聚焦数据治理与安全运营，沙龙活动顺利举行

发布时间：2019-04-26

4月24日，由FreeBuf主办的“数据治理与安全运营”沙龙活动在上海证大美爵酒店顺利举行。备受瞩目的上讯信息携敏捷数据管理平台ADM及智能运维安全管理平台SiCAP如约而至！与来自阿里巴巴、携程、美团、中通等公司的CTO们围绕会议主题，共同对话企业信息安全现状与实践经验。

<p style="margin-top: 0px; margin-bottom: 0px; padding: 0px; max-width: 100%; clear: both; min-height: 1em; color: rgb(51, 51, 51); font-family: -apple-system-font, BlinkMacSystemFont, " helvetica="" neue",="" "pingfang="" sc",="" "hiragino="" sans="" gb",="" "microsoft="" yahei="" ui",="" yahei",="" arial,="" sans-serif;="" font-size:="" 17px;="" letter-spacing:="" 0.544px;="" line-height:="" 27.2px;="" text-align:="" center;="" white-space:="" normal;="" background-color:="" rgb(255,="" 255,="" 255);="" text-indent:="" 0em;="" box-sizing:="" border-box="" !important;="" word-wrap:="" break-word="" !important;"=""> freebuf会议封面图.jpg

信息化时代，数据是一笔宝贵的资产。不管企业还是政府单位，每天都在有意无意地收集、存储、共享数据，且规模越来越大。与各类数据打交道，是现代企业成长的必经之路，但是敏感数据泄露的风险也与日俱增。除了外部风险环境的压力，还不得不面对合规性要求。

国外有GDPR（这两年非常火的欧盟《一般数据保护条例》）、HIPAA（美国的健康保险携带和责任法案）、SOX（美国萨班斯法案，会计职业监管、公司治理、证券市场监管等方面改革的重要法律）、PCI DSS（全球性支付卡行业数据安全标准）。

国内有《网络安全法》、《公共及商用服务信息系统个人信息保护指南》以及与金融业密切相关的《商业银行信息科技风险管理指引》。在中国银行业“十三五”信息科技发展规则监督指导意见中指出：“推进信息资产识别和分类、分级工作，建立信息资产分级标准、规范，明确安全策略和保护要求，落实管理责任，确保信息资产分类分级管理范围的全面覆盖。加强敏感信息保护，重点加强客户身份、账户等重要电子信息的保护，深入评估客户敏感信息在创建、存储、使用、传输和销毁等过程中的安全风险，综合运用多因素认证、访问控制、边界防护、泄密检测、密码算法和技术、数据脱敏和安全审计等手段，切实提高客户身份认证和验证强度，防范敏感数据泄露、篡改、丢失和非授权访问等风险。”人民银行曾在（2011）17号文件中提到：“强化个人金融信息保护和银行业金融机构法制意识，依法收集、使用和对外提供个人金融信息，十分必要。对个人金融信息的保护是银行业金融机构的一项法定义务。”银监会信息科技风险现场检查指南则强调：“测试中如需使用生产数据，应对相应数据进行脱敏、变形处理，当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理。”

上讯信息敏捷数据管理平台ADM产品应运而生，ADM由生产数据管理、备份数据管理、测试数据管理和敏感数据管理组成，为企业上中下游数据的高效使用和安全管理提供一套整体解决方案，解决企业数据使用和管理中存在的成本、效率和安全性三方面的问题。生产管理系统帮助用户解决了核心数据库的数据实时保护的问题，并提供核心数据库的快速应急恢复，简易的操作流程，不需要专业的数据库管理员也可以快速实现数据保护和应急恢复，并可以随时进行恢复演练。备份数据管理系统，可以对接NBU、Commvault等备份系统，实现备份数据的自动恢复验证，彻底摆脱繁琐的人工恢复操作流程，节省了大量的人力资源；只需要做好自动恢复策略，就可以自动执行恢复验证，无需人为干预，彻底解决了备份数据恢复验证无法全面覆盖的难题。敏感数据管理系统，内置敏感数据自动发现功能，解决了敏感数据发现不彻底的问题；敏感后数据的高仿真，满足了真实数据使用需求的同时，也解决了敏感数据泄露的问题；异构的数据脱敏机制，适用于用户的各种数据使用场景。测试数据管理系统，解决了在测试过程中对数据版本的需求，并可以将测试数据进行快照保存和流转分发，解决了测试过程中对数据使用的诉求，并提高了测试数据使用的效率与安全管控问题。

智能运维安全管理平台SiCAP则是为了应对传统IT模式向私有云、公有云、混合云等转变态势，以ITSM2.0为基准，将行业内前沿新兴的DevSecOps、AIOps和BiModalIT等技术理念与信息安全结合而形成的平台型产品，包括用户统一身份管理（IAM）、资产配置管理（CMDB）、业务资产综合监控、业务运维及安全综合审计、IT流程管理（ITIL）及数据智能分析六大核心产品模块。可提供多种部署方案用以不同环境下的使用要求。通过部署SiCAP，可以完善用户的运维安全监管体系，符合《网络安全法》和《信息系统安全等级保护基本要求》以及相关行业标准和相关法律法规。集中化的资产账号授权统一管理在提高工作效率的同时提高安全等级。通过制定相关安全策略有效帮助运维人员、数据库管理员、日志审计员等工作人员规避风险。还可依托ITIL V3 的最佳实践，将所有的运维申请、审批，事件故障的处理，设备运维的操作等进行流程化管理，提高事件的处理时效。