人工智能行業數據安全解決方案
一.需求背景
人工智能三大核心要素:算法�����、算力��、數據�����。除了算法�����、算力外���,最重要核心因素是數據�����。實現人工智能有兩個階段�,即準備數據與訓練模型���。數據準備工作量占比達 70% 以上����,但更重要的數據背后的人工�����,即數據預處理���、模型選擇與參數調整�。數據預處理過程中的需要在個人PC端進行大量的數據傳輸���,這種傳輸很容易照成數據的泄露���,通過網絡的接入����、網絡的外發等各種行為都可輕易的將大量的數據外帶�,通過各種網絡傳輸方式都是輕易將數據泄密的主要通道�����。
模型選擇和訓練一般都在公司終端服務器進行但是也有部分占用資源不高的模型在個人PC訓練���。個人PC與公司服務器傳輸模型數據就可能導致模型訓練成果外泄�,數據泄密����。
并且還存在很大的存儲風險����,磁盤是數據存儲的主要介質��,終端日常的數據都保存在本地硬盤上����。在任何一個環節中���,數據的存儲都將是嚴重的安全威脅�,磁盤的被盜和筆記本電腦的遺失給磁盤的數據帶來了極大的安全隱患���。數據在經過其他核心業務系統導出時最終還是存儲在本地磁盤����,通過硬盤拆卸等方式輕易將數據拷貝出去��。即使結合了很多審計或者其他控制手段��,但也可通過多系統或者掛接到其他系統將數據外帶�。
二.數據防護的需求
? 內部防護需求
內部防護主要是對于軟件開發人員的代碼防護和算法訓練人員的所用到的訓練素材��,生成的算法模型等進行管控����。
? 外部防護需求
主要是外售終端的智能模塊中��,內含的算法����,程序等的防反編譯��,防破解�,防篡改�,還有智能設備整體防中毒等����。
三����、人工智能行業數據安全整體解決方案
數據泄密的途徑總結起來無非是網絡��、移動設備����、第三方協議及外設�,由于代碼���,算法模型等數據都是在員工pc端上產生����,主要在pc-pc���、應用服務器-pc之間流轉�����,因此主要針對的對象是使用這些數據的pc和服務器����。我們建議采用SDC防泄密系統進行數據防護的�。對于向外銷售的智能設備終端我們提供CBS賽博鎖來保證設備內含的數據算法反編譯�����,反篡改�����,防抄板����,以此來保證智能設備的數據安全��。
1����、內網辦公數據安全解決方案
SDC平臺以‘環境加密技術’為技術理念�����,所謂的‘環境’是指數據在生成����、存儲����、交互����、使用的過程中所接觸的載體��、使用者���、傳輸渠道的一個總稱�����。而‘環境加密技術’就是采用了多種管理手段結合的方式保護數據在生成�����、存儲�、交互�、使用過程中的安全環節控制����。在保密系統中主要采用了磁盤加密���、網絡傳輸控制�����、移動存儲加密�����,外設控制等技術手段來保障了數據安全環境的建立�。
磁盤加密主要采用了磁盤驅動加密技術對磁盤扇區進行強制加密��,一旦磁盤被拆卸或者丟失也無法獲得數據��。
外設控制則可控制計算機通過非正常手段�����,比如藍牙���、紅外等設備進行數據傳輸泄密����。移動存儲加密可提供強大的移動存儲管理功能��,既方便了內部交流使用又將數據加密防止數據泄密��。
網絡準入控制可以控制所有管理范圍內終端只允許訪問核心應用系統���,其他無關網絡不能訪問����。
日志審計終端所有燒錄聯調��、解密��、打印都將生成日志����,并備份文件到服務器���。
如下圖:
圖 1-1 數據保密體系建立示意圖
1.1方案系統
基于防泄密平臺而設計的數據保密方案可以實現以下效果:
- 提高了服務器的登錄安全級別�,對于訪問者的身份和權限進行認證�����,過濾非法訪問請求����;
- 對于數據在其流轉的過程當中(存儲�、內部傳輸���、介質交換��、向外發送)實現了全方位的加密與審批保護�����,對數據的生存環境進行了有效控制����;
- 對于敏感和違規的操作行為進行報警和記錄����,并生成日志���。同時支持將日志導入到數據庫中�����,結合日志查看程序�,按照需要生成自定義報表���;
- 對移動辦公具有對性的保護���,在保證工作效率的同時保護了數據的安全���;
- 保證外發的數據不會二次泄密�����,大大增加了數據的可控性��;
- 其于不同的角色(研發人員����、商務人員��、合作伙伴)來配置策略�、制定管控力度�;
- 提供多級管理的功能��,形成級聯式的管理控制體系����,在權限下方的同時實現垂直監管��;
- 對于較大規模的部署�����,為了保證 防泄密平臺 服務器的運行穩定���,實現了多臺服務器運行環境的負載均衡���。
1.2方案特點和優勢
基于信息安全平臺而設計的方案特點與優勢如下:
1.整體性的解決方案���?���;诜佬姑芷脚_實現了整體方案架構的制定�����,實現了服務器認證管理���、數據運行環境加密����、數據終端操作行為監控與審計等多種功能�����,從多個角度提升數據保護力度����;基于數據備份平臺實現了自動的����,有計劃的����,網絡集中的數據備份�,保證公司數據的完整性�����;
2.兼容性較好��。在統一的產品平臺下����,實現復合型的管理與保密功能�,不會產生子功能間相互干擾與影響的情況���,保證終端穩定運行�;
3.基于環境加密的解決方案自適應性良好����。在提供對現有環境與狀態下的數據防護���,亦可滿足將來實施或升級各類應用系統與終端軟件而產生的新的保密需求�;
- 獨特的工作模式切換可以考慮到工作和生活的兼顧�,降低了數據保密對使用人員的約束���,提升了計算機的利用價值��;
- 從下線風險角度來考慮���,因為方案是基于環境來進行控制����,如果需要應急�����,公司可以在短期之內迅速解除對環境的控制措施���,對廠家的依賴性與數據加解密風險較低��。
1.3�����、部署示意圖
圖1‐2部署示意圖
1.4方案小結
此方案根據數據所面臨的風險不同���,而提供多種保護手段����,并且通過數據外泄端口的控制�,有效的防止了數據的主動泄密和被動泄密的情況�,不論用戶是通過剪切板�、拷屏��、網絡外發等方式���,都受到網絡加密�、硬盤加密��、移動存儲加密�、外設控制���、網絡安全準入等五重的保護��,總而言之就是數據可以在環境內部自由使用�����,但沒法違規脫離環境��。
2���、外設終端設備安全
CBS(CyberSandbox)鎖是深信達公司研發的邊緣計算終端的保護鎖����,通過把安全容器內嵌到操作系統中�����,對容器內的應用和數據進行加鎖�����,實現終端安全�。
圖2-1 CBS功能示意圖
CBS鎖通過容器接管操作系統����,重新定義操作系統的權限模塊�����,讓程序和數據行為都在容器中白名單運行�,非授權程序和腳本一律禁止啟動��。容器內所有數據�����,***賬號�、密碼以及其他核心數據都在容器中存儲��,非授權外界無法獲得�����,全容器加密���。
CBS鎖提供高安全性��、高易用性的對稱和非對稱加密算法�����,可供外圍調用����。CBS提供身份唯一ID并綁定硬件環境����,防止系統被克隆
2.1���、安裝效果
1.只有必須的工作場景才能運行��、陌生程序一律禁止運行
2.沒有中毒和******
3.數據防竊取�����、防泄露
4.容器內程序加殼運行�,防止別人破解和抄板
5.即使管理員賬號被盜���,仍然安全
6.可進行密鑰生成��、銷毀管理
7.可自由選擇所需加密算法
2.2�����、CBS產品特點
? 系統狀態保持
部署時什么樣就什么樣�����,系統正常運行狀態得到保持�,并且占用資源低�,不會影響性能����,支持聯網和單機離線模式�����;
? 防止未經授權的軟件安裝
非授權軟件無法安裝和運行���,從根源上杜絕亂裝和中毒中***����;
? 容器內數據區加密保護
終端核心數據是加密的�����,可防止信息泄密����;
? 容器內應用反編譯
應用程序跑在容器內加殼運行�����,防止反編譯����。
2.3��、CBS集中管理平臺
CBS提供單機版和網絡版兩種�。
網絡版有集中的管理平臺可對每一個聯網終端進行維護審計
