卫士通信息产业股份有限公司副总(zǒng)经理(lǐ)
张 剑
张剑,卫士通信息(xī)产(chǎn)业(yè)股份有限(xiàn)公司副总(zǒng)经理(lǐ)、高级工程师(shī),负责公司在云安全、数据(jù)安全以及安全服务(wù)等业(yè)务领域的技术(shù)能力(lì)和产品规划等工作,拥有信息安(ān)全领域十余年从业经(jīng)验,曾先后荣获省级、部(bù)级及(jí)军队科技进步奖,并(bìng)作为(wéi)系统总师参(cān)与军队多个重大(dà)系统的信息(xī)安全体系设计,先(xiān)后参与工信部、国家保密局及公安部的(de)云计算及(jí)大(dà)数(shù)据(jù)安(ān)全标(biāo)准的拟制工(gōng)作,并(bìng)作为ITU会(huì)员参与国际(jì)电联相关(guān)云计(jì)算(suàn)安(ān)全标准的讨论和研究工作,团(tuán)队所研发的安全虚拟桌面及安全云操作(zuò)系(xì)统已经获得(dé)公安(ān)部(bù)最高安全等级的增强级(jí)产品测评认证(zhèng)。
目前(qián),全球进入大数据时(shí)代,数据呈现爆发式增长的同时(shí),也带(dài)来了前所未(wèi)有的风险与安全挑战。《中华人民共和国数(shù)据安全法(fǎ)(草(cǎo)案)》(以(yǐ)下简称《数据安全法(草(cǎo)案(àn))》)的颁布,旨在搭建一个更(gèng)为全面的数据安全保障体系。这不仅体现(xiàn)了国家(jiā)对数据战略的重大(dà)考量,也给相(xiàng)关(guān)的网(wǎng)络安全(quán)企业带来了重大机遇(yù)。
卫(wèi)士通(tōng)作(zuò)为一家以保护国家网(wǎng)络(luò)空间安全为己任的公(gōng)司,20多年(nián)来一直在国家重要行业信息系统的信息安全保障中发挥着重要作用,当下的《数据(jù)安全法(草案)》的出(chū)台,对卫士(shì)通而言,既(jì)是机遇(yù),也是挑战。为(wéi)此,记者采访了卫士通(tōng)副总(zǒng)经理张(zhāng)剑,就《数据(jù)安全法 (草案 )》、对(duì)企业(yè)的挑战与机遇,以及公司在数据安全领(lǐng)域的布局等问(wèn)题,进行了沟通交流,现(xiàn)整(zhěng)理如下,以飨读者。
记者:您(nín)如何评价刚出台的《数据(jù)安(ān)全法(草案)》?
张剑:《数据安全(quán)法(草(cǎo)案(àn))》的(de)出(chū)台,首先(xiān)从宏观(guān)层面上(shàng)明确了国家的大数据发(fā)展战略是(shì)引导安全需求要与数据的开(kāi)发利用相结合,不是为了保护而保护。同(tóng)时,草案从立法(fǎ)层面确立(lì)了我(wǒ)国数据(jù)安全治理与(yǔ)监管(guǎn)体系,表明(míng)数(shù)据安(ān)全已成(chéng)为事关国家安全与(yǔ)经济社会发展的(de)重大关键(jiàn)点(diǎn)。国(guó)家(jiā)关于数据安全的(de)总(zǒng)体战略(luè),是鼓励(lì)数据活动的各方共同参与(yǔ)数据安全的保护工作,并(bìng)且对开展数据活(huó)动的主体、相关的监管(guǎn)部门提(tí)出了义(yì)务和安全责任。
在(草案)中,对数据的定(dìng)义(yì)、数据(jù)各(gè)参与(yǔ)方的责(zé)任(rèn)和义(yì)务都进行了(le)清晰的厘定,明确规(guī)定了数据保护的主体责任和义务是进行(háng)数(shù)据活(huó)动的主体,特别规范了国家机关在(zài)进行政(zhèng)务信息开放时的责任(rèn)和义务。国家相关(guān)部(bù)门(行业主管部门(mén)、公(gōng)安机(jī)关、网信部门等)从监管的角度规范数据处理的环境,国家将从数(shù)据的安全风险评估、监测预(yù)警(jǐng)、应(yīng)急(jí)处(chù)置和安全审查(chá)四个方面进行(háng)数据安全(quán)的监管。
其次,国家也规范了在线数据处(chù)理和数(shù)据(jù)交易,要(yào)求专门提供在线数据处理等(děng)服(fú)务(wù)的经(jīng)营者需要依法取得经营业务许可或(huò)者(zhě)备案。针对个(gè)人信息、重要(yào)数(shù)据和涉密数据的处(chù)理者来说(shuō),都需要采取合法、正当(dāng)的方式,并有保(bǎo)护的义务,包括(kuò)在境内开展数(shù)据活动的境外组织(zhī)。再次,国(guó)家要求数据活动主体加强风险监测,针(zhēn)对(duì)重(chóng)要(yào)数(shù)据的处理者还(hái)应定期开展风险评估,并向有关(guān)主管(guǎn)部门(mén)报送(sòng)风险评估报告。
综上(shàng)所述(shù),《数据安全法(草案)》可以说为国家后(hòu)续规范(fàn)数据活动环境、保障(zhàng)数据安全奠定了(le)基础。
记(jì)者:《数据安全法(fǎ)(草案)》的出台对数(shù)据安全产业领域中的(de)企业有何重要意义?
张剑:可以(yǐ)看到,数据安全(quán)法的最大特点是在鼓励数据流动(dòng)、共享、乃至交易的情况(kuàng)下, 确保数据的安全,与此同时,国家正在最(zuì)大(dà)限度地推动各行(háng)各业的大数据开(kāi)放和共享。数据这(zhè)一新的(de)生产力已经逐步(bù)成为(wéi)各(gè)行业信息化(huà)中的基本(běn)共识。这样强(qiáng)有力的政策(cè)驱(qū)动(dòng)对产业(yè)界而言,无疑是(shì)重大的市场(chǎng)机遇。
与(yǔ)此同(tóng)时,在大(dà)数据背景(jǐng)下(xià),数据类型多样化、数据交换共享手段的多样化,以及用户场景和需求(qiú)的极(jí)大丰(fēng)富,导致产业界在技术和产品中出现了诸多新的挑战,如行业数(shù)据的(de)安全分级(jí)、结构化和非结构化数(shù)据的识(shí)别和标(biāo)记、数据流动全过程溯源和安全治理、业务全过程中(zhōng)的数(shù)据(jù)流动风险评估(gū)、隐私数据的安全计算、多(duō)方数据共享中的多方计(jì)算等问题的出现带动了(le)传(chuán)统数据安全企业的转型,以及一(yī)大批数(shù)据安全创(chuàng)新(xīn)公司的出现(xiàn)。
因此(cǐ),数据安(ān)全(quán)产业在概念、内涵、技术、产品各个方(fāng)面(miàn),都已出现了巨大变化,成为(wéi)网络安(ān)全领域中一个全新的热点,处于一个快速的产业发(fā)展期。
记者:请您(nín)谈谈,卫士通目前的技术沉淀、创新和产品研(yán)发(fā)情况,与其他数据安全企(qǐ)业相比,其优(yōu)势在哪(nǎ)里?《数据安全法(草(cǎo)案(àn))》对贵(guì)司(sī)带来(lái)哪些影响,又将如(rú)何(hé)布局?
张剑:着力于数据安(ān)全这一热点(diǎn)领(lǐng)域,确保数据的机密性是其根本和起点,而在这个方向上,卫士通拥有着“红(hóng)色基因(密码)、蓝色底蕴(科技)”的(de)先(xiān)天优势。同(tóng)时(shí),基(jī)于对数据安全法的(de)深入理解,在国家推(tuī)动数据流动和共享的新形势下,针对不同行业中不同(tóng)性质和不同类型数(shù)据(jù)流动共享时的保护(hù)场景,卫士通充分结合自(zì)身的密(mì)码优势,以打(dǎ)造覆盖数据(jù)流动全(quán)周期的安全治(zhì)理体系(xì)为目标,在数据识别与自动分级、数(shù)据标记、数据脱敏和降级、数据库和文件加密、数据流动全过程溯源等(děng)方向(xiàng)开展(zhǎn)关键技术布局;并已初步形成以(yǐ)数(shù)据安全治理(lǐ)平台(tái)、数据脱(tuō)敏系统(tǒng)、数据分级(jí)工具、数据库加密产(chǎn)品、数(shù)据(jù)密标产(chǎn)品为代表(biǎo)的系列化(huà)产(chǎn)品(pǐn);并与(yǔ)业界友商(shāng)形(xíng)成广(guǎng)泛的(de)合(hé)作和整(zhěng)合,建立了(le)数据安全的“生态圈”,具备(bèi)多个行业应用场景下的数据安全整体解决方案的提供能力(lì)。
记者:《数(shù)据安全法(草案)》背景下(xià),作为业内首个全服务化政务云安全项(xiàng)目,“成都市(shì)政务云——数据安全治理项目”对整个行(háng)业有何重(chóng)要意(yì)义?
张剑:“成都市政务云——数据安全治理项目”可以说是政务领域一个较为完(wán)整和典型的数据(jù)安全治理案例(lì)。成都市的数据安全共享、数据开放、数(shù)据治理以及数据利用模式(shì)呈现出典型(xíng)化和多样(yàng)化的(de)特质。典型化在于成都市作为一个一线的副(fù)省级城市,其数据交换和共享场景,以(yǐ)及数据覆盖的(de)委办局类型具(jù)备普遍(biàn)的代表性;而(ér)多(duō)样化则在于(yú)成都市政务大数(shù)据的交(jiāo)换、汇集和(hé)处理的场景丰富,且政务数据种(zhǒng)类也呈现(xiàn)出多样化的特点。
该项目的顺利落地具备重要(yào)的(de)示范意义,也将产(chǎn)生深远的影响。首(shǒu)先,它(tā)表明(míng)在复杂的城(chéng)市级(jí)政务数据应用场景下,数据安全治(zhì)理的可行性以及实(shí)现效果是良(liáng)好的。基于我(wǒ)们(men)的解决方案,数据(jù)安全(quán)管理部门可以实现上万类(lèi)政务(wù)数据的有序分级、全(quán)场景下数据流动的全过程追溯、不(bú)同场景下数据的有效控制和防护(hù),以及基于数据级别的安全防护(hù)策略(luè)的动态协同。其次(cì),该项目在政务数据(jù)安(ān)全治理中,实现了诸多创(chuàng)新(xīn),且对于其他城市(shì)级的数(shù)据(jù)安(ān)全治(zhì)理有一(yī)定的参考价值,包括:结合人工智能技术实现政务数据(jù)的(de)识(shí)别与分级,力(lì)图建(jiàn)立市级政务数据的分级分类标准;综合运用多种数据标记方法,对数据在共享交换、数(shù)据汇集、市县共享等不同场景下实(shí)现标记跟(gēn)踪;通(tōng)过打通与资源(yuán)目录、共享交换等数据资源体系(xì)中的关(guān)键组件的接口,获取数据(jù)流(liú)动(dòng)日志,实现数据流动全过程(chéng)的追溯(sù);基于数据(jù)标记识别数据的安全级别,并以此为基础(chǔ)实现(xiàn)各类数据安全防护设备的策略(luè)协同。
最后,在(zài)该(gāi)项目实施过程中我(wǒ)们遇(yù)到的问题和经验总结,也对其他城市数据安(ān)全治理有一定的借鉴意(yì)义,包括:实施过程中前置机的安全(quán)责任以及(jí)安全(quán)措施之间的关系,数据(jù)交换系统、数据共享系统与数据标记之间的融合(hé), 如何以(yǐ)最小的代价(jià)将安(ān)全与业务相结合,让业务流程、应用(yòng)的改造量最小,实现效益最大化。
记者:众所周知,《数据(jù)安全(quán)法(草案)》的出(chū)台将(jiāng)更加凸显(xiǎn)数据(jù)安全的重要性,密(mì)码应用将在数(shù)据安(ān)全方面起到什么(me)样的作用?
张(zhāng)剑(jiàn):从数据(jù)安全的(de)角度(dù)讲,密(mì)码是基(jī)础性的保(bǎo)证,能够确保数据在各种场景下的机密性。这(zhè)也是卫士通(tōng)为什么一(yī)直(zhí)在致(zhì)力于数据加密。从最初的文件加密,到现在的数据(jù)库加密, 再到基于密码的数据多方安全共(gòng)享等(děng),密码技术始终是其核心和灵魂。与(yǔ)此同时,数据加(jiā)密新(xīn)的场景也对密码算(suàn)法和密码的应用带(dài)来了新(xīn)的挑战,例如(rú)在(zài)数据多方计算(suàn)和多方(fāng)共享的场景中(zhōng),就对(duì)密(mì)码算(suàn)法带(dài)来了新的挑战,需要提供具备(bèi)实(shí)用性的密文计算或多方计算的算法(fǎ), 在“数据不(bú)见面(miàn)”情(qíng)况下实现数(shù)据(jù)有效利用(yòng)。
同时,数据安全关注度(dù)的极大提高,也会给内嵌了密码机制的(de)各种数(shù)据(jù)交(jiāo)互的应用带来更多机遇,卫(wèi)士通一直(zhí)致力于为党政(zhèng)高安全用户提供内嵌安全属性和密码属性的(de)应(yīng)用,如橙邮、橙讯(xùn)等;采用这样的方式,能够(gòu)很(hěn)好地(dì)做(zuò)到(dào)应(yīng)用中(zhōng)进行数据交换或者数据(jù)流动时,对数(shù)据的机密性加以保护。
记者:《数据(jù)安全法(草(cǎo)案)》对政企的数据安全建设提出了明确(què)要(yào)求,您认为当前政企数据安全(quán)建设存在哪些(xiē)问题和挑战?
张剑:从政府角(jiǎo)度讲(jiǎng),最大的(de)问题就(jiù)是如何通过数据(jù)安全治理的思路来打通(tōng)整个政府数据共享和交换路径的通道(dào)。
具体而言,首先(xiān),政(zhèng)务数据的分级和分类目前没有清(qīng)晰的(de)标准和法规(guī)的引领(lǐng)。从国家到(dào)地方(fāng),目(mù)前都还没有真正出(chū)台一(yī)部(bù)围绕政务数据的标准和(hé)法案(àn),从而导致没有具体、有法可依、可(kě)操(cāo)作性(xìng)的(de)规(guī)范(fàn)抓手,进而也就没有(yǒu)形成(chéng)一个规范(fàn)性的解决思路或指导性意见(jiàn),因此数据分级问(wèn)题很(hěn)难在实际当中(zhōng)有效开(kāi)展。
其次,政府如何科学有效监管?在目前大力推动政(zhèng)府数据的交(jiāo)换、共享(xiǎng)、开(kāi)放(fàng)的大背景下, 如(rú)何对(duì)数据的流(liú)动、流向进行有效监管,掌握数据流(liú)动的全过程;同时,如何(hé)整合当前的各种离散的(de)数(shù)据安全防护手段,建立以数据属(shǔ)性为核心的一(yī)体化(huà)数据安全防护(hù)策(cè)略,实现(xiàn)对数据流动(dòng)中(zhōng)的统一有效管控,也是当下的一个挑战和(hé)难(nán)点。
对企业而言,国(guó)家正在积极推动商业(yè)秘密数据的保护,国资委、国家保密局都(dōu)已经出台了相关的(de)要求和文件,央企首当其冲面(miàn)临着如何(hé)实现内部商(shāng)业秘(mì)密(mì)数据的有序安全、流动的问题。从文件产生,到(dào)文件通过邮件、即时通信、网盘等多种(zhǒng)方式进行交换(huàn),再(zài)到接收方打开和阅读(dú)文(wén)件的(de)全过程(chéng)中(zhōng),如何识别(bié)商业秘密数据(jù)、如(rú)何进行标记,如何在产生、交换、阅读过程(chéng)中进(jìn)行管控,亟需完善的数据安全(quán)解决(jué)方(fāng)案。
目前,卫士(shì)通结合自身在数据(jù)标记、数(shù)据加密等方(fāng)面的(de)技术(shù)和产品积累(lèi),与业界的合作伙伴积(jī)极对接,形成支持结构(gòu)化和非(fēi)结构化数据,支撑各种数(shù)据交换手段,具备较高自动化水平的商业(yè)秘密数据(jù)识别和标记能力,覆盖数据交换全链条(tiáo)的商业秘密数据保护方案(àn)。
记者:从《数据安全(quán)法(草(cǎo)案)》可以看到国家的数据安全整体布局,请(qǐng)问卫士(shì)通将在其(qí)中扮演(yǎn)什么样的(de)角色?
张(zhāng)剑:首先,我们希望把密码的基(jī)因发挥到极致。在数据安全的治理体系(xì)当中,有诸多环(huán)节都离不(bú)开密码,其重要性不言而(ér)喻,为此可以放(fàng)大(dà)密码基因(yīn),在(zài)我们原有(yǒu)的文件加密、数据(jù)库加密等方式上进(jìn)一步放大,并且积极去寻求(qiú)和(hé)各种应用场景的对(duì)接,让其在数据安全中的作用发挥得更出色。
其次,结合对国家在政(zhèng)企数据保护的政策、标准、法规(guī)的研(yán)究,以及(jí)卫(wèi)士通公司在数据安全领域的实践,可以看到未(wèi)来数据安全治理将(jiāng)围绕数据内容(róng),打(dǎ)造以内容为核心的(de)数据安全治理和防护体(tǐ)系。在该体系当中,卫士通将打(dǎ)造针对数据内容的(de)数据分级和识别、数据标(biāo)记, 以及数据(jù)溯源(yuán)的能力,从而在未来的数据安全产(chǎn)业链条中占据产业上游的技术和产品供应商地(dì)位,同时(shí)通过整合和合(hé)作,形成完整的数据安全解决方(fāng)案的提供(gòng)能力(lì)。
