数据安全（Data Security）

数据安全（Data Security）

概念解释

数据安全是指在 AI 系统的整个数据生命周期中，对敏感数据进行识别、分类、保护和监控的一套系统性工程实践。在 Agent 应用中，这个概念的覆盖面比传统 Web 应用更大——不仅涉及数据库和网络传输，还涉及 Prompt 输入、模型训练数据、上下文窗口中的 PII（Personally Identifiable Information，个人身份信息）泄露，以及 LLM 输出中的敏感信息残留。

数据安全之所以在 AI 时代变得更加紧迫，原因有两层。第一层是传统风险放大：LLM 需要消费海量数据进行训练和推理，数据暴露面比传统应用大几个数量级。第二层是 AI 特有风险：Prompt 注入（Prompt Injection）可能诱导模型吐出训练数据中的隐私信息，模型本身可能"记住"并在推理时泄露训练集中的 PII，这些是传统数据安全体系没有覆盖的攻击面。

与传统"加个防火墙 + 数据库加密"的做法相比，AI 场景下的数据安全需要在三个新维度上扩展防护：输入侧（用户 Prompt 中的 PII 检测和过滤）、模型侧（训练数据脱敏、差分隐私、联邦学习）、输出侧（LLM 输出内容的敏感信息拦截）。这三个维度加上传统的存储和传输加密，构成了 AI 数据安全的完整防护面。

关键结构

AI 系统的数据安全防护可以按"五层纵深防御"来理解：

识别层：知道敏感数据在哪里

整个防护体系的起点。如果不知道哪些数据是敏感的，后续所有保护都是盲目的。识别层的工作包括：用正则表达式匹配结构化 PII（身份证号、手机号、银行卡号），用 NER（Named Entity Recognition，命名实体识别）模型检测非结构化文本中的人名、地址、医疗信息，以及用统计学方法（熵分析）发现高熵字段（如密码、密钥）。

在 AI 应用中，识别层还需要覆盖一个传统安全容易忽略的场景：Prompt 日志和模型输入输出中的 PII。用户可能在与 Agent 对话时无意间输入身份证号或病历信息，如果这些内容被原样写入日志或用于模型微调，就构成了隐私泄露。

脱敏层：让敏感数据"不可读但可用"

脱敏的核心目标是在保留数据分析价值的前提下，消除个人身份的可识别性。四种主要方法：

加密层：最后一道物理防线

即使攻击者突破了前两层拿到了数据，加密确保数据无法被解读。加密分三个粒度：全磁盘加密（防设备被盗）、数据库透明加密 TDE（防数据库文件泄露）、字段级加密（只加密敏感字段，性能最优但实现最复杂）。传输层使用 TLS 1.3 加密，它比 TLS 1.2 减少了一次握手往返并移除了已知不安全的加密套件。

访问控制层：谁能碰什么数据

基于 RBAC（Role-Based Access Control，基于角色的访问控制）和最小权限原则，确保"只有被授权的人，在被授权的时间，访问被授权的数据"。在 AI 系统中，这一层还需要覆盖 Agent 本身的权限——一个有工具调用（Tool Use）能力的 Agent 不应该有权访问所有数据库表。

审计监控层：假设泄露一定会发生

记录所有敏感数据访问操作，建立行为基线，检测异常（如凌晨 3 点批量导出用户表）。完整的审计日志是事件调查和合规证明的基础。

核心原理

原理说明

AI 系统的数据安全运转遵循一条"数据流过每一站都被检查和处理"的链路：

1. 数据进入系统：用户输入 Prompt 或数据通过 API 进入，输入侧 Guardrail（护栏）对内容进行 PII 扫描
2. PII 检测与分类：识别引擎用正则表达式 + NER 模型扫描数据，将敏感字段标记为不同等级（L1 公开到 L5 绝密）
3. 脱敏或加密决策：根据数据的使用场景自动选择防护策略——生产环境用加密存储，开发测试用脱敏替换，模型训练用差分隐私
4. 存储和传输保护：数据落库时字段级加密，跨网络时 TLS 1.3 加密传输
5. 访问控制验证：每次读取敏感数据都验证调用方身份和权限，Agent 的工具调用也受权限约束
6. 输出侧过滤：LLM 的输出经过 Output Guardrail 检查，拦截可能包含的 PII 或训练数据泄露
7. 审计记录：全链路操作写入审计日志，异常行为触发告警

这条链路的关键设计原则是"纵深防御"（Defense in Depth）——任何单一防护层被突破，后续层仍然能提供保护。

Mermaid 图解

整条链路有三个最容易被忽视的节点：

• Input Guardrail（蓝色）：大多数团队只在数据库层面做加密，忘了用户 Prompt 也是敏感数据的入口
• Output Guardrail（橙色）：LLM 可能在回答中泄露训练数据中的 PII，必须在输出侧拦截
• 审计日志（紫色）：不只是"合规需要"，更是安全事件调查时唯一可靠的证据源

运行示例

以下代码演示 AI 应用中数据安全的两个核心机制：PII 检测和自动脱敏。

# 基于 Python 3.10+ 标准库，无需额外安装
import re
from dataclasses import dataclass
from enum import Enum
from typing import List, Tuple


class SensitivityLevel(Enum):
    """数据敏感度等级"""
    L1_PUBLIC = "公开"
    L3_SENSITIVE = "敏感"
    L4_HIGHLY_SENSITIVE = "高度敏感"
    L5_TOP_SECRET = "绝密"


@dataclass
class PIIEntity:
    """检测到的 PII 实体"""
    text: str           # 原始文本
    pii_type: str       # PII 类型
    position: Tuple[int, int]  # 起止位置
    level: SensitivityLevel    # 敏感等级


class PIIDetector:
    """PII 检测引擎：正则 + 关键字双层扫描"""

    PATTERNS = {
        "身份证号": (
            r'\b\d{17}[\dX]\b',
            SensitivityLevel.L5_TOP_SECRET
        ),
        "手机号": (
            r'\b1[3-9]\d{9}\b',
            SensitivityLevel.L4_HIGHLY_SENSITIVE
        ),
        "邮箱": (
            r'[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}',
            SensitivityLevel.L3_SENSITIVE
        ),
        "银行卡号": (
            r'\b\d{16,19}\b',
            SensitivityLevel.L5_TOP_SECRET
        ),
    }

    def detect(self, text: str) -> List[PIIEntity]:
        """扫描文本，返回所有检测到的 PII 实体"""
        entities = []
        for pii_type, (pattern, level) in self.PATTERNS.items():
            for match in re.finditer(pattern, text):
                entities.append(PIIEntity(
                    text=match.group(),
                    pii_type=pii_type,
                    position=(match.start(), match.end()),
                    level=level,
                ))
        return entities


class PIIMasker:
    """PII 脱敏器：根据类型自动选择脱敏策略"""

    MASK_RULES = {
        "身份证号": lambda v: f"{v[:6]}********{v[-4:]}",
        "手机号":   lambda v: f"{v[:3]}****{v[-4:]}",
        "邮箱":     lambda v: f"{v[0]}***@{v.split('@')[1]}" if '@' in v else "***",
        "银行卡号": lambda v: f"{v[:4]} **** **** {v[-4:]}",
    }

    def mask_text(self, text: str, entities: List[PIIEntity]) -> str:
        """将检测到的 PII 替换为脱敏值（从后向前替换避免索引偏移）"""
        result = text
        for entity in sorted(entities, key=lambda e: e.position[0], reverse=True):
            rule = self.MASK_RULES.get(entity.pii_type)
            if rule:
                start, end = entity.position
                result = result[:start] + rule(entity.text) + result[end:]
        return result


# --- 模拟 Agent 应用中的 Input Guardrail ---
user_prompt = "帮我查一下张三的信息，身份证号110101199501011234，手机13912345678"

detector = PIIDetector()
masker = PIIMasker()

# 第一步：检测 PII
found = detector.detect(user_prompt)
for e in found:
    print(f"[检测] {e.pii_type}（{e.level.value}）: {e.text}")

# 第二步：脱敏后再送入 LLM
safe_prompt = masker.mask_text(user_prompt, found)
print(f"\n原始输入: {user_prompt}")
print(f"脱敏输入: {safe_prompt}")
# 脱敏后的 safe_prompt 才会被传入 LLM，避免 PII 进入模型上下文

代码对应数据安全链路中"Input Guardrail"阶段的核心机制。PIIDetector 承担识别层职责，PIIMasker 承担脱敏层职责。生产环境中检测引擎通常会扩展为正则 + NER 模型 + LLM-Guard 等多级方案，脱敏策略也会根据敏感等级动态调整（L3 用掩码，L5 用加密令牌化）。

易混概念辨析

核心区别：

• 数据安全：聚焦"敏感数据在技术层面如何不被泄露、篡改、滥用"
• 隐私保护：聚焦"个人数据主体的权利如何被尊重和保障"
• AI 安全：聚焦"AI 系统整体行为是否安全可控"

适用边界与局限

适用场景

1. 处理用户 PII 的 AI 应用：聊天机器人、客服 Agent、医疗问诊系统等直接接触用户敏感信息的场景，必须在输入输出两端做 PII 过滤
2. 模型训练数据准备：用真实业务数据训练或微调模型前，必须经过脱敏或差分隐私处理，否则模型可能在推理时"复述"训练数据中的隐私
3. 多租户 SaaS 平台：不同客户的数据共存于同一基础设施中，必须通过加密和访问控制实现严格的租户隔离
4. 跨境数据传输：受 GDPR、中国《数据安全法》等法规约束的国际化业务，需要在传输前对数据进行加密和脱敏

不适合的场景

1. 纯公开数据的处理：如果 AI 系统只处理公开可获取的信息（天气数据、公开新闻），投入完整的数据安全体系成本收益比不合理
2. 对延迟极度敏感的实时系统：在线游戏的毫秒级决策场景中，实时加解密和 PII 扫描带来的延迟可能不可接受

局限性

1. 性能开销不可消除：字段级加密和实时 PII 扫描都会增加 CPU 和 I/O 负担。在大规模数据场景中，加密可能使查询延迟增加 10%-30%，这需要在安全性和性能之间做取舍
2. 脱敏后数据可用性下降：过度脱敏会导致数据失去分析价值，而脱敏不足则存在"准标识符攻击"风险（多个看似无关的脱敏字段组合后仍可识别个人）
3. AI 特有风险难以完全消除：即使做了训练数据脱敏，LLM 仍可能通过上下文推理还原出部分敏感信息，这是当前研究的开放问题
4. 密钥管理是单点风险：加密的安全性最终依赖密钥的安全。如果密钥泄露，所有加密数据等同于明文。密钥管理需要专用硬件（HSM）支撑，成本高

常见误区

思考题

参考资料

1. OWASP Top 10 for LLM Applications (2025)：https://owasp.org/www-project-top-10-for-large-language-model-applications/
2. LLM Guard - 开源 LLM 安全工具包：https://github.com/protectai/llm-guard
3. NVIDIA NeMo Guardrails - LLM 可编程护栏：https://github.com/NVIDIA/NeMo-Guardrails
4. OpenGuardrails 论文（2025）- 统一 LLM 安全平台：https://arxiv.org/abs/2510.19169
5. 阿里云动态脱敏功能配置与使用详解：https://help.aliyun.com/zh/maxcompute/security-and-compliance/dynamic-data-masking
6. Azure Key Vault 托管 HSM 密钥管理：https://learn.microsoft.com/zh-cn/azure/key-vault/managed-hsm/mhsm-control-data