企业如何在确保数据安全的前提下发挥数据价值？

根据埃森哲《2023年技术愿景》报告，有90%的高管认为，数据正在成为组织内部和跨行业竞争的关键差异化因素。那么，企业该如何在确保数据安全的前提下，有效发挥数据资产的商业价值呢？

在亚马逊云科技近日举行的媒体沟通会上，亚马逊云科技大中华区产品部总经理陈晓建告诉记者，企业在挖掘数据价值中主要面临安全、合规、孤岛和协作四大挑战，与此相应，亚马逊云科技围绕业务数据的可识别、可见、可协作和安全数据的可操作四大场景提供了创新服务和解决方案，可以助力企业进一步释放数据要素价值，实现创新增长。

数据可识别场景：助企业识别敏感数据，应对合规挑战

近年来，很多国家和地区都颁布了数据隐私和数据安全方面的法律法规，如欧盟的GDPR、美国的ADPPA、我国的《个人信息保护法》《数据安全法》《数据出境安全评估办法》《生成式人工智能服务管理暂行办法》等等。这些法规都对个人数据和敏感数据的使用提出了具体要求。所以企业必须强化数据管理的能力，充分做到合法合规。

陈晓建指出，“企业需要人-流程-工具全链路的数据安全合规。而为用户的业务和计算负载提供最合适的工具，一直是亚马逊云科技投入的方向。在敏感数据的发现与识别方面也是一样，我们会通过合适的工具产品与解决方案，与我们的合作伙伴一起，为亚马逊云科技的用户提供价值。”

为此，亚马逊云科技推出了云原生的、开源的敏感数据保护解决方案（Sensitive Data Protection on Amazon Web Services， SDP），用户可以进行自动化、自助部署，并且根据业务需求来修改源代码。

据介绍，该方案利用机器学习、模式匹配等方式自动识别敏感数据，允许客户创建数据目录，使用内置或定制的数据识别规则来定义敏感数据类型。该方案提供了中心化的管理平台，客户可以通过网页应用程序对敏感数据资产进行可视化管理。通过该方案，客户可以加速实现业务数据合规，为释放数据价值铺平道路。

陈晓建告诉记者，敏感数据保护解决方案特别适用于两种场景：一种是存量数据多且分散的场景，可以使用该方案来发现分散的数据；另一种是在数据类型不好判断的情况下，可以使用该方案来自动识别数据类型，提高准确率。

数据可见场景：让数据按需可见，安全共享

企业发展和创新对数据的安全应用提出了更高的要求，如数据合规、业务分析和团队协作等等。而数据可见是企业内不同部门、不同角色高效挖掘数据价值的前提，也是不同治理模式高效协同的基础。因此企业需要构建一个连接数据生产者与数据消费者的桥梁，但考虑到数据安全，又不能无限制地将所有数据共享给所有人。

陈晓建介绍，亚马逊云科技推出的数据管理服务Amazon DataZone能够加速企业的数据网格建设，对不同网格来源的数据进行共享和治理。通过数据所有权的去中心化、联邦式数据治理、点对点的数据共享等功能，Amazon DataZone让数据生产者能够轻松管理和控制数据访问，让数据消费者发现和使用数据并开展数据协作，在快速实现协作分析的同时大大简化数据治理难度。

陈晓建表示，Amazon DataZone可以让客户更快、更轻松地对存储在亚马逊云科技、客户本地和第三方来源的数据进行编目、发现、共享和治理；可以使用精细的控制工具管理和治理数据访问权限，确保数据访问发生在正确的权限和正确的情境之下；还可以使数据开发者、数据科学家、分析师和业务用户轻松访问整个组织的数据，从而发现、使用数据，通过数据进行协作来获得洞察。

以伊塔乌联合银行为例，这家全球化的金融服务公司利用Amazon DataZone的能力来平衡数据访问和治理、合规政策方面的关系。他们表示：“借助Amazon DataZone，我们能够快速、轻松地为分析师、工程师和科学家团队等各种角色来设定更加精细合理的访问权限，帮助他们在各业务场景中实现业务假设。”

数据可协作场景：让数据可用不可见，助企业安全协作创新

陈晓建向记者强调，释放数据价值并非只局限在企业自身的业务数据，产业上下游和合作伙伴等第三方数据的加入也能够为企业创新注入新的活力，因此企业需要加强产业上下游数据协作来快速创新，并在保障安全和创造价值之间找到一个平衡点。

为了应对这样的场景，亚马逊云科技推出了Amazon Clean Rooms分析服务，该方案能够帮助企业与其合作伙伴在互相不暴露原始数据的情况下进行数据匹配、分析和协作，而不需要在云上移动数据，从而安全地实现数据价值最大化。

陈晓建进一步介绍，使用Amazon Clean Rooms，用户可以在几分钟内创建一个安全的数据Clean Room，通过创建协作项目，实现数据的多方协作。而对于数据提供方而言，不仅可以通过数据预加密来对数据进行保护，而且由于所有成员都是直接从自己的Amazon S3贡献数据，真正实现了只有数据查询和分析，而没有数据移动。Amazon Clean Rooms还提供了一个密态计算的环境，数据的提供方可以对数据进行预加密，在Clean Rooms 环境中，数据一直都是以加密的形态进行数据分析操作，并将分析结果解密、返回，从而在数据安全得到最大保护的同时，在协作方之间充分开发了数据价值。

此外，随着我们迎来生成式AI时代，企业需要更多第三方数据来协作创新。但获取第三方数据并非易事。Amazon Data Exchange可以简化获取第三方数据的过程。

陈晓建介绍，Amazon Data Exchange能够提供超过3500种第三方数据，使客户能够在云上轻松找到、订阅和使用第三方数据。这些数据来源于金融、天气、地理空间、健康医疗等行业和领域。

通过Amazon Data Exchange获取数据也非常简便，它支持包括Amazon S3注入，查询表接口以及API调用等多种访问方式。在生成式AI模型训练场景中，用户只需要将下单的数据集注入到Amazon S3数据湖，就可以使用数据分析工具进行数据处理，进而开始模型训练。而且，所有数据在存储和传输时都是加密的，该方案整合了亚马逊云科技的身份和访问控制管理系统来设定权限，监控实际的访问过程。

值得强调的是，将Amazon Data Exchange与Amazon EMR Serverless等分析服务相结合，可以大大简化企业生成式AI应用开发方面的数据获取难题，加速生成式AI落地。

安全数据可操作场景：让数据可操作，提升安全运营效率

当前CISO普遍面临着日益增加的安全供应商和安全日志量的挑战。根据Gartner发布的《2022年网络安全重点趋势》，有75%的组织在寻求安全供应商整合。然而企业很难在短时间内整合安全供应商。

亚马逊云科技给出的解决方法是建立一个安全数据湖，统一管理来自不同厂商的日志，并让这些日志可以用来进行安全事件分析。

陈晓建介绍，Amazon Security Lake可以自动将来自多云、本地和第三方的安全数据集中到一个专门构建的数据湖中，它支持包括亚马逊云科技、安全合作伙伴和第三方分析服务提供商在内的80多个安全数据源，能自动搜集并存储亚马逊云科技安全产品（如Amazon GuardDuty，Amazon SecurityHub）的日志，以及第三方线下安全设备的日志，并且使用OCSF统一格式。它使用Amazon S3集中存储日志，可以充分利用Amazon S3的存储性能，将日志分层管理，提高性价比。和其他亚马逊云科技提供的服务一样，这个数据湖本身的安全性由亚马逊云科技来保证，如集成了亚马逊云科技的加密服务Amazon KMS可以实现自动加密管理。该服务还与亚马逊云科技成熟的数据分析工具集成，可以帮助企业安全团队在熟悉的分析环境中实现更快的威胁检测、调查和事件响应，有效解决潜在安全隐患。

陈晓建表示，“在数字化、智能化时代，安全是企业的首要优先级，数据是驱动创新的宝贵资产。亚马逊云科技致力于通过数据分析与安全服务的融合帮助客户释放数据价值，确保客户在数据安全上无后顾之忧。”