卫士通信息产业股份有限公司副总经理
张 剑
张剑���,卫士通信息产业股份(fèn)有限公司(sī)副总经(jīng)理��、高级工(gōng)程师��,负责公司(sī)在云安全���、数据(jù)安全(quán)以(yǐ)及(jí)安全服务等业务领域的技术能力(lì)和产品规划等工作����,拥有信息安全领域十余年(nián)从业经验����,曾先后荣获省级���、部级及军队科技进步奖���,并作为系统(tǒng)总师参与军队多个重(chóng)大系(xì)统的信息安全(quán)体系设计��,先后参(cān)与工信部���、国(guó)家保密局及公安部(bù)的云计算及(jí)大(dà)数据安(ān)全标准的拟制工作��,并作为ITU会员参与国际电联相关云计算安(ān)全标准的讨论(lùn)和研究工作����,团队(duì)所研发的(de)安(ān)全虚拟桌面及安全云操作系统已经获得公安部(bù)最高安全等级的增强级产(chǎn)品测(cè)评认证��。
目前��,全(quán)球进入大数据时代����,数(shù)据(jù)呈现爆发式增长的同时(shí)����,也带来(lái)了前所(suǒ)未有(yǒu)的风(fēng)险与安全挑战�����。《中华人民共和国数据安全法(草案)》(以(yǐ)下(xià)简(jiǎn)称《数据安全法(fǎ)(草(cǎo)案)》)的颁(bān)布��,旨在搭建一个更(gèng)为全面的(de)数据安全(quán)保(bǎo)障(zhàng)体系����。这(zhè)不仅体现了国(guó)家对数(shù)据战略的重(chóng)大(dà)考(kǎo)量���,也给相关(guān)的网络安全企业带来了重大(dà)机(jī)遇���。
卫(wèi)士通作为(wéi)一家以保(bǎo)护国家(jiā)网络空间安全为(wéi)己任的公司�����,20多年来一直(zhí)在国家重要行业信(xìn)息系统(tǒng)的信(xìn)息安全保障中发(fā)挥着重要作用�����,当下的(de)《数据安全法(草案)》的(de)出台���,对(duì)卫(wèi)士通而言���,既是机遇����,也是挑战��。为此��,记者采访了卫士通副总经(jīng)理张剑�����,就《数据安(ān)全法 (草案 )》��、对企(qǐ)业的挑战(zhàn)与机遇��,以及公司(sī)在数据安全领域的布局等问题(tí)����,进行了沟(gōu)通交流��,现整理如下����,以飨(xiǎng)读者���。
记者�����:您如何评价(jià)刚(gāng)出台(tái)的《数据安(ān)全法(fǎ)(草案)》����?
张剑���:《数(shù)据安全法(草案(àn))》的出台���,首先从宏观层面(miàn)上明确了国家的大(dà)数据发(fā)展(zhǎn)战略是引导安全(quán)需求(qiú)要与(yǔ)数据的开发利用相结合����,不是为(wéi)了保护而保护(hù)���。同时(shí)����,草案从立(lì)法层面确立了我国数据安全治理与监管体系(xì)��,表明数据安全(quán)已成为事关国家安全与经济社会发展(zhǎn)的重大关键点���。国家关于(yú)数据(jù)安全的总体战略(luè)���,是鼓励数据活(huó)动的各方共同参与数据安全的(de)保护工作��,并且对开展数据活(huó)动的主体(tǐ)���、相关的监管部门提出了义(yì)务(wù)和安全责任(rèn)����。
在(草案)中����,对数(shù)据的定义��、数据各参与方(fāng)的责(zé)任和义务都进行了(le)清晰的厘定����,明确规定了数据保(bǎo)护的主(zhǔ)体责任和义务是进行数据活动(dòng)的主(zhǔ)体����,特别规范了国家机关(guān)在进(jìn)行(háng)政务信息(xī)开放时的(de)责任和义务�����。国家相(xiàng)关部门(行业主管部门����、公安机关����、网信(xìn)部门等)从(cóng)监管的角度(dù)规范数据处理的环(huán)境����,国家将从(cóng)数据的安全风险评(píng)估���、监(jiān)测预警��、应急处置(zhì)和安全审(shěn)查四个方面进行数据(jù)安(ān)全的监管���。
其(qí)次��,国(guó)家也规范(fàn)了在线数据处理和数据交易�����,要求专(zhuān)门提供(gòng)在线数据处理等服务的经营者(zhě)需(xū)要(yào)依法取得(dé)经营业务许可或者备(bèi)案��。针对个人(rén)信息���、重要数据和涉密数据的(de)处理者来说����,都需要采取合法���、正当的方式���,并有保护的义(yì)务(wù)���,包(bāo)括在境内开展(zhǎn)数据活动的境外组织���。再(zài)次��,国家(jiā)要(yào)求数据活动主体加(jiā)强风险监测����,针对重要数据的处理者还应(yīng)定期开展(zhǎn)风险评估(gū)���,并向有关(guān)主管部门报送风(fēng)险(xiǎn)评估报告����。
综上所述���,《数据安全法(草案(àn))》可以说为国(guó)家后续(xù)规范数据(jù)活动环境���、保障数据安全奠定了基础���。
记者�����:《数据安全法(草案)》的出台对数(shù)据安全产(chǎn)业领域中的(de)企(qǐ)业有何重要(yào)意(yì)义����?
张剑(jiàn)����:可以(yǐ)看(kàn)到��,数(shù)据安全法的最大特点是在鼓励数据流动���、共享����、乃至交易的情况(kuàng)下����, 确(què)保数据(jù)的安(ān)全��,与此同时���,国家(jiā)正在最大限度地推动各(gè)行各业的大数(shù)据开放和共享���。数据这(zhè)一新的生产力已经逐步成为各行业(yè)信息(xī)化中的基本共识��。这(zhè)样强有力的政策驱动对产业(yè)界而(ér)言���,无(wú)疑是重大(dà)的市场机遇���。
与此(cǐ)同(tóng)时��,在大数据背景下���,数据类型多样(yàng)化(huà)���、数据交换共享手段的(de)多样化��,以及用户(hù)场景(jǐng)和需求的极大丰富(fù)���,导(dǎo)致产业界(jiè)在技术和(hé)产品(pǐn)中出现了诸多新的(de)挑战���,如行业数据的安(ān)全(quán)分级���、结构化和非结构化(huà)数据的识别和(hé)标记���、数据流动全过程溯源(yuán)和安全治理(lǐ)����、业务全过(guò)程中的数据流动风险评估���、隐私数据(jù)的安(ān)全计算����、多方数据共享中(zhōng)的多(duō)方计算等问题的出现带动了传统数据安(ān)全企业的转型(xíng)���,以(yǐ)及一大批数据安全创新(xīn)公司的(de)出现���。
因此����,数(shù)据安全产业在概念����、内涵���、技术�����、产品各个方面���,都已出现了(le)巨大变化��,成为网络安(ān)全(quán)领域中一(yī)个(gè)全新的热点��,处于一(yī)个快速的产(chǎn)业发展期(qī)��。
记者(zhě)���:请您谈谈���,卫士通目前的技术(shù)沉淀(diàn)���、创新和产品研发情况���,与其(qí)他数据安全企业相(xiàng)比��,其优势在哪里����?《数(shù)据安全法(草案)》对(duì)贵司带来哪些影响����,又将如(rú)何布局���?
张剑(jiàn)���:着力于数据安全这一(yī)热(rè)点(diǎn)领域���,确保数据的机密(mì)性是其根本(běn)和起点����,而在这个(gè)方向上����,卫士通拥(yōng)有(yǒu)着“红色基因(yīn)(密码)��、蓝色底蕴(科技(jì))”的先天(tiān)优势���。同时���,基于对数(shù)据安(ān)全法的深入理解��,在(zài)国家推动数据流(liú)动(dòng)和共享的新形势下����,针对不同行业中不同性质和不同(tóng)类(lèi)型数(shù)据流动共(gòng)享时的保(bǎo)护场景����,卫士通充分(fèn)结合自身(shēn)的密码优势��,以打(dǎ)造覆盖数据流(liú)动全周(zhōu)期的安全治(zhì)理体系为目标(biāo)����,在数据识别与自动分级��、数据标记����、数据脱敏和降级��、数据库和文件加密(mì)����、数(shù)据流动全过程溯源等(děng)方向开展关键技术布局���;并已初(chū)步形(xíng)成以数据安全治理(lǐ)平台���、数(shù)据脱敏系统�����、数据分级工具���、数据库(kù)加(jiā)密产品����、数据密标产品为代表的(de)系列化(huà)产品�����;并与业界友商(shāng)形(xíng)成广泛(fàn)的(de)合作(zuò)和整(zhěng)合����,建立了(le)数据(jù)安全(quán)的“生(shēng)态圈”�����,具备多个行(háng)业应用场景下的数据安全整体解决方案的提供能力��。
记者(zhě)���:《数据安全法(草案)》背景下���,作为业内首个(gè)全服务(wù)化政务云安全(quán)项目����,“成都(dōu)市政务(wù)云——数据安全(quán)治理项目”对整个(gè)行业有何重(chóng)要意义����?
张剑���:“成都市(shì)政务(wù)云——数据安全治理项目”可以(yǐ)说是政(zhèng)务领域(yù)一个较(jiào)为完整(zhěng)和典型的数据安全治理案例���。成(chéng)都(dōu)市的数据安全共享���、数据开放����、数据治理以及数据利用模式(shì)呈现(xiàn)出(chū)典型化和多样化的特质����。典型化在(zài)于成都市(shì)作为一个一线(xiàn)的(de)副(fù)省级城市��,其数(shù)据交换和共(gòng)享场景(jǐng)�����,以及数(shù)据覆盖的(de)委办(bàn)局类(lèi)型具备普(pǔ)遍的代表性����;而多样化则(zé)在于成都市政务大数(shù)据(jù)的交换���、汇集和处理的场景丰富���,且政务(wù)数据种类也呈现出多(duō)样化的特点��。
该(gāi)项目(mù)的顺利落地具备重要的示(shì)范意义����,也将产生深远的影响���。首先��,它表明(míng)在复杂的城市级政务数据应用场景下��,数据安全治理的可行性以及实现效果是良好的����。基于(yú)我们的解决方(fāng)案����,数据安全管理部(bù)门可以实现(xiàn)上万类政务数据(jù)的有序分级(jí)����、全场景下数据流动的(de)全过程追溯���、不同场景(jǐng)下数据的有效控制和防(fáng)护(hù)���,以(yǐ)及基于(yú)数(shù)据级(jí)别的安全防护(hù)策略的动(dòng)态协同��。其次�����,该(gāi)项目(mù)在政务(wù)数(shù)据安全治理中��,实现了(le)诸(zhū)多创新����,且对于其他(tā)城(chéng)市(shì)级的数据安(ān)全(quán)治(zhì)理有一定的参考价值���,包(bāo)括���:结合人工(gōng)智(zhì)能技术实现(xiàn)政务数据的识别与分级��,力图建立市级政务(wù)数据的(de)分级分类标准����;综(zōng)合运(yùn)用多种数据标记方(fāng)法��,对数据在共享交换���、数据(jù)汇集��、市县共享等不同场景下实现标(biāo)记(jì)跟踪����;通过打通与(yǔ)资源(yuán)目录����、共(gòng)享交(jiāo)换等数据资源体系(xì)中(zhōng)的关(guān)键(jiàn)组件(jiàn)的接口��,获取(qǔ)数据流动日志��,实现数据流动全过程的追溯���;基(jī)于数据标记识别数据的安全(quán)级别(bié)����,并以此为基础(chǔ)实现(xiàn)各类数据安全防护设(shè)备(bèi)的策略协(xié)同����。
最后���,在该(gāi)项目实施(shī)过程中我们遇到的问(wèn)题和经验总结���,也对其他城市数据安(ān)全治(zhì)理有一定的借(jiè)鉴意义��,包括���:实施过程中(zhōng)前置机(jī)的(de)安全责任以及安(ān)全(quán)措施之间的关系�����,数(shù)据交换系统����、数据共(gòng)享系(xì)统与(yǔ)数据标(biāo)记之间的融合����, 如何以最(zuì)小的代价将安全与业务相结合����,让业务流程��、应用的改造量最(zuì)小���,实现(xiàn)效益最大化����。
记者��:众(zhòng)所周知����,《数据安全法(草(cǎo)案(àn))》的出台将更加凸显数据安全的重要(yào)性��,密码应用将在数(shù)据安全方面起到(dào)什么样的作用���?
张剑�����:从数据安全的角度讲���,密码是基(jī)础性的保(bǎo)证��,能(néng)够确保数据(jù)在各种场景(jǐng)下的机密性��。这也是卫士通为什么一直在(zài)致力于数据加密���。从最初的文件加密(mì)��,到现在的数据(jù)库加密�����, 再到基于密码的数(shù)据多方(fāng)安全共享等��,密码技术(shù)始终是(shì)其核(hé)心(xīn)和灵魂����。与此同时���,数据加(jiā)密新的(de)场景也对密码算(suàn)法和密码的(de)应(yīng)用(yòng)带(dài)来了新的挑战���,例(lì)如在数据(jù)多方(fāng)计算和多(duō)方(fāng)共享的场景中����,就对密码算法带来了新的挑(tiāo)战(zhàn)���,需要提供具备实用性的密文计(jì)算(suàn)或多方计算的算法��, 在“数据不见面”情况下(xià)实现数据有效利用����。
同时���,数据安全关注度的极大(dà)提高��,也(yě)会(huì)给内嵌了密码机制的各种数据(jù)交互的应(yīng)用带(dài)来更多机遇����,卫士通(tōng)一直致力于为党政高(gāo)安全用户提供内嵌(qiàn)安全属性和密码属性(xìng)的应用����,如(rú)橙邮���、橙讯等��;采用(yòng)这样的方式���,能(néng)够很好地做到应用中进行数据交(jiāo)换或者数据流动(dòng)时���,对数据的机密(mì)性加以(yǐ)保护���。
记者����:《数(shù)据安(ān)全法(fǎ)(草案)》对政企的数据安全(quán)建设提出了明确要求�����,您认为当前(qián)政企数据安全建设存在哪些问题(tí)和挑战����?
张剑�����:从政(zhèng)府角(jiǎo)度讲��,最(zuì)大的问题就是如何(hé)通过数(shù)据(jù)安全(quán)治理的思路来打通整个政(zhèng)府数据共享和(hé)交换路径的通道����。
具体而言����,首先(xiān)��,政务数据的(de)分级和分(fèn)类(lèi)目(mù)前没有清晰(xī)的(de)标准和(hé)法(fǎ)规的引领����。从国家到(dào)地(dì)方��,目前都(dōu)还没有真正出(chū)台一部围(wéi)绕(rào)政务数据的标准和法案���,从而导致(zhì)没有具体�����、有法可依(yī)�����、可操作(zuò)性的规范抓手���,进而(ér)也就没有形(xíng)成一个规范性的解(jiě)决思路(lù)或指导性意(yì)见���,因此数(shù)据分级(jí)问题(tí)很(hěn)难在实际当中有效开展����。
其次����,政府(fǔ)如何科(kē)学有(yǒu)效监管��?在(zài)目前大力(lì)推动政府数据的(de)交换���、共享��、开放的大背景下(xià)����, 如何对数据的流(liú)动���、流向(xiàng)进行(háng)有(yǒu)效监管(guǎn)��,掌握(wò)数据(jù)流动的(de)全过程(chéng)��;同时���,如何整合当前的各种离散的数(shù)据(jù)安全防护手段��,建立(lì)以数据属性为核心的一体(tǐ)化数据(jù)安全防(fáng)护策略(luè)��,实现对数据(jù)流动(dòng)中的统一有效管控����,也是当下的一个(gè)挑战(zhàn)和难点���。
对企业而言���,国家正在(zài)积极推动商(shāng)业(yè)秘密(mì)数(shù)据的保护�����,国资委�����、国家保密局都已经(jīng)出台(tái)了相关的要求和文(wén)件��,央企首当(dāng)其冲面临(lín)着如何实现(xiàn)内部(bù)商业秘(mì)密数据的有序安全����、流动的问(wèn)题��。从文(wén)件产生���,到文件通过邮件����、即时通(tōng)信���、网盘等多种方式进行交换(huàn)�����,再到接收方打开和阅读(dú)文件的全过(guò)程中(zhōng)����,如何(hé)识别商业秘密(mì)数据����、如何(hé)进(jìn)行标记���,如何在产生����、交换(huàn)���、阅读过程中进行(háng)管控���,亟需完善的数据安全解决(jué)方案����。
目前���,卫士(shì)通(tōng)结合自(zì)身在数(shù)据标记����、数据加密等方面的技术和产品积累���,与业界的(de)合作伙(huǒ)伴积极对接(jiē)���,形成支持结构(gòu)化和非结构化数据���,支(zhī)撑各(gè)种数据交换手段����,具备较高自动化水平的商业秘密数据识(shí)别和标记能力����,覆盖数据交换全链条的(de)商业秘密数据保护(hù)方案����。
记者�����:从《数据安全法(草案(àn))》可(kě)以看到(dào)国家的数据安全整体布局���,请问(wèn)卫士通将在其(qí)中(zhōng)扮演(yǎn)什么样的角(jiǎo)色����?
张剑���:首先����,我们希(xī)望(wàng)把(bǎ)密码(mǎ)的基因发(fā)挥到极(jí)致(zhì)����。在数据安全的治理体系当中(zhōng)����,有诸多环节都离不开密码���,其重要性不(bú)言而(ér)喻�����,为此可以(yǐ)放大(dà)密码基因���,在我们原有的文件加(jiā)密���、数(shù)据(jù)库(kù)加(jiā)密等(děng)方式上进一(yī)步放大��,并且积极去(qù)寻(xún)求(qiú)和各种(zhǒng)应用场景的对接���,让其在数据安(ān)全中的作用(yòng)发挥得更出色(sè)����。
其次����,结合(hé)对国家在政(zhèng)企数据保护的政策(cè)��、标(biāo)准���、法规的研究���,以及(jí)卫士通公司(sī)在(zài)数据(jù)安全(quán)领域的实践���,可以看到(dào)未来数据安全(quán)治理将围绕数据内容�����,打造以内容为核心的数据安全治理(lǐ)和防护体系����。在该体系(xì)当中��,卫士通将打造(zào)针对数(shù)据内容的数(shù)据分级(jí)和识别���、数据标(biāo)记���, 以及(jí)数据溯(sù)源的(de)能力�����,从而在未来的数据(jù)安全产业链条中占据产业上(shàng)游的技术和产品供应商地位����,同(tóng)时通(tōng)过整合和合作���,形成完整的数(shù)据安全解决方案(àn)的(de)提供能力(lì)�����。
