“第17届政府/行业信息化安全年会”在京召开

公安部网络安全保卫局副局长石铀，公安部第三研究所总工程师陆臻，国家统计局数据管理中心副主任谷晨阳，中国华电数字化中心副主任罗建东，中国网络安全审查技术与认证中心原党委书记、副主任、研究员王连印，浙江大学区块链与数据安全全国重点实验室专职研究员王庆龙，中国石油数字和信息化管理部网络安全与基础设施处处长范睿，北京大学大数据分析与应用技术国家工程实验室研究员徐克付，北京航空航天大学计算机学院信息安全系主任李舟军，中科院计算所高级工程师尹芷仪等多家部委、央企、研究机构负责信息安全工作的领导、专家以及网络安全企业参加本次会议。中国计算机学会计算机安全专委会主任、公安部研究员严明主持会议。

公安部网络安全保卫局副局长石铀在致辞时强调，人工智能时代，数据安全保护工作在制度建设、体系化建设、技术建设三方面还需要做深、做细、做实，希望与会专家深入研讨，齐心协力为国家数据安全行稳致远做出努力。

我所总工程师陆臻代表主办方致欢迎辞

公安部第三研究所总工程师陆臻致欢迎辞时表示，全球正处于深刻变革加速发展的阶段，人工智能驱动的信息技术革新日新月异，数字经济也展现出强劲的增长势头，聚焦人工智能时代的网络安全技术，深入探讨人工智能给网络安全带来的机遇和挑战，以及如何应对这些挑战保障网络安全十分必要。

在主题演讲环节，浙江大学区块链与数据安全全国重点实验室专职研究员王庆龙围绕大模型时代人工智能安全与评测分享了实验室的相关领先技术和研究成果。他强调，人工智能技术高速发展与应用的同时，也在数据、算法、合成内容等方面出现了严重的安全威胁，复杂多样的安全事件频频发生，区块链与数据安全全国重点实验室通过持续红蓝对抗推演、跨域自适应泛化监测、高鲁棒与可验证水印等研究，深入探索了模型安全评测、深度合成检测、合成内容标识等关键技术。未来将持续迭代研发应用平台，致力为大模型时代下的人工智能安全提供底座技术，推动大模型时代的人工智能技术的安全发展。

中国石油数字和信息化管理部网络安全

与基础设施处处长范睿发言

中国石油数字和信息化管理部网络安全与基础设施处处长范睿结合20多年从业经验，围绕中国石油等保2.0网络安全防御体系建设进行了详细介绍。他指出，人工智能为代表的新技术持续在石油生产中释放新生产力，数智中国石油的网络安全建设工作需兼顾原有工作及新技术带来的安全挑战。为此，中国石油把等级保护2.0作为网络安全工作的管理基线、合规基线落地实施，将等级保护合规体系建设工作分为网络安全合规运营、网络安全体系完善和网络安全生态赋能三个阶段，为“数智中国石油”保驾护航。

中国华电数字化中心副主任罗建东发言

“场景越复杂，风险挑战越复杂！”中国华电数字化中心副主任罗建东在关于“大型企业等级保护和关基保护的实践与思考”的分享中，重点对中国华电如何利用数智化平台实现等保工作全流程管理进行了介绍。他强调，等级保护与关基保护既有独立性，也有互补性、交叉性，大型企业应构建以等保为基础、以关保为重点、以风险管理为核心的网络安全综合防护体系。因此，以风险为核心，利用数智化平台能够做到“底账清”“责任清”“流程清”“关系清”“质量清”，将等级保护工作细化为可量化的技术和管理指标，规范管理流程，提升管理效率，降低管理成本，且实现数据统计分析自动化、共享化，从而为整体网络安全能力建设赋能。

圆桌论坛活动

本届年会专门设立以“人工智能时代下的数据安全”为议题的圆桌论坛，中国网络安全审查技术与认证中心原党委书记、副主任、研究员王连印主持了论坛讨论。中国人民银行资深安全专家从宏观层面谈及人工智能时代的安全问题，结合金融领域人工智能大模型应用场景，强调国家和行业必须看到人工智能的“双刃剑”效果，尽可能通过政策法律、规划先行、技术攻关、应用增强、国际交流等途径尽可能发挥人工智能的积极作用，抑制或减少负面影响。协调均衡人工智能安全和发展是当前的主要任务。北京大学大数据分析与应用技术国家工程实验室研究员徐克付强调，大模型训练过程中的隐私保护问题需要政策与技术双管齐下治理，政策方面国家和地方政府均出台了相关政策鼓励数据与模型的融合，技术方面仍需加强应用隐私计算、可信环境、联邦学习等技术手段保护和促进数据的使用。中科院计算所高级工程尹芷仪结合近期国家层面针对算法开展的“清朗行动”，指出算法安全是人工智能安全的核心问题，呼吁从算法内生安全、应用安全、系统安全三方面来开展算法治理工作，同时呼吁将算法治理范畴从互联网信息服务拓展到千行百业，在更多场景实现落地。新华三安全公司研发总裁王其勇围绕“科技向善”介绍新华三大模型技术如何赋能千行百业以及安全行业发展。目前，大模型在新华三安全检测能力建设中已实现全覆盖，自动化处置已形成完全的闭环。但他强调，风险依然存在，这主要是由安全领域数据量相对较少导致的，因此呼吁行业内部加快实现核心数据交换机制的建立。

01

分论坛“大模型安全探索”活动

02

分论坛“守护软件安全，筑牢软件供应链安全”活动

在“大模型安全探索”和“守护软件安全，筑牢软件供应链安全”两场分论坛上，来自国家石油天然气管网集团有限公司、中国石油网络安全专家中心、北京航空航天大学、中国民航大学、北京锐安科技有限公司、北京兰云科技有限公司、北京滴滴无限科技发展有限公司、360数字安全集团、北京酷德啄木鸟信息技术有限公司等机构的专家介绍了大模型赋能网络安全，软件供应链生态建设方面的现状挑战、工作实践与解决方案。我所网络安全等级保护中心副主任沙淼淼、李升分别主持了分论坛活动。

本届会议由公安部第三研究所主办，《信息网络安全》杂志、公安部网络安全等级保护评估中心、国家网络与信息系统安全产品质量检验检测中心、网络安全等级保护与安全保卫技术国家工程研究中心、信息网络安全公安部重点实验室、北京锐安科技有限公司共同承办。年会期间，通过聚焦人工智能背景下网络安全相关新技术、新应用和发展态势等议题，国内产、学、研、用、管等单位的信息网络安全负责人、专家、学者现场研讨，交流互动，各种真知灼见和创新观点相互碰撞，达成诸多共识，取得了预期成效。

北京航空航天大学计算机学院信息安全系主任、教授李舟军，深入分析了“垂直领域大模型”赋能网络与信息安全的三大关键要点：微调、测评基准构建与指令数据集构建。他提出大模型可在威胁情报分析、代码安全、漏洞挖掘、运维安全等方面为网络与信息安全提供助力。同时，要在行业领域中进行大模型的创新应用落地，基础和前提是文档智能技术，关键和核心是检索增强生成技术，前沿和未来则在于多模态多智能体技术。他所在团队已建构了一个基于文档智能、大模型和多智能体的技术框架与开发平台，实现了大模型在多个行业领域的落地应用。

中国计算机学会计算机安全专委会主任、公安部研究员严明阐述了关于人工智能安全的几个问题。他认为人工智能的安全涉及面非常宽，但总体可以从人工智能用于安全领域（攻与防），人工智能本身的安全，人工智能的社会伦理安全等方面来讨论。人工智能安全问题是一个集科技、法制、社会伦理乃至于人类生存安全的复杂而又极端重要的课题。人工智能的应用正在狂奔，安全和监管必须跟上。

公安部第三研究所等保中心人工智能安全技术负责人文煜乾结合等保中心大模型安全测评经验，从通用安全，设计开发安全，部署、运行、退役安全等方面全面分析了大模型安全风险分类，并分享了大模型安全测评的实践经验。他认为，未来大模型安全的监管规则可能会更加动态，例如采用敏捷监管的方式并保持持续的监测和评估，也期待看到更多具体的适用于生成式AI的规定和指导原则出台，以填补现有法律体系中的空白。

北京锐安科技有限公司CTO程强发言

北京锐安科技有限公司CTO程强通过回顾大模型的发展历程，分析了大模型在大安全行业落地所面临的挑战，探讨行业大模型新生态的构建思路。他指出，基于行业数字化建设的积累，实施行业大模型平台战略，并加强数据、算法、算力、应用、用户、安全六大生态建设，将有助于快速行业大模型快速落地。与此同时，他分享了目前公安部第三研究所锐智大模型建设的进展及在行业实践的情况。

360数字安全集团副总裁李博发言

360数字安全集团副总裁李博指出，大模型系统在落地应用过程中存在模型环境漏洞、生成恶意内容、生成错误信息、Agent流程失控等安全问题。针对这些问题，他分享了360如何基于安全、向善、可信、可控“安全四原则”识别大模型系统生态链漏洞风险，构建企业级大模型。 

针对当前供应链安全事件频发所带来的挑战，公安部网络安全等级保护评估中心主任助理王勇梳理了相关法律法规政策并提出：“供应链攻击已经成为目前网络安全主要威胁之一，建立需方、供方、监管方协同合作的供应链安全生态，是实现产业共赢的关键举措。”

中国石油网络安全专家中心高级专家靳黎明发言

中国石油网络安全专家中心高级专家靳黎明结合行业实践，分享了中国石油软件供应链安全探索与实践。他提出，传统防护手段面对软件供应链安全攻击可能会失效，就目前而言，软件供应链安全总体上仍呈现“重视软件运行阶段安全，轻视软件设计开发阶段安全”的状况，希望有关监管部门，对软件安全进行监管出具相关报告以供软件需求方参考，提高软件供应链安全仍任重道远。

北京兰云科技有限公司技术总监李景仙发言

交通领域数字化建设可能会存在资产管理、网络管理、网络安全防护相互独立，造成单一视角结果良好，全局视角结果不佳的情况。北京兰云科技有限公司技术总监李景仙以某地高速公路为例，介绍了交通领域数字化建设一体化保障方案，不仅使人均能效提升5倍以上，安全有效性可提升2倍以上。

数字化部高级工程师杨杰发言

国家石油天然气管网集团有限公司数字化部高级工程师杨杰围绕国家管网集团供应链安全体系建设实践，重点介绍了国家管网网络安全建设的安全管理体系、技术防护体系、安全运营体系。他认为，供应链安全风险日趋严峻，未来要在打破信息孤岛、明确资产台账，提升风险识别能力，提高自主可控占比，做好新型攻击应对四个方面继续巩固目前的安全防护成果。

中国民航大学信息安全测评中心常务副主任顾兆军分享了民航业在“软件供应链安全防护”方面的实践经验并提出了未来发展趋势。

酷德啄木鸟CEO杨临庆发言

酷德啄木鸟CEO杨临庆分享了CodePecker 利用LLM开展代码审计、软件成分分析、恶意代码或代码投毒检测、威胁情报分析等工作的经验，将人工智能技术引入现有软件代码分析、漏洞检测及修复、风险分析和预测等工具中，借助智能化工具重塑现有解决方案，提升软件供应链安全保护的效率和效果。

北京滴滴无限科技发展有限公司安全合规部负责人孙铁围绕“滴滴供应链安全实践”展开了分享。他介绍滴滴一直在强化软件供应链领域治理，建立完善的供应链管理体系，特别是滴滴数据与网络安全委员会统筹安全工作，第一责任人为业务负责人而非安全人员，从而增强业务侧管理者的安全意识。下一步滴滴将精细化管理供应链产品服务，搭建供应链安全防护平台，并持续完善供应链风险评估和应对机制。