AI计算平台十大安全功能

在 AI 应用的开发与运行过程中，依据产业链的不同环节，往往有多方参与者需要在边缘、云、数据中心等不同位置、不同形态的 AI 计算平台上，开展数据预处理、模型训练、应用开发、模型部署与应用运行等活动（见下图）。

AI 计算平台的安全风险主要包括两类：其一是平台自身所面临的安全风险；其二是平台承载的 AI 核心资产所面临的安全风险。为降低上述风险，网安标委联合多家单位发布**《信息安全技术 人工智能计算平台安全框架》**，明确计算平台应具备“两大类安全功能”：平台自身安全与 AI 核心资产保护。

平台自身安全功能旨在为平台使用方提供安全、稳定的计算环境，降低平台成为网络攻击薄弱环节的风险，具体包括：可信验证功能、恶意程序检测功能、AI 加速处理器故障监测与处理功能。

AI 核心资产保护类安全功能旨在保障 AI 核心资产在传输、存储、训练与推理等各环节的安全，具体包括：运行环境隔离功能、异构算力安全协同功能、AI 核心资产加解密功能、AI 核心资产完整性校验功能、训练任务中断恢复功能、推理攻击检测功能、日志验证与审计功能。

上述功能按照“安全功能—安全机制—安全模块”的体系落地：每项安全功能由相应的安全机制实现，每项安全机制由一个或多个安全模块协同构成；同时，安全机制通过标准化服务接口对外提供能力，供平台使用方调用以保护 AI 核心资产的全生命周期安全。

1、可信验证功能

• 目标：对平台（CPU 侧、AI 加速器侧）的固件/软件进行完整性度量与验证，发现是否被篡改。

• 安全机制：可信验证机制

• 安全模块：

• • 可信度量根模块
• • 度量值管理模块

• 服务接口：不涉及

2、恶意程序检测功能

• 目标：持续监测为训练/推理任务开启的虚拟机、容器及用户进程，识别已知/未知恶意程序（如逃逸、勒索、挖矿等）。

• 安全机制：恶意程序检测机制

• 安全模块：

• • 恶意程序检测模块

• 服务接口：不涉及

3、AI加速处理器故障监测与处理功能

• 目标：监测加速器资源状态，快速发现并恢复故障，保障训练/推理连续性。

• 安全机制：AI加速处理器故障监测与处理机制

• 安全模块：

• • 故障监测模块
• • 故障处理模块

• 服务接口：

• • 故障监测接口
  • 故障处理接口

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

4、AI核心资产加解密功能

• 目标：在核心资产（模型/数据）跨节点流转与存储全流程中提供加解密保护，确保保密性。

• 安全机制：AI核心资产加解密机制

• 安全模块：

• • 加解密模块
• • 密钥管理模块
  • 设备根密钥模块

• 服务接口：不涉及

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

5、AI核心资产完整性校验功能

• 目标：在传输、存储、训练、推理全链路校验资产完整性，支撑用户鉴别是否被篡改。

• 安全机制：AI核心资产完整性校验机制

• 安全模块：

• • 完整性校验模块

• 服务接口：不涉及

6、运行环境隔离功能

• 目标：为训练/推理任务提供隔离的 CPU、加速算力、存储等运行环境。

• 安全机制：运行环境隔离机制

• 安全模块：

• • 运行环境隔离模块
• • AI加速资源安全隔离模块

• 服务接口：不涉及

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

7、异构算力安全协同功能

• 目标：保障任务在 CPU 与 AI 加速器协同的安全隔离环境中执行，防窃取与篡改。

• 安全机制：异构算力安全协同机制

• 安全模块：

• • 可信度量模块
• • 安全管理模块
  • 安全通信模块

• 服务接口：

• • 完整性度量接口
  • 安全策略配置接口

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

8、训练任务中断恢复功能

• 目标：感知训练资源故障，保存上下文与模型参数，资源恢复后快速续训，避免训练数据/参数丢失。

• 安全机制：训练任务中断恢复机制

• 安全模块：

• • 故障监测模块
• • 故障处理模块
  • 训练任务中断处理模块

• 服务接口：

• • 故障监测接口
  • 故障处理接口

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

9、推理攻击检测功能

• 目标：对对抗样本、模型萃取、属性推断等攻击进行置信度评估，并输出响应策略给AI应用。

• 安全机制：AI推理攻击检测机制

• 安全模块：

• • AI推理攻击检测模块

• 服务接口：

• • 响应策略获取接口

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)

10、日志验证与审计功能

• 目标：集中化日志收集、归一化、持久化与完整性校验，支撑定位安全问题与审计追溯（含平台自身操作日志）。

• 安全机制：日志验证与审计机制

• 安全模块：

• • 日志安全管理模块

• 服务接口：

• • 日志验证与审计接口
  • 日志上报接口

’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)