第一次參加re:Inforce，媒體從業(yè)者的習慣驅(qū)使找到抓人眼球的亮點，因此，我把目光投向了幾個新發(fā)布的安全相關服務，其背后的要點，可以從責任共擔模型、零信任等角度進行概括。此外，亞馬遜云科技還介紹了大模型與安全的相關話題。

然而，在我與幾位亞馬遜云科技的技術專家，來自第三方的技術專家和來自vivo的技術專家對話之后發(fā)現(xiàn)，大家并沒有花大篇幅將新發(fā)布視為話題的重點，很多參會者關注的話題很明確，此行更多是為了尋找某些問題的解決之道，或者解決思路。

比如，vivo安全技術高級總監(jiān)陳輝軍想學習的是數(shù)據(jù)隱私方面的優(yōu)秀實踐，在全球?qū)?shù)據(jù)隱私保護要求越來越多的背景下，作為著名出海企業(yè)的vivo自然將數(shù)據(jù)隱私視為重點。

陳輝軍表示，此次參加re:Inforce，感受到了亞馬遜云科技在技術戰(zhàn)略上對于數(shù)據(jù)安全的重視。令他比較受用的是，亞馬遜云科技把整個數(shù)據(jù)安全和合規(guī)的能力融入到了流程當中，這對于vivo的業(yè)務出海非常有幫助。

事實上，亞馬遜云科技將安全視為Job Zero，作為頭等大事，什么是Job Zero呢？意味著什么呢？

我們能看到的是，亞馬遜云科技的安全團隊是獨立的，可以不向業(yè)務團隊妥協(xié)。（盡管如此，但安全團隊還是會避免成為一個經(jīng)常說“No”的部門。）在亞馬遜內(nèi)部，亞馬遜云科技的CISO是直接向Amazon的CISO匯報，而后者直接向CEO匯報。

陳輝軍認可亞馬遜云科技的整體安全能力。

最讓他印象深刻的是，亞馬遜的安全服務的設計感很強。在實際使用時，用戶自然能發(fā)現(xiàn)很多問題，然而，這些問題在亞馬遜云科技的架構設計當中，都已經(jīng)考慮到了，這與一些需要后續(xù)迭代的安全服務完全不同。

從陳輝軍的介紹中了解到，vivo非?？粗財?shù)據(jù)安全和隱私保護，在內(nèi)部構建了一套可以總結(jié)為“PROTECT”的安全能力體系，其中：

P代表隱私保護（Privacy protection）；

R是代表數(shù)據(jù)安全風險（data security Risk）；

O代表產(chǎn)品安全（product Object security）；

T代表關鍵技術（key security Technologies），針對關鍵技術做一些預演；

E則代表安全工程（security Engineering），指的是基于業(yè)務開發(fā)的生命周期來構建安全能力，將業(yè)務的設計、開發(fā)、測試等全流程與安全流程結(jié)合；

C指的是合規(guī)管理（Compliance management）；

第二個T指的是安全對抗（security penTesting），會對業(yè)務系統(tǒng)安全能力做攻防評估。

在基于PROTECT實踐的基礎上，最終形成了vivo千鏡安全架構。vivo希望千鏡安全架構能像照妖鏡一樣看破偽裝、識破風險。

事實上，vivo基于千鏡安全架構開發(fā)了千鏡可信引擎，該引擎會衡量手機系統(tǒng)運行環(huán)境的可信的度量，它可以給上層的應用測算出風險的度量分數(shù)，幫助用戶來避免遭受設備詐騙等風險。

整體而言，vivo在隱私保護、數(shù)據(jù)安全、合規(guī)管理方面的工作都得到了亞馬遜云科技的幫助，亞馬遜云科技助力 vivo 構建了牢固的云上防護體系，能更好地保護消費者數(shù)據(jù)安全與隱私。具體而言，亞馬遜云科技提供的幫助可以總結(jié)為三個方面。

首先，在基礎架構層面，亞馬遜云科技的用戶可以直接繼承亞馬遜云科技的安全能力，省去了vivo在基礎架構層面上的投入。

第二，在實現(xiàn)過程中盡可能多地做自動化，亞馬遜云科技的安全服務體系注重自動化，而自動化則可以促進安全效率的提升。

第三方面，亞馬遜云科技平臺上可以為vivo提供端到端的安全解決方案，這些安全能力，有的是亞馬遜云科技自己的，有的是通過合作伙伴去提供的。

vivo用了很多亞馬遜云科技的安全服務，這與vivo與亞馬遜云科技在業(yè)務形態(tài)上的相似性不無關系。

一方面，亞馬遜云科技要用安全服務取信于vivo，而vivo要用安全能力取信于手機用戶。另一方面，vivo和亞馬遜云科技一樣，都有芯片、系統(tǒng)和應用。

在服務vivo的過程中，亞馬遜云科技提供的不是某一項云服務，而是一套安全技術體系的參考范式，這套范式不僅需要vivo的安全相關人員來參與，還需要運維人員和前端人員的參與，甚至還需要讓法務團隊參與。

陳輝軍表示，亞馬遜云科技在數(shù)據(jù)安全合規(guī)方面給vivo進行了很多賦能工作，在vivo面向業(yè)務人員和安全人員開展了多場培訓。

vivo的V學堂里有關于亞馬遜的安全賦能的一系列課程，上線以來有大約三萬多人是聽過這門課，由于是線上課程，vivo的每一個部門的人都能來參加，課程內(nèi)容會提到很多具體的問題，比如，如何用亞馬遜云科技的服務來應對勒索病毒等。

可以說，亞馬遜云科技要做的其實是賦能整個vivo的相關人員。

因為，放由用戶自行解決安全和隱私問題，用戶的業(yè)務發(fā)展步伐可能會放緩，而亞馬遜云科技則是要用安全服務加快其發(fā)展，讓vivo這樣的企業(yè)將更多精力放在業(yè)務發(fā)展本身。

亞馬遜云科技有一句話是，不是人人都是天氣預報員。亞馬遜云科技不是要讓用戶從頭開始學習在云上防勒索，就像不是所有人都需要具備預測天氣的能力一樣，大多數(shù)人會看天氣預報即可，亞馬遜云科技負責提供安全能力，vivo這樣的用戶拿過來用就好了。

然而，亞馬遜云科技的這番操作對業(yè)務的促進作用是間接作用的，并不會直接轉(zhuǎn)化為任何收益，這是安全服務的一個非常大的特點。

zhupb