AI安全新指南!美国联合多方发布AI数据保护实践

多客科技

作者：微信文章
当地时间5月22日，美国国家安全局（NSA）联合网络安全和基础设施安全局（CISA）、联邦调查局（FBI）以及澳大利亚、新西兰等国的网络安全机构，共同发布一份名为《人工智能数据安全：保护用于训练和运行人工智能系统的数据的最佳实践指南》（以下简称《指南》）。



《指南》深入聚焦AI系统训练和运行过程中的数据安全问题，其三大核心目标：一是提高对人工智能系统在开发、测试以及部署等阶段全生命周期数据安全风险的意识。二是为每个阶段提供实用的AI数据保护最佳实践，并深入分析关键风险领域。三是鼓励采用强有力的数据保护措施，主动实施风险缓解策略，为AI 系统构建安全且具韧性的基础。

美国国家标准与技术研究院（NIST）在《人工智能风险管理框架》（RMF）中详尽地描述了AI系统从规划设计到运营与监控的六个阶段，每个阶段都建立在坚实的数据完整性基础之上。一旦数据完整性无法保证，AI 系统的可靠性与安全性将无从谈起。

下表概述了人工智能生命周期各阶段的数据安全关注重点，以及与《指南》相关的特定数据安全风险：

AI生命周期阶段	关注重点	涵盖的数据安全风险
规划与设计阶段	自系统启动之初，便融入数据安全措施，包括设计坚固的安全协议、进行威胁建模等。	数据供应链
数据收集处理阶段	必须确保数据的完整性和真实性，实施加密、访问控制、最小权限原则、匿名化处理以及安全传输等措施。	数据供应链、恶意篡改数据
模型构建使用阶段	防止数据被篡改，确保数据的完整性和隐私性，同时保护模型训练和运行的环境。	数据供应链、恶意篡改数据
验证与确认阶段	进行全面的安全测试、识别并缓解风险、验证数据的完整性、进行对抗性测试，并在适当且可行的情况下执行正式验证。	数据供应链、恶意篡改数据
部署与使用阶段	实施严格的访问控制、“零信任”架构、安全的数据传输与存储，以及进行异常行为监控，以防止未经授权的数据访问。	数据供应链、恶意篡改数据、数据飘移
运营与监控阶段	持续开展数据风险评估，监控数据泄露事件、安全地删除数据、严格遵守相关法规，并确保及时响应，执行安全审计等。	数据供应链、恶意篡改数据、数据飘移

指南特别强调了三个关键风险领域，需要组织高度关注并采取针对性措施：

数据供应链风险：

数据供应链风险指的是在数据从收集到最终使用的整个流程中可能遭遇的安全隐患。若数据来源不可靠，或在数据流转过程中缺乏有效的追踪机制，以及多级供应商可能引入的潜在安全漏洞，这些都极易成为攻击者的利用目标。为缓解这些风险，具体措施包括建立可信的数据来源验证机制，采用加密签名来验证数据的完整性，以及对供应链的各个环节进行详尽的安全评估。

恶意篡改数据风险：

恶意篡改风险指的是攻击者故意在AI训练数据中插入不精确或具有误导性的信息，目的是破坏系统的性能或操纵输出结果。为应对这一风险，具体缓解措施包括建立严格的数据清洗和验证流程，开发异常检测机制以识别可疑数据，并创建“干净数据”等。

数据漂移风险：数据漂移风险指的是随着时间的推移，模型运行环境中的数据分布与原始训练数据之间出现了显著的差异，可能导致模型性能下降。为缓解这一问题，建议建立持续的监控机制以检测数据分布的变化，并定期使用新数据对模型进行重新训练。

此外，在确保基于人工智能的系统数据安全方面，《指南》提出以下十条最佳实践：

1、确保数据来源的可靠性并追踪数据流向：对数据源进行严格验证，优先选择权威机构发布的信息。实施数据追踪机制，记录数据在 AI 系统中的流转路径，以便于追溯数据的原始出处。

2、保障数据在存储和传输过程中的完整性：运用校验与加密哈希技术来验证数据的完整性，防止数据在存储或传输过程中被非法篡改或损坏。为 AI 数据集生成唯一的校验码，以检测任何未经授权的修改，确保数据真实性。

3、利用数字签名验证数据修订的可信度：采用抗量子攻击的数字签名标准，对 AI 模型训练及其他影响模型参数的后训练过程中的数据集进行验证和认证。对原始数据版本及其后续修订进行加密签名，并通过可信的证书颁发机构来增强验证的可靠性。

4、构建可信的基础设施：部署基于零信任架构的可信计算环境，为数据处理提供安全隔离区域，保护敏感信息免受篡改，巩固数据隐私与安全的基础。

5、对数据进行分类和访问控制：根据数据的敏感性和保护需求进行分类，并据此实施相应的安全控制措施，如加密和访问控制。通常，AI 系统的输出应与输入数据保持相同的安全分类级别，以确保防护措施的一致性。

6、实施数据加密：根据数据保护级别，采用高级加密协议，例如 AES - 256，以抵御量子计算的威胁。对静态、传输和处理中的数据进行全面加密，利用 AES - 256 、TLS协议或后量子加密来保障数据传输的安全性。

7、安全地存储数据：将数据存储于符合 NIST FIPS 140 - 3 标准的认证存储设备，以抵御高级入侵。根据组织的需求和风险评估，选择合适的加密模块安全级别，确保数据得到高级别的安全保护。

8、应用隐私保护技术：利用数据去标识化技术（如数据屏蔽）、差分隐私以及分布式学习技术（如联邦学习），减少敏感信息的泄漏风险，平衡效用与隐私，在保护隐私的同时支持 AI 模型的训练和开发。

9、安全地删除数据：在重新使用或停用 AI 数据存储与处理设备前，采用加密删除、块删除或数据覆盖等安全删除方法彻底清除数据，确保数据无法恢复，降低系统“退役”后的安全风险。

10、持续进行数据安全风险评估：依据 NIST SP 800 - 3r2、风险管理框架（RMF）、NIST AI 100 - 1等行业标准框架，持续评估数据安全风险。识别 AI 数据安全状况、潜在风险，优先采取措施，不断改进安全措施，以应对安全威胁的变化，从安全事件中学习，紧跟新兴技术的发展，维持强大的安全态势。

数据安全并非一成不变，而是需要随着不断演变的威胁同步更新防御策略。指南鼓励组织采取积极主动的姿态，在整个AI 生命周期中应用最高的数据保护标准。通过实施最佳实践和风险缓解技术，不仅能更好地保护敏感、专有和关键任务数据，而且还能显著提升其 AI 系统的性能和可靠性，为 AI 技术的健康、可持续发展奠定坚实基础。

参考来源｜美国国家安全局、互联网公开信息

文章来源：赛博研究院