四、“法制科”科长甘佳凌：合规管理确保企业风险和损失达到最小Guardium

　　甘佳凌认为，当前企业的风险除了财务上的风险外，也可能包含没有符合法规，没有做到合规所产生的风险，也包含可能不小心或者无意识、故意泄漏了客户敏感信息。什么是客户的敏感信息?他的所得，个人隐秘的数据，包含电话或者住址等等这都是敏感数据。

　　甘佳凌指出，过去企业在IT安全管理上可能都比较着重在网络的管理或者是防火墙，可是最近因为发生了很多意外的事件，这些意外的事件都让大家开始注重数据的保护，特别是数据库的安全。最近中国人民银行也颁布了一个《金融机构做好个人金融信息保护的通知》，里面提到，我们在谈数据保护的时候，特别要重视的是在数据的源头，也就是数据库的安全风险分析。

　　所以，现在开始都在重视数据安全的管理议题。

　　那么，可以利用哪些工具或者武器来达到数据库实时的安全保护呢?IBM有一个产品叫Guardium。

　　Guardium在数据库的安全和审计市场里是市场的NO.1。它的主要功能是：

　　第一、可以防止敏感的数据被盗取，不管是有意，还是无意。

　　第二、Guardium是多数据库的厂商，除了IBM自己的DB2 InfoSphere以外，也支持微软、Oracle或者是市场上各种数据库的品牌。

　　第三、Guardium也专注多层体，除了单点数据库的安全保护以外，假如一个银行在不同的地市有不同的分行，在总行也可以看到在各地的分行储存了哪些客户敏感的信息，谁在动这些敏感的数据。

　　所以，Guardium除了可以做单一数据库的监控以外，还可以做到是个多层级的企业部署的架构。Guardium数据库监控跟审计市场的领导者，从2007年到今年第二季，Guardium都是这个市场的NO.1。

　　谈到敏感数据的保护，除了在生产环境的数据，Guardium谈的是我在生产环境数据库的保护。现在各个公司，特别是在银行、电信，会有很多应用在上线，应用在上线的时候就需要去测试这些应用是不是符用，在测试的环节里客户敏感的信息和数据有可能会泄漏，也有可能被外包厂商有意盗取，Optim Data Privacy Solutions就可以保护隐私数据。

　　Optim的Data Privacy Solutions除了做变形和把敏感的数据做漂白以外，也可以把企业做到变形规则。有些人说我自己开发好了，自己写个规则，当然也可以，但是这个规则是不是也有可能被人家盗走，这个规则会不会因为人变动了，就带走了。所以以人为的方式来做一定不能做到百分之百数据的漂白，还有一个变形的规则。

　　谈到合规，我们有一个解决方案叫 Optim Data Growth ，比如1-3年可能储存在数据库上面，3-5年可能在一个归档数据库里，5年以上存在tape里。当要查询的时候，可以同时查询在这个银行里，不管是10年前的交易或者5年前的交易，可以同时去查询客户的数据。所以，建议CTO或者CIO可以用Optim的Data Growth归档。如果以测试环境的隐私保护，Optim Data Growth，现在好像是没有竞争者的，除非客户想要自行开发，客户自行开发有哪些缺点。如果以归档的产品来讲，Optim可以支持Oracle所有的产品，而且Optim是Oracle认证可以支持和归档Oracle所有倒装软件的产品。我们在国内目前，在电信、金融都有成功的案例。