卫士通(tōng)信息产业股份有限公司(sī)副总(zǒng)经理
张 剑
张剑,卫士通(tōng)信息产业股(gǔ)份有限公司副总经理、高(gāo)级工程师,负责公(gōng)司在云(yún)安(ān)全、数据安全(quán)以及安(ān)全(quán)服务等(děng)业务领域的技术能力和产品规划(huá)等(děng)工作,拥有信息安全领域十余(yú)年从业经验,曾先后荣(róng)获省级、部级及军队(duì)科技进步奖,并作为系统总师参与军队多个重大系统(tǒng)的信息(xī)安全体系设(shè)计,先后参与工信部、国(guó)家保密局(jú)及公安部的云计算及大(dà)数据安全(quán)标准的拟制工作,并作为ITU会员参与(yǔ)国(guó)际电联相关云计(jì)算安(ān)全标准的讨论(lùn)和研究(jiū)工(gōng)作,团队所研发的安全虚拟桌面及(jí)安全云操作系统(tǒng)已经(jīng)获得公安部(bù)最高安全等级(jí)的增强级产(chǎn)品测评(píng)认证。
目前,全球进入大数(shù)据时代,数据呈(chéng)现爆发(fā)式增长的同时,也带来了前(qián)所未有的风险与安全挑战。《中华人民共和国数(shù)据安全(quán)法(fǎ)(草案(àn))》(以下简称(chēng)《数据(jù)安全法(草案)》)的颁布,旨在搭建一个更为全面的数据安全(quán)保障(zhàng)体(tǐ)系。这不仅体现了国家对数据战略(luè)的重大考量,也(yě)给相关的网络安全(quán)企业带来了重大机遇。
卫士通作为一家以保护国家(jiā)网(wǎng)络空间安全为己任的公司,20多年来一直(zhí)在国(guó)家重要行业(yè)信息系统的信息安(ān)全保障中发挥着重要作用,当下的(de)《数据安全法(草案)》的出台,对卫士(shì)通(tōng)而言,既是机遇,也是(shì)挑战。为此,记者(zhě)采访了卫士通副总经理张(zhāng)剑,就《数(shù)据(jù)安全法 (草案 )》、对企业的挑战与机遇,以及(jí)公司在数据安全领(lǐng)域的(de)布局等问(wèn)题,进(jìn)行了沟(gōu)通交流,现整理(lǐ)如(rú)下,以飨读(dú)者。
记者:您如(rú)何评价刚(gāng)出(chū)台(tái)的《数据(jù)安全(quán)法(草案)》?
张剑:《数据安全法(fǎ)(草案)》的出台,首(shǒu)先从宏观层面上明确了国(guó)家的大数据发展战(zhàn)略是引导安全(quán)需求要(yào)与数据的开发利用相结合(hé),不(bú)是为了保护而保护。同时,草案从(cóng)立法层面(miàn)确立了(le)我国数据(jù)安(ān)全治(zhì)理与监管(guǎn)体系,表明数据安全(quán)已成为事(shì)关(guān)国家安全与经济社会发展(zhǎn)的重大关键(jiàn)点。国家关于数据安全的总体战略(luè),是(shì)鼓励数据活动的各方共同参与数据安(ān)全的保护工作,并且对开展数(shù)据活动的主(zhǔ)体、相(xiàng)关(guān)的监管(guǎn)部门(mén)提出了义务和安全责任。
在(草(cǎo)案)中,对数(shù)据的定义、数(shù)据各参(cān)与(yǔ)方的(de)责(zé)任和(hé)义务都进行(háng)了清(qīng)晰(xī)的(de)厘定(dìng),明确(què)规定了数据(jù)保(bǎo)护的主体(tǐ)责任和义务是进行(háng)数(shù)据(jù)活动的(de)主体,特别规范了国家机(jī)关在进行政务信息(xī)开放(fàng)时的责任和义务。国家(jiā)相关部门(mén)(行业主管部门、公安(ān)机关、网信部门等)从监管(guǎn)的角度(dù)规范数(shù)据处(chù)理的环境(jìng),国家(jiā)将从数据的安全风险评估、监(jiān)测预(yù)警、应急处置和(hé)安全审查四个方(fāng)面进行数据(jù)安(ān)全的监管。
其次,国家也规范(fàn)了在线(xiàn)数(shù)据处理和数(shù)据交易,要求专门提供在线数据(jù)处理(lǐ)等服务的经营者需要依法取得经营业务(wù)许可或者(zhě)备案(àn)。针对个人(rén)信息、重要数(shù)据和涉密数据的处理者来说,都需要采取合法、正当的方式,并有保护的(de)义务,包括在境内开展(zhǎn)数据活动的境外(wài)组织。再次(cì),国家要求数据活动(dòng)主体加强风(fēng)险监测,针对重(chóng)要数据的处理者还(hái)应定期开展风(fēng)险评估,并向有关主管部门报送风险评估报告。
综(zōng)上所述,《数据安全法(草案(àn))》可以说为国家后续规范数据活动环境、保障数(shù)据安(ān)全奠(diàn)定了基础(chǔ)。
记者(zhě):《数据(jù)安(ān)全法(草案)》的出台对数据(jù)安(ān)全(quán)产业领(lǐng)域中的(de)企业有何重要意义?
张剑:可(kě)以(yǐ)看(kàn)到,数据安全法的最大特点是在鼓励数据流动(dòng)、共享(xiǎng)、乃至交易的(de)情况下, 确(què)保数据的安全,与此(cǐ)同时,国家正在最大限(xiàn)度地推动各行各业的大数据开放和共享(xiǎng)。数据这一(yī)新(xīn)的生(shēng)产力(lì)已经逐步成为各行业(yè)信息化(huà)中的基(jī)本共识。这样强(qiáng)有力的(de)政策驱动对产(chǎn)业(yè)界而言,无疑(yí)是重大(dà)的市场机(jī)遇(yù)。
与(yǔ)此同时(shí),在大数据背景下,数(shù)据(jù)类型多样(yàng)化、数据交换共享手(shǒu)段的多样(yàng)化(huà),以及用户场景和需求的极大丰富(fù),导致产业界在(zài)技术和产品中出现了(le)诸多新的挑战,如行业数(shù)据(jù)的安全(quán)分级、结构(gòu)化和非结构(gòu)化数据的识别和标记、数据流动(dòng)全过程溯源(yuán)和安全治(zhì)理、业务(wù)全过程中的数据流动风险评估、隐私(sī)数据的安全(quán)计算、多方数据共享中的多方计(jì)算等问题的(de)出现(xiàn)带(dài)动了传统数据(jù)安全企业的转型,以及一大批数据安全创新公司的出现。
因此,数据安(ān)全(quán)产业(yè)在概念(niàn)、内涵、技(jì)术、产(chǎn)品各个(gè)方面,都已出现了巨大变化,成为网络(luò)安(ān)全领域中一个全新(xīn)的热(rè)点(diǎn),处(chù)于一个快速(sù)的产业发展期。
记者(zhě):请您(nín)谈谈,卫士通目前的技术沉淀、创新和产品研发情况,与(yǔ)其他(tā)数据安全企业相比,其(qí)优势在哪里?《数据安全法(草案)》对贵司(sī)带来(lái)哪(nǎ)些影响,又将(jiāng)如(rú)何布(bù)局?
张剑(jiàn):着力于数据安(ān)全这一热(rè)点领域,确保数据的机密性是其根本和起(qǐ)点,而在这个方向上,卫士通拥有着“红(hóng)色(sè)基因(密码)、蓝色底蕴(科(kē)技)”的先(xiān)天优势(shì)。同(tóng)时,基于对数据安全法的深入(rù)理解,在国家推动数据(jù)流动和共享的新形势(shì)下,针对不(bú)同行业中不同性质(zhì)和不同类型数据流动共享时(shí)的保(bǎo)护场(chǎng)景,卫士通充分结合自身的密码优势,以打造覆盖数(shù)据流动全周期的安全治理体(tǐ)系(xì)为目标,在数据(jù)识别与自动分级、数(shù)据标(biāo)记(jì)、数(shù)据脱敏(mǐn)和(hé)降级(jí)、数(shù)据库和文件加密、数据(jù)流动全过程溯源等方向开(kāi)展(zhǎn)关键技术布局;并已初步形成以数(shù)据安全(quán)治理平台、数(shù)据(jù)脱敏系统、数(shù)据分(fèn)级工具、数据库加密产品、数据密标产品(pǐn)为(wéi)代表的系列化产品(pǐn);并与业界友商形成(chéng)广泛的合(hé)作和整合,建立了(le)数据(jù)安(ān)全的“生态圈”,具(jù)备(bèi)多个(gè)行业应(yīng)用场景下(xià)的(de)数据安全(quán)整体解决方案的提供(gòng)能力。
记者:《数据安全法(草案)》背(bèi)景下,作为业内首个全服务化政(zhèng)务云安全(quán)项目,“成(chéng)都市政务云——数据安全(quán)治理(lǐ)项(xiàng)目”对整个行业有何重要意义?
张剑(jiàn):“成(chéng)都市(shì)政务(wù)云——数据安全(quán)治理项目”可(kě)以说是(shì)政务领域一(yī)个(gè)较为完(wán)整(zhěng)和典型的数(shù)据安全治(zhì)理案例。成都市(shì)的数据安全共享、数据开放、数据治理以及数据利用(yòng)模式呈现(xiàn)出典型化和多样化的特(tè)质。典型化在于成都市作为一个一线的副省级城市,其(qí)数据交换和共享场景,以及(jí)数据覆盖的委办局类型具备普遍的代表性;而多样化则(zé)在于成都市政务大(dà)数据的(de)交换、汇集(jí)和处理(lǐ)的场景丰富,且政务数据种类也呈现出多样(yàng)化的(de)特点。
该项(xiàng)目的顺利落(luò)地(dì)具备(bèi)重要的(de)示范意义,也将产生深远(yuǎn)的影(yǐng)响。首先,它表明(míng)在复杂的城市级政务数据应用场景下,数据安全治理的可行(háng)性以及实现(xiàn)效(xiào)果是良好的。基于我们的解决方案,数(shù)据安全管理部门可以实现上万(wàn)类政务数(shù)据的(de)有序分(fèn)级、全场景(jǐng)下数(shù)据(jù)流动的全过程追溯、不同(tóng)场(chǎng)景下数据的有效控制和防护,以及(jí)基于数据(jù)级别的安全防(fáng)护策略的动态(tài)协(xié)同。其次(cì),该项目在政务数据安(ān)全治理中,实现了诸多创新,且对(duì)于其他(tā)城市级的数据安全治理有一定(dìng)的参考(kǎo)价值,包括:结合人工智能技术实现(xiàn)政务数据的识别与(yǔ)分级,力图建立市级政务(wù)数据的分级分类标准;综合运(yùn)用多种数据(jù)标记方法,对(duì)数据在共享(xiǎng)交换、数(shù)据汇集、市县共享等不同场景下实现标记(jì)跟踪;通过打通与资源目录、共(gòng)享(xiǎng)交换等数据资源体系(xì)中的关键组件的(de)接口,获取数据(jù)流动日志,实现数据流动全(quán)过程的追溯;基于(yú)数据标记识别数据的安全(quán)级别(bié),并以此为基础实现各(gè)类数(shù)据安全防护设(shè)备(bèi)的策略协(xié)同。
最后,在(zài)该项目实施(shī)过程中我们遇到的问题(tí)和经验总(zǒng)结,也(yě)对其他(tā)城(chéng)市数(shù)据安全治理有(yǒu)一定的借(jiè)鉴意(yì)义,包括:实施(shī)过程中前置机的安全责任以及安全措(cuò)施之间的关(guān)系,数(shù)据交换系统、数据共享(xiǎng)系(xì)统与数据标记之间的(de)融合, 如何以(yǐ)最小(xiǎo)的代价将安(ān)全与业务相结合,让业(yè)务流程(chéng)、应用的改造(zào)量最小(xiǎo),实现效益最大化。
记者:众所周(zhōu)知,《数据安全法(草案(àn))》的出台将更(gèng)加凸显数据安全的重要(yào)性,密码(mǎ)应(yīng)用(yòng)将在数据安全方面起到什么样的作用?
张剑:从数据安(ān)全的角度讲,密码是基础性(xìng)的保证(zhèng),能(néng)够确保(bǎo)数(shù)据在各种场景下的(de)机密(mì)性。这也是卫(wèi)士通为什么(me)一直(zhí)在致力于数据加密。从最初的文件加密,到现(xiàn)在的数据(jù)库(kù)加密(mì), 再到基于密码的(de)数(shù)据多方安全共享等(děng),密码技术始终是其核(hé)心和灵魂。与此(cǐ)同时,数据加密新的场景也对密码(mǎ)算法和(hé)密码(mǎ)的应用带来了新的挑战,例如在数据多方计算和多方共享的场景(jǐng)中,就对密码算法(fǎ)带来了新(xīn)的挑战(zhàn),需要(yào)提(tí)供(gòng)具备实用(yòng)性(xìng)的密文计算或多方计算的算(suàn)法, 在“数(shù)据不见(jiàn)面”情况下实现数据有效利用。
同时,数据安全关注度的极大提高,也会给(gěi)内嵌了密(mì)码机制的(de)各种数据交互(hù)的应用(yòng)带来更(gèng)多(duō)机遇,卫士通一直致(zhì)力于(yú)为党政(zhèng)高(gāo)安全(quán)用(yòng)户提供内嵌安全(quán)属性和密码属性的应用,如橙邮(yóu)、橙讯等;采用这(zhè)样的(de)方式,能够很好地做到应(yīng)用中(zhōng)进行数据交换(huàn)或者数据(jù)流(liú)动时,对数据的机密性(xìng)加以保护(hù)。
记者:《数据安全法(草案)》对政企的数据(jù)安全建设(shè)提出了明确要(yào)求,您认为(wéi)当前政企数据安全建(jiàn)设(shè)存在哪(nǎ)些问题和挑战?
张剑:从政府角度讲(jiǎng),最大的问题就是如何通过数据(jù)安(ān)全治理的思(sī)路(lù)来打通整个(gè)政府数据共享和交换路径的通道(dào)。
具体(tǐ)而言,首先,政务数据的分级和分类目前(qián)没有清晰的标准和法(fǎ)规(guī)的引领。从国(guó)家(jiā)到地方,目前都(dōu)还没有(yǒu)真正出台一(yī)部围绕政(zhèng)务数据的标准和(hé)法(fǎ)案,从而导致没有具体、有法可(kě)依、可操(cāo)作(zuò)性(xìng)的(de)规范抓手,进而也就没(méi)有形成一个(gè)规范(fàn)性的解决思路或指导性意见,因此数(shù)据分级(jí)问题(tí)很难(nán)在实际当中有效开展(zhǎn)。
其(qí)次(cì),政府(fǔ)如何科学有效监管?在目前大力推动政府(fǔ)数据的交换、共享、开放的大背景下, 如何对数据(jù)的流动、流向(xiàng)进行有效监管,掌(zhǎng)握数据流动的全过程;同时,如何整合当前(qián)的各(gè)种离散(sàn)的(de)数据(jù)安全防护(hù)手段,建立以数据(jù)属性为(wéi)核心的一体化数据安全防护策略,实现(xiàn)对数据流(liú)动中的统(tǒng)一有效管控,也是当下的一个挑(tiāo)战和难点。
对企业而言,国家正在积极推动商业秘密数据的(de)保护,国资委、国家保密局都已经出台了相关的要求和(hé)文件,央企首当其(qí)冲面(miàn)临着如何(hé)实现内(nèi)部商业秘密数据的有序安(ān)全(quán)、流动的问题。从文件产生,到文件通过邮件、即时通信、网盘等多种方式(shì)进(jìn)行交换,再到接(jiē)收(shōu)方打开和阅读文件的全过程中,如何识别商(shāng)业秘密数据、如何进行标(biāo)记,如何在产(chǎn)生、交换、阅读过程中进(jìn)行管控,亟(jí)需完善的数据(jù)安全解决方案。
目前,卫(wèi)士通结合自身在数据标记、数据加(jiā)密等(děng)方面的技术和产品积累,与业界的合作伙伴(bàn)积极对接,形成支持结构化和非结构(gòu)化数据(jù),支撑各种数据交换(huàn)手段,具备(bèi)较高自动化水平的商(shāng)业秘密(mì)数据识别(bié)和标记能力,覆盖数据(jù)交换全链条(tiáo)的商(shāng)业秘密数据保护(hù)方案。
记者:从《数据安全(quán)法(草案)》可以看到国家的数据安全整体布局,请(qǐng)问卫(wèi)士通(tōng)将在其中扮(bàn)演什么(me)样的角色?
张剑:首(shǒu)先,我们希望把密码(mǎ)的基因发挥(huī)到极(jí)致。在数(shù)据安全(quán)的治理体系当中,有(yǒu)诸多环节都离不开密码,其重要性不(bú)言而喻(yù),为此可(kě)以放大密码基(jī)因(yīn),在我们(men)原(yuán)有的文件加密、数据库加(jiā)密等方(fāng)式上进一(yī)步(bù)放大,并且积极去寻求和各种应用场景的(de)对接(jiē),让其在数据安全中(zhōng)的(de)作用发挥得更出色。
其次(cì),结(jié)合对国家在(zài)政企(qǐ)数据保护的(de)政策、标准(zhǔn)、法规的研究,以及卫士通公司在数据安全(quán)领域的实践,可以看到未来(lái)数据安全治理将围绕数据内容,打造以内容为(wéi)核心(xīn)的数据安全治理和(hé)防护体系。在该体系当中,卫士通将(jiāng)打(dǎ)造针对数据内容的数(shù)据分级和识别(bié)、数据标记(jì), 以及数据溯源的能力,从而在未来的数据安全(quán)产(chǎn)业(yè)链(liàn)条中占据产业上游的技术和产品供应商地位,同时通过整合(hé)和(hé)合(hé)作,形成完(wán)整的数据安全解(jiě)决方案的提供能力。
