卫士(shì)通(tōng)信息产业股份有限(xiàn)公司副总经理
张 剑
张剑,卫士通(tōng)信息产业股份有限公司副总(zǒng)经理(lǐ)、高级工(gōng)程师,负责公司(sī)在云安全、数据安全以及安全服务等(děng)业(yè)务领域的技术(shù)能力和产品(pǐn)规划等工作,拥有信息安全领域(yù)十余年(nián)从业经验,曾先后荣获省级、部级及军队科技进步奖(jiǎng),并作为(wéi)系统总师参与军队多个重(chóng)大系统的信息安全体(tǐ)系设计,先(xiān)后参与工信部、国家保密局(jú)及公(gōng)安部的云计算及大数据(jù)安全标准的拟制工(gōng)作,并作为(wéi)ITU会员参与国际(jì)电联相关云计算安(ān)全标准的讨论和(hé)研究工作,团队(duì)所研发的安全虚拟桌面及安(ān)全云(yún)操作系统已经获得公安部最高安全等级(jí)的增强级产品测评认(rèn)证。
目(mù)前,全球进入大(dà)数据(jù)时代,数据呈现爆发(fā)式增长的同时,也带来了(le)前(qián)所(suǒ)未有(yǒu)的风险与安全挑战。《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(fǎ)(草案(àn))》)的(de)颁(bān)布(bù),旨在搭建(jiàn)一个更为全面(miàn)的数据安全(quán)保障体系。这(zhè)不仅体现(xiàn)了(le)国(guó)家对(duì)数据战略的重大考(kǎo)量,也给相关的网络安全(quán)企(qǐ)业带来了重大机(jī)遇。
卫士通作为一家以保护国家网络(luò)空间安全为己任的(de)公司,20多年(nián)来一直在国家重要(yào)行业信息系统(tǒng)的信息安全保障中发挥着重(chóng)要作用(yòng),当下(xià)的《数据安全法(fǎ)(草案(àn))》的出台,对卫士通而言,既是机遇,也(yě)是挑战。为此,记者采访了卫士通副总经理张剑,就《数据(jù)安全法 (草(cǎo)案 )》、对(duì)企业的挑(tiāo)战(zhàn)与机遇(yù),以(yǐ)及公司在数(shù)据安全领域的布局等(děng)问题,进行了沟(gōu)通交流,现整理如下,以飨读(dú)者。
记(jì)者(zhě):您(nín)如(rú)何评(píng)价刚出台的《数(shù)据安全法(草案)》?
张(zhāng)剑:《数据安全法(草案)》的(de)出台,首先从宏观层面上明确了国家的大数据发(fā)展战略是引(yǐn)导安全需求要与数(shù)据(jù)的开发利用相结合,不是为了保护而保护。同(tóng)时,草案从立法层面确立了我国(guó)数据安(ān)全治理与监(jiān)管体(tǐ)系,表明数(shù)据(jù)安全已成为事关国家安(ān)全与经济社(shè)会发展的重大(dà)关键点。国(guó)家关于数据安全的总体战略,是鼓(gǔ)励数据活动(dòng)的(de)各(gè)方共(gòng)同参与数据安全的保护工作,并且对(duì)开展数据活动的主(zhǔ)体、相关的监管部门提出了(le)义务(wù)和(hé)安全责任(rèn)。
在(草案)中,对数据的(de)定义(yì)、数(shù)据各参与方的(de)责(zé)任和(hé)义务(wù)都进行了清晰的厘(lí)定,明确规定了数据保(bǎo)护的主体责任和义务是进行数据活动的主体,特别规范了国家(jiā)机关在进行政务(wù)信息(xī)开放时的责任和义务。国家相关部门(行业主管部门、公安机关、网信部(bù)门等)从监(jiān)管的(de)角度(dù)规范(fàn)数(shù)据处理的环境(jìng),国(guó)家将从(cóng)数(shù)据的安全风险评估、监测(cè)预警、应(yīng)急处置和(hé)安全审(shěn)查四个方面进行数据安全的监管。
其次,国家也规范了(le)在线数据处理和数据交易,要求专(zhuān)门提供在线数据处理等(děng)服务的经(jīng)营者需要依法取得经营业务许可或(huò)者备案(àn)。针对(duì)个人信息、重(chóng)要(yào)数据和(hé)涉密(mì)数据的(de)处(chù)理者(zhě)来说(shuō),都需要采取合法、正当(dāng)的方式,并有保护(hù)的义务,包括在境内开展数(shù)据活动的境外组织。再次,国家要求数据(jù)活动主体加强风险监(jiān)测,针对(duì)重要数据的(de)处理者还应定期开展风险评估,并(bìng)向有关主管部(bù)门报送(sòng)风险评估报告。
综上所述,《数据安全法(fǎ)(草(cǎo)案(àn))》可(kě)以(yǐ)说为国家(jiā)后续(xù)规范数据活动环境、保障数据安全奠定了基础。
记者:《数据安全法(草案)》的出台对数据安全产业领域中(zhōng)的企业(yè)有何重要(yào)意义?
张剑:可以(yǐ)看到,数据安全法(fǎ)的最大特(tè)点是在鼓励数据流动、共享、乃至交易的情况下, 确保数据(jù)的(de)安全,与此同(tóng)时,国家正(zhèng)在最大限度(dù)地推动各行各业的大数据开放和共享。数(shù)据这一新的生产力已经逐步成为各行业信息(xī)化中的基本(běn)共识。这样强有力(lì)的政策驱动对产业界而言,无疑是重大的市(shì)场机(jī)遇。
与此同时,在大数据背景下,数据类型多样化、数据交(jiāo)换(huàn)共享手段的(de)多样化,以及用户场景和需求的极大丰富,导致产业界(jiè)在技术(shù)和产品(pǐn)中出现了诸(zhū)多新的挑战,如行业(yè)数据的安全分级、结构化和非结构化数据的识别和标记、数据流动(dòng)全过程溯源和(hé)安全(quán)治理、业务(wù)全过程中的数据流动风险评估、隐私数(shù)据的安全计(jì)算(suàn)、多方数(shù)据共享中的多(duō)方计算等问题的出(chū)现(xiàn)带动了传统数据(jù)安全企业的转(zhuǎn)型(xíng),以及一大批数据安全创(chuàng)新公(gōng)司(sī)的出现。
因此,数据安全产业(yè)在概念、内(nèi)涵、技术(shù)、产品各个方面(miàn),都已(yǐ)出现了巨(jù)大变化,成为网(wǎng)络安全领域中一个全新的热(rè)点(diǎn),处于一个(gè)快速的产业发(fā)展期。
记(jì)者:请您谈谈,卫士(shì)通目前的技术沉淀(diàn)、创新和(hé)产品研发情况,与其(qí)他数据安全企(qǐ)业(yè)相比,其(qí)优势在哪里?《数据(jù)安全法(草案(àn))》对贵司带来哪些(xiē)影响,又将如何布局?
张剑:着(zhe)力于数据安全这一热点领域(yù),确保数据的机密性(xìng)是其根本和起点,而(ér)在这(zhè)个方向上,卫士通拥有着“红色基因(密码)、蓝色(sè)底蕴(科技)”的先天优势。同时,基(jī)于对(duì)数据安全法的深(shēn)入理(lǐ)解,在国家推动数(shù)据流动和共享的新(xīn)形(xíng)势下,针对不同行业中不同性(xìng)质和不同类型(xíng)数据流动共享时(shí)的保护场景,卫(wèi)士通充(chōng)分结合自身的(de)密码优势(shì),以打造覆盖(gài)数据流动全周(zhōu)期的安(ān)全(quán)治(zhì)理体系为目标,在数据识别与自(zì)动分级、数据(jù)标记、数(shù)据脱敏和降级、数据(jù)库和(hé)文件加密、数据流动全过程溯源等方向(xiàng)开展(zhǎn)关键技术(shù)布局;并(bìng)已初步形(xíng)成以数据(jù)安全治理(lǐ)平(píng)台、数(shù)据脱敏系统、数(shù)据(jù)分级工具、数据(jù)库加密产品、数(shù)据密标(biāo)产品为代表的系(xì)列化产品;并与业界友商形成(chéng)广泛的(de)合作和整合,建立了(le)数据安全的(de)“生态圈(quān)”,具备(bèi)多个行业应(yīng)用(yòng)场景(jǐng)下的数据安(ān)全整体解决方案(àn)的(de)提供能力。
记者:《数据安全法(草案)》背景下(xià),作为业内首个全服务(wù)化政务云安全项目,“成都市(shì)政(zhèng)务云——数据安全(quán)治理(lǐ)项目”对整个行业有何重要意(yì)义?
张剑:“成都市政务云——数据(jù)安全治理项目”可以说是政务领域一个较为完整和典型(xíng)的数据安(ān)全治理(lǐ)案(àn)例。成都市的数据安全(quán)共享、数据开放、数据治理以及数据利用(yòng)模式呈现出典型化和多样(yàng)化的特质。典型化在于成都市作为一个一线的副省级城市,其数据交换和共(gòng)享场景,以(yǐ)及数据覆盖的委办局类型(xíng)具备(bèi)普遍的代表性;而多样化则在于成都市政务大数据的交换、汇集和处理(lǐ)的场(chǎng)景(jǐng)丰富,且政(zhèng)务(wù)数据(jù)种类也呈现(xiàn)出多样化(huà)的特点(diǎn)。
该(gāi)项目的顺利落地具(jù)备(bèi)重要(yào)的示范意义,也将(jiāng)产生深(shēn)远的(de)影响。首先,它表明在复杂的城市级政务数(shù)据应用(yòng)场景(jǐng)下,数据安全治理的(de)可行性以及实现效果是良好的。基于我们(men)的(de)解决方案(àn),数(shù)据(jù)安全管理部(bù)门可以实现上万(wàn)类政务数据的有序(xù)分级、全场景下数据流动的(de)全(quán)过(guò)程追溯(sù)、不同场景下数据的有效控制(zhì)和防护,以及基于数据级别的安全防护(hù)策略的动(dòng)态协同(tóng)。其次,该项(xiàng)目在政务数据安全治理中(zhōng),实(shí)现了(le)诸多创新,且对(duì)于其他城市级的数据安全治理有一定的参考(kǎo)价值,包括:结合人工智能技术实现政务数据的识别与分(fèn)级(jí),力图建立市级政务(wù)数(shù)据的分级分类(lèi)标准;综合运用多种数据标(biāo)记方法,对(duì)数据(jù)在共享交换、数(shù)据汇集、市县共享等不同场景下实现标记跟踪;通过打通与资源目录、共享交换等数据资源体系(xì)中的关键组件的接口(kǒu),获取数据流动日(rì)志,实(shí)现数据流动全过(guò)程的追溯;基于(yú)数(shù)据标记识别数(shù)据的安全级别,并以此为基础(chǔ)实现(xiàn)各类数据安全防(fáng)护设备的(de)策略协同(tóng)。
最后,在该项目实施过程中我们(men)遇到的(de)问题和经验总结(jié),也对其他城市数据安(ān)全治(zhì)理有一(yī)定(dìng)的借鉴意义,包括:实施过程(chéng)中前(qián)置(zhì)机的安全责任以及安(ān)全措(cuò)施之间的关系,数据交换系(xì)统(tǒng)、数据(jù)共(gòng)享系统与(yǔ)数据标记之(zhī)间(jiān)的融合, 如何以最小的代(dài)价将安(ān)全与业务相结合,让业务流(liú)程(chéng)、应用(yòng)的改造量最小,实现效益最大化。
记者:众所周知(zhī),《数据(jù)安全法(草案)》的出台(tái)将更加凸显数据安全的重(chóng)要性,密码应用(yòng)将在数据安全(quán)方面(miàn)起到什么样(yàng)的作用?
张(zhāng)剑:从数(shù)据安全的角(jiǎo)度讲(jiǎng),密码是基(jī)础性的(de)保证,能够(gòu)确保数(shù)据在(zài)各种场(chǎng)景下的(de)机密(mì)性。这(zhè)也是(shì)卫士(shì)通为什么一直在致力于数据加密。从最初的(de)文件加密,到现在的数据库(kù)加密, 再(zài)到基于密码的(de)数据(jù)多方安全共(gòng)享等,密码技术始终是(shì)其核心和(hé)灵魂(hún)。与此(cǐ)同时,数据加密新的场景也对密码算(suàn)法和密码(mǎ)的应用带来了新的挑(tiāo)战,例如在(zài)数据多方计算和多方共(gòng)享(xiǎng)的场景中(zhōng),就对(duì)密码算法带来了新的挑战,需要(yào)提供具备(bèi)实用性的密(mì)文计算或多方计算(suàn)的(de)算法, 在“数据不(bú)见面”情况下实(shí)现数据有效利用。
同时,数据安全关注度的极大提高,也会给内(nèi)嵌了密码机制的各(gè)种数(shù)据交互的应用带来更多(duō)机遇,卫士通一(yī)直致力于(yú)为党政高安全(quán)用户提(tí)供(gòng)内(nèi)嵌安全属(shǔ)性(xìng)和密码属性的应用(yòng),如橙邮、橙讯等;采(cǎi)用这样(yàng)的(de)方(fāng)式(shì),能够很好地做到(dào)应用中进行数据交换或者数据流动时,对数据的机密性加以保护。
记者:《数据安全(quán)法(草案)》对政企(qǐ)的数据安全建设(shè)提出(chū)了明确要求,您认为(wéi)当前政企数据安全建设存(cún)在哪些问题和挑战?
张剑:从政府角度讲,最大(dà)的问题就是(shì)如何通过数据安全治理的思路来打通整(zhěng)个政府数据共享和(hé)交换路径(jìng)的通道。
具体而言,首先,政务数据的(de)分级(jí)和分类(lèi)目前没有清(qīng)晰的标准和法规的(de)引领。从国家到地方,目(mù)前都还没有真正出台一部围绕(rào)政(zhèng)务数据的标准和法案,从而导致(zhì)没有具体、有法可依、可操(cāo)作(zuò)性的规范抓手,进(jìn)而也就没有形成一个规范性的解决思路或指导性意见,因此数据分(fèn)级(jí)问(wèn)题很难(nán)在实际当中有(yǒu)效开展。
其次,政府如何科学有效监管?在目前大(dà)力推动政府数据的交换、共享、开放的大背景下(xià), 如何对数据的(de)流动、流向进行(háng)有效监管,掌握数据流动的全过程;同时,如何整(zhěng)合当前的各种离散的数(shù)据安全防护(hù)手段,建立以数(shù)据属性为核心的(de)一体化数据安全防护策略(luè),实现对数据流动(dòng)中的统(tǒng)一有效管(guǎn)控,也(yě)是当(dāng)下的一个挑战和(hé)难点。
对企业而言,国家(jiā)正在积极推动商业秘密数(shù)据的保(bǎo)护,国(guó)资(zī)委、国(guó)家保密局都已经(jīng)出台了相关的要求和文件(jiàn),央企首当其冲面临着如何实现内部商业秘密(mì)数(shù)据的有序安全、流动的问题。从文件产生(shēng),到文件(jiàn)通(tōng)过(guò)邮件、即(jí)时通信(xìn)、网盘等多(duō)种方式进行交换(huàn),再到接收方打开和(hé)阅读文件的全过程中(zhōng),如何识别(bié)商业秘密(mì)数据、如何进行(háng)标记(jì),如何在产生(shēng)、交换(huàn)、阅(yuè)读过程中进行(háng)管控,亟需完善(shàn)的数据安全解决方案。
目前,卫士(shì)通结(jié)合自身在数据标记、数据(jù)加密(mì)等(děng)方(fāng)面的技术和产品积累,与业界(jiè)的合作伙(huǒ)伴积(jī)极(jí)对接,形成支(zhī)持结构化和非结构化数据,支撑各种数据交(jiāo)换手段,具备较高自(zì)动(dòng)化水平的商业秘密数(shù)据识别和标记能力,覆盖数据(jù)交(jiāo)换全(quán)链条的商(shāng)业秘密(mì)数据保(bǎo)护方案。
记者:从《数据安(ān)全法(草(cǎo)案)》可以看(kàn)到国家的数据(jù)安(ān)全整体(tǐ)布局,请问卫士通将在其中扮演什么(me)样的角色?
张(zhāng)剑:首先,我们希望把(bǎ)密码的基因发挥到(dào)极(jí)致。在数据安全的治理体系当中,有诸多环节都离不开密码,其重要性不言而喻,为此可以放(fàng)大密(mì)码(mǎ)基因(yīn),在(zài)我(wǒ)们原有的文件加密、数据库加密等方式上进一步放大,并且积极去寻求和(hé)各种应用场景(jǐng)的对接(jiē),让其(qí)在数据安全中的作用发(fā)挥得更出色。
其次,结合(hé)对国家(jiā)在政(zhèng)企(qǐ)数据保护的政(zhèng)策、标准、法(fǎ)规的研究,以及卫士(shì)通公司在数据安(ān)全领域的实践(jiàn),可(kě)以看到未(wèi)来(lái)数据安全治理将围绕数据内容(róng),打造以内容为核心的(de)数据安全治理和防(fáng)护体系(xì)。在该(gāi)体(tǐ)系当中,卫士通(tōng)将(jiāng)打造针(zhēn)对数据内容的(de)数据分级(jí)和(hé)识别、数据标记, 以及(jí)数(shù)据溯源的能力,从而在未来的(de)数(shù)据安全产业链条中占据产业上(shàng)游的技术和产品供应商地位,同时通过整合和合作,形成(chéng)完(wán)整的(de)数据(jù)安全解(jiě)决方(fāng)案的提供(gòng)能力。
