卫(wèi)士通信息产(chǎn)业股(gǔ)份有限公司副(fù)总(zǒng)经理
张 剑
张剑,卫士(shì)通信(xìn)息产业(yè)股份(fèn)有(yǒu)限公司副总经理、高(gāo)级工程师,负责(zé)公司在(zài)云(yún)安全、数据安全以及(jí)安全服务等业务(wù)领域的技术(shù)能力和产品规划(huá)等工作,拥有信息安全领域十(shí)余年从业经验,曾先后荣(róng)获省级、部级(jí)及军队科技进步奖,并(bìng)作为系统总师参与(yǔ)军队多个重大系统的(de)信息(xī)安全体系设(shè)计,先后参与工信部(bù)、国家保密局及公(gōng)安(ān)部的云计算及大数据安全标准的拟制(zhì)工作(zuò),并作为ITU会员参与(yǔ)国际电联相关云计算安(ān)全标(biāo)准的讨(tǎo)论(lùn)和研究工作,团队所研发的安(ān)全(quán)虚拟桌面及安全(quán)云(yún)操作系统已(yǐ)经(jīng)获得(dé)公(gōng)安部最(zuì)高安(ān)全等级的增强级产品测评认(rèn)证。
目前,全(quán)球进入大(dà)数据时(shí)代,数据呈现爆发式增长的同时(shí),也带来了前所未(wèi)有(yǒu)的风险(xiǎn)与安全挑战(zhàn)。《中华(huá)人民共和国数据安全法(草(cǎo)案)》(以下简称《数据安全法(草(cǎo)案)》)的颁布,旨在搭建一个更为全面(miàn)的(de)数据安全保障体系(xì)。这(zhè)不仅体现(xiàn)了国(guó)家对数据战略的重大考量(liàng),也给相关的网络安全企(qǐ)业带来了重大机遇。
卫(wèi)士通(tōng)作为一(yī)家以保护国家(jiā)网(wǎng)络空间安(ān)全(quán)为己(jǐ)任的公司,20多年(nián)来一直在(zài)国(guó)家(jiā)重要行业(yè)信息系统的信息(xī)安全保障(zhàng)中发挥着重要作用,当下的《数据安全法(草案)》的出台,对(duì)卫士通而言,既是(shì)机遇,也是(shì)挑(tiāo)战。为此,记(jì)者采访了卫士(shì)通副总经理张剑,就(jiù)《数据安全法 (草案(àn) )》、对企业的挑(tiāo)战与(yǔ)机(jī)遇,以及公司在数据安(ān)全(quán)领域的(de)布局等问(wèn)题(tí),进行(háng)了(le)沟通交流,现整理如(rú)下,以(yǐ)飨读者。
记者(zhě):您如何评价刚出台的《数据安(ān)全法(草案)》?
张(zhāng)剑:《数据(jù)安全法(草案)》的(de)出台,首先从宏观层面上明确了国(guó)家的大数据发展战略是引(yǐn)导安全需求要与数据(jù)的开发利用(yòng)相结合,不(bú)是为了保护(hù)而保(bǎo)护(hù)。同时,草案从(cóng)立法层面确(què)立(lì)了我国数据安全(quán)治理与监管体系,表明数(shù)据安全已成为事关国家安全与经济社(shè)会发(fā)展的重大关键(jiàn)点。国家关于数(shù)据(jù)安全(quán)的总体战略,是鼓励数据活动的各方共(gòng)同参(cān)与数据安(ān)全的保护工作,并(bìng)且对开展数据活动的主体、相关的监管部门提(tí)出了义务(wù)和安全(quán)责任。
在(草案)中,对数据的(de)定义、数据(jù)各参与方的责任和义务(wù)都进行了(le)清晰(xī)的厘定(dìng),明确规定了数(shù)据保护的主体责任和(hé)义务是进行数(shù)据活动(dòng)的主(zhǔ)体,特别规范了国家机关在(zài)进行政务信息(xī)开放时的责(zé)任和义务。国(guó)家相关部门(行业主管部门、公安机关、网信部门等(děng))从(cóng)监管的角度(dù)规范数据处理的环境,国家将从数据的安全风险评估、监测预警、应急处置和安全审查四个方面进(jìn)行(háng)数据安全的(de)监管(guǎn)。
其次,国家也(yě)规范了在线数据(jù)处理和数据交易,要求专门提(tí)供在线(xiàn)数据处理等服务的经营(yíng)者需要依法取得经营业务许可或者(zhě)备案。针对个人(rén)信息(xī)、重(chóng)要数据和(hé)涉密数据的(de)处理者来说,都(dōu)需要采取合法、正当的方式,并有保护的(de)义务,包括在境内开展数据(jù)活动(dòng)的境外组织。再次,国家要求数据活动主体加强风险监(jiān)测(cè),针对重(chóng)要数据的处理者还应定期开展风险评估(gū),并向有关主管部(bù)门报(bào)送风险评(píng)估报告。
综(zōng)上所(suǒ)述(shù),《数据安全法(草案)》可以说为国家(jiā)后续规范数据活动环境、保障数据安全奠(diàn)定了基础。
记者:《数据安全法(草案)》的出台对数据安全产业领(lǐng)域中的企业有何重要意义?
张剑(jiàn):可以看到(dào),数据安全法的(de)最大特点是在鼓(gǔ)励数据流动(dòng)、共享、乃至交易(yì)的情况下, 确保数据(jù)的(de)安(ān)全,与此同时(shí),国家正在最大限度地推动各行各业的大数据开放和共享。数据这一新的(de)生产力已(yǐ)经逐步成为各行业信息化中(zhōng)的基本共识(shí)。这样强有力的政策驱动对产(chǎn)业界而言,无疑是重大的市场机遇。
与此同(tóng)时,在大数据背景(jǐng)下,数据(jù)类型(xíng)多样(yàng)化、数据交换共享手段的(de)多样化,以及用(yòng)户(hù)场景和(hé)需求的极(jí)大丰(fēng)富,导致产业界在技术和产(chǎn)品中(zhōng)出现了(le)诸多新的(de)挑(tiāo)战,如(rú)行(háng)业数据的安全分级、结构化和非结(jié)构化数据的识(shí)别和标记、数据流动全过(guò)程溯源和安全治理、业(yè)务全过程中的数(shù)据流动风险评估、隐私数据的安全(quán)计算、多方数据共(gòng)享(xiǎng)中(zhōng)的多方计算(suàn)等问题的出现带动了(le)传统数据安全企业的转型,以及一大批数据(jù)安全创(chuàng)新公司的(de)出现。
因此,数据安(ān)全产业在概念、内涵、技术、产品各个方面,都已出(chū)现了巨大变化,成为网络安全领域中一个全新的热点(diǎn),处于一个快速的产业发展(zhǎn)期。
记者:请您谈谈,卫士通目前(qián)的技术(shù)沉(chén)淀、创新和产品研发情况(kuàng),与其他数据安全(quán)企业相比,其优势(shì)在哪里?《数据安全法(草案)》对贵司带来哪些影(yǐng)响,又将如何(hé)布局?
张剑(jiàn):着力(lì)于数(shù)据安全这一热点领(lǐng)域,确保数据的机密性是(shì)其根本和起点,而在这个方向上,卫士通拥有着“红色基因(密码)、蓝(lán)色底蕴(科技)”的先天优势。同时,基于对数据安全法的(de)深(shēn)入理解,在国家推动数据流动和(hé)共享的(de)新形(xíng)势下,针对不同行业中不(bú)同(tóng)性质(zhì)和不同类型(xíng)数据流(liú)动共(gòng)享时的保护场景,卫(wèi)士(shì)通充(chōng)分结合自身的密码优势(shì),以(yǐ)打造覆盖数据流动全周期的(de)安全治理体系为目标,在数据识别与(yǔ)自动分级、数据标记、数据脱敏和降(jiàng)级、数据(jù)库和文件加密、数据(jù)流(liú)动全(quán)过程(chéng)溯源(yuán)等方向开展关键技术(shù)布局(jú);并已(yǐ)初步形成(chéng)以(yǐ)数据安全(quán)治理平台(tái)、数(shù)据脱敏系统、数据分级工具、数(shù)据库加密产品、数据密标产品为代表的系(xì)列(liè)化产品;并与业界友商形成广泛的合作和整(zhěng)合(hé),建立(lì)了(le)数据安全的“生态圈”,具备(bèi)多个行业应用场景下的数据安全整体解决方案(àn)的提供(gòng)能力。
记者(zhě):《数据安全(quán)法(草案)》背景下(xià),作为业(yè)内(nèi)首个全服务化政务云安全项目,“成都(dōu)市政务云——数据安全治理项(xiàng)目”对整个行业有何重要(yào)意义?
张剑:“成都市政务云——数据安全治(zhì)理项(xiàng)目”可以说是政务领(lǐng)域一个较为完整和(hé)典(diǎn)型的数据安全治(zhì)理案例。成都市(shì)的数据安全共享、数据开放(fàng)、数据治(zhì)理以及数据利用模式(shì)呈现出典型化和多样化(huà)的特质(zhì)。典型(xíng)化(huà)在于成都市作为一(yī)个一(yī)线的(de)副省(shěng)级城市,其数据交换和共享场景,以及数据覆盖的委办局(jú)类型具备普遍的代表(biǎo)性;而多样化则在于成都市政务大数据的交换、汇集和处理的场景丰富,且政务数(shù)据种类也呈现出(chū)多样化的特点。
该项目的顺利落(luò)地具备重要的示范意(yì)义(yì),也将产生深远的(de)影响(xiǎng)。首先,它表明在复杂(zá)的城市级政务数据应(yīng)用场(chǎng)景下,数据安全治理的可行性(xìng)以及实现效果是(shì)良(liáng)好(hǎo)的。基于我(wǒ)们(men)的(de)解决(jué)方案,数据(jù)安全管(guǎn)理部门(mén)可以实现上万类政务数据的(de)有(yǒu)序分级、全场景下数据(jù)流动的全过程追溯、不同场景下数据的(de)有效控制和防护,以及基于数据级别的安全防护策略的动态协同。其次,该项目(mù)在政务数据安全治理(lǐ)中(zhōng),实现了诸多创新,且(qiě)对于其他城市级的数据安全治理(lǐ)有一定的(de)参考价(jià)值,包括(kuò):结合人工智能技术实现政(zhèng)务数据的识(shí)别与分级,力图建立市级政务数据的分(fèn)级分类标准;综合运用多种数据标记(jì)方法,对数(shù)据在共享交换、数据汇集、市县共享等不同场(chǎng)景下实现标记跟踪(zōng);通过打通与资(zī)源目(mù)录、共享交换等(děng)数(shù)据资源体系中的(de)关键组件的接口,获取数(shù)据(jù)流(liú)动日志,实(shí)现数据流动全过程(chéng)的追溯;基于数据标记(jì)识别数据的安全级别,并以此为(wéi)基础(chǔ)实现各类数据安全防护(hù)设备(bèi)的策略协同。
最后,在该项目实施过程中我们遇到(dào)的问题(tí)和经(jīng)验总结(jié),也对其(qí)他城(chéng)市数据安全治理(lǐ)有一定的借鉴意义,包括:实施过程中(zhōng)前(qián)置机的安全责(zé)任以(yǐ)及安全措施之间的关系,数据交(jiāo)换系统、数据(jù)共享系统与(yǔ)数据(jù)标记之间的融合, 如何以最小的代价(jià)将安全与业务相结合,让业务流程、应用的改造量最小,实现(xiàn)效(xiào)益最大化。
记者:众(zhòng)所(suǒ)周(zhōu)知,《数据安全法(fǎ)(草案)》的出台将更加凸(tū)显(xiǎn)数据安(ān)全的重要性(xìng),密码(mǎ)应用将在数据安全(quán)方面起到什么样的作用?
张剑:从(cóng)数据安全的角(jiǎo)度讲,密码(mǎ)是基础(chǔ)性(xìng)的保(bǎo)证,能够确保数据(jù)在各种场景下的机密性(xìng)。这也是(shì)卫(wèi)士(shì)通为什(shí)么一直(zhí)在致力于数据加密(mì)。从最初的文件加(jiā)密,到现在的数据库加密(mì), 再(zài)到基于(yú)密码的数据多方安全共享等,密(mì)码技术始终(zhōng)是其(qí)核(hé)心和灵(líng)魂。与此同(tóng)时,数据(jù)加(jiā)密新的场景也对(duì)密码算法和(hé)密码的(de)应用带(dài)来了新的挑战,例如在数据多方计算和多方共享(xiǎng)的(de)场景(jǐng)中,就对密(mì)码算法带来(lái)了新的挑(tiāo)战,需要提供具备实用(yòng)性的密文计算或多方计算的算法(fǎ), 在“数据不见面”情况下实现(xiàn)数据有效利用(yòng)。
同时,数据安全关注度的极大提高,也会给内嵌了(le)密(mì)码机制的各种数据交互的(de)应(yīng)用(yòng)带来更多机遇,卫士通(tōng)一直致(zhì)力于为党政高安全用户提供内嵌(qiàn)安全属性(xìng)和密码属性的应用,如橙邮、橙讯等;采用(yòng)这样的方式,能(néng)够很(hěn)好(hǎo)地做到应(yīng)用中进行数据交换或者(zhě)数据流动时,对数据(jù)的机密性加以保护。
记者:《数(shù)据安全法(草案)》对政企的(de)数据安全建设提出了明确(què)要求,您认为当前政企数据(jù)安全建设(shè)存在哪些问题和挑战?
张剑:从(cóng)政府角度讲(jiǎng),最大的问(wèn)题就是如何通(tōng)过数据安全治理的思路来打通整(zhěng)个政(zhèng)府数据共享和交(jiāo)换路径的通(tōng)道。
具体而言,首先,政务数据(jù)的分级和分类目前没有清晰的标准和法规的引领。从国家到地方(fāng),目(mù)前都还(hái)没有真正出台一部围绕政务数据的标准和(hé)法案,从而导致没有具体(tǐ)、有法可(kě)依、可操作性的规(guī)范(fàn)抓手,进(jìn)而也就没有(yǒu)形成一个规范性(xìng)的解决(jué)思路或指导性意见,因此数据(jù)分级问题(tí)很难在实际当中有效开(kāi)展(zhǎn)。
其次,政府如何科学有效监管?在目前(qián)大力推动政府数据的交(jiāo)换、共享、开放的大背景下, 如何(hé)对数据的流动、流向(xiàng)进行有效(xiào)监管,掌握数据流动的全过程(chéng);同时,如何整合当前的各种离散的数据(jù)安全(quán)防护手(shǒu)段,建立以数据属性为核心的一(yī)体化数据安全防护策略,实现(xiàn)对(duì)数据流动(dòng)中的(de)统一有效管控,也是当(dāng)下的(de)一(yī)个挑战(zhàn)和难点(diǎn)。
对企业(yè)而言,国家(jiā)正在积(jī)极推动商业(yè)秘密数据的保护,国资委、国家保密局都已经(jīng)出台了相关的要(yào)求和文件(jiàn),央企首当其冲面临着(zhe)如(rú)何(hé)实现内(nèi)部商业秘密数据的有序安全、流动的(de)问题。从文(wén)件(jiàn)产生,到(dào)文件通过(guò)邮件、即时通信、网盘(pán)等(děng)多种方式(shì)进行交换,再到接收方打开和阅读(dú)文件的全过程中,如何识别商业秘密数(shù)据、如何进行标(biāo)记,如(rú)何在产生、交(jiāo)换、阅读(dú)过程中进行管控,亟需完(wán)善的数据安全解(jiě)决方案(àn)。
目前,卫士通结(jié)合自身(shēn)在数据标记、数(shù)据加密等方面的技术(shù)和产品积累,与业界的合作伙伴(bàn)积极(jí)对接,形(xíng)成支持结构化(huà)和非结构化数据,支撑各种数据交换手段,具(jù)备较高自动化水平的商业秘(mì)密数据识别和标记能(néng)力,覆(fù)盖数据交换全链条的商业(yè)秘密数据保(bǎo)护方案。
记者:从《数据安全法(fǎ)(草案)》可以(yǐ)看到国(guó)家的数据安全(quán)整体(tǐ)布局,请问卫士(shì)通(tōng)将在其(qí)中扮演什么样(yàng)的角色?
张(zhāng)剑:首先,我们(men)希望(wàng)把密码的基因(yīn)发挥到极致(zhì)。在数据安全(quán)的治理体系当中,有诸多环节都离不(bú)开密码,其重要性不言而喻,为此可以放大(dà)密码基因,在我们(men)原(yuán)有的文件加密、数据库加(jiā)密等方式上进一步放(fàng)大,并(bìng)且积极去寻(xún)求(qiú)和各种应用场景(jǐng)的对接,让其在数(shù)据安全中的作用发挥得更出色(sè)。
其次,结(jié)合对国家(jiā)在政企数据保护(hù)的政策、标准、法规的研究,以(yǐ)及卫士通(tōng)公司在数据安全(quán)领域的实践,可以看到未来数据安全治理将围绕数据(jù)内容(róng),打造(zào)以内容为核(hé)心的数(shù)据安(ān)全治理和防(fáng)护体系。在该体系当中(zhōng),卫士通(tōng)将打(dǎ)造针对数据(jù)内容的数据分级(jí)和识别、数据标(biāo)记, 以及数据溯源的能力,从而在未来的(de)数据安全产业链条(tiáo)中占据产业上游的技(jì)术和产(chǎn)品供应商地位,同时通过(guò)整合和(hé)合作,形成完整的数据安全解决方案的(de)提供能(néng)力。
