Sign up to save your podcasts
Or
Share “美的集团”的信息安全建设五板斧
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
“美的集团”的信息安全建设五板斧
原文链接:
“美的”如何防泄漏保合规?CISO刘向阳详解信息安全“五板斧” - CIO频道 - 企业网D1Net - 企业IT 第1门户
美的集团,作为大型跨国制造业中的“灯塔”,其网络环境和业务场景的复杂性不言而喻。美的独创的“五板斧”信息安全策略,更具全面性与多元性。
美的信息安全“五板斧”策略详解
一、进不来:严控外部威胁,筑牢安全防线
美的集团采取了多重措施来确保外部攻击者无法渗透系统。从网络隔离、准入控制到权限管理,美的依托零信任系统和机制,对每一个可能的安全风险点进行严格把控。同时,美的进行了上层应用的全面改造,通过DMZ应用治理、外网应用二次认证、DevSecOps建设以及HTTPS改造等手段,显著强化了应用层的安全防护能力。
在公有云安全方面,美的集团实施了网络隔离和边界防护等关键措施,并自动化审计云上安全配置,以确保公有云使用的安全性。此外,美的还通过邮件系统的二次认证、邮件安全网关过滤,资产管理和攻击面治理等举措,持续校准和优化安全策略,确保信息和资产的安全性。
在内网安全方面,美的集团实施了从内到内的网络隔离、生产准入和办公准入等机制,有效防止了内部威胁的扩散。同时,针对办公网以及数据中心的主动外联行为,美的设置了特殊设备白名单,进一步降低了潜在的安全风险。在工控安全层面,美的施行了准入严控和外设严控等策略,并进行工控漏洞扫描和工控隔离,确保了工控系统的安全性。在运维层面,美的明确要求运维人员将运维电脑和办公电脑区分开,从而有效防范钓鱼攻击和远程控制等威胁。此外,美的还通过密码管理系统进行有效的密码管控,显著降低了密码被破解的风险。
二、能发现:及时发现任何安全威胁或入侵
美的集团致力于构建一个多层次、全方位的监控和检测体系,以确保信息系统在面对各种潜在威胁时能够迅速、准确地做出反应。在服务器(数据中心与公有云)安全方面,美的采用HIDS(基于主机型入侵检测系统)进行实时监控,确保任何异常行为都能被及时发现并有效应对。同时,在终端(办公、工控)设备方面,美的则采用EDR(端点检测和响应)结合内存安全技术,通过指令序列白名单机制,有效防范恶意软件的入侵,保障终端设备的稳定运行。
在网络层面,美的集团部署了流量探针,对进出网络的流量进行深度分析,以便及时发现异常流量。此外,美的集团使用文件沙箱和邮件沙箱,对接收到的文件和邮件进行隔离检测,确保安全后再放行。同时加强对API安全的监控,通过API调用监控技术,有效防止API被恶意利用。
为了更全面地发现潜在威胁,美的集团在数据中心、公有云和工控环境中部署了蜜罐系统,诱捕攻击者并收集攻击信息,以便更好地了解攻击者的行为和手段。同时,美的集团还实施了严格的上网行为管理策略,严控应用敏感数据的导出,并加强了对大数据访问、导出和权限的控制,确保数据的安全性和隐私性。
此外,美的数字大脑集成了SOC与工控SOC平台,同时配备了美的自研的安全数据挖掘系统。该系统专注于UEBA(用户与实体行为分析)以及数据泄露检测等领域,能够有效覆盖传统SOC难以全面涉及的领域,为美的集团的信息安全提供了强力保障。
三、防泄漏:防止信息泄露,保护公司数据资产
为确保数据安全,美的集团针对性地部署了七大核心策略,全方位应对数据泄露风险。
(1)建组织、标准、明确责任:美的集团建立了专门的个人隐私保护项目组,并清晰界定了信息安全团队、集团法务及各业务部门数据保护代表的职责范畴。同时,遵循国内外数据安全标准和法规,制定了内部数据安全管理标准和流程体系,确保数据在各个环节的处理过程中都能得到充分保护。此外,通过明确各部门和岗位的数据安全责任,美的集团有效增强了全员的数据安全意识,成功营造了一种全员参与、共同维护数据安全的良好氛围。
(2)梳理数据保护目录:美的集团建立了详细的数据保护目录体系,对重要及敏感数据实施了精细化的分类与分级管理。通过对数据的敏感性、重要性进行准确评估,制定了相应的保护措施和访问控制策略,有效筑起了防止敏感数据非法访问与泄露的坚固防线,确保了数据的安全性和保密性。
(3)系统开发上线和运维要按照安全规范进行:在系统开发、上线和运维过程中,美的集团始终遵循安全规范,将安全需求深度融入系统设计的每一个关键环节。通过严格的代码审查、全面的安全测试等多重举措,确保系统上线前不存在明显的安全漏洞。同时,美的集团还建立了应急响应机制,以确保在发生数据泄露等突发事件时能够迅速响应并有效处置,从而保障系统的稳定运行和数据的安全性。
(4)数据安全风险评估:美的集团定期开展数据安全风险评估工作,全面排查并评估潜在的安全威胁、漏洞及隐患。依据风险评估结果,及时制定并实施针对性的改进措施和加固方案,提升了系统的整体安全防护能力。这一举措有助于及时发现并有效应对潜在的安全风险,确保数据的安全性和稳定性。
(5)持续推动数据风险整改和升级:美的集团将数据安全工作视为一项长期任务,持续推动安全整改和升级工作。一旦发现安全问题和漏洞,集团会立即调配资源进行修复和加固;同时,紧跟技术发展和安全威胁的变化趋势,及时更新和完善安全防护措施和策略。这种持续改进和升级的做法,有助于保持数据安全防护的先进性和有效性,确保企业数据的安全性和竞争力。
(6)持续的数据安全能力建设:美的集团不断探索和实践前沿的数据安全技术,包括数据加密、数据出境监测、API检测、访问控制、数据水印、数据脱敏、数据泄露检测与响应等多个维度,致力于构建全方位、多层次的数据安全防护体系。美的持续优化数据安全技术架构,强化系统对外部攻击和内部泄露的防御能力,同时加大人员培训力度,以增强团队对数据安全的认知和应急响应能力。通过紧跟行业最佳实践和技术发展趋势,美的集团致力于保持其在数据安全防护领域的领先地位,确保能够有效应对不断演变的数据安全威胁和挑战,为业务的持续健康发展提供坚实保障。
(7)持续的外部合规认证:美的集团的重要业务系统持续通过第三方安全机构与监管部门的严格评估和认证,如ISO 27001、ISO 27701、CCRC数据安全管理认证等,不仅满足了监管部门的要求,也进一步增强了外部客户与消费者的信心。获得外部安全认证,是美的向监管部门、消费者、客户和合作伙伴等展示其卓越安全防护能力的重要途径。
四、保合规:确保所有IT系统符合全球法律法规和行业标准
在全球化背景下,不同国家和地区的信息安全合规要求千差万别,给企业跨国运营带来了重重挑战。面对这一复杂局势,美的集团通过实施隐私合规管理体系与产品合规管理体系并重的策略,成功在全球范围内实现了信息安全合规管理的目标。
在隐私合规管理体系的运作方面,美的集团通过成立专门的合规团队,负责隐私相关标准的制定和隐私方案的评审,确保公司运营符合当地法律法规标准。合规团队不仅定期梳理和更新全球所有业务所在国家和地区的法律和法规要求,还将合规管理融入公司运营的各个环节,制定相应的合规流程和操作指南,明确各部门和岗位的合规职责。
在产品合规管理体系的运作方面,美的集团会定期了解和梳理全球物联网产品的合规法规要求,并持续跟进全球法规的更新和发布。为对标全球合规要求,美的集团制定了全球物联网产品安全规范,并在全球进行推广和实施。“针对全球重要的产品安全法规,美的与第三方机构合作,对旗下产品进行认证测评,以确保产品合规地进入市场。
五、重运营:持续监控、及时响应、快速处置、迭代优化
安全运营的重要性不言而喻,美的集团构建了全局SOC平台,并充分结合安全大模型进行高效管理。面对每天产生的超过80亿条安全日志和20万条告警信息,美的集团通过安全大模型将需要人工处理的告警量大幅降低至约200条,实现了高效的信息安全管理。美的集团上线了安全编排自动化与响应(SOAR)系统,SOAR与企业流程紧密结合,能够自动化处理大量报警信息,显著提升了信息安全管理的智能化和自动化水平。针对工控领域,美的集团建立了专门的工控SOC平台,并将其接入全局SOC体系,实现对工控环境的全面监控与管理。
美的集团自研了自动化攻击与模拟验证系统(BAS),该平台不仅定期邀请外部红队进行实战攻击测试,还配备了自主研发的自动化攻击测试系统,能够模拟和应对各种潜在的安全威胁。通过实战演习,美的集团不断检验和提升自身的信息安全防护能力,以模拟和应对各种潜在的安全威胁。
在处理安全事件时,美的集团遵循“及时止血、刨根问底、举一反三”的原则,确保安全事件能够得到迅速、有效地处置,并从中汲取教训,不断完善和优化信息安全管理体系。对于大多数企业而言,7*24小时的信息安全托管服务至关重要,这能确保企业在任何时刻都能迅速响应并处理安全事件。
在安全管理方面,美的集团信息安全部负责制定方案、提供培训和具体指引,事业部负责执行和落实。这种明确分工、协同合作的管理模式,确保了信息安全措施的有效实施。同时,美的还对事业部园区安全(含工控安全)进行定期现场审查,以确保各项安全措施得到严格执行。
在组织保障方面,美的集团建设了一整套CISO体系,确保信息安全事件的实时同步,以及信息安全策略的落地执行。此外,持续进行信息安全培训,提升员工的信息安全意识也尤为重要。
总结
美的信息安全“五板斧”策略体现了其对信息安全全方位的重视以及不懈追求持续改进的态度,这无疑为所有企业树立了一个值得学习的标杆。在实施“五板斧”策略时,并无固定的先后顺序,这五个方面需要齐头并进,共同建设,以确保信息安全体系不存在任何短板。
尽管“五板斧”策略提供了一个极具参考价值的实践范例,但企业在借鉴之时,必须充分考虑自身独特的业务模式、技术架构、组织结构、业务需求和法规要求,进行灵活的调整和定制化的设计。这样才能确保信息安全体系能够精准对接企业的实际需求,为企业的长远发展提供坚实有力的保障,护航企业在数字时代的稳步前行。
View all episodes
By mztkn123456原文链接:
“美的”如何防泄漏保合规?CISO刘向阳详解信息安全“五板斧” - CIO频道 - 企业网D1Net - 企业IT 第1门户
美的集团,作为大型跨国制造业中的“灯塔”,其网络环境和业务场景的复杂性不言而喻。美的独创的“五板斧”信息安全策略,更具全面性与多元性。
美的信息安全“五板斧”策略详解
一、进不来:严控外部威胁,筑牢安全防线
美的集团采取了多重措施来确保外部攻击者无法渗透系统。从网络隔离、准入控制到权限管理,美的依托零信任系统和机制,对每一个可能的安全风险点进行严格把控。同时,美的进行了上层应用的全面改造,通过DMZ应用治理、外网应用二次认证、DevSecOps建设以及HTTPS改造等手段,显著强化了应用层的安全防护能力。
在公有云安全方面,美的集团实施了网络隔离和边界防护等关键措施,并自动化审计云上安全配置,以确保公有云使用的安全性。此外,美的还通过邮件系统的二次认证、邮件安全网关过滤,资产管理和攻击面治理等举措,持续校准和优化安全策略,确保信息和资产的安全性。
在内网安全方面,美的集团实施了从内到内的网络隔离、生产准入和办公准入等机制,有效防止了内部威胁的扩散。同时,针对办公网以及数据中心的主动外联行为,美的设置了特殊设备白名单,进一步降低了潜在的安全风险。在工控安全层面,美的施行了准入严控和外设严控等策略,并进行工控漏洞扫描和工控隔离,确保了工控系统的安全性。在运维层面,美的明确要求运维人员将运维电脑和办公电脑区分开,从而有效防范钓鱼攻击和远程控制等威胁。此外,美的还通过密码管理系统进行有效的密码管控,显著降低了密码被破解的风险。
二、能发现:及时发现任何安全威胁或入侵
美的集团致力于构建一个多层次、全方位的监控和检测体系,以确保信息系统在面对各种潜在威胁时能够迅速、准确地做出反应。在服务器(数据中心与公有云)安全方面,美的采用HIDS(基于主机型入侵检测系统)进行实时监控,确保任何异常行为都能被及时发现并有效应对。同时,在终端(办公、工控)设备方面,美的则采用EDR(端点检测和响应)结合内存安全技术,通过指令序列白名单机制,有效防范恶意软件的入侵,保障终端设备的稳定运行。
在网络层面,美的集团部署了流量探针,对进出网络的流量进行深度分析,以便及时发现异常流量。此外,美的集团使用文件沙箱和邮件沙箱,对接收到的文件和邮件进行隔离检测,确保安全后再放行。同时加强对API安全的监控,通过API调用监控技术,有效防止API被恶意利用。
为了更全面地发现潜在威胁,美的集团在数据中心、公有云和工控环境中部署了蜜罐系统,诱捕攻击者并收集攻击信息,以便更好地了解攻击者的行为和手段。同时,美的集团还实施了严格的上网行为管理策略,严控应用敏感数据的导出,并加强了对大数据访问、导出和权限的控制,确保数据的安全性和隐私性。
此外,美的数字大脑集成了SOC与工控SOC平台,同时配备了美的自研的安全数据挖掘系统。该系统专注于UEBA(用户与实体行为分析)以及数据泄露检测等领域,能够有效覆盖传统SOC难以全面涉及的领域,为美的集团的信息安全提供了强力保障。
三、防泄漏:防止信息泄露,保护公司数据资产
为确保数据安全,美的集团针对性地部署了七大核心策略,全方位应对数据泄露风险。
(1)建组织、标准、明确责任:美的集团建立了专门的个人隐私保护项目组,并清晰界定了信息安全团队、集团法务及各业务部门数据保护代表的职责范畴。同时,遵循国内外数据安全标准和法规,制定了内部数据安全管理标准和流程体系,确保数据在各个环节的处理过程中都能得到充分保护。此外,通过明确各部门和岗位的数据安全责任,美的集团有效增强了全员的数据安全意识,成功营造了一种全员参与、共同维护数据安全的良好氛围。
(2)梳理数据保护目录:美的集团建立了详细的数据保护目录体系,对重要及敏感数据实施了精细化的分类与分级管理。通过对数据的敏感性、重要性进行准确评估,制定了相应的保护措施和访问控制策略,有效筑起了防止敏感数据非法访问与泄露的坚固防线,确保了数据的安全性和保密性。
(3)系统开发上线和运维要按照安全规范进行:在系统开发、上线和运维过程中,美的集团始终遵循安全规范,将安全需求深度融入系统设计的每一个关键环节。通过严格的代码审查、全面的安全测试等多重举措,确保系统上线前不存在明显的安全漏洞。同时,美的集团还建立了应急响应机制,以确保在发生数据泄露等突发事件时能够迅速响应并有效处置,从而保障系统的稳定运行和数据的安全性。
(4)数据安全风险评估:美的集团定期开展数据安全风险评估工作,全面排查并评估潜在的安全威胁、漏洞及隐患。依据风险评估结果,及时制定并实施针对性的改进措施和加固方案,提升了系统的整体安全防护能力。这一举措有助于及时发现并有效应对潜在的安全风险,确保数据的安全性和稳定性。
(5)持续推动数据风险整改和升级:美的集团将数据安全工作视为一项长期任务,持续推动安全整改和升级工作。一旦发现安全问题和漏洞,集团会立即调配资源进行修复和加固;同时,紧跟技术发展和安全威胁的变化趋势,及时更新和完善安全防护措施和策略。这种持续改进和升级的做法,有助于保持数据安全防护的先进性和有效性,确保企业数据的安全性和竞争力。
(6)持续的数据安全能力建设:美的集团不断探索和实践前沿的数据安全技术,包括数据加密、数据出境监测、API检测、访问控制、数据水印、数据脱敏、数据泄露检测与响应等多个维度,致力于构建全方位、多层次的数据安全防护体系。美的持续优化数据安全技术架构,强化系统对外部攻击和内部泄露的防御能力,同时加大人员培训力度,以增强团队对数据安全的认知和应急响应能力。通过紧跟行业最佳实践和技术发展趋势,美的集团致力于保持其在数据安全防护领域的领先地位,确保能够有效应对不断演变的数据安全威胁和挑战,为业务的持续健康发展提供坚实保障。
(7)持续的外部合规认证:美的集团的重要业务系统持续通过第三方安全机构与监管部门的严格评估和认证,如ISO 27001、ISO 27701、CCRC数据安全管理认证等,不仅满足了监管部门的要求,也进一步增强了外部客户与消费者的信心。获得外部安全认证,是美的向监管部门、消费者、客户和合作伙伴等展示其卓越安全防护能力的重要途径。
四、保合规:确保所有IT系统符合全球法律法规和行业标准
在全球化背景下,不同国家和地区的信息安全合规要求千差万别,给企业跨国运营带来了重重挑战。面对这一复杂局势,美的集团通过实施隐私合规管理体系与产品合规管理体系并重的策略,成功在全球范围内实现了信息安全合规管理的目标。
在隐私合规管理体系的运作方面,美的集团通过成立专门的合规团队,负责隐私相关标准的制定和隐私方案的评审,确保公司运营符合当地法律法规标准。合规团队不仅定期梳理和更新全球所有业务所在国家和地区的法律和法规要求,还将合规管理融入公司运营的各个环节,制定相应的合规流程和操作指南,明确各部门和岗位的合规职责。
在产品合规管理体系的运作方面,美的集团会定期了解和梳理全球物联网产品的合规法规要求,并持续跟进全球法规的更新和发布。为对标全球合规要求,美的集团制定了全球物联网产品安全规范,并在全球进行推广和实施。“针对全球重要的产品安全法规,美的与第三方机构合作,对旗下产品进行认证测评,以确保产品合规地进入市场。
五、重运营:持续监控、及时响应、快速处置、迭代优化
安全运营的重要性不言而喻,美的集团构建了全局SOC平台,并充分结合安全大模型进行高效管理。面对每天产生的超过80亿条安全日志和20万条告警信息,美的集团通过安全大模型将需要人工处理的告警量大幅降低至约200条,实现了高效的信息安全管理。美的集团上线了安全编排自动化与响应(SOAR)系统,SOAR与企业流程紧密结合,能够自动化处理大量报警信息,显著提升了信息安全管理的智能化和自动化水平。针对工控领域,美的集团建立了专门的工控SOC平台,并将其接入全局SOC体系,实现对工控环境的全面监控与管理。
美的集团自研了自动化攻击与模拟验证系统(BAS),该平台不仅定期邀请外部红队进行实战攻击测试,还配备了自主研发的自动化攻击测试系统,能够模拟和应对各种潜在的安全威胁。通过实战演习,美的集团不断检验和提升自身的信息安全防护能力,以模拟和应对各种潜在的安全威胁。
在处理安全事件时,美的集团遵循“及时止血、刨根问底、举一反三”的原则,确保安全事件能够得到迅速、有效地处置,并从中汲取教训,不断完善和优化信息安全管理体系。对于大多数企业而言,7*24小时的信息安全托管服务至关重要,这能确保企业在任何时刻都能迅速响应并处理安全事件。
在安全管理方面,美的集团信息安全部负责制定方案、提供培训和具体指引,事业部负责执行和落实。这种明确分工、协同合作的管理模式,确保了信息安全措施的有效实施。同时,美的还对事业部园区安全(含工控安全)进行定期现场审查,以确保各项安全措施得到严格执行。
在组织保障方面,美的集团建设了一整套CISO体系,确保信息安全事件的实时同步,以及信息安全策略的落地执行。此外,持续进行信息安全培训,提升员工的信息安全意识也尤为重要。
总结
美的信息安全“五板斧”策略体现了其对信息安全全方位的重视以及不懈追求持续改进的态度,这无疑为所有企业树立了一个值得学习的标杆。在实施“五板斧”策略时,并无固定的先后顺序,这五个方面需要齐头并进,共同建设,以确保信息安全体系不存在任何短板。
尽管“五板斧”策略提供了一个极具参考价值的实践范例,但企业在借鉴之时,必须充分考虑自身独特的业务模式、技术架构、组织结构、业务需求和法规要求,进行灵活的调整和定制化的设计。这样才能确保信息安全体系能够精准对接企业的实际需求,为企业的长远发展提供坚实有力的保障,护航企业在数字时代的稳步前行。