在扬帆出海的过程中,中国企业应当如何保障业务的安全合规?vivo为我们提供了一个绝佳的示范。
一家民营企业的全球目标
“vivo走过了二十多年的发展历程,从一个区域性的民营企业变成了一个全球企业。我们非常有幸在公司成长的过程中,与业界同仁一起见证了中国互联网,尤其是移动互联网行业的蓬勃发展。”在近日召开的2023 亚马逊云科技re:Inforce中国站活动上,vivo首席安全官(CSO)鲁京辉在主题分享中如是表示。
鲁京辉指出,最新的统计数据显示,在全球范围,vivo已经正式出货的国家已经达到了60多个,活跃的vivo手机用户大约超过5亿。另外,vivo最早是以线下的代理商体系而闻名,其线下服务比线上服务要起步更早,触及服务也更多。如今vivo在全球范围的线下销售及售后网点数量已经超过了32万个。
“vivo的目标是以设计和驱动来创造伟大的产品,以智能终端和智慧服务作为主要的载体,为消费者提供最佳的使用体验。”鲁京辉说道。
vivo的PROTECT安全战略
对于网络安全和隐私保护,vivo公司创始人、总裁兼CEO沈炜认为:“数据安全和隐私保护是消费者的基本权利,是企业获得消费者信任的基石,我们要把数据安全、隐私保护与守法合规,作为企业研发经营活动中绝对不可以触碰的红线和基本底线,来指导各项工作的开展。”
鲁京辉指出,vivo的安全战略可以缩写为“PROTECT”,而这个单词其实是从七个方面抽取的字母共同组成的:一是数据隐私保护:二是数据风险管理;三是产品对象安全;四是关键安全技术;五是安全工程;六是合规管理;七是安全攻防。
“对于广大企业,特别是基于数据驱动业务的企业来说,必须要直面和对抗日益猖獗的黑灰产。因为黑灰产没有底线,可以肆无忌惮地利用新技术来攻击企业。我们的基本原则是,只有知道如何攻,才能知道如何防。结合这七个方面,vivo构建了‘PROTECT’的安全战略,这也是vivo整体的安全战略。”鲁京辉介绍道。
vivo的千镜安全范式
鲁京辉透露,vivo的安全团队是以千镜安全实验室的形态对外进行交往、交流和能力沟通。其核心点是以整个千镜安全架构为核心,通过安全技术、安全工程、安全攻防,来形成整体的能力建设的技术主架。
“我们希望以千镜安全架构为基础,在端内构建一个可信的环境,为用户打造一个产品的安全体验,包括从底层的芯片到内核、框架、应用,每一层都有一些关键的使能点。但是我们可以看到一个核心的主轴,就是可信,包括底层硬件的可信根,包括Kernel内核和系统级可信执行环境,框架层提供的可信度量,应用上层的可信交互,我们以可信勾连了整个千镜安全架构。”
涵盖了七个方面的“PROTECT”安全策略,以及基于千镜架构提供的千镜可信引擎,使得vivo能够为手机系统运行环境进行可信度衡量,进而为客户使用应用时提供风险提示,避免资产损失。此外在构建端侧的千镜安全架构的同时,vivo也在通过不同的技术服务形态,去推动和赋能行业,去构建一个健康的可信生态。
“通过可信环境的构建,对可信度量的一些结果去赋能支付类的合作伙伴、社交类的合作伙伴、游戏类的合作伙伴等,共同去构建一个健康的、可信的移动互联网生态。这是我们制定的一个目标。”鲁京辉表示。
与亚马逊云科技的携手合作
作为全球云计算和云安全的倡导者,亚马逊云科技在全球有着丰富完备的布局,以及极其强大的基础设施能力。也正因为如此,vivo在选择合作伙伴时第一时间想到的就是亚马逊云科技,希望能够通过双方的携手合作,为用户构建一个更安心、更安全的数字世界。
vivo将海外的云相关业务,大部分都部署在了亚马逊云科技上。针对全球合规环境的变化,亚马逊云科技一方面提供安全责任共担模型,并不断承担更多的云上安全责任;另一方面为客户提供广泛的安全工具,结合技术赋能帮助客户更轻松地实现自身云上应用的安全。
借助亚马逊云科技的多种安全服务,例如威胁检测与事件响应(Amazon GuardDuty)、身份认证与访问控制(Amazon IAM)、网络与基础设施安全(Amazon WAF)、数据保护与隐私(Amazon CloudTrail)和风险管控及合规(Amazon Trusted Advisor)等相关服务,vivo得以构建相应的云上数据安全。
在技术赋能方面,vivo基于亚马逊云科技持续强化云安全建设,在基础架构层面,可直接继承亚马逊云科技全球基础设施方面的140多项认证;在安全效率层面,利用亚马逊云科技安全服务的自动化功能实现效率提升;在整体安全服务层面,利用亚马逊云科技全面的安全服务实现端到端的安全构建。
在人员赋能方面,亚马逊云科技为vivo提供了定期的安全赋能课程以及workshop,其中的V学堂安全课程线上有三万多人次参与。
双方合作带来的多方面收益
鲁京辉指出,通过采用亚马逊云科技安全可靠的全球性基础设施,vivo可以直接继承亚马逊云科技全球基础设施方面相关的安全合规认证。当企业提供全球服务的时候,中国企业必须要做好自证清白和他证清白。亚马逊云科技通过已经获得的相关的国际认证,为出海的企业提供了一些基础性的安全保障,极大地提升了企业拓展海外市场的效率。
除了来自产品技术以及安全合规等方面的诸多助力之外,vivo还从亚马逊创新文化和科技创新点的共创方面获益良多。据鲁京辉介绍,在过去的一年里,vivo和亚马逊云科技合作举办了“No Bad Days”安全合规专项交流的活动,该活动持续了18场相关的共创和业务交流,有超过3万多人的内部曝光,累计现场参与的研讨人数超过了600多人。
“vivo是一家非常强调企业文化建设的公司,因为只有长期的文化建设,才能保证企业的长期主义。其中的一个核心是‘科技创新是我们长期主义的基石之一’,我们看到了亚马逊云科技拥有非常优秀的创新文化,而且在接受亚马逊云科技优秀服务的同时,也感受和学习到了对方优秀的创新文化。”鲁京辉说道。