數(shù)據(jù)作為新型生產(chǎn)要素，占據(jù)著國(guó)家戰(zhàn)略資源地位。然而，層出不窮的數(shù)據(jù)泄露事件也給數(shù)字化轉(zhuǎn)型中的企業(yè)帶來(lái)巨大風(fēng)險(xiǎn)和巨額損失的可能性。

據(jù)IBM安全發(fā)布的《2023年數(shù)據(jù)泄露成本報(bào)告》顯示，2023年數(shù)據(jù)泄露的全球平均成本上升至445萬(wàn)美元，達(dá)到歷史新高，比2022年的435萬(wàn)美元增加了2.3%，比2020年的386萬(wàn)美元增加了15.3%。

近年來(lái)，從歐盟正式實(shí)施《通用數(shù)據(jù)保護(hù)條例》（GDPR）以來(lái)，全球掀起了數(shù)據(jù)安全與隱私的立法熱潮，對(duì)企業(yè)提出了更高的數(shù)據(jù)安全合規(guī)性要求。

我國(guó)數(shù)據(jù)安全相關(guān)立法進(jìn)程也明顯加快，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法（草案）》等系列政策法規(guī)相繼出臺(tái)，強(qiáng)化了數(shù)據(jù)安全的法制基礎(chǔ)。

那么，在數(shù)字經(jīng)濟(jì)時(shí)代，企業(yè)應(yīng)該如何在確保數(shù)據(jù)安全的前提下，有效發(fā)揮數(shù)據(jù)資產(chǎn)的商業(yè)價(jià)值？數(shù)據(jù)安全隱患究竟容易出現(xiàn)在哪些環(huán)節(jié)，數(shù)據(jù)又是如何被保護(hù)的？

企業(yè)數(shù)據(jù)應(yīng)用面臨多重挑戰(zhàn)

隨著數(shù)據(jù)量急劇增長(zhǎng)，接觸數(shù)據(jù)的用戶角色流動(dòng)頻繁，企業(yè)數(shù)據(jù)面臨著復(fù)雜的暴露風(fēng)險(xiǎn)和擴(kuò)散濫用風(fēng)險(xiǎn)，也面臨著數(shù)據(jù)安全共享和協(xié)作的挑戰(zhàn)。

首先，數(shù)據(jù)牽涉到很多業(yè)務(wù)的價(jià)值，需要保證絕對(duì)的安全和合規(guī)要求。

在企業(yè)中，合規(guī)團(tuán)隊(duì)需要保證敏感數(shù)據(jù)能被有效識(shí)別并得到合理的保護(hù)和存儲(chǔ)。數(shù)據(jù)和業(yè)務(wù)團(tuán)隊(duì)需要在確保數(shù)據(jù)安全的前提下進(jìn)行高效協(xié)作。運(yùn)營(yíng)和安全團(tuán)隊(duì)也希望在自身的范圍內(nèi)，滿足所有與數(shù)據(jù)安全相關(guān)的需求，應(yīng)對(duì)由此帶來(lái)的挑戰(zhàn)。

針對(duì)多個(gè)業(yè)務(wù)部門對(duì)數(shù)據(jù)的要求，亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建表示，企業(yè)要實(shí)現(xiàn)數(shù)據(jù)的安全合規(guī)，需要人、流程、工具的相互配合。

因此，在數(shù)據(jù)安全合規(guī)方面，亞馬遜云科技專門推出了敏感數(shù)據(jù)保護(hù)解決方案（Sensitive Data Protection on Amazon Web Services, SDP）。

這是一個(gè)開(kāi)源的數(shù)據(jù)安全及數(shù)據(jù)隱私云原生解決方案，利用機(jī)器學(xué)習(xí)、模式匹配等方式自動(dòng)識(shí)別敏感數(shù)據(jù)，允許客戶創(chuàng)建數(shù)據(jù)目錄、使用內(nèi)置或定制數(shù)據(jù)識(shí)別規(guī)則定義敏感數(shù)據(jù)類型。

其次，數(shù)據(jù)在企業(yè)內(nèi)被安全有效地發(fā)現(xiàn)、共享和協(xié)作，才能夠高效挖掘出數(shù)據(jù)的價(jià)值。

目前，在數(shù)據(jù)團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)協(xié)作方式上，集中式和聯(lián)邦式是比較常見(jiàn)的兩種類型。

集中式是指負(fù)責(zé)治理運(yùn)營(yíng)的人主要集中在數(shù)據(jù)團(tuán)隊(duì)，并負(fù)責(zé)所有治理工作，能夠?qū)崿F(xiàn)快速的決策和高效的執(zhí)行，適合剛開(kāi)始數(shù)據(jù)分析之旅和小型組織的客戶。

聯(lián)邦式是指總的治理原則/政策有特定團(tuán)隊(duì)負(fù)責(zé)，但負(fù)責(zé)治理運(yùn)營(yíng)的人可以分散在各業(yè)務(wù)線，這樣業(yè)務(wù)部門擁有自己的數(shù)據(jù)，并在組織的監(jiān)督下做出決策，以滿足其特定需求和目標(biāo)，適合多BU的中大型企業(yè)或跨國(guó)企業(yè)。

這兩種類型的協(xié)作方式都需要多個(gè)角色高效協(xié)同，特別是聯(lián)邦式治理更是對(duì)“數(shù)據(jù)可見(jiàn)”需求迫切。

在這種迫切需求背景下，亞馬遜云科技在去年推出一項(xiàng)全新的數(shù)據(jù)管理服務(wù)Amazon DataZone，可以讓客戶更快地對(duì)存儲(chǔ)在亞馬遜云科技、客戶本地和第三方來(lái)源的數(shù)據(jù)進(jìn)行編目、發(fā)現(xiàn)、共享和治理。

再次，企業(yè)之間需要產(chǎn)業(yè)上下游數(shù)據(jù)協(xié)作來(lái)快速創(chuàng)新，多方數(shù)據(jù)需要安全地共享和分析。

在實(shí)際的場(chǎng)景中，數(shù)據(jù)協(xié)作的所有參與者都需要面對(duì)數(shù)據(jù)保護(hù)與業(yè)務(wù)價(jià)值安全之間的權(quán)衡�，F(xiàn)在有一些企業(yè)實(shí)現(xiàn)數(shù)據(jù)協(xié)作的方式是向合作伙伴提供數(shù)據(jù)副本，并依賴合同協(xié)議防止濫用。

但是，顯而易見(jiàn)，這樣的方式仍然發(fā)生了數(shù)據(jù)移動(dòng)，依然存在數(shù)據(jù)誤用和泄漏的風(fēng)險(xiǎn)。

對(duì)此，亞馬遜云科技推出了Amazon Clean Rooms，實(shí)現(xiàn)了匹配、分析和協(xié)作彼此的數(shù)據(jù)，而不需要移動(dòng)或者暴露原始數(shù)據(jù)，安全地實(shí)現(xiàn)數(shù)據(jù)分析協(xié)作。

對(duì)于數(shù)據(jù)提供方而言，不僅可以通過(guò)數(shù)據(jù)預(yù)加密來(lái)對(duì)數(shù)據(jù)進(jìn)行保護(hù)，而且因?yàn)樗�有成員都是直接從自己的Amazon S3貢獻(xiàn)數(shù)據(jù)，從而真正實(shí)現(xiàn)了只有數(shù)據(jù)查詢和分析而沒(méi)有數(shù)據(jù)移動(dòng)。

不僅如此，亞馬遜云科技還推出了Amazon Data Exchange，幫助企業(yè)獲取第三方數(shù)據(jù)來(lái)協(xié)作創(chuàng)新。

目前，Amazon Data Exchange提供超過(guò)3500種的第三方數(shù)據(jù)，數(shù)據(jù)來(lái)源包括金融、天氣、地理空間、健康醫(yī)療等等非常多的行業(yè)和領(lǐng)域，能夠使客戶能夠輕松在云上找到、訂閱和使用第三方數(shù)據(jù)。

最后，隨著數(shù)據(jù)安全和治理的工具越來(lái)越多，安全日志需要被統(tǒng)一管理及分析以提升效率。

日常的安全日志管理如何更加高效，以及在發(fā)生一些安全風(fēng)險(xiǎn)的時(shí)候，如何通過(guò)日志可以快速且有效地追溯到問(wèn)題的源頭，是每個(gè)企業(yè)都會(huì)碰到的問(wèn)題。

由于歷史的原因，很多企業(yè)所使用的系統(tǒng)并不統(tǒng)一，不同的廠商所提供的安全系統(tǒng)，安全日志的格式也各不相同。

為了高效解決這一問(wèn)題，亞馬遜云科技創(chuàng)立了業(yè)界第一個(gè)專門用于安全的數(shù)據(jù)庫(kù)——Amazon Security Lake，自動(dòng)將來(lái)自多云、本地和第三方的安全數(shù)據(jù)集中到一個(gè)專門構(gòu)建的數(shù)據(jù)湖中，并且使用OCSF統(tǒng)一格式。

同時(shí)，這個(gè)數(shù)據(jù)湖本身的安全性由亞馬遜云科技來(lái)保證，可以實(shí)現(xiàn)自動(dòng)加密管理。

企業(yè)數(shù)據(jù)應(yīng)用走向安全合規(guī)化

在過(guò)去十余年，國(guó)內(nèi)企業(yè)踐行數(shù)據(jù)安全遵循著由點(diǎn)及面、由少到多的特性。

具體來(lái)說(shuō)，早前在政策未強(qiáng)制要求時(shí)，重視數(shù)據(jù)安全建設(shè)的企業(yè)，往往身處金融、互聯(lián)網(wǎng)等領(lǐng)域——由于業(yè)務(wù)和數(shù)據(jù)安全強(qiáng)綁定，它們較早即自發(fā)開(kāi)展相關(guān)建設(shè)。

但在更多領(lǐng)域，如教育、醫(yī)療、制造業(yè)等，不少企業(yè)在法律法規(guī)完善前并未意識(shí)到數(shù)據(jù)安全的重要性。

但在新的數(shù)據(jù)安全法律法規(guī)的作用下，如今企業(yè)需要做到的遠(yuǎn)不止內(nèi)容不被丟失、濫用，和數(shù)據(jù)被安全地存放在“保險(xiǎn)箱”中——它們需要在存儲(chǔ)安全的基礎(chǔ)上更進(jìn)一步，關(guān)注數(shù)據(jù)在不斷流動(dòng)狀態(tài)下的安全性，在整個(gè)業(yè)務(wù)活動(dòng)中都做到對(duì)數(shù)據(jù)的安全管控。

新的監(jiān)管和業(yè)務(wù)需求之下，不少企業(yè)開(kāi)始使用創(chuàng)新性的安全合規(guī)和管理產(chǎn)品，去解決傳統(tǒng)數(shù)據(jù)安全無(wú)法應(yīng)對(duì)的挑戰(zhàn)。

深圳兆瓏科技有限公司作為一家全球化的物聯(lián)網(wǎng)通用設(shè)備平臺(tái)服務(wù)商和商用設(shè)備研發(fā)企業(yè)，在數(shù)據(jù)安全合規(guī)和分析方面就探索出了自身的最佳實(shí)踐。

隨著設(shè)備量、數(shù)據(jù)量的增多，深圳兆瓏科技每天的數(shù)據(jù)量暴增，之前的SIEM安全分析平臺(tái)解決方案已經(jīng)不能滿足金融行業(yè)對(duì)于安全數(shù)據(jù)快速收集、有效管理、高效分析的安全合規(guī)要求。

同時(shí)，超過(guò)20多種的安全數(shù)據(jù)類型，以及企業(yè)系統(tǒng)環(huán)境的多元化，使得數(shù)據(jù)的安全存儲(chǔ)和權(quán)限管理成為巨大挑戰(zhàn)；對(duì)于安全日志的多樣化分析，包括可視化、報(bào)警、快速分析以及未來(lái)可能做一些基于業(yè)務(wù)的預(yù)測(cè)模型，也成為新的難題。

基于此，深圳兆瓏科技從兩方面入手：

一是，依托亞馬遜云科技全球的基礎(chǔ)設(shè)施和全球安全合規(guī)認(rèn)證和服務(wù)，在安全合規(guī)落地過(guò)程中實(shí)現(xiàn)降本增效，快速地實(shí)現(xiàn)安全合規(guī)，并保障合規(guī)的持續(xù)性；

二是，依托亞馬遜云科技安全數(shù)據(jù)湖Amazon Security Lake，對(duì)多元化的安全數(shù)據(jù)日志進(jìn)行分析，包括：系統(tǒng)外部威脅攻擊的分析、系統(tǒng)內(nèi)部的威脅檢測(cè)和分析、金融黑產(chǎn)的風(fēng)控以及企業(yè)用戶行為的分析等。

利用這些日志分析的工具還可以生成合規(guī)報(bào)告，為客戶和審計(jì)提供審計(jì)上的證據(jù)。

據(jù)深圳兆瓏科技云上安全與合規(guī)負(fù)責(zé)人李少奕介紹，經(jīng)過(guò)安全合規(guī)的全面升級(jí)后，目前企業(yè)已滿足了PCI-DSS金融合規(guī)對(duì)日志的監(jiān)控與分析的全部9項(xiàng)要求，安全日志收集效率提升了40%，安全日志存儲(chǔ)成本降低了60%。同時(shí)，提升了安全數(shù)據(jù)管理和分析的效率。

結(jié)語(yǔ)

數(shù)字經(jīng)濟(jì)時(shí)代，無(wú)論是大型企業(yè)還是中小型企業(yè)，無(wú)論是國(guó)內(nèi)企業(yè)還是跨境企業(yè)，都會(huì)面臨數(shù)據(jù)安全合規(guī)和數(shù)據(jù)管理的挑戰(zhàn)。企業(yè)想要用好數(shù)據(jù)，背后就需要大量的技術(shù)進(jìn)行支撐。

走上數(shù)據(jù)安全合規(guī)技術(shù)之路，或許只會(huì)遲到不會(huì)缺席。

 相關(guān)閱讀

穿行數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)如何找到“安全感”？

數(shù)據(jù)安全法之下，數(shù)據(jù)確權(quán)有法可依嗎？

“暴風(fēng)驟雨”之下，企業(yè)數(shù)據(jù)安全能力建設(shè)迎來(lái)“覺(jué)醒年代”

用戶信息泄露事件頻現(xiàn)，數(shù)據(jù)安全建設(shè)該如何升級(jí)？

【科技云報(bào)道原創(chuàng)】

轉(zhuǎn)載請(qǐng)注明“科技云報(bào)道”并附本文鏈接

       原文標(biāo)題 : 數(shù)據(jù)安全合規(guī)這門必修課，企業(yè)不再缺席