卫士通信息产业股份有限(xiàn)公司副总(zǒng)经理
张 剑
张剑(jiàn)���,卫士(shì)通信息产业股份有限(xiàn)公司副总经理��、高(gāo)级工程师��,负责公司在(zài)云安全(quán)���、数据安全以及安(ān)全服务等业(yè)务领域(yù)的技术能力和(hé)产品(pǐn)规划等工作����,拥(yōng)有信息安全领域十余年从业(yè)经验�����,曾先后荣获省(shěng)级��、部级(jí)及军队科技进步(bù)奖��,并作为系统总(zǒng)师参与军队多(duō)个重大系统的信息安全体系设计���,先(xiān)后参与工信部����、国家保密局及公安部的(de)云计算及大(dà)数据安全标准的拟制(zhì)工作���,并作为ITU会员参与国际电联相关云计算安全标准的讨(tǎo)论(lùn)和(hé)研究工作(zuò)���,团队所研发的安全(quán)虚拟桌面及安全(quán)云操(cāo)作系统已(yǐ)经获得公安部最高安全等级的增(zēng)强级产品测(cè)评认证����。
目前����,全球进入大数据时代���,数据呈现爆发式(shì)增长的同时(shí)�����,也带来(lái)了前所未(wèi)有的风险与安全挑(tiāo)战��。《中华人民(mín)共(gòng)和国数据安全(quán)法(草案)》(以下简(jiǎn)称《数据安全法(草案)》)的(de)颁布����,旨在搭建(jiàn)一个更为全面的数据安(ān)全(quán)保障(zhàng)体系����。这(zhè)不仅体现了国家对数据战略(luè)的重大考量�����,也(yě)给相关的网络安(ān)全(quán)企业带来(lái)了重大机遇����。
卫士通作为一家以保护国(guó)家网络空(kōng)间安全为己任(rèn)的公司���,20多年来一直在(zài)国家重要行业信(xìn)息系统的(de)信息安全保(bǎo)障中发挥着重要作用����,当下的《数据安全法(草案)》的出台��,对卫士(shì)通而言���,既是机(jī)遇(yù)���,也是挑战���。为此�����,记者采访了卫士(shì)通副总(zǒng)经理张剑��,就《数据安全法 (草案 )》���、对企业的挑战与机(jī)遇��,以及公司(sī)在数据安全(quán)领域的布局等问题����,进行了沟通交流���,现整理如下(xià)��,以(yǐ)飨读者�����。
记(jì)者���:您如何评价刚出(chū)台的《数(shù)据安全(quán)法(fǎ)(草(cǎo)案(àn))》���?
张剑��:《数据安全法(fǎ)(草案)》的出台��,首先从宏观层面上明确了国家的大数据发展战略(luè)是引导安全需求要与数(shù)据的开发利用相(xiàng)结合���,不是为了保(bǎo)护而保护����。同时(shí)���,草案从立法层面确立了我国数据安全治理(lǐ)与监管体系���,表明数据安全已成为事关国家安全与经济社会发展的重大关键点����。国家关于数据安全的总体(tǐ)战(zhàn)略��,是(shì)鼓励数据活动的各方共同参与数据安全的保护工作(zuò)����,并(bìng)且(qiě)对开展数据活动的主体����、相关的监管(guǎn)部门提出了义(yì)务和安全责任����。
在(草案)中(zhōng)����,对数据(jù)的定义���、数据各参(cān)与(yǔ)方(fāng)的责(zé)任和义务都进(jìn)行了清晰的(de)厘定(dìng)����,明确规定(dìng)了数据保护(hù)的主(zhǔ)体责任和义(yì)务是进行数据(jù)活动的主体��,特别规范了国家机关在进行政务信息开放时(shí)的(de)责任和义(yì)务���。国家相关部门(mén)(行业主管部门��、公安机关(guān)���、网信部门(mén)等)从监管(guǎn)的(de)角度(dù)规范(fàn)数据处理(lǐ)的环境����,国家将从数据(jù)的安全风险评估���、监测(cè)预警(jǐng)���、应急处置和(hé)安全审(shěn)查四个(gè)方面进(jìn)行数据安全的监(jiān)管����。
其次(cì)���,国家也规范了在线数据处理和数据交(jiāo)易�����,要求专门提供在线数据(jù)处理等服务的经(jīng)营者(zhě)需要依法取得经营业务(wù)许(xǔ)可或者(zhě)备案���。针(zhēn)对个人信息���、重要(yào)数据和涉密数据的处理者来说(shuō)���,都需要采取合法��、正当(dāng)的方式����,并有保(bǎo)护(hù)的义(yì)务�����,包括在境内开(kāi)展(zhǎn)数据活动的境(jìng)外组织�����。再次(cì)����,国家要求数据活动(dòng)主体(tǐ)加强风险监(jiān)测���,针对重要数(shù)据(jù)的处理者还(hái)应定期(qī)开展风险评估����,并向有关(guān)主管部门(mén)报送风险评估报告���。
综上所述���,《数据安全(quán)法(草(cǎo)案)》可以说(shuō)为国家后续规范数据活动环境�����、保障数据安全奠定了(le)基础(chǔ)����。
记者����:《数据安全(quán)法(草案)》的出台(tái)对数据(jù)安全产业(yè)领域中的(de)企业有何重要意义���?
张剑��:可以看到���,数据安全法的最大特(tè)点是在鼓励数(shù)据流动(dòng)����、共享����、乃至(zhì)交易的情况下����, 确(què)保数据的安全���,与此同时���,国家正在最(zuì)大限度地推动各行各业(yè)的大数据开放(fàng)和(hé)共享����。数据这一(yī)新(xīn)的生产力已经逐步成为各行业信(xìn)息化中的基(jī)本(běn)共识��。这样强有力的(de)政策驱动(dòng)对产业界而言��,无疑是重大的(de)市场(chǎng)机(jī)遇���。
与(yǔ)此同时���,在大数据背景下���,数据类型(xíng)多(duō)样化���、数据交(jiāo)换共(gòng)享手段的多样(yàng)化���,以及用户场景和需求的极大丰富����,导致(zhì)产业界在(zài)技术和产品中出现了诸(zhū)多(duō)新的挑战����,如行业数(shù)据的安全分(fèn)级��、结构化和非结(jié)构化数据的识别(bié)和标记��、数据流动全过程溯源和安(ān)全治理(lǐ)���、业务全过程中(zhōng)的(de)数据流动风险评估(gū)����、隐私数据(jù)的安全计算��、多方数据(jù)共享中的多方计(jì)算等问题的出现带动了传统数据安(ān)全企(qǐ)业(yè)的转型��,以及(jí)一大批数据安全创新公司的出现���。
因此����,数据安全产业在概念�����、内涵����、技术����、产品各个方面���,都已出(chū)现(xiàn)了巨大变化���,成为网络安全领(lǐng)域中一个全新的热点(diǎn)����,处(chù)于一个快速的产业发展期(qī)���。
记者(zhě)�����:请您谈谈���,卫士通目(mù)前(qián)的技术沉(chén)淀���、创新和产品研(yán)发情况����,与其他数据安全企(qǐ)业相比��,其优势(shì)在哪里���?《数据安全法(fǎ)(草案)》对贵(guì)司(sī)带来哪些影响���,又将如何(hé)布局��?
张剑���:着(zhe)力于(yú)数据安全这一热点领域����,确保(bǎo)数据的机密(mì)性(xìng)是其根本和起点���,而在这(zhè)个(gè)方向上���,卫士通拥有着“红色基因(密码)���、蓝色底蕴(科技)”的先天优势���。同时(shí)����,基于对(duì)数据安全法的深入(rù)理解��,在(zài)国(guó)家推动数据流(liú)动和共享的新形势下����,针对不同(tóng)行(háng)业中不同性质和不(bú)同类型数据流动共(gòng)享时(shí)的保护场景(jǐng)����,卫士通充分(fèn)结合自身的密码优(yōu)势�����,以(yǐ)打造覆(fù)盖数(shù)据流动全周期(qī)的安全治理体系为目(mù)标���,在(zài)数据识别与自动分级����、数据标记���、数据(jù)脱敏和降级���、数据(jù)库和文件加密��、数据流动全过程溯源(yuán)等方向开展关(guān)键(jiàn)技术布局��;并已初(chū)步形成以数据安全治理平台�����、数据(jù)脱敏系统����、数据分级(jí)工具���、数据库(kù)加密产品����、数据密标产品为代表的系列化产品��;并与业界友商形成广(guǎng)泛的(de)合作(zuò)和(hé)整合(hé)���,建立(lì)了数据安全(quán)的“生态圈”��,具(jù)备多个(gè)行业应用场景下的数据安全整体解决方案的提供(gòng)能力��。
记者(zhě)�����:《数据安全法(fǎ)(草案)》背景下��,作为业内首个全服(fú)务化政(zhèng)务云安全项目�����,“成都市(shì)政务(wù)云——数据(jù)安(ān)全治理(lǐ)项目”对整个行(háng)业有何重要意义���?
张(zhāng)剑(jiàn)���:“成(chéng)都市(shì)政务云——数据安全治(zhì)理项目”可(kě)以说是政务(wù)领域一个较为完整(zhěng)和(hé)典型的数据安全治(zhì)理案(àn)例(lì)����。成都市的数据安全(quán)共(gòng)享�����、数据开(kāi)放(fàng)���、数据治理以及数(shù)据利用模式呈现出典型(xíng)化和多(duō)样化(huà)的特质��。典型化在于成都市作为一个一线的副省(shěng)级城市��,其数(shù)据交换(huàn)和共享场景����,以及数据(jù)覆盖(gài)的委办局类型具备普(pǔ)遍的(de)代(dài)表性��;而多样(yàng)化则在于成都(dōu)市政务(wù)大数(shù)据的交换����、汇集和处理(lǐ)的场景丰富�����,且(qiě)政务数据种类也呈现出多样化的特(tè)点����。
该项(xiàng)目的(de)顺利落地具备重要的(de)示范(fàn)意义(yì)���,也将产生深远(yuǎn)的影响���。首先��,它(tā)表明在复杂的城市级政务数据应用场景下�����,数(shù)据安(ān)全治理的可行性(xìng)以及实现效果是良好的��。基(jī)于我们的解决方案(àn)���,数据安全(quán)管理部门可以实现上万类政(zhèng)务数据的有序分级���、全场景下数据流动的(de)全过程(chéng)追溯����、不(bú)同场景下数据的有效控制(zhì)和防护�����,以及基于数据级别(bié)的(de)安全防护策略的动态协同���。其次(cì)��,该项目在政务(wù)数据安全治理(lǐ)中����,实(shí)现(xiàn)了诸多创新����,且对于其(qí)他(tā)城市级的数据安全治理有一(yī)定(dìng)的参考价值(zhí)����,包括����:结合人工智(zhì)能技术(shù)实现政务数据(jù)的识别与分级���,力图建立市级政务数据的分级分类标准����;综合(hé)运用(yòng)多种(zhǒng)数据标记方法���,对数据在共享交换��、数(shù)据(jù)汇集��、市县共享等不(bú)同场景下实现标记跟踪(zōng)����;通过打通与资源目录���、共享交(jiāo)换等数据(jù)资源体系中的关(guān)键组件的接口(kǒu)���,获取(qǔ)数据流(liú)动日(rì)志(zhì)���,实现数据流(liú)动全过程的(de)追溯��;基于数(shù)据标记识别数据的安全级(jí)别��,并以此为基础实现各类(lèi)数据安全(quán)防护设备的策略协同����。
最后���,在该项目(mù)实施(shī)过程中我们遇到的(de)问(wèn)题和(hé)经验(yàn)总结���,也对其(qí)他城市数据安(ān)全治理有一定的(de)借鉴意义���,包(bāo)括���:实施过(guò)程中前置机的安全责任以及安全措施之(zhī)间的关系��,数据交换系统���、数(shù)据共享系统与数据标记之间的融(róng)合���, 如何以(yǐ)最小的代(dài)价将安全与业务(wù)相(xiàng)结合���,让业务流程����、应用的(de)改造量最(zuì)小(xiǎo)��,实现效(xiào)益最大化�����。
记者(zhě)����:众所周(zhōu)知����,《数据(jù)安全(quán)法(草案)》的出台将更加凸(tū)显数据安全的重要性��,密码应用(yòng)将在数据(jù)安全方面起到(dào)什么(me)样的作用�����?
张剑���:从数据安全的角度讲��,密码是基础性(xìng)的保证���,能够确(què)保数据在各种(zhǒng)场景下的机(jī)密性���。这也是卫(wèi)士(shì)通为什么一直(zhí)在致力于数据加密(mì)����。从最初的(de)文件(jiàn)加密�����,到现在的数(shù)据库加密���, 再到基于密码的(de)数据多方安全共享等����,密码技术始(shǐ)终(zhōng)是其(qí)核心和灵魂(hún)����。与此同时��,数(shù)据加密新(xīn)的场景也对密码(mǎ)算法和(hé)密码的应(yīng)用带来了新的挑(tiāo)战(zhàn)���,例(lì)如在数据多(duō)方(fāng)计算(suàn)和多方共享的场景中���,就对(duì)密码算法(fǎ)带(dài)来(lái)了新的挑战���,需(xū)要提供具备(bèi)实用性的密文计算或多(duō)方计算的算法(fǎ)���, 在“数据不见面”情况下实现数据有(yǒu)效利(lì)用����。
同时����,数据安全关注度的(de)极(jí)大提高����,也会(huì)给内嵌了密码机制的各种(zhǒng)数据交(jiāo)互的应(yīng)用带来更多机遇����,卫士(shì)通一(yī)直致力(lì)于为党政高安全用(yòng)户提供内嵌安全属性(xìng)和密码属性的应用����,如橙邮���、橙讯等���;采(cǎi)用这样的方式��,能(néng)够很好地(dì)做到应用中(zhōng)进行数据交换或者数(shù)据(jù)流动时(shí)���,对数(shù)据的机(jī)密(mì)性加以保护����。
记者��:《数据安(ān)全法(fǎ)(草案)》对政企的数据(jù)安全建设提(tí)出了明确要求����,您认为当前政企数据安全建(jiàn)设存在哪些问(wèn)题和挑战���?
张剑��:从政府角度讲����,最大的问题就是如何通过数据安(ān)全治理的(de)思路来打(dǎ)通整个政府数据共(gòng)享和交(jiāo)换路径的通道��。
具体(tǐ)而言��,首(shǒu)先���,政(zhèng)务(wù)数据的分级和分类目前没(méi)有清晰(xī)的标准和(hé)法规的引领���。从国家(jiā)到地方���,目前都还没有真正出(chū)台(tái)一部围绕政务数据(jù)的标准和法案����,从而导致(zhì)没(méi)有具体����、有(yǒu)法可依��、可操作性的规(guī)范(fàn)抓手(shǒu)��,进而(ér)也就没有形成一个规范性的解决思(sī)路(lù)或指导性意见(jiàn)��,因此数(shù)据分级问(wèn)题很难在实际当中有效开展���。
其次��,政府如何科学(xué)有(yǒu)效监管���?在目(mù)前大(dà)力推动政府数据的(de)交换���、共享��、开放的大(dà)背景(jǐng)下�����, 如何对数据的流动��、流向进行有效监管���,掌握数(shù)据流动(dòng)的全(quán)过程��;同(tóng)时(shí)����,如何整(zhěng)合当前的各(gè)种离散(sàn)的数据安全(quán)防护手段��,建立(lì)以数据属性为核心的一体化数据安全防护(hù)策略(luè)���,实现对数据流动中的(de)统一(yī)有效管控���,也是当下的一个挑战和难点(diǎn)�����。
对企业(yè)而(ér)言��,国家正在积极(jí)推动商(shāng)业秘密数据(jù)的保护��,国资委���、国家保(bǎo)密局(jú)都已经出台了相(xiàng)关的要求和文件(jiàn)���,央企首当其冲面临着如何实现内部商(shāng)业秘(mì)密(mì)数(shù)据的(de)有序安全��、流(liú)动的问题��。从文(wén)件(jiàn)产生��,到(dào)文件(jiàn)通过邮件����、即时通信(xìn)���、网(wǎng)盘等多种方式进行交换�����,再到(dào)接收方打开和阅读文件的全过程中���,如(rú)何识(shí)别商(shāng)业秘密数据���、如何进行标记���,如何在产生���、交换(huàn)��、阅读过(guò)程中(zhōng)进(jìn)行管控��,亟需(xū)完善(shàn)的数据安全解决方案�����。
目前���,卫士通(tōng)结合自身在数据标记���、数据加密(mì)等方面的技术和(hé)产品积累��,与业界(jiè)的(de)合作伙伴积极对接���,形成支持结构化和非结构化数据����,支(zhī)撑各种数据交换手段���,具备(bèi)较高自动(dòng)化(huà)水平的商(shāng)业(yè)秘密数据识别和标记(jì)能力���,覆盖数据交换全链条的商(shāng)业秘密数(shù)据保护方(fāng)案����。
记者���:从(cóng)《数据安(ān)全法(fǎ)(草案)》可以看到国家的数据安(ān)全整体布局��,请问卫士通将在其中扮演什么样的角色���?
张剑����:首(shǒu)先��,我们希望把密(mì)码的基因发挥到极致(zhì)���。在数据安全的治理体系当中���,有(yǒu)诸多环节(jiē)都离不开(kāi)密码���,其重要性不言而喻����,为此可以放大密码基因(yīn)����,在我们原有的文件加(jiā)密(mì)���、数据库(kù)加密等方(fāng)式上进一步(bù)放大��,并(bìng)且积极去寻求和各(gè)种应用(yòng)场景的对(duì)接(jiē)�����,让其在数据安全中的作用发挥得更出色(sè)��。
其(qí)次��,结合对国家在(zài)政企数据保护的政策��、标准����、法规的研究���,以及卫士通公司在数据安全领(lǐng)域的实践��,可以看(kàn)到未(wèi)来(lái)数(shù)据安全治(zhì)理将围绕数据内容(róng)��,打(dǎ)造以内容为核心(xīn)的数据安全治理和防(fáng)护(hù)体系��。在该体系当中(zhōng)����,卫(wèi)士通(tōng)将打造针(zhēn)对数据内容的数据分级和识(shí)别(bié)��、数据标记(jì)����, 以及数据溯源的能力��,从而在未来的(de)数据安全(quán)产(chǎn)业链条中(zhōng)占(zhàn)据产业上游(yóu)的技术(shù)和产(chǎn)品供应商地位���,同时(shí)通过整合和合作(zuò)���,形成完整(zhěng)的数(shù)据(jù)安全解决方案的提(tí)供能力���。
