卫(wèi)士(shì)通信息产业股份有(yǒu)限(xiàn)公司副(fù)总(zǒng)经理
张 剑(jiàn)
张剑,卫(wèi)士通信息产业股份有限公司副总经理、高级工程师,负责(zé)公司在云(yún)安全、数据安全以及安全(quán)服务(wù)等业务领域的(de)技术能力和产品规划等工作,拥有信息安全领域十余年从业经验,曾先后(hòu)荣获省(shěng)级(jí)、部(bù)级及军队科技进(jìn)步(bù)奖(jiǎng),并作(zuò)为系统总(zǒng)师参与军队多个重大系(xì)统的信息安全体系设计(jì),先后参与工信部、国家保密局(jú)及公安部的云计算及大数据安全标准的拟制工作,并作为ITU会员(yuán)参与国际电联相关(guān)云计算安全标准的讨论和(hé)研究工作,团队(duì)所研发的安全(quán)虚拟桌面(miàn)及安全云操作(zuò)系统(tǒng)已(yǐ)经获得(dé)公安(ān)部(bù)最高安全等级的增强级产品测评认证。
目前,全球进入大数据时代(dài),数(shù)据呈现爆发式增(zēng)长的(de)同时,也带来了前所未有的风险与安全挑(tiāo)战。《中华人民共(gòng)和国数(shù)据(jù)安全法(草案)》(以下简称《数据安全法(草案)》)的颁布,旨(zhǐ)在搭建一(yī)个(gè)更为(wéi)全面的数(shù)据安(ān)全(quán)保障(zhàng)体系。这不仅体现了国家对数(shù)据(jù)战略的(de)重大考量,也给(gěi)相关的网络(luò)安全企业(yè)带来了(le)重大机遇。
卫士通作(zuò)为(wéi)一家以保(bǎo)护(hù)国家(jiā)网络空间安(ān)全为己(jǐ)任的公司,20多年来一直在国家重要行业信息(xī)系统的信(xìn)息安全保障中发挥着(zhe)重要作用,当下的《数据安全法(草案)》的出台,对卫士通而言,既是机(jī)遇,也是挑战。为此(cǐ),记(jì)者采访了卫士通副(fù)总经(jīng)理张剑(jiàn),就(jiù)《数据安全法 (草案 )》、对企业(yè)的(de)挑战(zhàn)与机遇,以及公司在(zài)数据安全领域的布局(jú)等问题,进行了沟通交流,现整理如(rú)下(xià),以飨(xiǎng)读者。
记者(zhě):您如何评价(jià)刚出台的《数据安全法(草案)》?
张剑:《数据安全(quán)法(草案)》的出台,首先从(cóng)宏观层面(miàn)上明确(què)了(le)国家的大(dà)数据发展战略(luè)是引导安全需求要与数据的开发利(lì)用相结合,不是为了保(bǎo)护而保护。同(tóng)时,草(cǎo)案(àn)从立法层(céng)面确立(lì)了我国数据安全治理与监管体系,表明数据安全已成为事关国家(jiā)安(ān)全与经(jīng)济社会发展的重大关键点。国家关于数据(jù)安全的总体战略,是(shì)鼓励数据(jù)活动的各方共同参与数据安全的保护(hù)工作,并且对开(kāi)展数据活动的主体、相关的监管部门提出了义务和安全责任。
在(zài)(草案)中,对数据的定义、数据各参与方(fāng)的责任和义务都进行了清晰的厘定,明(míng)确规定了数(shù)据保护的主体责任(rèn)和(hé)义务是进行数据活动的(de)主(zhǔ)体,特别规范了国家(jiā)机关在(zài)进行政务信息开放时的责任和义(yì)务。国家相关部门(行业主管部(bù)门(mén)、公安机关、网信部门等)从监管的角(jiǎo)度规范(fàn)数据处理的环境,国(guó)家将从数据的安全风险评估(gū)、监测预警、应急处置和(hé)安(ān)全审查四个方面进行数据安全的监管。
其次,国家也规范了在线数据(jù)处理和(hé)数据交(jiāo)易,要求专门提供在线(xiàn)数据处理等服务的(de)经营者(zhě)需要依法(fǎ)取得经营(yíng)业(yè)务许可或(huò)者备案。针(zhēn)对个人信息、重要数(shù)据和(hé)涉密数据的处理者来说,都(dōu)需要(yào)采取合法、正当的方式,并(bìng)有保护的义(yì)务,包括在境内开(kāi)展数据活动的境外组织。再(zài)次,国家要求数据活动(dòng)主体(tǐ)加强风险(xiǎn)监测,针对重要数据(jù)的处理者还(hái)应定期(qī)开展(zhǎn)风(fēng)险评估,并(bìng)向有关主管部门报送风险评(píng)估报告。
综上所述,《数据安全法(草案)》可以(yǐ)说(shuō)为(wéi)国家(jiā)后续规范(fàn)数(shù)据活动环境、保障数据安全奠定了(le)基(jī)础。
记者:《数据安全法(草案)》的出台对数(shù)据安(ān)全产(chǎn)业领(lǐng)域中的企业(yè)有(yǒu)何重要意义(yì)?
张剑:可以看到(dào),数(shù)据安全(quán)法的最大特点是在鼓励数据流动、共享、乃至交易的情况下, 确保数据的安全(quán),与此同(tóng)时,国(guó)家正在最大限(xiàn)度地推动(dòng)各行各业的(de)大(dà)数据(jù)开放(fàng)和共(gòng)享。数据这一新的(de)生(shēng)产(chǎn)力已(yǐ)经逐步(bù)成(chéng)为(wéi)各行业(yè)信息化中的基本共识(shí)。这样(yàng)强(qiáng)有力(lì)的政策驱(qū)动对产业(yè)界而言,无疑是重大的市场机(jī)遇。
与此同时(shí),在大数据背景下(xià),数据类型(xíng)多样化(huà)、数据交换共享手(shǒu)段的多样化,以及用户场景(jǐng)和需求(qiú)的极大丰富,导致产业界在技术和(hé)产品中出现了诸多新的挑战,如行业数(shù)据的安全(quán)分(fèn)级、结构化(huà)和非结构(gòu)化数据的识别和标记、数(shù)据流动全过(guò)程溯源和安全治理、业务全过程中的(de)数据流动风险评估、隐私数据的安全计算、多(duō)方数(shù)据共享中的多方计算等问题的出现带(dài)动了传(chuán)统(tǒng)数据安全企业(yè)的转型,以及一大批数据安全创(chuàng)新公司的出现(xiàn)。
因此,数(shù)据安全产业在(zài)概念、内涵、技术、产品各个方面,都已出(chū)现了巨大变化,成(chéng)为网络安全领域中一个全新的热点,处于一个快速的产(chǎn)业发展期。
记(jì)者(zhě):请您谈(tán)谈,卫士通目前的技术(shù)沉淀、创(chuàng)新和产品研发情况,与其他数(shù)据安全(quán)企业相(xiàng)比,其优势在哪里?《数据安全法(fǎ)(草案)》对贵(guì)司带来哪些影响,又将如何布局(jú)?
张剑:着力(lì)于数据安全这一热点领(lǐng)域,确保数(shù)据的机密(mì)性是其(qí)根本和起点,而在这(zhè)个方向上,卫(wèi)士通拥有着“红色基因(密码)、蓝色底蕴(yùn)(科技)”的先天优势。同时(shí),基于对数据(jù)安全法的深入理解,在国家推动数据流动和共享的新形势下,针对不同行业中不同性质和不同类型数(shù)据流动共享(xiǎng)时的保护场景(jǐng),卫士通充分(fèn)结(jié)合自身的密(mì)码优势(shì),以打造覆盖数据流动全周期的安全治理体系为目(mù)标,在数据识别与自动分级、数据标记、数据脱敏和降(jiàng)级(jí)、数据库和文件加密(mì)、数据流动全过程溯(sù)源等(děng)方向开展关键技术布局;并已初步形成以数据安全(quán)治理平台、数据脱(tuō)敏系(xì)统、数(shù)据分级工具、数(shù)据库(kù)加密产(chǎn)品(pǐn)、数(shù)据密标产品(pǐn)为代表的(de)系列化产品;并(bìng)与业(yè)界(jiè)友商形成广(guǎng)泛的合作和整合,建(jiàn)立了数据安全的(de)“生态圈”,具备(bèi)多(duō)个行业应用场景下的数据安(ān)全整体解(jiě)决方(fāng)案的提供能力。
记者(zhě):《数据安全法(fǎ)(草(cǎo)案)》背景下,作为业内首(shǒu)个全服务化政务云安全项目,“成都市政务(wù)云——数据安全治理项目(mù)”对整个行业有何重要(yào)意(yì)义?
张剑:“成(chéng)都市政务云——数据安全治理项目(mù)”可以(yǐ)说是政(zhèng)务领(lǐng)域一(yī)个较为完整和典(diǎn)型的数据安全治理案例。成(chéng)都(dōu)市的(de)数据安全共享、数据开放、数据治理(lǐ)以及数据利用模式呈现(xiàn)出典型(xíng)化和(hé)多样化(huà)的(de)特质(zhì)。典(diǎn)型化在于成都市作为一个一线的副省级城市,其数(shù)据(jù)交换和共享场景,以及数据(jù)覆(fù)盖的委办(bàn)局类型具备普(pǔ)遍的代表性;而多样化则在于成都市政务(wù)大(dà)数据的交换、汇集和处理(lǐ)的场景丰富(fù),且(qiě)政务(wù)数据种类(lèi)也呈现出(chū)多样化的特点(diǎn)。
该项目的顺利落地具备重要的示范意义,也(yě)将产生深远的影响(xiǎng)。首先,它表明在复杂(zá)的城市级政(zhèng)务数据应用场景下,数据(jù)安全治理(lǐ)的可(kě)行性以及实现效果(guǒ)是良好的。基于我们的解决方案,数据安全管理部门可(kě)以实(shí)现上万(wàn)类政(zhèng)务数据的有序分级、全场景下数据流动的全过(guò)程(chéng)追溯、不同场景下数据的有(yǒu)效控制和(hé)防护,以及基于数据(jù)级别(bié)的安全防护策略的动态协同(tóng)。其次,该项目在政务数据安(ān)全治理中,实现了诸多创新,且对(duì)于其(qí)他(tā)城市(shì)级的数据安全(quán)治理(lǐ)有一定的参考价值(zhí),包括:结合人(rén)工智能技术实现政务数据的识别与分级(jí),力图建立市级(jí)政务(wù)数据的分级分类标(biāo)准;综(zōng)合(hé)运(yùn)用多种(zhǒng)数据标记方法,对数据在共享交换、数据汇集、市(shì)县共享等不同场(chǎng)景(jǐng)下实现标(biāo)记跟踪;通过打通与资源目录、共(gòng)享交换等数(shù)据资源体系中的关键组件的接口,获取数(shù)据流动日志,实现(xiàn)数据流动(dòng)全过程的(de)追溯;基于数(shù)据标记识别数据的安全级别(bié),并(bìng)以此(cǐ)为基础实现各类数据安(ān)全防护设备的策略协同(tóng)。
最后,在该项(xiàng)目实施过程中我们遇到的问题和经验总结,也对(duì)其他城(chéng)市数据安全(quán)治理有(yǒu)一(yī)定的借鉴意义,包括:实施过程中前置机的安全责任以及安全措施(shī)之间的关系,数据(jù)交换系统、数据共享系统(tǒng)与数据标记之间(jiān)的融合, 如何以最小的代价将(jiāng)安全与(yǔ)业务相结合,让(ràng)业(yè)务流(liú)程(chéng)、应用的(de)改造量最(zuì)小(xiǎo),实现(xiàn)效益最大化。
记者:众所周知,《数据安全法(草案(àn))》的出台将更加凸显数据安(ān)全的重要性,密码应用将(jiāng)在数(shù)据(jù)安全(quán)方面起到什(shí)么样(yàng)的(de)作(zuò)用?
张剑:从数据安全的角度(dù)讲,密码(mǎ)是(shì)基础性的(de)保证(zhèng),能够确保(bǎo)数据(jù)在各种场景下的机密性。这也是卫(wèi)士通为什么一直在致力于数据加密。从最初的文件加密,到现在的数据库加密, 再到基(jī)于密(mì)码的(de)数据(jù)多方安全共享等,密码(mǎ)技(jì)术始终是其(qí)核心和灵魂。与此同时(shí),数据(jù)加密新的场(chǎng)景(jǐng)也对密码算法和密码的(de)应用(yòng)带来了新(xīn)的挑战,例如在(zài)数据多(duō)方计算和(hé)多方共(gòng)享的场(chǎng)景中(zhōng),就(jiù)对(duì)密码算法带来了新的挑战,需要提供具备实(shí)用(yòng)性(xìng)的密文(wén)计算或多方计算的算法, 在“数据不(bú)见面”情况下实现数据有效利用。
同时,数据安全关(guān)注度的极大提高,也会给(gěi)内(nèi)嵌了密码机制的各种(zhǒng)数据(jù)交(jiāo)互的应(yīng)用带来更多机遇,卫士通一直致力于为党政(zhèng)高安全用户提供(gòng)内嵌安全(quán)属性和密码属性(xìng)的应用,如橙邮、橙讯等(děng);采用这样的方(fāng)式,能够很好地做到应用中(zhōng)进行数(shù)据交换或者数据流(liú)动时,对(duì)数据的机密性加以保护。
记者:《数据安全法(草案)》对政企的(de)数据安全建设(shè)提出了(le)明确要求,您认为当前政(zhèng)企数据(jù)安全(quán)建设存在哪些问(wèn)题和(hé)挑战?
张剑:从(cóng)政府角度讲,最大的问题就是如(rú)何通过数据(jù)安全治理的思路来打通整(zhěng)个政府数据共享和交(jiāo)换路径的(de)通道。
具体而言,首先,政(zhèng)务数据的分级和分类(lèi)目前没有(yǒu)清晰的标准和法规的引领。从国家到地方(fāng),目前都(dōu)还没有真正出台一部围绕政务数据的(de)标准和法案,从而导致没有具体、有(yǒu)法可依、可操作性(xìng)的规范抓手,进(jìn)而也就没有形成一个规(guī)范性的解决思路或指(zhǐ)导性意见,因此数据分级问题很难在实际当(dāng)中有效开展。
其次,政府(fǔ)如何科学有效(xiào)监管?在目前大(dà)力推动政(zhèng)府数据的(de)交换、共享(xiǎng)、开放的大背景下, 如何对数据的流动、流向进行有效监管,掌握数据流(liú)动(dòng)的全过程(chéng);同时,如何整(zhěng)合当前的各种离散的数(shù)据(jù)安全(quán)防护手(shǒu)段(duàn),建立以数据属性(xìng)为核(hé)心的一体化数据安全防(fáng)护策略,实现对数据(jù)流(liú)动中的(de)统一有效管控(kòng),也是当下的一个挑战和难点(diǎn)。
对企业而言,国(guó)家正在积极推动(dòng)商业秘(mì)密数(shù)据的保护,国资(zī)委、国家保密局都已经出台了相关的(de)要求和(hé)文件,央企首(shǒu)当其冲(chōng)面临着如(rú)何实现内部商业秘密数据的有序(xù)安全、流动的问题。从文件产生,到文件(jiàn)通过邮件(jiàn)、即时(shí)通信(xìn)、网盘(pán)等多种方(fāng)式进行交换,再到接(jiē)收方打(dǎ)开和阅读文(wén)件的全过(guò)程中,如何识别商(shāng)业秘(mì)密数据、如何进行标记,如何在产生、交换、阅读过程中进行管控,亟需完善(shàn)的数据(jù)安全解决方(fāng)案。
目前,卫(wèi)士(shì)通结合自身在数据(jù)标记、数据加(jiā)密等方面的技术(shù)和产品(pǐn)积累(lèi),与业界的(de)合作(zuò)伙(huǒ)伴(bàn)积(jī)极对接(jiē),形成支持结构(gòu)化和(hé)非结构化数据,支(zhī)撑各种数据交换(huàn)手段,具备较(jiào)高(gāo)自动化水(shuǐ)平(píng)的商业秘密数据识别(bié)和标记能力,覆盖数据交换全(quán)链条的商业秘密数据保护方案。
记者(zhě):从《数据安(ān)全法(fǎ)(草案(àn))》可以看到国家的数据安全整体布局(jú),请(qǐng)问卫士(shì)通将在(zài)其(qí)中(zhōng)扮演(yǎn)什么(me)样(yàng)的角色?
张(zhāng)剑:首先,我们希望把密(mì)码的基因发挥到极致。在数(shù)据安(ān)全的治理体系当(dāng)中,有诸多环节都(dōu)离(lí)不开密码,其重要性不言(yán)而喻,为此可以放大(dà)密码(mǎ)基因,在我们原有(yǒu)的文件加密、数据库加密(mì)等方式(shì)上进一步放大,并且(qiě)积极去寻求和各(gè)种应(yīng)用场景的对接,让其在数据安全中(zhōng)的作用发挥得更出色。
其次,结合对国家(jiā)在政企数据保护的政策(cè)、标准、法(fǎ)规(guī)的(de)研究,以及卫士通(tōng)公(gōng)司(sī)在(zài)数据安全领域的实践,可以看到未来数据安全治理将围绕数据(jù)内(nèi)容,打造(zào)以(yǐ)内(nèi)容为核心的数(shù)据安全治理(lǐ)和(hé)防护体系(xì)。在该体系当中(zhōng),卫士通将(jiāng)打造针(zhēn)对(duì)数据内容(róng)的数据分级和识(shí)别、数据标记(jì), 以及数据溯源的(de)能力,从(cóng)而在未来的数(shù)据安全产业链条中占据产业上(shàng)游(yóu)的技(jì)术(shù)和产(chǎn)品供应商地位,同时(shí)通过整合(hé)和合作,形(xíng)成完整的数(shù)据安全解决方案的提供(gòng)能力。
