大模型的安全防护技术

1、管理要求

为了确保政策法规能够有效落地，必须建立完善的管理体系。本节将从数据安全管理要求、模型安全管理要求和安全管理制度三个方面展开，分析具体的管理措施，以应对大模型安全面临的复杂挑战，确保大模型技术在安全、合规的框架内健康发展。

（1） 数据安全管理要求

1. 应对大模型全生命周期的数据进行分类分级管理，根据数据的敏感程度采取相应的加密和访问控制措施。
2. 应采取技术措施对数据进行安全监测，发现存在数据安全漏洞等风险时及时告警并采取相应的处置措施。
3. 应采取身份鉴别、访问控制、加密等技术措施，对预训练和优化训练数据进行安全防护。
4. 应建立数据安全事件的应急响应机制，及时有效处置发生的数据安全事件，不影响或能够尽快恢复业务的运营。
5. 应对数据收集、数据预处理、数据使用等的数据处理活动进行记录，确保数据处理活动的关键操作可审计、可追溯。

（2） 模型安全管理要求

1. 模型训练阶段：确保训练数据的质量和安全性，防止投毒攻击。对训练过程进行严格监控，确保模型训练符合安全规范。
2. 模型部署：对模型进行安全评估和测试，确保模型在上线前具备足够的安全性和稳定性。建立模型的版本管理机制，确保模型的可追溯性。
3. 模型运营：对模型的运行状态进行实时监控，及时发现和处理潜在的安全问题。定期对模型进行更新和优化，提升模型的鲁棒性和安全性。

（3） 安全管理制度

为保障大模型数据安全，需建立完善的安全管理制度。首先，强化人员管理，建立严格的访问控制机制，限制个人敏感数据和模型参数数据的访问权限。其次，完善审计与监控体系，实时监控大模型重要数据访问与使用情况，及时发现并处理异常行为。最后，制定应急响应预案，确保迅速响应，降低损失。 通过这些措施，构建以大模型数据安全为重点的安全管理体系，确保大模型的安全性和可靠性。

2、大模型的安全防护技术

保障大模型安全的各种技术手段，确保大模型在技术层面能够有效抵御各类安全风险。

（1）数据加密

在处理大模型数据时，必须采取加密措施来保障数据安全性和隐私性。在数据存储阶段，可采用 SM4、ZUC 等国家标准密码算法对数据进行存储加密保护。在数据传输过程中，可使用 TLCP 协议、IPSec 等安全通信协议对数据进行加密传输。通过以上方式，确保隐私数据在存储和传输的各个环节都处于安全状态，防止数据泄露或被未经授权的访问。

（2）数字签名

大模型的重要数据可采用数字签名技术（如 SM2 数字签名）保证其完整性、来源真实性和不可否认性。例如，可以为模型文件生成数字签名，通过验证签名来识别模型文件是否被篡改，从而确保模型的安全性和可靠性。

（3）消息鉴别码

可采用消息鉴别码技术对数据进行真实性和完整性保护，防止数据被假冒、恶意篡改或注入有害内容。例如，可以采用基于 HMAC-SM3 消息鉴别码、基于分组密码算法 CBC 模式的消息鉴别码等技术，验证数据在采集、存储和使用过程中的真实性和完整性。

（4）身份认证与访问控制

为保障大模型安全，可采用身份认证和访问控制技术，确保只有授权人员能够访问大模型重要资源。身份认证需采用基于密码技术的多因素认证技术，以验证访问请求人员的真实性和合法性，从而有效防止未授权访问。访问控制应遵循最小权限原则，即只为用户和系统分配完成其任务所需的最低权限。

（5）数字水印

为了有效防范模型窃取攻击，可在模型训练阶段采用水印技术，在模型的参数、结构或输出中嵌入独特标识信息，以便在模型被非法复制或滥用时，通过检测水印来证明模型的所有权。

（6）数据脱敏

在处理大模型数据时，需要对其中包含的敏感信息实施脱敏操作，脱敏后的数据应仍能保留原始数据的某些统计特征或可辨识性，从而满足大模型后续训练及推理过程中的需求。数据脱敏技术可涵盖取整、屏蔽、截断、替换、哈希、重排以及保留格式加密等多种方式。

（7）匿名化

在处理大模型数据时，可通过匿名化技术对其中的敏感信息进行处理，经过匿名化处理后，要确保任何隐私属性（例如疾病记录、薪资等）都无法被关联到某个特定的个人。匿名化处理时，在保证数据可用性的前提下，尽量减少数据失真。例如，在大模型的训练和推理过程中，可以采用 K-匿名化技术，确保每个数据记录在某些属性上的组合至少有 K 个相同的记录，从而防止攻击者利用这些属性识别出具体的个人。

（8）安全多方计算（Secure Multi-Party Computation, MPC）

安全多方计算是一种允许多个参与方在不泄露各自输入数据的前提下共同完成计算任务的技术。它通过秘密共享、不经意传输和混淆电路等技术手段实现数据的安全计算。例如，在大模型训练阶段，安全多方计算可保障多方协作训练模型，但不泄露原始数据，保护各方数据隐私。

（9）联邦学习（Federated Learning, FL）

联邦学习是一种分布式机器学习方法，允许多个参与方在不共享原始数据的情况下，协作训练机器学习模型。它将数据保留在本地设备上，通过模型参数（如梯度或权重）的安全聚合来实现多方之间协作的机器学习训练。在联邦学习的计算过程中，通常采用同态加密、安全多方计算等技术，确保模型参数在传输过程中不被窃取或篡改。

（10）同态加密（Homomorphic Encryption, HE）

同态加密支持在加密数据上直接进行计算，使得参与方能够使用加密后的数据进行模型训练和推理计算。在训练阶段，可以运用同态加密技术对训练数据加密，然后在加密数据上开展模型训练。在推理阶段，对输入数据采用同态加密技术加密后，将加密数据传输给模型进行推理。模型处理后将加密结果返回给用户，用户解密即可获得最终结果。

（11）可信执行环境（Trusted Execution Environment, TEE）

可信执行环境是一种基于硬件支持的安全计算环境，能够为大模型的训练、推理和微调提供安全隔离的执行空间。在 TEE 中，敏感数据和模型参数被严格隔离，即使外部操作系统或应用程序受到攻击，TEE 内的数据和代码仍然安全。此外，TEE 还支持加密、密钥管理和远程证明等功能，进一步增强了数据的安全性。

（12）差分隐私(Differential Privacy, DP)

差分隐私是一种通过在数据中添加噪声来保护数据安全和隐私的技术，同时能够保留数据的整体统计特性。在数据采集阶段以及大模型的微调和推理阶段，可以通过向数据和模型添加噪声，从而实现数据隐私的保护。