卫士通信(xìn)息(xī)产业股份有限(xiàn)公司(sī)副总经理
张(zhāng) 剑
张剑,卫士通信息产业股份(fèn)有限(xiàn)公司副总经(jīng)理、高级工程师(shī),负责公司在云安(ān)全、数据安全以及(jí)安(ān)全服务等(děng)业务领域的技术能(néng)力(lì)和(hé)产(chǎn)品规划等工作,拥有信(xìn)息安全领域十余年从业经验(yàn),曾先后荣获省级、部级及军(jun1)队科技进步(bù)奖,并(bìng)作为系统总师参与(yǔ)军队多个重大(dà)系统(tǒng)的信息安全体系设计(jì),先后参与工信部、国家保(bǎo)密局(jú)及公安(ān)部(bù)的云计算(suàn)及大数据安全标准的拟制(zhì)工作(zuò),并作为ITU会员(yuán)参(cān)与国际电联相(xiàng)关云(yún)计算(suàn)安(ān)全标准的讨论和研究工作,团队所(suǒ)研发的安全(quán)虚拟桌面及安全云操作系统(tǒng)已经获得公(gōng)安(ān)部最高安(ān)全等级的(de)增强(qiáng)级产(chǎn)品测评认证。
目(mù)前(qián),全球(qiú)进入大数据时代,数据呈现(xiàn)爆发(fā)式增(zēng)长的同时,也带(dài)来(lái)了(le)前(qián)所(suǒ)未有的风险与安全挑战。《中华人民共和国数据安全法(草案(àn))》(以(yǐ)下简称《数据安全法(草案)》)的颁布(bù),旨在(zài)搭建一个更(gèng)为全面(miàn)的数据安全保(bǎo)障体(tǐ)系。这不仅体(tǐ)现了(le)国家对数据(jù)战略的重大(dà)考量,也给相关的网络安全企(qǐ)业带来了重大机遇(yù)。
卫士通作为一家以(yǐ)保护国家网(wǎng)络空(kōng)间(jiān)安全为己任的公司,20多年来一(yī)直在国家(jiā)重(chóng)要行业(yè)信息(xī)系统(tǒng)的(de)信息安全保(bǎo)障中(zhōng)发(fā)挥着重要(yào)作用,当下(xià)的《数(shù)据安全法(草(cǎo)案)》的出台,对卫士(shì)通而言,既是机遇,也是挑战。为此,记(jì)者采访了卫士通副总经理张剑(jiàn),就《数(shù)据安全法 (草(cǎo)案 )》、对企业的(de)挑战与机遇,以及公(gōng)司在数据安全领域的布局等问题,进(jìn)行了沟通交流,现(xiàn)整(zhěng)理如下,以飨读者(zhě)。
记者:您如(rú)何评价刚出(chū)台的(de)《数据安全法(草案)》?
张剑:《数据安全法(草案)》的出(chū)台(tái),首先从宏观层面上明确了国家的大(dà)数(shù)据发展战略(luè)是引导安全需求要与数据的开发(fā)利用相(xiàng)结合,不是为了保护(hù)而保(bǎo)护。同时,草(cǎo)案从立(lì)法层面确立了我国数据安全治理与监管体(tǐ)系(xì),表明数(shù)据安全已成为(wéi)事关国(guó)家安全与经济社会发展的重大关键点。国家关于数据安全的总体战略,是鼓励数据活动(dòng)的各方共同(tóng)参与数据安全(quán)的保护工作,并且对开(kāi)展数据活动(dòng)的主体、相关的监(jiān)管部门提出了义务(wù)和安(ān)全责任。
在(草(cǎo)案)中,对(duì)数据的定义、数据各参与方的(de)责(zé)任(rèn)和义务都(dōu)进行了清(qīng)晰的厘定(dìng),明确(què)规定(dìng)了数据(jù)保护的主体责(zé)任和义务是进行数据活动的主体,特(tè)别规(guī)范(fàn)了国家机关在进(jìn)行政(zhèng)务信息开放时(shí)的责任和义(yì)务(wù)。国家相关部(bù)门(行业主管部门、公安机关、网(wǎng)信部门等)从监(jiān)管的角度(dù)规范数据处(chù)理的环境,国家(jiā)将(jiāng)从数据的安全(quán)风(fēng)险(xiǎn)评估、监测预警、应(yīng)急处置和安全审查四个方面进(jìn)行数(shù)据安(ān)全(quán)的监管。
其次,国家也规(guī)范了在线数据(jù)处(chù)理和数据交易,要(yào)求(qiú)专门提供在(zài)线数(shù)据处理(lǐ)等服务的经营者需(xū)要依法取得经营业务许可或者备(bèi)案。针对个人(rén)信息、重要数据和涉密数据的(de)处理者来说(shuō),都(dōu)需要采(cǎi)取合法、正(zhèng)当的方式,并有保(bǎo)护的义(yì)务(wù),包括在境内开展数据活动(dòng)的境外组织。再次,国家(jiā)要(yào)求数(shù)据活动主体加强风险(xiǎn)监测,针对重要数据(jù)的处理者(zhě)还应定(dìng)期开展风险(xiǎn)评估,并向(xiàng)有关主(zhǔ)管部门报(bào)送(sòng)风险(xiǎn)评估报告。
综(zōng)上所述,《数据(jù)安全法(草案)》可以说为(wéi)国家后续规范数据活动环境、保(bǎo)障数据(jù)安全奠定了基础。
记者:《数(shù)据安全法(草案)》的(de)出台对数据安全产业领域中的企业(yè)有(yǒu)何重要意义?
张剑:可以看到(dào),数据(jù)安全法(fǎ)的最大特点是在鼓励数据流动、共享、乃(nǎi)至交易的情况下, 确保数(shù)据(jù)的安全,与此同时,国家正在最大限度地推动各(gè)行各业(yè)的大数据(jù)开放(fàng)和共享。数(shù)据这一新的生产力已经逐步(bù)成为各行业(yè)信息化中的基本共识。这样强有力的政策(cè)驱动对产业(yè)界而言,无(wú)疑是重大的市场机遇。
与此同时,在大数据背(bèi)景下,数据类(lèi)型多(duō)样化、数据交换共享手段的(de)多样化,以(yǐ)及用(yòng)户(hù)场景和需求的(de)极大丰富(fù),导(dǎo)致产业界在技术(shù)和产品中出现了诸多新的(de)挑战,如(rú)行业数据的(de)安全分级、结构化和非结(jié)构化数(shù)据的识别和标(biāo)记、数据流(liú)动全过(guò)程溯(sù)源和安全(quán)治理、业务(wù)全过程中(zhōng)的数据流(liú)动风险评估(gū)、隐(yǐn)私数(shù)据的安全计算、多方数据共享中的多方计算等(děng)问题(tí)的出现(xiàn)带动了传统(tǒng)数据(jù)安全(quán)企业的转型,以及一大批(pī)数据安全创新公司的出现。
因此,数(shù)据安全产业在概念、内涵、技术、产品(pǐn)各个方(fāng)面(miàn),都已出现了巨大(dà)变(biàn)化(huà),成为网络安全领域(yù)中一个全新的热点,处于一个快速的产业发展(zhǎn)期。
记者:请您谈(tán)谈(tán),卫(wèi)士通目前的(de)技术沉淀、创新和(hé)产品研发情况(kuàng),与其他数(shù)据安(ān)全企(qǐ)业相比,其优势在哪里?《数据安全(quán)法(草案)》对贵司带来哪些影响,又将如何(hé)布局?
张剑:着力于(yú)数据安(ān)全这一热点(diǎn)领(lǐng)域(yù),确(què)保数据的机密性是其根本和起点,而在(zài)这个方(fāng)向上,卫士通拥有着“红色基因(yīn)(密码)、蓝色底蕴(科技(jì))”的先天优势。同时,基于(yú)对数据(jù)安全法的深入理解,在国家推动数据流动和共享的新形势下(xià),针对不同行业中不(bú)同性质和(hé)不同类型数(shù)据流动(dòng)共享(xiǎng)时的(de)保护场景(jǐng),卫士通充分(fèn)结(jié)合自(zì)身(shēn)的(de)密码优势,以打(dǎ)造覆(fù)盖数据(jù)流动全周期(qī)的安全治(zhì)理体系(xì)为目(mù)标,在数据识(shí)别与自(zì)动分级、数据标记、数据脱敏和降级、数据库和文件加(jiā)密(mì)、数据流动(dòng)全(quán)过程(chéng)溯源(yuán)等方向(xiàng)开展关键技(jì)术布局(jú);并已初步形成以(yǐ)数(shù)据安(ān)全治(zhì)理平台、数据(jù)脱(tuō)敏系统、数据(jù)分级工(gōng)具、数据库加密产品、数据(jù)密标产品为代表的系(xì)列化产品;并(bìng)与业界友商(shāng)形成广泛的合(hé)作和整(zhěng)合(hé),建立了数据安全的“生态圈”,具备(bèi)多个行业应用(yòng)场景下的数据安(ān)全整体解(jiě)决(jué)方案的提(tí)供能力。
记者:《数据安全法(草案)》背景下(xià),作为业内首个(gè)全(quán)服务化政务云安全项目(mù),“成都市政务云——数(shù)据安(ān)全治理项目”对整个行业有何(hé)重要意义?
张剑:“成都市政务云——数据(jù)安全治理项(xiàng)目”可(kě)以(yǐ)说是(shì)政务(wù)领域一个较(jiào)为完整和典型的(de)数据安全治(zhì)理(lǐ)案例。成(chéng)都市的数据安全共享(xiǎng)、数据开放、数据治理以及数据利用模式(shì)呈现(xiàn)出(chū)典型化和多样化的特质。典型化在于成都市作为一个一线的副(fù)省级城市,其数据交换和共享场景,以及数据覆盖的委办局类(lèi)型具备(bèi)普遍的代表性(xìng);而(ér)多样(yàng)化则在于成都市政务大(dà)数据的交换、汇集和处理的场(chǎng)景丰富,且政务数据(jù)种类也呈现出多样化的(de)特点(diǎn)。
该项(xiàng)目的顺利落地具备(bèi)重要的示范意义(yì),也(yě)将产生深远(yuǎn)的(de)影响。首先,它表明在复杂的城市级(jí)政务数据应用场景下,数据安(ān)全治理的(de)可(kě)行(háng)性以及实现效果是良(liáng)好的。基于我们(men)的(de)解决方案,数据(jù)安全管(guǎn)理部门可以实现上万类政务数据的有序分级、全(quán)场景下数据流动的(de)全过(guò)程(chéng)追溯、不同(tóng)场景下数据(jù)的有效控制和防护,以及基于(yú)数(shù)据级别的安全防护策略的动态协同。其次,该项目在政务数据安全治理中,实现了诸(zhū)多(duō)创新,且对(duì)于其他城市级(jí)的(de)数据安全治理(lǐ)有一定的参考价值,包括(kuò):结合(hé)人工(gōng)智能技术实现政务(wù)数(shù)据的识别与(yǔ)分级,力图建立市级政务数据的(de)分级分类标准;综合运用多种(zhǒng)数据标记方法,对(duì)数(shù)据(jù)在(zài)共享交换、数据(jù)汇集、市县共享等(děng)不同场景下实现(xiàn)标记跟踪;通(tōng)过(guò)打通与资(zī)源目录、共享交换等数据资源体系中的关(guān)键组件的接(jiē)口,获取数据流(liú)动日(rì)志,实现数据流动全过程的追溯;基(jī)于数据标记识别数据的安全级别(bié),并以此为基础实现各类数据安全防护设(shè)备(bèi)的策略协同。
最后,在该项目实施过程中我们遇到(dào)的问(wèn)题和经验总结(jié),也对其他(tā)城市(shì)数据安全治(zhì)理有一定的借鉴意义,包括:实施过程中前置(zhì)机的安全责任以及安全措施之间的关系,数据交换系统、数(shù)据共享(xiǎng)系统与数(shù)据标记之间的融合, 如何以最小的代价将安全(quán)与(yǔ)业务相(xiàng)结(jié)合,让业务流程(chéng)、应用的(de)改造量最小,实现效益最大化(huà)。
记者:众所周知,《数据安全法(草案)》的出台将更加凸显数据(jù)安全的(de)重要性(xìng),密(mì)码应用将在数据安(ān)全方面(miàn)起到什么样的作用?
张剑:从数据安全的角度讲(jiǎng),密码是基础性的保证(zhèng),能够(gòu)确保数据在各种(zhǒng)场景下的机密(mì)性。这也是卫士通为什么(me)一直在致力于数据加密。从最(zuì)初(chū)的文(wén)件(jiàn)加(jiā)密(mì),到现(xiàn)在的(de)数据库加密(mì), 再到基于密码的数据多方安全共享(xiǎng)等,密码技术(shù)始终是其核心和灵(líng)魂。与(yǔ)此同时,数据加密(mì)新的场景也对密码算法和密码的应用带(dài)来了新的挑战,例(lì)如在(zài)数据多方计算和多方共享的场景中,就对密(mì)码算法带来(lái)了新的挑战,需要(yào)提(tí)供具备实用(yòng)性的密文计算或(huò)多方计算的(de)算法(fǎ), 在(zài)“数据不见面”情况下实现数据(jù)有效(xiào)利用(yòng)。
同时,数据安全(quán)关注度的极大提高,也会给内(nèi)嵌了密码(mǎ)机制的各种数据交互的应用带(dài)来更多机遇,卫(wèi)士通一直(zhí)致力于为党政高安全(quán)用户提供内嵌安全属性和密码(mǎ)属性的应用,如橙邮、橙讯等;采用(yòng)这(zhè)样的方式,能够很好地做(zuò)到应(yīng)用中进行数据交换或者数据(jù)流动时,对数据的机密性加以保(bǎo)护。
记者:《数据安全法(草案)》对政(zhèng)企的(de)数据安全建设提出(chū)了明确要求,您认为当前(qián)政企数据安全建设存在哪些问题和挑战?
张剑:从政府角度讲(jiǎng),最大的(de)问题就是(shì)如(rú)何通过数据安全治理的思路来打通整个(gè)政(zhèng)府数据共(gòng)享和交换路径(jìng)的通道。
具体而(ér)言,首先,政务数据的分(fèn)级和分类目前没有清晰的标准和法规的引领。从国家到地方,目前都还没有真正(zhèng)出台一部围绕政务数据的标准和法案,从而导致没有具体、有(yǒu)法可依、可操作性的规范抓手(shǒu),进而(ér)也就(jiù)没有形(xíng)成一个规范性(xìng)的解决(jué)思路或指(zhǐ)导性意见(jiàn),因此数据分级问题很难在实际当(dāng)中有效开展。
其次,政府如何科(kē)学有效监管?在目前大(dà)力推(tuī)动政府数据的交换、共享、开放的大(dà)背景下, 如何对数据的(de)流动、流向(xiàng)进行有(yǒu)效监(jiān)管,掌握数据流动的全过程;同时,如何(hé)整合(hé)当前的各种(zhǒng)离散的数(shù)据安全防护手段,建立以数据属性(xìng)为核心的一(yī)体化数(shù)据安全防护策略,实现(xiàn)对数据流动(dòng)中的统(tǒng)一有效管控,也是当下的一(yī)个挑(tiāo)战和难点。
对企业而言,国家正在积极推动商(shāng)业秘密数据的保护,国资委(wěi)、国家保(bǎo)密局(jú)都(dōu)已经出台了相关的要求和文件(jiàn),央企首当其冲面临着(zhe)如何实现内部商(shāng)业秘密数据的有序安全、流动的问题。从(cóng)文件产(chǎn)生,到文件通过邮件(jiàn)、即时通(tōng)信、网盘等多种方式进行交(jiāo)换(huàn),再到接(jiē)收方打(dǎ)开和阅读文件的全(quán)过程(chéng)中,如何(hé)识别(bié)商业秘密(mì)数(shù)据(jù)、如何进行标记(jì),如何在(zài)产生、交换、阅读过程中进行管控(kòng),亟需完善的数(shù)据安全(quán)解决方案。
目前(qián),卫(wèi)士通结(jié)合自身在数(shù)据标记、数据加密等(děng)方(fāng)面(miàn)的技术和(hé)产品积累,与业界的合作伙伴积极对接,形成支持结构化和非结(jié)构化数据,支撑(chēng)各种数据交换手段,具备较高(gāo)自动化水平的商业秘密数据识别和标记能(néng)力,覆盖数据交换(huàn)全链条的商业秘密(mì)数据保护方案。
记者:从《数据安全法(fǎ)(草(cǎo)案)》可以看到国家的数据安全整体(tǐ)布局,请(qǐng)问卫(wèi)士通(tōng)将在其中(zhōng)扮演什(shí)么样(yàng)的角(jiǎo)色?
张剑(jiàn):首先(xiān),我们希望把密码的基因(yīn)发挥(huī)到极致。在数据安全(quán)的治理体系当(dāng)中,有诸多环(huán)节(jiē)都离(lí)不开(kāi)密码,其重要性不言(yán)而喻,为此(cǐ)可以放大密码基因,在我们原有的文件加密、数据库加密等(děng)方式(shì)上进(jìn)一步放大,并(bìng)且积极去(qù)寻求和各(gè)种应(yīng)用场景的对接,让其在数据安全中(zhōng)的作用发挥得(dé)更(gèng)出色。
其次(cì),结合对国家在政企数(shù)据(jù)保护的政(zhèng)策、标准、法规的研究,以(yǐ)及(jí)卫士(shì)通公(gōng)司在数据安全领(lǐng)域的实践,可以看到(dào)未来数(shù)据安全治理将围(wéi)绕(rào)数据内容,打造以(yǐ)内(nèi)容为核心的数据安全治理和防(fáng)护(hù)体系(xì)。在该体系(xì)当中,卫士通将打造针(zhēn)对数据内容的数据分级和(hé)识别、数据标(biāo)记, 以(yǐ)及数据溯源的能(néng)力,从而(ér)在未来的数据安全(quán)产(chǎn)业链条中占据产业上游(yóu)的技术和产品供应(yīng)商地位(wèi),同时通(tōng)过整合和合作,形成完整的数据安全解决方案的提供(gòng)能力。
