卫士通信息产业股份有限(xiàn)公司副总经理
张 剑
张剑,卫士通信息(xī)产(chǎn)业股份(fèn)有限公司副总经理(lǐ)、高级(jí)工程师,负责公司在(zài)云安全、数(shù)据安全(quán)以及安(ān)全服务(wù)等业务(wù)领(lǐng)域的技术能力和产品规划(huá)等工(gōng)作,拥有信息安(ān)全领域十余年从业经验,曾先后荣(róng)获省级(jí)、部(bù)级及军队科(kē)技进步奖,并作为系统总师参与(yǔ)军队多个重大系统的信息安全(quán)体系设(shè)计(jì),先(xiān)后参与工信部、国家保密(mì)局及公(gōng)安部的云计算及大数(shù)据(jù)安全标准的(de)拟制工作,并作为ITU会员参与国际电联相(xiàng)关云计算安全标准的讨论和研究工作,团队(duì)所(suǒ)研发的(de)安(ān)全虚拟(nǐ)桌(zhuō)面及安全云操作系统已经获得公安部最高安全等(děng)级的增强(qiáng)级(jí)产(chǎn)品测(cè)评认证。
目前,全球进入(rù)大数据时代,数据呈现爆发式增(zēng)长的同时,也(yě)带来了前所(suǒ)未有的风险与安全挑战。《中华人民共和(hé)国数据安全法(草案)》(以下简称《数据安全法(草案(àn))》)的颁布,旨在搭建一个更为全面的数据安全保障体系。这不仅体(tǐ)现了(le)国家对数据战略的重大考量,也给(gěi)相关的网(wǎng)络(luò)安全(quán)企业带来了(le)重(chóng)大(dà)机(jī)遇。
卫士通作为一家以保护国(guó)家网络空间安全为己任的公司,20多年来一直在(zài)国家重要行业(yè)信息系统的信(xìn)息安(ān)全(quán)保障中发挥着重要作用,当下(xià)的《数(shù)据安全(quán)法(草案)》的(de)出台,对卫(wèi)士(shì)通(tōng)而言,既是机遇,也(yě)是挑战。为此,记者采访了卫(wèi)士通(tōng)副总(zǒng)经理(lǐ)张(zhāng)剑,就《数据安全法 (草(cǎo)案 )》、对企业(yè)的挑(tiāo)战与(yǔ)机遇,以及公司在数据安全领域的布局等(děng)问题,进行了沟通交(jiāo)流,现整理如下,以飨读者(zhě)。
记者:您如何评(píng)价刚(gāng)出台的(de)《数据安全法(草案)》?
张剑:《数据安(ān)全法(草案)》的出台,首先(xiān)从宏观(guān)层面上明确了(le)国家的大(dà)数据发展(zhǎn)战(zhàn)略是引导安全需求要与数据的开(kāi)发(fā)利用相(xiàng)结合,不是为了保护而保(bǎo)护。同(tóng)时(shí),草案从立法层面确立了我国数据安全治理与监(jiān)管体系,表明数据安(ān)全(quán)已成为事关国家安全与经济社会(huì)发(fā)展的重大关(guān)键(jiàn)点。国家关于(yú)数据安全的总体战略(luè),是鼓励数据活动(dòng)的各方共同参与数据安全的保护工作,并且对开展数据活动的主体、相关的监管部门提出了义务和安(ān)全责任(rèn)。
在(草(cǎo)案)中,对数据的(de)定义、数据各参与方的责任(rèn)和义务都进行了(le)清晰的厘定,明确规定(dìng)了(le)数(shù)据保护的(de)主体(tǐ)责任和义务是进行数据活动的主(zhǔ)体(tǐ),特(tè)别(bié)规范了国家机关在进行政务信息开放时的责(zé)任和义务。国家相关(guān)部门(行业主管部门、公安机关、网信部门(mén)等)从监管的角度规范数据处理的环境,国家将(jiāng)从数据的安全(quán)风(fēng)险评(píng)估、监测(cè)预(yù)警、应急处置和安(ān)全审查(chá)四个方面进行(háng)数据安全的监(jiān)管。
其次,国家也规(guī)范了在线数(shù)据处理和(hé)数据(jù)交易,要求专门(mén)提供在(zài)线(xiàn)数据处理等服(fú)务(wù)的经营者需要依法(fǎ)取得(dé)经(jīng)营业务许可或者备案。针对个人信息、重(chóng)要数据和涉密数据的处理者来说(shuō),都需要采取合法、正当(dāng)的方式,并有保护(hù)的义务,包括在境(jìng)内开展数据活动的境外组织(zhī)。再次(cì),国家要(yào)求数(shù)据活动主(zhǔ)体(tǐ)加(jiā)强风险监(jiān)测,针对重要数据的处理者还应定期开展风险评估,并向有关主管部门报送(sòng)风险评估报告。
综上所述,《数(shù)据安全法(草案)》可以说为国家后(hòu)续规范数据活动环境、保障数据(jù)安全奠定(dìng)了(le)基础。
记者:《数据安全法(草案)》的出台对数据安全产业领域中的企业有何重(chóng)要意义?
张剑:可以看到,数据安全法(fǎ)的最大特点是在(zài)鼓励数(shù)据流动、共享、乃至(zhì)交易的情况下, 确保数据的安(ān)全,与此同(tóng)时,国家(jiā)正(zhèng)在最大限度地推动各行各业的大(dà)数据开放和共享(xiǎng)。数(shù)据这一新(xīn)的生产力已经逐步成(chéng)为各行业信息化中的基本共识。这样强(qiáng)有力的(de)政策驱动对(duì)产业界而言,无疑是(shì)重大的市场机遇。
与此同时,在(zài)大数据(jù)背景下(xià),数据类(lèi)型多样化、数据交换共享手段(duàn)的多(duō)样化,以及用(yòng)户场景和需求(qiú)的极大(dà)丰富(fù),导致产业界在技术(shù)和产品中出现(xiàn)了诸多新的挑战(zhàn),如行业数据的安全分级(jí)、结构化(huà)和非结构(gòu)化数据(jù)的识别和标记(jì)、数据流动全过程溯源(yuán)和安全治理、业务全过程中的数据流动风险评估(gū)、隐私(sī)数据的安全计算(suàn)、多方数据(jù)共享(xiǎng)中的(de)多方计算等(děng)问题的出(chū)现带动了传统数据安全企业(yè)的转型,以及一大批(pī)数据(jù)安全创新公(gōng)司(sī)的(de)出现。
因此,数据安(ān)全产业在概念、内涵、技术、产品各个(gè)方面,都已出现了巨大变化,成(chéng)为网络安(ān)全领域中一个全新(xīn)的热点,处于一个快(kuài)速的产业发展期。
记者:请您谈谈,卫士(shì)通(tōng)目(mù)前的技术(shù)沉淀、创(chuàng)新和产品研发情况,与其他数据(jù)安全企业相(xiàng)比,其(qí)优势在哪里?《数据(jù)安(ān)全法(fǎ)(草案)》对贵司带来哪些影响,又(yòu)将如何布局(jú)?
张剑:着力于数(shù)据(jù)安全这一热(rè)点领域,确保数据的机密性是(shì)其根本和起点,而(ér)在这个方向(xiàng)上,卫士通拥有着“红色基因(密码(mǎ))、蓝(lán)色底蕴(科技)”的(de)先天优势。同时,基于对数据安全法的深入(rù)理解,在国家(jiā)推动数(shù)据流动(dòng)和共享(xiǎng)的(de)新形势(shì)下,针对不同行业(yè)中不同性质和不同类(lèi)型数据流(liú)动共享时的保护场(chǎng)景,卫士通充分结(jié)合(hé)自身(shēn)的(de)密码优势,以打造覆(fù)盖数据流(liú)动全周期的安全治理体(tǐ)系为(wéi)目标(biāo),在数据识别(bié)与自动分(fèn)级、数据标记、数据脱敏和降级、数据库和文(wén)件加密、数据流动全过程溯源等方向开展关键技(jì)术布(bù)局(jú);并已初步形成以数(shù)据安全治理平台、数据(jù)脱敏系统(tǒng)、数据分级(jí)工具、数据库加密产品、数(shù)据密标产品为代表的系列化产品;并与(yǔ)业界友商形成(chéng)广泛的合作和整合(hé),建(jiàn)立了数(shù)据安全的“生态圈”,具备多个行业应用场景下的数据安全整(zhěng)体(tǐ)解决方案的提供能力(lì)。
记者:《数据安全法(草案)》背景下,作为业(yè)内首个全(quán)服务化政务云安(ān)全项目,“成都市(shì)政务云——数据(jù)安全治理(lǐ)项(xiàng)目”对整个行业有何(hé)重要意(yì)义?
张(zhāng)剑:“成都市(shì)政务云——数(shù)据安(ān)全治理项(xiàng)目”可以说是政务领(lǐng)域一个较为完整和典型的数据安(ān)全治理(lǐ)案例。成(chéng)都(dōu)市的数据(jù)安全共享(xiǎng)、数据开(kāi)放、数据治理以及数(shù)据利用模式呈(chéng)现出(chū)典型化和多样化的特质。典型(xíng)化在于成都市作为一(yī)个一(yī)线的副(fù)省级城(chéng)市,其数据交换和(hé)共享场景,以及数据覆盖(gài)的(de)委办(bàn)局类型具备普遍的代表性(xìng);而多(duō)样化则在于成都市政务大数据的交换、汇集和处理的场景丰(fēng)富,且政(zhèng)务数(shù)据(jù)种类也呈现出多样化的特点。
该项目的顺(shùn)利(lì)落地(dì)具备重要的示范意义(yì),也将产生深远(yuǎn)的影响。首(shǒu)先,它表(biǎo)明在复(fù)杂的(de)城市级政务数(shù)据应用场景(jǐng)下,数(shù)据安全治理的可行性以及实现效(xiào)果是良(liáng)好的。基(jī)于(yú)我们的解决方(fāng)案,数(shù)据安全管(guǎn)理(lǐ)部(bù)门可以实现上万类(lèi)政务数据的有序分级、全场景下数据流(liú)动的(de)全过程追溯(sù)、不(bú)同场景下数据的有效控制(zhì)和防护,以(yǐ)及(jí)基于数(shù)据级别(bié)的安(ān)全(quán)防(fáng)护策略的(de)动态协同。其次,该项(xiàng)目在(zài)政务数据安全治理中,实现了(le)诸(zhū)多创(chuàng)新(xīn),且(qiě)对于其他(tā)城市级的数据(jù)安全治理有一定的参(cān)考(kǎo)价值(zhí),包括(kuò):结合(hé)人工智能技术实现政务(wù)数据的识别与分级,力图建立市级政(zhèng)务数据(jù)的分级分类标准;综合(hé)运用多种数据标记方法(fǎ),对数据(jù)在共享(xiǎng)交换、数据汇集、市县共享等不同场景(jǐng)下实现标记跟踪(zōng);通过打通与资源目录、共(gòng)享交换(huàn)等数据资源体(tǐ)系中(zhōng)的关(guān)键(jiàn)组件的接(jiē)口,获取数据流动日志,实现(xiàn)数据流(liú)动全过程的追溯;基于数据标记识别数据的安全(quán)级(jí)别,并以此为基础实现各类数据安(ān)全防护设备的(de)策(cè)略协同。
最后,在该项目实施过程中(zhōng)我们(men)遇到的问题和经(jīng)验总结,也(yě)对其(qí)他(tā)城市(shì)数据安全治理有一定(dìng)的借鉴意义,包括:实(shí)施过程中前(qián)置机的安全责(zé)任以及安全措(cuò)施(shī)之间的关系,数据交换系统、数(shù)据共(gòng)享(xiǎng)系统(tǒng)与数据标记之间的融合, 如何以最小的代价将安全(quán)与业务相结合,让业(yè)务流程(chéng)、应用的(de)改造量(liàng)最小(xiǎo),实现效益最大化。
记者:众所周知(zhī),《数(shù)据安全法(草案)》的出台将更加凸(tū)显数据安(ān)全的重要性,密码(mǎ)应(yīng)用将在数据安全方面起到什么样(yàng)的作(zuò)用?
张剑:从数据安全的角度讲,密码是基础性的保证,能够确保数据在各种场(chǎng)景下的(de)机密性。这也是卫士通为什么一直在致力于数据加密。从最初的文件加(jiā)密,到现在(zài)的数据库加密, 再到基于密码(mǎ)的数据多方安全共享等,密码技(jì)术(shù)始终是其核心和灵魂。与此(cǐ)同时,数据加密新的场景也对密码算法和(hé)密码的应用带(dài)来(lái)了新的挑战,例(lì)如在数据多方计算和多方共(gòng)享的场景中,就对密码算法带来了新(xīn)的挑战,需要提供具备实用性的密文计算或(huò)多方计算的算(suàn)法(fǎ), 在“数据不见(jiàn)面”情况下实(shí)现数(shù)据(jù)有效(xiào)利用。
同时,数据安全关注(zhù)度的极大(dà)提高,也会给内嵌了密码机制(zhì)的各种数(shù)据交互(hù)的应(yīng)用带来更(gèng)多机遇,卫士通一直致力于(yú)为(wéi)党(dǎng)政高(gāo)安全(quán)用户提(tí)供内嵌安全属性和密码属性的应(yīng)用,如橙(chéng)邮、橙讯等;采用这样的(de)方(fāng)式,能够很好地做到应用中进行数据交换或(huò)者(zhě)数据流(liú)动时,对数据的机(jī)密性加以保护。
记者:《数据安全法(草(cǎo)案)》对政企的数据(jù)安(ān)全建设提出了明(míng)确要求,您认(rèn)为(wéi)当前政企数据(jù)安全建设存在哪些问(wèn)题和挑战?
张剑:从政府角度讲(jiǎng),最大的问题就是如何通(tōng)过数据安全治理的(de)思路(lù)来打通整个政府数(shù)据共享和交换(huàn)路径(jìng)的通道。
具体(tǐ)而言,首先,政务数据的分(fèn)级和分类目前没有清晰的(de)标准和法规(guī)的引领。从国(guó)家到(dào)地方,目前都(dōu)还(hái)没有真正出台一部围绕(rào)政(zhèng)务数据的标准和法案,从而导致没有具体(tǐ)、有(yǒu)法可依、可操作性的(de)规范(fàn)抓手(shǒu),进(jìn)而也就没有形成一个规(guī)范性的解决(jué)思路或指导性意(yì)见,因此数据分(fèn)级问题很难在实际当中有效开展。
其次,政府如(rú)何科学有效监管?在(zài)目前大(dà)力推动政府数据的交换、共享、开放的大(dà)背景下, 如何对数据的流动、流向进行有效(xiào)监管,掌(zhǎng)握数据流动的全过程;同时,如何整(zhěng)合当前的(de)各种离(lí)散(sàn)的数据安全防护手(shǒu)段,建立(lì)以数据(jù)属性为核(hé)心(xīn)的一体化数据安全防护策略,实现对(duì)数据流动中的统一有(yǒu)效管控,也(yě)是当下的一个挑战和(hé)难点。
对企业而言,国家正在积极(jí)推(tuī)动商业秘密数据的保护(hù),国资委、国家保密局(jú)都已(yǐ)经出台了相关的要求和(hé)文件,央企首当其冲面临着如何(hé)实现(xiàn)内部商业秘(mì)密数据的有序安全、流动的问题。从文件产(chǎn)生(shēng),到(dào)文件通过邮件、即时通(tōng)信(xìn)、网盘(pán)等多种(zhǒng)方式进行交换,再到接收方(fāng)打开和阅读(dú)文件的全过程中,如何识别商(shāng)业秘密数据、如何进行(háng)标(biāo)记,如何在产生、交换、阅读过(guò)程中进(jìn)行(háng)管控,亟需完善的数据安全解决方案。
目前,卫士通(tōng)结合自身(shēn)在数据标记(jì)、数据(jù)加密等(děng)方面的技(jì)术和产品积累,与业界的合作伙(huǒ)伴积极对接,形成支持结构化和非结(jié)构化(huà)数(shù)据,支撑各种数据交换手段,具备(bèi)较高自动化水平的商业秘密数据识别和标记能(néng)力,覆盖数据(jù)交换全链条的商业秘密(mì)数据保护(hù)方案。
记(jì)者(zhě):从《数据安(ān)全(quán)法(草案(àn))》可以看到国家(jiā)的数(shù)据安全整体布局,请问卫士通将在其(qí)中扮演什么样的角色?
张剑(jiàn):首先(xiān),我们(men)希望把密码的基因(yīn)发挥到极致(zhì)。在数据安(ān)全的治理体系当中(zhōng),有诸(zhū)多环(huán)节都离不开密码,其重要性不言而喻,为此可以放大密码基(jī)因,在我们原有的文件加密、数(shù)据库加(jiā)密等方式上(shàng)进一步放大,并且积极去(qù)寻求和各种应用场景的(de)对接(jiē),让其在数据安全(quán)中的作(zuò)用发挥得更出色。
其(qí)次,结合对国家(jiā)在政企数据保护的政策、标准、法规的研究,以(yǐ)及卫士(shì)通公司在数据安全领域(yù)的(de)实践,可以看(kàn)到未来数(shù)据安全治理将围绕数据内(nèi)容,打造以(yǐ)内容(róng)为核心的数(shù)据(jù)安全(quán)治理和(hé)防护体系。在该体系(xì)当(dāng)中,卫士通将打造针对(duì)数据内容的数据分级和识别(bié)、数据(jù)标(biāo)记, 以(yǐ)及数据溯(sù)源的能力,从(cóng)而在未来(lái)的(de)数据安全产业链条中占据产业上游的技术和(hé)产品供应商地位(wèi),同(tóng)时通(tōng)过整合和(hé)合作,形成完整的数据安全解决方案的提供能力。
