在数字化浪潮和AI大模型技术的双重推动下,企业信息安全领域正面临前所未有的复杂挑战,这对CIO、CISO等IT领航者的专业素养和洞察力提出了更高要求。外部环境方面,智能化攻击工具的普及,使攻击成本骤降,复杂隐蔽的威胁正如影随形;同时,全球网络犯罪的组织化和SaaS化趋势,加剧了企业成为针对性网络攻击和数据泄露目标的风险;此外,全球地区性冲突频发,使得某些国家黑客组织利用AI技术发起网络战,全球化企业在这种网络战威胁下更易受到波及,成为黑客攻击的重点目标。
在企业内部,数字化转型的高速推进导致数据量呈井喷式增长,传统的安全解决方案在海量日志面前显得力不从心;错综复杂的数字化基础设施和庞大的业务系统,包括IT、工控、海外、公有云、APP、IDC等众多业务场景,进一步增加了纵深安全防御体系的建设难度;此外,随着信息安全防护系统的持续完善,如何优化纵深安全防御体系的运营效率,同时巧妙融合AI技术,确保数据合规、防范数据泄露风险,已成为大型跨国制造企业亟待攻克的关键问题。
面对这些挑战,美的集团以其创新的信息安全“五板斧”策略,为行业提供了信息安全体系建设的新思路。近日,企业网D1net有幸专访到美的集团首席信息安全官(CISO)兼软件工程院院长、欧洲科学院院士、IEEE Fellow、IET Fellow、ACM杰出科学家刘向阳先生,他详细分享了美的在信息安全领域的实践经验,以及应对新挑战的策略与规划。
美的集团首席信息安全官(CISO)兼软件工程院院长 刘向阳
美的集团,作为大型跨国制造业中的“灯塔”,其网络环境和业务场景的复杂性不言而喻。美的独创的“五板斧”信息安全策略,更具全面性与多元性。从构建坚实的纵深安全防御体系,实施全方位、全覆盖的防护措施,到建立高效可靠且能持续自我完善的运营模式,实施合适的安全控制策略,再到隐私合规管理的精耕细作,每一个环节都凝聚了美的在信息安全领域的深厚积淀与前瞻性视野。
美的信息安全“五板斧”策略详解
一、进不来:严控外部威胁,筑牢安全防线
美的集团采取了多重措施来确保外部攻击者无法渗透系统。从网络隔离、准入控制到权限管理,美的依托零信任系统和机制,对每一个可能的安全风险点进行严格把控。同时,美的进行了上层应用的全面改造,通过DMZ应用治理、外网应用二次认证、DevSecOps建设以及HTTPS改造等手段,显著强化了应用层的安全防护能力。
在公有云安全方面,美的集团实施了网络隔离和边界防护等关键措施,并自动化审计云上安全配置,以确保公有云使用的安全性。此外,美的还通过邮件系统的二次认证、邮件安全网关过滤,资产管理和攻击面治理等举措,持续校准和优化安全策略,确保信息和资产的安全性。
在内网安全方面,美的集团实施了从内到内的网络隔离、生产准入和办公准入等机制,有效防止了内部威胁的扩散。同时,针对办公网以及数据中心的主动外联行为,美的设置了特殊设备白名单,进一步降低了潜在的安全风险。在工控安全层面,美的施行了准入严控和外设严控等策略,并进行工控漏洞扫描和工控隔离,确保了工控系统的安全性。在运维层面,美的明确要求运维人员将运维电脑和办公电脑区分开,从而有效防范钓鱼攻击和远程控制等威胁。此外,美的还通过密码管理系统进行有效的密码管控,显著降低了密码被破解的风险。
二、能发现:及时发现任何安全威胁或入侵
美的集团致力于构建一个多层次、全方位的监控和检测体系,以确保信息系统在面对各种潜在威胁时能够迅速、准确地做出反应。在服务器(数据中心与公有云)安全方面,美的采用HIDS(基于主机型入侵检测系统)进行实时监控,确保任何异常行为都能被及时发现并有效应对。同时,在终端(办公、工控)设备方面,美的则采用EDR(端点检测和响应)结合内存安全技术,通过指令序列白名单机制,有效防范恶意软件的入侵,保障终端设备的稳定运行。
在网络层面,美的集团部署了流量探针,对进出网络的流量进行深度分析,以便及时发现异常流量。此外,美的集团使用文件沙箱和邮件沙箱,对接收到的文件和邮件进行隔离检测,确保安全后再放行。同时加强对API安全的监控,通过API调用监控技术,有效防止API被恶意利用。
为了更全面地发现潜在威胁,美的集团在数据中心、公有云和工控环境中部署了蜜罐系统,诱捕攻击者并收集攻击信息,以便更好地了解攻击者的行为和手段。同时,美的集团还实施了严格的上网行为管理策略,严控应用敏感数据的导出,并加强了对大数据访问、导出和权限的控制,确保数据的安全性和隐私性。
此外,美的数字大脑集成了SOC与工控SOC平台,同时配备了美的自研的安全数据挖掘系统。该系统专注于UEBA(用户与实体行为分析)以及数据泄露检测等领域,能够有效覆盖传统SOC难以全面涉及的领域,为美的集团的信息安全提供了强力保障。
三、防泄漏:防止信息泄露,保护公司数据资产
为确保数据安全,美的集团针对性地部署了七大核心策略,全方位应对数据泄露风险。刘向阳对这七大策略逐一进行了详细解读。
(1)建组织、标准、明确责任:美的集团建立了专门的个人隐私保护项目组,并清晰界定了信息安全团队、集团法务及各业务部门数据保护代表(DPR)的职责范畴。同时,遵循国内外数据安全标准和法规,制定了内部数据安全管理标准和流程体系,确保数据在各个环节的处理过程中都能得到充分保护。此外,通过明确各部门和岗位的数据安全责任,美的集团有效增强了全员的数据安全意识,成功营造了一种全员参与、共同维护数据安全的良好氛围。
(2)梳理数据保护目录:美的集团建立了详细的数据保护目录体系,对重要及敏感数据实施了精细化的分类与分级管理。通过对数据的敏感性、重要性进行准确评估,制定了相应的保护措施和访问控制策略,有效筑起了防止敏感数据非法访问与泄露的坚固防线,确保了数据的安全性和保密性。
(3)系统开发上线和运维要按照安全规范进行:在系统开发、上线和运维过程中,美的集团始终遵循安全规范,将安全需求深度融入系统设计的每一个关键环节。通过严格的代码审查、全面的安全测试等多重举措,确保系统上线前不存在明显的安全漏洞。同时,美的集团还建立了应急响应机制,以确保在发生数据泄露等突发事件时能够迅速响应并有效处置,从而保障系统的稳定运行和数据的安全性。
(4)数据安全风险评估:美的集团定期开展数据安全风险评估工作,全面排查并评估潜在的安全威胁、漏洞及隐患。依据风险评估结果,及时制定并实施针对性的改进措施和加固方案,提升了系统的整体安全防护能力。这一举措有助于及时发现并有效应对潜在的安全风险,确保数据的安全性和稳定性。
(5)持续推动数据风险整改和升级:美的集团将数据安全工作视为一项长期任务,持续推动安全整改和升级工作。一旦发现安全问题和漏洞,集团会立即调配资源进行修复和加固;同时,紧跟技术发展和安全威胁的变化趋势,及时更新和完善安全防护措施和策略。这种持续改进和升级的做法,有助于保持数据安全防护的先进性和有效性,确保企业数据的安全性和竞争力。
(6)持续的数据安全能力建设:美的集团不断探索和实践前沿的数据安全技术,包括数据加密、数据出境监测、API检测、访问控制、数据水印、数据脱敏、数据泄露检测与响应等多个维度,致力于构建全方位、多层次的数据安全防护体系。美的持续优化数据安全技术架构,强化系统对外部攻击和内部泄露的防御能力,同时加大人员培训力度,以增强团队对数据安全的认知和应急响应能力。通过紧跟行业最佳实践和技术发展趋势,美的集团致力于保持其在数据安全防护领域的领先地位,确保能够有效应对不断演变的数据安全威胁和挑战,为业务的持续健康发展提供坚实保障。
(7)持续的外部合规认证:美的集团的重要业务系统持续通过第三方安全机构与监管部门的严格评估和认证,如ISO 27001、ISO 27701、CCRC数据安全管理认证等,不仅满足了监管部门的要求,也进一步增强了外部客户与消费者的信心。获得外部安全认证,是美的向监管部门、消费者、客户和合作伙伴等展示其卓越安全防护能力的重要途径。
四、保合规:确保所有IT系统符合全球法律法规和行业标准
在全球化背景下,不同国家和地区的信息安全合规要求千差万别,给企业跨国运营带来了重重挑战。面对这一复杂局势,美的集团通过实施隐私合规管理体系与产品合规管理体系并重的策略,成功在全球范围内实现了信息安全合规管理的目标。
在隐私合规管理体系的运作方面,刘向阳指出,美的集团通过成立专门的合规团队,负责隐私相关标准的制定和隐私方案的评审,确保公司运营符合当地法律法规标准。合规团队不仅定期梳理和更新全球所有业务所在国家和地区的法律和法规要求,还将合规管理融入公司运营的各个环节,制定相应的合规流程和操作指南,明确各部门和岗位的合规职责。
“我们各业务部门的数据保护代表(DPR)负责履行隐私合规的主体责任,落实隐私合规相关工作的推进。”刘向阳强调,“DPR负责协调本单位资源,对个人隐私风险进行闭环管理,确保个人隐私安全标准执行落地,建立并盘点个人隐私数据清单,以解决过程中出现的问题和风险。”
在产品合规管理体系的运作方面,美的集团会定期了解和梳理全球物联网产品的合规法规要求,并持续跟进全球法规的更新和发布。为对标全球合规要求,美的集团制定了全球物联网产品安全规范,并在全球进行推广和实施。“针对全球重要的产品安全法规,美的与第三方机构合作,对旗下产品进行认证测评,以确保产品合规地进入市场。”刘向阳表示,“目前,美的集团的产品已经满足了欧盟EN 303645法规、美国NIST 8425、英国PSTI、中国CCRC产品安全认证、中国家电院产品安全认证等多项标准与法规要求。”
然而,作为全球化企业,美的集团在合规管理中也面临着诸多挑战,如法律法规众多、法律法规变化快、落地实施标准不统一等。为了应对这些挑战,美的集团与监管部门建立起良好的沟通机制,积极参与合规标准的制定和解读,以便及时了解监管动态和政策意图。
美的集团致力于将隐私合规管理自动化,通过开发工具和模板,提高合规管理的效率和一致性。刘向阳分享道,“美的集团将产品合规的关键要求转化为企业标准和红线,进行实施与治理。同时,积极参与部分标准的制定,并建议监管部门出台更多标准实施指引,以更好地指导和支持企业的合规工作。”
五、重运营:持续监控、及时响应、快速处置、迭代优化
安全运营的重要性不言而喻,美的集团构建了全局SOC平台,并充分结合安全大模型进行高效管理。面对每天产生的超过80亿条安全日志和20万条告警信息,美的集团通过安全大模型将需要人工处理的告警量大幅降低至约200条,实现了高效的信息安全管理。美的集团上线了安全编排自动化与响应(SOAR)系统,SOAR与企业流程紧密结合,能够自动化处理大量报警信息,显著提升了信息安全管理的智能化和自动化水平。针对工控领域,美的集团建立了专门的工控SOC平台,并将其接入全局SOC体系,实现对工控环境的全面监控与管理。
美的集团自研了自动化攻击与模拟验证系统(BAS),该平台不仅定期邀请外部红队进行实战攻击测试,还配备了自主研发的自动化攻击测试系统,能够模拟和应对各种潜在的安全威胁。通过实战演习,美的集团不断检验和提升自身的信息安全防护能力,以模拟和应对各种潜在的安全威胁。
在处理安全事件时,美的集团遵循“及时止血、刨根问底、举一反三”的原则,确保安全事件能够得到迅速、有效地处置,并从中汲取教训,不断完善和优化信息安全管理体系。刘向阳强调,对于大多数企业而言,7*24小时的信息安全托管服务至关重要,这能确保企业在任何时刻都能迅速响应并处理安全事件。
在安全管理方面,美的集团信息安全部负责制定方案、提供培训和具体指引,事业部负责执行和落实。这种明确分工、协同合作的管理模式,确保了信息安全措施的有效实施。同时,美的还对事业部园区安全(含工控安全)进行定期现场审查,以确保各项安全措施得到严格执行。
在组织保障方面,美的集团建设了一整套CISO体系,确保信息安全事件的实时同步,以及信息安全策略的落地执行。此外,持续进行信息安全培训,提升员工的信息安全意识也尤为重要。
刘向阳强调,信息安全从业人员需具备“推土机精神”,因推广信息安全常面临诸多挑战,如争取预算、改造应用系统、改变员工习惯等。为应对这些挑战,从业人员需与各方充分联动和协作,共同保护公司的信息安全。
总结
美的信息安全“五板斧”策略体现了其对信息安全全方位的重视以及不懈追求持续改进的态度,这无疑为所有企业树立了一个值得学习的标杆。刘向阳进一步强调,在实施“五板斧”策略时,并无固定的先后顺序,这五个方面需要齐头并进,共同建设,以确保信息安全体系不存在任何短板。
然而,在实际落地执行的过程中,CISO需要根据风险进行细致的分类和分级,依据风险的大小、潜在的影响范围以及发生的频率,来明智地决定建设与运营的优先级,以及项目推进的合理节奏。特别是对于那些核心、重要的业务系统,更是需要优先进行保障与建设,以确保其信息安全能够得到最大程度的坚实保护。
最后,刘向阳特别提醒,尽管“五板斧”策略提供了一个极具参考价值的实践范例,但企业在借鉴之时,必须充分考虑自身独特的业务模式、技术架构、组织结构、业务需求和法规要求,进行灵活的调整和定制化的设计。这样才能确保信息安全体系能够精准对接企业的实际需求,为企业的长远发展提供坚实有力的保障,护航企业在数字时代的稳步前行。
关于企业网D1net(www.d1net.com):
国内最大的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。