首页 > 科技 > 新加坡GovTech降低公共部门人工智能开发风险的五大策略
标签

新加坡GovTech降低公共部门人工智能开发风险的五大策略

发布时间:2026-04-20 18:57来源:微信阅读:5

新加坡政府科技局(GovTech Singapore)首席执行官兼新加坡数码发展与新闻部(MDDI)首席数字技术官吴伟文指出,在当今时代忽视人工智能已不再是可行的选项。

他在4月17日举办的STACKx网络安全大会上发表了题为“烈焰升腾:信任在火线中”的主题演讲,阐明人工智能是应对新兴网络安全挑战的核心驱动力。本次大会汇聚了超过1000名来自公共和私营领域的专业人士,目前已进入第二届议程,重点探讨如何运用人工智能强化网络防御能力。

吴先生在演讲中延续了“火焰”的比喻,详细介绍了新加坡政府科技局针对人工智能驱动的网络安全新威胁所采取的应对策略。这些举措旨在:驯服火焰(通过赋能各部门构建更安全的人工智能系统)、驾驭火焰(通过人工智能为防御者创造优势)、掌握火焰(使公职人员能够有效保护并运用人工智能)。

GovInsider该机构为保障公职人员安全开发和使用数字系统所采取的五项核心措施。

一、培养主体意识与明确指导方针的政策改革

为从“勾选复选框”模式转向对自身安全态势拥有更大自主权,新加坡政府科技局修订了IM8政策,赋予数字系统所有者更大的决策空间,使其能够根据独特的业务需求定制安全方案。IM8是新加坡公共部门信息技术与智能系统的核心政策框架。

“新版IM8摒弃了一刀切的做法,采用分级控制机制,这些措施能够清晰对应系统的风险等级,”Goh解释道。

为降低合规工作中的人工负担,新加坡政府科技局于2024年推出了WOG IM8数字门户,允许各机构定制系统控制措施并实现检查自动化。该平台可将人工可读的合规信息转换为机器可读代码(OSCAL),随后输入到新加坡政府科技局的各类平台,如CloudSCAPE和CodeSCAPE。这些平台支持系统所有者每日执行检查,快速验证代码是否符合策略要求。

他表示:“通过简化这些流程,政府确保安全是一项持续性、针对性的优先工作,而非仅年度一次的合规任务。”

“针对人工智能的安全指引有助于增强我们人员的建设信心,”吴先生补充道,并分享了机构发布的WOG智能体人工智能标准,该标准旨在为公职人员提供人工智能智能体常见威胁及安全最佳实践的指导。

二、将安全性融入集中式WOG平台

Goh指出,安全设计意味着“从设计阶段就将安全内嵌其中,而非事后补救”,他强调了安全设计型集中式平台的重要性。他介绍了新加坡政府科技局构建的全链路平台矩阵,涵盖开发环境保护(SEED和TechPass)、代码库管理(SHIP-HATS和CodeSCAPE)到部署环境(Government on Commercial Cloud、Container Stack和CloudSCAPE)。

他还重点介绍了PlatformAI,这是一款一站式服务平台,可帮助政府机构在安全合规的环境中构建、测试和部署人工智能应用,如语音转文本转录和文档分类。PlatformAI还提供API接口,允许访问预置的商业大型语言模型,这些模型内置了Sentinel防护机制。

虽然Sentinel的防护重点在于提示词保护,新加坡政府科技局还开发了Litmus,这是一款测试即服务工具,专门用于保护生成式人工智能应用。

除创建实验和应用平台外,新加坡政府科技局还计划为每位公务员配备智能人工智能助手以支持日常工作;鼓励公务员间开展基于“Vibe Code”技术的协作,快速开发实用应用原型;并运用人工智能编码代理和智能体工程提升开发人员效率。

三、持续迭代的测试体系

新加坡政府拥有超过2000个数字系统,该机构采用多层次测试策略,充分发挥行业专业优势。通过网络安全与审计服务批量招标,其他机构可便捷地从私营部门采购专业测试服务。

“我们近期引入了基于能力的分级体系,确保最关键的服务获得最高等级的测试。我们的目标不仅是选择报价最低的方案。部分系统需要更高级别的测试,这可能需要更高水平的专业知识,因此成本可能更高,”他解释道。

此外,政府漏洞赏金计划邀请黑客发现政府系统漏洞,该计划自2018年以来已发现超过1000个漏洞。

吴先生还介绍了政府网络安全运营中心的发展历程,该中心是监控政府网络威胁的核心枢纽。新加坡政府科技局在内部测试发现漏洞后,进一步开发了GCSOC 2.0,以降低误报率并确保工具能精准检测问题。

“为降低误报,我们采用了检测工程最佳实践。现在,我们在部署前会根据警报结果迭代测试和调整规则。我们也开始整合威胁情报,以确定特定策略、技术和流程的优先级,”他解释说。

“为验证检测规则,我们采用了自动化入侵攻击模拟工具。这意味着我们会定期在网络上模拟最新攻击,检验是否能成功检测,”他补充道。

下一步是智能体驱动的安全运营中心,吴先生表示正与行业伙伴探讨这一方向。他指出:“具备智能体的安全运营中心可让我们深入调查所有生成的警报,而非仅能优先处理少数几个。”

四、探索人工智能在安全测试领域的应用

新加坡政府科技局正探索利用人工智能代理扩大安全测试规模,这有望为超过2000个政府系统实现持续性测试。该机构即将推出一套多智能体系统,模拟资深渗透测试人员的工作方式。

正如Goh所说的“推动左移”——为在漏洞进入生产环境前发现,新加坡政府科技局已将人工智能驱动的代码审查工具集成到GitLab实例中。

他形容:“你可以想象这是一个全天候在线的数字代码审查员,它会在每次合并请求时检查代码变更,识别错误、漏洞和不良编码实践。”

五、提升公务员与首席信息安全官的技能

吴先生表示,新加坡政府科技局已为网络安全组每位官员设立人工智能安全基础课程,确保他们具备保护新系统所需的技能。这种技能提升趋势也延伸至领导层,确保首席信息安全官能同样有效应对快速演进的网络威胁。

“我们需要知识渊博、技能娴熟的人员为组织设计合适的安全控制措施。我们的网络安全领导者也需要跟上快速变化的技术步伐,弥合知识差距,增强做出合理决策的能力,”他强调,并指出持续投资培养下一代网络安全从业人员的必要性。

“单靠技术并非解决之道。人工智能等新技术或许能帮助我们更有效地执行,但最终定义‘为什么’和‘做什么’的,仍然是人,”他总结道。

← 上一篇:森马联手小沓AI 人工智能赋能电商运营智慧升级 下一篇:三位AI领域专家打造独特创意游戏 →