卫士通信息产业股份有限公司副总经理
张(zhāng) 剑
张剑,卫士通(tōng)信息(xī)产业股份有限(xiàn)公司副总(zǒng)经理、高级工程师,负责(zé)公司在云安全、数据安全以及安全(quán)服(fú)务等业务领域的技术(shù)能力和产品规划等工作,拥有信息安全领域十余年(nián)从业经验,曾先后荣获省(shěng)级、部级及(jí)军(jun1)队科技进步奖,并作为系统(tǒng)总师(shī)参与军队多个重(chóng)大(dà)系统的(de)信息安全体系设计,先后参与工信部、国家保密局(jú)及(jí)公安(ān)部(bù)的(de)云(yún)计(jì)算及大数据安全标准(zhǔn)的拟制工(gōng)作,并作为ITU会员参(cān)与(yǔ)国际电联(lián)相关云计算安全标准(zhǔn)的(de)讨论和研究工作,团队所研发的安全虚拟桌面及(jí)安全(quán)云操作系统已经获(huò)得(dé)公安部最高安全等级的增强级(jí)产品测评认证。
目前,全球进入大数据(jù)时代,数据(jù)呈现爆发式增长的同(tóng)时,也带(dài)来了(le)前所未有的(de)风险与安(ān)全挑战。《中华人民共和国数据安全法(草案)》(以下简(jiǎn)称《数据安全法(草案)》)的颁布(bù),旨(zhǐ)在搭建一个更为全面(miàn)的数据安全(quán)保障体系。这不仅体现了国家(jiā)对数(shù)据战略的重大考量,也给相关的网络安全企业带(dài)来了重(chóng)大机遇。
卫士通(tōng)作为(wéi)一家(jiā)以(yǐ)保护国家网络空间安全为己任(rèn)的(de)公司,20多(duō)年(nián)来一(yī)直在国家重(chóng)要行业信息系统的信息安全保障中发挥(huī)着重要(yào)作用,当(dāng)下的《数据安全(quán)法(草案)》的出(chū)台,对卫士(shì)通而言,既是机遇(yù),也是挑战。为此(cǐ),记者采(cǎi)访了卫士通副总经理张剑,就《数(shù)据安(ān)全法(fǎ) (草案 )》、对企业的(de)挑战与机遇(yù),以(yǐ)及公(gōng)司在数据(jù)安全领域的布局等问题,进行(háng)了沟通交流,现整理如下,以(yǐ)飨读者(zhě)。
记者:您如何评价刚出(chū)台的《数据(jù)安全法(草(cǎo)案)》?
张剑(jiàn):《数据安全(quán)法(草案)》的出台,首先从宏观层面上明确了国家的大数(shù)据发展战(zhàn)略是引导(dǎo)安(ān)全(quán)需(xū)求要与数(shù)据(jù)的开(kāi)发利用相结合,不是为了保护而保护。同时,草案从立法(fǎ)层面确立(lì)了我国数(shù)据安(ān)全治理与监管体系,表(biǎo)明(míng)数据安(ān)全已成(chéng)为事关国家安(ān)全(quán)与经济社会(huì)发展的重(chóng)大关(guān)键(jiàn)点(diǎn)。国家(jiā)关于数据(jù)安全的总体战略,是鼓励(lì)数据活动的各方共同参与数据安全的(de)保(bǎo)护工作,并且对开展(zhǎn)数据(jù)活动的主(zhǔ)体、相关的监管部门提出了(le)义务和安全责任(rèn)。
在(草案(àn))中,对(duì)数据的定义(yì)、数据(jù)各参与方的(de)责任(rèn)和义务都(dōu)进行了清晰的厘定(dìng),明确(què)规定了数(shù)据保护的主体(tǐ)责(zé)任和义务是进(jìn)行数据活动(dòng)的主体(tǐ),特别规范了国家(jiā)机(jī)关(guān)在(zài)进行政务(wù)信(xìn)息开放(fàng)时的责任和义务。国家(jiā)相(xiàng)关部门(行业主管(guǎn)部(bù)门、公安机关、网信部门等)从监(jiān)管(guǎn)的角度规范数据处理的环境,国家(jiā)将从数据的(de)安全风险评估、监测预警、应急处置(zhì)和安全审(shěn)查四个方面(miàn)进行数(shù)据安全的(de)监(jiān)管。
其次,国家也规范了在(zài)线数据处理和数(shù)据(jù)交易(yì),要求专门(mén)提供在线数据处理等服务的经营(yíng)者需要依法取得经营业务许(xǔ)可或者(zhě)备案。针对(duì)个人(rén)信息、重要数(shù)据和涉密数据的处理者来(lái)说,都需要采取合法、正当的方(fāng)式(shì),并有保护的义务,包(bāo)括在境内开(kāi)展(zhǎn)数据活动的境外组织。再次,国(guó)家要(yào)求数据活动主体加强风险监测,针对重(chóng)要数(shù)据的处理者还应定期开展(zhǎn)风险评估,并向有(yǒu)关主管(guǎn)部门报送风(fēng)险评估报告。
综上所述,《数据安全(quán)法(草案)》可以说为国家(jiā)后续(xù)规范数据活动环境、保障数据安全奠定了(le)基础。
记者:《数据安全法(草案)》的出台对数(shù)据(jù)安全产业领域中(zhōng)的企业有何重要意义?
张剑(jiàn):可以看(kàn)到(dào),数据安全法(fǎ)的最大特(tè)点是在(zài)鼓励数据流动、共享、乃至(zhì)交易的情(qíng)况下, 确保数据的(de)安全,与此同时,国家正在最大限度地推动各行(háng)各业的大数据开放和共享。数据这一新的生产力已经逐步成为各行(háng)业信息化中的基本共(gòng)识。这样强有力(lì)的政策驱动对产业界而言,无疑是重大的(de)市(shì)场机(jī)遇。
与此同时,在大(dà)数据背景下,数据类型多样化、数据(jù)交换共享手段的多(duō)样化,以及用(yòng)户(hù)场景和需求的(de)极大丰富(fù),导(dǎo)致产业界在技术(shù)和产(chǎn)品中出现了诸多新的挑(tiāo)战,如行(háng)业数据的安全分级、结构化和非结构化(huà)数据(jù)的识别(bié)和(hé)标记、数据流动全过程溯源和安全治理、业(yè)务全过程中(zhōng)的(de)数据(jù)流动风险评估、隐私(sī)数据的安全计算、多方(fāng)数据共享中的多方计(jì)算等(děng)问题的出现带动了传统数据安全企业的转型,以(yǐ)及一大批(pī)数据安全创新公司的出现。
因此,数据安全产业在概念、内(nèi)涵、技术、产品各个方面,都已(yǐ)出现了(le)巨大变化,成为网络(luò)安全领域(yù)中一(yī)个全新的热点,处于(yú)一个快速(sù)的产业(yè)发展期。
记(jì)者(zhě):请您(nín)谈谈,卫士通(tōng)目前的技术(shù)沉淀、创新和产品研发情(qíng)况(kuàng),与其他(tā)数据安全(quán)企业相比,其(qí)优势在哪里?《数据安全(quán)法(fǎ)(草案)》对贵司带来(lái)哪(nǎ)些影响,又将如何布局?
张剑:着(zhe)力于数据安全这一热点领域,确保数据的(de)机密性是其根本和(hé)起点,而在这个(gè)方(fāng)向上,卫士(shì)通拥有着(zhe)“红色基因(密(mì)码(mǎ))、蓝色底蕴(科技)”的先天优(yōu)势。同(tóng)时,基(jī)于对数据安全法的(de)深入理解,在国家推动数(shù)据流动和共享的(de)新形势(shì)下,针(zhēn)对不同行业中不同(tóng)性(xìng)质和不同类型数据流动共(gòng)享时的保护场(chǎng)景,卫士通充分结合自身的密码优势,以打造覆盖数据流(liú)动全周期的安(ān)全(quán)治(zhì)理体系为目标,在数据识别与自动分级(jí)、数据标记、数据脱(tuō)敏(mǐn)和降级、数据(jù)库(kù)和文件加密、数据流(liú)动全过程溯源(yuán)等方向开展关键技术布(bù)局;并已初(chū)步形成以数据安全治(zhì)理平台、数据(jù)脱敏系统、数据分级工具、数据库加密产品、数据密标产品为代表的系列化(huà)产品;并与业界(jiè)友(yǒu)商形(xíng)成广泛的合(hé)作和整合,建立了数据安全的“生态圈”,具备多个行业应用场景下的数据安全整体解决(jué)方案的(de)提供能力。
记者(zhě):《数(shù)据安全法(fǎ)(草案(àn))》背景下,作为业内首个全服(fú)务化政务云(yún)安全项目,“成都市政务(wù)云(yún)——数(shù)据安全治理(lǐ)项目(mù)”对(duì)整个行业(yè)有何重要(yào)意义?
张剑:“成都市(shì)政(zhèng)务云——数据安全治理(lǐ)项目”可以说是政务领域(yù)一个较为完(wán)整和典型的数(shù)据安(ān)全治理案例。成(chéng)都市(shì)的数据安全共享、数据开放、数据治理(lǐ)以及数据利用模式呈(chéng)现出典型化(huà)和多样化的特质。典(diǎn)型化在于成都市作为一个(gè)一线的副省级(jí)城市,其数据交换和(hé)共享场景,以及数据覆盖的(de)委办(bàn)局类型具(jù)备普遍的代表性;而(ér)多样化则在于(yú)成(chéng)都市政务(wù)大数(shù)据的(de)交(jiāo)换、汇集和(hé)处理的场景(jǐng)丰富(fù),且政务数据种类(lèi)也呈现出多样化的特点。
该(gāi)项目的顺利落(luò)地具备(bèi)重要的示(shì)范意义,也将(jiāng)产生深远的影响(xiǎng)。首先,它表(biǎo)明在复杂(zá)的城市级政务(wù)数据(jù)应用场景下,数(shù)据安全治理的(de)可行(háng)性以(yǐ)及实现效果是良好的。基于我们(men)的(de)解(jiě)决方(fāng)案,数据安全管(guǎn)理部门(mén)可以实现上万类政务数据的有序分级、全场(chǎng)景(jǐng)下数据流动的全过程追溯(sù)、不同(tóng)场景下数据的有效控制和防护(hù),以及基于数据级别的安(ān)全防护策略(luè)的动态协同。其次,该项目在政(zhèng)务数据安全治(zhì)理中(zhōng),实现了(le)诸多创新,且对于其他城(chéng)市级的数据安全治理有一定的(de)参考价值,包括:结合人工智(zhì)能技(jì)术实现政务数据(jù)的识别与分级,力图建立市级政务数据的(de)分级分类标准;综合运用多种数据(jù)标(biāo)记方法,对(duì)数据在共享交换、数据汇集、市县共(gòng)享等(děng)不同场(chǎng)景下(xià)实现标记跟(gēn)踪;通过打通与资源(yuán)目录(lù)、共享交(jiāo)换等数据资源体系中(zhōng)的(de)关(guān)键组件的(de)接口,获取(qǔ)数据流动日志,实现数据(jù)流动全过(guò)程的(de)追溯;基(jī)于数据标记识别数据的(de)安全级别(bié),并以此为基(jī)础实现(xiàn)各类数据安全防(fáng)护设备的策(cè)略(luè)协同。
最后,在该项目实施过程(chéng)中我(wǒ)们遇(yù)到(dào)的问题和经验总结(jié),也对(duì)其(qí)他城市数据安全治理有一定的(de)借鉴(jiàn)意义,包括:实施过程中前置机(jī)的安(ān)全责任以及安全措施之间的关系,数据交换系(xì)统、数据(jù)共享系统与(yǔ)数据标记(jì)之间的(de)融(róng)合, 如何以(yǐ)最小的代价将(jiāng)安全与业务相(xiàng)结合,让业务(wù)流程、应用的改造量(liàng)最(zuì)小,实现效(xiào)益最大(dà)化。
记(jì)者:众所(suǒ)周(zhōu)知(zhī),《数据安全法(草案(àn))》的出台将更加(jiā)凸显数据安全(quán)的重要性(xìng),密(mì)码(mǎ)应用(yòng)将(jiāng)在数据安(ān)全方面起到什么样(yàng)的作用?
张剑:从数据(jù)安全的角(jiǎo)度讲,密码(mǎ)是基础性的(de)保证,能够确(què)保数据在(zài)各(gè)种场景下(xià)的(de)机密(mì)性。这也是卫(wèi)士通为什(shí)么一直在致(zhì)力于数(shù)据加(jiā)密(mì)。从(cóng)最初的文件加密,到(dào)现(xiàn)在的数据库加密, 再到(dào)基(jī)于密码的数据多方安全共享等,密码技术(shù)始终是其核心和(hé)灵魂。与此同时,数据加密(mì)新的(de)场景(jǐng)也(yě)对密码(mǎ)算法和密码的应用带来了新的挑(tiāo)战,例(lì)如在数据多方计算和(hé)多方共享的场景中,就对密码算法(fǎ)带来了(le)新的挑战,需要提供具备实用(yòng)性的密文计算或多(duō)方计算的算法, 在“数据(jù)不见面”情况下实现(xiàn)数据(jù)有效利用(yòng)。
同(tóng)时(shí),数据(jù)安全(quán)关注度的极大提(tí)高,也会给内嵌了密码机制的各种数据交互的(de)应用带来更多机遇(yù),卫士通一直致力于为党(dǎng)政(zhèng)高安全用户提供内(nèi)嵌安全属性和密码属性的应用,如橙(chéng)邮、橙讯等;采用这样(yàng)的方式,能(néng)够(gòu)很好地做到应用(yòng)中进行数据交换或者数据流动时,对数据的机(jī)密性加以保护。
记者:《数据安全法(草案)》对政(zhèng)企的数据安全(quán)建设提出了明确要求,您认为当前政企(qǐ)数据安全(quán)建设存在哪些问题(tí)和(hé)挑战?
张剑:从政府(fǔ)角度(dù)讲,最大的问题就是如何通过数据安全治理的思(sī)路来打通整个政府数据共享和交换路径的(de)通(tōng)道。
具体而言,首(shǒu)先,政务数据的分级和分类目前没有清晰的标准和法(fǎ)规的引领。从国家(jiā)到(dào)地方,目前(qián)都还没有真(zhēn)正出台一部围绕政务数据的标(biāo)准和法(fǎ)案(àn),从而(ér)导致没有具体、有法(fǎ)可依、可操作性的规范抓(zhuā)手,进而也就没有(yǒu)形成一个规(guī)范性的解决思路或指导(dǎo)性意(yì)见,因此(cǐ)数据分(fèn)级问题(tí)很(hěn)难在实际当中有效开(kāi)展。
其次,政府如何科学有效监管?在目前大力推动政府数据的交换、共(gòng)享、开放的大(dà)背景下, 如何对数据的流动、流向进行有效监管,掌(zhǎng)握数(shù)据流动的全过(guò)程;同时,如何整合当(dāng)前(qián)的各种离(lí)散的(de)数据安全防护手段,建(jiàn)立以数据属性为核心的一体化数据安(ān)全防护策略,实现对数据(jù)流动中的统一有效管控,也是当下的(de)一个挑战和难点。
对企(qǐ)业而言,国家(jiā)正在积极(jí)推(tuī)动商业秘密数据(jù)的(de)保护,国资委、国家保密局都已经出台了相关的要求和文件,央企首当(dāng)其(qí)冲面临着如何实现内部商业(yè)秘(mì)密数据的有(yǒu)序安全、流动的问题。从文件产生,到文件通过邮件、即时通信、网盘等多种方(fāng)式进(jìn)行交(jiāo)换,再到接收(shōu)方打开和阅读文(wén)件的全过程(chéng)中,如何(hé)识别商业秘密(mì)数据、如何进行标记,如何(hé)在产生、交换、阅读过程中进行管控,亟需完善的数据安全解决方案。
目前,卫士通结合(hé)自身在(zài)数据标记(jì)、数据加密(mì)等方面(miàn)的技术(shù)和(hé)产品积累(lèi),与业界的合作伙伴积极对接,形成(chéng)支持结构化和非结构化数(shù)据,支撑各种数(shù)据交换(huàn)手段,具备较(jiào)高(gāo)自动化水平的(de)商业(yè)秘密数据识别(bié)和标记(jì)能力(lì),覆盖(gài)数据(jù)交换全链条的商业秘密数据保护方案。
记者:从(cóng)《数据安全法(草案)》可以看(kàn)到国(guó)家(jiā)的数据安全整(zhěng)体布局,请问卫士通将在其中扮演(yǎn)什么(me)样(yàng)的角色?
张剑:首先,我们希望(wàng)把(bǎ)密码(mǎ)的基(jī)因发挥(huī)到极致(zhì)。在数据安(ān)全的治理体系当中(zhōng),有(yǒu)诸多环节都离(lí)不(bú)开密码(mǎ),其重要性不(bú)言(yán)而喻,为此可以放大密码基因,在我们原有的文件加密、数(shù)据库加(jiā)密等(děng)方(fāng)式上(shàng)进(jìn)一步(bù)放大,并且积极去寻求和(hé)各种应用(yòng)场(chǎng)景的对接,让其在数据(jù)安(ān)全中的作用发挥得更(gèng)出色。
其次,结合对国(guó)家(jiā)在政企数据保护的(de)政策、标准、法规(guī)的研究(jiū),以及卫(wèi)士通公司在数据(jù)安全领域的实践,可以看到未来数据安全(quán)治理将围绕数据内容,打造以内容(róng)为核(hé)心的数(shù)据安(ān)全治(zhì)理和防护体系(xì)。在该体系当中(zhōng),卫(wèi)士(shì)通将(jiāng)打造针对(duì)数据内容的数据分级和识别、数据标记, 以及数据溯源的能力,从而在(zài)未来的数据安全(quán)产业(yè)链条中占据产业上游的技术和产品供应(yīng)商(shāng)地位,同时通过整合和(hé)合作,形成完整的数据安全解决方案的提供能力。
