分級部署，TCL AIoT智慧生活背後的網路安全框架體系

電視、冰箱可以聯網，可以語音互動，還可以像手機一樣擁有觸控式螢幕……不知從何時開始，人類已經進入萬物互聯時代。按照TCL的說法，家電產品已進入全屋智慧時代，AIoT讓我們的生活變得越來越智慧。

究其根本，智慧家居生態背後，其實是實體企業進行數字化轉型的結果，新一代資訊科技讓智慧連線成為可能。只不過，物聯網技術的進步和智慧化水平的提升，不僅帶來了雲、管、端的全連線能力，還有無法預測的安全風險。

來自雲服務平臺的網路安全威脅

作為全球家電企業龍頭，TCL的業務範圍非常廣泛，不僅擁有電視機、手機、空冰洗在內的智慧終端業務，還有半導體顯示、材料業務和顯示皮膚業務。如今，TCL的諸多業務已遍佈160多個國家和地區，在80多個國家和地區設有銷售機構，60%以上的銷售來自於海外業務。2021年，TCL電視機和 “空冰洗”業務繼續保持領先地位，在多個國家和地區的銷量都位列前五。

為了讓產品變得更智慧，TCL把AIoT作為企業最新戰略，大力部署全球化數字化平臺，雲端AI平臺、IoT平臺、大資料平臺都是在此種背景下誕生。可以說，通過AIxIoT，TCL擁有業界最全產品圖，除了各種平臺，還有跨螢幕終端的TCL+ App、TCL Home App和小程式等，以及融合了各種智慧場景的互動、商城、售後服務和運營產品。其中，智慧電視機、移動終端和空冰洗等各種終端，已經實現了模組化生態，可以快速地無感觸網;外加效能優異、安全可靠、高價效比、接入靈活、即插即用的模組，和與之相關的各種連線技術、協議，已經形成了“組合拳”，讓智慧家居獲得全場景化服務能力。

隨著企業產品的規模化增長，數字技術成為有效管理手段，雲、管、端以及全新的連線技術，在為企業帶來高效管理和生產能力的同時，也開始暴露出新的風險和挑戰。比如：智慧終端裝置的韌體會被別有用心的人替換成非法韌體，從中獲取包括金鑰在內的各種重要資訊。

另外，智慧終端應用越來越多，企業和員工在享受豐富功能帶來的工作便利的同時，也會面臨著各種威脅。尤其是現在的網路環境，網路劫持、中間人攻擊等手段層出不窮，而在以往聯網和雲端被攻擊的案例中，基本從通訊入手，進而導致各種資料洩露。

最重要的是，儲存大量資料、掌握大量控制和服務的雲端，也會時不時受到應用層的攻擊，包括DDoS攻擊、主機攻擊、身份認證與鑑權攻擊等，輕則導致雲端服務不可用，重則導致大量使用者資訊洩露，尤其是使用者敏感資訊的洩露。

可以說，AIoT生態面臨的最大威脅就是雲服務平臺的安全性。因為，平臺網站的目標固定，儲存的資料量大，攻擊手段五花八門，而且方案也在不斷升級。

而從監管的角度來看，資訊防護已經不僅僅是企業自身問題，隨著各種法律法規的完善，安全已是所有聯網產品和雲端服務的“必修課”。比如：歐盟的GDPR、美國的CCPA、國內的《個人隱私保護法》《資料安全法》《網路安全法》等，對使用者的隱私保護要求越來越高，對聯網裝置的安全規定也越來越嚴苛，要求必須進行安全測試，出現安全問題要及時地反饋和處理，使得企業必須進行安全研發投入，大力開展與產品系統相關的安全建設。

以亞馬遜雲科技為基礎，進行全球化的分級部署

▲TCL實業控股CTO孫力

“TCL產品主要圍繞安全開發生命週期SDL來進行開發，App和雲服務的開發主要採用DevSecOps的流程進行開發，全面確保了產品、App、雲服務的安全性。”TCL實業控股CTO孫力，介紹具體了TCL AIxIoT智慧生活背後的安全策略。

值得一提的是，TCL專門成了一個鴻鵠實驗室專注於AI、IoT和雲服務等技術研發和產品化創新應用，確保實現產品的連線、互動和智慧。無論是手機還是空調，無論是5G還是4G，都要在第一時間確保裝置的連線，進而產生數字化價值。連線完以後，要進行資料上雲，確保任何一家公司、任何一個賬號，都能在數字世界有效互動，在確保資訊保安合規的情況下，為使用者提供更智慧化、更個性的服務。

同時，除了解決數字化、智慧化以及企業創新平臺問題，鴻鵠實驗室還肩負著研發管理職能，包括現代化的研發體系結構、研發的開發流程、研發管理、技術規劃等等。未來任何一家公司要做一些創新性的研究，比如人工智慧、機器人、智慧座艙、AR、VR、元宇宙，都要在同一個機構裡面去孵化。

據瞭解，鴻鵠實驗室的很多人都是安全專家，整個部門不僅要負責業務體系建設，還要與各個部門溝通，讓整個IT治理機制、流程和IT架構都要安全合規。TCL成立了全球安全應急響應中心，主要通過網站和郵箱的形式，處理使用者和業界安全愛好者提出的各種安全問題，同時還會對很多安全漏洞和事件做懸賞，鼓勵安全愛好者主動發現漏洞，TCL會及時進行修復，保障使用TCL產品的使用者的權益。TCL還購買了很多第三方的安全檢測工具，包括使用亞馬遜雲科技提供的一些安全漏洞檢測工具進行檢測。

TCL在安全上採取了分級策略，儘可能提高產品和服務的安全性。其中，公司內部網站、測試網站或者存放一些共享類、學習類的網站，被視為一級平臺，只需要做到守住關口就可以了，基本不需要安全產品投入。但是，對於廣告、品牌形象、業務支撐和售後系統等主要網站，存放的大部分是一些ID號，會被視為二級平臺，需要重點加強埠的安全措施，對重要資料進行保護，每隔一段時間就要進行安全掃描。而對於一些關鍵基礎設施，包括IoT平臺、大資料平臺、AI平臺等，這些存放了大量的使用者資訊的重要網站，被分為三級平臺，不僅需要對關口進行全方位的加強，進行全方位的保護，還要引入態勢感知等安全產品，實現等保三級以上的安全水平。

▲TCL實業鴻鵠實驗室安全部部長林舜大

“二級平臺以後的雲服務，我們都會採用亞馬遜雲科技的Amazon WAF來做防護，除了在安全技術的投入外，組織管理上也持續進行安全保障。” TCL實業鴻鵠實驗室安全部部長林舜大強調，對於那些存放使用者大量財產的金融網站、購物網站，投入多少安全措施都不為過。

TCL發現，企業收到的大部分漏洞都集中在雲服務端，充分說明雲服務安全的重要性。所以，TCL選擇和亞馬遜雲科技進行了合作，在雲服務端採用了亞馬遜雲科技的Amazon WAF來防護攻擊。TCL可以利用WAF定製規則，進行流量篩選，阻隔惡意的訪問。從監測資料來看，使用亞馬遜雲科技Amazon WAF的效果非常不錯，一週防護超過了13萬次的惡意請求，接近10萬次的程式自動攻擊。

當然，為了做到全面安全，TCL並不是只使用了亞馬遜雲科技的一款產品。除了Amazon WAF，TCL還使用了Amazon KMS來解決金鑰安全性的一些問題。因為，隱私保護離不開資料加密，而對金鑰的有效管理，是資料加密的關鍵。

除了對雲服務進行分級，對於不同型別的智慧產品也會區別對待，提高重點產品的安全性。比如：對於帶有AI語音的智慧家電，除了切實做好網路傳輸方面的安全外，整體系統的安全性也不能忽略。而帶IoT的智慧家電，除了在網路關口和系統層面進行整體防護外，還會對IoT裝置採用強有力的、帶有一機一密的安全身份認證和加密通道的安全措施。

構建統一的網路安全與隱私保護框架體系

在實際經驗中，亞馬遜雲科技針對安全合規服務提供“洋蔥型“的多層防護機制，為客戶提供全方位的安全服務。洋蔥型的多層防護機制，就是通過威脅檢測與事件響應、身份認證與訪問控制、網路與基礎設施安全、資料保護與隱私、風險管控及合規等五層防護體系。

加大對安全產品的投入，TCL還構建了統一的網路安全與隱私保護框架體系，其全方位、全縱深的安全措施和亞馬遜雲科技推崇的“洋蔥模型”非常類似。

TCL所有產品的網路安全架構都是按照法律法規要求進行部署，涉及安全設計、及時反饋、安全測試三方面內容。其中，前文重點強調的由雲、管、端、連構成的AIoT全場景智慧生活，對應的措施就是雲、管、端、聯的安全設計;而為了做到“及時反饋”，TCL建立了安全應急響應中心，有專人運營安全應急響應的郵箱和售後電話等;安全測試，只指通過採購和自主開發一些工具進行測試，還會時不時進行一些人工審計，採取對產品進行滲透和認證等措施。

為了做到安全合規，TCL在隱私保護框架上採取了業界最成熟的一套措施，從組織治理、政策流程，再嵌入到業務，保證產品的合規，不斷提升整個組織的意識與能力。同時，TCL也經常和有關機構進行合規層面的溝通，包括跟亞馬遜雲科技進行深度合作，更好地保障使用者權益。亞馬遜雲科技提供了從認證保護、檢測到響應到恢復的安全服務，TCL逐一進行了研究和評估，已經採用了很多服務。藉助亞馬遜雲科技的雲基礎設施，TCL實現了全球160多個國家的業務覆蓋，擁有3000多萬以上的活躍使用者。

最後，用林舜大的話來總結，“安全與合規是TCL品牌差異化的重要組成部分，而亞馬遜雲科技安全已成為品牌差異化的重要助推力量。”