卫士(shì)通信息产业股份有限公司副总经理
张(zhāng) 剑
张剑��,卫士通信息产业股份有限公司副总经理�����、高级工程师��,负(fù)责公司(sī)在云安(ān)全��、数据安(ān)全以及安全服务(wù)等业(yè)务领域的技术能(néng)力和产品规划等工(gōng)作����,拥有信息安全领域十余年从业经(jīng)验���,曾先(xiān)后荣(róng)获省级��、部级及军队科技(jì)进步(bù)奖��,并作为系统总(zǒng)师参与军队多个(gè)重大系(xì)统(tǒng)的(de)信息(xī)安(ān)全体系(xì)设计���,先后参与工信部(bù)��、国家保密局及公(gōng)安部的云(yún)计算及(jí)大数据安全标准的(de)拟制工作���,并作为ITU会员参与国际电联相关云计算安全标准的讨(tǎo)论和研(yán)究工(gōng)作����,团队(duì)所研发的安全虚拟桌面及安全云操作系统已(yǐ)经获得公(gōng)安(ān)部最高安(ān)全(quán)等级的增强级产品测评认证��。
目(mù)前��,全球进入大数据时代����,数据呈现爆发式增长的同时���,也带来了前所未有的风险与安(ān)全挑战�����。《中华人民共和国数据安全法(fǎ)(草案)》(以下(xià)简称(chēng)《数据安全法(草案)》)的颁布����,旨(zhǐ)在搭(dā)建一个更(gèng)为(wéi)全面的(de)数据安全保障体系(xì)����。这不仅体现了国家(jiā)对数据(jù)战略的(de)重(chóng)大考量���,也(yě)给相关(guān)的网络安全企业带来了重大机遇���。
卫士通作为(wéi)一家以保护国家网络空间安(ān)全为(wéi)己任的公(gōng)司���,20多年(nián)来(lái)一直在国家重(chóng)要行业信息系统(tǒng)的信息安(ān)全保(bǎo)障中发挥着重(chóng)要作用���,当下的《数据安全法(fǎ)(草案)》的(de)出台���,对卫士通而(ér)言(yán)���,既(jì)是机遇��,也是挑(tiāo)战����。为此���,记(jì)者采访了卫士(shì)通副总经理张(zhāng)剑��,就《数据(jù)安全法 (草案 )》����、对企业的挑战与机遇(yù)����,以(yǐ)及公(gōng)司(sī)在(zài)数据安全领域的布(bù)局等问题�����,进行了沟(gōu)通(tōng)交(jiāo)流����,现(xiàn)整理如下���,以飨读者���。
记者����:您如何评价刚(gāng)出台的《数据安(ān)全法(草案)》�����?
张剑��:《数据安(ān)全法(草案)》的出台��,首先从宏观层(céng)面上明(míng)确了国家的大数据发展(zhǎn)战略是引导安全需求要(yào)与数据的开发利用相结合��,不是为(wéi)了保护而保护���。同(tóng)时(shí)���,草(cǎo)案从立法层面(miàn)确立了我(wǒ)国(guó)数(shù)据安全治理与监管体(tǐ)系���,表明数(shù)据(jù)安全已成为事(shì)关国家安全(quán)与经济社会(huì)发(fā)展的重(chóng)大关键点����。国家关于(yú)数据安全的总体战略�����,是(shì)鼓励数据活动(dòng)的各(gè)方共同(tóng)参(cān)与数据安全的保护工作����,并(bìng)且对开展数据活动的(de)主体���、相关的监管部门提出了义务(wù)和(hé)安全责任�����。
在(草案)中�����,对数据的定义��、数据(jù)各参与(yǔ)方的责任和义务都进行了清(qīng)晰(xī)的厘定���,明确规定(dìng)了数据保护(hù)的主(zhǔ)体责任和(hé)义务是进行数据活动的(de)主体���,特别规范了国家机关在进行政务信息开放时的责任(rèn)和义务��。国(guó)家相关部门(行业(yè)主管部门��、公安机(jī)关�����、网信部门等)从监管的角(jiǎo)度(dù)规范数据处理的环境�����,国家将从数据的安全风险评估(gū)��、监测预警��、应急(jí)处置和安全审查(chá)四个方面(miàn)进行数据(jù)安(ān)全的(de)监(jiān)管���。
其次��,国家也规范了在(zài)线数据处(chù)理和数据(jù)交易���,要求专门提供(gòng)在(zài)线数(shù)据处理等服(fú)务的经营者需要依(yī)法(fǎ)取得经营业务(wù)许可或者(zhě)备案��。针对个人信息���、重要(yào)数据和涉(shè)密数据的处理者(zhě)来说��,都需要(yào)采(cǎi)取合法����、正当的(de)方(fāng)式����,并有保护的义(yì)务(wù)����,包(bāo)括(kuò)在(zài)境内开展数据活动的境外组织(zhī)���。再次(cì)���,国家要求数(shù)据活动主体加强风险监测(cè)��,针对(duì)重要数据(jù)的处(chù)理者还应(yīng)定(dìng)期开展风险评估���,并向有(yǒu)关主管(guǎn)部(bù)门报送风险(xiǎn)评估报(bào)告�����。
综上所述���,《数(shù)据安(ān)全法(fǎ)(草案)》可以说为国(guó)家后续规范数据活动环境��、保障数据安全奠定(dìng)了基(jī)础�����。
记者��:《数据安(ān)全法(草案)》的出台对(duì)数据安全产业领(lǐng)域(yù)中的企业(yè)有何重要(yào)意义���?
张剑���:可以看到���,数据安全法(fǎ)的最大特点是在鼓励数据流动����、共享���、乃至交易的情况下���, 确保数据的安全����,与此同时��,国(guó)家(jiā)正在(zài)最(zuì)大限度地(dì)推(tuī)动各行各业的大数据(jù)开放(fàng)和共享����。数(shù)据这一新的(de)生产力已经逐步(bù)成为各(gè)行业信息化中的基本共识���。这样强有(yǒu)力的政策驱动对产业界而(ér)言(yán)���,无疑是重大的市场机遇�����。
与此同时(shí)����,在大数(shù)据(jù)背景下��,数据类(lèi)型多(duō)样化����、数据交(jiāo)换共享手段的(de)多样化��,以(yǐ)及用户(hù)场景和需求的极(jí)大丰富(fù)��,导致产(chǎn)业界在技术(shù)和产品中(zhōng)出现了诸多新(xīn)的挑战��,如行业数据的安全分级����、结构化和非(fēi)结构化数据(jù)的识别和标记����、数(shù)据流动全(quán)过程溯源和安全治理��、业务全过程中的数据(jù)流动风险评估�����、隐私数(shù)据的安(ān)全计算��、多方数据共享中的多方计(jì)算等问题的出现带动了传统(tǒng)数(shù)据安全企业的转型(xíng)����,以及一大批数据安全创新公司的出现��。
因(yīn)此���,数(shù)据安全(quán)产业在(zài)概(gài)念��、内涵��、技术���、产品各个方面��,都已(yǐ)出现了巨大变化����,成(chéng)为网络安全领域中一个全新的热点(diǎn)����,处于一个(gè)快速的产业发展期(qī)��。
记者���:请您谈谈���,卫(wèi)士通目前的技术沉(chén)淀(diàn)���、创新和产品研发情况���,与其他(tā)数据安(ān)全企业相比���,其优(yōu)势在(zài)哪里����?《数据安全(quán)法(草(cǎo)案)》对(duì)贵(guì)司带(dài)来哪些影响����,又将如何(hé)布局���?
张剑�����:着力于数据(jù)安全这一热(rè)点领域����,确(què)保数据的(de)机密性是其根(gēn)本和起点�����,而在这个方向上���,卫士(shì)通拥有着(zhe)“红色(sè)基因(密码(mǎ))���、蓝色底蕴(科技(jì))”的先天优势(shì)����。同时��,基于对数据安全法的深(shēn)入理解���,在国家推动数据流(liú)动和(hé)共享的新形势(shì)下��,针对不同行(háng)业(yè)中(zhōng)不同性质和不同类型数据流动共享时(shí)的保护场(chǎng)景���,卫士(shì)通充(chōng)分(fèn)结合自身的密码优势(shì)����,以打造覆盖数据流动(dòng)全(quán)周(zhōu)期的安全治理体(tǐ)系为(wéi)目标���,在数据识别与自(zì)动(dòng)分级���、数据标记(jì)����、数据脱敏和降级(jí)���、数据库和文件加(jiā)密�����、数据(jù)流(liú)动全过程溯(sù)源等方向(xiàng)开展关键(jiàn)技(jì)术布局�����;并已初步(bù)形成以数据安全治理平台���、数据脱敏系统���、数据分(fèn)级(jí)工具���、数据库加密产品���、数据(jù)密(mì)标(biāo)产品为(wéi)代(dài)表(biǎo)的(de)系列化产品����;并与业界友商(shāng)形成广泛(fàn)的合作和整合���,建立了数据安全的“生态圈”���,具备多个行业应用场景(jǐng)下(xià)的数(shù)据(jù)安全整体解决方(fāng)案的提(tí)供能力����。
记者(zhě)��:《数(shù)据安全法(fǎ)(草案)》背景下���,作为业(yè)内首(shǒu)个全服务化政务云安全项(xiàng)目(mù)����,“成都市政务云——数据安全治(zhì)理项(xiàng)目”对整个行业(yè)有何重要意义���?
张剑(jiàn)���:“成都市政务云——数据安全治理项目”可以说是政务(wù)领域一个较为完整和典(diǎn)型的数据安(ān)全治理案例��。成都市的(de)数据安全共享���、数据开放���、数据(jù)治理(lǐ)以及数据利用模式(shì)呈现出典型化和多(duō)样(yàng)化的特质��。典型化在于成都市(shì)作为(wéi)一个一(yī)线的副省级城(chéng)市����,其数据交换和共享场(chǎng)景����,以及数据覆盖的委办局(jú)类型具备(bèi)普遍(biàn)的(de)代表(biǎo)性��;而多(duō)样化则在(zài)于成(chéng)都市政(zhèng)务大(dà)数据的交换����、汇集和(hé)处理的(de)场景丰富���,且政务(wù)数据种类也呈现出多样(yàng)化的(de)特点���。
该项目(mù)的顺利落(luò)地具(jù)备重要的示范意(yì)义(yì)���,也将产(chǎn)生深远的影响����。首先���,它表明在复杂(zá)的城(chéng)市级政务数据应用场景下(xià)��,数据(jù)安全治理(lǐ)的(de)可(kě)行性以(yǐ)及实现效果是良好的��。基于我们的解决方案���,数据(jù)安全管(guǎn)理部门可以实现(xiàn)上万(wàn)类政务数据的有序分级���、全场景下数据(jù)流动(dòng)的(de)全过程追(zhuī)溯����、不同场景下数据的有效控(kòng)制和防护���,以及基(jī)于数(shù)据级别的(de)安全防护策略的动态协同��。其(qí)次���,该项目在政务(wù)数据安(ān)全治理(lǐ)中���,实现了诸多创新����,且对于其他城市级的(de)数据安全治(zhì)理有一定(dìng)的参考价(jià)值��,包括��:结合(hé)人工智能技(jì)术实现政务数(shù)据的(de)识(shí)别与分(fèn)级���,力图(tú)建(jiàn)立市级(jí)政务(wù)数据的(de)分级分类标准��;综合运用多(duō)种数据(jù)标记方法���,对数(shù)据在共享交(jiāo)换���、数据汇集(jí)�����、市县共享等(děng)不同场景下实现标记跟踪(zōng)�����;通过打通与资源目录(lù)��、共享交换(huàn)等数据(jù)资源体系中的(de)关键(jiàn)组件的接口����,获取数据流(liú)动日(rì)志���,实现(xiàn)数据流(liú)动全过程的追溯���;基于数据标记识别(bié)数(shù)据的安全级别����,并以此为基础实现各类数据安全防护(hù)设备的(de)策略协同���。
最后����,在该项目实(shí)施过程中我们遇到的问题和(hé)经验总结��,也对其他城市数(shù)据安全治理有一定的(de)借鉴意(yì)义���,包(bāo)括��:实(shí)施过程中前置机的安(ān)全(quán)责任以(yǐ)及安(ān)全措施之间的关系���,数(shù)据交换系统���、数据共享系统与数据标(biāo)记之间的融(róng)合(hé)����, 如何以最小的代价将安全与业务相结(jié)合���,让业务流程��、应用的改造量最小����,实现效益最(zuì)大化(huà)����。
记者����:众所周知(zhī)����,《数据安全法(fǎ)(草案)》的出(chū)台将更加凸(tū)显数据安全的重要性����,密(mì)码应用将在(zài)数据安全方面(miàn)起到什(shí)么样的作用����?
张(zhāng)剑(jiàn)���:从(cóng)数据安全的角度讲����,密码是基础性的保证����,能够确保数据在各种(zhǒng)场(chǎng)景下的机密性(xìng)�����。这也(yě)是卫士通为什么一(yī)直在(zài)致力于(yú)数(shù)据加密��。从最初的文件(jiàn)加密����,到现在(zài)的数据库加密����, 再到基于(yú)密码的数据多方安全共(gòng)享等���,密码技术始终是(shì)其核心和灵魂(hún)��。与此同时(shí)���,数据(jù)加密(mì)新(xīn)的场景也对(duì)密码算法和密码的应用带来了新(xīn)的挑战���,例如在数据多方计算和(hé)多方共享的场景中���,就对密(mì)码算法带来了(le)新的挑(tiāo)战(zhàn)����,需(xū)要提供具备实(shí)用性的(de)密(mì)文(wén)计算或(huò)多方计算(suàn)的算(suàn)法(fǎ)��, 在“数据不见面(miàn)”情况下实现数据有效利(lì)用��。
同时����,数据(jù)安全关(guān)注度(dù)的极(jí)大提高���,也会给内嵌了密码(mǎ)机(jī)制的各种数据交互的应(yīng)用带来更多机遇���,卫士通(tōng)一直致力于为党政高安全用户提(tí)供内(nèi)嵌安全(quán)属(shǔ)性和密(mì)码属(shǔ)性的应(yīng)用����,如橙邮��、橙讯等���;采用这样的(de)方(fāng)式(shì)���,能够很(hěn)好地做到应用(yòng)中(zhōng)进(jìn)行数据交换(huàn)或(huò)者数据流动时����,对数据的机密性加以保护(hù)�����。
记者(zhě)�����:《数据(jù)安(ān)全法(草案)》对政企(qǐ)的数据安全建设提出了明确要求���,您认为当前政企数据安全(quán)建设存在哪些问(wèn)题(tí)和(hé)挑战(zhàn)����?
张剑(jiàn)��:从政府角度讲����,最大的问题就是(shì)如(rú)何通过(guò)数据安全治理(lǐ)的思路来打(dǎ)通整个(gè)政府数(shù)据共享(xiǎng)和(hé)交换路径的(de)通道����。
具(jù)体而言��,首先�����,政务数据的分级和分(fèn)类目前(qián)没(méi)有清(qīng)晰的标准(zhǔn)和法规(guī)的引领����。从国家到地方���,目前都还没有(yǒu)真(zhēn)正出台一部围绕(rào)政务(wù)数据的标准和(hé)法案��,从而导(dǎo)致没(méi)有具体����、有法可依(yī)�����、可(kě)操作性的规范抓手���,进而也就(jiù)没有形成一个规范(fàn)性的解决思路或指导性意见��,因此数据分级问题很难(nán)在实际(jì)当(dāng)中(zhōng)有效开展���。
其次����,政府如何科(kē)学有效监管��?在目前大力推动政府数据的交换��、共享(xiǎng)���、开放的(de)大背景下��, 如何对数(shù)据的流动����、流(liú)向进行有效监管���,掌(zhǎng)握数据(jù)流动的全过(guò)程��;同时(shí)���,如何整合当(dāng)前的各种(zhǒng)离散的(de)数据安全防护手(shǒu)段��,建(jiàn)立(lì)以数据属性为核心的一(yī)体化数(shù)据安全防护(hù)策略���,实现对数据流动中的统一有效管(guǎn)控���,也是(shì)当下的一(yī)个(gè)挑战(zhàn)和难点���。
对(duì)企业而言���,国家正(zhèng)在积极推动(dòng)商业秘密数据的保护���,国资委���、国家(jiā)保密局都已经(jīng)出台了(le)相关的(de)要(yào)求和文件����,央企首(shǒu)当其冲面临着如(rú)何(hé)实现内(nèi)部商业(yè)秘(mì)密数据的(de)有序安全���、流(liú)动的问题���。从文件产生��,到文件通过邮件����、即(jí)时通信�����、网盘等多种方式(shì)进行交换����,再到(dào)接收(shōu)方打开和阅(yuè)读文件(jiàn)的(de)全过程(chéng)中(zhōng)���,如何识别商业秘密数据����、如何进行(háng)标(biāo)记(jì)���,如何在产生����、交(jiāo)换(huàn)��、阅(yuè)读过程(chéng)中(zhōng)进行管控��,亟需完善的(de)数据(jù)安全解决方案���。
目前��,卫士(shì)通结(jié)合自身在数(shù)据标记���、数据加密(mì)等方面的技术(shù)和产(chǎn)品积累����,与业界(jiè)的合作(zuò)伙伴积极对接����,形成支持结构化和非结构化(huà)数(shù)据���,支撑各种数据(jù)交换(huàn)手段����,具备较高自动化水平(píng)的商业(yè)秘密数据识别(bié)和标记能力��,覆盖(gài)数(shù)据交换全(quán)链(liàn)条(tiáo)的商业秘密数据保护(hù)方(fāng)案��。
记者���:从《数据安全法(草(cǎo)案)》可以看到国家(jiā)的数据安全整体布局��,请(qǐng)问卫士通(tōng)将在其中(zhōng)扮演什么样的角色����?
张剑(jiàn)��:首先���,我们希望把密码的基因发挥到极致���。在(zài)数据安全的(de)治理体(tǐ)系当中(zhōng)��,有诸多环节(jiē)都离不(bú)开(kāi)密码��,其重要性不言而喻(yù)��,为此(cǐ)可以放大密码基因���,在我们原有的文件(jiàn)加密(mì)�����、数据库(kù)加密等方式(shì)上进一步放大����,并且(qiě)积(jī)极去寻求和各种应用场景的对接��,让其在数据安全中的作用发(fā)挥得更出色���。
其次����,结(jié)合对国家(jiā)在政企数据保(bǎo)护的政策(cè)���、标准��、法(fǎ)规的研究(jiū)���,以(yǐ)及卫士通(tōng)公司在数据安全领域的实践��,可以看到未来数据(jù)安全治理将围绕数据内容��,打造以内容(róng)为核心(xīn)的(de)数据安全治理和防护体系���。在该(gāi)体系当中����,卫士通将打造针(zhēn)对数据内容(róng)的数据分级和识别�����、数(shù)据(jù)标记���, 以及数据溯源的能力(lì)���,从而在(zài)未(wèi)来的数据安全产业链条中(zhōng)占(zhàn)据产(chǎn)业上游的技术(shù)和产(chǎn)品供应商地位����,同时通过整合(hé)和合(hé)作���,形成(chéng)完(wán)整的数据安全解决方案的(de)提供能力���。
