仝玉. 网络安全主动防御技术:策略、方法和挑战[J]. 计算机科学, 2024, 51(11A): 231100132-13. HU Hongchao, SUI Jiaqi, ZHANG Shuai, TONG Yu. Proactive Defense Technology in 通信作者:隋嘉祺(bearsui５＠１６３．com) 网络安全主动防御技术:策略、方法和挑战 扈红超 隋嘉祺 张 帅 仝 玉 信息工程大学信息技术研究所 郑州４５０００１ (hhc＠ndsc．com．cn) 摘 要 随着人工智能、云计算、大数据和物联网等新兴技术的迅速发展,网络安全形势变得日益严峻.然而,传统防御手段 (如病毒查杀、漏洞扫描、入侵检测、身份认证、访问控制等)已无法有效抵御日益多样化的网络攻击,网络空间的防御与攻击之 目前很少有相关文献系统地归纳３种主流主动防御技术,也没有对３ 种技术进行横向对比和优劣分析.为了弥补这一空缺,对３种主动防御技术的研究成果进行了全面而系统的调查.首先,分别 介绍了３种主动防御技术的概念、策略和方法,并根据研究内容的不同,对已有的研究成果进行分类.然后,对３种主动防御技 术进行横向对比,分析它们之间的异同和优劣,并探讨如何将它们相互结合和补充,以增强主动防御技术的防护性能.最后,对

....................................................................................51 6.3 数据存储与管理策略................................................................................................... 63 8. 交易策略开发........................................................................................................................................................................64 8.1 策略设计与实现.... ........66 8.2 策略回测与评估.......................................................................................................................................................68 8.3 策略优化与调整...........

...................................................................................... 76 4.3.2 访问控制机制................................................................................................. ...........................104 6. 交易策略开发与验证...........................................................................................................107 6.1 策略设计原则.................................. ..........................................................................................114 6.2 策略回测方法...............................................................................................

n 该标准以访问控制为核心构建基本保护环境和相关安全服务。 1. 设计技术要求核心思 想 01 要 。 信息系统安全影响国家安 全 重 02 安全漏洞和安全威胁永远存在。 03 攻防失衡，攻击占有巨大优势。 04 主动防御、守住底线。 1. 设计技术要求核心思 想 1. 设计技术要求核心思想 u 《设计技术要求》重在设计 PPDR 模型中的防护机制； 控制规则 ↓ t 访问控制 度量 验证 可信认证 1.1 防护思想 • 可信认证为基础 、 访问控制为核心 可信认证：保障信息系统主体、客体可信 访问控制：保障主体对客体合理操作权限 主体 客体 通过构建集中管控、最小权限管理与三权分立的管理平台，为管 理员创建了一个工作平台，使其可以借助于本平台对系统进行更 好的管理，从而弥补了我国现在重机制、轻管理的不足，保证信 好的管理，从而弥补了我国现在重机制、轻管理的不足，保证信 息系统安全可管。 以访问控制技术为核心，实现主体对客体的受控访问，保证所 有的访问行为均在可控范围之内进行，在防范内部攻击的同 时 有效防止了从外部发起的攻击行为。对用户访问权限的控 制可 以确保系统中的用户不会出现越权操作，永远都按系统 设计的 方式进行资源访问，保证了系统的信息安全可控。 以可信计算技术为基础，构建一个可信的业务系统执行环境， 即用

预期的承诺，包括但不限于数据的内容、使用者、使用方式、使用次数、使用范围、使用环境等。 使用控制 usage control 2 在数据的传输、存储、使用和销毁环节，通过集成在数据应用、算法和运行环境中的技术手段，确 保相关参与方按照数字合约约定的使用策略对数据进行分析、计算和处理等，实现对数据使用的时间、 地点、主体、行为和客体等因素的控制，从而保证对数据的使用符合预期。 数据资源 data resource 为厘清可信数据空间的内涵与外延，本小节从多个视角对可信数据空间的核心特征进行详细描述。 从技术组成角度，可信数据空间以数字合约、使用控制技术为核心，以数据跨主体流通使用的可信 （符合预期）为目标。通过数字合约技术描述特定参与方对数据内容、使用方式、使用次数等流通利用 行为的预期并达成共识；通过集成在特定软硬件环境中的使用控制技术对使用数据的算法、应用进行控 制和审计，实现对数据访问、分析、计算等行为的管控，保证数据的流通及使用过程及结果符合预期。 系统，支持数据提供方、数据使用方、数据服务方通过接入连接器提供数据、使用数据以及提供增值服 务，是依据数字合约执行使用控制的系统载体。 从生态关系的逻辑角度，可信数据空间是在接入连接器及服务平台上形成的数据流通要素和关系的 集合，包括：提供方、使用方、服务方等参与主体，数据、算法、服务等空间资源，策略、合约、法规 等共识规则。一套可信数据空间系统应支持构建多个逻辑的可信数据空间生态。不同的逻辑可信数据空

....................................................................................15 2.3 资产配置的主要策略................................................................................................... .....................................................................................41 4.3.2 动态调整策略................................................................................................... .....................................................................................73 5.5.1 数据安全策略...................................................................................................

56 家企业提供的 191 款产品，涉及统一威胁管理产品 （UTM）、病毒防治产品、安全操作系统、公钥基础设施、网络安全态势感知产品、信息系统安 全管理平台、网络型流量控制产品、负载均衡产品、抗拒绝服务攻击产品、终端接入控制产品、 USB 移动存储介质管理系统、文件加密产品、数据泄露防护产品、安全配置检查产品、运维安 全管理产品、日志分析产品、身份鉴别产品、终端安全监测产品、电子文档安全管理产品等 .........................................................................................209 网络型流量控制产品 深信服科技股份有限公司.................................................................................... ..........................................................................................270 终端接入控制产品 北京猎鹰安全科技有限公司...................................................................................

2.1.1 公开政务数据源选择.................................................................25 2.1.2 非公开政务数据获取策略..........................................................26 2.2 数据清洗与标注.......................... 31 2.2.2 数据标注方案设计.....................................................................33 2.2.3 数据质量控制机制.....................................................................35 2.3 数据增强与平衡............. .........................................39 2.3.2 数据集平衡策略.........................................................................41 3. 模型微调策略设计......................................................

CPU 内核数≥14 个 内存容量≥256GB ４ 可编程逻辑控制器 (PLC 设备 ) 控制器指令执行时间≤0.08 微秒 二、网络安全专用产品 序号 产品类别 产品描述 １ 数据备份与恢复产品 能够对信息系统数据进行备份和恢复 , 且对备份与恢复过程进行管理的 产品。 ２ 防火墙 对经过的数据流进行解析 , 并实现访问控制及安全防护功能的产品。 ３ 入侵检测系统 (IDS) 以网络上的数据包作为数据源 (IPS) 以网桥或网关形式部署在网络通路上 , 通过分析网络流量发现具有入侵 特征的网络行为 , 在其传入被保护网络前进行拦截的产品。 ５ 网络和终端隔离产品 在不同的网络终端和网络安全域之间建立安全控制点 , 实现在不同的网 络终端和网络安全域之间提供访问可控服务的产品。 ６ 反垃圾邮件产品 能够对垃圾邮件进行识别和处理的软件或软硬件组合 , 包括但不限于反 垃圾邮件网关、反垃圾邮件系统、安装于邮件服务器的反垃圾邮件软 一套完整的系统安全 策略的数据库系统 , 目的是在数据库层面保障数据安全。 10 网站数据恢复产品 提供对网站数据的监测、防篡改 , 并实现数据备份和恢复等安全功能的 产品。 11 虚拟专用网产品 在互联网链路等公共通信基础网络上建立专用安全传输通道的产品。 12 防病毒网关 部署于网络和网络之间 , 通过分析网络层和应用层的通信 , 根据预先定 义的过滤规则和防护策略实现对网络内病毒防护的产品。