卫士通信息产业股(gǔ)份(fèn)有限公司副总经理(lǐ)
张 剑(jiàn)
张(zhāng)剑���,卫士通信息产业股份有限公司副(fù)总经理��、高级工程师���,负责公(gōng)司(sī)在云(yún)安全���、数据安全以及安(ān)全服务等业务(wù)领域(yù)的技术能力和(hé)产品规划等工作���,拥有信息安全领域十余年从业经验���,曾先后荣获省级���、部(bù)级(jí)及军队科技进步奖�����,并作为系(xì)统总师参与军(jun1)队多(duō)个重(chóng)大系统的信息安全体(tǐ)系设计(jì)���,先后(hòu)参与工信部���、国家保(bǎo)密局及公安部的云计算及大数据(jù)安全标准的拟制工作(zuò)��,并作为ITU会员参(cān)与国际电联相关云计算安全(quán)标准的讨论和研究工作����,团(tuán)队所研(yán)发(fā)的安全虚拟桌(zhuō)面及安全云操作系统已经获(huò)得公安部(bù)最高安全等级的增(zēng)强级产品测(cè)评认证����。
目前����,全球进入大数据时代���,数据呈(chéng)现爆发式增长的同时��,也带来(lái)了前所(suǒ)未有(yǒu)的风险与安全挑战(zhàn)�����。《中华人民共和国数据安全法(草案)》(以下简称《数据(jù)安全法(fǎ)(草案)》)的颁布���,旨在搭建一(yī)个更为全面的数据安全(quán)保障体系(xì)�����。这不仅(jǐn)体现了国家(jiā)对数据战略的(de)重大(dà)考(kǎo)量���,也给相关的网(wǎng)络安全(quán)企业带来了重大(dà)机(jī)遇��。
卫士通作为(wéi)一家以保护国(guó)家网络空间安(ān)全为(wéi)己任的(de)公司(sī)��,20多年来(lái)一直在国家重要行(háng)业信(xìn)息(xī)系统(tǒng)的(de)信息安(ān)全保障中发(fā)挥(huī)着重要作(zuò)用����,当(dāng)下的《数据安全法(草案)》的出(chū)台���,对卫士(shì)通而言��,既是机遇��,也(yě)是挑战���。为此(cǐ)���,记者采访了卫士通副(fù)总经理张剑��,就(jiù)《数据安全法 (草案 )》���、对企业的挑战(zhàn)与机遇(yù)����,以及公司在数据安全领域的布局等(děng)问题���,进行了沟通(tōng)交流����,现整理如(rú)下���,以飨读者�����。
记者��:您(nín)如何评(píng)价(jià)刚出台的《数据(jù)安全法(fǎ)(草案)》���?
张剑�����:《数据安全法(草案(àn))》的(de)出台���,首先从宏观层面上明确(què)了国家(jiā)的大(dà)数据发展战略是引(yǐn)导安全需求要与数据的开发利用相结合��,不(bú)是为了保护而保护��。同时(shí)��,草(cǎo)案从立法层(céng)面(miàn)确立了我国数据安(ān)全治理与监管体系����,表明数(shù)据安(ān)全已成(chéng)为事关国家(jiā)安全(quán)与经济社会(huì)发展的重大关键(jiàn)点����。国家关(guān)于数据安全(quán)的总体战略�����,是鼓励数据活动的各方共同参与数据(jù)安全的保护工(gōng)作����,并且对(duì)开展数据活动的主体(tǐ)���、相关的(de)监管部门提出了义(yì)务和(hé)安全(quán)责(zé)任(rèn)�����。
在(草案)中���,对数据的定义����、数(shù)据各参与(yǔ)方(fāng)的(de)责任(rèn)和义务都(dōu)进行了(le)清(qīng)晰的厘定����,明确(què)规定(dìng)了(le)数据保护的(de)主体(tǐ)责(zé)任和义务是进行数据活(huó)动的主(zhǔ)体(tǐ)����,特(tè)别规范了国家机关在进行政务信息开放时的责任(rèn)和义务�����。国家相关部门(行业主管部门���、公安机(jī)关��、网信部门等)从监管的角度规(guī)范数据处理的环境(jìng)��,国(guó)家将(jiāng)从数据的安全风险评估(gū)��、监测(cè)预警�����、应急处置(zhì)和安(ān)全审查四个方(fāng)面进行数(shù)据安全的监管��。
其次��,国家也规范了在线数据处(chù)理和(hé)数据交易����,要求专门提供在线数据处(chù)理等服务的(de)经(jīng)营者需要(yào)依法取得经(jīng)营业务(wù)许可(kě)或者备案���。针对个人信息(xī)����、重要(yào)数据和涉密数据的处理者来说��,都需(xū)要采(cǎi)取合(hé)法��、正当的方式��,并有(yǒu)保护的义务����,包括在(zài)境内开展数据活动(dòng)的(de)境(jìng)外组织(zhī)��。再次����,国家要求数据活(huó)动主体加强风(fēng)险监测��,针对重(chóng)要数据的处理者还应定期开展风(fēng)险评估��,并向(xiàng)有关主管部门报送风(fēng)险评(píng)估(gū)报告��。
综上所述���,《数据安全法(草案)》可以(yǐ)说为国家后续规范数据活动环境�����、保障(zhàng)数据安全奠定了基础��。
记者��:《数据安全法(草案)》的出台对数据安全产业(yè)领域中的企业有何重要意义��?
张剑����:可以看到���,数据(jù)安全(quán)法的最大特点是在鼓励数据流动�����、共享����、乃至(zhì)交易的情况下(xià)���, 确保(bǎo)数据的安全�����,与此同时��,国家正在(zài)最大限(xiàn)度地推动各行(háng)各业的大(dà)数据开放(fàng)和共享(xiǎng)���。数据这(zhè)一(yī)新的生产力(lì)已经逐步成为(wéi)各行业信(xìn)息化中的基本共识��。这样强有力的政策驱动对(duì)产业界而言(yán)���,无疑是重大的市场机遇���。
与此(cǐ)同(tóng)时�����,在大数(shù)据(jù)背景(jǐng)下(xià)��,数据(jù)类型多(duō)样(yàng)化��、数据交换(huàn)共享手段的(de)多样(yàng)化��,以及用(yòng)户(hù)场景和需求的极大丰富���,导致产业界在(zài)技术和产品(pǐn)中出(chū)现了(le)诸多新的挑战����,如行业(yè)数据的安全(quán)分级����、结构化和非结构化数据的识别和(hé)标(biāo)记���、数据流(liú)动全(quán)过程溯源和安全治理���、业(yè)务全过程(chéng)中的数据流动风险评估���、隐私数据的安全(quán)计算���、多方数据共享中的多(duō)方计算等问题的出现带动(dòng)了传统数据(jù)安全企业的转型���,以及一大批数据(jù)安全创(chuàng)新公司(sī)的出(chū)现����。
因(yīn)此���,数据安全产(chǎn)业在概念���、内涵(hán)��、技术����、产品各(gè)个方(fāng)面���,都(dōu)已出现了巨大变化���,成为网络安全领域中一个(gè)全(quán)新的热点��,处于一个快速(sù)的产业发展期(qī)�����。
记(jì)者��:请您谈谈(tán)����,卫(wèi)士通目前的技术沉(chén)淀�����、创新和产品研发情(qíng)况���,与其他(tā)数(shù)据(jù)安全企业相比��,其(qí)优势在哪里����?《数据安全法(fǎ)(草案)》对贵司带来(lái)哪(nǎ)些(xiē)影响����,又将(jiāng)如何布(bù)局���?
张(zhāng)剑����:着(zhe)力于数(shù)据安全这一热点领域(yù)�����,确保数据的机密性是其(qí)根本和起点���,而在这个方向上���,卫士通拥有着(zhe)“红(hóng)色基因(yīn)(密码)���、蓝色底蕴(科(kē)技)”的先天优(yōu)势�����。同时��,基于(yú)对数据安全法(fǎ)的(de)深(shēn)入(rù)理解��,在国(guó)家推动(dòng)数据(jù)流动和共享(xiǎng)的新形势下�����,针对(duì)不同(tóng)行业中(zhōng)不同性(xìng)质和不同类型(xíng)数据流(liú)动共(gòng)享时的保(bǎo)护场景���,卫(wèi)士通充分结合(hé)自身(shēn)的密码(mǎ)优势����,以打造覆盖数据流动全周期的(de)安全治理体系为目(mù)标��,在数据识别与自动分级����、数据(jù)标记����、数(shù)据脱敏和降(jiàng)级���、数(shù)据库和(hé)文件加密(mì)���、数(shù)据流动(dòng)全(quán)过程(chéng)溯(sù)源等方向开展关键技术布局����;并(bìng)已初步形成以数据(jù)安全治(zhì)理平台(tái)��、数(shù)据脱敏系(xì)统�����、数据分级工(gōng)具���、数据(jù)库加密(mì)产品(pǐn)���、数据密标产品为代表的系列化产品�����;并与业界友商形成广泛的(de)合作(zuò)和整合���,建立了数据安全的“生态圈”��,具备多个行业应(yīng)用场景下(xià)的数据安全整(zhěng)体(tǐ)解决方(fāng)案的提供(gòng)能力��。
记者���:《数据安全法(草案)》背景下��,作为业内首个全服务化政务云安全项目��,“成都市政(zhèng)务云——数据(jù)安全治(zhì)理项目”对整个行业有何重要意义���?
张剑����:“成(chéng)都市政务云——数(shù)据安全治理项目”可以说是政务(wù)领域一个(gè)较为完(wán)整和(hé)典(diǎn)型的数据安全治理案例(lì)���。成都市的数据安全共(gòng)享����、数据开放��、数据治(zhì)理(lǐ)以及数据利用(yòng)模式呈现出典型化和多样化的特质��。典型化在于(yú)成都市(shì)作为一个一线的副(fù)省级城市����,其数据交换(huàn)和共享场景��,以及(jí)数据覆盖的委办局(jú)类型具(jù)备普遍的代表性��;而多样化(huà)则在于成(chéng)都市(shì)政务大数据的(de)交换���、汇(huì)集和(hé)处理的(de)场景丰富(fù)��,且政(zhèng)务数据种类也呈(chéng)现出多样化的特点���。
该(gāi)项目的顺利落地具备重要的示范意义����,也将产(chǎn)生深远(yuǎn)的影响(xiǎng)����。首先(xiān)��,它表明在复杂的城市级政务(wù)数(shù)据(jù)应用场景下����,数据安全治理的可行性(xìng)以及实现效果是良好(hǎo)的���。基于我们(men)的解决方案(àn)���,数据安全管理(lǐ)部门可(kě)以实现(xiàn)上万类政务数据的有序分级���、全(quán)场景(jǐng)下数据流(liú)动的全过程追(zhuī)溯(sù)����、不(bú)同场景下(xià)数据的有效(xiào)控制和防护����,以及基于数据级别的安全防护策略的动(dòng)态协(xié)同(tóng)���。其次(cì)���,该(gāi)项目(mù)在政务数据安(ān)全治理中���,实现了诸多(duō)创新���,且对于其他城市级(jí)的数据(jù)安全治理有一定(dìng)的参考(kǎo)价值(zhí)����,包(bāo)括���:结合人工智能技术实现(xiàn)政务数据(jù)的识(shí)别(bié)与分级����,力图建立市级政务数据(jù)的分级分类标准�����;综合(hé)运用多种数(shù)据标记方法(fǎ)��,对数据在共享交换���、数据(jù)汇集�����、市县(xiàn)共享等不同场景(jǐng)下实(shí)现(xiàn)标记(jì)跟(gēn)踪���;通过打通与资源目录����、共享交换等数据资源体(tǐ)系中的(de)关键(jiàn)组件的接(jiē)口(kǒu)����,获(huò)取(qǔ)数据流动日(rì)志(zhì)���,实现数据流(liú)动全过程的追溯�����;基于(yú)数据(jù)标记识别(bié)数据(jù)的安全级别(bié)���,并以此为基础实(shí)现各类数据安全防(fáng)护设备的(de)策略协同���。
最后��,在该项目实施过程(chéng)中我们遇到的问题和经验总(zǒng)结����,也对其他城市数(shù)据安全治(zhì)理(lǐ)有一定的借鉴意义���,包括�����:实(shí)施过程中前置(zhì)机的安全责任以及(jí)安(ān)全措施之间的(de)关系���,数据交换系统���、数(shù)据共享系统与数据标记之间(jiān)的(de)融合����, 如何以最小的(de)代价将安全与业务(wù)相结合����,让业务流程���、应用(yòng)的改造量最(zuì)小��,实现效益最大化���。
记者�����:众(zhòng)所周知���,《数据(jù)安全法(草(cǎo)案(àn))》的出台将更加凸显(xiǎn)数据安(ān)全的重要(yào)性��,密码应(yīng)用(yòng)将在数(shù)据(jù)安全(quán)方面起到什(shí)么样的作(zuò)用��?
张剑���:从数据(jù)安全的角度讲���,密码是基础性的保(bǎo)证����,能够确保数据在各种场景下的机密性��。这也是卫(wèi)士通为什么一直在致力于数据加(jiā)密(mì)���。从(cóng)最初的(de)文件加密����,到现(xiàn)在的(de)数据(jù)库加密���, 再到基于密(mì)码(mǎ)的数据多方安全共享等����,密码技术始终是其(qí)核心和(hé)灵魂��。与此同(tóng)时����,数据(jù)加密(mì)新的场景也(yě)对密码(mǎ)算法和密码(mǎ)的应用带来了新的挑战��,例如在数据多(duō)方计算和多方共享(xiǎng)的场景中(zhōng)��,就对密码算法(fǎ)带来了新的挑战��,需要提供(gòng)具备实用性的密文计算或多方计算的算法��, 在“数据不(bú)见面(miàn)”情况下实现数(shù)据有效利用��。
同时(shí)���,数据安(ān)全关注度的极(jí)大提高(gāo)��,也(yě)会给内嵌了密(mì)码机制的各种数据交互的应用带(dài)来更多机遇��,卫(wèi)士(shì)通一直致(zhì)力于为(wéi)党政高安(ān)全用户提(tí)供内嵌(qiàn)安全属性和密码属性的应用(yòng)����,如橙邮�����、橙讯等����;采用这样的方式����,能够很好地做到应用中(zhōng)进行数(shù)据交(jiāo)换(huàn)或者数据(jù)流动时���,对(duì)数据的机密(mì)性加以保护����。
记者��:《数据安全法(草案)》对政(zhèng)企的(de)数(shù)据安全建设(shè)提出了明确要(yào)求��,您(nín)认为当前政企数(shù)据安全建设存在哪些问(wèn)题和挑战����?
张剑����:从政府角度讲���,最大的问题就是如何通过数据安全治理的思路来打通整个(gè)政府(fǔ)数据共(gòng)享和(hé)交(jiāo)换路径的(de)通(tōng)道(dào)�����。
具(jù)体而言��,首(shǒu)先���,政务(wù)数(shù)据(jù)的分(fèn)级和分类目前没有清(qīng)晰的标准和法规(guī)的引领��。从国家到地方��,目前都还没有真(zhēn)正出台一部围绕(rào)政务数(shù)据的标(biāo)准和(hé)法(fǎ)案�����,从而导致(zhì)没有具体����、有法可依���、可操(cāo)作性的规(guī)范抓手����,进而(ér)也就没有形成一个规范(fàn)性(xìng)的解决思(sī)路或(huò)指导性意见���,因此(cǐ)数(shù)据(jù)分级问(wèn)题很难在实际当(dāng)中有效开展���。
其次�����,政(zhèng)府如何(hé)科学有效监管���?在(zài)目(mù)前(qián)大力推动政府数据(jù)的交换���、共享����、开(kāi)放(fàng)的大背景下�����, 如(rú)何对数据的流动��、流向进行(háng)有效(xiào)监管���,掌握数(shù)据流动的全(quán)过程����;同时���,如(rú)何(hé)整合当前的(de)各种离散(sàn)的数据安全防护手(shǒu)段��,建立以数据属性为核心的(de)一体化数据安全防护策略��,实现对数据流动中的(de)统(tǒng)一(yī)有效(xiào)管(guǎn)控���,也是当下(xià)的一个挑战(zhàn)和难(nán)点(diǎn)����。
对企业而言��,国(guó)家(jiā)正在(zài)积极推动商业秘(mì)密数(shù)据的保护��,国资(zī)委���、国(guó)家保密(mì)局都已(yǐ)经出台(tái)了相关的要(yào)求和文件���,央企(qǐ)首当(dāng)其(qí)冲面(miàn)临着如何实(shí)现(xiàn)内部商业秘密数据的(de)有序安全����、流动的问题��。从文件产(chǎn)生(shēng)����,到文件通(tōng)过邮件�����、即时通信(xìn)���、网盘等多种方(fāng)式进行交换��,再到接(jiē)收方打开和阅读(dú)文件(jiàn)的全过程中��,如何识别商业秘密数据�����、如何进行标记��,如何在产(chǎn)生����、交换����、阅读过(guò)程中进行管控����,亟(jí)需完善(shàn)的数据安全解决方案����。
目前��,卫(wèi)士通结合自身(shēn)在数据标记���、数(shù)据加密等方面的技术和产品积(jī)累���,与业(yè)界的合作伙伴积(jī)极(jí)对接���,形(xíng)成支持结(jié)构化和(hé)非结构化数据����,支撑各种数据交(jiāo)换手段��,具备较高自动化(huà)水(shuǐ)平的商业秘密数据识别和标记能力�����,覆(fù)盖数据交(jiāo)换全链条的商业秘密数据保护方案��。
记者���:从(cóng)《数(shù)据安全(quán)法(草案)》可以看(kàn)到国家的数据安全整体(tǐ)布局����,请问卫士通(tōng)将(jiāng)在其中扮演什么样的角色���?
张(zhāng)剑����:首先��,我(wǒ)们希望把(bǎ)密码的(de)基因发挥到极致���。在数据安全的治(zhì)理体(tǐ)系(xì)当(dāng)中���,有(yǒu)诸多环节(jiē)都离不开密(mì)码�����,其重要性(xìng)不言而喻��,为(wéi)此可以放大密码基(jī)因(yīn)���,在我们原(yuán)有的文件(jiàn)加密����、数据库加密等方式上进一步放大��,并且积极去寻求和各种应用(yòng)场(chǎng)景(jǐng)的对接���,让其在数据安全中的作用发挥得更(gèng)出色���。
其次���,结合对国(guó)家在政企数据保护的政策����、标(biāo)准(zhǔn)���、法规的研究����,以及(jí)卫士通公司在数据安(ān)全领(lǐng)域的实践���,可以(yǐ)看到(dào)未来数据(jù)安全治(zhì)理将围(wéi)绕数(shù)据内容���,打造(zào)以内容为核(hé)心的(de)数据安全治理和防护体系����。在该体系当(dāng)中���,卫士通将打(dǎ)造针对数据内容的数据分(fèn)级和识别����、数据标(biāo)记��, 以及数据溯源(yuán)的能力���,从而(ér)在未(wèi)来的数据安(ān)全产业链条中占据产业上游的(de)技术和产品供应商地位���,同时通(tōng)过整合(hé)和合(hé)作���,形成完整的数据(jù)安全(quán)解决方案的提供能力��。
