卫士通信息产(chǎn)业(yè)股份(fèn)有限(xiàn)公司副总经理
张 剑
张(zhāng)剑(jiàn),卫士通信息产业(yè)股份有限公司副总经理、高级工程师,负责公(gōng)司在云安(ān)全(quán)、数据安全以及安全(quán)服务等(děng)业(yè)务领域的技术能力和产品规划等工作,拥有信息安全领(lǐng)域十余年从业经验,曾先后荣获省(shěng)级、部级及(jí)军队科(kē)技进步奖,并作为系统(tǒng)总(zǒng)师参与军队多个重大(dà)系统的信息安全(quán)体系设计,先后(hòu)参与工信部、国家保密(mì)局及公安部的云计算及大数据安全标(biāo)准的拟制工作,并作为ITU会员参与国际电联相关云计算安全标准的讨论和研究工(gōng)作,团队所(suǒ)研(yán)发的安全虚(xū)拟桌面及安全云(yún)操作系统(tǒng)已经(jīng)获(huò)得公安部最高安全等级的增强级产品测评认证。
目前,全球进入大数(shù)据时代,数据呈现爆发式(shì)增长的同时,也带来了前(qián)所未有的风险与安全挑战。《中(zhōng)华人(rén)民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)的颁布,旨在(zài)搭建一个更为全面的数(shù)据安全(quán)保障体系。这不仅体现了国家对数据战略的重大考(kǎo)量(liàng),也(yě)给相(xiàng)关的网络安全(quán)企业(yè)带来了重(chóng)大机(jī)遇。
卫士通作为一家(jiā)以保护国(guó)家(jiā)网(wǎng)络(luò)空间安全为(wéi)己(jǐ)任的公司(sī),20多年来一直在国家重要行业信息系统的信息安全保障中发挥着重要作用,当下的《数据安全(quán)法(草案)》的出台,对卫士通而言,既(jì)是机遇,也是挑战。为(wéi)此,记者采访(fǎng)了(le)卫士通副(fù)总(zǒng)经理张剑,就《数(shù)据安全法 (草案 )》、对企业的挑战(zhàn)与机遇(yù),以(yǐ)及公(gōng)司在数据安(ān)全领域的(de)布局等问题,进行了沟通(tōng)交流(liú),现整理如下(xià),以飨读(dú)者(zhě)。
记者:您如何评价刚(gāng)出台(tái)的《数据安全法(fǎ)(草案)》?
张剑:《数据安全法(草案)》的出台,首先从宏观(guān)层面上明确了国家的大数据发展战略是引导安全需求要与(yǔ)数据的开发利用(yòng)相结合,不是为了保护而保护。同时(shí),草案从立法层面确立了我国数据安全治理与监(jiān)管体系,表明数(shù)据安全已成为(wéi)事关国家安全与经济社(shè)会发展的(de)重大关键(jiàn)点。国家(jiā)关于数据安全的总体(tǐ)战略(luè),是鼓励数据活动的各方共同参与数据安全的保护(hù)工作,并且对开展数(shù)据活动的主体、相(xiàng)关(guān)的(de)监管部门提出了义(yì)务和(hé)安全责任。
在(草案)中,对数据的定(dìng)义、数据各参与方(fāng)的责(zé)任和(hé)义务(wù)都进行(háng)了清(qīng)晰的厘(lí)定,明确规(guī)定了数据保护的主体(tǐ)责(zé)任和义务是进行数据活(huó)动(dòng)的主体(tǐ),特(tè)别规(guī)范(fàn)了国家机关在进行政(zhèng)务信息(xī)开(kāi)放时的责任和义(yì)务。国家相关部门(行业(yè)主管(guǎn)部门、公安(ān)机关(guān)、网信部(bù)门等(děng))从监管的角度规(guī)范数据处理的(de)环境(jìng),国家(jiā)将从数据的安全风险评估、监(jiān)测预(yù)警、应急处置和安全审查四个(gè)方面进行数(shù)据(jù)安全的监管(guǎn)。
其次,国家也(yě)规范(fàn)了在线数据处理和数据(jù)交易,要求专门提供在线数(shù)据处理等服务的经营者需要依(yī)法取(qǔ)得经(jīng)营业务许可或者备案。针对个人信息、重要(yào)数据和涉(shè)密数据的处理者(zhě)来说,都需要采取合法、正当的方式,并有保护的义务(wù),包括在(zài)境内开展(zhǎn)数(shù)据活动的(de)境外(wài)组(zǔ)织。再次,国家要求数据活动主(zhǔ)体加强风险监测(cè),针(zhēn)对重要(yào)数(shù)据的处理者还应定期(qī)开展(zhǎn)风险评估(gū),并(bìng)向有(yǒu)关主管部门(mén)报(bào)送风(fēng)险评估(gū)报告。
综(zōng)上所述,《数据安全法(草案(àn))》可以说为国家(jiā)后续规范数据活(huó)动环境、保(bǎo)障数据安(ān)全奠定了基础(chǔ)。
记者:《数据安全法(草案(àn))》的出台对数据安全产业领(lǐng)域中(zhōng)的企业有(yǒu)何重(chóng)要意义?
张(zhāng)剑:可以(yǐ)看到,数据安全法(fǎ)的(de)最大(dà)特点是在鼓励数(shù)据流动、共享、乃至交易的情况下, 确保(bǎo)数(shù)据的安(ān)全,与此同时,国(guó)家正在最大(dà)限度地推动各行各业的大数据开放(fàng)和共享。数据这一新的生产(chǎn)力已经逐步成(chéng)为各行(háng)业信息(xī)化中的(de)基本共识。这样强有力(lì)的政(zhèng)策驱动对产业界而言,无(wú)疑是重大的市场机遇。
与此同时,在大(dà)数据背景下,数据类型多样(yàng)化、数据交换共享手段的多样化,以及用户场景和需求的极大丰富,导(dǎo)致产业界(jiè)在技术和(hé)产品中出现了诸多(duō)新(xīn)的挑战,如行业(yè)数(shù)据的安全分级、结构化和(hé)非结构化数据的识别和标(biāo)记、数据(jù)流动全过程溯(sù)源和安全(quán)治理(lǐ)、业务(wù)全(quán)过程中(zhōng)的数据流动风险评(píng)估、隐私数(shù)据的(de)安全计算、多方数据共(gòng)享中的多方计算等问题的出现带动了传统数据安全企业的转型(xíng),以及一(yī)大批数(shù)据安全创新公司的出(chū)现。
因此,数据安全产业(yè)在概(gài)念、内涵、技术、产品各个方面,都已(yǐ)出现了(le)巨大变化,成为网络安全领域中一个全新的热点,处于(yú)一个快(kuài)速的产业(yè)发展期(qī)。
记者:请您谈谈,卫士通目(mù)前的技术沉淀(diàn)、创新和产品研发情况,与其他数(shù)据(jù)安全企(qǐ)业相(xiàng)比,其优势在(zài)哪里?《数据安全法(草案)》对贵司带来哪些影响,又将如何布局?
张剑:着力(lì)于(yú)数据安全这一热点(diǎn)领域(yù),确保数据的机密性是其根本和起(qǐ)点,而在这(zhè)个方(fāng)向上,卫(wèi)士通拥有着(zhe)“红色基因(密码(mǎ))、蓝色(sè)底蕴(yùn)(科技)”的先天优势。同时,基于对数据安(ān)全(quán)法(fǎ)的深入理解,在国家推动(dòng)数(shù)据流动和共享(xiǎng)的新(xīn)形势下,针对不同(tóng)行业(yè)中不同性质和不同类(lèi)型数据(jù)流动(dòng)共享时(shí)的保护场景,卫士通充分结(jié)合自身的(de)密(mì)码优势,以打造覆盖(gài)数据流动全周(zhōu)期的安全治(zhì)理体(tǐ)系为目标,在数据识别与自(zì)动分(fèn)级(jí)、数据标(biāo)记、数据脱敏和(hé)降(jiàng)级、数据库和文件(jiàn)加密、数据流动全过程溯源等(děng)方向开(kāi)展关键技术布局;并已初步形成以(yǐ)数据安全治理平台、数据(jù)脱敏系统、数(shù)据分级工具、数据(jù)库加(jiā)密产品、数据密(mì)标产品为代表的系列化产品(pǐn);并(bìng)与业界友商形成广泛的合(hé)作(zuò)和整合,建立了数据安全的“生态圈”,具(jù)备多(duō)个行业应用场景下的数据(jù)安全整体解决方案的提供能(néng)力。
记(jì)者:《数据安全法(草案)》背景(jǐng)下,作为业(yè)内首个全(quán)服务化政务云安全项目,“成都(dōu)市政务云——数据安全治理项(xiàng)目”对整个行业有何重要意(yì)义?
张剑:“成都(dōu)市政务云——数据安全(quán)治理项目(mù)”可(kě)以说是政务领域一(yī)个较为完整和典型(xíng)的数据安全治理案例。成都市的数据安全(quán)共享、数据开放(fàng)、数据治理以及数据利用模(mó)式呈现出典型化和多(duō)样(yàng)化的(de)特质。典(diǎn)型化在(zài)于成都市作为(wéi)一个一线(xiàn)的副省级城(chéng)市(shì),其数据(jù)交换和共(gòng)享(xiǎng)场景(jǐng),以及数据覆(fù)盖的委办局类型具备(bèi)普遍的代(dài)表性(xìng);而多样化(huà)则在于成都市政(zhèng)务大数据的交换、汇集和处理(lǐ)的场景丰富,且政(zhèng)务数据种类也呈现(xiàn)出(chū)多样(yàng)化的特点。
该(gāi)项目(mù)的顺(shùn)利落(luò)地具备重要的(de)示(shì)范意(yì)义,也将产生深远(yuǎn)的影响(xiǎng)。首先,它表明在复杂(zá)的城市级政务数据应用场景下,数(shù)据安全治理的可行性以(yǐ)及实现效果是良好的。基于我们(men)的解(jiě)决方案,数(shù)据安全管理部门(mén)可以实现上万类政务数据的有序分级、全场景下数(shù)据流动(dòng)的全过程追溯、不同场景下数(shù)据的有效(xiào)控制和防(fáng)护,以及基(jī)于数据(jù)级别的安(ān)全防护策略(luè)的动态协同。其(qí)次,该项目在政务(wù)数据安全治(zhì)理中,实现(xiàn)了诸多(duō)创新,且对于其他城市级的数据(jù)安全治(zhì)理有一(yī)定的参(cān)考价值,包(bāo)括:结合人工(gōng)智(zhì)能技术实现(xiàn)政务数据的识别(bié)与(yǔ)分级,力(lì)图建立市级政务数据(jù)的分(fèn)级分类标准;综(zōng)合运(yùn)用多(duō)种数据标记(jì)方法,对数据在共享交换(huàn)、数据汇(huì)集(jí)、市县(xiàn)共享等不同场景下(xià)实现(xiàn)标记跟踪;通(tōng)过打通与资源目(mù)录、共享交换等数据(jù)资源体系中的关(guān)键组件的接(jiē)口,获取数据流动日志,实现数据流动全过程的追(zhuī)溯;基于数(shù)据标(biāo)记识别数据的安全级别,并以此为基(jī)础实现各类数据安(ān)全(quán)防护设(shè)备的策略协同。
最(zuì)后,在该项目实施过程中我们遇到的问题和经验总结,也对其他城市数(shù)据安全治理有(yǒu)一定的借鉴意义,包括:实施(shī)过程中前置机的安全责任以及安全措施之间的关系,数据交换系统、数据共享系统(tǒng)与数(shù)据标记之间的融合, 如何以最小的代价将安全与业务相结合,让业务流程、应用的改造(zào)量最小,实现效益最大化。
记者:众所周知,《数据(jù)安全法(草案)》的出台将更(gèng)加(jiā)凸显数(shù)据(jù)安全(quán)的重(chóng)要性,密(mì)码应用将(jiāng)在数据安全(quán)方(fāng)面(miàn)起(qǐ)到什么样的作用(yòng)?
张剑:从数据安全的角度(dù)讲,密码是基础性(xìng)的(de)保证,能够确保数据在(zài)各种场景(jǐng)下的机密性。这也是卫士通为什么一直在致(zhì)力于数据加密。从最初的文件(jiàn)加密,到现(xiàn)在的数据库加密(mì), 再到基于密码的数据多方安(ān)全共(gòng)享等,密码技(jì)术(shù)始终是其核心和灵魂。与此(cǐ)同时,数据加(jiā)密新的(de)场景也(yě)对密(mì)码算法和密码(mǎ)的应用带来了新的挑战,例如在数(shù)据多方计算和多方共享的场景中,就对密码算法带(dài)来了新的挑战(zhàn),需要提供具备实(shí)用性的(de)密文计算(suàn)或多(duō)方(fāng)计算的算法, 在“数据不(bú)见面(miàn)”情况(kuàng)下实(shí)现数据有效(xiào)利(lì)用。
同时,数据安全关(guān)注度的极(jí)大提高,也(yě)会给内嵌了密码机制的各种数据(jù)交(jiāo)互的应(yīng)用带来(lái)更多机遇,卫士通一(yī)直致(zhì)力于为党政高安全用(yòng)户提供内嵌(qiàn)安全属性和密码属性的应(yīng)用(yòng),如(rú)橙(chéng)邮、橙讯等;采用这样的方(fāng)式,能(néng)够(gòu)很好地做到应用中进行数据(jù)交换或者(zhě)数据(jù)流动时,对(duì)数据(jù)的(de)机密性加以保护。
记者:《数(shù)据安全(quán)法(草案)》对政企(qǐ)的(de)数(shù)据安全(quán)建设提出了明确要求,您认为当前(qián)政(zhèng)企数据安(ān)全建设存在哪(nǎ)些问题(tí)和挑战?
张剑:从政(zhèng)府角度讲,最大的问题就(jiù)是如何通(tōng)过数(shù)据安全治理的思路来打通(tōng)整个政(zhèng)府(fǔ)数据共享和交换路径的通道。
具体而言,首先,政(zhèng)务数据的分级和分类目(mù)前没有清(qīng)晰的标准和法(fǎ)规(guī)的(de)引(yǐn)领。从(cóng)国家到地(dì)方,目前都还没有真正出台一(yī)部围绕政务数据的标准和法(fǎ)案,从而(ér)导致没有具体、有法可依、可操(cāo)作(zuò)性的规范(fàn)抓手(shǒu),进而(ér)也就(jiù)没有形成(chéng)一个(gè)规范性(xìng)的解决思路或指导性(xìng)意见,因此(cǐ)数(shù)据分级问(wèn)题(tí)很难(nán)在实际当中有效(xiào)开展(zhǎn)。
其次(cì),政(zhèng)府如何科学有效监(jiān)管?在目前(qián)大力推动政府数据(jù)的交(jiāo)换、共(gòng)享、开放(fàng)的大背景下(xià), 如何对数据的(de)流(liú)动(dòng)、流向进行有效监(jiān)管,掌握数据流动的(de)全过(guò)程;同时,如(rú)何整(zhěng)合当(dāng)前的各种离散(sàn)的数据安全防护(hù)手(shǒu)段,建立以数据属性为核心的一体化数据安全防护策略,实现对数据(jù)流动中(zhōng)的统一有效管控,也是(shì)当下(xià)的一个挑战和难点。
对企业而言,国家正在积极(jí)推动商业秘密数据的保护,国资委、国家保密局都已经出台了相(xiàng)关的要求和(hé)文件,央企首当其(qí)冲(chōng)面临着如(rú)何实(shí)现(xiàn)内部商业秘密(mì)数据(jù)的有序安(ān)全、流(liú)动的问题。从文件产生,到文件通过邮件、即(jí)时通信、网盘等多种方(fāng)式进行交换,再(zài)到接收方打(dǎ)开和阅读(dú)文件的全(quán)过程中,如何识别商业秘(mì)密数据、如何进行(háng)标记,如何在产生、交换、阅读过程中(zhōng)进行(háng)管控,亟需完善的数据安全解决方案。
目前,卫士(shì)通结合自身在数据标记(jì)、数据加密等方面的技术和产品积(jī)累,与(yǔ)业界的合(hé)作伙伴积极(jí)对接(jiē),形成(chéng)支持结构化和非结构化数(shù)据(jù),支撑(chēng)各种数据交(jiāo)换手段,具备较高自(zì)动化水平的商业(yè)秘密(mì)数据(jù)识别和(hé)标记能力,覆(fù)盖数据交换全链条(tiáo)的商业秘密数(shù)据保护方案。
记(jì)者:从《数据安全法(草案)》可以(yǐ)看到国家的数(shù)据安全(quán)整体布局,请问卫(wèi)士通将在其中扮演什么样的(de)角色?
张剑:首(shǒu)先,我们希望(wàng)把(bǎ)密(mì)码的基因发(fā)挥到(dào)极(jí)致。在数(shù)据安全的(de)治理体系当中,有诸(zhū)多环节都离不开密(mì)码,其重要性不言而喻,为(wéi)此可以放大(dà)密码基因,在(zài)我们原(yuán)有的文(wén)件(jiàn)加密、数据库加密等方式上进一步放大(dà),并且积极去(qù)寻求和各种应用场景(jǐng)的对接,让其在数据安(ān)全中的作(zuò)用发挥得更出色。
其次,结合对(duì)国家在政企数据保护的政(zhèng)策、标准、法(fǎ)规的研究(jiū),以及卫士(shì)通公司在数据安全领域的实践,可以看(kàn)到未来数据安全治理将围绕数据(jù)内容,打造以内容为核心的数据(jù)安全治理和(hé)防护体(tǐ)系(xì)。在该体系(xì)当中(zhōng),卫士(shì)通将(jiāng)打造(zào)针对数据内容(róng)的数据(jù)分级和(hé)识(shí)别、数据标记, 以及数据溯源的能力,从(cóng)而在未来的数据(jù)安(ān)全产业链条中占据产业上(shàng)游的技术和产品(pǐn)供应商地(dì)位,同时通过(guò)整合和合作(zuò),形成完整的数据安全解决(jué)方案的提(tí)供能力。
