分級部署,TCL AIoT智慧生活背後的網路安全框架體系

danny_2018發表於2022-04-08

電視、冰箱可以聯網,可以語音互動,還可以像手機一樣擁有觸控式螢幕……不知從何時開始,人類已經進入萬物互聯時代。按照TCL的說法,家電產品已進入全屋智慧時代,AIoT讓我們的生活變得越來越智慧。

究其根本,智慧家居生態背後,其實是實體企業進行數字化轉型的結果,新一代資訊科技讓智慧連線成為可能。只不過,物聯網技術的進步和智慧化水平的提升,不僅帶來了雲、管、端的全連線能力,還有無法預測的安全風險。

來自雲服務平臺的網路安全威脅

作為全球家電企業龍頭,TCL的業務範圍非常廣泛,不僅擁有電視機、手機、空冰洗在內的智慧終端業務,還有半導體顯示、材料業務和顯示皮膚業務。如今,TCL的諸多業務已遍佈160多個國家和地區,在80多個國家和地區設有銷售機構,60%以上的銷售來自於海外業務。2021年,TCL電視機和 “空冰洗”業務繼續保持領先地位,在多個國家和地區的銷量都位列前五。

為了讓產品變得更智慧,TCL把AIoT作為企業最新戰略,大力部署全球化數字化平臺,雲端AI平臺、IoT平臺、大資料平臺都是在此種背景下誕生。可以說,透過AIxIoT,TCL擁有業界最全產品圖,除了各種平臺,還有跨螢幕終端的TCL+ App、TCL Home App和小程式等,以及融合了各種智慧場景的互動、商城、售後服務和運營產品。其中,智慧電視機、移動終端和空冰洗等各種終端,已經實現了模組化生態,可以快速地無感觸網;外加效能優異、安全可靠、高價效比、接入靈活、即插即用的模組,和與之相關的各種連線技術、協議,已經形成了“組合拳”,讓智慧家居獲得全場景化服務能力。

隨著企業產品的規模化增長,數字技術成為有效管理手段,雲、管、端以及全新的連線技術,在為企業帶來高效管理和生產能力的同時,也開始暴露出新的風險和挑戰。比如:智慧終端裝置的韌體會被別有用心的人替換成非法韌體,從中獲取包括金鑰在內的各種重要資訊。

另外,智慧終端應用越來越多,企業和員工在享受豐富功能帶來的工作便利的同時,也會面臨著各種威脅。尤其是現在的網路環境,網路劫持、中間人攻擊等手段層出不窮,而在以往聯網和雲端被攻擊的案例中,基本從通訊入手,進而導致各種資料洩露。

最重要的是,儲存大量資料、掌握大量控制和服務的雲端,也會時不時受到應用層的攻擊,包括DDoS攻擊、主機攻擊、身份認證與鑑權攻擊等,輕則導致雲端服務不可用,重則導致大量使用者資訊洩露,尤其是使用者敏感資訊的洩露。

可以說,AIoT生態面臨的最大威脅就是雲服務平臺的安全性。因為,平臺網站的目標固定,儲存的資料量大,攻擊手段五花八門,而且方案也在不斷升級。

而從監管的角度來看,資訊防護已經不僅僅是企業自身問題,隨著各種法律法規的完善,安全已是所有聯網產品和雲端服務的“必修課”。比如:歐盟的GDPR、美國的CCPA、國內的《個人隱私保護法》《資料安全法》《網路安全法》等,對使用者的隱私保護要求越來越高,對聯網裝置的安全規定也越來越嚴苛,要求必須進行安全測試,出現安全問題要及時地反饋和處理,使得企業必須進行安全研發投入,大力開展與產品系統相關的安全建設。

以亞馬遜雲科技為基礎,進行全球化的分級部署

▲TCL實業控股CTO孫力

“TCL產品主要圍繞安全開發生命週期SDL來進行開發,App和雲服務的開發主要採用DevSecOps的流程進行開發,全面確保了產品、App、雲服務的安全性。”TCL實業控股CTO孫力,介紹具體了TCL AIxIoT智慧生活背後的安全策略。

值得一提的是,TCL專門成了一個鴻鵠實驗室專注於AI、IoT和雲服務等技術研發和產品化創新應用,確保實現產品的連線、互動和智慧。無論是手機還是空調,無論是5G還是4G,都要在第一時間確保裝置的連線,進而產生數字化價值。連線完以後,要進行資料上雲,確保任何一家公司、任何一個賬號,都能在數字世界有效互動,在確保資訊保安合規的情況下,為使用者提供更智慧化、更個性的服務。

同時,除了解決數字化、智慧化以及企業創新平臺問題,鴻鵠實驗室還肩負著研發管理職能,包括現代化的研發體系結構、研發的開發流程、研發管理、技術規劃等等。未來任何一家公司要做一些創新性的研究,比如人工智慧、機器人、智慧座艙、AR、VR、元宇宙,都要在同一個機構裡面去孵化。

據瞭解,鴻鵠實驗室的很多人都是安全專家,整個部門不僅要負責業務體系建設,還要與各個部門溝通,讓整個IT治理機制、流程和IT架構都要安全合規。TCL成立了全球安全應急響應中心,主要透過網站和郵箱的形式,處理使用者和業界安全愛好者提出的各種安全問題,同時還會對很多安全漏洞和事件做懸賞,鼓勵安全愛好者主動發現漏洞,TCL會及時進行修復,保障使用TCL產品的使用者的權益。TCL還購買了很多第三方的安全檢測工具,包括使用亞馬遜雲科技提供的一些安全漏洞檢測工具進行檢測。

TCL在安全上採取了分級策略,儘可能提高產品和服務的安全性。其中,公司內部網站、測試網站或者存放一些共享類、學習類的網站,被視為一級平臺,只需要做到守住關口就可以了,基本不需要安全產品投入。但是,對於廣告、品牌形象、業務支撐和售後系統等主要網站,存放的大部分是一些ID號,會被視為二級平臺,需要重點加強埠的安全措施,對重要資料進行保護,每隔一段時間就要進行安全掃描。而對於一些關鍵基礎設施,包括IoT平臺、大資料平臺、AI平臺等,這些存放了大量的使用者資訊的重要網站,被分為三級平臺,不僅需要對關口進行全方位的加強,進行全方位的保護,還要引入態勢感知等安全產品,實現等保三級以上的安全水平。

▲TCL實業鴻鵠實驗室安全部部長林舜大

“二級平臺以後的雲服務,我們都會採用亞馬遜雲科技的Amazon WAF來做防護,除了在安全技術的投入外,組織管理上也持續進行安全保障。” TCL實業鴻鵠實驗室安全部部長林舜大強調,對於那些存放使用者大量財產的金融網站、購物網站,投入多少安全措施都不為過。

TCL發現,企業收到的大部分漏洞都集中在雲服務端,充分說明雲服務安全的重要性。所以,TCL選擇和亞馬遜雲科技進行了合作,在雲服務端採用了亞馬遜雲科技的Amazon WAF來防護攻擊。TCL可以利用WAF定製規則,進行流量篩選,阻隔惡意的訪問。從監測資料來看,使用亞馬遜雲科技Amazon WAF的效果非常不錯,一週防護超過了13萬次的惡意請求,接近10萬次的程式自動攻擊。

當然,為了做到全面安全,TCL並不是只使用了亞馬遜雲科技的一款產品。除了Amazon WAF,TCL還使用了Amazon KMS來解決金鑰安全性的一些問題。因為,隱私保護離不開資料加密,而對金鑰的有效管理,是資料加密的關鍵。

除了對雲服務進行分級,對於不同型別的智慧產品也會區別對待,提高重點產品的安全性。比如:對於帶有AI語音的智慧家電,除了切實做好網路傳輸方面的安全外,整體系統的安全性也不能忽略。而帶IoT的智慧家電,除了在網路關口和系統層面進行整體防護外,還會對IoT裝置採用強有力的、帶有一機一密的安全身份認證和加密通道的安全措施。

構建統一的網路安全與隱私保護框架體系

在實際經驗中,亞馬遜雲科技針對安全合規服務提供“洋蔥型“的多層防護機制,為客戶提供全方位的安全服務。洋蔥型的多層防護機制,就是透過威脅檢測與事件響應、身份認證與訪問控制、網路與基礎設施安全、資料保護與隱私、風險管控及合規等五層防護體系。

加大對安全產品的投入,TCL還構建了統一的網路安全與隱私保護框架體系,其全方位、全縱深的安全措施和亞馬遜雲科技推崇的“洋蔥模型”非常類似。

TCL所有產品的網路安全架構都是按照法律法規要求進行部署,涉及安全設計、及時反饋、安全測試三方面內容。其中,前文重點強調的由雲、管、端、連構成的AIoT全場景智慧生活,對應的措施就是雲、管、端、聯的安全設計;而為了做到“及時反饋”,TCL建立了安全應急響應中心,有專人運營安全應急響應的郵箱和售後電話等;安全測試,只指透過採購和自主開發一些工具進行測試,還會時不時進行一些人工審計,採取對產品進行滲透和認證等措施。

為了做到安全合規,TCL在隱私保護框架上採取了業界最成熟的一套措施,從組織治理、政策流程,再嵌入到業務,保證產品的合規,不斷提升整個組織的意識與能力。同時,TCL也經常和有關機構進行合規層面的溝通,包括跟亞馬遜雲科技進行深度合作,更好地保障使用者權益。亞馬遜雲科技提供了從認證保護、檢測到響應到恢復的安全服務,TCL逐一進行了研究和評估,已經採用了很多服務。藉助亞馬遜雲科技的雲基礎設施,TCL實現了全球160多個國家的業務覆蓋,擁有3000多萬以上的活躍使用者。

最後,用林舜大的話來總結,“安全與合規是TCL品牌差異化的重要組成部分,而亞馬遜雲科技安全已成為品牌差異化的重要助推力量。”

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31547898/viewspace-2886121/,如需轉載,請註明出處,否則將追究法律責任。

相關文章