衛士通信息產業股份有限公司副總經理
張 劍
張劍,衛士通信息產業股份有限公司副總經理�、高級工程師�,負責公司在云安全�、數據安全以及安全服務等業務領域的技術能力和產品規劃等工作,擁有信息安全領域十余年從業經驗�,曾先后榮獲省級�、部級及軍隊科技進步獎�,并作為系統總師參與軍隊多個重大系統的信息安全體系設計�,先后參與工信部�、國家保密局及公安部的云計算及大數據安全標準的擬制工作,并作為ITU會員參與國際電聯相關云計算安全標準的討論和研究工作�,團隊所研發的安全虛擬桌面及安全云操作系統已經獲得公安部最高安全等級的增強級產品測評認證�。
目前�,全球進入大數據時代�,數據呈現爆發式增長的同時,也帶來了前所未有的風險與安全挑戰�?!吨腥A人民共和國數據安全法(草案)》(以下簡稱《數據安全法(草案)》)的頒布�,旨在搭建一個更為全面的數據安全保障體系。這不僅體現了國家對數據戰略的重大考量�,也給相關的網絡安全企業帶來了重大機遇�。
衛士通作為一家以保護國家網絡空間安全為己任的公司�,20多年來一直在國家重要行業信息系統的信息安全保障中發揮著重要作用,當下的《數據安全法(草案)》的出臺�,對衛士通而言�,既是機遇�,也是挑戰。為此�,記者采訪了衛士通副總經理張劍,就《數據安全法 (草案 )》、對企業的挑戰與機遇,以及公司在數據安全領域的布局等問題,進行了溝通交流,現整理如下�,以饗讀者�。
記者:您如何評價剛出臺的《數據安全法(草案)》�?
張劍:《數據安全法(草案)》的出臺,首先從宏觀層面上明確了國家的大數據發展戰略是引導安全需求要與數據的開發利用相結合,不是為了保護而保護�。同時�,草案從立法層面確立了我國數據安全治理與監管體系�,表明數據安全已成為事關國家安全與經濟社會發展的重大關鍵點。國家關于數據安全的總體戰略,是鼓勵數據活動的各方共同參與數據安全的保護工作�,并且對開展數據活動的主體�、相關的監管部門提出了義務和安全責任�。
在(草案)中,對數據的定義、數據各參與方的責任和義務都進行了清晰的厘定�,明確規定了數據保護的主體責任和義務是進行數據活動的主體�,特別規范了國家機關在進行政務信息開放時的責任和義務。國家相關部門(行業主管部門�、公安機關�、網信部門等)從監管的角度規范數據處理的環境�,國家將從數據的安全風險評估、監測預警�、應急處置和安全審查四個方面進行數據安全的監管�。
其次�,國家也規范了在線數據處理和數據交易,要求專門提供在線數據處理等服務的經營者需要依法取得經營業務許可或者備案�。針對個人信息�、重要數據和涉密數據的處理者來說,都需要采取合法�、正當的方式�,并有保護的義務�,包括在境內開展數據活動的境外組織。再次�,國家要求數據活動主體加強風險監測�,針對重要數據的處理者還應定期開展風險評估�,并向有關主管部門報送風險評估報告。
綜上所述�,《數據安全法(草案)》可以說為國家后續規范數據活動環境�、保障數據安全奠定了基礎�。
記者:《數據安全法(草案)》的出臺對數據安全產業領域中的企業有何重要意義?
張劍:可以看到�,數據安全法的最大特點是在鼓勵數據流動�、共享�、乃至交易的情況下, 確保數據的安全�,與此同時�,國家正在最大限度地推動各行各業的大數據開放和共享�。數據這一新的生產力已經逐步成為各行業信息化中的基本共識。這樣強有力的政策驅動對產業界而言�,無疑是重大的市場機遇�。
與此同時�,在大數據背景下,數據類型多樣化、數據交換共享手段的多樣化�,以及用戶場景和需求的極大豐富,導致產業界在技術和產品中出現了諸多新的挑戰�,如行業數據的安全分級�、結構化和非結構化數據的識別和標記�、數據流動全過程溯源和安全治理、業務全過程中的數據流動風險評估�、隱私數據的安全計算�、多方數據共享中的多方計算等問題的出現帶動了傳統數據安全企業的轉型�,以及一大批數據安全創新公司的出現。
因此,數據安全產業在概念、內涵�、技術�、產品各個方面�,都已出現了巨大變化,成為網絡安全領域中一個全新的熱點,處于一個快速的產業發展期�。
記者:請您談談�,衛士通目前的技術沉淀�、創新和產品研發情況,與其他數據安全企業相比,其優勢在哪里?《數據安全法(草案)》對貴司帶來哪些影響�,又將如何布局�?
張劍:著力于數據安全這一熱點領域�,確保數據的機密性是其根本和起點,而在這個方向上,衛士通擁有著“紅色基因(密碼)�、藍色底蘊(科技)”的先天優勢�。同時�,基于對數據安全法的深入理解,在國家推動數據流動和共享的新形勢下,針對不同行業中不同性質和不同類型數據流動共享時的保護場景,衛士通充分結合自身的密碼優勢,以打造覆蓋數據流動全周期的安全治理體系為目標,在數據識別與自動分級�、數據標記�、數據脫敏和降級�、數據庫和文件加密、數據流動全過程溯源等方向開展關鍵技術布局;并已初步形成以數據安全治理平臺�、數據脫敏系統�、數據分級工具�、數據庫加密產品、數據密標產品為代表的系列化產品;并與業界友商形成廣泛的合作和整合,建立了數據安全的“生態圈”�,具備多個行業應用場景下的數據安全整體解決方案的提供能力�。
記者:《數據安全法(草案)》背景下�,作為業內首個全服務化政務云安全項目,“成都市政務云——數據安全治理項目”對整個行業有何重要意義�?
張劍:“成都市政務云——數據安全治理項目”可以說是政務領域一個較為完整和典型的數據安全治理案例�。成都市的數據安全共享�、數據開放、數據治理以及數據利用模式呈現出典型化和多樣化的特質�。典型化在于成都市作為一個一線的副省級城市�,其數據交換和共享場景�,以及數據覆蓋的委辦局類型具備普遍的代表性;而多樣化則在于成都市政務大數據的交換�、匯集和處理的場景豐富�,且政務數據種類也呈現出多樣化的特點�。
該項目的順利落地具備重要的示范意義,也將產生深遠的影響�。首先�,它表明在復雜的城市級政務數據應用場景下�,數據安全治理的可行性以及實現效果是良好的�。基于我們的解決方案�,數據安全管理部門可以實現上萬類政務數據的有序分級�、全場景下數據流動的全過程追溯�、不同場景下數據的有效控制和防護,以及基于數據級別的安全防護策略的動態協同�。其次�,該項目在政務數據安全治理中�,實現了諸多創新,且對于其他城市級的數據安全治理有一定的參考價值�,包括:結合人工智能技術實現政務數據的識別與分級�,力圖建立市級政務數據的分級分類標準�;綜合運用多種數據標記方法,對數據在共享交換�、數據匯集�、市縣共享等不同場景下實現標記跟蹤�;通過打通與資源目錄、共享交換等數據資源體系中的關鍵組件的接口�,獲取數據流動日志�,實現數據流動全過程的追溯�;基于數據標記識別數據的安全級別,并以此為基礎實現各類數據安全防護設備的策略協同�。
最后�,在該項目實施過程中我們遇到的問題和經驗總結,也對其他城市數據安全治理有一定的借鑒意義�,包括:實施過程中前置機的安全責任以及安全措施之間的關系�,數據交換系統�、數據共享系統與數據標記之間的融合, 如何以最小的代價將安全與業務相結合�,讓業務流程�、應用的改造量最小�,實現效益最大化。
記者:眾所周知�,《數據安全法(草案)》的出臺將更加凸顯數據安全的重要性�,密碼應用將在數據安全方面起到什么樣的作用�?
張劍:從數據安全的角度講,密碼是基礎性的保證�,能夠確保數據在各種場景下的機密性�。這也是衛士通為什么一直在致力于數據加密�。從最初的文件加密,到現在的數據庫加密�, 再到基于密碼的數據多方安全共享等�,密碼技術始終是其核心和靈魂�。與此同時,數據加密新的場景也對密碼算法和密碼的應用帶來了新的挑戰�,例如在數據多方計算和多方共享的場景中�,就對密碼算法帶來了新的挑戰�,需要提供具備實用性的密文計算或多方計算的算法, 在“數據不見面”情況下實現數據有效利用。
同時�,數據安全關注度的極大提高�,也會給內嵌了密碼機制的各種數據交互的應用帶來更多機遇�,衛士通一直致力于為黨政高安全用戶提供內嵌安全屬性和密碼屬性的應用�,如橙郵、橙訊等�;采用這樣的方式�,能夠很好地做到應用中進行數據交換或者數據流動時�,對數據的機密性加以保護。
記者:《數據安全法(草案)》對政企的數據安全建設提出了明確要求�,您認為當前政企數據安全建設存在哪些問題和挑戰�?
張劍:從政府角度講�,最大的問題就是如何通過數據安全治理的思路來打通整個政府數據共享和交換路徑的通道。
具體而言�,首先�,政務數據的分級和分類目前沒有清晰的標準和法規的引領�。從國家到地方,目前都還沒有真正出臺一部圍繞政務數據的標準和法案�,從而導致沒有具體�、有法可依�、可操作性的規范抓手,進而也就沒有形成一個規范性的解決思路或指導性意見�,因此數據分級問題很難在實際當中有效開展�。
其次�,政府如何科學有效監管?在目前大力推動政府數據的交換�、共享�、開放的大背景下�, 如何對數據的流動、流向進行有效監管�,掌握數據流動的全過程�;同時�,如何整合當前的各種離散的數據安全防護手段,建立以數據屬性為核心的一體化數據安全防護策略�,實現對數據流動中的統一有效管控�,也是當下的一個挑戰和難點�。
對企業而言,國家正在積極推動商業秘密數據的保護�,國資委�、國家保密局都已經出臺了相關的要求和文件�,央企首當其沖面臨著如何實現內部商業秘密數據的有序安全、流動的問題�。從文件產生�,到文件通過郵件�、即時通信、網盤等多種方式進行交換�,再到接收方打開和閱讀文件的全過程中�,如何識別商業秘密數據�、如何進行標記,如何在產生�、交換�、閱讀過程中進行管控�,亟需完善的數據安全解決方案。
目前�,衛士通結合自身在數據標記�、數據加密等方面的技術和產品積累�,與業界的合作伙伴積極對接�,形成支持結構化和非結構化數據,支撐各種數據交換手段,具備較高自動化水平的商業秘密數據識別和標記能力,覆蓋數據交換全鏈條的商業秘密數據保護方案。
記者:從《數據安全法(草案)》可以看到國家的數據安全整體布局�,請問衛士通將在其中扮演什么樣的角色�?
張劍:首先�,我們希望把密碼的基因發揮到極致。在數據安全的治理體系當中,有諸多環節都離不開密碼,其重要性不言而喻�,為此可以放大密碼基因�,在我們原有的文件加密�、數據庫加密等方式上進一步放大,并且積極去尋求和各種應用場景的對接,讓其在數據安全中的作用發揮得更出色�。
其次�,結合對國家在政企數據保護的政策�、標準、法規的研究,以及衛士通公司在數據安全領域的實踐�,可以看到未來數據安全治理將圍繞數據內容�,打造以內容為核心的數據安全治理和防護體系�。在該體系當中,衛士通將打造針對數據內容的數據分級和識別、數據標記�, 以及數據溯源的能力�,從而在未來的數據安全產業鏈條中占據產業上游的技術和產品供應商地位�,同時通過整合和合作,形成完整的數據安全解決方案的提供能力。
