ISO/IEC 27090来了：企业AI安全管理将迎来哪些变化？

ISO/IEC 27090 即将发布：全球首个AI网络安全国际标准

ISO/IEC FDIS 27090，预计将于2026年底之前正式发布。作为全球首个AI系统网络安全国际标准，ISO/IEC FDIS 27090标志着人工智能领域的关注重点从政策制定与应用推广（AI policy and adoption）转向了安全基础架构体系（AI security infrastructure）、运营控制（operational controls）以及董事会层面的监督治理（board-level oversight）。其核心目标是为组织提供针对AI系统安全威胁的识别、检测、缓解与响应指导，推动AI安全从“最佳实践”逐步走向标准化与体系化。

同时，ISO/IEC FDIS 27090也进一步补充了ISO/IEC 27001在AI场景下针对性不足的问题，并与ISO/IEC 42001以及ISO/IEC 23894形成协同体系，共同构建覆盖AI治理、风险管理与网络安全控制的完整框架。

AI系统面临的五大核心威胁

1. 数据投毒（Data Poisoning）

原理与潜在威胁：攻击者向训练集或验证集注入精心设计的恶意数据，污染模型学习过程，从而操纵模型行为。该威胁会导致模型产生错误预测，如自动驾驶误识别标志、推荐系统推送恶意内容，从而造成严重安全隐患。

检测与缓解策略：

• 数据来源验证：确保训练数据来源的可靠性和完整性。
• 异常值检测：使用算法识别训练数据中的异常样本。
• 模型行为监控：监控模型在验证集上的性能变化，发现异常。
• 数据清洗与验证：对输入数据进行严格的清洗和验证。
• 多源数据交叉验证：使用多来源数据训练，降低单一源风险。
• 差分隐私技术：加入噪声保护隐私，增加投毒难度。

2. 规避攻击（Evasion Attacks）

原理与潜在威胁：攻击者对输入数据进行人类难以察觉的微小修改（构造“对抗性样本”），诱使模型做出错误分类或预测。该威胁可能导致人脸识别系统无法识别特定人员，或垃圾邮件过滤器将恶意邮件误判为正常邮件。

检测与缓解策略：

• 输入验证：严格检查输入数据的格式与范围边界。
• 对抗性检测：利用算法识别输入中的微小扰动特征。
• 运行时监控：持续监测模型输出置信度，识别异常低值。
• 对抗性训练：引入对抗样本进行训练，提升模型鲁棒性。
• 输入清洗：预处理输入数据，主动去除潜在扰动噪声。
• 鲁棒架构：选用对攻击更具抵抗力的模型结构设计。

3. 成员推理（Membership Inference）

原理与潜在威胁：攻击者通过反复查询模型并分析其输出结果，推断特定样本是否被用于模型训练。该威胁严重侵犯隐私，可能导致医疗记录、财务数据等敏感个人信息的间接泄露。

检测与缓解策略：

• 审计日志分析：监控和分析模型的访问日志，识别异常的查询模式
• 隐私风险评估：定期评估模型抵御成员推理攻击的能力。
• 差分隐私：在模型训练或输出中加入可控噪声，防止推断个体数据
• 模型混淆：隐藏模型决策边界，增加攻击者的推理难度。
• 访问控制：严格限制模型访问权限，防止恶意查询行为。

4. 模型窃取（Model Exfiltration）

原理与潜在威胁：攻击者通过API滥用、逆向工程等手段，在未经授权的情况下，非法提取或复制整个AI模型及其关键参数。该威胁会导致核心知识产权(IP) 泄露，攻击者可利用窃取模型进行商业竞争，或部署植入后门的恶意版本模型。

检测与缓解策略：

• 模型使用监控：监控调用频率与模式，识别异常批量查询。
• 数字水印技术：嵌入隐蔽水印，追踪并识别被盗用模型。
• 访问控制与加密：严格API权限，加密存储模型参数。
• 主动模型水印：嵌入标识信息，便于溯源追责。
• 零信任架构：持续验证访问主体，永不信任始终验证。

5. 模型反演（Model Inversion）

原理与潜在威胁：攻击者利用模型的输出结果，结合辅助信息，反向推导出模型训练数据集中的敏感信息。该威胁会导致导致训练数据中的个人隐私（如人脸、指纹）或商业机密被直接泄露，侵犯数据主体权利。

检测与缓解策略：

• 输出清洗检查：检查模型输出是否包含过多敏感信息。
• 隐私影响评估：评估模型设计和输出对隐私的潜在风险。
• 输出扰动：对模型输出进行处理，减少可提取的信息量。
• 差分隐私：训练阶段加入噪声，防止数据被精确还原。
• 严格访问控制：限制获取详细输出的用户范围。

构建AI系统的安全防线：七大核心支柱

1. 零信任原则（Zero Trust）

以永不信任，始终验证（Never Trust, Always Verify）为核心原则，摒弃默认信任，对所有访问保持怀疑。该方案通过覆盖数据、模型、API 与终端的全链路安全防护，构建端到端安全体系。其核心措施包括最小权限控制、持续动态验证以及网络微隔离，以降低攻击风险并限制威胁扩散。

2. AI治理

该方案通过明确角色职责、制定安全政策与流程、建立监督机制以及开展合规与伦理审查，建立组织层面的AI安全治理体系。其目标是确保 AI 系统在开发与使用过程中安全、规范且符合法规要求。

3. 安全AI工程

该方案通过威胁建模、安全编码与测试、版本控制及 CI/CD 安全集成，贯彻设计即安全（Security by Design），将安全融入AI开发的全流程，从设计之初就识别风险而非事后修补。

4. 供应链安全

该方案通过供应商评估、合同安全要求、第三方组件管理以及供应链安全审计，严格审查AI组件和服务供应商的安全资质与能力，全面管理和控制AI供应链各环节引入的潜在安全风险。

5. 数据安全

数据是AI系统的“燃料”。必须建立严格的机制。全方位保护数据的安全性，隐私性与完整性，构建可信的AI数据底座。该方案通过数据最小化、全链路加密、严格访问控制以及数据溯源与合规存留等措施，全面保障数据安全与隐私合规。

6. 模型行为控制

该方案通过模型监控、可解释性与透明度、偏见检测与缓解以及持续验证等机制，确保AI模型的行为符合预期，通过全生命周期的管理机制，实现模型的可靠运行与透明决策。

7. 威胁建模与红队演练

该方案通过威胁建模(Threat Modeling)、红队演练(Red Teaming)以及持续改进(Continuous Improvement)，主动发现和验证AI系统的安全漏洞，变被动防御为主动出击。

企业如何应对AI Security新要求

随着ISO/IEC 27090的推进，AI安全合规正在从单一技术防护转向体系化、全生命周期（AI Lifecycle）的治理与管理。标准强调企业需建立覆盖模型、数据、系统与运营全过程的安全能力。因此，如何提前构建符合国际标准要求的AI安全治理体系，正在成为企业提升合规能力与风险韧性的关键。组织可以重点围绕以下几个方面提前部署：

• 全面评估AI系统威胁

通过资产盘点、威胁建模以及风险评估，识别并理解组织内AI系统面临的具体威胁，贯彻AI全生命周期安全管理。

• 与现有ISMS体系融合

通过差距分析、流程合规以及文档更新将27090 的要求无缝融入现有的信息安全管理体系（ISMS）中。

• 全面实施零信任架构

通过身份认证、权限管理以及持续验证，将零信任原则应用到AI系统的访问控制中，确保资源安全。

• 全方位保护数据与模型安全

通过数据加密、模型保护、数据脱敏以及访问控制，采取技术手段保护数据和模型的安全，构建坚固防线。

• 建立持续测试与监控机制

通过定期安全测试、实时监控部署以及日志持续分析，建立常态化的安全测试和监控机制，确保系统持续安全。

• 提升团队AI安全能力

通过安全培训、人才培养以及知识共享，培养团队的AI安全意识和技能，筑牢安全防线。

与此同时，认证正在成为企业验证AI安全治理能力的重要方式。通过第三方认证与独立审核，企业能够更加系统地识别AI系统中的潜在风险，完善管理与控制措施，并向客户、合作伙伴及监管机构证明其在AI安全、数据保护与合规治理方面的能力与承诺。

作为国际认证机构，DQS也将持续关注AI安全国际标准的发展趋势，协助企业建立符合国际标准要求的AI治理与安全管理体系，提升组织在AI时代下的合规韧性与可持续发展能力。