齊向東:用標準迎戰大模型時代的安全挑戰
12月8日至11日,全國網絡安全標準化技術委員會2024年第二次「標準周」活動在海口市舉行。中央網信辦副主任、全國網安標委主任委員王京濤,海南省委常委、宣傳部部長王斌出席全體會議併發表講話。全國政協委員、全國工商聯副主席、奇安信集團董事長齊向東,理想汽車副總裁、信息安全負責人趙東,海康威視副總裁、首席安全官王濱等代表,分享新理念新格局下的網絡安全政策、技術、產業發展新思路,探討新技術新應用新業態的標準需求。
齊向東在「網絡安全大模型與安全協同能力的思考——用標準迎戰大模型時代的安全挑戰」主題演講中表示,針對大模型時代對安全防護提出的各種挑戰,可用強製性合規標準進行應對。當前,大模型在各行業廣泛應用,我們必須加快製定並落實針對大模型的強製性合規標準,確保其研發、訓練、部署全流程的安全要求與最佳實踐得以嚴格遵循。
大模型時代對安全防護提出三大挑戰
新技術驅動社會變革,也加劇著安全危機。在這種安全新形勢下,安全大模型是有效的應對法寶,能整體提升安全防護水平。齊向東總結了大模型時代對安全防護提出的三大挑戰,並分享了奇安信的解決方案。
一是對安全設備的日誌和告警提出挑戰。人工智能大幅降低了網絡攻擊門檻,讓不懂代碼、不懂技術的普通人也能成為黑客,網絡攻擊數量大幅增加。專業的黑客組織還能利用人工智能對攻擊進行改造升級,「飽和式」攻擊成為可能,原有的網絡安全運營體系能被輕鬆打垮。人力不足使得大量告警被忽視,成為網絡安全的最大漏洞。同時,日誌和告警數據信息量有限,顆粒度不細、缺乏上下文關聯和過程展現,難以被安全大模型理解,影響安全防護效果。
二是對安全事件分析知識提出挑戰。大模型時代,安全事件分析的機制發生了變化:傳統的安全事件分析依賴人的個體知識,難以實現經驗的有效傳承與複用;大模型可以吸收人的經驗和知識,在學習所有已知做題方式的基礎上,繼續打破人的認知局限,快速分析研判安全事件。但安全專家的經驗多存在於腦海,書面表達缺失、質量參差不齊,難以轉變為安全大模型需要的精準「知識」。
奇安信憑藉位居全國首位的安全數據規模,以及長期安全實戰積累下豐富的安全實踐經驗,為大模型預訓練打下了堅實基礎。一方面,奇安信有足夠多的基礎安全數據用於訓練安全大模型,另一方面,奇安信還擁有足夠貼近實戰的一手原始語料用於大模型推理。接下來,奇安信將拓展這些優勢,豐富安全大模型的知識,讓大模型更「聰慧」。
三是對安全設備的協同標準提出挑戰。在大模型時代,如何讓安全設備和安全大模型實現充分對話、無縫銜接,成為接下來的核心任務。然而,許多安全設備沒有告訴安全大模型自己能做什麼,導致大模型無法調動這些設備進行有效的安全防護。
奇安信已經將安全大模型與安全產品深度融合,實現「集群式」作戰。AISOC、天眼、天擎EDR、椒圖產品目前都已經融入了安全大模型能力,實現了安全運營工作效率的大幅躍升。
用強製性合規標準應對大模型的三大安全挑戰
面對大模型的安全挑戰,我們還需關注其自身在基礎設施、數據安全和輸出接口方面的安全問題。
在大模型IT基礎設施方面,算力資源環節若出現防護紕漏,可能導致整個算力網絡安全隱患,造成嚴重損失。同時,大模型基礎環境可能存在漏洞或後門,主流AI算力框架也曾出現漏洞被利用的情況。
在大模型數據安全方面,竊取大模型數據的手段多樣,如劫持攻擊、提示詞注入攻擊、員工不當操作、爬蟲技術等屢見不鮮。更令人擔憂的是,投毒攻擊和數據汙染事件頻發,不僅擾亂輸出內容,甚至會影響社會認知。
在大模型輸出接口安全方面,API作為常見的開放方式,其接口數量多帶來漏洞和後門隱患,身份驗證和授權機制不完善,容易導致數據被竊取、篡改或破壞,直接影響大模型自身安全。
「面對這些安全挑戰,完善大模型強製性合規標準迫在眉睫。」齊向東強調,大模型實踐先行的局面已經形成,各行業大型機構都在積極開展大模型應用。但運用越廣泛,安全威脅也越大,必須加快跟進針對大模型的強製性合規標準,確保研發、訓練、部署過程的安全要求和最佳實踐得到遵守。
比如,在大模型審計方面,強化知識產權合規、數據合規、算法合規等標準;在專業安全評估方面,明確評估範圍和目標、建立適用於大模型的評估流程和管理制度、協助製定整改計劃等;專業安全產品保障方面,強化全生命週期安全、完善整體應對方案、用好安全檢測工具。
此外,在「標準周」的標準護航新型工業化發展研討會上,奇安信被正式授予「數據安全優質企業培育推進工作組」首批成員單位。
為了支撐工信部等16部委的數據安全產業指導意見,特別是培育數據安全優秀企業的相關要求,中國電子技術標準化研究院製定了企業數據安全硬科技屬性評價指標體系。奇安信作為工作組的首批成員,將全力協助完善該指標體系,為準確評判數據安全企業的硬科技水平提供有力支撐,填補當前行業空白,推動數據安全產業的健康有序發展。
校對 柳寶慶