卫(wèi)士通(tōng)信息产业股(gǔ)份有限公(gōng)司(sī)副总(zǒng)经理
张(zhāng) 剑
张剑(jiàn),卫士(shì)通信(xìn)息产业股(gǔ)份有限公(gōng)司副总经理(lǐ)、高级工程(chéng)师,负责公(gōng)司在云安全、数据(jù)安(ān)全以及安全服务等业务领域的技术能力和产品(pǐn)规划等(děng)工作,拥有信(xìn)息安全领域十(shí)余年从业经验,曾先后荣获(huò)省(shěng)级、部级(jí)及(jí)军队科技进步奖,并作为系统总师(shī)参与军队多个重大系统(tǒng)的信息安全体系设(shè)计,先后参与工信部、国家保密局(jú)及公安部的云计算及(jí)大数据安全(quán)标准的拟制工(gōng)作(zuò),并作(zuò)为(wéi)ITU会员参与国际电联(lián)相关云计算(suàn)安全标准(zhǔn)的讨(tǎo)论和研究(jiū)工作,团队所研发的安全虚拟桌面及安全云(yún)操作(zuò)系(xì)统已经获得公安部最高安全等(děng)级的(de)增强级产品测评认证。
目前,全球进入(rù)大数据时代,数(shù)据呈(chéng)现爆(bào)发式增长的同(tóng)时,也(yě)带来了前所未有的风(fēng)险与安全挑战。《中华人民共(gòng)和国数(shù)据(jù)安全法(草案(àn))》(以下简称《数据安全法(草案)》)的颁(bān)布(bù),旨在搭(dā)建一个更为全面(miàn)的数(shù)据安全保障体系。这不(bú)仅体(tǐ)现了国家对数据战(zhàn)略的重大考量,也给(gěi)相(xiàng)关(guān)的网(wǎng)络安全企业(yè)带来了重大机遇。
卫士(shì)通作为一家以保(bǎo)护国家网络空(kōng)间安全为(wéi)己任的公司,20多(duō)年来一直(zhí)在国(guó)家重要行业信息系统的信息安全保障中发挥着重要作用,当下(xià)的《数据安全(quán)法(草案)》的出台,对卫士通而言(yán),既是机遇,也(yě)是挑战。为此,记者(zhě)采访(fǎng)了卫士通副总经理张(zhāng)剑(jiàn),就《数据安(ān)全(quán)法 (草案 )》、对(duì)企业的(de)挑战与(yǔ)机遇,以及公(gōng)司在数据安全领域(yù)的(de)布局(jú)等问题,进(jìn)行了沟通交流,现(xiàn)整理如下,以飨读(dú)者。
记(jì)者:您如何评价(jià)刚(gāng)出台的《数据安全法(草案)》?
张剑:《数据安全法(fǎ)(草案(àn))》的出台,首先从宏观层面(miàn)上明确了(le)国家的大数(shù)据发展战略是引(yǐn)导安全需求要与数据的开发利用相结(jié)合,不是为(wéi)了保护(hù)而保护。同时,草案从立法层面确立了我国数据安(ān)全治理(lǐ)与监管体系,表明数(shù)据安全已成为事(shì)关国家安全与(yǔ)经济(jì)社会发展的重大关键点。国家关于数(shù)据安全的总体战(zhàn)略,是鼓(gǔ)励数据活(huó)动的各方(fāng)共同参(cān)与数据安全的保护工作,并且(qiě)对开(kāi)展数据活动的主体、相关的监(jiān)管部门提出了义务和安全责任。
在(草案(àn))中,对数据的(de)定义(yì)、数据(jù)各(gè)参(cān)与方的责(zé)任和义务都进行了清晰的(de)厘定,明确规(guī)定了数据保护的主体责任和(hé)义务(wù)是进(jìn)行数据活(huó)动的主体,特别规范了国(guó)家机关在进行政务信息(xī)开放时的责任和义务。国家相关部(bù)门(行业(yè)主管部门、公安机关(guān)、网信部门等)从监管的(de)角(jiǎo)度规范数据处理的(de)环境,国家将从数据的(de)安全(quán)风险评(píng)估、监测(cè)预警、应急处(chù)置和安全审查四个(gè)方面进行数据安全的(de)监管。
其(qí)次,国家也规范了在线(xiàn)数据处理和数据交易,要求专(zhuān)门提供在线数据处(chù)理等(děng)服务的经营(yíng)者(zhě)需要(yào)依(yī)法(fǎ)取(qǔ)得经营业务许可或者备案。针对个人信(xìn)息、重要数(shù)据和涉密(mì)数据的(de)处理者来说(shuō),都需(xū)要采取合法、正(zhèng)当的方式(shì),并(bìng)有保(bǎo)护的义务,包括在境内开展数据活动(dòng)的境外组织。再次,国家要求(qiú)数据活动主体加强风险监(jiān)测,针对重要数据的处(chù)理者还应定期开展风险评估,并向有关(guān)主管部门报送风险评估报(bào)告。
综上所述,《数据(jù)安全(quán)法(草案)》可以说为国家后续规(guī)范(fàn)数据活动环境、保障(zhàng)数据安全奠定了基础。
记者(zhě):《数据安全(quán)法(草案)》的出台对数据(jù)安全产业领域中的企(qǐ)业有何重要意(yì)义?
张剑:可(kě)以(yǐ)看到,数据安全法的最(zuì)大(dà)特点(diǎn)是在鼓励数(shù)据流动、共享、乃至交易的情况(kuàng)下, 确保数(shù)据的安全,与(yǔ)此同时,国家正在最大限(xiàn)度地推(tuī)动各行各业的大数据开放和(hé)共享。数据(jù)这一新的(de)生产力已(yǐ)经逐步成为(wéi)各行(háng)业(yè)信息化中的基(jī)本共识。这样强有力的政(zhèng)策驱(qū)动对产业界而言,无疑是重(chóng)大的市场机遇(yù)。
与此同(tóng)时,在大数据背景下(xià),数据类型多样化、数据交换共享手段的多样化(huà),以及用户(hù)场景和(hé)需求的极大丰富,导致产业界在技(jì)术(shù)和产品中出现了诸多新的挑战,如行业数(shù)据的安全分级、结构化和非结构化数据(jù)的识别(bié)和标记、数据流动全过程溯源和安全治理、业务全过程(chéng)中的数(shù)据流动风(fēng)险评估(gū)、隐私数据的安全(quán)计算、多(duō)方数据共享(xiǎng)中的多(duō)方计算等问题的出现带动了传统数据安全企(qǐ)业的(de)转型,以(yǐ)及一(yī)大批数据安全创新公司的(de)出(chū)现。
因(yīn)此,数据安全产业(yè)在(zài)概念(niàn)、内(nèi)涵、技术(shù)、产品各个方面,都已(yǐ)出(chū)现了巨大变(biàn)化,成为网络安全领域中一个全新(xīn)的热(rè)点,处于一个快速的产业(yè)发展(zhǎn)期。
记(jì)者:请您(nín)谈谈,卫(wèi)士通目前的(de)技术沉淀、创(chuàng)新和产品研发情况,与其他数据安全企业相比(bǐ),其优(yōu)势在哪(nǎ)里?《数据安(ān)全法(草案)》对贵(guì)司带来哪些影响,又将如何(hé)布(bù)局?
张剑:着(zhe)力(lì)于(yú)数据(jù)安全这(zhè)一热点领域,确保数据的(de)机密性是其根本和起点,而在(zài)这个方向上,卫(wèi)士通拥有(yǒu)着“红色基因(密码)、蓝色底蕴(科技)”的先天优势。同时,基(jī)于(yú)对数据安全法(fǎ)的深入理解,在国家推动(dòng)数据流动和共享的新形势下,针对(duì)不同行业中(zhōng)不同性质和不同类型数据(jù)流动共享时的(de)保(bǎo)护场景,卫士通充分结合自身的(de)密码优势,以打(dǎ)造覆盖数据流动(dòng)全周期的安全治理体系为目标(biāo),在数据识别与(yǔ)自动分级、数据标记、数据脱(tuō)敏和(hé)降级、数(shù)据库和文件加密、数(shù)据(jù)流动全过(guò)程溯源等方(fāng)向开(kāi)展关键技术布局;并已初步形(xíng)成以数据安全(quán)治理平台、数据脱敏系统、数据分级工具、数据库加密产品、数据(jù)密标(biāo)产品为代表的系列化产品;并(bìng)与业界友(yǒu)商形成(chéng)广泛的合作和整合,建立了(le)数(shù)据安全的“生态(tài)圈”,具备多个(gè)行业应用场景下的数据(jù)安全整体解(jiě)决方案的提(tí)供能力。
记(jì)者:《数据安全(quán)法(草案(àn))》背景下,作为业内(nèi)首个全服务化政务云(yún)安全项目,“成都市(shì)政务云——数据安(ān)全治理(lǐ)项目”对(duì)整(zhěng)个(gè)行业有何重要意义?
张剑:“成都市政务云——数(shù)据安全治(zhì)理项目”可以(yǐ)说(shuō)是政务领域一个较为完整和典型的数(shù)据(jù)安全治理案例(lì)。成都市的数据安全(quán)共(gòng)享、数据开(kāi)放、数据(jù)治(zhì)理以及数(shù)据利用模式呈现出典型化和多样化的特质。典型(xíng)化在于成都市作为一个一线的(de)副省级城市(shì),其数据交换和共享场景,以及数据覆(fù)盖的委办局类型具备普遍的(de)代表性;而多样(yàng)化则(zé)在于成(chéng)都市政务大(dà)数据的交换(huàn)、汇(huì)集和处理的(de)场景丰(fēng)富,且政(zhèng)务数据种类也呈现出多(duō)样化的(de)特点。
该项(xiàng)目的顺利落地具备重要的示(shì)范意义,也将产生深远的影响。首先(xiān),它表明在复杂的城市级政务数据(jù)应用场景下(xià),数据安全治理的可行(háng)性以及实现效果是良(liáng)好(hǎo)的。基于我们(men)的解决(jué)方案(àn),数(shù)据安全管理部门可以实现上万类政务数据的有序分级(jí)、全场景下数据流(liú)动的全过程追溯、不(bú)同(tóng)场景下数据(jù)的有效控制和防护(hù),以及基于数据级别的安(ān)全(quán)防护策略的动态协同。其次(cì),该项目在政务数据(jù)安全治(zhì)理中,实(shí)现了诸多创新,且对(duì)于其他(tā)城(chéng)市级的数据安全治理有(yǒu)一定的参(cān)考价值,包括:结合(hé)人工智能技术实现政务数据的识别(bié)与分级,力(lì)图建(jiàn)立(lì)市级政务数据的分(fèn)级分类标准;综合运用多种数据标记方法,对(duì)数据在共享交(jiāo)换、数据汇集、市县共享等(děng)不同(tóng)场景下实(shí)现(xiàn)标记跟踪;通过打通与资(zī)源目录、共(gòng)享交换等数据资(zī)源体系中的关键(jiàn)组件的接(jiē)口(kǒu),获取数据流动日志(zhì),实现(xiàn)数据流动全过程的追溯;基于数据(jù)标记(jì)识别数据的安(ān)全级(jí)别,并以(yǐ)此(cǐ)为基础实(shí)现(xiàn)各类数据安全防护设备的策(cè)略协同。
最后,在(zài)该项目实(shí)施过程中(zhōng)我们(men)遇到(dào)的问题和经验总结,也对其他城市(shì)数据安全(quán)治理(lǐ)有一(yī)定的(de)借(jiè)鉴意义(yì),包括:实施过程(chéng)中前置机的安(ān)全责任以及安全措施之间(jiān)的关系(xì),数据交换(huàn)系统(tǒng)、数(shù)据(jù)共享系统(tǒng)与数据标记之间(jiān)的融合, 如何以最小的代价将安全与(yǔ)业务相结(jié)合,让业务流程、应用的改造量最小,实现效益(yì)最大化。
记者:众所周知,《数据(jù)安全法(草(cǎo)案)》的出(chū)台将更加(jiā)凸显数据安全的(de)重(chóng)要性,密(mì)码应用将在数据安全方面起到(dào)什(shí)么样的作用?
张剑:从(cóng)数据安全的角度讲,密码(mǎ)是基础性的(de)保证,能够(gòu)确保数据(jù)在各种场景下的机密性。这也是卫士通为什么一直在致(zhì)力(lì)于数(shù)据加密。从(cóng)最初的文件加密(mì),到现在的数据库加密, 再到(dào)基于密码的(de)数据多方(fāng)安全(quán)共享等,密码技(jì)术始终是其核(hé)心和灵魂。与(yǔ)此同时,数据加(jiā)密新的场景也对密码(mǎ)算法和密码的应用带来了新的(de)挑战(zhàn),例如在数据多方计算(suàn)和多方共(gòng)享(xiǎng)的场景中,就对密码算(suàn)法(fǎ)带来了新的挑战,需要提(tí)供具备实用性的密文计算或多方计算的(de)算法, 在“数据(jù)不见面”情况下实(shí)现(xiàn)数据有效利(lì)用。
同时,数(shù)据(jù)安全关注度的极大提高(gāo),也会给内嵌了密码机制(zhì)的(de)各种数据交互的应用带来更多(duō)机遇,卫士通一(yī)直(zhí)致力(lì)于为党政高安(ān)全用户(hù)提供内嵌安全属性和密码属性的(de)应用,如(rú)橙邮、橙讯等(děng);采用这样的方式,能够(gòu)很好地做到应用中进(jìn)行数据交换(huàn)或者(zhě)数据流(liú)动(dòng)时,对数据(jù)的(de)机(jī)密性(xìng)加以保护。
记者:《数据安全法(草案)》对政企的数(shù)据安全建设提(tí)出了明确要求,您认(rèn)为当前(qián)政(zhèng)企数据安(ān)全建设存在(zài)哪些问题和挑战?
张剑:从政府角度讲,最(zuì)大的问题就(jiù)是如何(hé)通过数据安全治理的思路来打通(tōng)整(zhěng)个政府数据共享和交换路径的(de)通道。
具体而言,首先,政务数据的(de)分级和分类目前没有清晰的标准和法(fǎ)规的引领(lǐng)。从国(guó)家(jiā)到(dào)地方(fāng),目前都还没(méi)有真正出台一部围绕政(zhèng)务数据(jù)的标准和法案,从而导致没有具体、有法可依、可操作性的规范抓手,进而也就没(méi)有形成一个规(guī)范性的解(jiě)决(jué)思路(lù)或指导性意见(jiàn),因此数据(jù)分级(jí)问题很难在实际当(dāng)中有效开展。
其次,政府如何科学(xué)有效监(jiān)管?在目前大力推(tuī)动政府数据的(de)交换、共享、开放的(de)大背景下, 如(rú)何对数据的流动、流向进行有效监管,掌握(wò)数据流动(dòng)的全过程;同(tóng)时,如何(hé)整合当(dāng)前(qián)的各(gè)种离散的数据(jù)安全防护(hù)手段,建立以数据属性为核心(xīn)的一体(tǐ)化数据安全防护策略,实(shí)现对数据(jù)流动中(zhōng)的统一有效管控(kòng),也是当下的一(yī)个挑战(zhàn)和难点。
对企业而言,国家(jiā)正(zhèng)在积极(jí)推动商业秘密数据(jù)的保护,国资委、国家保密局都(dōu)已经出台了(le)相关的要求和文件,央企首当其冲面临着如(rú)何实现内部(bù)商(shāng)业秘密数据的有序安全、流动的问题。从文件产生,到文(wén)件通过(guò)邮件、即时通信、网盘等多种(zhǒng)方式(shì)进行交换,再到接收方打开和阅读文(wén)件的全过程中,如何识别商业秘密数(shù)据、如何进行标(biāo)记,如何在产生、交换(huàn)、阅读过程中进行管控,亟需完(wán)善的数据安全解决方案。
目前,卫士(shì)通结合自身在数据标记、数据加密等(děng)方面(miàn)的技(jì)术和产品积累,与业界的(de)合(hé)作伙伴积(jī)极对接(jiē),形成支(zhī)持结构化和非结构化数据,支撑各种(zhǒng)数据交换手段,具备较高(gāo)自动化水平的商业秘密数据(jù)识(shí)别和标记能力,覆(fù)盖(gài)数据交(jiāo)换全链(liàn)条的商业秘密数据保护方案。
记(jì)者:从《数据安(ān)全法(草案)》可以看(kàn)到国家(jiā)的数据(jù)安全整(zhěng)体布局,请(qǐng)问卫士通(tōng)将在其中扮演什么样的角色(sè)?
张剑:首(shǒu)先,我们希望把密码的基(jī)因发(fā)挥到极致。在(zài)数据安全的治理体系当中,有诸多环节都离(lí)不(bú)开密(mì)码,其(qí)重要性不言而喻,为此可以放(fàng)大密码基(jī)因(yīn),在我们原有的文件加密、数据(jù)库加密等方式上进一(yī)步放大,并且积极去寻求(qiú)和各种应用场景的对接(jiē),让其在数据(jù)安(ān)全中的作用发挥(huī)得(dé)更(gèng)出色。
其次,结合对国家在政企(qǐ)数据保(bǎo)护的政策、标准、法(fǎ)规的研究,以及卫士通公司在数据安全领域的实践,可以(yǐ)看到(dào)未来数据安全治理将围(wéi)绕数(shù)据内容,打造以内容为核(hé)心的数据安全治(zhì)理和防护体(tǐ)系。在该体系(xì)当(dāng)中,卫士通将打造针对数(shù)据内容的(de)数据分级和识别、数据标记, 以及数(shù)据溯(sù)源的能力,从而在未来的数据安全产业链(liàn)条(tiáo)中占据产业上游的技术和(hé)产品(pǐn)供应商地位,同时通过整(zhěng)合和合作(zuò),形(xíng)成完整的数据安全解决方案的提供能力。
