數(shù)字經(jīng)濟(jì)時代，數(shù)據(jù)被公認(rèn)為繼土地、勞動力、資本、 技術(shù)之后的又一重要生產(chǎn)要素。對于企業(yè)而言，數(shù)據(jù)則是一切創(chuàng)新與關(guān)鍵決策的根源。

然而，企業(yè)在發(fā)揮數(shù)據(jù)資產(chǎn)的商業(yè)價值方面，卻面臨諸多挑戰(zhàn)，比如敏感數(shù)據(jù)識別、跨組織數(shù)據(jù)可見、可協(xié)作，安全數(shù)據(jù)操作難等等。近日，亞馬遜云科技向國內(nèi)媒體分享了其在數(shù)據(jù)安全方面如何幫助企業(yè)應(yīng)對四大挑戰(zhàn)的“組合拳”。

挑戰(zhàn)一，如何輕松識別敏感數(shù)據(jù)

如今，數(shù)據(jù)合規(guī)已經(jīng)成為每家企業(yè)的必答題。

近年來，全球各國都在連續(xù)出臺數(shù)據(jù)安全與隱私保護(hù)相關(guān)法律法規(guī)。比如歐盟的 GDPR，美國的 ADPPA，中國也相繼出臺了《個人信息保護(hù)法》、《數(shù)據(jù)出境安全評估辦法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法規(guī)。這些法律法規(guī)都對企業(yè)的數(shù)據(jù)安全能力帶來更高挑戰(zhàn)，其中，首當(dāng)其沖的就是敏感數(shù)據(jù)安全問題。

很多企業(yè)的日常業(yè)務(wù)運(yùn)營會涉及到大量與用戶相關(guān)的個人敏感數(shù)據(jù)。以跨境電商企業(yè)為例，像郵寄地址、姓名、電話號碼、信用卡號等都是個人敏感數(shù)據(jù)。如有效管理敏感數(shù)據(jù)一直是企業(yè)面臨的普遍痛點，因為這些敏感數(shù)據(jù)往往被存放在不同的信息系統(tǒng)，由不同的運(yùn)營商提供操作，形成一個個數(shù)據(jù)孤島。企業(yè)迫切需要一個統(tǒng)一的、一站式的敏感數(shù)據(jù)管理平臺。

敏感數(shù)據(jù)保護(hù)解決方案（Sensitive Data Protection on Amazon Web Services, SDP）是亞馬遜云科技專為敏感數(shù)據(jù)識別與保護(hù)場景量身定做的解決方案。SDP是一個開源的云原生解決方案，它是一個中心化的敏感數(shù)據(jù)管理平臺，可以對企業(yè)多個云賬號的數(shù)據(jù)資產(chǎn)實現(xiàn)一站式管理。SDP利用機(jī)器學(xué)習(xí)、模式匹配等方式可以實現(xiàn)自動識別敏感數(shù)據(jù)，并允許客戶根據(jù)業(yè)務(wù)需求自定義敏感數(shù)據(jù)類型。

某出海企業(yè)客戶同時在多個國家開展業(yè)務(wù)，面臨不同國家和地區(qū)對敏感數(shù)據(jù)的不同安全要求。該企業(yè)利用SDP解決了多語言敏感數(shù)據(jù)識別問題，并進(jìn)行高效的分級分類的管理，實現(xiàn)安全合規(guī)工作比原計劃提前了兩個月完成，大幅降低了所需要的人力和時間的成本。

挑戰(zhàn)二，如何讓數(shù)據(jù)在組織內(nèi)部高效共享

企業(yè)內(nèi)部數(shù)據(jù)孤島化也是普遍的數(shù)據(jù)應(yīng)用痛點。企業(yè)內(nèi)部的數(shù)據(jù)使用者包括數(shù)據(jù)開發(fā)者、數(shù)據(jù)科學(xué)家、分析師和業(yè)務(wù)用戶等多種角色，有時他們既是數(shù)據(jù)生產(chǎn)者同時也是數(shù)據(jù)消費者，需要通過內(nèi)部協(xié)作挖掘數(shù)據(jù)價值。但由于缺乏有效的技術(shù)管理工具保障數(shù)據(jù)安全，擁有數(shù)據(jù)的部門很少會愿意把自己的原始數(shù)據(jù)分享給其他的部門所使用，導(dǎo)致企業(yè)內(nèi)部數(shù)據(jù)流通受阻。

亞馬遜云科技推出的數(shù)據(jù)管理服務(wù)Amazon DataZone解決了企業(yè)內(nèi)部不同組織之間的數(shù)據(jù)有效共享難題。

首先，Amazon DataZone可以對存儲在亞馬遜云科技、客戶本地和第三方來源的數(shù)據(jù)進(jìn)行編目、發(fā)現(xiàn)、共享和治理，各個角色的數(shù)據(jù)使用者能夠訪問整個組織的數(shù)據(jù)，快速找到所需要的數(shù)據(jù)。其次，Amazon DataZone提供了精細(xì)的控制工具管理和治理數(shù)據(jù)訪問權(quán)限。第三，Amazon DataZone可以進(jìn)行可視化的管理，實現(xiàn)多個角色高效協(xié)同。

全球化金融服務(wù)公司伊塔烏聯(lián)合銀行借助Amazon DataZone，實現(xiàn)了簡化數(shù)據(jù)治理，通過為各種角色、分析師、工程師和科學(xué)家團(tuán)隊來設(shè)定更加精細(xì)合理的訪問權(quán)限，讓跨業(yè)務(wù)部門的數(shù)據(jù)訪問變得更容易。

挑戰(zhàn)三，如何讓產(chǎn)業(yè)上下游數(shù)據(jù)加速協(xié)作

如果我們把數(shù)據(jù)應(yīng)用的范圍擴(kuò)大到企業(yè)上下游會發(fā)現(xiàn)，越來越多企業(yè)希望把數(shù)據(jù)使用權(quán)開放給合作伙伴去用，但不想因此犧牲數(shù)據(jù)的所有權(quán)，即實現(xiàn)數(shù)據(jù)的“可用而不可見”。

在數(shù)據(jù)“可用而不可見”相關(guān)技術(shù)出現(xiàn)之前，數(shù)據(jù)協(xié)作與數(shù)據(jù)隱私安全是一對持久的矛盾。以汽車產(chǎn)業(yè)為例，當(dāng)上游的生產(chǎn)剎車片廠商希望了解消費者在實際駕駛時的真實使用數(shù)據(jù)以此來改進(jìn)產(chǎn)品，下游的汽車保險廠商也希望通過用戶開車行為數(shù)據(jù)，制定更加完善的保險規(guī)劃，而整車廠出于數(shù)據(jù)安全的考慮往往不愿意把用戶使用數(shù)據(jù)交給上游的合作伙伴。

亞馬遜云科技的Amazon Clean Rooms服務(wù)就是專門針對這種痛點推出。Amazon Clean Rooms不需要移動或者暴露原始數(shù)據(jù)，就能讓產(chǎn)業(yè)鏈上下游企業(yè)安全地實現(xiàn)數(shù)據(jù)分析協(xié)作。使用Amazon Clean Rooms的各方可以直接從Amazon S3貢獻(xiàn)數(shù)據(jù)，真正實現(xiàn)了只有數(shù)據(jù)查詢和分析而沒有數(shù)據(jù)移動。Amazon Clean Rooms還提供了一個密態(tài)計算的環(huán)境，保證了以加密的形態(tài)完成數(shù)據(jù)分析操作，并將分析結(jié)果解密并返回。

此外，隨著生成式AI等新興領(lǐng)域的崛起，越來越多企業(yè)需要獲取更多第三方數(shù)據(jù)來加速業(yè)務(wù)創(chuàng)新。Amazon Data Exchange是一項可以大大簡化企業(yè)獲取第三方數(shù)據(jù)過程的工具。其提供超過3500種的第三方數(shù)據(jù)，數(shù)據(jù)來源包括金融，天氣，地理空間，健康醫(yī)療等等非常多的行業(yè)和領(lǐng)域，方便客戶能夠輕松在云上找到、訂閱和使用第三方數(shù)據(jù)。

廣告評估和分析公司Comscore利用Amazon Clean Rooms平臺，實現(xiàn)了讓合作伙伴把第三方數(shù)據(jù)通過安全的開放環(huán)境分享給Comscore去使用，從而實現(xiàn)借助第三方數(shù)據(jù)更好地為業(yè)務(wù)賦能。

挑戰(zhàn)四，如何實現(xiàn)安全日志的統(tǒng)一管理及分析

隨著企業(yè)IT系統(tǒng)的復(fù)雜度日益提高，安全管理的復(fù)雜度也在水漲船高。Gartner調(diào)查顯示，高達(dá)43%的企業(yè)與超過10家以上的安全供應(yīng)商合作。

日志管理是安全管理中關(guān)鍵的一環(huán)，通過日志企業(yè)可以快速有效地追溯到安全問題的源頭。然而企業(yè)眾多業(yè)務(wù)系統(tǒng)會使用不同廠商所提供的安全系統(tǒng)，安全日志的格式也各不相同。

針對這一行業(yè)痛點，亞馬遜云科技從2022年開始就聯(lián)合了15家安全行業(yè)的頭部企業(yè)，包括Palo Alto Networks, Symantec, Trend Micro等，推出了OCSF的開源的協(xié)議框架。通過這個協(xié)議框架，廠商可以統(tǒng)一完整的日志格式。

在此基礎(chǔ)上， Amazon Security Lake是高效統(tǒng)一管理安全日志的利器。它可以統(tǒng)一管理來自于不同來源、不同系統(tǒng)的安全日志，，并且能夠利用這些日志進(jìn)行安全分析。Amazon Security Lake可以自動搜集并存儲亞馬遜云科技安全產(chǎn)品（如Amazon GuardDuty，Amazon SecurityHub）的日志，以及第三方乃止線下安全設(shè)備的日志，并且使用OCSF統(tǒng)一格式。并通過Amazon S3的存儲性能，將日志分層管理。

隨著企業(yè)數(shù)據(jù)規(guī)模的持續(xù)擴(kuò)大，數(shù)據(jù)的可識別、協(xié)同、可見等挑戰(zhàn)日益凸顯。只有借助領(lǐng)先的數(shù)據(jù)安全工具和解決方案，才能真正釋放數(shù)據(jù)背后的價值。

END