|
|
|
|
|
|
来源:www.aryasec.cn 发布日期:2025.10.29 点击量:
网数安全|关注安言
近年来,数据安全已成为企业数字化转型过程中的必修课。自2024年末至2025年初以来,随着DeepSeek等技术的推动,企业在AI安全等智能化领域的探索也日益深入。总体来看,以数字化、智能化为核心的科技进步与创新实践,正逐渐成为各类组织战略布局的关键方向。
时至2025年尾声,经过近一年的实践积累,数智安全尤其是AI安全相关领域呈现出快速扩展、深度融合与多行业渗透的发展态势。在这一背景下,AI安全的具体应用场景有哪些?已落地哪些典型案例?未来项目需求又指向何处?这些亟待提炼、聚焦、总结与拓展的关键议题,将直接影响到企业2026年乃至更长远的战略规划与资源投入。
为回应上述关切,10月17日,上海市信息安全行业协会金融科技专委会主办了“2025上海企业AI&数据安全创新实践研讨会”。上海市信息安全行业协会副秘书长代淑杰做了开场致辞,她指出,当前AI技术已深入金融、医疗、制造、政务等关键领域,伴随而来的安全风险与合规挑战也日益凸显。她呼吁各方加强协同,推动技术研发、标准制定与生态共建,构建覆盖AI全生命周期的安全治理体系,为数字化转型筑牢屏障。
本次研讨会选址于浦东新区重点规划建设的人工智能产业生态集聚区——模力社区。作为推动“人工智能+”深度融合与落地应用的重要载体,模力社区积极营造有利于人工智能与数字技术融合发展的产业环境,为相关科技企业提供丰富的资源对接与协作平台。在社区的大力支持下,本次研讨会汇聚了众多行业专家与企业代表,围绕AI安全治理、数据合规应用等议题展开深入交流,取得了圆满成功。
此次研讨会由上海市信息安全行业协会金融科技安全专委会秘书长、安言咨询总经理秦峰主持,君同未来创始人兼CEO韩蒙、安华金和华东金融技术总监朱晓东、安言咨询咨询服务总监张锐、DNV ICT信息安全行业技术专家兼ISO 42001主任审核员沈平等四位专家作特别分享。专家们围绕AI合规与治理、AI生态建设、数据安全防护等热点议题展开了深入解读与交流,结合金融风控、隐私计算、模型安全测评等实际场景,探讨了可行路径与创新方案。这些分享不仅为行业提供了宝贵的实践经验,也进一步凝聚了关于AI安全治理的共识,为企业在智能化浪潮中行稳致远指明了方向。
人工智能技术的飞速发展与应用落地,在带来巨大效率提升的同时,其可靠性与安全性问题也日益凸显,成为行业关注的焦点。在此背景下,君同未来专注于人工智能生态治理领域,通过构建一整套成熟的产品体系与解决方案,为行业的健康发展提供关键支撑。
该公司的核心能力体现在其覆盖人工智能全生命周期的产品矩阵上。首先,语料评测平台致力于从源头保障数据安全与质量,能够自动识别并处置训练语料中的有害、敏感及低质量信息,其功能涵盖安全评测、质量评测、评测可解释与数据对齐,确保输入模型的语料纯净、可靠。其次,针对模型本身,生成式人工智能评测验证系统提供专业的合规与风险评测服务。该系统构建了超过150个安全合规测试子项,并采用自适应红队攻击引擎与千万级智能题库,能够全面评估模型在价值观对齐、内容安全、知识产权保护等方面的表现,为模型合规上市提供重要依据。
在模型部署与应用环节,君同未来的生成式人工智能防护管控系统则扮演着“安全卫士”的角色。该系统内置50多种防御及检测方法,能有效拦截提示词注入、越狱攻击等恶意行为,防止模型生成不合规或有害内容,保障业务安全稳定运行。此外,面对日益增长的真假难辨的现状和虚假信息泛滥的风险,其AIGC检测标识溯源系统利用先进的人工智能技术,专门用于检测和识别图像、视频、音频等多模态的生成合成内容或者伪造内容,助力维护信息的真实性和可信度,响应了监管部门对AIGC内容标识的合规要求。
在生态构建方面,君同未来展现出强大的连接与赋能能力。其解决方案已成功应用于监管机构、互联网企业、金融等超过10个行业,服务客户超100家。例如,为监管机构提供标准建设的技术支撑和模型评估检测服务;为互联网企业提供一站式合规测评平台,覆盖130多个风险维度。其推出的“大模型体检服务”更是以低成本、低门槛的方式,帮助企业快速了解自身模型的安全状况,体现了其推动行业共同发展的生态理念。
安华金和数据安全监测解决方案立足于当前数字经济时代的数据安全治理需求,面对数据资产梳理不清、风险链路难以打通、异常行为监测效率低等行业痛点,结合安华金和智能体(安智)推出了全面的数据安全监测平台(DSMP),为企业提供覆盖数据全生命周期的智能监测方案。
该解决方案的核心价值体现在五个关键能力层面。在数据资源梳理方面,平台通过动态监测技术自动发现数据资产,并基于内置的多项国家标准实现智能分类分级,帮助企业构建完整准确的数据资产台账;数据链路测绘功能通过业务化备案机制,智能绘制数据流转逻辑拓扑图,清晰展示系统内外部数据交互关系,为构建数据流通全流程规则体系提供支撑;针对风险监测,平台将安全风险按业务维度汇聚,提供图形化风险链路展示,支持快速研判与定位;异常行为结合安智智能体分析引擎通过多维度建模智能识别新终端、新账号、超频访问等异常行为,结合相似性分析技术有效降低误报率;泄露事件追溯功能则能完善泄露线索,通过多维度分析形成完整证据链,大幅提升追溯效率。
该方案的显著特色体现在三个维度。业务化管理模式贯穿从数据资产梳理到泄露事件追溯的全过程,使非技术人员也能轻松理解和使用,极大提升了管理效率;智能可视化技术将复杂的网络空间分布、数据流转链路和风险关系以图形化方式直观呈现,增强了数据的可理解性和可操作性;灵活的部署方式支持旁路镜像和探针部署两种模式,适用于传统网络环境和云环境,且对业务系统完全无侵入。
在实际应用层面,该解决方案已展现出跨行业的实用价值。在医疗领域、金融行业可满足监管报送要求,在各行业都能帮助企业快速响应数据安全事件,有效落实安全管理制度。通过业务化风险汇聚和智能分析能力,企业不仅能够满足合规要求,更能真正提升数据安全防护水平,实现"让数据使用自由而安全"的核心理念。
AI 技术已广泛应用于医疗、金融、制造等多行业,在释放价值的同时,也带来数据泄露、模型投毒、对抗攻击等安全风险,国内外政策(如《全球人工智能治理倡议》《数据安全法》)亦明确要求 AI 安全可控,且需通过数据分类分级规范数据使用,在此背景下,建立系统化的 AI 安全管理体系成为企业刚需。
ISO/IEC 42001 作为全球首个可认证的 AI 管理体系国际标准,以 PDCA 循环为核心,强调风险管理与全生命周期管控,而安言咨询可从多维度助力企业落地该标准。首先,安言会开展差距分析,通过调研访谈、制度调阅、现场走查等方式,梳理企业 AI 业务现状、信息化支撑及管理短板,结合标准要求形成差距报告,为体系建设奠定基础。其次,在体系设计环节,安言会协助企业明确管理范围(如组织边界、AI 系统覆盖清单),构建 “方针 - 程序 - 规范 - 记录” 四级文件体系(如《人工智能管理手册》《风险评估指南》),并参考其多维度管理体系架构模型,整合现有管理体系(如 ISO 27001)。
在风险管控层面,安言会依据ISO/IEC 23894,帮助企业识别 AI 系统全生命周期的风险源(如数据质量、算法偏见),制定风险处置计划,同时开展 AI 系统影响评估,覆盖隐私保护、公平性、社会影响等维度。此外,安言还提供内部审核支持,包括制定审核计划、培训审核员、编写检查表、实施现场审核及跟踪整改,确保体系有效运行;并协助企业设计绩效测量指标(如模型准确性、合规审核通过率),结合行业指标库监测体系运行效果。最后,在外部审核阶段,安言会提供迎审培训、陪同审核及纠正预防材料准备,助力企业顺利通过认证,实现 AI 安全合规与可持续发展。
沈平总结了全球AI法规框架:中国方面,国务院于2025年提出“人工智能+”行动意见,明确2027年六大领域AI普及率超70%、2035年建成“智能社会”的目标,并配套多项管理办法与技术标准。欧盟以《AI法案》为核心,实施风险分级管理,禁止高风险系统,并对违规企业处以高额罚款。美国、英国、日本等国也分别出台相关法规,形成多区域合规体系。
接着沈平重点解读ISO/IEC 42001 人工智能管理体系,该体系基于 PDCA 模型,覆盖组织环境分析、领导力、策划、支持、运行、绩效评价、改进全环节,强调风险管理贯穿 AI 系统全生命周期,需通过风险评估识别组织、个人、社会三层影响,结合附录 A 的 9 大控制域 38 项措施处置风险,同时要求数据治理确保训练、验证、测试数据准确且缓解偏差。此外,还介绍了 ISO/IEC 23894 风险管理指南,为 AI 风险识别、分析、处置提供框架支持。
沈平介绍,DNV 对企业落地 ISO/IEC 42001 能提供多维度支持:其一,EU AI Act 解读服务,由 AI 领域专家结合企业实际业务场景拆解法案要求。其二,自评估套件,不仅帮助企业梳理 AI 产品信息并初步分类,还会依据 ISO/IEC 42001 的核心要素(如组织环境分析、风险管理流程、数据治理)设计问卷维度,精准定位企业在策划环节的风险标准建立、运行环节的数据质量管控等方面的短板,给出针对性改进方向。其三,推荐做法(RP),除实用解释欧盟 AI 法案外,还结合 OpenAI、Clearview AI 等处罚案例中的常见违规点(如数据泄露未及时上报、缺乏年龄验证),提供将附录 A 中 38 项控制措施落地的具体路径。
最后,沈平表示,DNV还提供ISO/IEC 42001 认证及培训,培训内容涵盖标准 PDCA 模型应用(如 “运行” 环节风险处置、“绩效评价” 环节监控方法),且 DNV 已获认可并在中国认监委备案认证服务,可结合自身 40 年网络安全经验与 500 + 专家资源,为企业提供一体化合规验证,助力企业建立符合标准的 AI 管理体系,增强利益相关方信任。
答:目前,DNV是全球范围内颁发ISO/IEC42001证书数量最多的机构,其在欧盟、印度等地均有发证业务。就DNV自身情况而言,在国内大约颁发了10至15张证书,而国外发放数量为十几张,国内发证数量略高于国外。此外,其他认证机构也在开展此项业务,包括国内的一些机构,不过其认证所依据的标准可能有所不同;据不完全了解,国内通过其他机构获证的企业也有一定数量。
从行业分布来看,目前主要的需求方仍集中在互联网公司,例如阿里、字节跳动、火山引擎等。此外,医疗行业也开始引入这一认证,主要用于医疗检验检测相关工程。除互联网和医疗之外,涂鸦、海康威视等企业也已获证,荣耀则是手机厂商里首家获得该证书的企业。金融行业目前尚未开展此项认证,而在影视制作行业,如抖音、快手等平台都对认证存在需求。这是因为这些企业在影视内容生产中越来越多地使用AI工具,其效率相比传统方式有显著提升。
答:国内众多网络安全公司的AI安全产品都与君同未来颇有渊源。早期我们作为纯技术团队,通过与业界的深度合作积累了独特认知。然而,当前行业普遍存在定位模糊的问题——大型公司业务庞杂,使我们这种专注AI安全的团队难以简单界定差异化优势。在业务快速发展的同时,我们不断思考如何在与行业巨头的竞争中找准自己的生存空间。
基于实践,我们认识到两大核心差异:首先是顶尖AI人才壁垒,我们深知真正懂AI的科学家稀缺且昂贵,这是传统网络安全公司难以持续投入的;其次是独特的客户对接模式,我们发现真正需要服务的往往是大模型部门而非安全部门,这反映出AI安全与传统网络安全在价值认知上的本质不同。面对业务扩张的诱惑,我们始终坚持“不擅长的领域绝不触碰”的原则,这与国内市场上普遍“什么都做”的无分工状态形成鲜明对比。
我们认为,当前经济下行压力反而凸显了AI的降本价值,这促使市场走向理性分工。越来越多的合作方意识到,并非所有问题都能通过盲目投入解决。正是基于这种判断,我们选择坚守AI安全赛道,通过极致的专业能力为客户创造不可替代的价值——这也让我们确信,自己与传统网络安全公司实际上走在不同的道路上。
答:安华金和以数据库加密产品为起点,初期聚焦服务大型企业及重点单位,以技术支撑角色深耕业务后端。随着网络安全产业发展及等保制度落地推进,数据库安全产品的市场接受度显著提升。为响应客户多元化需求,公司从技术壁垒最高的数据库加密领域切入,逐步拓展至数据库防火墙、审计等产品维度,并同步优化部署架构以适配高性能业务场景。2016年前,数据安全行业认知多停留在合规层面,缺乏体系化思维,市场需求以单品采购为主,聚焦单点问题解决。
2016年,安华金和率先引入“数据安全治理”理念,通过行业峰会举办、白皮书发布等方式推动全行业认知升级。针对《数据安全法》及各行业监管细则,公司专项制定行业分册以适配差异化合规需求;2018年,推出数据安全运营平台,实现治理理念从理论到实践的落地转化——该平台因适配政务领域数据集中管理的核心特点,在政务场景中取得显著应用成效。
基于行业实践沉淀,公司形成“技术+管理+运营”三维融合的核心认知,并构建“三步走”实施策略:第一步完成数据资产梳理与分类分级,第二步结合行业标准开展风险评估,第三步输出定制化可落地技术方案。该策略已在多家大型银行项目中成功应用,实现百万至千万级规模项目的高效交付。
近年来,公司全面引入AI技术赋能产品升级,在智能分类分级等核心场景中,将准确率提升至93%左右。安华金和始终坚持“数据安全与业务、管理体系深度融合”的核心原则,强调产品定制化开发能力。面向未来,行业属性将成为市场竞争核心维度,在金融、医疗、企业等重点领域打造标杆案例成为关键竞争力。公司将持续通过技术研发迭代与高端案例积累,巩固数据安全领域的核心优势地位。
专注网络信息安全与风险管理
更多详情,业务咨询,欢迎与我们联系
联系电话:13248385337
邮箱:wuml@aryasec.com
相关新闻:
