人工智能行業(yè)數(shù)據(jù)安全解決方案

一．需求背景

   人工智能三大核心要素：算法、算力、數(shù)據(jù)。除了算法、算力外，最重要核心因素是數(shù)據(jù)。實(shí)現(xiàn)人工智能有兩個(gè)階段，即準(zhǔn)備數(shù)據(jù)與訓(xùn)練模型。數(shù)據(jù)準(zhǔn)備工作量占比達(dá) 70% 以上，但更重要的數(shù)據(jù)背后的人工，即數(shù)據(jù)預(yù)處理、模型選擇與參數(shù)調(diào)整。數(shù)據(jù)預(yù)處理過(guò)程中的需要在個(gè)人PC端進(jìn)行大量的數(shù)據(jù)傳輸，這種傳輸很容易照成數(shù)據(jù)的泄露，通過(guò)網(wǎng)絡(luò)的接入、網(wǎng)絡(luò)的外發(fā)等各種行為都可輕易的將大量的數(shù)據(jù)外帶，通過(guò)各種網(wǎng)絡(luò)傳輸方式都是輕易將數(shù)據(jù)泄密的主要通道。
   模型選擇和訓(xùn)練一般都在公司終端服務(wù)器進(jìn)行但是也有部分占用資源不高的模型在個(gè)人PC訓(xùn)練。個(gè)人PC與公司服務(wù)器傳輸模型數(shù)據(jù)就可能導(dǎo)致模型訓(xùn)練成果外泄，數(shù)據(jù)泄密。
   并且還存在很大的存儲(chǔ)風(fēng)險(xiǎn)，磁盤是數(shù)據(jù)存儲(chǔ)的主要介質(zhì)，終端日常的數(shù)據(jù)都保存在本地硬盤上。在任何一個(gè)環(huán)節(jié)中，數(shù)據(jù)的存儲(chǔ)都將是嚴(yán)重的安全威脅，磁盤的被盜和筆記本電腦的遺失給磁盤的數(shù)據(jù)帶來(lái)了極大的安全隱患。數(shù)據(jù)在經(jīng)過(guò)其他核心業(yè)務(wù)系統(tǒng)導(dǎo)出時(shí)最終還是存儲(chǔ)在本地磁盤，通過(guò)硬盤拆卸等方式輕易將數(shù)據(jù)拷貝出去。即使結(jié)合了很多審計(jì)或者其他控制手段，但也可通過(guò)多系統(tǒng)或者掛接到其他系統(tǒng)將數(shù)據(jù)外帶。

二．?dāng)?shù)據(jù)防護(hù)的需求

? 內(nèi)部防護(hù)需求
內(nèi)部防護(hù)主要是對(duì)于軟件開(kāi)發(fā)人員的代碼防護(hù)和算法訓(xùn)練人員的所用到的訓(xùn)練素材，生成的算法模型等進(jìn)行管控。
? 外部防護(hù)需求
主要是外售終端的智能模塊中，內(nèi)含的算法，程序等的防反編譯，防破解，防篡改，還有智能設(shè)備整體防中毒等。

三、人工智能行業(yè)數(shù)據(jù)安全整體解決方案

   數(shù)據(jù)泄密的途徑總結(jié)起來(lái)無(wú)非是網(wǎng)絡(luò)、移動(dòng)設(shè)備、第三方協(xié)議及外設(shè)，由于代碼，算法模型等數(shù)據(jù)都是在員工pc端上產(chǎn)生，主要在pc-pc、應(yīng)用服務(wù)器-pc之間流轉(zhuǎn)，因此主要針對(duì)的對(duì)象是使用這些數(shù)據(jù)的pc和服務(wù)器。我們建議采用SDC防泄密系統(tǒng)進(jìn)行數(shù)據(jù)防護(hù)的。對(duì)于向外銷售的智能設(shè)備終端我們提供CBS賽博鎖來(lái)保證設(shè)備內(nèi)含的數(shù)據(jù)算法反編譯，反篡改，防抄板，以此來(lái)保證智能設(shè)備的數(shù)據(jù)安全。

1、內(nèi)網(wǎng)辦公數(shù)據(jù)安全解決方案

    SDC平臺(tái)以‘環(huán)境加密技術(shù)’為技術(shù)理念，所謂的‘環(huán)境’是指數(shù)據(jù)在生成、存儲(chǔ)、交互、使用的過(guò)程中所接觸的載體、使用者、傳輸渠道的一個(gè)總稱。而‘環(huán)境加密技術(shù)’就是采用了多種管理手段結(jié)合的方式保護(hù)數(shù)據(jù)在生成、存儲(chǔ)、交互、使用過(guò)程中的安全環(huán)節(jié)控制。在保密系統(tǒng)中主要采用了磁盤加密、網(wǎng)絡(luò)傳輸控制、移動(dòng)存儲(chǔ)加密，外設(shè)控制等技術(shù)手段來(lái)保障了數(shù)據(jù)安全環(huán)境的建立。
   磁盤加密主要采用了磁盤驅(qū)動(dòng)加密技術(shù)對(duì)磁盤扇區(qū)進(jìn)行強(qiáng)制加密，一旦磁盤被拆卸或者丟失也無(wú)法獲得數(shù)據(jù)。
   外設(shè)控制則可控制計(jì)算機(jī)通過(guò)非正常手段，比如藍(lán)牙、紅外等設(shè)備進(jìn)行數(shù)據(jù)傳輸泄密。移動(dòng)存儲(chǔ)加密可提供強(qiáng)大的移動(dòng)存儲(chǔ)管理功能，既方便了內(nèi)部交流使用又將數(shù)據(jù)加密防止數(shù)據(jù)泄密。
   網(wǎng)絡(luò)準(zhǔn)入控制可以控制所有管理范圍內(nèi)終端只允許訪問(wèn)核心應(yīng)用系統(tǒng)，其他無(wú)關(guān)網(wǎng)絡(luò)不能訪問(wèn)。
   日志審計(jì)終端所有燒錄聯(lián)調(diào)、解密、打印都將生成日志，并備份文件到服務(wù)器。

如下圖：

              圖 1-1 數(shù)據(jù)保密體系建立示意圖

1.1方案系統(tǒng)

基于防泄密平臺(tái)而設(shè)計(jì)的數(shù)據(jù)保密方案可以實(shí)現(xiàn)以下效果:

1. 提高了服務(wù)器的登錄安全級(jí)別，對(duì)于訪問(wèn)者的身份和權(quán)限進(jìn)行認(rèn)證，過(guò)濾非法訪問(wèn)請(qǐng)求；
2. 對(duì)于數(shù)據(jù)在其流轉(zhuǎn)的過(guò)程當(dāng)中（存儲(chǔ)、內(nèi)部傳輸、介質(zhì)交換、向外發(fā)送）實(shí)現(xiàn)了全方位的加密與審批保護(hù)，對(duì)數(shù)據(jù)的生存環(huán)境進(jìn)行了有效控制；
3. 對(duì)于敏感和違規(guī)的操作行為進(jìn)行報(bào)警和記錄，并生成日志。同時(shí)支持將日志導(dǎo)入到數(shù)據(jù)庫(kù)中，結(jié)合日志查看程序，按照需要生成自定義報(bào)表；
4. 對(duì)移動(dòng)辦公具有對(duì)性的保護(hù)，在保證工作效率的同時(shí)保護(hù)了數(shù)據(jù)的安全；
5. 保證外發(fā)的數(shù)據(jù)不會(huì)二次泄密，大大增加了數(shù)據(jù)的可控性；
6. 其于不同的角色（研發(fā)人員、商務(wù)人員、合作伙伴）來(lái)配置策略、制定管控力度；
7. 提供多級(jí)管理的功能，形成級(jí)聯(lián)式的管理控制體系，在權(quán)限下方的同時(shí)實(shí)現(xiàn)垂直監(jiān)管；
8. 對(duì)于較大規(guī)模的部署，為了保證 防泄密平臺(tái) 服務(wù)器的運(yùn)行穩(wěn)定，實(shí)現(xiàn)了多臺(tái)服務(wù)器運(yùn)行環(huán)境的負(fù)載均衡。

1.2方案特點(diǎn)和優(yōu)勢(shì)

基于信息安全平臺(tái)而設(shè)計(jì)的方案特點(diǎn)與優(yōu)勢(shì)如下：
1.整體性的解決方案?；诜佬姑芷脚_(tái)實(shí)現(xiàn)了整體方案架構(gòu)的制定，實(shí)現(xiàn)了服務(wù)器認(rèn)證管理、數(shù)據(jù)運(yùn)行環(huán)境加密、數(shù)據(jù)終端操作行為監(jiān)控與審計(jì)等多種功能，從多個(gè)角度提升數(shù)據(jù)保護(hù)力度；基于數(shù)據(jù)備份平臺(tái)實(shí)現(xiàn)了自動(dòng)的，有計(jì)劃的，網(wǎng)絡(luò)集中的數(shù)據(jù)備份，保證公司數(shù)據(jù)的完整性；
2.兼容性較好。在統(tǒng)一的產(chǎn)品平臺(tái)下，實(shí)現(xiàn)復(fù)合型的管理與保密功能，不會(huì)產(chǎn)生子功能間相互干擾與影響的情況，保證終端穩(wěn)定運(yùn)行；
3.基于環(huán)境加密的解決方案自適應(yīng)性良好。在提供對(duì)現(xiàn)有環(huán)境與狀態(tài)下的數(shù)據(jù)防護(hù)，亦可滿足將來(lái)實(shí)施或升級(jí)各類應(yīng)用系統(tǒng)與終端軟件而產(chǎn)生的新的保密需求；

4. 獨(dú)特的工作模式切換可以考慮到工作和生活的兼顧，降低了數(shù)據(jù)保密對(duì)使用人員的約束，提升了計(jì)算機(jī)的利用價(jià)值；
5. 從下線風(fēng)險(xiǎn)角度來(lái)考慮，因?yàn)榉桨甘腔诃h(huán)境來(lái)進(jìn)行控制，如果需要應(yīng)急，公司可以在短期之內(nèi)迅速解除對(duì)環(huán)境的控制措施，對(duì)廠家的依賴性與數(shù)據(jù)加解密風(fēng)險(xiǎn)較低。

1.3、部署示意圖

              圖1‐2部署示意圖

1.4方案小結(jié)

   此方案根據(jù)數(shù)據(jù)所面臨的風(fēng)險(xiǎn)不同，而提供多種保護(hù)手段，并且通過(guò)數(shù)據(jù)外泄端口的控制，有效的防止了數(shù)據(jù)的主動(dòng)泄密和被動(dòng)泄密的情況，不論用戶是通過(guò)剪切板、拷屏、網(wǎng)絡(luò)外發(fā)等方式，都受到網(wǎng)絡(luò)加密、硬盤加密、移動(dòng)存儲(chǔ)加密、外設(shè)控制、網(wǎng)絡(luò)安全準(zhǔn)入等五重的保護(hù)，總而言之就是數(shù)據(jù)可以在環(huán)境內(nèi)部自由使用，但沒(méi)法違規(guī)脫離環(huán)境。

2、外設(shè)終端設(shè)備安全

   CBS(CyberSandbox)鎖是深信達(dá)公司研發(fā)的邊緣計(jì)算終端的保護(hù)鎖，通過(guò)把安全容器內(nèi)嵌到操作系統(tǒng)中，對(duì)容器內(nèi)的應(yīng)用和數(shù)據(jù)進(jìn)行加鎖，實(shí)現(xiàn)終端安全。

圖2-1 CBS功能示意圖

   CBS鎖通過(guò)容器接管操作系統(tǒng)，重新定義操作系統(tǒng)的權(quán)限模塊，讓程序和數(shù)據(jù)行為都在容器中白名單運(yùn)行，非授權(quán)程序和腳本一律禁止啟動(dòng)。容器內(nèi)所有數(shù)據(jù)，***賬號(hào)、密碼以及其他核心數(shù)據(jù)都在容器中存儲(chǔ)，非授權(quán)外界無(wú)法獲得，全容器加密。
   CBS鎖提供高安全性、高易用性的對(duì)稱和非對(duì)稱加密算法，可供外圍調(diào)用。CBS提供身份唯一ID并綁定硬件環(huán)境，防止系統(tǒng)被克隆

2.1、安裝效果

1.只有必須的工作場(chǎng)景才能運(yùn)行、陌生程序一律禁止運(yùn)行
2.沒(méi)有中毒和******
3.數(shù)據(jù)防竊取、防泄露
4.容器內(nèi)程序加殼運(yùn)行，防止別人破解和抄板
5.即使管理員賬號(hào)被盜，仍然安全
6.可進(jìn)行密鑰生成、銷毀管理
7.可自由選擇所需加密算法

2.2、CBS產(chǎn)品特點(diǎn)

? 系統(tǒng)狀態(tài)保持
部署時(shí)什么樣就什么樣，系統(tǒng)正常運(yùn)行狀態(tài)得到保持，并且占用資源低，不會(huì)影響性能，支持聯(lián)網(wǎng)和單機(jī)離線模式；
? 防止未經(jīng)授權(quán)的軟件安裝
非授權(quán)軟件無(wú)法安裝和運(yùn)行，從根源上杜絕亂裝和中毒中***；
? 容器內(nèi)數(shù)據(jù)區(qū)加密保護(hù)
終端核心數(shù)據(jù)是加密的，可防止信息泄密；
? 容器內(nèi)應(yīng)用反編譯
應(yīng)用程序跑在容器內(nèi)加殼運(yùn)行，防止反編譯。

2.3、CBS集中管理平臺(tái)

   CBS提供單機(jī)版和網(wǎng)絡(luò)版兩種。
   網(wǎng)絡(luò)版有集中的管理平臺(tái)可對(duì)每一個(gè)聯(lián)網(wǎng)終端進(jìn)行維護(hù)審計(jì)