卫士通信息(xī)产(chǎn)业股份(fèn)有限公司副(fù)总经理
张 剑
张(zhāng)剑(jiàn),卫士通信(xìn)息产业股份有限公司副总经理、高级工程师,负责(zé)公司在云安全、数据安全以及安(ān)全服务等业务领域的技术(shù)能力和产品(pǐn)规划等工作(zuò),拥有(yǒu)信息(xī)安全领域十余年(nián)从业经(jīng)验,曾先后荣获省级、部(bù)级及军队科技(jì)进(jìn)步(bù)奖,并作为(wéi)系统(tǒng)总师参与军队多个重大系统的信息安全体系设计(jì),先后参与工信部、国家(jiā)保密(mì)局及公安(ān)部的云计算及(jí)大(dà)数据(jù)安全标准的拟制工作,并作为ITU会(huì)员参与国际电(diàn)联相关云计算安全(quán)标准的讨论和研究工作,团队所研发的安全虚拟桌面及(jí)安全云操作系统已经获得公安部最(zuì)高(gāo)安全等(děng)级的增强级产品(pǐn)测评认证。
目前,全球进(jìn)入大数据(jù)时(shí)代(dài),数据呈现爆发式增(zēng)长(zhǎng)的同(tóng)时,也带来了(le)前所未有的风(fēng)险与安全(quán)挑战。《中华人(rén)民共(gòng)和国数(shù)据安全法(草案)》(以(yǐ)下(xià)简称《数(shù)据(jù)安全法(草案)》)的颁(bān)布(bù),旨在搭建一个更为(wéi)全(quán)面的数(shù)据安(ān)全保障体系。这不仅(jǐn)体现(xiàn)了国家对数据战略的重大考量,也给相关(guān)的网络安全企业带来了重大机(jī)遇。
卫士通作为(wéi)一家以保护国(guó)家网络空间安全为(wéi)己任的公(gōng)司,20多年来一直(zhí)在国家重(chóng)要行业信息系统的信息安全保障中发(fā)挥着重要(yào)作用,当下(xià)的(de)《数据安全法(草案)》的出(chū)台,对卫士通(tōng)而言,既是机遇,也是挑战。为此,记者采(cǎi)访了(le)卫士通副总经理(lǐ)张剑,就《数据(jù)安全法 (草案(àn) )》、对企业的(de)挑战(zhàn)与(yǔ)机遇,以及公司在数据(jù)安全领域的(de)布局等问题,进(jìn)行了沟通交流,现整(zhěng)理如下,以(yǐ)飨读者。
记者:您(nín)如何评(píng)价刚出台的《数(shù)据安全法(草(cǎo)案)》?
张剑:《数(shù)据(jù)安全法(草案(àn))》的出(chū)台(tái),首先从宏观层面上(shàng)明确了国家的大数据发展(zhǎn)战略是引导安全需(xū)求要与数据的开发利用相结合,不是为了保(bǎo)护(hù)而保护。同时,草案从立法层面(miàn)确立了我国(guó)数据安全治理与监管(guǎn)体系,表(biǎo)明数据安全已成为(wéi)事关国家安(ān)全与经济(jì)社(shè)会发展的重大(dà)关键点。国家(jiā)关于数据安全的总体战略,是(shì)鼓励数(shù)据(jù)活动的各方共同参与数据(jù)安全的保(bǎo)护(hù)工作,并且对(duì)开展数据活动的主(zhǔ)体、相关的监(jiān)管部门提出了义务和安全责(zé)任。
在(zài)(草案)中,对数据的定义、数据各参与方的(de)责任(rèn)和义务(wù)都(dōu)进行(háng)了清晰(xī)的(de)厘(lí)定,明确规定了数据保护的主体(tǐ)责任和(hé)义务是进行数据活(huó)动的(de)主体,特别规范了(le)国家机关在进行政务(wù)信息开放时(shí)的责(zé)任和义务(wù)。国家(jiā)相关部门(行业主管部(bù)门、公安机关、网信部门(mén)等)从监管的角度规范数据处理的环境,国家将从数据的安全(quán)风(fēng)险评估、监测预警、应急处置和安全审查(chá)四(sì)个方面进行数据安全的监管。
其次,国(guó)家也规(guī)范了在线数据处理(lǐ)和(hé)数据交(jiāo)易,要求(qiú)专门提供在线数据处(chù)理等服务的经(jīng)营(yíng)者需要依法取得经营业务许可或者备案。针对个人信息、重(chóng)要数(shù)据和涉(shè)密数据(jù)的处理者来说,都需要(yào)采取合法(fǎ)、正当(dāng)的方式,并(bìng)有保护的义(yì)务,包括在境内(nèi)开展数据活动的境外(wài)组织。再次(cì),国家要求数据活动主(zhǔ)体(tǐ)加强风(fēng)险监测,针对重要数据(jù)的处(chù)理者还应定期开展风险评估,并向有关(guān)主管(guǎn)部门报送风险评估报(bào)告(gào)。
综(zōng)上所述,《数据安全法(草案)》可以说(shuō)为国家后续规范数据活动(dòng)环境、保障数据安全奠定了基础。
记(jì)者(zhě):《数据(jù)安全(quán)法(草案(àn))》的出台对数(shù)据安全产业领域中(zhōng)的(de)企(qǐ)业有何重要意义?
张剑:可以看(kàn)到,数据安全法的最大特点是在鼓励数据(jù)流动、共享、乃至交(jiāo)易的情(qíng)况下, 确保数据的安全,与(yǔ)此同时,国家正(zhèng)在(zài)最大限度地推(tuī)动各(gè)行各业的大数据(jù)开放和共(gòng)享。数据(jù)这一新(xīn)的生产力(lì)已经(jīng)逐步成(chéng)为各(gè)行业信息化中的基(jī)本(běn)共识。这样强(qiáng)有力的政策驱动对产(chǎn)业界而(ér)言,无疑是重大(dà)的市场机遇。
与此(cǐ)同时,在大数据背景下,数据类型多样化、数据交换共享手段的多样化,以及用(yòng)户(hù)场景和需(xū)求(qiú)的极大丰富,导致产业界在技术和产(chǎn)品中出现了(le)诸多新的挑战,如行业数据的(de)安全分级(jí)、结构化和非结构化数据的识(shí)别(bié)和标记(jì)、数(shù)据(jù)流动全过程(chéng)溯源和(hé)安全治理(lǐ)、业务全过(guò)程(chéng)中的数据流动风险(xiǎn)评估(gū)、隐私数据的安全(quán)计算、多方数据共享中的多方计算等问(wèn)题的出现带动了传统(tǒng)数据安(ān)全企业的转型,以及(jí)一大批数据(jù)安全创新公司的(de)出现(xiàn)。
因此,数(shù)据安全产业在概念(niàn)、内涵、技术、产品各个方面(miàn),都已出现了巨(jù)大变(biàn)化,成为网络安全领域中一个全新的热点,处于一个(gè)快速的产业发展期。
记者:请您谈(tán)谈,卫士通目前(qián)的技术沉淀、创(chuàng)新(xīn)和产品研(yán)发情况,与其他数(shù)据(jù)安全(quán)企(qǐ)业相比(bǐ),其(qí)优势在(zài)哪里?《数据安全法(fǎ)(草案)》对贵司带来哪(nǎ)些影响,又将(jiāng)如何布局?
张剑:着(zhe)力于数据安全(quán)这(zhè)一热点领域,确(què)保数据的机密性是其根本(běn)和起点(diǎn),而(ér)在这个方向上,卫士通拥有着“红(hóng)色基(jī)因(yīn)(密(mì)码)、蓝(lán)色底蕴(科技)”的(de)先(xiān)天优(yōu)势。同时,基于对数(shù)据安全(quán)法(fǎ)的深入理解,在国家推动数据流动和共享的新形势下,针(zhēn)对不同行(háng)业中不同性质和不同(tóng)类型数据(jù)流动共(gòng)享时的(de)保护场景,卫士通充分结合自身的密码优势,以打造(zào)覆盖数据流动全周期的安全治理体系为(wéi)目标,在数据识别与自动分级、数据标(biāo)记、数据脱敏和降级、数据库和文(wén)件加密、数(shù)据流动全(quán)过(guò)程溯源等(děng)方向开展关键(jiàn)技术布局;并已初步(bù)形成以数据(jù)安全治理(lǐ)平(píng)台、数据脱敏系统、数据分(fèn)级工具、数据库加密产(chǎn)品、数据密标产品为代(dài)表的系列化产(chǎn)品;并与业界友商形成广(guǎng)泛的合作和(hé)整合,建立了数据安全的“生态圈”,具(jù)备多个行业应用场景下的(de)数(shù)据(jù)安全整体解决方案的提供能力。
记者(zhě):《数据安全法(草案)》背景下,作(zuò)为业内首个全服务化政务云安全(quán)项目,“成都市政务云——数据安全治理项目”对整个行业有何重要意义?
张剑:“成都市(shì)政务云——数据安全治理项目”可(kě)以说是政务领域(yù)一个较为完整和典型的数据安(ān)全治理(lǐ)案例(lì)。成都市的(de)数(shù)据安全(quán)共享、数据开放、数据治理以及数据(jù)利用模式(shì)呈现出典型化(huà)和多样化的特质。典型化在于成(chéng)都市(shì)作为一(yī)个(gè)一线的副省级(jí)城(chéng)市,其数据(jù)交换和共享场景(jǐng),以及数据(jù)覆盖的委办局类型具备普遍的代(dài)表性;而多样化(huà)则在于成都市(shì)政务大数据的交换、汇集和处(chù)理的场景丰(fēng)富,且政务数(shù)据种类(lèi)也(yě)呈现出多样化的特点。
该项目(mù)的顺利落地具备重要的示范意义,也将(jiāng)产生深(shēn)远的影(yǐng)响。首先,它表(biǎo)明在复杂的城市级政务数(shù)据应用场景下,数据安全(quán)治理(lǐ)的可行(háng)性以及实现(xiàn)效果是良好的。基于(yú)我们的解决方案,数据安(ān)全管(guǎn)理部(bù)门可以实现上万类政(zhèng)务数据的有序(xù)分级、全场景下数据流动的全过(guò)程追溯、不同(tóng)场景下数据的有效控制和防护,以及基于数据级别的安全防护(hù)策略的动态协同(tóng)。其(qí)次,该(gāi)项目在政务数据(jù)安全治(zhì)理(lǐ)中,实现(xiàn)了诸多创新,且对(duì)于其他城市级的数据安(ān)全治理有(yǒu)一(yī)定的参考价值,包括:结合人工智能技术实现政务数据的识别与分级,力图建立市级政务数据的分级分类标(biāo)准;综合运用(yòng)多种数据标记方法,对数(shù)据在共享交换、数(shù)据汇(huì)集(jí)、市县(xiàn)共享等不同场景下实现标记跟踪;通过(guò)打通与资源目录(lù)、共享交(jiāo)换等数据资源(yuán)体系中的关键组件的接口,获取(qǔ)数据流动日志(zhì),实现数据流(liú)动(dòng)全过程的追(zhuī)溯;基(jī)于(yú)数据标记识别(bié)数据的安全(quán)级别(bié),并以此为(wéi)基础实(shí)现各类数(shù)据(jù)安(ān)全(quán)防(fáng)护(hù)设备的(de)策略协同。
最后,在该项目实施过程中我们(men)遇到(dào)的问题和经验总结,也对其他城(chéng)市(shì)数据(jù)安全(quán)治理(lǐ)有一定的借鉴意义,包(bāo)括:实施过程中前置机的安(ān)全(quán)责(zé)任以及安全措(cuò)施之(zhī)间的(de)关系,数据(jù)交(jiāo)换(huàn)系统、数据共享(xiǎng)系(xì)统与数据标记之间的融合, 如何以最小(xiǎo)的代价(jià)将安全与业(yè)务相结合,让业务流(liú)程、应用的(de)改造量最小,实现效益最大化。
记者:众(zhòng)所周知,《数据(jù)安(ān)全法(草案(àn))》的出台将更加凸显数(shù)据安全的重(chóng)要性(xìng),密码应用将在数据安全方面起到什(shí)么样(yàng)的作用?
张剑:从数据安全的角度讲,密(mì)码是基础性的保证,能够确保数据在各种场景(jǐng)下的机(jī)密性。这也是卫士通(tōng)为什么一直在致力于数据(jù)加密。从最初的文件加密,到现在的数据库加密(mì), 再到基于密(mì)码的数据多方安全共享等,密码技术(shù)始终是其核心和灵魂(hún)。与(yǔ)此同时(shí),数据加(jiā)密新(xīn)的场景(jǐng)也对(duì)密码算法和(hé)密(mì)码的应用带来了新的挑战(zhàn),例如在数据多方(fāng)计算和多方共(gòng)享的(de)场景中,就对密(mì)码算法带来了新的挑战,需要提供具备实用性(xìng)的密文计(jì)算(suàn)或多方(fāng)计算的算法, 在(zài)“数据不见面”情况下实现数据有效利用。
同时,数据安全关注(zhù)度(dù)的极(jí)大提高,也(yě)会给(gěi)内嵌了(le)密码机(jī)制的各种数据交互的应用带来更多机遇,卫士(shì)通一直致力于为党政高安全用户提(tí)供内嵌安全属性和(hé)密码(mǎ)属性(xìng)的应用(yòng),如橙(chéng)邮(yóu)、橙(chéng)讯等(děng);采用(yòng)这(zhè)样的方式(shì),能(néng)够很好地做到应用中进行数据交换或者数据(jù)流动时,对(duì)数据的机密(mì)性(xìng)加以保护。
记者:《数(shù)据(jù)安全法(草案(àn))》对政企的数据安全建设提出了明确(què)要求,您(nín)认为当前政企数据安(ān)全建设存在哪些问题和挑战?
张剑:从政府角(jiǎo)度讲,最大的问题就(jiù)是(shì)如何通过(guò)数据安全治理的思路来(lái)打通整个政(zhèng)府数据共享和交(jiāo)换路径的(de)通道。
具体而(ér)言,首先,政务(wù)数据的分(fèn)级和分类(lèi)目(mù)前没(méi)有清晰的标准和法规的引(yǐn)领。从国(guó)家到(dào)地方,目前都还没有真正出台一部围绕政务(wù)数(shù)据的标准和法案(àn),从而(ér)导致没有(yǒu)具体、有法可依(yī)、可操作性的规范抓手,进而也就没(méi)有形成一(yī)个规范(fàn)性的解(jiě)决思路或指导性(xìng)意见(jiàn),因此数据分级(jí)问题(tí)很难(nán)在(zài)实际当中有效(xiào)开展。
其次,政府(fǔ)如何(hé)科学(xué)有(yǒu)效监管?在目(mù)前(qián)大力推动(dòng)政府(fǔ)数(shù)据的交换、共享(xiǎng)、开(kāi)放(fàng)的大(dà)背景下, 如何对数据(jù)的流动、流向进行有效(xiào)监管,掌握数(shù)据流动的全过(guò)程;同时,如何整合当前的各(gè)种离散的数据(jù)安(ān)全防护手(shǒu)段,建立以数据属(shǔ)性(xìng)为核心的(de)一体(tǐ)化数据安全防护策略,实现(xiàn)对(duì)数据流动(dòng)中的统一有效管控(kòng),也是当下(xià)的一个挑战和(hé)难(nán)点。
对企业而(ér)言,国(guó)家正在积极推(tuī)动商业秘密数据的保护,国资委、国(guó)家保密局都已经(jīng)出台(tái)了相关的(de)要求和文件,央企首(shǒu)当其冲面临着如何实现(xiàn)内部商业秘(mì)密(mì)数据的有序安全、流动的(de)问题。从文件产生,到(dào)文件通(tōng)过邮(yóu)件(jiàn)、即时通信(xìn)、网盘等多(duō)种方式(shì)进行(háng)交(jiāo)换(huàn),再到接(jiē)收方打开和阅(yuè)读文件的全过程中,如何识别(bié)商业秘密数据、如何进(jìn)行(háng)标记,如何(hé)在(zài)产(chǎn)生、交换、阅读过程中进行(háng)管控(kòng),亟需完(wán)善的数(shù)据(jù)安全解决方案。
目(mù)前,卫士通结(jié)合自身在数据标记、数据加(jiā)密等方(fāng)面的技术和产品积累,与业界的(de)合作伙伴积极(jí)对(duì)接,形成支(zhī)持结构化和非结构化数据,支撑各种数(shù)据(jù)交换手段,具备较高自动化水平的商业秘密(mì)数据识别和标(biāo)记能(néng)力,覆盖数(shù)据交换全链条的商业秘密数据(jù)保(bǎo)护方案。
记者:从(cóng)《数(shù)据安(ān)全法(草案(àn))》可以看到(dào)国家的数据安全整体布局,请问卫士通将在其中扮演(yǎn)什么样(yàng)的角色?
张剑:首(shǒu)先,我们(men)希望把密码的基因发挥到极致。在数(shù)据安(ān)全的(de)治理体系当(dāng)中,有诸多环节都离不开密码,其重要(yào)性不言而(ér)喻,为此可(kě)以(yǐ)放大密(mì)码基因,在我们原有的文件加密(mì)、数据库加密等方式上(shàng)进(jìn)一步放大(dà),并且积极(jí)去寻求(qiú)和各种应用场景的(de)对接(jiē),让其在数据安全(quán)中的(de)作用发挥得更出色(sè)。
其次,结合对国家在(zài)政企数据(jù)保护的(de)政策、标准、法规的研究,以及卫士通(tōng)公司(sī)在数(shù)据安全领域的实践,可以(yǐ)看(kàn)到未来数据(jù)安全治理将围绕数据内容,打造(zào)以内容为核心的(de)数据安全治理和防护体系。在该(gāi)体系当(dāng)中,卫士(shì)通将打造针对数据内容的数(shù)据分级和(hé)识别、数据标记, 以及(jí)数(shù)据溯源的能力,从(cóng)而在未来(lái)的数据(jù)安(ān)全产业(yè)链(liàn)条中占据产业上游的技术和产品供(gòng)应商(shāng)地位(wèi),同时通过(guò)整合和合作,形成完整的数据安全解决(jué)方案(àn)的提供能力。
