卫士通信息产业股份有限公司(sī)副总经理
张 剑(jiàn)
张剑(jiàn),卫(wèi)士通(tōng)信息产业股份有限公司副总经(jīng)理、高级工(gōng)程师,负责公司在云安全、数据安全以及(jí)安(ān)全服务等业务领域(yù)的(de)技术能力和产品规划等工(gōng)作,拥有信息安全领域十余年从业经验,曾先后荣获省级、部级(jí)及军(jun1)队科技进(jìn)步奖(jiǎng),并作为系统总师参与军队(duì)多个重大系(xì)统的信(xìn)息安(ān)全体系设(shè)计(jì),先(xiān)后参与工信部、国(guó)家保密局及公安部(bù)的云计算(suàn)及大数据安(ān)全标准(zhǔn)的拟制(zhì)工作,并作为ITU会员参与国际电联相关云计(jì)算安全(quán)标准的讨论(lùn)和研(yán)究工作,团(tuán)队(duì)所研发的安全虚拟桌面及安全云操(cāo)作(zuò)系统已(yǐ)经获得公安部最高(gāo)安全等级的增强级(jí)产品(pǐn)测评认证。
目前,全球进(jìn)入大数据时代,数据呈(chéng)现爆发式增长的同时,也带来了前所(suǒ)未(wèi)有(yǒu)的(de)风险与安全挑战(zhàn)。《中华(huá)人民(mín)共和国数据安(ān)全法(草案)》(以下简称《数(shù)据安全法(草案)》)的颁布,旨在(zài)搭建(jiàn)一(yī)个更为(wéi)全面的数据安全(quán)保障体系。这不仅体现(xiàn)了国家对数据战略的重(chóng)大考量(liàng),也给相(xiàng)关的网络安全企(qǐ)业带来了重大机遇。
卫士通作为(wéi)一家以保护国家网络空间(jiān)安全为己任的公司,20多年来一直在国(guó)家重(chóng)要行业信息系统的信(xìn)息安全保(bǎo)障中发(fā)挥着(zhe)重要作用,当下的《数据安全法(草案)》的出台,对(duì)卫士通而(ér)言,既是机遇(yù),也是挑战(zhàn)。为此,记者采访(fǎng)了卫士通副总经理张剑,就《数(shù)据安全法 (草案 )》、对(duì)企业(yè)的(de)挑战(zhàn)与机(jī)遇,以(yǐ)及公司在数据安全领域的布局(jú)等问题,进行了沟通交流,现(xiàn)整(zhěng)理如下,以飨读者。
记者:您如何评价刚出台的《数据安全(quán)法(草案)》?
张剑:《数据安(ān)全(quán)法(草案(àn))》的出台,首先从宏观(guān)层面上明确了国家的大数据发展战略是(shì)引导安全需求要与数据的开发利用相结合,不是为(wéi)了(le)保(bǎo)护而保护。同时,草案从立(lì)法层面确立了我国数据安全治理与监(jiān)管体(tǐ)系,表(biǎo)明(míng)数据安全已成为事关国家安(ān)全与经济社会发展的重大关键点。国家关于数据安全的总体战(zhàn)略,是(shì)鼓励数据(jù)活动的各方共同(tóng)参与(yǔ)数(shù)据安全的保(bǎo)护工作,并且对(duì)开展数据活(huó)动的主体、相关的监管部门提出了义务和安(ān)全责任。
在(草案(àn))中,对数据(jù)的定义、数据各参与方的(de)责任和(hé)义(yì)务都进(jìn)行了清晰的厘(lí)定,明确规(guī)定了数据保(bǎo)护的主体(tǐ)责任和义(yì)务(wù)是进(jìn)行数据(jù)活动的(de)主体,特别规(guī)范了(le)国家机(jī)关在(zài)进行政务信息开(kāi)放时的责任和(hé)义务。国家相关部门(mén)(行业主管部门(mén)、公(gōng)安(ān)机关、网信部门等)从监管的角度规范(fàn)数据处理的环境,国家将从数据的安(ān)全风险评(píng)估、监测预警、应急处置和安全(quán)审查四个方面进行数(shù)据安全的监(jiān)管。
其次,国家(jiā)也规范(fàn)了在(zài)线数据处理和(hé)数据交易(yì),要求专门提供在线数据(jù)处理(lǐ)等服务的经营者需要依法取得经营业(yè)务许可(kě)或者备案。针对(duì)个人信(xìn)息、重要数据和涉密数据的处理者来说,都需要采(cǎi)取合法、正(zhèng)当的方式,并有保护的义务,包括(kuò)在境内(nèi)开(kāi)展数据活(huó)动(dòng)的境外(wài)组织。再次,国家要求数据活动主体加强风险监测,针对重要数据的处理者(zhě)还应定(dìng)期开展(zhǎn)风险评估,并向有关主(zhǔ)管部门报(bào)送风险评估报(bào)告。
综上所(suǒ)述(shù),《数据(jù)安全法(草案)》可以说为国家后(hòu)续规范数据(jù)活动环境、保障数据安全奠定了基础。
记者:《数据安全(quán)法(草(cǎo)案)》的出(chū)台(tái)对数据安全产业领域中(zhōng)的(de)企业有何重(chóng)要意(yì)义?
张剑:可以看到,数据安全法的最大特点是在鼓励(lì)数据(jù)流(liú)动(dòng)、共享、乃至交易的情况下, 确保数据的安全,与此同时,国家(jiā)正(zhèng)在最大限度地推动(dòng)各行各业的大(dà)数(shù)据开(kāi)放和共享。数据这一新的(de)生产(chǎn)力已经逐步成为各行业信息化中的基本(běn)共识。这样强有(yǒu)力的(de)政策驱动对产业界而言,无疑是重大(dà)的市场机遇。
与此同时,在大数据背景下,数据(jù)类型多样化、数据交换共享手(shǒu)段的多(duō)样化,以(yǐ)及用户场景(jǐng)和需求的极大丰富,导致(zhì)产业界在(zài)技术和产品中出现了诸多新(xīn)的挑战(zhàn),如(rú)行业数据的安全分级、结(jié)构化和非(fēi)结构化数(shù)据的(de)识别和(hé)标记、数(shù)据(jù)流(liú)动全过程溯源和(hé)安全治(zhì)理、业务全(quán)过程中的数据流动风险评估、隐(yǐn)私(sī)数据的安(ān)全计算、多方数据(jù)共(gòng)享中的(de)多方计(jì)算等问题(tí)的出现带动了传统数据安全企业的转型,以及一大批(pī)数据安(ān)全创新公司的出现。
因此,数据安(ān)全产业在概念、内涵、技术、产品各个方面,都已出现(xiàn)了巨大变化,成为(wéi)网络安全(quán)领域中一个全新的(de)热(rè)点,处于一个快(kuài)速的产业(yè)发展(zhǎn)期。
记者:请您谈(tán)谈,卫士通目前的技术沉淀、创新和(hé)产品研发情(qíng)况,与其他数据安(ān)全企(qǐ)业相比,其优势在哪里?《数据(jù)安全法(草案)》对贵司带(dài)来哪些影响,又将如何布局?
张(zhāng)剑(jiàn):着(zhe)力于数据安全这(zhè)一热点领(lǐng)域,确保(bǎo)数据的机密性是其根(gēn)本和起点,而在这个方向(xiàng)上,卫士(shì)通拥有着“红色基因(密码)、蓝色(sè)底蕴(科技)”的先(xiān)天(tiān)优势(shì)。同(tóng)时,基(jī)于(yú)对数据安全法的(de)深入(rù)理解,在国家推动数据流(liú)动和共享的新(xīn)形势(shì)下,针对不同行业中不同性质和不(bú)同(tóng)类型数据流(liú)动共(gòng)享时的保护场(chǎng)景(jǐng),卫士通充分结合自身的密码优势,以打造(zào)覆盖(gài)数据流动(dòng)全周期的安全治理体系为目标,在数据识别与(yǔ)自动(dòng)分级、数据(jù)标(biāo)记、数据脱敏和降级(jí)、数据库和文件(jiàn)加密、数据流动全过程溯源等方向开(kāi)展关键技术布局;并已初(chū)步(bù)形成以数据安全治理平台、数(shù)据脱(tuō)敏(mǐn)系统、数据分级(jí)工(gōng)具、数据库加密产品、数(shù)据密标(biāo)产品为代表的系列化产品;并与业界友(yǒu)商(shāng)形成广泛的合作(zuò)和(hé)整合,建立了数(shù)据安全的“生态圈”,具备多个(gè)行业应用场景下的(de)数据安(ān)全整体解决方案的提供能力。
记者(zhě):《数据安(ān)全法(草案)》背(bèi)景下,作为业内首个全服(fú)务化政务云安全项目,“成都市政(zhèng)务云——数据安全治理项(xiàng)目”对整个行业有何重(chóng)要(yào)意义(yì)?
张剑:“成都市政务云——数据安全治理项目”可以(yǐ)说是政务领域一(yī)个较为完(wán)整和典型的数据(jù)安全治理案例。成(chéng)都市的(de)数(shù)据安全共(gòng)享、数据开放、数据(jù)治理以及数据利用模式(shì)呈现出典型化和多样(yàng)化的特质。典型化在于成都市作(zuò)为一个(gè)一线的副(fù)省级城市,其数据交换(huàn)和共(gòng)享场景,以及数据(jù)覆盖(gài)的委办局类型具备普遍的代表性(xìng);而多样(yàng)化则在(zài)于成都市政务大数(shù)据的交换、汇集和处理(lǐ)的场景丰富,且政务数据种类也呈(chéng)现出多样化的特(tè)点。
该项目的顺利落地具备重(chóng)要的示范意义,也将产生深远的影响(xiǎng)。首先,它(tā)表明在复杂的城市级政务数据(jù)应用场(chǎng)景下,数(shù)据安(ān)全治理的可行性以及实现效果(guǒ)是良好的(de)。基于(yú)我们的解决方案,数据安全(quán)管理部门可以实现上万类政务数(shù)据的有(yǒu)序分级、全场景下数据流(liú)动的全过(guò)程追溯、不同场景下(xià)数据(jù)的(de)有效控制和防护,以及基于数(shù)据级别的安(ān)全防护策略的动态(tài)协同(tóng)。其次,该项目在政务数据安全治理中,实现(xiàn)了诸多创(chuàng)新,且(qiě)对于其他城市级的数据安全治(zhì)理有一定的参考价值,包括:结合人工智能技术实现政务数据的(de)识(shí)别与分(fèn)级,力图建立市级政务数据的分级分类标(biāo)准;综(zōng)合运用多种数据(jù)标记方(fāng)法(fǎ),对(duì)数据(jù)在共享交换、数据汇集、市县共享等不(bú)同场景下实现标记跟踪;通过打通(tōng)与资源目录、共享交换等(děng)数据(jù)资(zī)源体系中(zhōng)的关(guān)键组件的接口,获取数据流(liú)动(dòng)日志,实现数据流动全(quán)过程(chéng)的追溯;基于数据标记识别数据(jù)的安全级别,并以此为(wéi)基(jī)础实现(xiàn)各类数据(jù)安全(quán)防护设备的策略协同。
最后,在该项目实(shí)施过(guò)程(chéng)中我们遇到(dào)的(de)问题和经验总结,也(yě)对其他城市数据安全治理有一定的借鉴意义,包括:实施过程中前(qián)置机(jī)的安全责任以及安全措施之间的关(guān)系,数据交换系统、数据共享系统(tǒng)与数据标(biāo)记之间的融合, 如(rú)何以最小的代价将安(ān)全与业(yè)务相结合(hé),让业(yè)务流程、应(yīng)用的(de)改造量最小(xiǎo),实现效(xiào)益最大化。
记(jì)者:众所周知,《数(shù)据安全法(草(cǎo)案)》的出台将(jiāng)更加凸显数据安全的重要(yào)性,密码应用将在数据(jù)安全方面起到什么样(yàng)的作用?
张(zhāng)剑:从数据安全的角(jiǎo)度讲,密码是基础性的保(bǎo)证,能够(gòu)确保(bǎo)数据在各种场景下的机密性。这也是卫士通为什么一(yī)直在(zài)致力于数据加密。从(cóng)最初的文件加密,到现在的数据库加密, 再到基于密码(mǎ)的数(shù)据多(duō)方安全共享等,密码技术始终是其核心和灵魂。与此同时(shí),数据加密新的(de)场景也对密码算(suàn)法和密(mì)码的应用(yòng)带来了新的挑战,例(lì)如在数据多方计(jì)算和多方共享的(de)场景中,就(jiù)对(duì)密(mì)码算法带来了新的挑战,需要提供(gòng)具备实(shí)用性的密文计算或多方(fāng)计(jì)算(suàn)的算法(fǎ), 在“数据不见面”情况(kuàng)下(xià)实现数据有效利用。
同时,数据安全关(guān)注度的极大提高,也会(huì)给内嵌了密(mì)码机制的各种数据交互的(de)应用带来(lái)更多机(jī)遇,卫(wèi)士通一(yī)直致(zhì)力(lì)于为党政高安全用(yòng)户提供(gòng)内嵌安全属(shǔ)性和密码(mǎ)属性的应用(yòng),如橙邮、橙讯等(děng);采用这(zhè)样的方式,能够很好地(dì)做到应用(yòng)中进行数据(jù)交换(huàn)或者数据流动(dòng)时,对数据的机(jī)密性(xìng)加以保护(hù)。
记者:《数据安全法(草(cǎo)案)》对政企的数据安全建设提出了明(míng)确要求,您认为当前(qián)政企数据安全(quán)建设存在哪些问题和挑战?
张剑:从政府角度(dù)讲,最大的问题就是如何通过数据安全治(zhì)理的思路来打通整个政(zhèng)府数据共享和(hé)交换路径的通道。
具(jù)体而言,首先(xiān),政(zhèng)务数据的分级和分类(lèi)目前没有清(qīng)晰的标(biāo)准和(hé)法规的(de)引(yǐn)领。从国家到地方,目(mù)前都还没有真正出台一部围绕政务数据的标(biāo)准和法案,从而导致没有具体、有(yǒu)法可依(yī)、可操作性(xìng)的规范(fàn)抓手,进而也就没有形成一个规范性的解决思路(lù)或指(zhǐ)导(dǎo)性意见,因此数据分级问题很难在实际当中有效开展。
其次,政府如何科学(xué)有效(xiào)监(jiān)管?在目前大力推动(dòng)政府数据的交换、共(gòng)享、开放的大背景下, 如何对(duì)数据(jù)的流动、流向进(jìn)行有效监(jiān)管,掌握数据流动的全过(guò)程;同时,如何整合当前的各种离散(sàn)的数据安全(quán)防护手段(duàn),建立以数(shù)据属性为核心的一(yī)体化数据安全防(fáng)护策略,实现对(duì)数据流动中(zhōng)的统一(yī)有效管控,也(yě)是当下的一个(gè)挑战和(hé)难点。
对企业而言,国家正在(zài)积极推动(dòng)商业秘密数(shù)据(jù)的保护,国资委、国(guó)家保密局都已(yǐ)经出台了相关的要求和文件,央(yāng)企(qǐ)首(shǒu)当其冲(chōng)面临着(zhe)如何实现内部商(shāng)业(yè)秘密数据的有序(xù)安全、流动的问题。从文件产生,到文件通过邮件、即时通(tōng)信、网(wǎng)盘(pán)等多种方式进(jìn)行交换,再到接(jiē)收(shōu)方打开和阅读文件的全过程(chéng)中,如何(hé)识别商(shāng)业秘密数据、如何进(jìn)行标记,如何在产生(shēng)、交换(huàn)、阅读过程(chéng)中(zhōng)进行(háng)管控,亟需(xū)完善的数据安全解决(jué)方案。
目前,卫士(shì)通结合自(zì)身(shēn)在数据标记、数据(jù)加密等方面的技术(shù)和产品积累,与业界的(de)合作伙伴积极对接,形成支持结构化和非(fēi)结构(gòu)化数据,支撑各(gè)种数据交换手段,具备较高自动化水平的(de)商业秘(mì)密数据识别(bié)和标记能力(lì),覆盖数据交换全链条的(de)商业秘密数据保护方案(àn)。
记者:从《数据安全法(草案)》可以看到国(guó)家的数(shù)据安全整体(tǐ)布局,请问卫士(shì)通将(jiāng)在其(qí)中(zhōng)扮演(yǎn)什么(me)样(yàng)的角色?
张剑:首先,我(wǒ)们希望把密码的基因发挥到极致。在数据安(ān)全的治理(lǐ)体系当中,有(yǒu)诸多环节都离不开密码,其重要(yào)性不言而(ér)喻(yù),为此可以放大密码基(jī)因,在我们原有的文件加密(mì)、数据库加密等方式上(shàng)进一步放大,并且积极去寻求和(hé)各种应用场景的(de)对接(jiē),让其在数(shù)据安全(quán)中的作用(yòng)发(fā)挥得更出(chū)色。
其次,结合(hé)对国家在政企数据保护的(de)政策、标准、法规的研究,以及卫士通公司在数据安全领域的实践(jiàn),可(kě)以看到未(wèi)来数据(jù)安全治理将围绕数据内容,打(dǎ)造以内容为核(hé)心(xīn)的数据安全治理和防护(hù)体(tǐ)系。在该(gāi)体系当中,卫士通将打造针对数据(jù)内容的数据分(fèn)级和识别、数据标记(jì), 以及数据溯源的能力,从而在(zài)未来的数据(jù)安(ān)全产业链条中占据产业上(shàng)游的技术和产品供应商(shāng)地位,同时通过整合和合(hé)作,形成完整(zhěng)的数据安全解决方案的提供(gòng)能力(lì)。
