卫士通信息产业股份有限公司副总经理(lǐ)
张 剑
张剑,卫士通(tōng)信(xìn)息产业股份有限(xiàn)公(gōng)司副总经理、高级(jí)工程师(shī),负责公司在(zài)云安全(quán)、数据安全以及(jí)安全服务等业务(wù)领(lǐng)域的技术(shù)能力和产品规划等工作,拥有信息安全(quán)领域(yù)十余年(nián)从业(yè)经验(yàn),曾先后荣获省级、部级及军队科技进步奖,并作为系统总师参与军队多个重大系统的信(xìn)息安全体系设(shè)计,先(xiān)后(hòu)参(cān)与(yǔ)工信部、国家保密局及公安部(bù)的云(yún)计算及大数据安全标准的拟制工作,并(bìng)作(zuò)为(wéi)ITU会员参与国际电联相(xiàng)关云计算安全标准的讨论(lùn)和研究(jiū)工作,团队所研发的安全虚拟桌(zhuō)面及(jí)安全(quán)云操作系统(tǒng)已经获得公安部最高安(ān)全等级的增强(qiáng)级产品测(cè)评认证。
目前,全球进入大数(shù)据时代,数据呈现爆发式增长的同时,也(yě)带来了前(qián)所未有的风险与安全挑战。《中华人民共和(hé)国数(shù)据安全法(fǎ)(草案)》(以下简称《数(shù)据安(ān)全法(草案)》)的颁布,旨在(zài)搭建一个更为全面的数据安全保障体系。这不仅体现了(le)国(guó)家对数据战略的重大考量,也给相关的网络安全企业带来了重大机遇。
卫士(shì)通作为(wéi)一家以保(bǎo)护国家(jiā)网络空间安全(quán)为己任(rèn)的公(gōng)司,20多年来一直(zhí)在国家重要行业(yè)信息系(xì)统的信息安全保障中发挥着重要作用,当下(xià)的《数(shù)据安全法(草案)》的出台,对卫士通而言,既是机(jī)遇,也是挑战。为(wéi)此,记者(zhě)采访了卫士通副总经理张(zhāng)剑,就《数(shù)据安(ān)全法(fǎ) (草案 )》、对企业的挑(tiāo)战(zhàn)与机(jī)遇,以及公司在数据安全(quán)领域的布局等问题,进(jìn)行了(le)沟(gōu)通(tōng)交流,现(xiàn)整理如下(xià),以飨(xiǎng)读者(zhě)。
记者:您如何评价刚出(chū)台的《数据安(ān)全法(草案(àn))》?
张剑(jiàn):《数据(jù)安全法(fǎ)(草(cǎo)案(àn))》的出(chū)台,首先(xiān)从(cóng)宏观层面上明确了国家的大数(shù)据发展战略是引导安全需求要与数据的开发(fā)利用相结合,不是为了(le)保护(hù)而(ér)保护。同时,草案从立法层面确立了我国数据安全治理(lǐ)与监管体系,表(biǎo)明(míng)数(shù)据(jù)安全已(yǐ)成为事关国家安全与经济社会发展的重大关键点。国家关于数据(jù)安全的总体战略(luè),是鼓励数据活动的各(gè)方(fāng)共同(tóng)参与(yǔ)数据(jù)安全的保护工(gōng)作(zuò),并且对开展数(shù)据(jù)活动的主体、相关的监管部门提出(chū)了义务和安全责任。
在(zài)(草案(àn))中,对数据的定义、数据各参与方的责任和义务都进行了清晰的厘(lí)定,明确规定了数(shù)据保护(hù)的主体责任和义务是进行数(shù)据活动的(de)主(zhǔ)体,特(tè)别规范了国(guó)家(jiā)机关在进行(háng)政务信息(xī)开放时的责(zé)任和(hé)义务。国家(jiā)相关部门(行业主(zhǔ)管部门、公(gōng)安机关、网信(xìn)部门等)从监(jiān)管的(de)角度规范数(shù)据处理的环境,国家将从(cóng)数据的安(ān)全风险评估(gū)、监测(cè)预警、应急处置(zhì)和安(ān)全(quán)审查(chá)四(sì)个(gè)方面进行(háng)数据安全的监管。
其次,国家也(yě)规范了在线数据处(chù)理和数据交易,要求专门提供(gòng)在线数据处理(lǐ)等服务的经营者需要依(yī)法(fǎ)取得经营业务许可(kě)或者备案。针对个人信息、重要数据和涉密数据的(de)处(chù)理者来说(shuō),都需要采取合法、正当的方式,并有保护的(de)义务,包括在(zài)境内开展数(shù)据(jù)活动的境外(wài)组织(zhī)。再(zài)次,国家要求数(shù)据活(huó)动(dòng)主体加强风(fēng)险(xiǎn)监测,针对重(chóng)要数据的处理者还应定期(qī)开(kāi)展风险评估,并向有关主(zhǔ)管部(bù)门(mén)报送风(fēng)险评估(gū)报告(gào)。
综上所述,《数据(jù)安全法(fǎ)(草案)》可以说为国家后(hòu)续规范数据活动环境(jìng)、保障数据安全奠定了基础(chǔ)。
记者:《数(shù)据安全法(fǎ)(草案)》的(de)出台(tái)对数据(jù)安全产业领域(yù)中的企业(yè)有何重(chóng)要意义?
张剑:可(kě)以看到,数据安全法的最大特点是在鼓励数据流动、共享、乃至交(jiāo)易的(de)情况下, 确(què)保数据的安全,与此同时,国家正在最大限度地推(tuī)动(dòng)各行(háng)各业的大数据(jù)开(kāi)放和(hé)共享。数(shù)据这一新的生产力(lì)已经(jīng)逐步(bù)成为各行业信(xìn)息化中的基本共识。这样强有力(lì)的政策(cè)驱动对产业界而言,无疑是重大的(de)市场机遇。
与此同(tóng)时,在大数据背景下(xià),数(shù)据类型多样化(huà)、数据交(jiāo)换共享手段的多样化,以(yǐ)及用户场景和需(xū)求(qiú)的极大(dà)丰富,导致产业(yè)界在技(jì)术和产品(pǐn)中出现(xiàn)了诸多(duō)新的(de)挑战,如行业数据的安全(quán)分级、结构化和非结构化数据的识别和标记、数据(jù)流动(dòng)全过程溯源(yuán)和安(ān)全(quán)治理、业务(wù)全过程中的数据流动风险评估、隐私数据的安全计算、多方数(shù)据共享中的多方计算等问(wèn)题的出现带动了(le)传统数据安全企业(yè)的转型,以及一大批数(shù)据安全创新公司的出现。
因此,数据安全产业在概念、内涵、技术、产品各个方面,都已(yǐ)出现了巨大变化,成为网络(luò)安全(quán)领域中一个全新的(de)热点,处于一个快速的产(chǎn)业发展期。
记者(zhě):请您谈谈,卫士(shì)通目前的技术(shù)沉(chén)淀(diàn)、创新和(hé)产品(pǐn)研发情(qíng)况,与其他数据安全企(qǐ)业相比,其优势在(zài)哪里?《数据安全法(草案)》对贵司带来哪些影响,又将如何布局(jú)?
张剑:着(zhe)力于数(shù)据安全这一热点领域,确保数据的机密性(xìng)是其根本和起点,而(ér)在这个(gè)方向上(shàng),卫士通拥(yōng)有着“红色基(jī)因(密码)、蓝色底蕴(yùn)(科技)”的先天优势。同(tóng)时,基于(yú)对数据安全法的(de)深入理解(jiě),在国家推(tuī)动(dòng)数(shù)据流动和共享(xiǎng)的新(xīn)形势下,针对不同行业中(zhōng)不同性(xìng)质和不(bú)同类型数据流动共(gòng)享时(shí)的保(bǎo)护场景,卫士通充分结合自身的(de)密码优势,以打造覆盖数据流动(dòng)全周期(qī)的(de)安全(quán)治(zhì)理体系为目标,在数据识别(bié)与自动(dòng)分级、数据标记、数据脱敏和降级、数据库和文件加密、数据流动全过程溯源等方向开展(zhǎn)关键(jiàn)技(jì)术布局;并已初步(bù)形(xíng)成以数据安全治理平台、数(shù)据脱(tuō)敏系统、数据分级工(gōng)具、数据库加密产(chǎn)品、数据密标产(chǎn)品为(wéi)代(dài)表的系列化产(chǎn)品;并与业界(jiè)友商形(xíng)成广泛的合作(zuò)和整(zhěng)合,建立了数据安全(quán)的“生(shēng)态圈”,具备多个行业应(yīng)用场景下的数据安(ān)全整体解(jiě)决方案的提供能(néng)力。
记者(zhě):《数据(jù)安全(quán)法(草案)》背(bèi)景下,作为业内(nèi)首个全服务化政务云安全项目,“成都市(shì)政务(wù)云——数据安全治(zhì)理(lǐ)项目”对(duì)整个行业有何重要意义?
张剑:“成都(dōu)市政务云——数据安(ān)全治理项目”可以说是政务领域一个较(jiào)为完整和典型的数(shù)据安全治理案例。成都市的数据(jù)安全共(gòng)享(xiǎng)、数据开(kāi)放、数据治理以(yǐ)及(jí)数据利用模式呈现出典(diǎn)型化和(hé)多样化的特质。典型化在于(yú)成都市作为一个一线的副省级城市,其数据交换和共(gòng)享场景,以及数(shù)据(jù)覆盖的委办局(jú)类型具备(bèi)普遍的代表性;而多样(yàng)化则在于成都市政务大数据的交换、汇集和处理的场景(jǐng)丰富,且政务数据种类也呈现出(chū)多样化的特点。
该项目的顺(shùn)利落地(dì)具备重要的示范意义,也将产生(shēng)深远的影响。首先,它表明在复杂(zá)的(de)城市级(jí)政务数据应用场景下,数据安全(quán)治理的可行性以及实现(xiàn)效果是良好的。基于我们的解决方案,数据安(ān)全管(guǎn)理部门可以实现上(shàng)万类政务数据的有序分级、全(quán)场景下数据流动(dòng)的全(quán)过程追溯、不同场景下数据(jù)的有(yǒu)效控制和防护,以及(jí)基于数据级别的(de)安(ān)全防护策略的(de)动(dòng)态协同。其次,该(gāi)项目在(zài)政务数据安全治(zhì)理中,实现了诸多创新,且对于其他(tā)城(chéng)市(shì)级的数据(jù)安(ān)全治理有一定(dìng)的参(cān)考价(jià)值,包括:结合人工(gōng)智能技(jì)术实(shí)现政务数据的识别(bié)与分级,力图建立市级政务数据的分级分(fèn)类标准;综合(hé)运(yùn)用多种数据标(biāo)记方法,对数据在共享交换、数据汇集、市(shì)县共(gòng)享等不同场景(jǐng)下实现标记跟踪;通过打通与(yǔ)资源目(mù)录、共享交(jiāo)换等数据资源体系中(zhōng)的关键组件的接口,获取数据流动日志,实现数(shù)据流(liú)动全过程(chéng)的追溯;基于数据标记识别数据(jù)的(de)安全级别,并以此为基(jī)础实现各类数据安全防护设备(bèi)的(de)策略协同。
最后,在该项目实(shí)施过程中我们遇到的问(wèn)题和经验总(zǒng)结,也对其他城(chéng)市数据安全治理有(yǒu)一定(dìng)的借鉴(jiàn)意(yì)义,包括:实(shí)施过程(chéng)中前置(zhì)机的安全责任以及安(ān)全措施之(zhī)间的(de)关(guān)系,数(shù)据交换系统、数据(jù)共(gòng)享系统与数据标记之间的融(róng)合(hé), 如何以(yǐ)最小(xiǎo)的(de)代价将安全与(yǔ)业务相结合(hé),让(ràng)业务流程、应用的(de)改(gǎi)造量最小,实现(xiàn)效益(yì)最大化(huà)。
记者:众所周知,《数据安全法(fǎ)(草案)》的出台将更加凸显数据安全(quán)的(de)重要性(xìng),密码应用将在数据(jù)安(ān)全方面(miàn)起到什(shí)么样的作用?
张剑:从数据安(ān)全的角度讲,密码是基础性的保证,能够确保(bǎo)数据在各种(zhǒng)场景下的机密(mì)性(xìng)。这也(yě)是卫士通为什么一直在致力(lì)于数据加密。从最初的文件加密,到现在的数据(jù)库加密, 再到(dào)基于密码的数(shù)据(jù)多方安全共(gòng)享(xiǎng)等,密码技术(shù)始(shǐ)终是其核心和(hé)灵魂。与此(cǐ)同(tóng)时,数据加(jiā)密新的场景也对密码算法(fǎ)和密(mì)码的应用带来(lái)了(le)新的(de)挑战,例如在数据多(duō)方计算和多方(fāng)共享(xiǎng)的(de)场景中,就对密码算法带来了新的挑战,需(xū)要提供具备实用性的(de)密文计算或多(duō)方计算的算(suàn)法(fǎ), 在“数据不见(jiàn)面”情况(kuàng)下实现数据有(yǒu)效利用。
同(tóng)时,数据安全关(guān)注度的极大提高,也会给内(nèi)嵌了密码(mǎ)机制的各种数据交互的应用带(dài)来更多机遇(yù),卫士通(tōng)一直致(zhì)力于(yú)为党政高安(ān)全用户提供内(nèi)嵌安全属性(xìng)和密码属性的应用,如橙邮(yóu)、橙讯等;采(cǎi)用这样的方(fāng)式,能够很(hěn)好(hǎo)地做(zuò)到应用中进行数(shù)据交换或者数(shù)据(jù)流(liú)动时(shí),对数(shù)据的机密性加以保(bǎo)护。
记(jì)者:《数(shù)据(jù)安(ān)全法(草(cǎo)案)》对政企(qǐ)的数据安(ān)全建设提出了明确(què)要(yào)求,您认为当前(qián)政企数据安全(quán)建设(shè)存在(zài)哪些(xiē)问题和挑战?
张剑:从政府角度(dù)讲,最大的问题就(jiù)是如何通过数据(jù)安(ān)全治理的思(sī)路来打(dǎ)通整个政府(fǔ)数(shù)据(jù)共享和交换路径的通道。
具体(tǐ)而言,首先,政务数据的分级和分(fèn)类目前没有清(qīng)晰的(de)标准和法规的引(yǐn)领。从国家到地方(fāng),目前(qián)都还没有(yǒu)真正出台(tái)一部(bù)围绕政(zhèng)务(wù)数据的(de)标准和(hé)法案,从(cóng)而导(dǎo)致没(méi)有(yǒu)具体、有法可依、可操作性(xìng)的规范抓(zhuā)手,进而也就没有形成(chéng)一个规范性的(de)解(jiě)决(jué)思路或(huò)指导性意见,因此数据分级问题很难在(zài)实际当中有效(xiào)开(kāi)展。
其次,政府如何科学(xué)有效监管(guǎn)?在(zài)目前大力推动政府数据的交换、共享、开放的大背景(jǐng)下, 如何对数据(jù)的流动、流向进(jìn)行有效监管,掌握(wò)数据流(liú)动的全过(guò)程;同(tóng)时,如何整(zhěng)合当前的各种离散的数据(jù)安全(quán)防护手(shǒu)段,建立以数据属性为核心的(de)一体(tǐ)化数据安全防(fáng)护策略,实现对数据(jù)流动中的统一有效管控(kòng),也是当下的(de)一(yī)个挑(tiāo)战和难点(diǎn)。
对(duì)企业而言,国家正在积(jī)极推动商(shāng)业(yè)秘密数据的保护,国资委、国家保密局都已经出台了相(xiàng)关的(de)要求和文件(jiàn),央企(qǐ)首当(dāng)其冲面临着如(rú)何实现(xiàn)内(nèi)部商业秘密数据(jù)的有序安(ān)全、流动的(de)问题。从文件产生,到文(wén)件(jiàn)通(tōng)过邮件、即时通信、网盘等多种方式进行交换,再到接收方打开和阅(yuè)读文件的全(quán)过程中(zhōng),如何识(shí)别商业秘密数(shù)据(jù)、如何进行标记(jì),如(rú)何在产生、交换、阅读过程中进行管控,亟需完善的数据安全解决方案。
目前,卫士通结合自身在数据标记(jì)、数据加密(mì)等方(fāng)面的技术和产品(pǐn)积(jī)累,与(yǔ)业(yè)界的合作伙伴积极对接,形成支持结构化和非结(jié)构化数(shù)据,支撑各种数据(jù)交换手段,具备较高(gāo)自动(dòng)化(huà)水平的商(shāng)业秘密数据识别(bié)和(hé)标记能力,覆(fù)盖数据(jù)交换全(quán)链条(tiáo)的商业秘密数据保(bǎo)护(hù)方案(àn)。
记者(zhě):从《数据(jù)安全法(fǎ)(草案)》可以看到国家的数(shù)据安全整(zhěng)体布(bù)局,请(qǐng)问卫士(shì)通将在(zài)其中扮演什(shí)么样的角色?
张(zhāng)剑:首先(xiān),我们希望把密码的基因(yīn)发(fā)挥到极致。在(zài)数据安全的(de)治理体系(xì)当中,有诸多环节都离不开密码,其重要性不(bú)言而喻(yù),为此可(kě)以(yǐ)放(fàng)大密码(mǎ)基(jī)因(yīn),在我(wǒ)们原有(yǒu)的文(wén)件加密、数据库加密等方式上(shàng)进(jìn)一步(bù)放大,并且积极(jí)去寻求(qiú)和各种(zhǒng)应用场景的对接,让其在(zài)数(shù)据安全中的作用发挥得(dé)更出色。
其(qí)次,结(jié)合对国家在政企数据保护的政策(cè)、标准、法规的研究(jiū),以及卫士(shì)通公司(sī)在数(shù)据安全领域的(de)实(shí)践,可(kě)以看到未(wèi)来(lái)数据安全治(zhì)理将(jiāng)围(wéi)绕数据(jù)内容,打造以内容为核心的数据安全治理和防护体系。在该体系当中,卫士通将打造针对数据内(nèi)容的(de)数(shù)据分级和识别、数据标(biāo)记(jì), 以及数据溯源的(de)能力,从(cóng)而在(zài)未(wèi)来的数据安全产业链条中占据产业上游的技术和产品供应商地位(wèi),同(tóng)时通过整合和合作,形成完整的数据安全(quán)解决方案的提供(gòng)能(néng)力。
