AI組織責任：核心安全責任

11展示、查看及打印，或者訪問云安全聯(lián)盟大中華區(qū)官網(wǎng)(https://w?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有2 6 9 ?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有4 ?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有5報告中文版支持單位元，是中國聯(lián)通在上海市成立的具有獨立法人資格的家推動經(jīng)濟社會數(shù)字化、智能化發(fā)展的要求，正確認云計算、物聯(lián)網(wǎng)等能力，聚焦電子政務(wù)、工業(yè)互聯(lián)網(wǎng)、智慧接、云平臺到大數(shù)據(jù)應(yīng)用的個性化解決方案和集成運營?站式服務(wù)。2023年公司總收入6.4億元，凈利潤為7415萬元。2023年從業(yè)人員總數(shù)為432人，其中研?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有6報告英文版編寫專家?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有7在數(shù)字化時代，人工智能（AI）與機器學(xué)習（ML）技術(shù)們的工作與生活，并深刻影響全球經(jīng)濟與社會結(jié)構(gòu)。隨著A性、可靠性和合規(guī)性問題日益受到關(guān)注。作為云計算和AI安全領(lǐng)域的領(lǐng)導(dǎo)者，CSA致力于推動行業(yè)安全標準與最佳實踐的制定和實施。我們深知，隨著AI與ML系統(tǒng)指導(dǎo)，旨在幫助企業(yè)構(gòu)建安全、合規(guī)的AI生態(tài)系統(tǒng)。系列量化的評估標準與實施策略。同時，白皮書中定了AI平臺提供商、應(yīng)用所有者、開發(fā)者與使用如何協(xié)同合作，確保AI應(yīng)用的安全可靠運行。此外，本白皮書還強調(diào)了持續(xù)監(jiān)控和白皮書機制的責任，共同推動AI技術(shù)健康發(fā)展。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有9系統(tǒng)的過程中，在信息和網(wǎng)絡(luò)安全方面的組織本文旨在為企業(yè)提供指導(dǎo)，通過在安全及合規(guī)的關(guān)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有10的人工智能實踐，本報告和本系列的另外兩份報告為企工智能的治理政策；另外兩篇報告則探討了企業(yè)進行安全人他要點。本系列通過三份有針對性的報告，在關(guān)鍵的安全和在指導(dǎo)企業(yè)履行其負責任和安全的開展人工智能設(shè)計AI共享責任模型人工智能應(yīng)用程序的安全運行需要各利益相關(guān)者下，責任由三個關(guān)鍵方共擔：人工智能服務(wù)的使用者、在評估人工智能賦能的集成（應(yīng)用或服務(wù)）時，理解共?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有11AI賦能應(yīng)用的關(guān)鍵層AI系統(tǒng)應(yīng)該具備應(yīng)對潛在的有害輸入并避免有害輸出的能力，比如宣揚仇AI應(yīng)用程序能夠利用持久層、語義索引或提供更廣泛數(shù)據(jù)源訪問的插件等現(xiàn)有的應(yīng)用程序和系統(tǒng)無縫集成，實現(xiàn)多模態(tài)方法，支持文本、音頻以及?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有12AI應(yīng)用程序的所有者需要確保無縫的用戶體驗，并處理其他相關(guān)的功能或模型的提示詞中的內(nèi)容。此外，AI編排所涉及的數(shù)據(jù)交換和交互也必須仔細審查，包括與插件和功能等附加組件及數(shù)據(jù)連接器的數(shù)據(jù)交換，以及與發(fā)者來說，建議使用專門的人工智能內(nèi)容安全功能，并根據(jù)具體要求，采API、命令提示和GUI等傳統(tǒng)界面不同的創(chuàng)新的用戶/計算機交互模型，這考慮用戶交互。這使得用戶的輸入能夠顯著地影響系統(tǒng)的輸出，強調(diào)了安鑒于用戶行為可能對系統(tǒng)輸出產(chǎn)生重大影響，有必要更加關(guān)注用戶行為和?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有13形式可能涉及包含精心偽造的文本、音頻、視頻和其他用作欺騙的媒體內(nèi)請謹記，共享責任模型有助于劃分角色，并確保職責清晰?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有14以數(shù)據(jù)為中心的人工智能系統(tǒng)的基礎(chǔ)組件期。這些基礎(chǔ)組件協(xié)同工作，以安全高效的人工智能系）：?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有15模型（LLM如OpenAI提供的模型或活動模型的自動擴展、速率限制和監(jiān)視的實施。它還包括為檢索增強生成（RAG）應(yīng)用程序中的高可用性、低延遲服務(wù)提供特性和功能，以要的特性，包括在平臺外部部署模型或需要目錄中架構(gòu)框架內(nèi)實施授權(quán)的模型訪問。此外，它還涉及部署用于持續(xù)集成/持續(xù)部署數(shù)據(jù)運營數(shù)據(jù)的攝取、轉(zhuǎn)換、安全和治理。模型運營構(gòu)建、獲取和試驗機器學(xué)習模型。模型部署和服務(wù)機器學(xué)習模型的安全部署、服務(wù)和監(jiān)控。運營和平臺MLOps的平臺安全性、模型隔離和CI/CD。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有16表2:AI/ML安全風險概述數(shù)據(jù)運營原始數(shù)據(jù)、數(shù)據(jù)準備、數(shù)據(jù)集數(shù)據(jù)丟失：未經(jīng)授權(quán)刪除或損壞數(shù)據(jù)。數(shù)據(jù)中毒：故意操縱數(shù)據(jù)以損害模型的完整性。合規(guī)挑戰(zhàn)：未能滿足數(shù)據(jù)保護的監(jiān)管要數(shù)據(jù)泄露/中毒：攻擊者可能會注入虛假數(shù)據(jù)或更改現(xiàn)有數(shù)據(jù)。實施穩(wěn)健的數(shù)據(jù)治理框架。部署異常檢測系統(tǒng)。建立恢復(fù)協(xié)議和定期數(shù)據(jù)備份。模型運營ML算法，模型管理模型盜竊：竊取專有模型。未經(jīng)授權(quán)的訪問：未經(jīng)許可訪問模型。通過API訪問的攻擊：利用API漏洞訪問或操縱模型。模型竊?。ㄌ崛。簭?fù)制模型以供未經(jīng)授權(quán)的使用。加強訪問控制和身份驗證機制。通過加密和速率限制來保護API端點。定期更新和修補系統(tǒng)。模型部署和服務(wù)模型服務(wù)、推理響應(yīng)未經(jīng)授權(quán)的訪問：未經(jīng)授權(quán)訪問模型服務(wù)基礎(chǔ)設(shè)施。數(shù)據(jù)泄露：錯誤的系統(tǒng)配置導(dǎo)致暴露敏感信息。模型欺騙（逃逸改變輸入以從模型中接收特定輸出。訓(xùn)練數(shù)據(jù)恢復(fù)（反演）：從模型中提取私人訓(xùn)練數(shù)據(jù)。安全部署實踐，包括容器化和網(wǎng)絡(luò)分段。主動監(jiān)控和記錄模型交互。實施速率限制和異常檢測。運營和平臺機器學(xué)習運營、數(shù)據(jù)和人工智能平臺安全在的交叉污染。攻擊機器學(xué)習供應(yīng)型污染（投毒破持續(xù)的漏洞管理和修補。用于一致部署的CI/CD流程。隔離控制和安全架構(gòu)設(shè)計。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有17誤分類或系統(tǒng)不可1.評估標準：在我們討論人工智能責任時，應(yīng)考慮可量化的指標來評估人工智能系統(tǒng)的安全影響。通過量化這些指標，利益相關(guān)者可以更相關(guān)風險以及如何應(yīng)對這些風險。組織必須經(jīng)常評估其人織安全計劃的一部分，評估和監(jiān)控這些關(guān)鍵措施將有助于這種責任分配對于安全的人工智能系統(tǒng)至關(guān)重要。當然，點，本報告中描述的具體角色和團隊僅供參考。首先，明重。其次，組織可以根據(jù)職責規(guī)劃適當?shù)慕巧?，然后為這些角色配備相應(yīng)的團隊，?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有183.高層實施策略：本節(jié)描述了將網(wǎng)絡(luò)安全的注意事項無縫集成到軟件開發(fā)生命周期（SDLC）中的策略。組織必須優(yōu)先執(zhí)行信的機密性、完整性和可用性。同時應(yīng)嚴格實施訪問控制止未經(jīng)授權(quán)的訪問。必須建立健全的審計機制，以跟蹤為。影響評估應(yīng)分析判斷潛在的網(wǎng)絡(luò)安全風險，特別是4.持續(xù)監(jiān)控和報告：持續(xù)監(jiān)控和報告能夠確保人工智能系統(tǒng)的持續(xù)防護、安全并保證性能。關(guān)鍵組件包括實時監(jiān)控、對模型性能異?；虬踩录婢徲嫺?日志、和定期報告，以及能夠改進或解決問題的措施。保持透明度，提升效率并明確責任歸屬，以及建5.訪問控制：訪問控制對于保護人工智能系統(tǒng)至關(guān)重要，包括嚴格的API身份驗用戶角色和權(quán)限，可以保護敏感數(shù)據(jù)，防止模型被篡改或?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有19前提條件本報告采取行業(yè)中立的立場，提供適用于各個行業(yè)1.首席信息安全官（CISO本報告專門針對CISO的關(guān)切和的角色正在許多組織中出現(xiàn)，預(yù)計在不久的將來，本?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有首席執(zhí)行官和首席技術(shù)官等商業(yè)領(lǐng)袖和政策制定4.政策制定者與監(jiān)管機構(gòu)：政策制定者和監(jiān)管機構(gòu)將發(fā)現(xiàn)這篇報告非常有價值，因為它提供了關(guān)鍵的見解，有助于制定有關(guān)5.投資者和股東：投資者和股東將會欣賞這份報告，因為它展示了一個組織對負職責角色定義各種角色。我們必須認識到，每個組織可能會以不同的方式定職責，反映其獨特的運營需求、文化以及其人工智能計劃的具該表提供了對人工智能治理、技術(shù)支持、開發(fā)和戰(zhàn)略管理中潛在角色的基本理解，但僅供參考。我們鼓勵各組織調(diào)整和定制這些角色，以最好地管理與戰(zhàn)略?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有21首席數(shù)據(jù)官（CDO）監(jiān)督企業(yè)數(shù)據(jù)管理、策略創(chuàng)建、數(shù)據(jù)質(zhì)量和生命周期。首席技術(shù)官（CTO）領(lǐng)導(dǎo)技術(shù)戰(zhàn)略并監(jiān)督技術(shù)發(fā)展。首席信息安全官（CISO）監(jiān)督信息安全戰(zhàn)略和運營。業(yè)務(wù)部門（BU）負責人指導(dǎo)業(yè)務(wù)部門，使人工智能計劃與業(yè)務(wù)目標保持一致。首席人工智能官（CAIO）負責組織內(nèi)人工智能技術(shù)的戰(zhàn)略實施和管理。管理層監(jiān)督和指導(dǎo)整體戰(zhàn)略，確保與組織目標保持一致，包括CEO、COO、CIO、CTO、CISO、CAIO、CFO等。首席云官領(lǐng)導(dǎo)云戰(zhàn)略，確保云資源與業(yè)務(wù)和技術(shù)目標保持一致。首席架構(gòu)師領(lǐng)導(dǎo)架構(gòu)戰(zhàn)略，確保設(shè)計技術(shù)架構(gòu)與企業(yè)標準、流程、程序和目標保持一致。技術(shù)選型，監(jiān)督設(shè)計的質(zhì)量和實施，在組織內(nèi)培養(yǎng)高級架構(gòu)師。治理與合規(guī)數(shù)據(jù)治理委員會為數(shù)據(jù)治理和使用制定政策和標準。治理與合規(guī)數(shù)據(jù)保護專員監(jiān)督數(shù)據(jù)保護策略和遵守數(shù)據(jù)保護法律法規(guī)。治理與合規(guī)首席隱私官確保遵守隱私法律法規(guī)。治理與合規(guī)法律團隊/部門提供有關(guān)人工智能部署和使用的法律指導(dǎo)。就法律/監(jiān)管義務(wù)進行溝通。確保與人工智能供應(yīng)商簽訂的主協(xié)議中有適當?shù)臈l款。治理與合規(guī)合規(guī)團隊/部門確保遵守內(nèi)部和外部合規(guī)要求。治理與合規(guī)數(shù)據(jù)治理官管理組織內(nèi)的數(shù)據(jù)治理，確保符合政策、數(shù)據(jù)隱私法和監(jiān)管合規(guī)要求。治理與合規(guī)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有22信息安全官授權(quán)官員、管理官員或信息系統(tǒng)所有者，以確保為包括ISSO、ISM和ISS在內(nèi)的信息系統(tǒng)或項目保持適當?shù)倪\營安全態(tài)勢。治理與合規(guī)技術(shù)和安全安全運營團隊實施和監(jiān)控安全協(xié)議以保護數(shù)據(jù)和系統(tǒng)。網(wǎng)絡(luò)安全（NetworkSecurity）團隊保護網(wǎng)絡(luò)免受威脅和漏洞的侵害云安全團隊確?；谠频馁Y源和服務(wù)的安全性。網(wǎng)絡(luò)空間安全（Cybersecurity）團隊保護組織資產(chǎn)免受網(wǎng)絡(luò)空間威脅、漏洞及未經(jīng)授權(quán)訪問的侵害。IT運營團隊支持和維護IT基礎(chǔ)設(shè)施，確保其運營和安全。網(wǎng)絡(luò)安全官監(jiān)督網(wǎng)絡(luò)的安全性，確保數(shù)據(jù)保護和威脅緩解。硬件安全團隊保護物理硬件免受篡改和未經(jīng)授權(quán)的訪問。系統(tǒng)管理員管理和配置IT系統(tǒng)和服務(wù)器，以實現(xiàn)最佳性能和安全性。運營與發(fā)展數(shù)據(jù)管理人負責安全保管、運輸、數(shù)據(jù)存儲和業(yè)務(wù)規(guī)則的實施。這是代表數(shù)據(jù)所有者獲取、操縱、存儲或移動數(shù)據(jù)的任何組織或個人。AI開發(fā)團隊開發(fā)和實施AI模型和解決方案。質(zhì)量保證團隊測試并確保AI應(yīng)用程序和系統(tǒng)的質(zhì)量。人工智能運營團隊管理人工智能系統(tǒng)的運行，以確保其性能和可靠性。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有23應(yīng)用程序開發(fā)團隊開發(fā)應(yīng)用程序，根據(jù)需要集成AI功能。AI/ML測試團隊專門測試AI/ML模型的準確性、性能和可靠性。開發(fā)運營（DevOps）團隊提高部署效率，保持運營穩(wěn)定。開發(fā)安全運營（DevSecOps）在整個軟件開發(fā)生命周期（SDLC）中實施安全性。AI維護團隊確保人工智能系統(tǒng)和模型在部署后得到更新、優(yōu)化和正確運行。項目管理團隊監(jiān)督人工智能項目從啟動到完成，確保其達到目標和時間表。運營人員支持日常運營，確保人工智能技術(shù)的順利集成和運行。數(shù)據(jù)科學(xué)團隊收集并準備數(shù)據(jù)，用于AI模型訓(xùn)練和分析。容器管理團隊管理容器化應(yīng)用程序，促進部署和可擴展性。IT運營團隊確保IT基礎(chǔ)設(shè)施正常運行，支持人工智能和技術(shù)需求。AI開發(fā)經(jīng)理領(lǐng)導(dǎo)人工智能開發(fā)項目，指導(dǎo)團隊成功實施。人工智能運營主管指導(dǎo)與人工智能相關(guān)的運營，確保人工智能解決方案的效率和有效性。規(guī)范性引用文件lOpenAIPreparednessFramelEUAIActlCSACloudControlsMatrix(CC?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有l(wèi)WEFBriefingPaperslBuildingtheAI-Powered一、將數(shù)據(jù)安全和隱私納入人工智能訓(xùn)練人工智能正在從復(fù)雜的以模型為中心的方法轉(zhuǎn)向能現(xiàn)在不再主要依賴于在小數(shù)據(jù)集上訓(xùn)練的復(fù)雜模型，式數(shù)據(jù)流。然而，這種以數(shù)據(jù)為中心的范式也引發(fā)了人任、高層實施策略、持續(xù)監(jiān)控和報告機制、訪問控制映射以基本準則進行了徹底分析。這種全面的方法確保了一個結(jié)構(gòu)架，用于管理推動人工智能進步的重要資產(chǎn)，同時也符合?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有251.1數(shù)據(jù)真實性和許可管理且可靠的。這涉及驗證數(shù)據(jù)沒有被篡改或更改，以免誤導(dǎo)不真實或被操縱，模型可能會學(xué)到不正確的模式，導(dǎo)致性尤為重要，例如教育、醫(yī)療保健、金融服務(wù)、零售、制造此外，在為人工智能應(yīng)用程序收集和處理個人數(shù)據(jù)個人數(shù)據(jù)之前獲得個人的明確同意，并賦予個人訪問、更行100%驗證。此外，監(jiān)控數(shù)據(jù)許可和GDPR法規(guī)的合規(guī)情況。委員會在保險方面的要求，聯(lián)邦貿(mào)易委員會推行人及遵守數(shù)據(jù)使用同意和GDPR規(guī)定。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有26通過確保數(shù)據(jù)真實性、獲得適當?shù)臄?shù)據(jù)使用同意并遵守GDPR等法規(guī)，組織可1.2匿名化和假名化此外，某些準標識符可能屬于特殊類別的個人數(shù)據(jù)（GDPR第9條-特殊類別?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有27在數(shù)據(jù)中添加統(tǒng)計噪聲以防止重新識別，可以進一步加強隱私保護。此外，定期審計和合規(guī)檢查對于確保數(shù)據(jù)匿名化和假名化過程符合不斷發(fā)展的數(shù)相近（t-closeness）等技術(shù)來確保個人身份隱藏1.3數(shù)據(jù)最小化數(shù)據(jù)最小化是指只使用實現(xiàn)特定目的或功能所需法是許多數(shù)據(jù)保護法規(guī)（如GDPR）的要求。這也是可用于防止匿名數(shù)據(jù)重新識別?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有28型。這種做法有助于保護數(shù)據(jù)主體的隱私和安全，并提高率。在機器學(xué)習中，數(shù)據(jù)最小化涉及仔細選擇對模型訓(xùn)練數(shù)據(jù)點，同時排除無關(guān)或過多的數(shù)據(jù)。這與可解釋性、公1.4數(shù)據(jù)訪問控制機器學(xué)習中的數(shù)據(jù)訪問控制涉及管理和限制誰可以訪問修改或使用數(shù)據(jù)。在機器學(xué)習環(huán)境中，有效的訪問控制對于保護敏感據(jù)完整性和遵守隱私法規(guī)至關(guān)重要。它通常涉及驗證用戶身份的認證戶角色授予用戶特定訪問權(quán)限的授權(quán)協(xié)議，以及跟蹤數(shù)據(jù)訪問和使用統(tǒng)。在組織中，AI模型通常是在從各種數(shù)據(jù)源或系統(tǒng)聚合的數(shù)據(jù)上運行的。因此，訪問他們被授權(quán)處理的特定數(shù)據(jù)，這些授權(quán)來自數(shù)據(jù)管理人或系統(tǒng)管?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有29該模型不僅應(yīng)集成健全的身份驗證和授權(quán)協(xié)議，還應(yīng)集成多因素認證l持續(xù)監(jiān)控和報告：監(jiān)控訪問日志并進行審計。采用工具基于風險標記對關(guān)l訪問控制映射：定期監(jiān)控和管理訪問權(quán)1.5安全存儲和傳輸在機器學(xué)習中，安全存儲和傳輸對于保護敏感數(shù)據(jù)至關(guān)密靜態(tài)數(shù)據(jù)以防止未經(jīng)授權(quán)的訪問，采用健全的訪問控制，加密。這確保了數(shù)據(jù)在系統(tǒng)或網(wǎng)絡(luò)之間傳輸時保持機密性和授權(quán)的訪問、使用和泄露數(shù)據(jù)，以及惡意或意外修改、刪除?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有30l評估標準：確保在傳輸和靜止狀態(tài)的數(shù)l高層實施策略：投資先進的加密技術(shù)，并根據(jù)策略自動刪除人工智能數(shù)據(jù)l持續(xù)監(jiān)控和報告：使用工具進行實時安全監(jiān)l訪問控制映射：將安全存儲和傳輸與訪問控制集成在一二、模型安全模型安全是一項多方面的任務(wù)，包括各種各樣的組件。這些訪問控制、身份驗證和授權(quán)框架、速率限制、模型生命周期管環(huán)境、基于硬件的安全功能、網(wǎng)絡(luò)安全控制、操作系統(tǒng)強化、2.1模型訪問控制?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有31在什么情況下可以訪問。隨著組織應(yīng)對人工智能部署的復(fù)雜制戰(zhàn)略勢在必行，以降低風險、保護知識產(chǎn)權(quán)和遵守監(jiān)管合實施健全的身份驗證機制，如多因素認證和基于角色的訪問人工智能系統(tǒng)的安全。定期審計和監(jiān)控訪問日志對于及時發(fā)加強對網(wǎng)絡(luò)威脅的防御，并確保其人工智能系統(tǒng)和數(shù)機器學(xué)習模型的身份驗證和授權(quán)框架確保了對機器學(xué)習受到嚴格控制和管理，對于安全至關(guān)重要。身份驗證通常常用密碼、令牌或生物特征驗證等方法。同時，通過訪問以根據(jù)既定的角色和權(quán)限查看、編輯或使用模型。這對于完整性以及遵守隱私和安全法規(guī)至關(guān)重要，從而防止對機經(jīng)授權(quán)的訪問或修改。在人工智能中，特定的驗證是所有景批準、適當?shù)厥褂萌斯ぶ悄軘?shù)據(jù)和模型。這與數(shù)字版權(quán)l(xiāng)評估標準：對所有未通過API訪問的AI模型，?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有32機器學(xué)習中的模型接口速率限制涉及限制用戶或系統(tǒng)在以及確保用戶之間的公平資源分配至關(guān)重要。速率限制可以在用戶與ML模型交互在機器學(xué)習模型的全生命周期管理中，訪問控制涉及在（開發(fā)、部署和維護階段）管理和規(guī)范對ML模型的訪問和交互。此過程確保只有授權(quán)人員或系統(tǒng)才能在各個階段與ML模型交互，從而保護模型免受未經(jīng)授權(quán)的訪?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有33的訪問控制對于維護機器學(xué)習模型的安全性和有效性至關(guān)重可能的數(shù)據(jù)泄露、模型濫用，并能確保符合數(shù)據(jù)隱私和安全命周期的所有階段實施控制訪問，組織可以保護他們的機器全高效的機器學(xué)習的開發(fā)環(huán)境。模型生命周期管理中的訪問模型的透明度和責任歸屬，能夠為數(shù)據(jù)訪問使用提供一致和記錄數(shù)據(jù)來源地址和目的地址。這一領(lǐng)域與隱私性、透明度為模型生命周期的每個階段定義明確的訪問控制規(guī)則，并關(guān)聯(lián)到各用?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有342.2安全的模型運行環(huán)境該精心設(shè)計和增強其運行時環(huán)境，以維護其完整性、機密執(zhí)行環(huán)境的硬件安全功能到防火墻和網(wǎng)絡(luò)隔離等網(wǎng)絡(luò)安全行業(yè)標準，我們應(yīng)進行團隊的跨學(xué)科合作，協(xié)調(diào)實施、監(jiān)機器學(xué)習模型的基于硬件的安全特性包括計算硬件中的物理這些元素增強了機器學(xué)習應(yīng)用程序的安全性。具于隔離和安全處理的機密計算，用于保護敏感代碼和數(shù)據(jù)的安全隔離區(qū)（Secure?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有35安全層方面至關(guān)重要，尤其是在金融、醫(yī)療保健或國防等高風機器學(xué)習模型的網(wǎng)絡(luò)安全控制是為保護機器學(xué)習模型及絡(luò)的威脅和漏洞而實施的措施和協(xié)議。通過采用零信任架構(gòu)廣泛的網(wǎng)絡(luò)隔離開來。它通過隔離人工智能系統(tǒng)和機器學(xué)習攻擊者更難在網(wǎng)絡(luò)中橫向移動。這些控制對于在傳輸過程中網(wǎng)絡(luò)安全的關(guān)鍵控制包括：使用下一代防火墻進行監(jiān)測、控量，使用TLS等加密協(xié)議保護傳輸中的數(shù)據(jù)，使用入侵檢測與預(yù)防系統(tǒng)（IDPS）以創(chuàng)建安全通信通道，以及使用安全的API網(wǎng)關(guān)來管理和驗證對機器學(xué)習模型的API調(diào)用。在機器學(xué)習環(huán)境中，數(shù)據(jù)和模型安全性是首要的；因?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有36學(xué)習環(huán)境中非常關(guān)鍵，尤其是在通過網(wǎng)絡(luò)（包確保控制合規(guī)。定期進行滲透測試和漏洞評估是一種積極主動的方法，有助于在攻擊者利用這些潛在弱點之前發(fā)現(xiàn)網(wǎng)絡(luò)安全控制中的漏洞，從而確l基本準則：與網(wǎng)絡(luò)安全相關(guān)的CIS控件V8 （/insights/white-papers/cis-contr機器學(xué)習模型的操作系統(tǒng)級加固和安全配置涉及強化運程序的底層操作系統(tǒng)（OS以降低風險和減少漏洞。這個過程對于為機器學(xué)習操作創(chuàng)建一個安全的環(huán)境至關(guān)重要，因為操作系統(tǒng)是這些應(yīng)用最小化安裝：刪除或禁用操作系統(tǒng)中對于ML運營不必要的服務(wù)、應(yīng)用程序和?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有37配置安全設(shè)置：調(diào)整操作系統(tǒng)設(shè)置以增強安全性，例用戶訪問控制：實施嚴格的用戶訪問控制，確保監(jiān)控和審計：設(shè)置監(jiān)控和審計工具來跟蹤操作系統(tǒng)這些威脅可能損害機器學(xué)習模型及其數(shù)據(jù)的K8s和機器學(xué)習的容器安全指的是一套用于保護容器化的ML應(yīng)用程序及其部署環(huán)境的實踐和工具。K8s是一個容器編排平臺，容器化技術(shù)被廣泛用于部署和管理機器學(xué)習模型及工作負載。在這種情況下，具體的安全風險管理框架下安全配置容器并減少漏洞，實施強大的K8s集群?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有38權(quán)限、定期掃描漏洞，以及執(zhí)行治一系列安全策略，包括：在ML工作流中治理容器安全運行及交互，保護ML模型和數(shù)據(jù)免受安全威脅，如：未經(jīng)授權(quán)的訪問、漏機器學(xué)習模型的云環(huán)境安全包括為保護基于云的基礎(chǔ)設(shè)其相關(guān)數(shù)據(jù)而實施的策略和措施。這涉及保護云上的數(shù)據(jù)存源的訪問控制、加密靜態(tài)和傳輸中的數(shù)據(jù)以及確保部署在云的安全性。它還包括定期漏洞評估、遵守特定于云的安全標問管理的最佳實踐。這種安全性對于防止未經(jīng)授權(quán)的訪問、脅至關(guān)重要，可確保在云環(huán)境的動態(tài)和分布式特性下，機器?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有392.3漏洞和補丁管理本章節(jié)中的職責和方法應(yīng)納入組織更廣泛的安全和效地開發(fā)、部署和維護人工智能系統(tǒng)。對這些流程的定期審查不斷發(fā)展的威脅和技術(shù)，這種定期審查可以識別軟件缺陷、漏進行排序，處理系統(tǒng)故障、報錯和失效，讓人工智能系統(tǒng)免于列舉的這些技術(shù)位于組織中責任的各個方面，能夠確保和提高性、可靠性和可信度.機器學(xué)習代碼完整性保護是指為確保機器學(xué)習應(yīng)用程序性和完整性而采取的措施和實踐。這涉及保護代碼免受未經(jīng)實性，并在整個開發(fā)和部署過程中保持質(zhì)量。最佳實踐包括蹤和管理更改，使用簽名來驗證代碼的真實性，定期進行代洞，以及使用靜態(tài)和動態(tài)代碼分析工具來識別潛在的安全問機器學(xué)習應(yīng)用程序的可信度、防止惡意代碼注入以及確保機?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有40對敏感的機器學(xué)習代碼庫使用多因素認證。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有41機器學(xué)習訓(xùn)練和部署代碼的版本控制系統(tǒng)是管理機器學(xué)使團隊能夠跟蹤和管理用于訓(xùn)練和部署機器學(xué)習模型的代碼過維護更改歷史、允許輕松跟蹤修改以及在需要時支持回滾開發(fā)人員和數(shù)據(jù)專家之間的協(xié)作。它們在處理各種版本的機據(jù)集方面至關(guān)重要，可確保機器學(xué)習實驗和部署的一致性和本控制，團隊可以有效地管理機器學(xué)習模型的生命周期，從?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有42監(jiān)控提交活動并識別異常模式在機器學(xué)習環(huán)境中，安全實踐之一是利用代碼簽名驗證名用于驗證機器學(xué)習模型中使用的軟件代碼的真實性和完整碼經(jīng)過審查和批準部署后，將加密簽名附加到代碼上。簽名代碼自簽名以來是否被更改或篡改。在機器學(xué)習工作流中，訓(xùn)練、測試和部署機器學(xué)習模型的代碼是準確的、授權(quán)的版非常重要。這種做法有助于保持對機器學(xué)習軟件供應(yīng)鏈的信?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有43?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有44理和配置計算基礎(chǔ)設(shè)施，而不是通過物理硬件配置或交互式夠以一致和可重復(fù)的方式自動設(shè)置、配置和管理機器學(xué)習模云、本地或混合設(shè)置）中快速部署和擴展他們的模型，只需方法提高了基礎(chǔ)設(shè)施的效率和可靠性。通過部署機器學(xué)習?？删S護、版本受控并符合定義，從而改善協(xié)作并降低機器學(xué)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有452.4MLOps流水線安全?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有46機器學(xué)習中的源代碼漏洞掃描涉及使用自動化工具系統(tǒng)序的源代碼中的安全漏洞和編碼缺陷。這種做法對于早期發(fā)學(xué)習系統(tǒng)的潛在安全漏洞至關(guān)重要。掃描通常會檢查常見的注入缺陷、調(diào)用不安全的庫以及可能導(dǎo)致意外行為或性能問期掃描機器學(xué)習代碼，開發(fā)人員和數(shù)據(jù)專家可以確保代碼庫這種主動的方法對于維護機器學(xué)習應(yīng)用程序的完整l高層實施策略：利用自動化工具實施定期的源代碼漏洞掃描，并將這些工l持續(xù)監(jiān)控和報告：為代碼掃描建立持續(xù)監(jiān)控系統(tǒng)，并實時報告結(jié)l訪問控制映射：確保只有授權(quán)人員才能訪問和修改源代碼和掃描工?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有47在機器學(xué)習中測試模型對攻擊的魯棒性來評估機器學(xué)習夠承受和應(yīng)對各種對抗性攻擊或操縱的能力。該測試對于識在漏洞至關(guān)重要，這些漏洞可能被利用，從而產(chǎn)生不正確的泄露敏感信息。它通常包括用人為制作的輸入（對抗性樣本應(yīng)對此類攻擊的能力，分析模型在不同威脅場景下的行為，惡意輸入時保持性能和準確性的能力。魯棒性測試有助于確性和安全性，特別是需要穩(wěn)固的決策能力的應(yīng)用中，如自動l高層實施策略：為模型開發(fā)穩(wěn)健的測試框架，重點是識別和減輕潛在的攻l持續(xù)監(jiān)測和報告：實施持續(xù)評估模型魯棒性的機制，并定期向利益相關(guān)者l訪問控制映射：適當?shù)乜刂茖y試框架和模型的訪?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有48在機器學(xué)習的每個階段驗證流水線完整性是指確保機器（從數(shù)據(jù)收集和預(yù)處理到模型訓(xùn)練、評估和部署）正確安全段進行徹底的檢查和驗證，以防止數(shù)據(jù)損壞、未經(jīng)授權(quán)的訪線性能和模型準確性的漏洞。此類驗證包括驗證數(shù)據(jù)質(zhì)量和據(jù)處理實踐，評估模型訓(xùn)練過程的可靠性和可重復(fù)性，以及并按預(yù)期運行。這種全面的驗證方法對于維護機器學(xué)習流水性至關(guān)重要，特別是在復(fù)雜或高風險的環(huán)境中，機器學(xué)習模查采用百分比評估，并驗證評估過程的深度和完整度，可以確保流水線的咨詢：質(zhì)量保證（QA）團隊是咨詢性的，為驗證過程提供專家建議和數(shù)據(jù)和流程完整性建立明確的程序和標準。它涉及對每個流水線階段定義?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有49特定的驗證測試和檢查，確保從數(shù)據(jù)采集到模型部署的每個環(huán)節(jié)都能正確l持續(xù)監(jiān)測和報告：驗證流水線完整性的重要組成部分正在實施一個持續(xù)驗證和實時報告系統(tǒng)。該系統(tǒng)應(yīng)在出現(xiàn)任何差異或異常時進行檢測，以便立l訪問控制映射：嚴格的訪問控制對于維護每個文件的完整性至關(guān)重要MLOps流水線的階段。這涉及定義和執(zhí)行誰有權(quán)訪問流水線的各在什么條件下，以及以什么級別的權(quán)限。此類控制對于防止可能損害流水l基本準則：為了確保遵循最佳實踐，重要的是要使流水線驗證過程符合既和指南。遵照此框架體系可以為安全性和效率提供基準，指導(dǎo)穩(wěn)健可靠地這項任務(wù)涉及對所有腳本的密切監(jiān)控，利用這些腳l評估標準：監(jiān)控自動化腳本的有效性由兩個主要指標來量化：持續(xù)監(jiān)控下的自動化腳本的百分比和監(jiān)控活動的頻率。此評估有助于確保所有腳本正他們的職責包括監(jiān)督腳本的執(zhí)行，確保其性能和安全性，并識別操作?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有50告知：MLOps流水線中的所有利益相關(guān)者，包括數(shù)據(jù)專家、機器學(xué)習了流水線所有階段的統(tǒng)一方法，而且確保了決策是基于最新和準確的l高層實施策略：為所有自動化腳本實施全面的監(jiān)測系統(tǒng)是至關(guān)重要的。該系統(tǒng)應(yīng)跟蹤腳本的性能和效率，以確保其符合既定的標準和實踐。它應(yīng)該l持續(xù)監(jiān)測和報告：及時發(fā)現(xiàn)并解決自動化腳本的問題的關(guān)鍵是持續(xù)監(jiān)測。監(jiān)控系統(tǒng)應(yīng)能夠生成實時警報和報告，及時提供有關(guān)腳本性能、錯誤或安l訪問控制映射：嚴格的訪問控制對于保護自動化是必要的腳本和整個流水線。這涉及定義誰可以訪問、修改或執(zhí)行腳本。訪問應(yīng)基于特定角色的要求，確保只有授權(quán)人員才能進行更改，從而降低未經(jīng)授權(quán)或有害修改的風?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有512.5AI模型治理機器學(xué)習中的模型風險評估涉及系統(tǒng)性的評估機器學(xué)習潛在風險。該評估旨在識別和量化模型不準確、偏差或失效主要關(guān)注領(lǐng)域包括：評估模型在不同數(shù)據(jù)集和場景中的準確偏見或不公平結(jié)果的可能性，以及了解模型在極端情況或?qū)︼L險評估還考慮了模型失效的后果，特別是在醫(yī)療保健、金用中。這一過程對于識別和減輕風險至關(guān)重要，以確保通過l持續(xù)監(jiān)控和報告：作為軟件供應(yīng)鏈的一部分，利用工具實施持續(xù)的風險監(jiān)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有52l訪問控制映射：確保對風險評估工具和數(shù)據(jù)的訪問受到嚴格控制和監(jiān)這包括組織批準機器學(xué)習模型部署到生產(chǎn)中所遵循序確保任何機器學(xué)習模型都與業(yè)務(wù)目標保持一致，符合監(jiān)管需的性能基準。通常，這涉及一個多步驟的審查過程，涉及數(shù)據(jù)科學(xué)家、業(yè)務(wù)分析師、風險管理團隊，有時還有法律和估模型的有效性、可靠性和潛在的業(yè)務(wù)影響。經(jīng)常評估的關(guān)準確性、驗證數(shù)據(jù)集的性能、潛在的偏見或倫理問題，以及這些程序的目的是建立一種可控且知情的方法來部署機器學(xué)低業(yè)務(wù)風險，并確保負責任地使用人工智能技術(shù)。比如，OpenAI的準備框架l評估標準：跟蹤批準部署的AI模型的百分l持續(xù)監(jiān)控和報告：維護審批流程和決策的記錄，并建立定期審查機l訪問控制映射：控制對審批文件和決策工具的訪?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有53模型監(jiān)控要求指的是在部署到生產(chǎn)環(huán)境后跟蹤和評估機過程。這種監(jiān)控對于確保模型在不同條件下能否長時間監(jiān)控的關(guān)鍵方面包括：跟蹤模型的預(yù)測準確性，檢測模系統(tǒng)的整體健康和性能。此外，當模型性能發(fā)生重大變利益相關(guān)方。持續(xù)的監(jiān)控有助于及時識別和解決模型退l評估標準：根據(jù)監(jiān)控活動的頻率和深度評估模l高層實施策略：實施一個全面的模型監(jiān)控系統(tǒng)，跟蹤性能、準確性和合規(guī)性。最近的機器學(xué)習監(jiān)控技術(shù)包括數(shù)據(jù)和概念漂移檢測、模型性能跟蹤、特征屬性分析、偏差檢測和實時警報等功能。以下一些示例說明了這些功實時推理數(shù)據(jù)并將其與基線對比；谷歌云人工智能平臺預(yù)測監(jiān)控（GoogleCloudAIPlatformPredictionMonitoring可以提供模型預(yù)測和數(shù)據(jù)漂移的深度分析；其他各類人工智能監(jiān)控和可解釋性平臺，可以支持團隊監(jiān)控、解釋和分析生產(chǎn)環(huán)境中的機器學(xué)習模型，從而檢測數(shù)據(jù)漂移、模型漂移和偏?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有54l持續(xù)監(jiān)測和報告：建立持續(xù)數(shù)據(jù)收集和分析系統(tǒng)，并對性能下降或異常發(fā)l訪問控制映射：限制對監(jiān)控工具和敏感數(shù)據(jù)的訪新模型驗證過程涉及在將新的機器學(xué)習模型部署到格測試和驗證的系統(tǒng)程序。這些過程旨在確保模型滿足預(yù)定公平性標準，并且確保沒有導(dǎo)致不正確或不公平結(jié)果的缺陷對不同數(shù)據(jù)集進行廣泛測試，以評估模型的性能和泛化能力理問題，并評估模型在對抗性攻擊或數(shù)據(jù)異常等情況下的魯通常涉及對模型文檔和開發(fā)實踐進行審查，以確保符合行業(yè)驗證過程旨在建立對新模型的能力和部署準備的信心，確保l評估標準：衡量驗證過程的全面性，即：完成全面驗證的模型百分l高層實施策略：制定嚴格的流程來驗證新模型，包括測試準確性、偏差和l持續(xù)監(jiān)測和報告：為部署后新模型的持續(xù)評估建立協(xié)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有55l訪問控制映射：確保嚴格控制誰可以批準和部署新模2.6安全模型部署這涉及一系列實踐，以確保部署過程安全、可控并灰度發(fā)布是一種用于將新機器學(xué)習模型引入生產(chǎn)在廣泛部署新ML模型之前，先逐步向一小部分用戶推出。這種技術(shù)能夠讓團隊在實際數(shù)據(jù)和用戶交互的真實環(huán)境中測試和監(jiān)控模型l評估標準：通過早期部署的成功率和檢測到的問題來監(jiān)控灰度發(fā)l高層實施策略：將灰度發(fā)布作為部署過程中的一個步驟，在實際?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有56藍綠部署是軟件部署（包括機器學(xué)習模型的部署）l評估標準：根據(jù)過渡過程的平順程度和部署期間的停機時間來評估部署策l高層實施策略：采用藍綠部署策略，以減少與部署新模型相關(guān)的停機時間l訪問控制映射：管理兩個環(huán)境的訪問控制，確保安全性和完整在機器學(xué)習模型的環(huán)境中，回滾功能是指當新部署的模能不佳或?qū)е缕渌麊栴}時，在生產(chǎn)環(huán)境中回退到ML模型的先前版本或檢查點的過?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有57程。這是部署策略的一個關(guān)鍵方面，即使新模型未能達到預(yù)l評估標準：在需要時，通過回滾的速度和成功率來衡量有效l高層實施策略：確保部署過程包括高效的回滾功能，以便在必要時恢復(fù)到l持續(xù)監(jiān)控和報告：監(jiān)控部署以快速檢測需要回滾的問l訪問控制映射：控制對回滾工具和過程的訪模型退役是指從活動生產(chǎn)環(huán)境中安全、系統(tǒng)地刪除機器型過時，被更高級的版本取代，或者不再滿足不斷發(fā)展的業(yè)模型退役過程變得至關(guān)重要。退役是機器學(xué)習模型生命周期l評估標準：通過正確處理退役模型的百分比和遵守退役協(xié)議的情況來評估?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有58l持續(xù)監(jiān)控和報告：實施監(jiān)控以確保正確遵循退役流l訪問控制映射：限制對退役工具和數(shù)據(jù)的訪人工智能漏洞管理是保護人工智能和機器學(xué)習系3.1AI/ML資產(chǎn)清單AI/ML資產(chǎn)清單系統(tǒng)地記錄并更新AI/ML環(huán)境中的所有資產(chǎn)。這不僅包括模型涉及的API、算法、庫以及任何支持軟件或工具。該清單清晰地展示了正在使用的資源，這對于識別潛在漏洞和有效管理風險至關(guān)重要。根據(jù)使用的資產(chǎn)清單可以是模型卡、數(shù)據(jù)卡和模型注冊表等格式?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有59l評估標準：AI/ML資產(chǎn)清單的有效性是通過其全面性和更新的規(guī)律性來衡量的。全面的清單涵蓋了AI/ML環(huán)境的各個方面，沒有遺漏任何組件。更新的頻率同樣重要，這將確保清單反映AI/ML生態(tài)系統(tǒng)的當前狀態(tài)，包括負責：首席信息官（CIO）或首席技術(shù)官（CTO）監(jiān)督流程，確保清單l高層實施策略：應(yīng)制定計劃，定期審查并更新AI/ML資產(chǎn)清單。這可以自動化工具來實現(xiàn)，即：跟蹤AI/ML環(huán)境變化并提醒負責團隊更新清單。該l持續(xù)監(jiān)控和報告：實施實時監(jiān)控系統(tǒng)有助于快速識別AI/ML資產(chǎn)的變化。這可以包括新模型部署、現(xiàn)有模型更新、數(shù)據(jù)集變更或軟件環(huán)境更改。持l訪問控制映射：限制對AI/ML資產(chǎn)清單的訪問對于維護其完整性和保密性至關(guān)重要。訪問權(quán)限應(yīng)僅限于授權(quán)人員，根據(jù)他們與清單交互的需要，不單的管理符合行業(yè)最佳實踐和監(jiān)管要求。這些框架提供了有?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有603.2持續(xù)漏洞掃描括掃描模型、數(shù)據(jù)集、相關(guān)基礎(chǔ)設(shè)施（過時的庫或不安全的API）以及AI/ML環(huán)境中的任何其他組件。掃描的目的是發(fā)現(xiàn)可能被利用的漏洞資產(chǎn)的百分比和掃描的頻率。理想的漏洞掃描程序應(yīng)確保沒有任何組件被遺漏，并能夠定期進行掃描，以捕捉由于環(huán)境更新或變化而可能出現(xiàn)的新執(zhí)行：安全運營團隊執(zhí)行掃描過程，利用各類工具和技術(shù)進行全面評負責：首席信息安全官（CISO）監(jiān)督整個過程，確保有效進行掃描并l高層實施策略：實施自動化掃描工具可執(zhí)行高效和有效的漏洞掃描。這些工具應(yīng)配置為定期掃描所有AI/ML資產(chǎn)，并在新威脅出現(xiàn)時進行更新。安?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有61l持續(xù)監(jiān)測和報告：建立警報系統(tǒng)至關(guān)重要，以便及時將已發(fā)現(xiàn)的新漏洞通l訪問控制映射：訪問漏洞掃描工具和結(jié)果應(yīng)嚴格控制。只有授權(quán)人員才能進行掃描并訪問詳細結(jié)果，以確保掃描過程中暴業(yè)最佳實踐。這些標準提供了有效識別和解決漏洞的指導(dǎo)方針，增強了3.3基于風險的優(yōu)先級排序?qū)ζ溥M行評估和排序。這一過程有助于組織將資源和精力集l評估標準：這種方法的有效性是通過已成功解決的高風險漏洞與已識別漏洞總數(shù)的比例來衡量的。高百分比表明對最嚴重的風險的優(yōu)先級排序并修負責：首席信息安全官（CISO）監(jiān)督該流程，確保最關(guān)鍵的漏洞被發(fā)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有62l高層實時策略：制定一個全面的風險評估框架至關(guān)重要。該框架應(yīng)包括評估漏洞嚴重性的標準，例如對機密性、完整性、可用性的潛在影響以及被l持續(xù)監(jiān)測和報告：實施一個持續(xù)監(jiān)測漏洞及其風險水平的系統(tǒng)至關(guān)重要。定期更新并報告漏洞的風險狀態(tài)，確保所有利益相關(guān)者了解當前的威脅形l訪問控制映射：應(yīng)嚴格控制對風險評估工具和漏洞數(shù)據(jù)的訪問。只有授權(quán)人員才能對漏洞進行評估、分類并進行優(yōu)先級排序，這樣可以保持流程的保該過程與行業(yè)最佳實踐保持一致，并為管理AI/ML系統(tǒng)風險提供結(jié)構(gòu)化基于風險的優(yōu)先級排序是人工智能漏洞管理的重要組3.4修復(fù)跟蹤l評估標準：修復(fù)跟蹤的有效性基于兩個主要指標進行評估：修復(fù)漏洞所需表明修復(fù)工作高效且成功。根據(jù)前文定義的基于風險的漏洞優(yōu)先級排序，?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有63告知：隨時告