數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)是現(xiàn)代發(fā)明和創(chuàng)新的源頭已成為業(yè)內(nèi)的共識，如何在確保數(shù)據(jù)安全的前提下有效發(fā)揮數(shù)據(jù)資產(chǎn)的商業(yè)價(jià)值，成為企業(yè)數(shù)字化亟需解決的問題。

數(shù)據(jù)成組織內(nèi)部和跨行業(yè)競爭關(guān)鍵因素，數(shù)據(jù)安全挑戰(zhàn)顯現(xiàn)

埃森哲2023年的某報(bào)告顯示，有90%的高管都認(rèn)為數(shù)據(jù)已經(jīng)成為一個(gè)組織內(nèi)部和跨行業(yè)競爭的關(guān)鍵因素。當(dāng)然他們也非常積極地探索，如何從數(shù)據(jù)本身既保證安全的前提下，同樣促進(jìn)數(shù)據(jù)安全的應(yīng)用。

以在亞馬遜云科技的某跨國零售企業(yè)客戶為例，該企業(yè)業(yè)務(wù)覆蓋全球各個(gè)區(qū)域，涉及到線下和線上多方銷售渠道，它通過亞馬遜云科技來承載核心的業(yè)務(wù)系統(tǒng)，構(gòu)建企業(yè)ERP系統(tǒng)，網(wǎng)絡(luò)商城外部的系統(tǒng)，以及包括運(yùn)營、廣告用來支撐業(yè)務(wù)周邊的輔助系統(tǒng)。這之中有幾個(gè)突出的挑戰(zhàn)，當(dāng)然這些挑戰(zhàn)是具有共性的。

具體表現(xiàn)在，合規(guī)團(tuán)隊(duì)需要保證敏感數(shù)據(jù)能被有效識別并得到合理的保護(hù)和存儲。數(shù)據(jù)+業(yè)務(wù)團(tuán)隊(duì)需要在確保數(shù)據(jù)安全的前提下進(jìn)行高效協(xié)作。運(yùn)營和安全團(tuán)隊(duì)也希望在自身的范圍內(nèi)，滿足所有與數(shù)據(jù)安全相關(guān)的需求，應(yīng)對由此帶來的挑戰(zhàn)。

對此，亞馬遜云科技把上述挑戰(zhàn)總結(jié)為四個(gè)方面，分別是業(yè)務(wù)數(shù)據(jù)的識別、可見、協(xié)作以及安全數(shù)據(jù)的可操作。

以數(shù)據(jù)識別為例，目前，全球各地連續(xù)出臺隱私保護(hù)法案，或者強(qiáng)化隱私保護(hù)的相關(guān)法案，比如歐盟的 GDPR，美國的 ADPPA。具體到中國，也非常強(qiáng)調(diào)對隱私數(shù)據(jù)和敏感數(shù)據(jù)的保護(hù)。制定了根據(jù)《個(gè)人信息保護(hù)法》、《數(shù)據(jù)出境安全評估辦法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》，對個(gè)人數(shù)據(jù)、敏感數(shù)據(jù)的定義和使用提出了具體要求。

那么問題來了，如何評估什么是個(gè)人數(shù)據(jù)、什么是個(gè)人敏感數(shù)據(jù)，這就變成每個(gè)企業(yè)必須要思考和解決的重大問題。比如我國率先出臺的《生成式人工智能服務(wù)管理暫行辦法》，對大語言模型進(jìn)行訓(xùn)練的整個(gè)數(shù)據(jù)類型、敏感數(shù)據(jù)等方面進(jìn)制定了相應(yīng)的要求。這些大的背景都需要企業(yè)能夠強(qiáng)化自己對數(shù)據(jù)的管理能力，以及充分的合法合規(guī)。

又如在數(shù)據(jù)可見方面，它指的是在一個(gè)公司內(nèi)部有很多的業(yè)務(wù)數(shù)據(jù)，分別分布在不同的“煙囪”（silo）里，是企業(yè)內(nèi)不同角色高效挖掘數(shù)據(jù)價(jià)值的前提和不同治理模式高效協(xié)同的基礎(chǔ)，在這個(gè)背景下，如何在不同用戶數(shù)據(jù)的“煙囪”里實(shí)現(xiàn)公司內(nèi)部跨組織之間數(shù)據(jù)的可見并共享也是一個(gè)挑戰(zhàn)。

對此，亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建認(rèn)為，在數(shù)據(jù)團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)協(xié)作方式上，集中式和聯(lián)邦式是比較常見的兩種類型，這兩種方式都需要多個(gè)角色的協(xié)同，比如聯(lián)邦式管理，雖然有它自己的好處，但同時(shí)也帶來了數(shù)據(jù)的孤島化，所以如何實(shí)現(xiàn)數(shù)據(jù)的可見就變成了一個(gè)非常重要的工作。一個(gè)部門承載了這些數(shù)據(jù)，怎么能夠通過一種有效的方式能讓其他部門可見可用，是很多部門所面臨的挑戰(zhàn)。

至于多方協(xié)作方面，眾所周知，多方數(shù)據(jù)協(xié)作可以為創(chuàng)新注入活力，企業(yè)之間需要產(chǎn)業(yè)上下游數(shù)據(jù)協(xié)作來快速創(chuàng)新，這就需要企業(yè)在保障安全和創(chuàng)造價(jià)值之間尋求平衡實(shí)際的場景中，數(shù)據(jù)協(xié)作的所有參與者都需要面對數(shù)據(jù)保護(hù)與業(yè)務(wù)價(jià)值安全之間的權(quán)衡。但事實(shí)是，現(xiàn)在有一些企業(yè)實(shí)現(xiàn)數(shù)據(jù)協(xié)作的方式是向合作伙伴提供數(shù)據(jù)副本，并依賴合同協(xié)議防止濫用。彈這樣的方式仍然發(fā)生了不可避免的數(shù)據(jù)移動(dòng)，同樣存在數(shù)據(jù)誤用和泄露的風(fēng)險(xiǎn)。

最后是數(shù)據(jù)的可操作性。Gartner的調(diào)查顯示，高達(dá)43%的企業(yè)與超過10家以上的安全供應(yīng)商合作，這個(gè)數(shù)據(jù)也說明這么多企業(yè)對安全供應(yīng)商整合的需求日益增長。安全領(lǐng)域并不僅僅是安全供應(yīng)商的整合問題，安全本身也帶來很多別的挑戰(zhàn)。比如說安全日志的監(jiān)管和審計(jì)的要求，比如說金融支付領(lǐng)域，支付數(shù)據(jù)需要存儲一年，其中“熱數(shù)據(jù)”需要存儲3個(gè)月等。

對此，日常的日志管理如何更加高效，以及在發(fā)生一些安全風(fēng)險(xiǎn)的時(shí)候，如何通過日志的回溯和分析，可以很快、有效地追溯到問題的源頭，這些都是每個(gè)用戶或者說很多用戶都會(huì)碰到的問題。此外，由于歷史的原因，很多的用戶所使用的系統(tǒng)并不統(tǒng)一，不同的廠商所提供的安全系統(tǒng)，安全日志的格式也各不相同。

實(shí)現(xiàn)與做到真正安全、亞馬遜云科技助企業(yè)釋放數(shù)據(jù)價(jià)值

正是得益于上述亞馬遜云科技對于數(shù)據(jù)安全挑戰(zhàn)的洞察，在應(yīng)對這些挑戰(zhàn)方面，亞馬遜云科技通過自身的產(chǎn)品和解決方案實(shí)現(xiàn)和做到了數(shù)據(jù)的真正安全。

例如針對上述數(shù)據(jù)識別的挑戰(zhàn)，亞馬遜云科技推出了敏感數(shù)據(jù)保護(hù)解決方案（Sensitive Data Protection on Amazon Web Services, SDP）。它是亞馬遜云科技專為敏感數(shù)據(jù)識別與保護(hù)這一場景量身定做的方案，是一個(gè)開源的數(shù)據(jù)安全及數(shù)據(jù)隱私云原生解決方案，客戶可以在自己賬號內(nèi)部署使用。

該方案利用機(jī)器學(xué)習(xí)、模式匹配等方式自動(dòng)識別敏感數(shù)據(jù)，允許客戶創(chuàng)建數(shù)據(jù)目錄、使用內(nèi)置或定制數(shù)據(jù)識別規(guī)則定義敏感數(shù)據(jù)類型。此外，該解決方案還提供中心化的管理平臺，客戶可通過網(wǎng)頁應(yīng)用程序?qū)γ舾袛?shù)據(jù)資產(chǎn)進(jìn)行可視化管理。通過敏感數(shù)據(jù)保護(hù)解決方案，客戶可以加速實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)合規(guī)，為下一步釋放數(shù)據(jù)價(jià)值鋪平道路。

需要說明的是，該方案特別適用于兩種場景，一是存量數(shù)據(jù)多且分散，需要使用這個(gè)方案來發(fā)現(xiàn)四處分散的數(shù)據(jù)。二是對于數(shù)據(jù)類型不好判斷的情況下，可以使用這個(gè)方案自動(dòng)根據(jù)合規(guī)要求來識別，提高準(zhǔn)確率。

而在應(yīng)對數(shù)據(jù)可見挑戰(zhàn)方面，亞馬遜云科技去年推出了一項(xiàng)全新的數(shù)據(jù)管理服務(wù)Amazon DataZone，讓每個(gè)人都能看見數(shù)據(jù)，解鎖數(shù)據(jù)。具體表現(xiàn)在，它可以讓客戶更快、更輕松地對存儲在亞馬遜云科技、客戶本地和第三方來源的數(shù)據(jù)進(jìn)行編目、發(fā)現(xiàn)、共享和治理。此外，借助Amazon DataZone可以使用精細(xì)的控制工具管理和治理數(shù)據(jù)訪問權(quán)限，確保數(shù)據(jù)訪問發(fā)生在正確的權(quán)限和正確的情境之下。最后，Amazon DataZone使數(shù)據(jù)開發(fā)者、數(shù)據(jù)科學(xué)家、分析師和業(yè)務(wù)用戶可以輕松訪問整個(gè)組織的數(shù)據(jù)，從而發(fā)現(xiàn)、使用數(shù)據(jù)，通過數(shù)據(jù)進(jìn)行協(xié)作來獲得洞察。

而為了應(yīng)對多方協(xié)作出現(xiàn)的挑戰(zhàn)，亞馬遜云科技則推出了Amazon Clean Rooms，實(shí)現(xiàn)了匹配、分析和協(xié)作彼此的數(shù)據(jù)，而不需要移動(dòng)或者暴露原始數(shù)據(jù)，安全地實(shí)現(xiàn)數(shù)據(jù)分析協(xié)作。

例如使用Amazon Clean Rooms，用戶可以在幾分鐘內(nèi)創(chuàng)建一個(gè)安全的數(shù)據(jù)Clean Room，通過創(chuàng)建協(xié)作項(xiàng)目，實(shí)現(xiàn)數(shù)據(jù)的多方協(xié)作。而對于數(shù)據(jù)提供方而言，不僅可以通過數(shù)據(jù)預(yù)加密來對數(shù)據(jù)進(jìn)行保護(hù)，而且因?yàn)樗谐蓡T都是直接從自己的Amazon S3貢獻(xiàn)數(shù)據(jù)，從而真正實(shí)現(xiàn)了只有數(shù)據(jù)查詢和分析而沒有數(shù)據(jù)移動(dòng)。

需要強(qiáng)調(diào)的是，Amazon Clean Rooms提供了一個(gè)密態(tài)計(jì)算的環(huán)境，數(shù)據(jù)的提供方可以對數(shù)據(jù)進(jìn)行預(yù)加密，從而在Clean Rooms 環(huán)境中的數(shù)據(jù)以加密的形態(tài)完成數(shù)據(jù)分析操作，并將分析結(jié)果解密并返回，從而在數(shù)據(jù)安全得到最大保護(hù)的同時(shí)充分在協(xié)作方之間開發(fā)了數(shù)據(jù)價(jià)值。

最后在數(shù)據(jù)的可操作性上，亞馬遜云科技的解決方法是建立一個(gè)安全數(shù)據(jù)糊，統(tǒng)一管理來自不同廠商的日志，并且讓這些日志可被用來進(jìn)行安全事件的分析。

其中，Amazon Security Lake可以自動(dòng)將來自多云、本地和第三方的安全數(shù)據(jù)集中到一個(gè)專門構(gòu)建的數(shù)據(jù)湖中。主要特點(diǎn)包括：它自動(dòng)搜集并存儲亞馬遜云科技安全產(chǎn)品（如Amazon GuardDuty，Amazon SecurityHub）的日志，以及第三方乃止線下安全設(shè)備的日志，并且使用OCSF統(tǒng)一格式；它使用AmazonS3集中存儲日志，可以充分利用AmazonS3的存儲性能，將日志分層管理，提高性價(jià)比；和其他亞馬遜云科技提供的服務(wù)一樣，這個(gè)數(shù)據(jù)湖本身的安全性由亞馬遜云科技來保證，例如集成了亞馬遜云科技的加密服務(wù)Amazon KMS，可以實(shí)現(xiàn)自動(dòng)加密管理。

寫在最后：毫無疑問，我們今天已經(jīng)到了數(shù)據(jù)爆炸的時(shí)代，數(shù)據(jù)的價(jià)值被越來越多的企業(yè)所認(rèn)可的同時(shí)，也帶來了很多合規(guī)安全方面的挑戰(zhàn)，而亞馬遜云科技的洞察和實(shí)踐證明，唯有真正實(shí)現(xiàn)數(shù)據(jù)安全，真正做到數(shù)據(jù)安全，才能釋放數(shù)據(jù)背后的價(jià)值。