利用安全、合规、负责任的生成式+AI+提升企业合规评估效率.pdf

1、 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。利用安全、合规、负责任的生成式AI提升企业合规评估效率李少奕云安全专家深圳市兆珑科技有限公司 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。演讲大纲1.出海企业在海外合规审计中遇到的挑战2.如何构建安全合规的生成式AI3.如何利用生成式AI实现合规评估自动化、标准化4.生成式AI应用在合规审计场景下的应用尝试5.获得的收益（Beta版本）2024,Amazon Web Service

2、s,Inc.或其附属公司。保留所有权利。合规审计中遇到的挑战传统的合规审计流程，以金融合规PCI-DSS为例1）通读整个PCI-DSS合规文档（12大类，超过300条要求）2）将PCI-DSS审计的要求匹配到企业内部合规框架与配置3）验证PCI-DSS上述匹配是准确的4）为审计/合作伙伴客户提供内部审计报告(SAQs)和证据带来的挑战：审计效率低、成本高手动收集证据易错依赖于主观判断重复性审计问题 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。如何构建安全合规的生成式AIAIGenAI的合规GenAI应用的安全合规GenAI基础设施的安全合规GenAI模

3、型本身的安全合规贯穿整个开发生命周期的应用安全应用的认证与授权应用运行时的安全保护选择合规、受信的GenAI大模型大模型数据的隐私性和主权建立企业内部的GenAI合规框架,并实施监管基础设施的监控、日志，保证可审计数据的保护基础设施网络安全构建负责任的AI基础设施的认证与授权 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。如何构建安全合规的生成式AIAI企业在构建GenAI应用过程中面临的安全风险 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。Amazon Bedrock的安全性、隐私性和合规性如何构建安全合规的生

4、成式AIAI数据主权数据安全数据隐私数据合规负责任的AIAI 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。如何构建安全合规的生成式AIAI依托洋葱安全模型与亚马逊云科技安全参考架构，构建深度、多层的基础设施保护认证与授权全生命周期数据保护多层深度的网络防护漏洞管理和恶意软件扫描全开发生命周期安全保护威胁发现与自动化响应系统的监控与日志企业内部合规框架与监管 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。如何构建安全合规的生成式AIAI整个开发生命周期的安全防护编码实时扫描，安全左移代码审查代码仓库静态扫描、依赖扫

5、描代码编译安全最佳实践代码部署后的动态扫描程序运行中的动态保护 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。解决方案 企业专属的AIAI安全合规官知识库基于企业内部数据，3D3D复原云上系统1）基础设施元数据（CloudFormation）+系统业务描述文档（架构文档、数据流文档等）2）企业内部监管框架以及企业流程规范文档3）合规官方标准要求4）重要系统安全防护系统日志（IDS/IPS、WAF、VPC Flow Log、CloudTrail等）5）系统维护/修复工单记录、文档6）亚马逊云科技安全最佳实践白皮书、PCI DSS合规指导修复与持续评估风险评

6、估差距分析修复建议完善监管审计自动化 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。解决方案优点：1）无服务器全托管，减轻运维压力2）安全、隐私、负责任的AI3）基于企业内部数据的定制化知识库4）多样化云服务简化基础设施搭建5）通过API调用批量合规问题处理6）CDK一键部署 2024,Amazon Web Services,Inc.或其附属公司。保留所有权利。应用场景探索差距分析：分析企业系统与合规要求的差距1 12 23 31 1提出问题：云上系统是否满足PCI DSS合规要求1.3.2？(基于业务限制系统出站