AWS 案例研究: TCL 实业

万物互联时代，产品的智能化不断提高。作为一家聚焦智能终端业务的公司，TCL 实业近年来大力发展 AI x IoT 全屋智能家电产品，构建智能家居生态圈。为了实现更好的用户体验，TCL 实业在云、管、边、端和连接上不懈努力。云端有 AI 平台、IoT 云平台、大数据平台等全球化部署的平台，实现万物互联、数据分析、智能服务的业务闭环。终端有跨屏幕终端 TCL+ App、TCL HOME App 和小程序等，融合多种智能场景。加之，开发性能优异、安全可靠、高性价比、即插即用的模组及协议的连接技术，共同构成了 AI x IoT 全场景智能家居生态圈。

然而，AI x IoT 全场景智能家居生态圈在更加智能化和为用户带来更多便利的同时，也带来了新的风险和挑战，网络安全和隐私保护问题愈加凸显。例如，智能终端设备的固件会被替换成非法固件，不法分子借此获取密钥及各种信息；联网产品和云端被攻击也基本从通信入手，网络劫持、中间人攻击等手段层出不穷，进而导致数据泄露；存储大量数据、掌握大量控制和服务的云端也会时不时受到攻击，这些攻击轻则导致云端服务不可用，重则导致大量用户信息，甚至是敏感信息泄露。   

网络安全和隐私保护问题刻不容缓。但 TCL 实业的业务线非常广泛，每条业务线的要求也不尽相同，如何做到对症下药？TCL 实业控股 CTO 孙力表示；“一般来说，企业会采用最适合自己的工具和合作伙伴来满足业务和用户的需求。”经过业务特性、目标国家的可获取性、安全合规、技术服务、架构、综合成本等方面的多方考量，TCL 实业决定在海外主要采用 AWS 的云服务。

在整个 AI x IoT 的系统和生态面临的安全问题中，最大的威胁之一是来自云服务平台的威胁。由于平台网站的目标相对固定，存储数据量大，攻击手段非常多，并且十分成熟。因此，林舜大认为，AI x IoT 智能家居生态圈的安全重点是云服务平台网站的安全性。

TCL 实业对云服务进行了详细的梳理，并采取分级策略，进行层层递进的安全管理，对级别高的平台会采用更加强劲的安全措施。TCL 实业将安全级别分为三级。一级为内部网站、测试网站、共享类或者学习类的网站，对于这类网站的策略是守住关口，基本不需要在安全产品上进行投入；二级平台为公司的主要网站，如广告、品牌形象、业务支撑和售后系统，对于这类网站需要加强端口的安全措施，识别出其中的重要数据进行保护，并定期进行安全扫描；三级平台为公司关键基础设施、存放大量用户信息的网站，比如 IoT 平台、大数据平台、AI 平台等，对于这类平台需要对关口进行全方位的加强，整体进行全方位的保护，甚至引入态势感知等安全产品。

采用这种分级策略，跟 AWS 在云服务安全方面的理念十分贴合。对于二级平台及以上的云服务，TCL 实业都会采用 AWS WAF 来进行防护。据统计，TCL 实业系统的大部分漏洞都集中在云服务端，利用 AWS WAF 定制规则，进行流量筛选，阻隔恶意的访问。从监控的数据来看，一周防护了超过 13 万次的恶意请求，接近 10 万次的程序自动攻击，效果非常不错。

此外，针对近年来比较猖狂的勒索病毒，TCL 实业同样采用 AWS WAF 的安全措施，并在此之上进行二次开发，监测受攻击的情况，很大程度防范了网络攻击和勒索病毒等安全事件的发生。林舜大说：“AWS 的服务非常专业，除了防范勒索病毒，我们也会购买 AWS 额外的 DDoS 服务来防范相关的安全问题。”

随着国际各国对用户隐私保护的法律越来越严格，对联网设备的安全规定也越来越严苛，比如欧盟的《通用数据保护条例》（GDPR）、美国的《加州消费者隐私法案》（CCPA）、国内的《个人隐私保护法》《数据安全法》《网络安全法》等网络空间相关法律的发布，都要求涉及联网产品、云端服务，必须大力加强产品系统相关的安全研发和建设。法律法规明确要求联网产品必须进行安全设计、安全测试、出现安全问题必须及时地反馈和处理。

在安全设计方面，TCL 实业携手 AWS 采用分级策略，保证安全设计的可靠性。在安全测试方面，TCL 实业在自主研发的基础上，采用 AWS 云安全漏洞检测系列工具，配合人工审计，对产品进行渗透和认证等措施。在及时反馈方面，TCL 实业建立安全应急响应中心，由专人负责运营。此外，TCL 实业的云服务还通过全球化部署，应对隐私合规和数据的问题。AWS 在美国、法兰克福、印度、新加坡等 26 个地理区域运营着 84 个可用区，服务覆盖 160 多个国家，有 3,000 多万以上的活跃用户。AWS 的云基础设施均通过了各个国家和地区的安全与合规认证，有安全与合规的基础保障，用户只需关注应用层之上的安全与合规即可。在隐私保护框架上，TCL 实业采用业界成熟的措施，从组织治理、政策流程，嵌入到业务上来保证产品的合规，进而不断提升整个组织的意识与能力，对公司的产品与业务进行有效的监控和改进，同时进行第三方认证，TCL 实业与 AWS 始终保持着密切的沟通和合作。AWS 提供了从认证、保护、检测、响应到恢复的 40 多种安全服务，TCL 实业已经采用了其中的部分服务。比如，隐私保护最离不开的其实就是数据加密，而数据加密过程中最让人担心的是密钥的安全性，包括对密钥的管理，密钥对性能的影响以及费用等等，经过一系列评估，TCL 实业决定采用 AWS Key Management Service（AWS KMS）来解决密钥安全性的问题。此外，TCL 实业还采用了 AWS Security Hub、AWS Transit Gateway、Amazon GuardDuty、Amazon CloudWatch 等服务获得全方位隐私及合规保护。

安全隐私合规问题上，木桶效益非常明显。如果有一个短板被攻破，所有努力都将付诸东流。因此，治理安全隐私合规，一定是从组织、流程、预算、产品开发流程，包括自上而下的重视程度，以及相应机制的保障，否则只能限于被动的、事件驱动型的响应机制。TCL 实业将持续与 AWS 合作，不断地学习国外的安全合规的要求和经验，整个公司正体系化地开展安全合规建设。林舜大说：“安全与合规是 TCL 品牌差异化的重要部分，AWS 的云安全是这种品牌差异化的重要助推。”