第一次參加re:Inforce，媒體從業(yè)者的習(xí)慣驅(qū)使找到抓人眼球的亮點(diǎn)，因此，我把目光投向了幾個(gè)新發(fā)布的安全相關(guān)服務(wù)，其背后的要點(diǎn)，可以從責(zé)任共擔(dān)模型、零信任等角度進(jìn)行概括。此外，亞馬遜云科技還介紹了大模型與安全的相關(guān)話題。

然而，在我與幾位亞馬遜云科技的技術(shù)專家，來自第三方的技術(shù)專家和來自vivo的技術(shù)專家對(duì)話之后發(fā)現(xiàn)，大家并沒有花大篇幅將新發(fā)布視為話題的重點(diǎn)，很多參會(huì)者關(guān)注的話題很明確，此行更多是為了尋找某些問題的解決之道，或者解決思路。

比如，vivo安全技術(shù)高級(jí)總監(jiān)陳輝軍想學(xué)習(xí)的是數(shù)據(jù)隱私方面的優(yōu)秀實(shí)踐，在全球?qū)?shù)據(jù)隱私保護(hù)要求越來越多的背景下，作為著名出海企業(yè)的vivo自然將數(shù)據(jù)隱私視為重點(diǎn)。

陳輝軍表示，此次參加re:Inforce，感受到了亞馬遜云科技在技術(shù)戰(zhàn)略上對(duì)于數(shù)據(jù)安全的重視。令他比較受用的是，亞馬遜云科技把整個(gè)數(shù)據(jù)安全和合規(guī)的能力融入到了流程當(dāng)中，這對(duì)于vivo的業(yè)務(wù)出海非常有幫助。

事實(shí)上，亞馬遜云科技將安全視為Job Zero，作為頭等大事，什么是Job Zero呢？意味著什么呢？

我們能看到的是，亞馬遜云科技的安全團(tuán)隊(duì)是獨(dú)立的，可以不向業(yè)務(wù)團(tuán)隊(duì)妥協(xié)。（盡管如此，但安全團(tuán)隊(duì)還是會(huì)避免成為一個(gè)經(jīng)常說“No”的部門。）在亞馬遜內(nèi)部，亞馬遜云科技的CISO是直接向Amazon的CISO匯報(bào)，而后者直接向CEO匯報(bào)。

陳輝軍認(rèn)可亞馬遜云科技的整體安全能力。

最讓他印象深刻的是，亞馬遜的安全服務(wù)的設(shè)計(jì)感很強(qiáng)。在實(shí)際使用時(shí)，用戶自然能發(fā)現(xiàn)很多問題，然而，這些問題在亞馬遜云科技的架構(gòu)設(shè)計(jì)當(dāng)中，都已經(jīng)考慮到了，這與一些需要后續(xù)迭代的安全服務(wù)完全不同。

從陳輝軍的介紹中了解到，vivo非常看重?cái)?shù)據(jù)安全和隱私保護(hù)，在內(nèi)部構(gòu)建了一套可以總結(jié)為“PROTECT”的安全能力體系，其中：

P代表隱私保護(hù)（Privacy protection）；

R是代表數(shù)據(jù)安全風(fēng)險(xiǎn)（data security Risk）；

O代表產(chǎn)品安全（product Object security）；

T代表關(guān)鍵技術(shù)（key security Technologies），針對(duì)關(guān)鍵技術(shù)做一些預(yù)演；

E則代表安全工程（security Engineering），指的是基于業(yè)務(wù)開發(fā)的生命周期來構(gòu)建安全能力，將業(yè)務(wù)的設(shè)計(jì)、開發(fā)、測(cè)試等全流程與安全流程結(jié)合；

C指的是合規(guī)管理（Compliance management）；

第二個(gè)T指的是安全對(duì)抗（security penTesting），會(huì)對(duì)業(yè)務(wù)系統(tǒng)安全能力做攻防評(píng)估。

在基于PROTECT實(shí)踐的基礎(chǔ)上，最終形成了vivo千鏡安全架構(gòu)。vivo希望千鏡安全架構(gòu)能像照妖鏡一樣看破偽裝、識(shí)破風(fēng)險(xiǎn)。

事實(shí)上，vivo基于千鏡安全架構(gòu)開發(fā)了千鏡可信引擎，該引擎會(huì)衡量手機(jī)系統(tǒng)運(yùn)行環(huán)境的可信的度量，它可以給上層的應(yīng)用測(cè)算出風(fēng)險(xiǎn)的度量分?jǐn)?shù)，幫助用戶來避免遭受設(shè)備詐騙等風(fēng)險(xiǎn)。

整體而言，vivo在隱私保護(hù)、數(shù)據(jù)安全、合規(guī)管理方面的工作都得到了亞馬遜云科技的幫助，亞馬遜云科技助力 vivo 構(gòu)建了牢固的云上防護(hù)體系，能更好地保護(hù)消費(fèi)者數(shù)據(jù)安全與隱私。具體而言，亞馬遜云科技提供的幫助可以總結(jié)為三個(gè)方面。

首先，在基礎(chǔ)架構(gòu)層面，亞馬遜云科技的用戶可以直接繼承亞馬遜云科技的安全能力，省去了vivo在基礎(chǔ)架構(gòu)層面上的投入。

第二，在實(shí)現(xiàn)過程中盡可能多地做自動(dòng)化，亞馬遜云科技的安全服務(wù)體系注重自動(dòng)化，而自動(dòng)化則可以促進(jìn)安全效率的提升。

第三方面，亞馬遜云科技平臺(tái)上可以為vivo提供端到端的安全解決方案，這些安全能力，有的是亞馬遜云科技自己的，有的是通過合作伙伴去提供的。

vivo用了很多亞馬遜云科技的安全服務(wù)，這與vivo與亞馬遜云科技在業(yè)務(wù)形態(tài)上的相似性不無關(guān)系。

一方面，亞馬遜云科技要用安全服務(wù)取信于vivo，而vivo要用安全能力取信于手機(jī)用戶。另一方面，vivo和亞馬遜云科技一樣，都有芯片、系統(tǒng)和應(yīng)用。

在服務(wù)vivo的過程中，亞馬遜云科技提供的不是某一項(xiàng)云服務(wù)，而是一套安全技術(shù)體系的參考范式，這套范式不僅需要vivo的安全相關(guān)人員來參與，還需要運(yùn)維人員和前端人員的參與，甚至還需要讓法務(wù)團(tuán)隊(duì)參與。

陳輝軍表示，亞馬遜云科技在數(shù)據(jù)安全合規(guī)方面給vivo進(jìn)行了很多賦能工作，在vivo面向業(yè)務(wù)人員和安全人員開展了多場(chǎng)培訓(xùn)。

vivo的V學(xué)堂里有關(guān)于亞馬遜的安全賦能的一系列課程，上線以來有大約三萬多人是聽過這門課，由于是線上課程，vivo的每一個(gè)部門的人都能來參加，課程內(nèi)容會(huì)提到很多具體的問題，比如，如何用亞馬遜云科技的服務(wù)來應(yīng)對(duì)勒索病毒等。

可以說，亞馬遜云科技要做的其實(shí)是賦能整個(gè)vivo的相關(guān)人員。

因?yàn)?，放由用戶自行解決安全和隱私問題，用戶的業(yè)務(wù)發(fā)展步伐可能會(huì)放緩，而亞馬遜云科技則是要用安全服務(wù)加快其發(fā)展，讓vivo這樣的企業(yè)將更多精力放在業(yè)務(wù)發(fā)展本身。

亞馬遜云科技有一句話是，不是人人都是天氣預(yù)報(bào)員。亞馬遜云科技不是要讓用戶從頭開始學(xué)習(xí)在云上防勒索，就像不是所有人都需要具備預(yù)測(cè)天氣的能力一樣，大多數(shù)人會(huì)看天氣預(yù)報(bào)即可，亞馬遜云科技負(fù)責(zé)提供安全能力，vivo這樣的用戶拿過來用就好了。

然而，亞馬遜云科技的這番操作對(duì)業(yè)務(wù)的促進(jìn)作用是間接作用的，并不會(huì)直接轉(zhuǎn)化為任何收益，這是安全服務(wù)的一個(gè)非常大的特點(diǎn)。

zhupb