目前,已经有超过100个国家和地区制定了数据保护和隐私相关的法律法规,对日益增加的云上数据量进行强监管,而且随着业务的持续变化,企业安全合规面临的新挑战也在逐渐增加。
当下,在全球范围内,数字化业务战略持续保持着高速发展的态势,云计算、大数据作为支撑企业数字化转型的技术基石,不可或缺,企业上云也成为数字化业务转型中的必由之路。面对越来越多的企业选择将业务迁往云端,安全合规也成为各个行业、企业的必答题。目前,已经有超过100个国家和地区制定了数据保护和隐私相关的法律法规,对日益增加的云上数据量进行强监管,而且随着业务的持续变化,企业安全合规面临的新挑战也在逐渐增加。
特别是对于很多出海企业而言,对于确保数据的合规采集,以及管理用户同意授权、数据应用范围等提出了更严格的标准,数据安全成为企业数字业务规范化运营的重中之重。在这方面,TCL作为中国制造企业国际化的先行者,TCL实业控股股份有限公司(下文简称“TCL实业”)携手亚马逊云科技实现了业务的云端部署和安全防护策略建立,在保证数字化业务快速创新的同时确保数据安全,为国内制造企业如何在“走出去”的时候,能够“走的又快又稳”带来了借鉴与思考。
安全合规是数字化转型的必答题
一直以来,中国电子制造业在成本、效率等方面拥有相对竞争优势,将相对竞争优势拓展到全球,能够赢得更加广阔的市场空间。孙力表示TCL历经了20余年的全球化征程,参与和见证了中国企业勇拓全球市场的进程。目前TCL包括三大块主要业务,分别为半导体显示和材料业务、显示面板业务,以及包括电视机、手机、空冰洗(空调、冰箱、洗衣机)在内的智能终端业务,在全球设有42个研发中心和32个制造基地,业务遍及160多个国家和地区,形成全球产业链布局,扎根当地生产、销售、服务。2020年TCL品牌电视销量2393万台,增长21.3%,位居全球前三;其中北美电视销量大幅增长,市占率排名第二。2021年上半年,TCL实现海外销售收入596亿元,较去年同期增长86.7%。
图 TCL实业控股CTO孙力
在新冠疫情和消费新趋势的双重影响下,家庭智能场景或将成为消费热点,品类齐全、用户触点多的品牌将获得先发优势。正是看到这种趋势,TCL智能终端业务将以智慧显示为核心,构建全场景智慧健康生活。为了打造更加智能化的AI×IoT家居生态圈,TCL持续在云、管、端和连接上做出不懈努力。在云端,TCL开发了AI平台、IoT平台、大数据平台等实现万物互联、数据分析、智能服务的业务闭环,还有跨屏幕终端的TCL+ App、TCL Home App和小程序等,融合了各种智能场景的交互、商城、售后服务和运营。在后端,TCL打造了智能电视机、移动终端、空冰洗在内的各种智能终端,实现了模块化生态,快速地无感触网。加上开发性能优异、安全可靠、高性价比、接入灵活、即插即用的模组以及协议的连接技术,一起构成了TCL AI×IoT的全场景智能家居生态圈。
在孙力看来,“现在产品的智能化已经成为不可逆的趋势,所有的产品都必须是智能化的。在万物互联的大时代,产品公司不能再简单地提供一些硬件产品,所以未来的整体架构一定是通过端云一体来提供些智能化服务。未来我们将在整个云端构建服务,TCL实业始终是围绕着智能化这个重大战略来进行布局,只不过落地到不同的产品上,它的智能化体现的方式是不一样的。”事实上,Gartner的研究报告显示,2022年全球IT支出预计将达到4.5万亿美元,相比2021年增长5.5%。其中,基于云计算和数字化的服务需求预计在2025年达到全球IT服务支出的20%,将进一步推动企业级服务的增长。
在智能设备去中心化的趋势下,TCL业务在海外快速发展的同时逐渐向云端迁移,这也带来了关于云端数据安全合规的挑战。一方面,随着云应用沿着轨迹成为占据主导地位的数据平台,针对智能终端的数据防护也需要随之进化。由于联网产品和云端被攻击基本也是从通信入手的,网络劫持、中间人攻击等手段层出不穷,进而还导致各种数据的泄露。存储大量数据、掌握大量控制和服务的云端也会时不时受到应用层的攻击、DDoS攻击、主机攻击、身份鉴权攻击等,轻则导致云端服务的不可用,重则导致大量用户信息的泄露,甚至用户敏感信息的泄露。
另一方面,随着国际各个国家对用户隐私保护的法律越来越严格,对联网设备的安全规定也越来越严苛,比如欧盟的GDPR、美国的CCPA、国内的《个人隐私保护法》《数据安全法》《网络安全法》等和网络空间相关的法律的发布,要求涉及到联网产品、涉及到云端服务,就必须大力地加强产品系统相关的安全的研发和建设。法律法规明确要求联网产品必须进行安全涉及、安全测试、出现安全问题必须及时地反馈和处理。
携手亚马逊云科技,为云端应用构建铁壁铜墙
在数字经济时代,越来越多的企业设立了数据驱动的目标。在TCL实业的AI×IoT智能家居生态圈中,数据安全威胁应对策略和数据安全保护方式也在不断升级。尤其是当下疫情的雾霭并未散去,各地散发疫情促使许多企业保持新的方式开展工作。这其中,业务连续性始终是TCL实业关注的重点之一。2019年,TCL实业成立“鸿鹄实验室”,负责建设产品互联互通的标准,连接协议、云平台、大数据,以及人工智能等。
鸿鹄实验室安全部部长林舜大介绍在云端保护上,TCL的产品研发主要采用了安全开发生命周期SDL来进行,App和云服务的开发主要采用DevSecOps的流程进行开发,保证产品、App、云服务的安全。
图 TCL实业鸿鹄实验室安全部部长林舜大
由于TCL在美国、法兰克福、印度、新加坡等都有云服务的部署网点,服务覆盖160多个国家,有3000多万以上的活跃用户。因此,亚马逊云科技庞大、稳定的基础设施获得了TCL实业的青睐。更重要的是,亚马逊云科技提出的安全防护“洋葱”模型可以充分满足TCL实业对于安全合规的全面需求,通过对威胁检测与事件响应、身份认证与访问控制、网络与基础设施安全、数据保护与隐私、风险管控及合规等一系列服务等服务评估分析,TCL实业决定将多个重要核心系统部署在亚马逊云科技上,实现安全合规的全球部署,同时使用Amazon KMS、Amazon WAF、Amazon GuardDuty、Amazon Security Hub等安全服务提升云端安全,获得从认证、保护、检测、自动化调查、响应、恢复的全旅程安全合规保护。
在孙力看来,“安全合规中的木桶原理是非常显现的,如果有一个短板被攻破了,将会把所有努力都给抵消掉了。要实现安全隐私合规的治理,一定是从组织、流程、预算、产品开发流程,包括自上而下的重视程度,得有这样的机制才能保障实现,否则的话只能限于被动的、点上的、事件驱动型的响应机制。”
林舜大谈到与亚马逊云科技的合作时指出,安全与合规是 TCL 品牌差异化的重要部分,亚马逊云科技安全服务是这种品牌差异化的重要助推。例如在应用Amazon WAF过程中,从监测数据可以看出,一周防护了超过13万次的恶意请求、接近10万次的程序自动攻击。这很大程度防范了网络攻击和勒索病毒的安全事件。
此外,为了更好打造安全壁垒,TCL实业还在亚马逊云科技的支持下采用了分级分类的策略。在隐私保护框架上,TCL实业采用业界成熟的措施,从组织治理、政策流程、业务嵌入上来保证产品的合规,进而不断提升整个企业组织的意识与能力,对公司的产品与业务进行有效的监控和改进,同时还会进行权威的第三方认证。
图 TCL实业制定的云端安全分级策略
图 TCL实业制定的终端安全分级策略
加速创新,出海驶向TCL数字未来
当前消费电子领域正面临着技术升级浪潮,“全球科技发展非常快,比如人工智能、大数据、云计算、5G……每场大的技术浪潮都会重新定义已有产品。”孙力说,“想要赢得竞争,就一定要围绕用户,从用户需求洞察到提供满足用户需求的产品的敏捷程度,是所有公司产品技术迭代的核心。”
在孙力看来,万物互联的今天,智能电视、智能冰箱,甚至一个小小的智能门锁都是家庭互联网入的入口,这也对TCL为代表的电子企业也提出了新要求:将技术能力和产品能力与用户强相关,并加速推进平台化、软件化。“云上安全是TCL实施全球化战略、实现业务创新的基石。我们信赖亚马逊云自身的安全,欣赏其全球优势以及广泛深入的安全服务。使用多项亚马逊云科技服务打造TCL云端安全体系,让我们能够全方位保障云端安全,并且提高运维效率,节省人力成本。”
值得一提的是,TCL还在内部从顶层设计了统一的网络安全与隐私保护组织架构,由TLC实业CEO、CTO、法务部和安全部组成了网络安全和隐私保护工作组,负责整个TCL实业的网络安全合规工作有序进行。此外,TCL在隐私影响评估流程中也嵌入了一些安全工作,比如在需求阶段,需要填安全影响评估表,在评估阶段进行安全方案设计,在验收隐私测试的时候加入验收安全测试。这种隐私影响评估流程同时嵌入到产品的开发流程过程中,赋能给采购、研发、运营、销售等各个阶段。
“在实现安全合规过程中,除了技术之外,其实整个公司的治理框架是非常重要的。我们一直跟亚马逊云科技充分合作,通过向亚马逊云科技这样的先进企业学习,搭建了整个公司的安全合规治理的组织架构和运作方式,这使得我们受益很多。”林舜大总结道。