Posts 信息安全知识扩展
Post
Cancel

信息安全知识扩展

Posted Mar 3 2023-03-03T04:00:00+08:00 by Pandaho

法律声明

第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

案例

三星半导体机密泄露事件

1
2
3

  在2022年10月27日4名三星员工被首尔中央地方检察厅以“反不正当竞争与保护商业秘密法”起诉,涉事人员均被拘留。

  该4人窃取三星半导体机密技术,并将资料外流,其中包括2位在职研发工程师及2位已离职工程师,利用远程办公职务之便,将关键技术资料传输至家中设备并拍照,再将资料进行外流。

特斯拉VS小鹏汽车

1
2
3
4
5

  特斯拉集团曾向位于旧金山的北加州地区法院提起诉讼,指控一位前华裔员工窃取有关自动驾驶技术方面的商业机密,要求他和新东家小鹏汽车归还被带走的源代码及数据。

  遭到起诉的曹某,2017年4月24日入职位于Palo Alto的特斯拉总部,在特斯拉的职位是计算机视觉科学家,隶属于神经网络团队,在起诉书中特斯拉表示,从2017年开始,曹某就在他的私人iCloud账户里创建了不少公司机密文件的备份。2018年3月25日到12月26日之间曹某把自己有阅读权限的几乎所有源代码都在私人iCloud里备了份,包括完整的固件、自动驾驶和神经网络源代码资料库,涉及的文件和目录多达30万页。

   被曹某带走的机密文件是Autopilot团队5年的心血结晶,其中的源代码详细揭示了特斯拉如何使用摄像头和雷达来解决自动驾驶过程中系统遇到的问题,并包含了5年来根据大量试验和用户反馈而进行的改进,给特斯拉造成无法估量的损失。

什么是信息和信息资产?

信息:指音讯、消息、通讯系统传输和处理的对象,泛指人类社会传播的一切内容。有一个短暂的周期,它往往会随着时间的推移而贬值。

信息资产:对公司有价值的信息。(包括:数据资产、软件资产、实物资产、人员资产、服务资产、无形资产等。)

生命周期状态:产生、存储、处理、传输、销毁

如何理解信息安全?

意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。

信息安全三要素

保密性(Confidentiality): 信息没有非授权的泄漏、不被非授权的个人、组织和计算机程序使用。

完整性(Integrity): 信息没有被刻意篡改、替换或损毁。

可用性(Availability): 拥有授权的用户或程序可以及时、正常使用信息。

信息安全基本原则

等级性原则: 信息保密程度的分级、物理安全区域的分级、用户操作权限的分级。

最小化原则: 只在一定范围内共享,符合法律和策略的要求,仅授予适当权限。

分权制衡原则: 权责分离,相互制约,相互监督。

人工智能隐藏的信息安全风险:

人工智能 (AI) 具有为各个行业和领域带来众多好处的潜力。 但是,它也带来了某些需要解决的信息安全风险。 与人工智能和信息安全相关的一些隐藏风险包括:

对抗性攻击: AI 模型容易受到对抗性攻击,恶意行为者会故意操纵输入数据以欺骗 AI 系统。 通过巧妙地修改图像、音频或文本,攻击者可以诱使 AI 算法进行错误分类或做出错误决策。

数据中毒: 人工智能模型严重依赖训练数据,如果这些数据被操纵或中毒,可能会导致结果受损。 攻击者可以在训练阶段注入恶意数据,导致产生不准确或有害结果的有偏见或倾斜的模型。

模型反转: 模型反转攻击利用 AI 模型中的漏洞来提取敏感或私人信息。 通过反复查询模型并分析其响应,攻击者可以推断出训练过程中使用的敏感数据,例如个人信息或商业机密。

隐私问题: 人工智能系统通常需要大量个人数据才能有效运行。 如果这些数据处理不当或落入坏人之手,可能会导致隐私泄露。 此外,人工智能算法本身可能会通过分析过程中发现的模式或相关性无意中泄露敏感信息。

算法偏差: 人工智能系统是根据历史数据进行训练的,这些数据可能包含偏差。 如果这些偏见没有得到妥善解决,人工智能算法可能会延续和放大现有的社会偏见,导致不公平或歧视性的结果。 这可能会产生重大的道德影响并破坏对人工智能系统的信任。

恶意使用 AI: 随着 AI 技术的进步,人们担心恶意行为者可能会出于邪恶目的利用 AI 功能。 例如,AI 支持的社会工程攻击或 AI 生成的 deepfakes 可用于欺骗个人或操纵公众舆论。

缺乏可解释性: 一些 AI 模型,例如深度学习神经网络,可能很复杂且难以解释。 缺乏可解释性使得理解人工智能系统的决策过程变得具有挑战性,从而更难识别和减轻潜在的安全风险。

为了解决这些风险,在整个 AI 开发生命周期中采用强大的安全措施至关重要。 这包括彻底的数据验证和清理、定期测试漏洞、实施隐私保护机制、确保人工智能模型的透明度和可解释性,以及促进安全专家和人工智能从业者之间的协作以领先于新兴威胁。

参考来源

OpenAI

Project
security
This post is licensed under CC BY 4.0 by the author.

Recent Update

    Contents

    安全法规知识扩展

    敏捷项目管理

    Comments powered by Disqus.

    © 2023 . Some rights reserved.

    Powered by Jekyll with Chirpy theme.