卫士通信(xìn)息(xī)产业(yè)股份有(yǒu)限公司副总经理
张 剑
张剑,卫士通信息产业股份有限公司副总经理、高级工程师,负责公司在云安全、数(shù)据安全以及安全服务等(děng)业务领域的技术能(néng)力和产品规划(huá)等工作,拥(yōng)有(yǒu)信息(xī)安全领域十(shí)余年从业经验,曾先后荣获省级、部级及军(jun1)队(duì)科技进步奖,并作为(wéi)系统总(zǒng)师参与(yǔ)军队多个重大系统的(de)信息安全(quán)体系设计(jì),先后参与工(gōng)信部、国家(jiā)保(bǎo)密局及公安部的云计算及大数据安全标准的(de)拟制(zhì)工(gōng)作,并作为ITU会员参与国际电联相关云(yún)计算(suàn)安全(quán)标准的(de)讨论和研究(jiū)工作,团队所研发的安全虚拟桌面及安全云操作系统已经获得公安部最高安全等级(jí)的增强级产品(pǐn)测评认证。
目前,全球进入大数(shù)据时(shí)代,数据呈现(xiàn)爆发式增长的同时(shí),也带来了前(qián)所未有(yǒu)的风险(xiǎn)与安(ān)全挑战。《中华人民共(gòng)和国数据安全法(草案)》(以下简(jiǎn)称《数据安全(quán)法(草案)》)的颁布,旨在(zài)搭建一个(gè)更为全(quán)面的数(shù)据安全(quán)保障(zhàng)体系。这不仅体现了国家(jiā)对(duì)数(shù)据战略的重大考量(liàng),也给相关的网络安全企业带来了重(chóng)大机遇。
卫(wèi)士通作为(wéi)一家(jiā)以保护(hù)国家网络(luò)空(kōng)间安(ān)全(quán)为己任的公司,20多年来一直在国家重要行业信息系统的信息安(ān)全保障中(zhōng)发挥着(zhe)重(chóng)要作用(yòng),当下(xià)的《数据安(ān)全法(草案(àn))》的(de)出台,对卫(wèi)士通而言,既是机遇(yù),也(yě)是挑战。为此,记(jì)者采访了卫(wèi)士通副总经理张(zhāng)剑,就《数据安全(quán)法 (草案 )》、对企业(yè)的挑(tiāo)战(zhàn)与机遇,以及公司(sī)在(zài)数据安全领域(yù)的(de)布局等问题,进行了(le)沟通交流,现整理如下,以飨读者(zhě)。
记(jì)者(zhě):您如何评价刚出台(tái)的《数据(jù)安全法(草案)》?
张剑:《数据安全法(草案)》的(de)出台,首先(xiān)从宏观层面上明(míng)确(què)了国家的(de)大数据发展战略是引导安全需求要与数据的(de)开(kāi)发利用(yòng)相(xiàng)结(jié)合,不是(shì)为了保护而保护。同时,草案从立(lì)法层面确(què)立了我国数据安全治(zhì)理(lǐ)与监管体系,表明(míng)数据安全已成为事(shì)关国家安全(quán)与经济社会发展的重(chóng)大关键点。国家关(guān)于数(shù)据安(ān)全的总体战略(luè),是鼓励数据(jù)活(huó)动的各方共同参(cān)与数(shù)据安全的保护(hù)工作,并且对开展数据活动的(de)主体、相(xiàng)关的监管部(bù)门提出了义务和(hé)安全责任。
在(草案(àn))中,对数据的定(dìng)义、数据各参与方(fāng)的责(zé)任和义务都进行了(le)清晰(xī)的厘定,明确规定了数据保护的主体责任(rèn)和义务是(shì)进(jìn)行数据活动的(de)主体,特别规范了国(guó)家机关在进行政务信息开放时(shí)的责任和义务。国家(jiā)相关部门(行业(yè)主管部门、公安机关、网(wǎng)信(xìn)部门等(děng))从(cóng)监管(guǎn)的角度规(guī)范数据处理的环境,国家将从数据的安(ān)全风险评估、监测预(yù)警、应急处(chù)置和安(ān)全审查四个方面进行(háng)数据安全的监管。
其次,国家也规范了在线数据(jù)处理和数据交(jiāo)易,要求专门(mén)提供在(zài)线数据处理等服务(wù)的经营者(zhě)需要依法取得(dé)经营业务许可或者备案。针对个人信息、重(chóng)要(yào)数据和涉密数据的处理者来说,都需要采取合法、正当的方式,并有保护的义务,包括在境内(nèi)开展数据活动的境外组织。再次(cì),国家要求数(shù)据活动主体加强风险监测,针对重要数据的处理者还应定期开展(zhǎn)风险评估(gū),并向有关(guān)主管(guǎn)部(bù)门报送(sòng)风险评(píng)估报告。
综上(shàng)所述,《数据(jù)安全法(fǎ)(草案)》可(kě)以说为国家后续规范数据活动环境、保障数据(jù)安全奠(diàn)定了基(jī)础(chǔ)。
记者:《数据安全(quán)法(草案(àn))》的出台对数据安(ān)全产业领域(yù)中的(de)企业有何重要意义?
张(zhāng)剑(jiàn):可(kě)以看到,数据安全法的最大特(tè)点是(shì)在鼓励数据流(liú)动、共享(xiǎng)、乃至(zhì)交易的情况下, 确(què)保数据的(de)安全,与此同时,国家正在最(zuì)大(dà)限度地(dì)推动(dòng)各行各业的(de)大数据(jù)开放和共享。数据这一新的(de)生产力(lì)已经逐步(bù)成为各行业信(xìn)息化(huà)中的基本(běn)共识。这样强有(yǒu)力的政策驱(qū)动对产业界而(ér)言,无疑(yí)是(shì)重大的市场机遇。
与此同时,在大数(shù)据背景下,数(shù)据类(lèi)型多样化、数据交换共享手段(duàn)的多样化,以及用户场景和需求(qiú)的极大(dà)丰富,导致产(chǎn)业界在技术和产品中出(chū)现了诸多(duō)新的挑战,如(rú)行业数据的安全分级、结构化(huà)和非(fēi)结构化数据的识别和(hé)标(biāo)记、数(shù)据(jù)流动全过程溯源和安全治理、业务全(quán)过程(chéng)中的数据流动风险评估、隐(yǐn)私数(shù)据的安(ān)全计算、多方数(shù)据共享中的多方计(jì)算等问题的出(chū)现带动了传统数据安全企(qǐ)业的转型,以及一大批数据安全创新公司的出现。
因此,数据安全产业在概(gài)念、内涵、技术、产品各个方面,都已(yǐ)出现了巨大(dà)变化,成为网络安全(quán)领域中一个全新(xīn)的热点,处于一个快速的产业发展期。
记者:请您(nín)谈谈(tán),卫士(shì)通目前的技术沉淀、创(chuàng)新(xīn)和产品研发情(qíng)况,与其他数据安全企业相比(bǐ),其优势在哪里?《数据安全法(草案)》对贵司带来哪(nǎ)些(xiē)影(yǐng)响,又(yòu)将如何(hé)布局?
张剑(jiàn):着(zhe)力于(yú)数据安全这一热(rè)点领域,确保数据的机密性是其(qí)根本和起点(diǎn),而(ér)在这(zhè)个方向上,卫士通拥有着“红色基因(密码)、蓝(lán)色底蕴(科技)”的先天优势。同时,基于对数据安全法的深入理解,在国家推动数据流动和共享的新形势下(xià),针对不同(tóng)行业中不同性(xìng)质和不同类型数据流动共享时的保护场景,卫士(shì)通充分(fèn)结(jié)合自身(shēn)的密码优势,以打造覆(fù)盖数据流动全(quán)周期(qī)的安全治(zhì)理体系为目标,在数据识别(bié)与自动分(fèn)级、数据标记、数据脱敏和降(jiàng)级、数据(jù)库(kù)和文件加密、数据流动全过程溯源等方向开(kāi)展关键技(jì)术(shù)布局;并已初(chū)步(bù)形成以数据安全治理平台、数据(jù)脱敏系统、数据分级工具、数(shù)据库加密产品(pǐn)、数据密标产(chǎn)品为代表的系列化产品(pǐn);并与业界(jiè)友商形成广泛的合作和(hé)整合,建立了数据安全的“生态圈”,具备多个行业(yè)应用场景下的数据安全整体解决方案的(de)提供能(néng)力。
记者:《数据安(ān)全(quán)法(fǎ)(草案(àn))》背景(jǐng)下,作为业内首个(gè)全服务化政务云安(ān)全项目,“成都市政务云(yún)——数据(jù)安全治理项目”对整个行(háng)业有何重要意义?
张剑(jiàn):“成都市政务(wù)云(yún)——数据安全治(zhì)理项目”可(kě)以说是政务领域(yù)一(yī)个较为(wéi)完整和典型的数(shù)据安全治(zhì)理案例(lì)。成都市的数据安(ān)全共享(xiǎng)、数据开放(fàng)、数据治理以及数据利用模式呈现出典型化和(hé)多样化的特质(zhì)。典型化在(zài)于(yú)成都市(shì)作为(wéi)一个一(yī)线的(de)副(fù)省级城市,其数据交换和共(gòng)享(xiǎng)场景,以及数(shù)据覆(fù)盖的(de)委(wěi)办局类型具备(bèi)普遍的代表性;而多(duō)样化则在于(yú)成都市政务大数据的交换、汇(huì)集和处理的场景丰(fēng)富,且政务(wù)数据种类也呈(chéng)现出多样化的特点。
该项(xiàng)目(mù)的(de)顺利(lì)落地具(jù)备重要的示范意义,也将产(chǎn)生深远(yuǎn)的影(yǐng)响。首(shǒu)先,它表明在复杂的城市级政务数据应(yīng)用场景下,数据安全治理的可行性以及实现效果是良好(hǎo)的。基于我们的解(jiě)决方案,数据安全管理部门可(kě)以实现(xiàn)上万(wàn)类政务数据的有序分级、全场(chǎng)景下数(shù)据流动的全过(guò)程追溯、不同场景下数(shù)据的(de)有效(xiào)控制和防护(hù),以及基于数据级别的安全防护(hù)策略的动态协同。其次,该项目在政务(wù)数(shù)据(jù)安全(quán)治理中,实现了诸(zhū)多创新,且对于其(qí)他城市级的数据(jù)安全治理有一定(dìng)的参考价值,包括:结合人工智能技术实现政务数据的识别与分级,力图建立(lì)市级政务数据的(de)分级分类标准(zhǔn);综合运用多种数据标记方法,对数据(jù)在共享交换、数据汇(huì)集、市县共享等(děng)不同场(chǎng)景下实现标记(jì)跟踪;通过打通与(yǔ)资源目录、共享交换等数据资源体(tǐ)系中(zhōng)的关键组件的接口,获取数据流动日志,实(shí)现数据流动全过(guò)程的追溯;基于数据标记识别数(shù)据的安(ān)全级(jí)别,并以此为基础实现各类数据安(ān)全防护设备的(de)策略协同。
最后,在该项目实施过程中我们(men)遇到的问题和经验总结,也对其他(tā)城(chéng)市数据安全治理(lǐ)有一定的借鉴意义,包括:实施过程中前置机的(de)安全责任以及安全措施之间的关系,数据交(jiāo)换系统(tǒng)、数(shù)据共享系统与数(shù)据标记之间的(de)融合(hé), 如何以最小的代价将安全(quán)与业务相结合,让业务(wù)流程、应用的(de)改造量最(zuì)小,实现效益最大化。
记者:众(zhòng)所周知,《数据安全法(草案)》的出台将(jiāng)更加凸显数(shù)据安全的重要性,密码应用将在数据安全(quán)方面起到什么样的(de)作用?
张剑:从数据(jù)安全(quán)的角度讲,密码是基础性的保证,能够确保数据(jù)在各种场景下的(de)机密性。这也是卫士通(tōng)为什么一直(zhí)在(zài)致力于数据加密。从最初的文件(jiàn)加(jiā)密(mì),到现在的数据(jù)库加密, 再到基于密码的数据多方(fāng)安全共享等,密(mì)码技术(shù)始终是(shì)其(qí)核心和灵魂。与此同(tóng)时,数(shù)据加密新的场景也(yě)对(duì)密码算法和密码的(de)应用(yòng)带来了新(xīn)的挑战,例如(rú)在(zài)数据(jù)多方计算(suàn)和多方共享的场(chǎng)景中,就对密码(mǎ)算法带来了新(xīn)的挑(tiāo)战,需要提供具备(bèi)实用性的密文计(jì)算或多方计算的算(suàn)法, 在“数据不见面”情况下实(shí)现数(shù)据有(yǒu)效利(lì)用。
同(tóng)时,数据安全(quán)关(guān)注度的极大提高,也会给内嵌了密码(mǎ)机制的各种数据交互的应用带来更多机遇,卫士通一直致力于为党政(zhèng)高安全用户提供内(nèi)嵌安全属性和密码属性的(de)应用,如橙邮、橙讯(xùn)等;采用这样的方式,能够(gòu)很好(hǎo)地做到应用中(zhōng)进行数据交(jiāo)换或者数据流动时,对数据(jù)的机密性加以保(bǎo)护(hù)。
记者(zhě):《数据安全法(草案)》对政企(qǐ)的数(shù)据安全(quán)建(jiàn)设提出了明确要求,您认(rèn)为当前(qián)政(zhèng)企(qǐ)数据安全建设存在哪些问题和挑战(zhàn)?
张剑:从政府角度讲,最大(dà)的(de)问题就是如何通(tōng)过数据安全治(zhì)理的思(sī)路来打通整个政府数据(jù)共享和交换路径的通道(dào)。
具体而(ér)言,首先,政务(wù)数据的分级和分类目前没有清晰的标准和法规(guī)的(de)引领。从国家到(dào)地方,目前都还没有(yǒu)真(zhēn)正出台一部围绕政务数据的标准和法案,从(cóng)而(ér)导致没有具(jù)体、有法可(kě)依、可操作(zuò)性的规范抓手,进而也就没有形成一个规范性的解(jiě)决思路或(huò)指导性意(yì)见,因此数据分级问题很难在实际当(dāng)中有效开展(zhǎn)。
其(qí)次,政(zhèng)府如何科学有效监管?在目(mù)前(qián)大力推动政府数据的交换、共享、开放的大(dà)背景下, 如何对数据的流动、流向进行有效监管,掌握数据流(liú)动的全过程;同(tóng)时,如何整合当前的各(gè)种离散的数据安全防护手段,建立以数据属性为核(hé)心的一体化(huà)数(shù)据安(ān)全防护策略,实现对数据流(liú)动中的统一有效管控,也(yě)是当下的一个挑战和难点(diǎn)。
对企业而言,国家(jiā)正在积极推(tuī)动(dòng)商(shāng)业秘密数据的保(bǎo)护,国资委、国家保密局都已经出(chū)台(tái)了相关的要求和文(wén)件(jiàn),央企首当其冲面临(lín)着如何实(shí)现内(nèi)部商业秘密数据的有序(xù)安全、流动的问题。从(cóng)文件产生(shēng),到文件通(tōng)过(guò)邮件、即时通信、网盘等多种方式(shì)进行交换,再到接收方打开(kāi)和(hé)阅(yuè)读(dú)文件的全(quán)过程中(zhōng),如(rú)何(hé)识别商(shāng)业秘密数据、如何(hé)进行标记,如何在产生、交换、阅读过程中进行(háng)管控,亟(jí)需完(wán)善(shàn)的(de)数(shù)据安全解决方案。
目前,卫士通(tōng)结(jié)合自身在数(shù)据标记、数据加密等方(fāng)面的技术和产品(pǐn)积累,与业界的合作伙伴积极对接,形成(chéng)支持结构化和非结构化数据,支(zhī)撑各种数(shù)据交换手段,具备较高自动化水平的商业秘密数据(jù)识别和标记能力,覆盖数(shù)据交换全链(liàn)条(tiáo)的商业(yè)秘密数据保护(hù)方(fāng)案。
记者:从《数据安全法(草案(àn))》可以看到国家的数据安全整体布(bù)局,请问卫士(shì)通将在其中(zhōng)扮(bàn)演什么(me)样(yàng)的角色?
张剑:首先,我们希望把(bǎ)密码的(de)基因发挥到极(jí)致。在数据安全的治理(lǐ)体系(xì)当中,有诸多环节都离(lí)不开密码,其重(chóng)要性不言而(ér)喻(yù),为此可以放(fàng)大密(mì)码基(jī)因,在(zài)我们原有的文件加密、数据(jù)库加(jiā)密等方(fāng)式上进一步放大,并且积极去寻求(qiú)和(hé)各(gè)种(zhǒng)应(yīng)用(yòng)场景的对接,让(ràng)其在数据安全中的(de)作用发挥(huī)得更出色(sè)。
其次,结(jié)合(hé)对国家在(zài)政企数据保护的政策、标准、法规的研究,以及卫士通公司在数据安(ān)全领域的实践,可以看到(dào)未来数据(jù)安全治理(lǐ)将围绕数据内容,打造以内容为核心的(de)数据安全治理和防护体系(xì)。在该体系当(dāng)中(zhōng),卫士(shì)通将打造针对数据内容的数据分级和(hé)识(shí)别、数据标记, 以及数据(jù)溯源的能力,从而在未来的数据(jù)安全产业链条(tiáo)中占据产业上游的技术和产品供应(yīng)商地位(wèi),同时通(tōng)过整合和合作,形成完整的数(shù)据安全解决方案的(de)提供能力。
