百度安全标准化培训课件

百度安全标准化培训课件课程目录010203百度安全概览与使命国家安全标准与百度贡献大模型安全风险与解决方案了解百度安全团队的核心价值与战略定位深入解读百度参与制定的国家级安全标准全面认识时代的新型安全挑战AI040506业务安全风控体系等级保护测评与合规要求安全意识与实战技能提升掌握企业级业务安全防护技术理解信息安全等级保护制度与实践提升全员安全防护能力总结与行动指南百度安全守护数字中国的安全基石百度安全团队凭借十余年的实战经验沉淀,已经成为中国互联网安全领域的领军力量我们构建了覆盖网络安全、数据安全、业务安全的全链条防护体系,为数亿用户和数千家企业提供可信赖的安全保障作为技术驱动型的安全团队,我们不仅关注自身业务的安全防护,更致力于推动整个行业的安全标准制定与生态建设通过持续的技术创新和开放合作,百度安全正在为构建更加安全可信的数字中国贡献力量10+8100+年项项安全实战经验积累参与制定国家标准安全体系与产品认证百度参编国家信息安全标准百度安全团队深度参与国家信息安全标准体系建设在人工智能安全、数据安全、汽车安,全等多个关键领域贡献核心技术方案和实践经验截至目前我们已参与制定项国家级,8信息安全标准这些标准涵盖了人脸识别、声纹识别、汽车数据安全等前沿技术领域,12020-2022参与制定人脸识别、声纹识别数据安全要求标准22023推动汽车数据安全国家标准出台32024发布零信任体系业务安全能力要求标准通过将百度在安全、业务风控、云安全等领域的实践经验转化为国家标准我们不仅推AI,动了技术规范的制定更促进了整个行业的安全水平提升这些标准为企业实施安全防护,提供了权威指引也为监管机构提供了有效的管理依据,标准引领技术创新百度安全团队与国家标准化管理委员会、公安部等权威机构密切合作将前沿安全技术研,究成果转化为可落地的国家标准每一项标准的制定都经过严格的技术验证和行业论证,确保标准的科学性、先进性和可操作性参与国家标准制定是百度安全团队的责任和使命我们将持续贡献技术力量推动中,,国信息安全标准体系的完善与发展大模型安全风险全景随着人工智能大模型技术的快速发展新型安全风险也随之产生从数据传输到模型训练从推理计算到内容生成每个环节都面临着前所未有的安全挑,,,战理解这些风险是构建安全可信系统的第一步AI传输截获风险运营方窥探风险模型记忆风险跨部门、跨地域的数据传输过程中敏感信模型运营机构可能有意或无意地访问用户提大模型在训练过程中可能记住训练数据的,息容易被恶意攻击者截获特别是在多方协交的敏感数据这些数据包括企业商业秘具体内容导致在推理阶段泄露训练数据中,作的训练场景中数据在网络中传输时面密、个人隐私信息等一旦泄露将造成严重的隐私信息攻击者可通过精心设计的提示AI,,临被窃听、篡改的风险后果词提取敏感信息百度大模型安全解决方案面对大模型安全的复杂挑战百度构建了多层次、全方位的安全防护体系通过创新的密码学技术、可信执行环境和联邦学习等前沿方案我们在保障数,,据隐私的同时确保模型训练和推理的高效进行,横向联邦学习可信执行环境同态加密技术数据不出域的分布式训练技术各参与方的原基于软硬一体机的硬件级保护方案利用密态计算保障推理阶段数据隐私在加密状态,,TEE,始数据保留在本地仅交换加密的模型参数从技术在隔离的安全环境中处理敏感数据和模下直接进行模型推理计算确保用户查询数据,,,根本上保障数据隐私安全型防止运营方窥探和外部攻击全程不泄露,技术创新百度自研的隐私计算平台已支持百亿级参数模型的安全训练性能达到业界领先水平:,大模型安全管理实操语料数据安全管理内容合规审核元数据管理建立完整的数据目录和血缘关系审核识别恶意提示词和注入攻击:Prompt:分类分级按敏感程度划分数据安全等级内容过滤多模态内容安全检测::AIGC审批流转实施严格的数据访问权限控制敏感词库持续更新的违规内容特征库::使用监控全程记录数据访问和使用轨迹人工复审关键场景的人工二次确认::模型资产保护训练环节加密训练数据保护模型参数:,存储安全模型文件加密存储防止盗取:,推理防护防止模型逆向工程和参数窃取:版本管理完整的模型生命周期追溯:多层次防护体系百度大模型安全架构采用纵深防御策略从数据采集、模型训练、服务部署到内容生成的,全生命周期构建了立体化的安全防护网络每一层防护都经过严格的安全测试和实战验,证确保在面对各类安全威胁时能够及时发现、快速响应、有效处置,内容合规风险与防控大模型生成内容的不可控性给内容安全带来新的挑战从用户输入到模型生成每个环节,都可能产生违法违规内容需要建立完善的多层次审核机制,用户输入风险生成内容风险主要威胁色情低俗、涉政敏感、暴主要威胁模型随机性导致的歧视性::恐极端、虚假信息等违法违规内容输言论、隐私泄露、知识产权侵权、虚入假信息传播防控措施实时安全检测结防控措施多模态内容审核引擎覆盖:Prompt,:,合规则引擎和识别模型在输入端文本、图像、视频等各类生成内容AI,,拦截恶意请求实现毫秒级实时检测持续安全评测评测机制定期开展红蓝对抗演练模:,拟攻击场景测试模型安全性改进闭环根据评测结果优化安全策:略持续提升内容合规能力,业务安全风控挑战在数字化转型的进程中企业业务安全面临日益复杂的威胁态势从账号盗用到羊毛党攻击从滥用到数据爬取各类安全风险层出不穷对企业的运营,,API,,和声誉造成严重影响权益侵占账号安全优惠券套利、积分盗刷、营销活动作弊账号被盗、批量注册、身份冒用等威胁盗爬AIGC恶意爬虫窃取生成内容和数据资产AI接口滥用垃圾攻击频繁调用、参数篡改、业务逻辑绕过API恶意提问、垃圾评论、刷量刷单行为百度业务安全风控产品介绍AFD百度业务安全风控平台是基于百度十余年安全实战经验打造的智能风控产品平台整合了画像、设备指纹、威胁情报等AFDAnti-Fraud DetectionIP多维度数据通过机器学习算法实现风险的实时识别和精准拦截,画像技术设备指纹识别威胁情报网络IP基于全球地址库和行为分析识别代理、机房采集设备硬件特征、软件环境、行为特征等多维实时更新的全球威胁情报库覆盖已知恶意、IP,IP,IP等异常来源精准判断访问风险信息生成唯一设备标识追踪黑产设备设备、账号等黑产资源提供秒级风险预警IP,,,,核心应用场景推广防刷识别虚假点击和无效流量保护广告投放:,ROI账号保护防止批量注册、账号盗用、撞库攻击:支付安全交易风险实时监控防范欺诈和洗钱行为:,内容安全拦截垃圾信息、恶意评论、刷量刷单:等级保护测评流程与百度实践信息安全等级保护制度是我国网络安全的基本制度,企业必须依法开展等级保护工作百度严格遵循等保要求,内部多个核心系统已通过等保三级认证,并持续推动客户信息系统安全等级提升等级确认根据系统重要性和数据敏感度确定安全保护等级,完成系统定级备案备案提交向公安机关提交定级备案材料,获得备案证明安全建设按照等保要求开展安全建设和整改,完善技术和管理措施等保测评委托有资质的测评机构开展等级测评,发现安全问题并整改持续改进定期复测,持续优化安全防护能力,确保系统安全合规百度实践:百度云计算平台、大数据平台、AI开放平台等核心业务系统均已通过等保三级测评,安全能力获得权威认可信息安全等级保护简介制度背景信息安全等级保护制度是根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》等法律法规建立的国家网络安全基本制度该制度要求对信息系统按照重要程度进行分级保护,不同等级采取相应的安全防护措施等级划分第一级:用户自主保护级,一般系统第二级:系统审计保护级,重要系统第三级:安全标记保护级,重要系统第四级:结构化保护级,特别重要系统第五级:访问验证保护级,极端重要系统安全控制要点•物理安全:机房环境、设备防护•网络安全:边界防护、访问控制•主机安全:身份鉴别、安全审计•应用安全:数据加密、安全开发安全意识培训的重要性技术手段可以防御大部分安全威胁但人为因素仍然是安全防线中最薄弱的环节据统,计超过的安全事件与人为失误或缺乏安全意识有关只有通过持续的安全教育提,85%,升全员的风险识别能力和安全行为习惯才能真正构建起坚固的安全防线,员工是第一道防线安全文化塑造每一位员工都可能成为攻击者的突破安全不应该只是安全部门的责任而应,口钓鱼邮件、社会工程学攻击等手该成为企业文化的一部分通过定期段往往针对人的弱点而非技术漏洞培训、案例分享、模拟演练等方式让,,提升员工的安全意识能够在攻击发生安全理念深入人心形成人人讲安,,的第一时间识别并阻断威胁全、人人懂安全的良好氛围持续学习提升网络安全威胁不断演变新的攻击手段层出不穷只有通过持续的安全教育和技能,培训员工才能跟上安全形势的变化及时掌握最新的防护知识和应对方法,,百度安全培训课程体系百度构建了完善的分层分级安全培训体系,针对不同岗位和角色设计差异化课程,确保每位员工都能获得所需的安全知识和技能安全意识培训安全运维培训培训对象:全体员工培训对象:运维工程师核心内容:基础安全知识、常见威胁识别、安全行为规范、应急处置流程核心内容:系统加固、日志分析、漏洞修复、监控告警、备份恢复培训形式:在线课程、现场讲座、案例分析、模拟演练培训形式:实操演练、故障复盘、认证考试应急响应培训安全开发培训培训对象:安全团队、关键岗位培训对象:研发工程师核心内容:事件分类分级、响应流程、取证分析、协调沟通核心内容:安全编码规范、常见漏洞防范、代码审计、SDL流程培训形式:攻防演练、桌面推演、实战复盘培训形式:代码评审、漏洞复现、CTF竞赛安全攻防技能讲精选30百度安全团队精心打造的《安全攻防技能讲》课程涵盖密码学、安全、网络防护、业务风控等核心领域帮助学员系统掌握安全攻防技术30,Web,第一部分基础安全技术第三部分网络安全防护::对称加密与非对称加密原理防火墙配置与规则优化•••数字签名与证书体系•WAF Web应用防火墙原理身份认证技术密码、生物特征、多因素认证入侵检测与防御系统•:•IDS/IPS访问控制模型、、运行时应用自我保护技术•:DAC MACRBAC•RASP攻击识别与防御•DDoS第二部分安全攻防:Web第四部分业务安全体系:跨站脚本攻击原理与防御•XSS•SQL注入攻击技术与防护策略•风控模型构建与特征工程跨站请求伪造及防护设备指纹与画像技术•CSRF Token•IP文件上传漏洞与安全校验行为分析与异常检测算法•••XXE、SSRF等注入类漏洞防范•反爬虫策略与对抗技术威胁情报应用与风险预警•实战演练以攻促防百度定期组织红蓝对抗演练和竞赛让安全团队在真实的攻防对抗中提升实战能力CTF,通过模拟真实攻击场景发现系统潜在的安全隐患检验应急响应流程的有效性持续强化,,,团队的攻防技能实战演练不仅是技术的较量更是团队协作和快速决策能力的综合考,验百度安全生态与认证百度安全积极参与国内外安全标准制定和行业组织活动,通过了包括ISO

27001、SOC

2、CSA STAR等在内的百余项国际权威安全认证,安全能力获得全球认可体系认证国际联盟技术创新通过ISO27001信息安全管理体系认证、ISO27701隐加入云安全联盟CSA、全球网络安全联盟GCSEC、开持续投入安全技术研发,在AI安全、隐私计算、零信任私信息管理体系认证、ISO27017云服务安全认证、放Web应用安全项目OWASP等国际组织,积极推动全架构等前沿领域取得突破性进展,多项技术成果获得国ISO27018云隐私保护认证球安全技术交流与合作家专利和行业奖项100+50+20+认证数量安全专利行业奖项国内外权威安全认证原创技术发明专利国家级和省部级奖项案例分享百度人脸识别数据安全实践:百度人脸识别技术在金融、安防、身份认证等领域广泛应用,涉及大量生物特征数据的采集、存储和使用作为《信息安全技术人脸识别数据安全要求》国家标准的主要起草单位,百度在人脸识别数据安全方面积累了丰富的实践经验多重活体检测1采用静默活体、动作活体、3D结构光等多种活体检测技术,防止照片、视频、面具等攻击手段,确保识别对象为真实本人检测准确率达

99.9%,误识率低于

0.01%数据加密存储2人脸特征数据采用AES-256算法加密存储,密钥通过硬件安全模块HSM管理图像数据脱敏处理,仅保留必要的特征向量,最大限度降低隐私泄露风险最小化授权3遵循最小必要原则,严格限制数据访问权限所有数据访问行为全程记录审计,定期进行权限审查和风险评估用户知情同意4采集人脸数据前明确告知用途和风险,获得用户明确授权用户可随时查询、更正、删除个人数据,充分保障用户隐私权利百度人脸识别技术因在数据安全和隐私保护方面的突出表现,获得中国网络空间安全协会颁发的护脸计划突出贡献单位称号案例分享网络预约汽车服务数据安全:百度智能交通解决方案为多家网约车平台提供精准地图、智能调度、大数据分析等技术支持作为《网络预约汽车服务数据安全要求》国家标准的参编单位,百度严格遵循标准要求,全方位保障用户出行数据安全核心安全措施数据分类分级:对位置信息、通话记录、支付数据等敏感信息实施分级保护传输加密:采用TLS

1.3协议加密数据传输通道去标识化:对用户轨迹数据进行脱敏处理,用于统计分析时不关联具体身份监管对接:实时向监管部门报送必要数据,支持安全监管和应急响应合规成果:百度智能交通平台已协助多家网约车企业通过网络安全等级保护三级测评,数据安全能力达到行业领先水平案例分享大模型内容安全评测框架:随着大模型应用的快速普及,如何客观评估模型的内容安全性成为行业关注的焦点百度安全团队开发了自动化的大模型内容安全评测框架,支持快速、全面、可重复的安全评测自动化测试测试数据生成通过API接口批量调用待测模型,自动收集模型响应结果支持文本、图像、基于风险分类体系,自动生成覆盖色情、暴力、歧视、隐私泄露等100+细分视频等多模态内容的测试,单次可并发测试数千条样本风险类别的测试数据集每个类别包含多种提示词变体和攻击手法,确保评测全面性持续优化改进结果分析评分根据评测发现的问题,提供针对性的安全改进建议支持版本对比测试,跟踪采用AI+人工的混合评审方式,对模型输出内容进行安全性判定按照风险类模型安全能力的演进趋势别统计拦截率、误报率等关键指标,生成详细的评测报告该评测框架已应用于文心一言等百度内部大模型产品的安全评估,并向多家企业客户提供服务,帮助提升大模型应用的安全合规水平安全事件应急响应流程面对突发的安全事件,快速、有序、高效的应急响应至关重要百度建立了完善的应急响应机制,确保在最短时间内控制风险、减少损失事件发现与报告1触发方式:监控告警、用户报告、外部通报响应动作:第一时间向安全值班人员报告,启动应急响应流程2初步评估与定级时限要求:发现后15分钟内完成报告评估内容:事件类型、影响范围、危害程度、紧急程度定级标准:按照P0特别重大到P3一般四个级别划分隔离控制与止损3决策输出:确定响应级别和应急小组成员技术措施:断网隔离、流量封禁、账号冻结、系统下线协调沟通:通知相关业务方,协调资源支持4根因分析与修复证据保全:及时采集日志、数据等关键证据技术分析:追踪攻击路径,定位漏洞根源修复方案:制定并实施修复措施,消除安全隐患恢复与总结5验证测试:确认修复有效性,防止问题复现服务恢复:逐步恢复受影响的系统和业务事件复盘:编写详细的事件报告,分析经验教训改进措施:完善监控、加固系统、更新预案安全技术趋势与未来展望网络安全技术正在经历深刻变革,人工智能、云计算、物联网等新技术的快速发展带来新的安全挑战和机遇展望未来,以下几个方向将成为安全技术发展的重点零信任架构全面推广传统的边界防护模式在云时代已不再适用零信任架构基于永不信任,持续验证理念,对每一次访问请求进行动态鉴权,将成为企业安全架构的新标准微分段、持续认证、最小权限等技术将得到广泛应用赋能安全防护AI机器学习和深度学习技术正在重塑安全防护体系智能威胁检测、自动化响应、预测性防御等AI驱动的安全技术,能够更快速、更精准地识别和应对复杂攻击同时,也要警惕AI被攻击者利用带来的新型威胁隐私计算技术应用在数据安全和隐私保护要求日益严格的背景下,联邦学习、同态加密、安全多方计算等隐私计算技术将成为数据合规使用的关键支撑,实现数据可用不可见的安全协作多云边缘安全协同企业IT架构向多云、混合云、边缘计算方向演进,安全防护也需要实现跨云、跨边界的统一管理和协同防御云原生安全、容器安全、边缘安全将成为新的技术热点百度安全标准化战略以标准驱动创新百度将参与国家标准制定作为技术创新的重要驱动力通过梳理业务实践中的安全需求和解决方案提炼形成可复制、可推广的标准规范反过来,,指导产品设计和技术升级形成标准与技术创新的良性循环,推动生态共建百度积极联合产业链上下游企业、高校科研机构、行业组织等多方力量,共同参与安全标准的制定和推广应用通过开源开放、技术分享、联合创新等方式推动形成开放共赢的安全生态体系,提升治理能力标准化建设不仅是技术问题更是管理和治理问题百度通过建立安全标,准化工作机制完善标准管理流程加强标准培训和宣贯持续提升企业的,,,安全治理能力和合规管理水平为业务发展提供坚实的安全保障,员工安全行为守则每一位员工都是企业安全防线的重要组成部分遵守安全行为规范,养成良好的安全习惯,是保护企业和个人信息安全的基本要求12密码安全管理防范社会工程学攻击•使用强密码,长度不少于12位,包含大小写字母、数字和特殊字符•警惕不明来源的邮件、短信、电话•不同系统使用不同密码,避免密码重用•不点击可疑链接,不下载未知附件•定期更换密码,不少于90天一次•验证对方身份,不轻易透露敏感信息•使用密码管理工具,不在纸张或文档中明文记录密码•对索要密码、转账等请求保持高度警觉•启用多因素认证,增加账号安全性•及时向IT或安全部门报告可疑情况34保护数据和隐私及时报告安全事件•按照数据分类分级要求处理敏感数据•发现安全异常立即报告,不隐瞒不拖延•不在未加密的渠道传输敏感信息•保护现场,不擅自处置•及时清理不再需要的数据和文件•配合调查,提供详细信息•离开工位时锁定电脑屏幕•从事件中吸取教训,避免类似问题再次发生•不在公共场所讨论敏感业务信息安全工具与资源推荐百度安全云产品常用安全工具学习资源平台防护全球分布式防护漏洞扫描、内部平台百度安全学院、DDoS::Nessus:节点防御级攻击、等知识库、技术论坛,TB DDoSOpenVAS AWVS渗透测试、在线课程、:Metasploit:Coursera应用防火墙驱动的、、极客时间Web:AI BurpSuite OWASPZAP Udemy防护WAF,OWASP Top10代码审计、安全社区、安全:SonarQube:FreeBuf漏洞、客、先知社区Fortify Checkmarx态势感知平台全网威胁情:日志分析、行业会议、:ELK Stack:DEFCON报实时安全监控,、、、Splunk GraylogBlack HatISC CSS数据安全平台数据发现分:类、脱敏加密、权限管理培训总结与知识回顾通过本次培训,我们系统学习了百度安全标准化体系的核心内容,掌握了从安全理念到实践技能的全方位知识让我们一起回顾培训的关键要点1百度安全核心理念以技术创新为驱动,以标准规范为引领,构建覆盖网络、数据、业务全链条的安全防护体系,守护数字中国的安全基石2国家标准与合规深度参与8项国家安全标准制定,推动人脸识别、汽车数据、零信任等领域规范落地,助力企业满足等级保护等合规要求3大模型安全实践应对传输、运营、记忆三大风险,采用联邦学习、可信执行环境、同态加密等技术,保障AI时代的数据安全和内容合规4业务风控体系基于IP画像、设备指纹、威胁情报的智能风控平台,实时识别账号、权益、内容等业务安全风险,保障业务健康运营5安全意识提升员工是安全防线的第一道防线,通过持续培训和实战演练,提升全员风险识别能力和应急处置技能,共筑安全文化互动问答环节常见问题解答经验分享如何判断一封邮件是否是钓鱼邮件安全团队将定期分享最新的安全威胁情Q:报、典型安全事件案例、防护技术最佳注意检查发件人地址、邮件内容的语A:实践等内容帮助大家及时了解安全动态,,法错误、紧急性措辞、可疑链接和附提升防护能力件如有疑问通过其他渠道核实发件人,身份培训反馈发现系统漏洞应该怎么做Q:请扫描二维码填写培训反馈问卷您的意,见和建议将帮助我们不断改进培训内容立即通过内部漏洞报告平台提交描述A:,和形式提供更优质的安全教育服务漏洞详情和复现步骤不要在公开渠道披,,露等待安全团队处理,持续学习安全是一个持续学习:如何安全地处理离职员工的账号Q:和实践的过程欢迎大家访问百,及时回收权限注销账号转移或备份A:,,度安全学院在线平台获取更多,必要数据修改共享密码审查访问日志,,学习资源致谢与行动号召安全无小事人人是守护者感谢大家参加本次百度安全标准化培训网络安全不仅是技术问题,更是每个人的责任无论您是开发工程师、运维人员还是业务人员,都是企业安全防线上不可或缺的一环持续学习严守规范主动防护安全威胁不断演变,我们的知识和技能也需要与时俱将培训中学到的安全规范落实到日常工作中,从小事做保持警惕,及时发现和报告安全风险,积极参与安全建进请保持学习热情,关注安全动态,参加培训演练起,从自己做起,养成良好的安全习惯设,为企业安全贡献自己的力量让我们携手共创安全可信的数字未来!百度安全团队将继续秉承守护数字中国的使命,不断创新安全技术,完善安全体系,为用户和企业提供更可靠的安全保障我们相信,在全体员工的共同努力下,百度必将构筑起坚不可摧的安全防线,为数字化转型和业务发展保驾护航。