安全始终是人工智能应用不可回避的重要议题。人工智能作为一把双刃剑，在与网络空间深度结合的过程中极大地推动了网络空间攻防对抗的发展，也因其智能化与自动化的威胁处理能力为网络安全空间提供了显著的赋能效应。今年3月，微软率先将生成式人工智能技术应用到网络安全领域，推出全球首个AIGC网安产品Security Copilot。本文对微软AI安全理念及其在生成式AI浪潮下最新安全实践进行分析，并对运营商抓住大模型机遇赋能网络安全提出对策建议。

微软AI安全理念及实践

智能化是微软在安全领域的核心竞争力

一体化的集成能力和极强的AI自动化能力是微软在网络安全领域的两大法宝。在集成能力方面，微软真正实现了全场景、全平台、全生命周期的端到端安全防护，在设计、开发和交付的所有产品中都内置了安全性能，是全球唯一一家涵盖身份、安全、合规、设备管理及隐私的端到端集成工具供应商。在AI自动化能力方面，微软坚持将安全融入企业生产工具中，利用AI技术持续赋能安全产品与服务，并从组织机构方面为应对新形势下的风险和挑战保驾护航。2021年，微软对原网络安全团队进行整合，成立了新的安全、合规、身份与管理部门，从战略层面对网络安全工作进行指导，将应用人工智能和自动化技术对网络威胁进行分析与监测列为安全领域的五大重点工作之一。2022年，微软安全业务线营收超过200亿美元，同比增长33%，增速超过旗下的其他所有主要产品，成为网络安全领域的隐形巨头。

云平台是微软推进AI安全的重要基石

Azure云平台为微软人工智能模型训练提供了超大规模基础设施。智能云业务是驱动微软收入增长的三驾马车之一，2022年微软智能云业务收入超过750亿美元，占总收入的比重高达37.95%。微软在人工智能方面的布局与云平台密不可分，2018年微软进行组织架构调整，宣布组建云计算与人工智能平台部门；2019年微软投资OpenAI，并为其在Azure云上打造了一台由数万个A100GPU组成的大型AI超级计算机；2021年11月微软推出AzureOpenAI，对外提供大模型预训练及自定义AI模型构建等服务，并通过内置基于人工智能的模型为用户提供安全保障，有效提升了AI安全工具的可拓展性，减少了管理和运营成本，此外，建立在云上的智能化安全防护通过大数据的加持，实现了效率和性能的有效提升。

AI技术已在微软安全生态中得到广泛应用

微软现有网络安全产品和技术中已大量采用人工智能模型与技术。Microsoft Azure Sentinel是微软推出的第一个云原生和安全业务流程自动化解决方案，充分结合云计算、安全情报、机器学习/人工智能、自动化与集成等技术，实现智能化的威胁检测、预警、响应甚至反击，在威胁溯源和攻击链分析方面也具有一定优势。此外，微软还在Microsoft Defender中应用了基于云与AI驱动的自适应保护系统，解决如何定义恶意行为以及何时进行拦截的问题。攻击行为通常是从检测到少量异常或可疑信号开始，在实践中，如果对于异常信息的防护敏感度过高，很可能会阻断正常文件的使用，影响用户体验；如果防护敏感度较低，则可能漏杀恶意软件，造成安全隐患。基于AI的自适应保护系统可自动调整不同环境下的安全防护敏感度，在不影响用户体验的情况下最大限度提高安全防护能力和入侵阻断效果。

微软在生成式AI浪潮下的最新安全实践

随着以 ChatGPT为代表的生成式人工智能技术的突破性发展，微软率先将生成式人工智能技术应用到网络安全领域，推出生成式AI安全产品Security Copilot。这是第一款让安全人员能够以AI 的速度和规模做出响应的安全产品，实现了高级大型语言模型GPT-4与微软专用安全模型的结合，并由微软全球威胁情报系统提供每天超过65万亿个威胁信息作为支撑，在实践中具有五大优势。

支持自然语言输入，全面赋能安全场景

Security Copilot可通过基于自然语言的输入，提供关键的分步指导，从而实现“分钟级”的自动网络安全事件评估和响应。其数据源于美国网络安全和基础设施安全局、美国国家标准与技术研究院（NIST）漏洞数据库以及微软自身的全球威胁情报系统，可帮助专业安全人员高效处理网络安全事件、搜集网络安全事件信息、提升安全漏洞修复效率，还可以自动生成报告介绍所遭受攻击的简要情况。

提升威胁搜寻能力，实现AI级别防御

Security Copilot可对隐匿在各种噪音后面的恶意行为和威胁信号进行监测，检查系统是否受到已知漏洞和攻击的影响；对正在进行的攻击进行识别，评估其规模并给出有效应对策略；对可能发生的风险进行预测，提前发现网络安全威胁。在此基础上，还可以通过对微软全球威胁情报的学习预测威胁者的下一步行动及抵御策略，真正实现AI级别的防御。

内置闭环学习系统，实现模型自我完善

Security Copilot不仅仅是一个大型语言模型，也是一个拥有学习能力的系统，可不断从用户交互中学习，并通过内置的反馈功能调整响应模式，添加和调整新技能，逐步适应企业偏好，就实现更安全的结果向安全人员提供最佳行动方案，帮助企业真正以机器的速度和规模实现端到端防御。以隐私为核心的模型构建，保障用户数据主权Security Copilot高度重视用户隐私需求，在模型设计之初便充分考虑了用户数据主权，以隐私为核心进行模型构建，承诺以安全、可靠和负责任的方式交付用户数据，个人数据将始终处于用户控制范围，受到全面的企业合规性和安全控制的保护，不会用于AI模型训练。

赋能安全从业人员，缓解人才缺口问题

据统计，全球存在约340万个网络安全人员职位空缺。Security Copilot通过专业的网络安全数据训练，可为用户提供专业、详细的网络安全知识培训，提升安全团队的专业知识，解决熟练防御者供不应求问题。同时微软强调，Security Copilot的出现并非取代安全人员的工作，而是要辅助安全分析师更高效地输出价值，使其能够专注于最紧迫的工作。

微软实践对运营商的启示建议

加速安全领域大模型布局，应对新时代网络威胁

攻击数量和速度的增长要求不断创造新技术以提升响应速度，增强威胁搜寻能力。Security Copilot的核心技术是OpenAI的GPT-4生成式人工智能和微软自己的安全专用模型，其在国内的落地仍面临很多挑战。大模型时代需要大模型基础设施先行，电信运营商作为新型信息基础设施的运营者，布局大模型具有天然优势。面对新一轮人工智能浪潮，电信运营商积极响应并已取得一系列阶段性成就，比如，中国电信推出TeleChat大语言模型，聚焦于与数据中台、智能客服和智慧政务等行业应用的深度融合；中国移动九天·海算政务大模型和九天·客服大模型分别聚焦于政务与客户服务细分领域，并围绕具有通信特色的大模型展开布局，向网络运维和行业通话领域延伸；中国联通鸿湖大模型立足于图文双模态，专注运营商增值业务场景。借鉴微软经验，电信运营商大模型布局应加速向网络安全领域拓展，推出适用于运营商应用场景的大模型安全产品，应对大模型时代的新威胁、新挑战。

重视威胁情报数据监测与利用，输出定制化安全方案

从本质上讲，人工智能的核心是算力、算法和数据的比拼，大规模产品的训练离不开优质的行业数据和业务数据支持。微软GPT-4大语言模型的背后是其全球威胁情报系统每天超过65万亿个威胁情报的支撑，企业数据资源的数量和质量决定了自用大模型的可用性及可靠性。在近年来的数字化转型中，运营商在算力基础设施方面早有布局，因而对于布局人工智能算力具有一定的先发优势。以中国电信自主研发的云堤平台为例，该平台是国内唯一有全网覆盖能力和全球触达能力的网络攻击防护平台，可提供7×24小时的实时流量监测服务。运营商应利用好网络攻击实时监测平台，打造完善的数据对接能力，为模型训练提供高质量的个性化数据支撑，输出真正契合企业自身安全防护需求的定制化解决方案。

发挥云平台效能，大力推进AI安全生态建设

云平台可充当模型和算力之间的桥梁，是AIGC大模型生成的必备要素，微软凭借全球领先的Azure云计算平台有力促进了资源的合理分配，以最大限度发挥软硬件优势，从而大幅提升模型效率。在云上构建人工智能安全体系，一方面可实现自身安全能力的有效集成，减少重复建设，节约人力、财力和时间成本，另一方面可帮助用户将不同业务系统整合到统一的安全管控平台，实现降本增效。根据相关数据，AI计算已经成为微软云业务新的增长点与驱动力，2022年微软AI算力营收增速超过100%。网络安全的未来在云端，电信运营商应重视云上AI安全工具的开发与利用，充分利用云平台的可拓展性和快速开发部署能力，以云平台为抓手大力开展自主生态建设。

推动产品升级与集成，构建以大模型能力为核心的安全产品矩阵

微软在人工智能领域进行系统性布局的时间并不算早，但通过与OpenAI的深度绑定，旗下多个安全产品均实现了智能升级。Security Copilot是微软推出的第四个生成式AI应用产品，依托微软Azure云的超大规模基础设施，与微软的三大王牌安全产品Microsoft Sentinel、Microsoft Defender、Microsoft Intune实现了深度集成，并不断向第三方产品生态系统拓展。微软实践充分表明，大模型从企业端到消费端均有快速落地应用的巨大潜力。借鉴微软经验，电信运营商应高度重视利用AI赋能已有产品，将自研大模型能力嵌入自有应用，实现产品升级，并注重加强与现有安全产品生态体系的集成应用，借助自有云平台，提供安全可信环境，发挥云网融合优势，快速拓展大模型安全产品的使用场景，打造新的业务增长点。

作者单位：中国电信研究院（上海）