揭秘:AI×IoT时代,TCL应对全球安全合规挑战之道
作者:刘沙 | 来源:计世网
2022-03-30
TCL采取了差异化的安全应对之道。
作为全球化的智能科技公司,TCL在智能终端、半导体显示、半导体光伏及半导体材料等领域提供产品、服务与解决方案,业务遍布全球160多个国家和地区,在80多个国家和地区设有销售机构,60%以上营业额来自海外业务。
AI×IoT时代的安全挑战
近年来,随着智能化和物联网的发展,TCL也在大力发展AI×IoT的全屋智能家电产品,构建智能家居生态圈,致力于让各个智能家电终端可以相互连接,能够独立和用户进行语音、触摸、视频等多种形式的交互,并自动感知环境,识别用户习惯,进而进行个性化的关怀。
据TCL实业鸿鹄实验室安全部部长林舜大介绍,为了实现更加智能的、让用户体验更好的AI×IoT的智能家居生态圈,TCL在云、管、端和连接上做出了不懈的努力。在云上有AI平台、IoT平台、大数据平台等全球化部署平台,可以实现万物互联、数据分析、智能服务的业务闭环;有跨屏幕终端的TCL+ App、TCL Home App和小程序,融合了各种智能场景的交互、商城、售后服务和运营;终端包括智能电视机、移动终端、空调、冰箱、洗衣机等,可实现模块化生态,快速无感触网;再加上开发性能优异、安全可靠、高性价比、接入灵活、即插即用的模组以及协议的连接技术,一起构成了AI×IoT的全场景智能家居生态圈。
TCL实业鸿鹄实验室安全部部长林舜大
但与此同时,由云、管、端以及连接技术构成的AI×IoT智能家居生态圈也带来了新的风险和挑战,面临各式各样的网络安全威胁,如:智能终端设备上的固件可能会被替换成非法固件,被不法分子从中获得密钥及其他各种信息;智能终端上的应用同样会面临各种威胁;联网产品和云端被攻击也多是从通信入手,网络劫持、中间人攻击等手段层出不穷,都会导致数据泄露。存储大量数据、掌握大量控制和服务的云端也会时常受到应用层攻击、DDoS攻击、主机攻击、身份鉴权攻击等,轻则导致云端服务不可用,重则导致大量用户敏感信息泄露。
"AI×IoT的系统和生态面临的安全威胁是非常严重的,而云服务平台的安全尤为重要。"林舜大解释到,因为平台网站的目标是固定的,存储的数据非常多,黑客攻击的手段也非常多,所以AI×IoT智能家居生态圈的安全重点是云服务平台网站的安全。
而且,随着各个国家对用户隐私保护的法律越来越严格,对联网设备的安全规定也越来越严苛,如欧盟的GDPR、美国的CCPA、国内的《个人隐私保护法》《数据安全法》《网络安全法》等和网络安全相关的法律,明确要求联网产品必须进行安全测试,如果出现安全问题,必须及时反馈和处理。
差异化的安全应对之道
为此,TCL采取了一系列安全应对措施:采用云端安全分级策略,在不同云端选择不同的策略;采用终端安全分级策略,对不同产品选择不同的策略;在公司内部构建统一的网络安全与隐私保护框架体系;将重要核心系统部署在亚马逊云科技上,实现安全合规的全球部署,同时使用Amazon WAF、Amazon GuardDuty、Amazon Security Hub等安全服务提升云端安全,获得从认证、保护、检测、自动化调查、响应、恢复的全旅程安全合规保护。
在云端,由于TCL的云服务进行全球化部署,覆盖了160多个国家、3000多万活跃用户,所以TCL对云服务进行了详尽的梳理和分级,对级别高的平台会采用更多安全措施。如一些内部网站、测试网站或共享类、学习类的网站,属于一级平台,这些网站只要守住关口就可以了,基本不需要在安全产品上进行投入。公司的主要网站,如广告、品牌形象、业务支撑和售后系统,用户信息比较少,存放的信息大部分是ID号,这类网站为二级平台,需要对端口加强安全措施,识别出里面的重要数据进行保护,隔一段时间就进行安全扫描。对于公司的关键基础设施,存放了大量用户信息的网站,如IoT平台、大数据平台、AI平台,这些网站属于为三级平台,需要对关口进行全方位加强,对整体进行全方位保护,甚至引入态势感知等安全产品,整体安全水平至少要达到等保三级以上。而对那些存放用户大量财产的金融网站、购物网站,除了在安全技术方面的投入外,在组织管理上也需要进行持续的安全保障。对二级平台以上的云服务,TCL都会采用亚马逊云科技的Amazon WAF来做防护。
采用这种分级策略,其实也跟亚马逊云科技在云服务安全方面的理念相符。正如亚马逊云科技大中华区战略业务发展部总经理顾凡所言,"云中安全是主动设计出来的,而不仅是被动响应。安全合规应与企业业务充分结合,作为业务开展的首要条件。安全建设应该未雨绸缪,根据业务的情况和系统的特点,主动从技术和管理的层面去落实。"
林舜大告诉记者,TCL利用Amazon WAF定制规则,进行流量筛选,阻隔恶意访问,效果是非常不错的。从监测数据可以看到,一周内就防护了超过13万次恶意请求,接近10万次程序自动攻击。
谈到选择亚马逊云科技的原因,TCL实业控股CTO孙力表示,企业会采用最适合自己的工具和合作伙伴来满足业务和用户的需求,一般会考量业务的特性、目标国家的可获取性、安全合规的能力、技术支持、服务力度、响应时间,此外还会考虑到架构的先进性、云服务软件的质量,以及综合使用成本等因素。
TCL实业控股CTO孙力
林舜大指出,采用亚马逊云科技的云服务,是由于亚马逊云科技的云基础设施通过了各个国家和地区的安全与合规认证,有安全与合规的基础保障,这样用户就可以更多关注应用层之上的安全与合规了。
在终端,对不同类型的智能产品,TCL也会进行分级,采用不同的安全策略来提高重点产品的安全性。由于有安全应急响应中心,对于不联网的家电,只需要被动进行安全响应就足够了。而对于联网的智能家电,这些终端往往是数据的接收方,发生最多的是请求信息,需要对网络端口、数据传输做安全措施,增加少量的系统安全措施。对于带有AI语音的智能家电,除了切实做好网络传输安全外,整体系统的安全也不能忽略。因为有语音传输说明云端有大量的数据交换,保护终端信息、密钥安全非常重要。对于带IoT的智能家电,智能终端容易被远程控制,除了网络关口和系统的整体防护外,还会对IoT设备采用强有力的、带有一机一密的安全身份认证和加密通道的安全措施。假如智能终端带有摄像头,甚至具有支付功能,还需要增加更多安全措施,特别是对摄像头的音视频、对支付做重点防护,此时的防护是全方位的。
林舜大强调,因为安防产品往往涉及到用户的个人财产安全,所以安防产品需要全方位、全纵深的安全措施,这与亚马逊云科技为客户打造的五层防护体系"洋葱"模型非常贴合。
在统一的网络安全与隐私保护组织架构方面,TCL采用了业界成熟的措施,从组织治理、政策流程嵌入到业务上来保证产品合规,进而不断提升整个组织的意识与能力,对公司的产品与业务进行有效的监控和改进,同时进行第三方认证。
据介绍,在TCL内部,该架构的最顶层是委员会,负责人是TCL实业CEO。下面是由法务部和安全部牵头的网络安全和隐私保护工作组来具体运作,组长是CTO。这个组织架构支撑了整个TCL实业的网络安全与隐私保护工作的有序进行。
林舜大告诉记者,TCL也经常和有关机构,如亚马逊云科技,进行安全合规上的沟通,以达到更好保障用户权益的目的。亚马逊云科技提供了从认证保护、检测到响应、恢复的40多种安全服务,TCL也在一些重要的业务上采用了亚马逊云科技提供的Amazon KMS来解决密钥安全性的问题。
孙力强调:"安全隐私合规中的木桶原理是非常显现的,如果有一个短板被攻破了,会把所有努力都抵消掉。要实现安全隐私合规的治理,一定要从组织、流程、预算、产品开发流程全方位着手,包括自上而下的重视程度,否则只能限于被动的、点上的、事件驱动型的安全响应机制。"
林舜大补充到:"在实现安全合规过程中,除了技术之外,整个公司的治理框架也是非常重要的。我们一直跟亚马逊云科技充分合作,通过向亚马逊云科技这样的先进企业学习,搭建了整个公司的安全合规治理的组织架构和运作方式,这使得我们受益很多。总结来说,安全与合规是TCL品牌差异化的重要部分,亚马逊云安全是这种品牌差异化的重要助推。"
AI×IoT时代的安全挑战
近年来,随着智能化和物联网的发展,TCL也在大力发展AI×IoT的全屋智能家电产品,构建智能家居生态圈,致力于让各个智能家电终端可以相互连接,能够独立和用户进行语音、触摸、视频等多种形式的交互,并自动感知环境,识别用户习惯,进而进行个性化的关怀。
据TCL实业鸿鹄实验室安全部部长林舜大介绍,为了实现更加智能的、让用户体验更好的AI×IoT的智能家居生态圈,TCL在云、管、端和连接上做出了不懈的努力。在云上有AI平台、IoT平台、大数据平台等全球化部署平台,可以实现万物互联、数据分析、智能服务的业务闭环;有跨屏幕终端的TCL+ App、TCL Home App和小程序,融合了各种智能场景的交互、商城、售后服务和运营;终端包括智能电视机、移动终端、空调、冰箱、洗衣机等,可实现模块化生态,快速无感触网;再加上开发性能优异、安全可靠、高性价比、接入灵活、即插即用的模组以及协议的连接技术,一起构成了AI×IoT的全场景智能家居生态圈。
TCL实业鸿鹄实验室安全部部长林舜大
但与此同时,由云、管、端以及连接技术构成的AI×IoT智能家居生态圈也带来了新的风险和挑战,面临各式各样的网络安全威胁,如:智能终端设备上的固件可能会被替换成非法固件,被不法分子从中获得密钥及其他各种信息;智能终端上的应用同样会面临各种威胁;联网产品和云端被攻击也多是从通信入手,网络劫持、中间人攻击等手段层出不穷,都会导致数据泄露。存储大量数据、掌握大量控制和服务的云端也会时常受到应用层攻击、DDoS攻击、主机攻击、身份鉴权攻击等,轻则导致云端服务不可用,重则导致大量用户敏感信息泄露。
"AI×IoT的系统和生态面临的安全威胁是非常严重的,而云服务平台的安全尤为重要。"林舜大解释到,因为平台网站的目标是固定的,存储的数据非常多,黑客攻击的手段也非常多,所以AI×IoT智能家居生态圈的安全重点是云服务平台网站的安全。
而且,随着各个国家对用户隐私保护的法律越来越严格,对联网设备的安全规定也越来越严苛,如欧盟的GDPR、美国的CCPA、国内的《个人隐私保护法》《数据安全法》《网络安全法》等和网络安全相关的法律,明确要求联网产品必须进行安全测试,如果出现安全问题,必须及时反馈和处理。
差异化的安全应对之道
为此,TCL采取了一系列安全应对措施:采用云端安全分级策略,在不同云端选择不同的策略;采用终端安全分级策略,对不同产品选择不同的策略;在公司内部构建统一的网络安全与隐私保护框架体系;将重要核心系统部署在亚马逊云科技上,实现安全合规的全球部署,同时使用Amazon WAF、Amazon GuardDuty、Amazon Security Hub等安全服务提升云端安全,获得从认证、保护、检测、自动化调查、响应、恢复的全旅程安全合规保护。
在云端,由于TCL的云服务进行全球化部署,覆盖了160多个国家、3000多万活跃用户,所以TCL对云服务进行了详尽的梳理和分级,对级别高的平台会采用更多安全措施。如一些内部网站、测试网站或共享类、学习类的网站,属于一级平台,这些网站只要守住关口就可以了,基本不需要在安全产品上进行投入。公司的主要网站,如广告、品牌形象、业务支撑和售后系统,用户信息比较少,存放的信息大部分是ID号,这类网站为二级平台,需要对端口加强安全措施,识别出里面的重要数据进行保护,隔一段时间就进行安全扫描。对于公司的关键基础设施,存放了大量用户信息的网站,如IoT平台、大数据平台、AI平台,这些网站属于为三级平台,需要对关口进行全方位加强,对整体进行全方位保护,甚至引入态势感知等安全产品,整体安全水平至少要达到等保三级以上。而对那些存放用户大量财产的金融网站、购物网站,除了在安全技术方面的投入外,在组织管理上也需要进行持续的安全保障。对二级平台以上的云服务,TCL都会采用亚马逊云科技的Amazon WAF来做防护。
采用这种分级策略,其实也跟亚马逊云科技在云服务安全方面的理念相符。正如亚马逊云科技大中华区战略业务发展部总经理顾凡所言,"云中安全是主动设计出来的,而不仅是被动响应。安全合规应与企业业务充分结合,作为业务开展的首要条件。安全建设应该未雨绸缪,根据业务的情况和系统的特点,主动从技术和管理的层面去落实。"
林舜大告诉记者,TCL利用Amazon WAF定制规则,进行流量筛选,阻隔恶意访问,效果是非常不错的。从监测数据可以看到,一周内就防护了超过13万次恶意请求,接近10万次程序自动攻击。
谈到选择亚马逊云科技的原因,TCL实业控股CTO孙力表示,企业会采用最适合自己的工具和合作伙伴来满足业务和用户的需求,一般会考量业务的特性、目标国家的可获取性、安全合规的能力、技术支持、服务力度、响应时间,此外还会考虑到架构的先进性、云服务软件的质量,以及综合使用成本等因素。
TCL实业控股CTO孙力
林舜大指出,采用亚马逊云科技的云服务,是由于亚马逊云科技的云基础设施通过了各个国家和地区的安全与合规认证,有安全与合规的基础保障,这样用户就可以更多关注应用层之上的安全与合规了。
在终端,对不同类型的智能产品,TCL也会进行分级,采用不同的安全策略来提高重点产品的安全性。由于有安全应急响应中心,对于不联网的家电,只需要被动进行安全响应就足够了。而对于联网的智能家电,这些终端往往是数据的接收方,发生最多的是请求信息,需要对网络端口、数据传输做安全措施,增加少量的系统安全措施。对于带有AI语音的智能家电,除了切实做好网络传输安全外,整体系统的安全也不能忽略。因为有语音传输说明云端有大量的数据交换,保护终端信息、密钥安全非常重要。对于带IoT的智能家电,智能终端容易被远程控制,除了网络关口和系统的整体防护外,还会对IoT设备采用强有力的、带有一机一密的安全身份认证和加密通道的安全措施。假如智能终端带有摄像头,甚至具有支付功能,还需要增加更多安全措施,特别是对摄像头的音视频、对支付做重点防护,此时的防护是全方位的。
林舜大强调,因为安防产品往往涉及到用户的个人财产安全,所以安防产品需要全方位、全纵深的安全措施,这与亚马逊云科技为客户打造的五层防护体系"洋葱"模型非常贴合。
在统一的网络安全与隐私保护组织架构方面,TCL采用了业界成熟的措施,从组织治理、政策流程嵌入到业务上来保证产品合规,进而不断提升整个组织的意识与能力,对公司的产品与业务进行有效的监控和改进,同时进行第三方认证。
据介绍,在TCL内部,该架构的最顶层是委员会,负责人是TCL实业CEO。下面是由法务部和安全部牵头的网络安全和隐私保护工作组来具体运作,组长是CTO。这个组织架构支撑了整个TCL实业的网络安全与隐私保护工作的有序进行。
林舜大告诉记者,TCL也经常和有关机构,如亚马逊云科技,进行安全合规上的沟通,以达到更好保障用户权益的目的。亚马逊云科技提供了从认证保护、检测到响应、恢复的40多种安全服务,TCL也在一些重要的业务上采用了亚马逊云科技提供的Amazon KMS来解决密钥安全性的问题。
孙力强调:"安全隐私合规中的木桶原理是非常显现的,如果有一个短板被攻破了,会把所有努力都抵消掉。要实现安全隐私合规的治理,一定要从组织、流程、预算、产品开发流程全方位着手,包括自上而下的重视程度,否则只能限于被动的、点上的、事件驱动型的安全响应机制。"
林舜大补充到:"在实现安全合规过程中,除了技术之外,整个公司的治理框架也是非常重要的。我们一直跟亚马逊云科技充分合作,通过向亚马逊云科技这样的先进企业学习,搭建了整个公司的安全合规治理的组织架构和运作方式,这使得我们受益很多。总结来说,安全与合规是TCL品牌差异化的重要部分,亚马逊云安全是这种品牌差异化的重要助推。"
责任编辑:刘沙
专题
最新发布