在當(dāng)今數(shù)字化轉(zhuǎn)型的浪潮中，信息安全成為了企業(yè)穩(wěn)健前行的關(guān)鍵要素。美的集團(tuán)作為行業(yè)領(lǐng)軍者，其在信息安全建設(shè)方面的探索與實(shí)踐更具標(biāo)桿意義。

繼上一篇美的集團(tuán)首席信息安全官(CISO)兼軟件工程院院長(zhǎng)、歐洲科學(xué)院院士、IEEE Fellow、IET Fellow、ACM杰出科學(xué)家劉向陽(yáng)向企業(yè)網(wǎng)D1net深度揭秘信息安全“五板斧”策略在美的的最佳實(shí)踐之后，本篇我們將深度聚焦信息安全建設(shè)的挑戰(zhàn)與破解之道，同時(shí)探索AI技術(shù)如何在這片充滿挑戰(zhàn)的領(lǐng)域開(kāi)辟新徑，為企業(yè)信息安全防護(hù)增添智能羽翼。

美的集團(tuán)首席信息安全官(CISO)兼軟件工程院院長(zhǎng) 劉向陽(yáng)

挑戰(zhàn)一：預(yù)算問(wèn)題，成本與安全的博弈

“信息安全部門在企業(yè)里的定位一般是成本部門，主要職能是預(yù)防風(fēng)險(xiǎn)和保護(hù)公司資產(chǎn)，并不直接創(chuàng)造利潤(rùn)。”劉向陽(yáng)一語(yǔ)道破了信息安全部門在企業(yè)中的普遍困境。在經(jīng)營(yíng)視角下，降本增效是永恒的主題，而信息安全預(yù)算投入往往被視為一種“額外負(fù)擔(dān)”。

面對(duì)這一挑戰(zhàn)，美的集團(tuán)采取了積極的應(yīng)對(duì)策略。劉向陽(yáng)表示：“我們通過(guò)收集業(yè)界知名企業(yè)近年來(lái)發(fā)生的重大信息安全案例與自身安全風(fēng)險(xiǎn)，向領(lǐng)導(dǎo)闡述信息安全預(yù)算投入是公司安全治理一定需要的保命措施。”這一策略有效地提升了領(lǐng)導(dǎo)層對(duì)信息安全重要性的認(rèn)識(shí)，使他們意識(shí)到投資信息安全可以預(yù)防未來(lái)的業(yè)務(wù)中斷或數(shù)據(jù)泄露等安全事件，從而節(jié)省可能因此產(chǎn)生的經(jīng)濟(jì)損失或是監(jiān)管的巨額罰款。

同時(shí)，美的集團(tuán)還通過(guò)對(duì)公司現(xiàn)狀進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估的差距項(xiàng)進(jìn)行優(yōu)先級(jí)排序，來(lái)制定詳細(xì)的預(yù)算方案和計(jì)劃。“我們會(huì)解釋每一筆費(fèi)用的必要性，不做的風(fēng)險(xiǎn)在哪里，做了能解決哪些風(fēng)險(xiǎn)，以及對(duì)業(yè)務(wù)的價(jià)值。”劉向陽(yáng)強(qiáng)調(diào)，“通過(guò)不斷的溝通，定期向領(lǐng)導(dǎo)更新關(guān)于公司信息安全狀況的信息，展示信息安全方面的專業(yè)保障能力，建立雙方的信任關(guān)系，從而更好地促進(jìn)信息安全投資。”

挑戰(zhàn)二：安全與效率的平衡，破解矛盾的藝術(shù)

除了預(yù)算問(wèn)題外，安全與效率的平衡也是信息安全建設(shè)中的一大挑戰(zhàn)。“信息安全與業(yè)務(wù)的矛盾多數(shù)體現(xiàn)在業(yè)務(wù)流程設(shè)計(jì)方面。”劉向陽(yáng)指出，“業(yè)務(wù)部門必須考慮用戶體驗(yàn)，因此希望處理步驟越便捷、驗(yàn)證過(guò)程越簡(jiǎn)單越好。但從信息安全角度來(lái)看，有些必要的風(fēng)險(xiǎn)控制措施又不能簡(jiǎn)化，比如密碼復(fù)雜度、二次認(rèn)證、網(wǎng)絡(luò)隔離等等。”

針對(duì)這一矛盾，美的集團(tuán)采取了“風(fēng)險(xiǎn)分類”與“前輕后重”的策略。“首先雙方要改變心態(tài)，停止?fàn)巿?zhí)，朝著一個(gè)目標(biāo)溝通協(xié)作，取得風(fēng)險(xiǎn)與效益的平衡。”劉向陽(yáng)解釋說(shuō)，“我們根據(jù)風(fēng)險(xiǎn)的大小與發(fā)生頻率，優(yōu)先化解高風(fēng)險(xiǎn)與高頻風(fēng)險(xiǎn)，并調(diào)研同業(yè)采用的方式，尋找更好的管控措施。”

所謂“前輕”，就是在直接與客戶體驗(yàn)相關(guān)的前端，在滿足監(jiān)管要求的前提下，設(shè)計(jì)盡可能簡(jiǎn)單的規(guī)則。而“后重”則是在后端配套一系列的安全防護(hù)措施進(jìn)行支撐。“這樣既能保證用戶體驗(yàn)的流暢性，又能確保信息安全的有效管控。”劉向陽(yáng)總結(jié)道。

AI技術(shù)賦能信息安全，實(shí)現(xiàn)高效運(yùn)營(yíng)與智能防護(hù)

隨著大模型等AI技術(shù)的迅猛發(fā)展，AI在安全領(lǐng)域的應(yīng)用正不斷拓展其邊界。劉向陽(yáng)提到，AI技術(shù)在美的集團(tuán)的信息安全建設(shè)中發(fā)揮了積極作用，不僅提升了安全防護(hù)的智能化水平，還實(shí)現(xiàn)了降本增效等多重目標(biāo)。

劉向陽(yáng)表示：“美的集團(tuán)以安全大模型作為智能化安全運(yùn)營(yíng)體系的能力核心，通過(guò)可擴(kuò)展檢測(cè)響應(yīng)平臺(tái)XDR為基礎(chǔ)底座，對(duì)接EDR類、NDR類等安全組件和CMDB、閉環(huán)平臺(tái)等業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)了智能化的安全理解、檢測(cè)、響應(yīng)和處置能力。”這一體系的構(gòu)建，標(biāo)志著美的集團(tuán)在信息安全防護(hù)方面邁出了重要一步。

安全大模型的引入，不僅提升了美的集團(tuán)的安全防護(hù)能力，更推動(dòng)了其運(yùn)營(yíng)體系的智能化轉(zhuǎn)型。劉向陽(yáng)強(qiáng)調(diào)：“以安全大模型為引擎，通過(guò)自定義模型微調(diào)，結(jié)合組織制度流程、自動(dòng)化響應(yīng)與編排技術(shù)(SOAR)，聯(lián)動(dòng)云端SaaS專家7*24小時(shí)和本地運(yùn)營(yíng)團(tuán)隊(duì)持續(xù)運(yùn)營(yíng)保障，美的實(shí)現(xiàn)了從人工被動(dòng)運(yùn)營(yíng)體系向?qū)崙?zhàn)化、智能化的‘主動(dòng)運(yùn)營(yíng)’轉(zhuǎn)變，達(dá)成了‘自主響應(yīng)閉環(huán)，持續(xù)運(yùn)營(yíng)改進(jìn)’的高階安全目標(biāo)。”

在安全大模型的應(yīng)用下，美的集團(tuán)的信息安全運(yùn)營(yíng)人員在廣度和深度上都實(shí)現(xiàn)了全局把控。在廣度上，少量運(yùn)營(yíng)人員即可守護(hù)數(shù)十萬(wàn)資產(chǎn)，每天只需關(guān)注安全大模型從20萬(wàn)+告警降噪削減到200+條有效告警，準(zhǔn)確度達(dá)到97%以上。在深度上，安全大模型系統(tǒng)對(duì)任意一條告警都可解讀，直觀呈現(xiàn)完整分析過(guò)程，幫助運(yùn)營(yíng)人員更好理解攻擊意圖，快速完成研判決策。

這一轉(zhuǎn)變帶來(lái)了顯著的效率提升。劉向陽(yáng)分享道：事件研判平均用時(shí)從30分鐘以上減少到5分鐘以內(nèi)，單個(gè)事件處置閉環(huán)時(shí)間從數(shù)小時(shí)以上減少到10分鐘以下，運(yùn)營(yíng)指標(biāo)MTTD(平均檢測(cè)時(shí)間)和MTTR(平均響應(yīng)時(shí)間)下降了25倍以上。這些具體數(shù)字的背后，是美的集團(tuán)信息安全運(yùn)營(yíng)能力的顯著提升和成本的有效管控。

“五板斧”戰(zhàn)略驅(qū)動(dòng)，美的信息安全取得顯著成效

在數(shù)字化轉(zhuǎn)型的浪潮中，美的集團(tuán)以前瞻性的視角布局信息安全領(lǐng)域，通過(guò)實(shí)施“五板斧”策略，不僅重塑了企業(yè)的安全防御體系，更在智能安全運(yùn)營(yíng)、隱私合規(guī)管理以及自研安全產(chǎn)品等方面取得了顯著成效，為行業(yè)樹(shù)立了新的標(biāo)桿。

1、構(gòu)建全方位縱深安全防御體系

美的集團(tuán)構(gòu)建了涵蓋生產(chǎn)環(huán)境、辦公環(huán)境、工控環(huán)境、公有云環(huán)境在內(nèi)的多維度、多層次的縱深安全防御體系。這一體系不僅全面覆蓋了終端安全、主機(jī)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全及業(yè)務(wù)安全等關(guān)鍵領(lǐng)域，還通過(guò)集成先進(jìn)的監(jiān)控與響應(yīng)機(jī)制，實(shí)現(xiàn)了對(duì)潛在威脅的實(shí)時(shí)感知與快速響應(yīng)。相對(duì)完善的縱深安全防御體系，為美的集團(tuán)的數(shù)字化轉(zhuǎn)型之路提供了堅(jiān)實(shí)的安全保障。

2、自動(dòng)化智能化體系化的安全建設(shè)及運(yùn)營(yíng)

基于縱深防御體系，美的集團(tuán)持續(xù)深化智能安全運(yùn)營(yíng)系統(tǒng)的建設(shè)，覆蓋IT、OT全域的復(fù)雜業(yè)務(wù)場(chǎng)景，并成功將AI技術(shù)融入日常運(yùn)營(yíng)中。通過(guò)“安全大模型+云+7*24小時(shí)MSS運(yùn)營(yíng)新范式”的應(yīng)用，系統(tǒng)能夠自主研判日均80億+的海量日志，實(shí)現(xiàn)自動(dòng)化處置及閉環(huán)管理，主動(dòng)防御日均1000萬(wàn)次+的網(wǎng)絡(luò)攻擊。自動(dòng)化、智能化、體系化的安全建設(shè)及運(yùn)營(yíng)，不僅提升了安全事件的響應(yīng)速度與處置效率，還顯著增強(qiáng)了美的集團(tuán)在面對(duì)復(fù)雜多變安全威脅時(shí)的防御能力，智能守護(hù)美的數(shù)十萬(wàn)的數(shù)字資產(chǎn)安全，為公司的數(shù)字化轉(zhuǎn)型保駕護(hù)航。

3、隱私合規(guī)管理達(dá)到國(guó)際領(lǐng)先水平

在隱私合規(guī)方面，美的集團(tuán)組建了一支專業(yè)的合規(guī)管理團(tuán)隊(duì)，專注于全球范圍內(nèi)的信息安全合規(guī)工作;同時(shí)成立了CNAS實(shí)驗(yàn)室，對(duì)家電產(chǎn)品進(jìn)行合規(guī)測(cè)試驗(yàn)證。通過(guò)定期梳理和更新各國(guó)及地區(qū)的法規(guī)要求，結(jié)合內(nèi)部培訓(xùn)提升員工合規(guī)意識(shí)，美的有效降低了合規(guī)和監(jiān)管的處罰風(fēng)險(xiǎn)。同時(shí)，美的積極尋求并獲得多項(xiàng)國(guó)際權(quán)威合規(guī)認(rèn)證，如ISO 27701、PSTI、CCRC產(chǎn)品安全認(rèn)證及ETSI 303645等，這些合規(guī)認(rèn)證不僅證明了美的在合規(guī)方面的底線與實(shí)力，也顯著增強(qiáng)了市場(chǎng)競(jìng)爭(zhēng)力，并成功助力公司贏得多個(gè)國(guó)際訂單。

4、自研安全產(chǎn)品體系日臻完善

通過(guò)自主研發(fā)身份安全產(chǎn)品(4A/C4A)、零信任安全產(chǎn)品(包括零信任、網(wǎng)絡(luò)準(zhǔn)入、DLP、桌管)、私密管理系統(tǒng)(KeySphere)以及自動(dòng)化攻擊與模擬驗(yàn)證系統(tǒng)(BAS)等，美的進(jìn)一步完善了自身的縱深安全防御體系。這些自研產(chǎn)品不僅具備高度的靈活性與可定制性，還充分結(jié)合了美的集團(tuán)的業(yè)務(wù)特性與安全需求，為公司的數(shù)字化轉(zhuǎn)型提供了更加貼合實(shí)際的安全解決方案。

信息安全的新挑戰(zhàn)與新機(jī)遇

劉向陽(yáng)認(rèn)為，攻擊手段的復(fù)雜化、攻擊面的難以管控以及復(fù)雜的合規(guī)要求都是信息安全領(lǐng)域面臨的新挑戰(zhàn)。

1、網(wǎng)絡(luò)攻擊日益頻繁和復(fù)雜化

隨著技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊手段不斷翻新，APT攻擊、AI攻擊等復(fù)雜攻擊形式層出不窮。這些攻擊往往結(jié)合了惡意軟件、社交工程、釣魚攻擊以及AI生成攻擊代碼等多種技術(shù)手段，使得防御工作變得極為困難。

2、攻擊面難以100%管控

在高度數(shù)字化的世界中，企業(yè)暴露在互聯(lián)網(wǎng)的資產(chǎn)越來(lái)越多，無(wú)論是必須觸達(dá)用戶的應(yīng)用系統(tǒng)，還是無(wú)意間暴露的不設(shè)防的影子資產(chǎn)，都給企業(yè)帶來(lái)了嚴(yán)重的威脅。

3、合規(guī)要求

隨著全球化的深入發(fā)展，數(shù)據(jù)跨境流動(dòng)日益頻繁，既推動(dòng)了數(shù)字經(jīng)濟(jì)的繁榮，也給信息安全帶來(lái)了新的挑戰(zhàn)。數(shù)據(jù)跨境流動(dòng)不僅涉及個(gè)人隱私保護(hù)、商業(yè)秘密安全，還可能觸及國(guó)家安全層面，因此如何確保數(shù)據(jù)在跨境傳輸過(guò)程中的安全性、合規(guī)性和可控性，成為亟待解決的問(wèn)題。

美的集團(tuán)采取四項(xiàng)應(yīng)對(duì)策略

面對(duì)這些挑戰(zhàn)，美的集團(tuán)已經(jīng)制定了周密的應(yīng)對(duì)策略。劉向陽(yáng)透露：“首先，我們內(nèi)部新成立了信息安全紅隊(duì)，定期對(duì)重要系統(tǒng)和重要崗位進(jìn)行攻擊測(cè)試，包括魚叉釣魚攻擊，以提高系統(tǒng)的安全攻防能力和員工的安全意識(shí)。”

其次，美的集團(tuán)專注于攻擊面的治理，通過(guò)持續(xù)自動(dòng)化發(fā)現(xiàn)暴露面，全面識(shí)別資產(chǎn)和可利用的攻擊路徑，判斷暴露資產(chǎn)和暴露面的變化，從而持續(xù)縮小暴露面、治理漏洞、實(shí)現(xiàn)事件閉環(huán)。

第三，在數(shù)據(jù)跨境處理方面，美的集團(tuán)堅(jiān)持必要性與最小化原則，持續(xù)建設(shè)和完善隱私合規(guī)體系，以確保數(shù)據(jù)跨境流動(dòng)的合規(guī)性和安全性。劉向陽(yáng)強(qiáng)調(diào)：“我們深知數(shù)據(jù)跨境流動(dòng)的重要性與敏感性，因此在這方面我們采取了極為謹(jǐn)慎和負(fù)責(zé)任的態(tài)度。”

最后，美的集團(tuán)正在積極探索AI+安全運(yùn)營(yíng)的新模式。劉向陽(yáng)表示：“我們正持續(xù)應(yīng)用安全大模型，優(yōu)化安全運(yùn)營(yíng)體系，提高攻擊檢測(cè)的檢出率和安全運(yùn)營(yíng)的效率。相信通過(guò)不斷創(chuàng)新和應(yīng)用新技術(shù)，能夠更好地應(yīng)對(duì)未來(lái)信息安全領(lǐng)域的挑戰(zhàn)與機(jī)遇。”

結(jié)語(yǔ)

信息安全是企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中必須堅(jiān)守的生命線。從構(gòu)建全方位縱深防御體系到智能安全運(yùn)營(yíng)系統(tǒng)的突破性進(jìn)展，從隱私合規(guī)管理的國(guó)際領(lǐng)先水平，到自研安全產(chǎn)品體系的日臻完善，美的集團(tuán)正以堅(jiān)實(shí)的步伐引領(lǐng)著行業(yè)信息安全建設(shè)的新潮流，為企業(yè)的數(shù)字化轉(zhuǎn)型之路筑起了堅(jiān)不可摧的保障之墻。

展望未來(lái)，我們有充分的理由相信，美的集團(tuán)將在信息安全領(lǐng)域深耕細(xì)作，不斷以創(chuàng)新的技術(shù)和日益完善的防御體系，靈活應(yīng)對(duì)日益復(fù)雜的威脅與挑戰(zhàn)，為整個(gè)行業(yè)的持續(xù)健康發(fā)展貢獻(xiàn)力量。

關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com)：

國(guó)內(nèi)最大的to B IT門戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。