卫士通信息产业股份有限公司副(fù)总经理
张 剑
张剑,卫士通信息产(chǎn)业股份有限公司副总经理(lǐ)、高级工程师(shī),负责公司在(zài)云安全、数据安全以及安全服务(wù)等业务领域的技术能(néng)力和产品规划等(děng)工作,拥有信息安全领域十余年从业经验,曾先后荣获省级、部(bù)级及军(jun1)队科技进步奖,并作为系(xì)统总师参与军队(duì)多个重大(dà)系统的信息安(ān)全体系设计,先后参与工信部、国(guó)家保密局及公安部的云计算及(jí)大数据安全标准的拟制工(gōng)作,并(bìng)作(zuò)为ITU会员参与国际(jì)电(diàn)联相关云计算安全标准(zhǔn)的讨论和研究工作,团(tuán)队(duì)所(suǒ)研发(fā)的安全虚拟桌(zhuō)面及安(ān)全云(yún)操作(zuò)系统已经获得(dé)公安部最(zuì)高安全等级的增强级产品测评认证。
目前,全球进入(rù)大数据时(shí)代,数据呈现爆发(fā)式增长的(de)同时,也带来(lái)了(le)前所(suǒ)未有的风险与安(ān)全挑战。《中华人民共和国数据安(ān)全(quán)法(草案)》(以下(xià)简称《数据安全法(草案)》)的颁布,旨在搭建一(yī)个更为全面的数据安全保障体(tǐ)系。这(zhè)不仅体(tǐ)现(xiàn)了国家对数据战略的重大考量,也给相关的网络安全企业带(dài)来(lái)了重大机遇(yù)。
卫士通作为一家以保护国家(jiā)网络空(kōng)间(jiān)安全为己任的(de)公司(sī),20多年来一直在国家重要行业信息系统的信息(xī)安全保障中发挥着重要(yào)作用,当下的《数据安全法(草案)》的出(chū)台(tái),对卫士通而言(yán),既是机遇,也是(shì)挑(tiāo)战。为此,记者采访(fǎng)了卫士通副总经理张剑,就(jiù)《数据安全法 (草案(àn) )》、对企业的挑战与机遇,以(yǐ)及公司在数据安全领域的(de)布局等问题(tí),进行了沟通交(jiāo)流,现整理如(rú)下,以飨读者。
记者:您如何评(píng)价刚出台的《数据安全法(草案(àn))》?
张剑:《数据安全法(草案(àn))》的出台,首先从宏观层面上明确(què)了(le)国(guó)家的大数据发展战略是引导安全需求要与数(shù)据的开发利用相结合,不是为了保护而保护。同时,草(cǎo)案从立法层面确立了我国数据(jù)安全治理与监管体系,表明数据安全已(yǐ)成为事关国家安全(quán)与(yǔ)经济社会发(fā)展的重大(dà)关键(jiàn)点。国家关于(yú)数据安全的总体战略,是鼓励数据(jù)活动的各方共(gòng)同参与数据安全的保护工(gōng)作,并且对开展数(shù)据活动的(de)主体、相(xiàng)关的监(jiān)管部门提出了义务和安全责任。
在(草案)中,对(duì)数据的定义(yì)、数据各参与方的(de)责(zé)任和义(yì)务都进行了清晰(xī)的厘定(dìng),明确规定了数(shù)据保护的主体责任(rèn)和(hé)义(yì)务是进行数据活动的主体,特别规范(fàn)了国(guó)家机关(guān)在进行政务信息开放时的责任和(hé)义务。国家相关部(bù)门(行(háng)业(yè)主管(guǎn)部(bù)门、公安机关、网信部(bù)门等)从监管的角度规范(fàn)数据处(chù)理的环境,国家将从数据(jù)的安全风险评估、监(jiān)测预警(jǐng)、应急处置和安全审(shěn)查四个方面进(jìn)行数据安全的(de)监管(guǎn)。
其次,国家(jiā)也规范(fàn)了在线数据(jù)处理和数据交易,要求专门(mén)提供(gòng)在线数据(jù)处理等服务的经营者需(xū)要依法取得经营业务许可或者备(bèi)案。针对个人信息、重要数据和涉密数(shù)据的处(chù)理者(zhě)来说,都需要(yào)采取合法(fǎ)、正当的方式,并有保护的义务,包括在境内开展数据活动的境外组织。再次,国家要求数据活(huó)动主体加强风险监测(cè),针对(duì)重要数据的(de)处理者还应定期开展风(fēng)险评估,并向有(yǒu)关主管部门报送风险(xiǎn)评估报(bào)告。
综上所(suǒ)述(shù),《数据安全法(草案)》可以说为(wéi)国(guó)家后续规(guī)范数据活动环境、保障(zhàng)数据(jù)安全(quán)奠定了基础(chǔ)。
记者:《数据安全法(草案)》的出台(tái)对数(shù)据安全产业领域中的企业有(yǒu)何重要意义?
张剑:可以看到,数据安全法的(de)最大特点是在鼓励数据流动、共享、乃至交易(yì)的情况下, 确(què)保数(shù)据(jù)的安全,与此同时,国家正在(zài)最大限度地推动各行各业(yè)的大数(shù)据开放(fàng)和共享。数据这一新的生产力已经逐步成为各(gè)行业(yè)信息化中的基本共识。这样(yàng)强有力的政策驱(qū)动对产业(yè)界而言,无疑是重大的市场机遇。
与此同(tóng)时,在大(dà)数据背景(jǐng)下,数据类型多(duō)样(yàng)化、数(shù)据交换共享手段的多样化,以及用户场景(jǐng)和需求的极(jí)大(dà)丰(fēng)富,导致产业界(jiè)在技(jì)术和产品中出现了诸多新的挑战,如行(háng)业数据(jù)的安全分级(jí)、结构化(huà)和非结构化数据(jù)的识别(bié)和标记、数据流动(dòng)全过程溯源和安全(quán)治(zhì)理、业务(wù)全过程中(zhōng)的数据流动风险评估、隐私数据(jù)的(de)安全(quán)计算、多方数据共享中的多方计算(suàn)等问题的出现带动(dòng)了传(chuán)统(tǒng)数据安(ān)全企业的转型,以及一大批数据安全创新公司的出现。
因此,数(shù)据安全产业在概念(niàn)、内涵、技术、产品各个方(fāng)面,都已出现(xiàn)了巨大变化,成为网络(luò)安全(quán)领域中一个全新的热点,处于一个快速的产(chǎn)业发展期。
记(jì)者:请您(nín)谈(tán)谈,卫士通目前的技术(shù)沉淀、创新和产品研发情况,与其他数据安全企业相比,其优势在(zài)哪里?《数(shù)据安(ān)全法(草案)》对(duì)贵司(sī)带来哪些影响,又将如何布局?
张剑:着力于(yú)数据安全这一热点领域,确保数据的机(jī)密性是其根本(běn)和起(qǐ)点,而在这个方(fāng)向上,卫士通拥有着“红色(sè)基(jī)因(密码)、蓝(lán)色底蕴(科技)”的先天优势。同时,基于对数据安全法的(de)深(shēn)入理解,在国家(jiā)推动数(shù)据流动和共享的新形势(shì)下,针对不同(tóng)行业中不同(tóng)性(xìng)质(zhì)和不同类型(xíng)数据(jù)流动(dòng)共享时(shí)的保护场景,卫士通充分结(jié)合自身的密码优(yōu)势(shì),以打造覆盖数据流(liú)动全周(zhōu)期的安全(quán)治理体系为(wéi)目(mù)标,在(zài)数据识别与自动分级、数据标记、数据(jù)脱敏和降级、数据(jù)库和文(wén)件加密、数据流(liú)动(dòng)全过程溯源等方向开展关键技术布局(jú);并已初(chū)步形(xíng)成以数据安全治理平台(tái)、数据脱敏系统、数据分(fèn)级工具(jù)、数据库加密(mì)产品、数据密标(biāo)产品为(wéi)代表的系列化产品(pǐn);并与(yǔ)业(yè)界友商形(xíng)成广泛的合作和整(zhěng)合,建立了数据(jù)安(ān)全的“生(shēng)态圈”,具(jù)备多个(gè)行(háng)业应用(yòng)场(chǎng)景下的数据安全整体解决方案(àn)的提供能力。
记(jì)者(zhě):《数据安全法(草案)》背景下,作(zuò)为(wéi)业(yè)内首个(gè)全服务化政务云安全项目,“成都市(shì)政务云(yún)——数(shù)据安(ān)全治(zhì)理(lǐ)项目”对整个(gè)行业有(yǒu)何重要意义?
张(zhāng)剑:“成都(dōu)市政务云——数(shù)据安全治(zhì)理项目”可以说是政务领(lǐng)域一个(gè)较为完整和典(diǎn)型(xíng)的数据安全(quán)治(zhì)理(lǐ)案例。成都市(shì)的数据安(ān)全共享、数据(jù)开放、数据(jù)治理(lǐ)以及数(shù)据(jù)利用模式呈现出典型化(huà)和多样化的特(tè)质。典型化在(zài)于(yú)成都(dōu)市作为(wéi)一个一线的副省级城市,其(qí)数据交换和共享(xiǎng)场(chǎng)景(jǐng),以及数据(jù)覆盖的委办局类型具备普遍的代表性;而多样化(huà)则在于(yú)成都市政务大数据的交换、汇集和处理的(de)场景丰富,且政务数据种类也呈现出多(duō)样(yàng)化的特(tè)点。
该(gāi)项(xiàng)目的顺利落地(dì)具(jù)备重(chóng)要的示范意义,也(yě)将产生深(shēn)远的影响。首先,它表明在复杂(zá)的城市级政(zhèng)务数据应用场景下,数(shù)据安全治理的可行(háng)性以及实(shí)现效果是(shì)良(liáng)好的。基于我们的解决方案,数(shù)据(jù)安全(quán)管理部(bù)门可(kě)以实现上万类政务数据(jù)的有序分(fèn)级、全场景下(xià)数据流(liú)动的全(quán)过(guò)程追溯(sù)、不同场景下(xià)数据的有效控制和防护,以(yǐ)及基于数据级别(bié)的安(ān)全防护策略的动态协同(tóng)。其(qí)次,该项目在政务数(shù)据安全治(zhì)理中,实现了诸多创新,且对于其他城市级的数据安全治理有一定的参(cān)考价(jià)值,包括(kuò):结合人工(gōng)智能技术实(shí)现政务(wù)数据的识别与(yǔ)分级,力(lì)图建立市级政务(wù)数据的分级分(fèn)类标准(zhǔn);综合运用多种数据标记方法,对(duì)数据(jù)在共享交换、数据汇集(jí)、市县共享(xiǎng)等不同(tóng)场景下实现标(biāo)记跟踪;通过打通与资源(yuán)目录(lù)、共享(xiǎng)交换等数(shù)据(jù)资源(yuán)体系中的关键组件的接口,获(huò)取数据流动日志,实现数据(jù)流动全过程的追溯(sù);基于数据标记识别数据的安全级别,并以此为(wéi)基础实现各类(lèi)数据(jù)安全防护设(shè)备的策略协同。
最(zuì)后,在该项目实(shí)施过程中我们遇到的(de)问题和(hé)经验总结,也(yě)对其他城市(shì)数据安全治理有(yǒu)一定的借鉴意(yì)义,包(bāo)括:实(shí)施(shī)过程中前置(zhì)机的安全责(zé)任(rèn)以及安全措施之(zhī)间(jiān)的关系,数据交换系统、数(shù)据共(gòng)享系统与数据标记之间的(de)融合, 如(rú)何以最(zuì)小的代价将(jiāng)安(ān)全与业(yè)务相结合,让业务流程、应(yīng)用的改造量(liàng)最小,实现效益最大(dà)化。
记者(zhě):众所(suǒ)周知,《数据安全(quán)法(草案(àn))》的出台将更加凸显数(shù)据安全的重要性,密码应用将在数据安全方面起到(dào)什(shí)么样的(de)作用?
张剑:从数据安全的角(jiǎo)度讲,密(mì)码是基础性(xìng)的保证,能够(gòu)确保数据在各种场景下的(de)机密性。这也是卫士(shì)通为什么一(yī)直在致力于数据加密。从(cóng)最初的文(wén)件加密,到现在(zài)的数据库(kù)加密, 再到(dào)基于密码的数据多(duō)方安(ān)全共享等(děng),密码技术始(shǐ)终(zhōng)是其核心和灵魂。与此同时,数据加密新的场景也对密码算法和(hé)密码的应用带来了(le)新的(de)挑战,例如在数据(jù)多方计算和多方共享(xiǎng)的场(chǎng)景中,就(jiù)对密(mì)码算法(fǎ)带来了新的(de)挑战(zhàn),需要(yào)提供具备实用性的密文计(jì)算或多(duō)方(fāng)计(jì)算(suàn)的算法(fǎ), 在“数据不见面”情(qíng)况(kuàng)下实现数据有效利用。
同时,数据安全关注度的(de)极(jí)大提高(gāo),也会给内嵌了密码机(jī)制(zhì)的各种(zhǒng)数据交互的应用带来更多机遇(yù),卫(wèi)士(shì)通一直致力于为(wéi)党政高安全用户提(tí)供内嵌安全(quán)属性和(hé)密码属性的应用,如橙邮、橙讯等;采用(yòng)这样(yàng)的方式,能够很好地做到应用中进行数据(jù)交换或者(zhě)数(shù)据流动时,对数据的(de)机密性加以保护。
记者(zhě):《数据安(ān)全法(草(cǎo)案(àn))》对政企(qǐ)的数据安全建设提出(chū)了明确要求,您认(rèn)为当前政企(qǐ)数据安(ān)全(quán)建设存在(zài)哪些(xiē)问题和挑(tiāo)战?
张剑:从(cóng)政(zhèng)府角度讲,最大的(de)问题就(jiù)是如何(hé)通过(guò)数据安全治理的思路来(lái)打通整个政府数据(jù)共享和交换路径的(de)通道。
具(jù)体(tǐ)而(ér)言,首(shǒu)先,政务(wù)数据的(de)分级和分类目前没有清晰的(de)标准和法规(guī)的(de)引领。从国(guó)家到(dào)地方,目前都还(hái)没有真正出(chū)台一(yī)部围绕政务数据的标准和(hé)法案(àn),从而导致(zhì)没有具体、有法(fǎ)可依、可操作(zuò)性的规范(fàn)抓(zhuā)手,进而也就没有形成一个规范性(xìng)的解决思路或指导性意见,因此数据分级问(wèn)题很(hěn)难(nán)在实际当中有效开展。
其次,政府(fǔ)如何科学有效监管?在目前大力推动(dòng)政府数据(jù)的交换(huàn)、共享、开放的(de)大背景(jǐng)下, 如何对数据(jù)的流动(dòng)、流(liú)向进行有效(xiào)监管,掌握数(shù)据流动的(de)全(quán)过程;同(tóng)时,如(rú)何整合当前的(de)各种离(lí)散的数据安(ān)全(quán)防护手段,建(jiàn)立(lì)以(yǐ)数据属性为核心的一体化数据安全防护(hù)策略,实现对数据(jù)流动(dòng)中的(de)统一(yī)有效(xiào)管控,也(yě)是当下的一个挑战和难点。
对企业而(ér)言(yán),国家正在积(jī)极(jí)推动商(shāng)业秘密数据的保护,国资委、国家保(bǎo)密(mì)局都已经出台了相关的要求和文件,央企(qǐ)首当(dāng)其冲面临着(zhe)如何(hé)实现内部商(shāng)业秘密数据的有(yǒu)序安(ān)全(quán)、流动的问(wèn)题。从(cóng)文件产生(shēng),到文件通过邮(yóu)件、即时通(tōng)信(xìn)、网盘等多(duō)种方式进行交换,再到接收(shōu)方打开和阅读文件的全过程中(zhōng),如何识别商业秘密数(shù)据、如何进行(háng)标记,如何(hé)在产生(shēng)、交换、阅读过程中进(jìn)行(háng)管控(kòng),亟需完善的数据(jù)安全解决方(fāng)案。
目前,卫士(shì)通结合自(zì)身在数据标(biāo)记(jì)、数据加密等方面的技术和(hé)产品积(jī)累,与业(yè)界(jiè)的(de)合作(zuò)伙伴积极对接,形(xíng)成支持结(jié)构化和非(fēi)结构化(huà)数据(jù),支(zhī)撑各种(zhǒng)数据交(jiāo)换手(shǒu)段,具备较高自(zì)动化(huà)水(shuǐ)平(píng)的商业秘密(mì)数据识别和标(biāo)记能(néng)力,覆盖数据(jù)交(jiāo)换全链条的商(shāng)业秘(mì)密数据保护方案。
记者:从(cóng)《数(shù)据(jù)安全法(草案)》可以(yǐ)看到国(guó)家的(de)数据安全整体布局,请问卫士通将在其中(zhōng)扮演什么(me)样(yàng)的角色?
张剑:首先,我们希望把密码的基因发挥到极(jí)致。在数据安全的治理体系当(dāng)中,有诸多环节都离不(bú)开(kāi)密码(mǎ),其重要性(xìng)不言而喻(yù),为此可以放(fàng)大密码基因,在我们原有的文(wén)件加密、数据库加密等方(fāng)式(shì)上进(jìn)一步放大(dà),并(bìng)且积极去寻求和各种应(yīng)用场景的对(duì)接,让其在(zài)数据安全(quán)中的作用发挥(huī)得更出色。
其次,结合对国(guó)家在政企数据保护的政策、标准、法规(guī)的研(yán)究,以及卫士通(tōng)公司在数据安(ān)全领(lǐng)域的实践,可以看到未来数据安全治理将围绕数据内容,打造以(yǐ)内容为核心的数据安全治理和防护体系。在该体系当中,卫士通将打(dǎ)造针对数(shù)据内容的数据分级和识别、数据(jù)标记, 以及数据溯(sù)源的能(néng)力,从而在未来的(de)数(shù)据安(ān)全产业链条(tiáo)中(zhōng)占据产业上游(yóu)的技术和产(chǎn)品供应商(shāng)地位,同时(shí)通过整合和合作,形成完(wán)整(zhěng)的数据(jù)安全解决方案的提供能力。
