专题·人工智能安全 | 政府部门DeepSeek私有化部署的安全管理策略研究

文 | 农业农村部信息中心信息安全处 王祺鑫

2025年初，我国的人工智能大模型DeepSeek在全球范围内引起了广泛关注。这一现象本质上是我国技术突破、开源战略与产业需求三重因素共振的结果，标志着我国人工智能技术取得突破性进展。作为国产开源大模型，DeepSeek凭借低成本、高性能和安全可控等优势，已在全国多地政府部门实现了私有化部署，显著提升了政务服务效率与智能化水平。2018年，习近平总书记在中共中央政治局第九次集体学习时强调，“要加强人工智能发展的潜在风险研判和防范，维护人民利益和国家安全，确保人工智能安全、可靠、可控。”这一指导思想为我国人工智能的健康发展指明了方向。随着政府部门积极拥抱人工智能并实施数字化转型，我们应高度关注DeepSeek私有化部署的安全管理，始终坚持稳中求进的总基调，落实“安全、可靠、可控”的总体要求，确保人工智能技术的健康发展，更好地服务于国家和人民。

在数字化转型加速推进的当下，大模型技术作为人工智能领域的核心驱动力，正以前所未有的速度重塑各行业发展格局。DeepSeek在政府部门的应用场景较为广泛，主要包括智能问答、政务助手、公文写作等领域。通过接入DeepSeek，政府部门能够实现业务处理的自动化和智能化，从而提高工作效率，减少人工干预，降低错误率。

（一）私有化部署的主要优势

DeepSeek模型的私有化部署相比公有大模型面临的网络安全风险要小，符合政府部门对政务敏感信息保护的需求，同时能够紧密围绕业务流程和专业知识进行个性化定制。

一是高性能与低延迟。私有化部署支持政府部门根据业务需求配置专用硬件，独占算力资源，避免通过接口使用云端资源引起的性能波动，减少对网络带宽的依赖。本地网络推理延迟可控制在50毫秒以内，推理速度可提升30%-50%，有效提高人工智能实时交互的使用体验。二是网络与数据安全。私有化部署的方式将模型架构部署至政府部门的数据中心，利用已有的网络安全边界防护能力，能够有效防止外部网络攻击。通过构建本地化知识库，能在较大程度上确保数据安全性，避免数据外泄风险，符合政府部门对数据安全的严格要求。三是深度定制与优化。政府部门可基于自有数据训练DeepSeek模型进行深度学习，提升政务服务领域的问答准确率和生成质量。另外，私有化部署支持对模型架构进行改造，例如添加政府部门特定的知识库检索和多模态交互等功能。

（二）私有化部署的主要劣势

对于政府部门来说，DeepSeek模型私有化部署也存在一些不足之处，需持续投入大量人力、财力和物力，并且需要具备对大模型部署应用后各种安全风险的管理能力。

一是建设耗资较大。目前，一些政府部门为快速部署DeepSeek模型，使用大模型一体机作为私有化部署的硬件载体，但国产化算力成本较高，大模型一体机的价格从几十万到上百万不等。如果部署满血版671B参数模型，费用更高。同时，为了保证模型训练和推理过程中的高效数据传输，还需要购置高性能的交换机、路由器等网络设备，这些设备与大模型一体机共同带来较大的初期建设成本。在党中央反复强调“过紧日子”的要求下，政府部门新增财政预算的难度较大，且可能存在重复投资和算力资源闲置浪费的情况。二是运维成本高昂。由于大模型一体机集成了复杂的人工智能模型和高性能硬件设备，对运维人员的技术水平要求极高，需要具备人工智能、计算机网络、数据分析等多领域知识的复合型人才，且需要投入大量的时间和精力进行日常监控、故障排查和系统优化等工作。各级政府部门普遍缺乏相应的人才储备，无法自行开展运维工作，因此需要财政经费外包给专业的运维团队来保障其稳定运行。此外，以阿里云“AI训推一体机”为例，单机16卡的配置，整机功耗约6000-7000瓦，年耗电量约为52560度，单台DeepSeek一体机的年耗电成本约为5万元。每年持续消耗的电力、散热等费用也是不小的投入。三是可扩展性不强。大模型一体机的设计通常针对特定的性能指标和应用场景，其硬件架构在扩展性方面存在天然的限制。例如机箱空间有限，无法容纳过多的扩展卡或额外的存储设备，其内部的电源和散热系统也可能无法满足大规模硬件扩展的需求。此外，大模型一体机的硬件组件与预装的软件系统紧密耦合，一旦更换硬件，可能会导致软件无法正常运行。随着政务服务需求的增长，大模型一体机的硬件扩展能力无法满足政府部门日益增长的计算和存储需求。

与使用公有大模型相比（将数据上传给公有大模型进行训练、微调、分析和运用），私有化部署虽然避免了数据外溢的风险（或将风险控制在一定的范围内），但政府部门的管控措施和技术能力与阿里、腾讯、深度求索等专业机构相比仍有较大差距，DeepSeek私有化部署的安全风险更应引起足够关注。目前尚未有明确的公开案例显示政府部门直接部署的大模型遭受攻击，但从大模型安全技术研究中可以看到一些潜在的安全风险。作为一项全新的技术应用，DeepSeek私有化部署的安全风险呈现出技术复杂性与攻击隐蔽性并存的特点，涉及数据安全、内容安全、运行安全等多方面的主要安全风险，同时还包括算力盗取、软件供应链安全、运营管理等其他潜在风险。

（一）数据安全风险

大模型的训练和应用依赖大量数据，数据的全生命周期管理过程复杂，涉及多环节与多主体，这使得大模型的数据安全面临诸多挑战，在数据采集、传输、存储、使用等环节，都存在数据安全风险。

一是数据泄露。在数据收集、存储和使用过程中，若加密和访问控制措施缺失或薄弱，政务数据极易被窃取。数据库配置错误、弱口令、未授权访问接口等问题，都可能导致数据泄露，给政府部门带来严重损失。二是模型篡改。攻击者可以通过未授权访问Ollama的模型管理接口，读取、下载或删除模型文件，甚至篡改模型文件，导致模型不可用或输出错误结果，影响政府部门的正常业务运作。三是数据隐私。大模型训练需要大量数据，政府部门的数据可能涉及社会公众的个人敏感信息。若数据处理不当，如未进行有效脱敏、加密等处理，可能侵犯公众隐私，进而引发法律风险和社会信任危机。

（二）内容安全风险

大模型基于算法和海量数据进行学习并生成内容，其理解和生成逻辑存在一定的局限性，容易受到外部输入的干扰。同时，训练数据的质量和多样性也会影响大模型输出内容的安全性。

一是误导推理结果。攻击者通过投毒攻击向大模型输入对抗样本，诱导大模型在推理阶段输出偏差结果。这种攻击难以察觉，却会严重影响模型的可靠性和准确性，可能会误导行政审批、政务服务的业务办理。二是内容生成违规。大模型可能生成的内容包含敏感信息（如政治敏感、色情暴力、歧视性等内容）。如果缺乏管控措施，这些内容不仅会损害政府部门形象，还可能导致法律责任，引发社会负面舆论。三是虚假信息传播。由于大模型理解和生成能力的局限性，可能产生幻觉，生成虚假或错误信息。若这些信息被发布在政府部门网站、小程序、公众号等平台，并广泛传播，可能会对社会秩序和公共利益造成严重损害。

（三）运行安全风险

大模型的稳定运行依赖复杂的技术架构和网络环境，涉及多种应用组件、网络传输过程以及API接口交互，这些环节中的任何一个出现问题，都可能引发运行安全风险。

一是应用组件漏洞。大模型所依赖的深度学习框架、Web服务器、数据库管理系统等应用组件可能存在漏洞，这些漏洞可能被攻击者利用，导致数据泄露、服务崩溃或恶意代码执行。二是数据传输安全。数据在网络传输过程中，若未加密，易被攻击者窃听、篡改或劫持。中间人攻击可拦截网络通信，干扰大模型与用户及其他系统之间的数据交互，影响模型的正常运行。三是API接口风险。在DeepSeek私有化部署中，如果应用程序的访问控制配置不当，攻击者可能通过弱密码或未授权的API接口获取用户数据和配置信息。如果认证和授权机制配置不当，可能导致攻击者能够绕过身份验证，访问未经授权的资源，导致政府部门的敏感数据泄露或模型被恶意调用。

习近平总书记多次强调要“坚持统筹发展和安全，坚持发展和安全并重，实现高质量发展和高水平安全的良性互动”。当前，人工智能技术仍处于起步阶段，DeepSeek也存在幻觉率较高的问题，短时间内难以对政府部门的业务工作进行全面学习和人工替代。为有效应对政府部门DeepSeek私有化部署带来的安全风险，建议建立一个覆盖部署前安全评估、运行中实时监测以及事后应急响应的闭环管理策略。通过专业化的安全评估，精准识别潜在安全隐患；进行常态化的安全监测，实时掌握大模型运行状态；建立高效的应急响应机制，确保及时迅速采取措施以降低损失，保障大模型的安全稳定运行。

（一）大模型安全评估

大模型安全评估是保障大模型安全运行的关键手段，可以围绕大模型全生命周期展开，从多维度、多层面进行评估，识别安全隐患，提升模型的安全性、可靠性和合规性。

1. 大模型安全评估目标

一是识别安全隐患。通过全面评估，提前发现大模型在各个环节中存在的安全漏洞和风险点，及时采取措施进行修复和防范。二是确保合法合规。依据《中华人民共和国网络安全法》《生成式人工智能服务管理暂行办法》等相关法律法规和标准规范进行评估。三是提升模型安全性。根据评估结果，提出针对性的安全改进建议和措施，优化大模型的安全防护机制，提高模型的安全性和可靠性。

2. 大模型安全评估方法

一是漏洞扫描。利用漏洞扫描工具对大模型所依赖的服务器、网络设备、操作系统以及各类应用组件进行全面扫描，检测是否存在SQL注入、XSS、SSRF等常见漏洞。二是开展渗透测试。模拟真实的攻击场景，从网络边界、应用层、数据层等多层面尝试突破大模型系统的安全防线，发现潜在的安全漏洞和薄弱环节。三是数据安全风险评估。评估大模型数据在收集、存储、传输和使用过程中的安全性，包括加密措施是否有效、访问控制是否严格、数据脱敏和隐私保护是否到位等。四是模型安全评估。分析模型的算法安全性、架构合理性以及训练过程的可靠性，检测是否存在过拟合、梯度泄露、数据投毒等问题，评估模型对抗鲁棒性。进行人工对抗测试，与大模型进行“对话逻辑”层面的对抗，尝试利用提示词注入等手段诱导模型产生不安全输出。

3. 大模型安全评估内容

一是数据安全评估。检查数据库配置、访问接口等是否存在漏洞，审查数据处理过程中对个人敏感信息的处理是否合规，评估数据在全生命周期的完整性。二是内容安全评估。测试恶意输入数据（如对抗样本）对模型语料库的污染后果，检测模型内容过滤能力，输出是否会生成包含政治敏感、色情、暴力、歧视性等内容，判断模型生成的信息是否真实可靠。三是运行安全评估。检查深度学习框架、Web服务器、数据库管理系统等应用组件是否存在漏洞，数据在网络传输过程中是否加密脱敏，审查API接口的身份验证、授权机制是否有效等。

（二）大模型实时安全监测

对大模型的运行环境、交互内容和系统性能进行实时动态监测，能及时发现并处置潜在的安全问题，确保大模型运行的安全性和可靠性。

1. 监测目标

实时监测大模型的运行状态，识别并防范提示词注入、指令劫持、角色扮演、反向诱导等恶意攻击行为，研判大模型的输入输出内容，发现并阻止有害信息生成，检测对大模型算力的恶意消耗行为，保障大模型的资源合理使用。

2. 监测范围

一是输入内容监测。对使用者输入的提示词进行全面监测，涵盖文本、音频、图片等多种内容类型，重点关注开放式Web应用安全项目（OWASP）top10风险、人工智能机器人活动、敏感信息与价值观判断相关的内容。二是输出内容监测。监测大模型生成的输出内容，检查是否包含敏感信息、违法违规内容、虚假信息或其他不符合安全规范的信息。三是运行状态监测。监控大模型的运行性能指标，如图形处理器（GPU）使用率、内存占用、响应时间等，以及系统的网络流量、请求频率等，及时发现异常情况。

3. 监测内容

一是有害信息监测。实时监测输入提示词和大模型输出内容，利用分类模型和敏感词表，检测是否存在违法违规内容。二是敏感信息监测。对输入输出内容进行敏感信息判断，识别是否包含训练数据中的名字、地址、电话号码等敏感信息。三是模型幻觉监测。检验大模型在业务领域生成结果的可信度，通过与已知准确信息对比验证机制，评估大模型的幻觉率。四是提示词监测。运用提示词攻击识别模型，检测输入提示词中是否存在欺骗性或误导性指令。五是角色扮演攻击监测。监控模型在角色扮演场景下的输出内容，判断模型行为是否符合安全规范。六是算力消耗监测。实时监测大模型的算力使用情况，通过设定GPU使用率、任务运行时长、请求内容量等阈值，评估提示词对大模型的算力消耗程度，识别恶意消耗资源的行为。

（三）大模型应急响应机制

为在大模型发生安全事件时能够迅速做出反应，将损失降至最低，政府部门需要健全大模型安全事件应急响应机制，并依据不同事件类型制定相应的响应策略。

1. 攻击事件响应

一是拦截攻击IP。监测系统一旦识别出提示注入攻击，立即拦截攻击IP，阻止恶意提示词进入大模型。记录攻击告警的详细信息，如源IP、请求内容、时间等，为后续溯源和分析提供依据。二是修复检测机制。分析提示注入攻击绕过现有检测机制的原因，更新提示词检测模型和规则。采用更先进的自然语言处理技术，提高对恶意提示词的识别能力，防止类似攻击再次得逞。三是模型安全加固。对大模型的输入处理模块进行加固，增加对输入内容的合法性和安全性的验证环节。强化模型的鲁棒性，使其在面对各种恶意输入时能保持稳定运行，不被诱导产生异常输出。四是加强数据安全防护。对涉及泄露的敏感数据，进行加密处理或删除。完善数据访问控制机制，限制对敏感数据的访问权限，采用多因素身份验证等方式提高数据安全性。同时，对数据存储和传输过程中的加密措施进行升级，防止类似泄露事件再次发生。

2. 有害信息生成事件响应

一是及时阻断传播。监测到大模型生成暴力、偏见、仇恨言论或虚假信息等有害信息时，应立即切断相关输出的传播路径，停止向使用者提供包含有害信息的内容。二是隔离问题模块。确定产生有害信息的大模型模块或相关组件，对其进行隔离。暂停该部分功能，避免其继续生成有害内容影响整体系统。三是分析产生原因。检查训练数据是否包含不良内容，导致模型学习到有害信息；审查提示词检测机制是否存在漏洞，使恶意提示词绕过检测；分析模型算法是否存在缺陷，对特定输入产生错误的理解和输出。四是修复与验证。根据分析结果进行针对性修复。若训练数据存在问题，清洗或替换含有害信息的数据；若提示词检测机制有漏洞，更新检测模型和规则，提高检测精度；若算法缺陷，优化算法或调整模型参数。修复完成后，进行多轮测试验证，确保模型不再生成有害信息。

3. 模型幻觉事件响应

一是暂停相关应用。当发现模型在业务领域产生不可信结果时，立即暂停该模型在相关场景下的使用，避免基于错误结果引导政府部门做出错误决策。二是模型数据审查。审查模型训练数据，查看是否存在数据偏差、错误标注或不完整的情况，分析模型算法的训练过程和参数设置，检查是否存在过拟合、欠拟合或其他算法缺陷。三是重新训练与优化。根据审查结果，对模型进行重新训练与优化，修正训练数据，调整算法参数，改进模型结构，加强对训练数据的质量控制和模型性能的监测。四是验证与重新部署。重新训练后的模型需经过严格的验证测试，包括使用独立的测试数据集、进行实际场景模拟等方式，验证模型是否仍存在幻觉问题，并持续监控其输出结果。

目前，政府部门DeepSeek私有化部署还处于起步阶段，一些潜在的风险和问题尚未完全暴露。虽然落实安全评估、实时监测、应急响应等安全管理策略，能显著提高大模型的安全性，但要全面做好本地大模型的安全管理，仅靠上述的安全管理策略还不够，需要建立完善的政府部门DeepSeek私有化部署的安全管理体系，从组织机构、制度规范、技术防护、人员管理和资金保障等多方面入手。通过持续优化权限管理、强化威胁监测、实施国产化替代等工作辅助，形成全方位、多层次的体系架构，牢牢守护数字政府和智慧政务的安全防线。

（本文刊登于《中国信息安全》杂志2025年第3期）

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号