在數字化浪潮和AI大模型技術的雙重推動下，企業信息安全領域正面臨前所未有的復雜挑戰，這對CIO、CISO等IT領航者的專業素養和洞察力提出了更高要求。外部環境方面，智能化攻擊工具的普及，使攻擊成本驟降，復雜隱蔽的威脅正如影隨形;同時，全球網絡犯罪的組織化和SaaS化趨勢，加劇了企業成為針對性網絡攻擊和數據泄露目標的風險;此外，全球地區性沖突頻發，使得某些國家黑客組織利用AI技術發起網絡戰，全球化企業在這種網絡戰威脅下更易受到波及，成為黑客攻擊的重點目標。

在企業內部，數字化轉型的高速推進導致數據量呈井噴式增長，傳統的安全解決方案在海量日志面前顯得力不從心;錯綜復雜的數字化基礎設施和龐大的業務系統，包括IT、工控、海外、公有云、APP、IDC等眾多業務場景，進一步增加了縱深安全防御體系的建設難度;此外，隨著信息安全防護系統的持續完善，如何優化縱深安全防御體系的運營效率，同時巧妙融合AI技術，確保數據合規、防范數據泄露風險，已成為大型跨國制造企業亟待攻克的關鍵問題。

面對這些挑戰，美的集團以其創新的信息安全“五板斧”策略，為行業提供了信息安全體系建設的新思路。近日，企業網D1net有幸專訪到美的集團首席信息安全官(CISO)兼軟件工程院院長、歐洲科學院院士、IEEE Fellow、IET Fellow、ACM杰出科學家劉向陽先生，他詳細分享了美的在信息安全領域的實踐經驗，以及應對新挑戰的策略與規劃。

美的集團首席信息安全官(CISO)兼軟件工程院院長 劉向陽

美的集團，作為大型跨國制造業中的“燈塔”，其網絡環境和業務場景的復雜性不言而喻。美的獨創的“五板斧”信息安全策略，更具全面性與多元性。從構建堅實的縱深安全防御體系，實施全方位、全覆蓋的防護措施，到建立高效可靠且能持續自我完善的運營模式，實施合適的安全控制策略，再到隱私合規管理的精耕細作，每一個環節都凝聚了美的在信息安全領域的深厚積淀與前瞻性視野。

美的信息安全“五板斧”策略詳解

一、進不來：嚴控外部威脅，筑牢安全防線

美的集團采取了多重措施來確保外部攻擊者無法滲透系統。從網絡隔離、準入控制到權限管理，美的依托零信任系統和機制，對每一個可能的安全風險點進行嚴格把控。同時，美的進行了上層應用的全面改造，通過DMZ應用治理、外網應用二次認證、DevSecOps建設以及HTTPS改造等手段，顯著強化了應用層的安全防護能力。

在公有云安全方面，美的集團實施了網絡隔離和邊界防護等關鍵措施，并自動化審計云上安全配置，以確保公有云使用的安全性。此外，美的還通過郵件系統的二次認證、郵件安全網關過濾，資產管理和攻擊面治理等舉措，持續校準和優化安全策略，確保信息和資產的安全性。

在內網安全方面，美的集團實施了從內到內的網絡隔離、生產準入和辦公準入等機制，有效防止了內部威脅的擴散。同時，針對辦公網以及數據中心的主動外聯行為，美的設置了特殊設備白名單，進一步降低了潛在的安全風險。在工控安全層面，美的施行了準入嚴控和外設嚴控等策略，并進行工控漏洞掃描和工控隔離，確保了工控系統的安全性。在運維層面，美的明確要求運維人員將運維電腦和辦公電腦區分開，從而有效防范釣魚攻擊和遠程控制等威脅。此外，美的還通過密碼管理系統進行有效的密碼管控，顯著降低了密碼被破解的風險。

二、能發現：及時發現任何安全威脅或入侵

美的集團致力于構建一個多層次、全方位的監控和檢測體系，以確保信息系統在面對各種潛在威脅時能夠迅速、準確地做出反應。在服務器(數據中心與公有云)安全方面，美的采用HIDS(基于主機型入侵檢測系統)進行實時監控，確保任何異常行為都能被及時發現并有效應對。同時，在終端(辦公、工控)設備方面，美的則采用EDR(端點檢測和響應)結合內存安全技術，通過指令序列白名單機制，有效防范惡意軟件的入侵，保障終端設備的穩定運行。

在網絡層面，美的集團部署了流量探針，對進出網絡的流量進行深度分析，以便及時發現異常流量。此外，美的集團使用文件沙箱和郵件沙箱，對接收到的文件和郵件進行隔離檢測，確保安全后再放行。同時加強對API安全的監控，通過API調用監控技術，有效防止API被惡意利用。

為了更全面地發現潛在威脅，美的集團在數據中心、公有云和工控環境中部署了蜜罐系統，誘捕攻擊者并收集攻擊信息，以便更好地了解攻擊者的行為和手段。同時，美的集團還實施了嚴格的上網行為管理策略，嚴控應用敏感數據的導出，并加強了對大數據訪問、導出和權限的控制，確保數據的安全性和隱私性。

此外，美的數字大腦集成了SOC與工控SOC平臺，同時配備了美的自研的安全數據挖掘系統。該系統專注于UEBA(用戶與實體行為分析)以及數據泄露檢測等領域，能夠有效覆蓋傳統SOC難以全面涉及的領域，為美的集團的信息安全提供了強力保障。

三、防泄漏：防止信息泄露，保護公司數據資產

為確保數據安全，美的集團針對性地部署了七大核心策略，全方位應對數據泄露風險。劉向陽對這七大策略逐一進行了詳細解讀。

(1)建組織、標準、明確責任：美的集團建立了專門的個人隱私保護項目組，并清晰界定了信息安全團隊、集團法務及各業務部門數據保護代表(DPR)的職責范疇。同時，遵循國內外數據安全標準和法規，制定了內部數據安全管理標準和流程體系，確保數據在各個環節的處理過程中都能得到充分保護。此外，通過明確各部門和崗位的數據安全責任，美的集團有效增強了全員的數據安全意識，成功營造了一種全員參與、共同維護數據安全的良好氛圍。

(2)梳理數據保護目錄：美的集團建立了詳細的數據保護目錄體系，對重要及敏感數據實施了精細化的分類與分級管理。通過對數據的敏感性、重要性進行準確評估，制定了相應的保護措施和訪問控制策略，有效筑起了防止敏感數據非法訪問與泄露的堅固防線，確保了數據的安全性和保密性。

(3)系統開發上線和運維要按照安全規范進行：在系統開發、上線和運維過程中，美的集團始終遵循安全規范，將安全需求深度融入系統設計的每一個關鍵環節。通過嚴格的代碼審查、全面的安全測試等多重舉措，確保系統上線前不存在明顯的安全漏洞。同時，美的集團還建立了應急響應機制，以確保在發生數據泄露等突發事件時能夠迅速響應并有效處置，從而保障系統的穩定運行和數據的安全性。

(4)數據安全風險評估：美的集團定期開展數據安全風險評估工作，全面排查并評估潛在的安全威脅、漏洞及隱患。依據風險評估結果，及時制定并實施針對性的改進措施和加固方案，提升了系統的整體安全防護能力。這一舉措有助于及時發現并有效應對潛在的安全風險，確保數據的安全性和穩定性。

(5)持續推動數據風險整改和升級：美的集團將數據安全工作視為一項長期任務，持續推動安全整改和升級工作。一旦發現安全問題和漏洞，集團會立即調配資源進行修復和加固;同時，緊跟技術發展和安全威脅的變化趨勢，及時更新和完善安全防護措施和策略。這種持續改進和升級的做法，有助于保持數據安全防護的先進性和有效性，確保企業數據的安全性和競爭力。

(6)持續的數據安全能力建設：美的集團不斷探索和實踐前沿的數據安全技術，包括數據加密、數據出境監測、API檢測、訪問控制、數據水印、數據脫敏、數據泄露檢測與響應等多個維度，致力于構建全方位、多層次的數據安全防護體系。美的持續優化數據安全技術架構，強化系統對外部攻擊和內部泄露的防御能力，同時加大人員培訓力度，以增強團隊對數據安全的認知和應急響應能力。通過緊跟行業最佳實踐和技術發展趨勢，美的集團致力于保持其在數據安全防護領域的領先地位，確保能夠有效應對不斷演變的數據安全威脅和挑戰，為業務的持續健康發展提供堅實保障。

(7)持續的外部合規認證：美的集團的重要業務系統持續通過第三方安全機構與監管部門的嚴格評估和認證，如ISO 27001、ISO 27701、CCRC數據安全管理認證等，不僅滿足了監管部門的要求，也進一步增強了外部客戶與消費者的信心。獲得外部安全認證，是美的向監管部門、消費者、客戶和合作伙伴等展示其卓越安全防護能力的重要途徑。

四、保合規：確保所有IT系統符合全球法律法規和行業標準

在全球化背景下，不同國家和地區的信息安全合規要求千差萬別，給企業跨國運營帶來了重重挑戰。面對這一復雜局勢，美的集團通過實施隱私合規管理體系與產品合規管理體系并重的策略，成功在全球范圍內實現了信息安全合規管理的目標。

在隱私合規管理體系的運作方面，劉向陽指出，美的集團通過成立專門的合規團隊，負責隱私相關標準的制定和隱私方案的評審，確保公司運營符合當地法律法規標準。合規團隊不僅定期梳理和更新全球所有業務所在國家和地區的法律和法規要求，還將合規管理融入公司運營的各個環節，制定相應的合規流程和操作指南，明確各部門和崗位的合規職責。

“我們各業務部門的數據保護代表(DPR)負責履行隱私合規的主體責任，落實隱私合規相關工作的推進。”劉向陽強調，“DPR負責協調本單位資源，對個人隱私風險進行閉環管理，確保個人隱私安全標準執行落地，建立并盤點個人隱私數據清單，以解決過程中出現的問題和風險。”

在產品合規管理體系的運作方面，美的集團會定期了解和梳理全球物聯網產品的合規法規要求，并持續跟進全球法規的更新和發布。為對標全球合規要求，美的集團制定了全球物聯網產品安全規范，并在全球進行推廣和實施。“針對全球重要的產品安全法規，美的與第三方機構合作，對旗下產品進行認證測評，以確保產品合規地進入市場。”劉向陽表示，“目前，美的集團的產品已經滿足了歐盟EN 303645法規、美國NIST 8425、英國PSTI、中國CCRC產品安全認證、中國家電院產品安全認證等多項標準與法規要求。”

然而，作為全球化企業，美的集團在合規管理中也面臨著諸多挑戰，如法律法規眾多、法律法規變化快、落地實施標準不統一等。為了應對這些挑戰，美的集團與監管部門建立起良好的溝通機制，積極參與合規標準的制定和解讀，以便及時了解監管動態和政策意圖。

美的集團致力于將隱私合規管理自動化，通過開發工具和模板，提高合規管理的效率和一致性。劉向陽分享道，“美的集團將產品合規的關鍵要求轉化為企業標準和紅線，進行實施與治理。同時，積極參與部分標準的制定，并建議監管部門出臺更多標準實施指引，以更好地指導和支持企業的合規工作。”

五、重運營：持續監控、及時響應、快速處置、迭代優化

安全運營的重要性不言而喻，美的集團構建了全局SOC平臺，并充分結合安全大模型進行高效管理。面對每天產生的超過80億條安全日志和20萬條告警信息，美的集團通過安全大模型將需要人工處理的告警量大幅降低至約200條，實現了高效的信息安全管理。美的集團上線了安全編排自動化與響應(SOAR)系統，SOAR與企業流程緊密結合，能夠自動化處理大量報警信息，顯著提升了信息安全管理的智能化和自動化水平。針對工控領域，美的集團建立了專門的工控SOC平臺，并將其接入全局SOC體系，實現對工控環境的全面監控與管理。

美的集團自研了自動化攻擊與模擬驗證系統(BAS)，該平臺不僅定期邀請外部紅隊進行實戰攻擊測試，還配備了自主研發的自動化攻擊測試系統，能夠模擬和應對各種潛在的安全威脅。通過實戰演習，美的集團不斷檢驗和提升自身的信息安全防護能力，以模擬和應對各種潛在的安全威脅。

在處理安全事件時，美的集團遵循“及時止血、刨根問底、舉一反三”的原則，確保安全事件能夠得到迅速、有效地處置，并從中汲取教訓，不斷完善和優化信息安全管理體系。劉向陽強調，對于大多數企業而言，7*24小時的信息安全托管服務至關重要，這能確保企業在任何時刻都能迅速響應并處理安全事件。

在安全管理方面，美的集團信息安全部負責制定方案、提供培訓和具體指引，事業部負責執行和落實。這種明確分工、協同合作的管理模式，確保了信息安全措施的有效實施。同時，美的還對事業部園區安全(含工控安全)進行定期現場審查，以確保各項安全措施得到嚴格執行。

在組織保障方面，美的集團建設了一整套CISO體系，確保信息安全事件的實時同步，以及信息安全策略的落地執行。此外，持續進行信息安全培訓，提升員工的信息安全意識也尤為重要。

劉向陽強調，信息安全從業人員需具備“推土機精神”，因推廣信息安全常面臨諸多挑戰，如爭取預算、改造應用系統、改變員工習慣等。為應對這些挑戰，從業人員需與各方充分聯動和協作，共同保護公司的信息安全。

總結

美的信息安全“五板斧”策略體現了其對信息安全全方位的重視以及不懈追求持續改進的態度，這無疑為所有企業樹立了一個值得學習的標桿。劉向陽進一步強調，在實施“五板斧”策略時，并無固定的先后順序，這五個方面需要齊頭并進，共同建設，以確保信息安全體系不存在任何短板。

然而，在實際落地執行的過程中，CISO需要根據風險進行細致的分類和分級，依據風險的大小、潛在的影響范圍以及發生的頻率，來明智地決定建設與運營的優先級，以及項目推進的合理節奏。特別是對于那些核心、重要的業務系統，更是需要優先進行保障與建設，以確保其信息安全能夠得到最大程度的堅實保護。

最后，劉向陽特別提醒，盡管“五板斧”策略提供了一個極具參考價值的實踐范例，但企業在借鑒之時，必須充分考慮自身獨特的業務模式、技術架構、組織結構、業務需求和法規要求，進行靈活的調整和定制化的設計。這樣才能確保信息安全體系能夠精準對接企業的實際需求，為企業的長遠發展提供堅實有力的保障，護航企業在數字時代的穩步前行。

關于企業網D1net(hfnxjk.com)：

國內最大的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。