衛(wèi)士通信息產(chǎn)業(yè)股份有限公司副總經(jīng)理
張 劍
張劍���,衛(wèi)士通信息產(chǎn)業(yè)股份有限公司副總經(jīng)理��、高級工程師����,負(fù)責(zé)公司在云安全、數(shù)據(jù)安全以及安全服務(wù)等業(yè)務(wù)領(lǐng)域的技術(shù)能力和產(chǎn)品規(guī)劃等工作�����,擁有信息安全領(lǐng)域十余年從業(yè)經(jīng)驗(yàn)���,曾先后榮獲省級����、部級及軍隊(duì)科技進(jìn)步獎(jiǎng)��,并作為系統(tǒng)總師參與軍隊(duì)多個(gè)重大系統(tǒng)的信息安全體系設(shè)計(jì),先后參與工信部���、國家保密局及公安部的云計(jì)算及大數(shù)據(jù)安全標(biāo)準(zhǔn)的擬制工作����,并作為ITU會(huì)員參與國際電聯(lián)相關(guān)云計(jì)算安全標(biāo)準(zhǔn)的討論和研究工作�����,團(tuán)隊(duì)所研發(fā)的安全虛擬桌面及安全云操作系統(tǒng)已經(jīng)獲得公安部最高安全等級的增強(qiáng)級產(chǎn)品測評認(rèn)證���。
目前����,全球進(jìn)入大數(shù)據(jù)時(shí)代�,數(shù)據(jù)呈現(xiàn)爆發(fā)式增長的同時(shí),也帶來了前所未有的風(fēng)險(xiǎn)與安全挑戰(zhàn)�。《中華人民共和國數(shù)據(jù)安全法(草案)》(以下簡稱《數(shù)據(jù)安全法(草案)》)的頒布�����,旨在搭建一個(gè)更為全面的數(shù)據(jù)安全保障體系。這不僅體現(xiàn)了國家對數(shù)據(jù)戰(zhàn)略的重大考量���,也給相關(guān)的網(wǎng)絡(luò)安全企業(yè)帶來了重大機(jī)遇����。
衛(wèi)士通作為一家以保護(hù)國家網(wǎng)絡(luò)空間安全為己任的公司�����,20多年來一直在國家重要行業(yè)信息系統(tǒng)的信息安全保障中發(fā)揮著重要作用���,當(dāng)下的《數(shù)據(jù)安全法(草案)》的出臺,對衛(wèi)士通而言�,既是機(jī)遇,也是挑戰(zhàn)���。為此���,記者采訪了衛(wèi)士通副總經(jīng)理張劍,就《數(shù)據(jù)安全法 (草案 )》�����、對企業(yè)的挑戰(zhàn)與機(jī)遇�,以及公司在數(shù)據(jù)安全領(lǐng)域的布局等問題�,進(jìn)行了溝通交流���,現(xiàn)整理如下�����,以饗讀者��。
記者:您如何評價(jià)剛出臺的《數(shù)據(jù)安全法(草案)》����?
張劍:《數(shù)據(jù)安全法(草案)》的出臺�,首先從宏觀層面上明確了國家的大數(shù)據(jù)發(fā)展戰(zhàn)略是引導(dǎo)安全需求要與數(shù)據(jù)的開發(fā)利用相結(jié)合,不是為了保護(hù)而保護(hù)���。同時(shí)��,草案從立法層面確立了我國數(shù)據(jù)安全治理與監(jiān)管體系�,表明數(shù)據(jù)安全已成為事關(guān)國家安全與經(jīng)濟(jì)社會(huì)發(fā)展的重大關(guān)鍵點(diǎn)����。國家關(guān)于數(shù)據(jù)安全的總體戰(zhàn)略,是鼓勵(lì)數(shù)據(jù)活動(dòng)的各方共同參與數(shù)據(jù)安全的保護(hù)工作,并且對開展數(shù)據(jù)活動(dòng)的主體�����、相關(guān)的監(jiān)管部門提出了義務(wù)和安全責(zé)任�。
在(草案)中,對數(shù)據(jù)的定義�����、數(shù)據(jù)各參與方的責(zé)任和義務(wù)都進(jìn)行了清晰的厘定�,明確規(guī)定了數(shù)據(jù)保護(hù)的主體責(zé)任和義務(wù)是進(jìn)行數(shù)據(jù)活動(dòng)的主體,特別規(guī)范了國家機(jī)關(guān)在進(jìn)行政務(wù)信息開放時(shí)的責(zé)任和義務(wù)�。國家相關(guān)部門(行業(yè)主管部門、公安機(jī)關(guān)�、網(wǎng)信部門等)從監(jiān)管的角度規(guī)范數(shù)據(jù)處理的環(huán)境��,國家將從數(shù)據(jù)的安全風(fēng)險(xiǎn)評估�����、監(jiān)測預(yù)警��、應(yīng)急處置和安全審查四個(gè)方面進(jìn)行數(shù)據(jù)安全的監(jiān)管�����。
其次,國家也規(guī)范了在線數(shù)據(jù)處理和數(shù)據(jù)交易����,要求專門提供在線數(shù)據(jù)處理等服務(wù)的經(jīng)營者需要依法取得經(jīng)營業(yè)務(wù)許可或者備案。針對個(gè)人信息��、重要數(shù)據(jù)和涉密數(shù)據(jù)的處理者來說���,都需要采取合法���、正當(dāng)?shù)姆绞剑⒂斜Wo(hù)的義務(wù)���,包括在境內(nèi)開展數(shù)據(jù)活動(dòng)的境外組織�����。再次����,國家要求數(shù)據(jù)活動(dòng)主體加強(qiáng)風(fēng)險(xiǎn)監(jiān)測�,針對重要數(shù)據(jù)的處理者還應(yīng)定期開展風(fēng)險(xiǎn)評估����,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告���。
綜上所述����,《數(shù)據(jù)安全法(草案)》可以說為國家后續(xù)規(guī)范數(shù)據(jù)活動(dòng)環(huán)境����、保障數(shù)據(jù)安全奠定了基礎(chǔ)。
記者:《數(shù)據(jù)安全法(草案)》的出臺對數(shù)據(jù)安全產(chǎn)業(yè)領(lǐng)域中的企業(yè)有何重要意義�?
張劍:可以看到,數(shù)據(jù)安全法的最大特點(diǎn)是在鼓勵(lì)數(shù)據(jù)流動(dòng)����、共享、乃至交易的情況下�, 確保數(shù)據(jù)的安全,與此同時(shí)�����,國家正在最大限度地推動(dòng)各行各業(yè)的大數(shù)據(jù)開放和共享�����。數(shù)據(jù)這一新的生產(chǎn)力已經(jīng)逐步成為各行業(yè)信息化中的基本共識�����。這樣強(qiáng)有力的政策驅(qū)動(dòng)對產(chǎn)業(yè)界而言����,無疑是重大的市場機(jī)遇。
與此同時(shí)���,在大數(shù)據(jù)背景下��,數(shù)據(jù)類型多樣化��、數(shù)據(jù)交換共享手段的多樣化�,以及用戶場景和需求的極大豐富����,導(dǎo)致產(chǎn)業(yè)界在技術(shù)和產(chǎn)品中出現(xiàn)了諸多新的挑戰(zhàn),如行業(yè)數(shù)據(jù)的安全分級����、結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的識別和標(biāo)記���、數(shù)據(jù)流動(dòng)全過程溯源和安全治理、業(yè)務(wù)全過程中的數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)評估�、隱私數(shù)據(jù)的安全計(jì)算、多方數(shù)據(jù)共享中的多方計(jì)算等問題的出現(xiàn)帶動(dòng)了傳統(tǒng)數(shù)據(jù)安全企業(yè)的轉(zhuǎn)型����,以及一大批數(shù)據(jù)安全創(chuàng)新公司的出現(xiàn)。
因此���,數(shù)據(jù)安全產(chǎn)業(yè)在概念�、內(nèi)涵��、技術(shù)����、產(chǎn)品各個(gè)方面,都已出現(xiàn)了巨大變化�����,成為網(wǎng)絡(luò)安全領(lǐng)域中一個(gè)全新的熱點(diǎn)����,處于一個(gè)快速的產(chǎn)業(yè)發(fā)展期。
記者:請您談?wù)?,衛(wèi)士通目前的技術(shù)沉淀、創(chuàng)新和產(chǎn)品研發(fā)情況��,與其他數(shù)據(jù)安全企業(yè)相比���,其優(yōu)勢在哪里�����?《數(shù)據(jù)安全法(草案)》對貴司帶來哪些影響�����,又將如何布局�?
張劍:著力于數(shù)據(jù)安全這一熱點(diǎn)領(lǐng)域����,確保數(shù)據(jù)的機(jī)密性是其根本和起點(diǎn),而在這個(gè)方向上�,衛(wèi)士通擁有著“紅色基因(密碼)、藍(lán)色底蘊(yùn)(科技)”的先天優(yōu)勢��。同時(shí)���,基于對數(shù)據(jù)安全法的深入理解����,在國家推動(dòng)數(shù)據(jù)流動(dòng)和共享的新形勢下,針對不同行業(yè)中不同性質(zhì)和不同類型數(shù)據(jù)流動(dòng)共享時(shí)的保護(hù)場景����,衛(wèi)士通充分結(jié)合自身的密碼優(yōu)勢,以打造覆蓋數(shù)據(jù)流動(dòng)全周期的安全治理體系為目標(biāo)�,在數(shù)據(jù)識別與自動(dòng)分級、數(shù)據(jù)標(biāo)記����、數(shù)據(jù)脫敏和降級、數(shù)據(jù)庫和文件加密���、數(shù)據(jù)流動(dòng)全過程溯源等方向開展關(guān)鍵技術(shù)布局�����;并已初步形成以數(shù)據(jù)安全治理平臺���、數(shù)據(jù)脫敏系統(tǒng)、數(shù)據(jù)分級工具、數(shù)據(jù)庫加密產(chǎn)品�����、數(shù)據(jù)密標(biāo)產(chǎn)品為代表的系列化產(chǎn)品��;并與業(yè)界友商形成廣泛的合作和整合����,建立了數(shù)據(jù)安全的“生態(tài)圈”����,具備多個(gè)行業(yè)應(yīng)用場景下的數(shù)據(jù)安全整體解決方案的提供能力。
記者:《數(shù)據(jù)安全法(草案)》背景下����,作為業(yè)內(nèi)首個(gè)全服務(wù)化政務(wù)云安全項(xiàng)目,“成都市政務(wù)云——數(shù)據(jù)安全治理項(xiàng)目”對整個(gè)行業(yè)有何重要意義�?
張劍:“成都市政務(wù)云——數(shù)據(jù)安全治理項(xiàng)目”可以說是政務(wù)領(lǐng)域一個(gè)較為完整和典型的數(shù)據(jù)安全治理案例。成都市的數(shù)據(jù)安全共享��、數(shù)據(jù)開放��、數(shù)據(jù)治理以及數(shù)據(jù)利用模式呈現(xiàn)出典型化和多樣化的特質(zhì)���。典型化在于成都市作為一個(gè)一線的副省級城市�����,其數(shù)據(jù)交換和共享場景�����,以及數(shù)據(jù)覆蓋的委辦局類型具備普遍的代表性����;而多樣化則在于成都市政務(wù)大數(shù)據(jù)的交換、匯集和處理的場景豐富��,且政務(wù)數(shù)據(jù)種類也呈現(xiàn)出多樣化的特點(diǎn)�。
該項(xiàng)目的順利落地具備重要的示范意義,也將產(chǎn)生深遠(yuǎn)的影響���。首先�����,它表明在復(fù)雜的城市級政務(wù)數(shù)據(jù)應(yīng)用場景下�,數(shù)據(jù)安全治理的可行性以及實(shí)現(xiàn)效果是良好的���?;谖覀兊慕鉀Q方案,數(shù)據(jù)安全管理部門可以實(shí)現(xiàn)上萬類政務(wù)數(shù)據(jù)的有序分級����、全場景下數(shù)據(jù)流動(dòng)的全過程追溯、不同場景下數(shù)據(jù)的有效控制和防護(hù)�����,以及基于數(shù)據(jù)級別的安全防護(hù)策略的動(dòng)態(tài)協(xié)同�����。其次���,該項(xiàng)目在政務(wù)數(shù)據(jù)安全治理中,實(shí)現(xiàn)了諸多創(chuàng)新���,且對于其他城市級的數(shù)據(jù)安全治理有一定的參考價(jià)值����,包括:結(jié)合人工智能技術(shù)實(shí)現(xiàn)政務(wù)數(shù)據(jù)的識別與分級�����,力圖建立市級政務(wù)數(shù)據(jù)的分級分類標(biāo)準(zhǔn);綜合運(yùn)用多種數(shù)據(jù)標(biāo)記方法�,對數(shù)據(jù)在共享交換、數(shù)據(jù)匯集�����、市縣共享等不同場景下實(shí)現(xiàn)標(biāo)記跟蹤���;通過打通與資源目錄�����、共享交換等數(shù)據(jù)資源體系中的關(guān)鍵組件的接口����,獲取數(shù)據(jù)流動(dòng)日志���,實(shí)現(xiàn)數(shù)據(jù)流動(dòng)全過程的追溯�;基于數(shù)據(jù)標(biāo)記識別數(shù)據(jù)的安全級別���,并以此為基礎(chǔ)實(shí)現(xiàn)各類數(shù)據(jù)安全防護(hù)設(shè)備的策略協(xié)同�。
最后,在該項(xiàng)目實(shí)施過程中我們遇到的問題和經(jīng)驗(yàn)總結(jié)����,也對其他城市數(shù)據(jù)安全治理有一定的借鑒意義,包括:實(shí)施過程中前置機(jī)的安全責(zé)任以及安全措施之間的關(guān)系���,數(shù)據(jù)交換系統(tǒng)�、數(shù)據(jù)共享系統(tǒng)與數(shù)據(jù)標(biāo)記之間的融合����, 如何以最小的代價(jià)將安全與業(yè)務(wù)相結(jié)合,讓業(yè)務(wù)流程���、應(yīng)用的改造量最小,實(shí)現(xiàn)效益最大化�����。
記者:眾所周知����,《數(shù)據(jù)安全法(草案)》的出臺將更加凸顯數(shù)據(jù)安全的重要性,密碼應(yīng)用將在數(shù)據(jù)安全方面起到什么樣的作用�����?
張劍:從數(shù)據(jù)安全的角度講,密碼是基礎(chǔ)性的保證���,能夠確保數(shù)據(jù)在各種場景下的機(jī)密性���。這也是衛(wèi)士通為什么一直在致力于數(shù)據(jù)加密。從最初的文件加密��,到現(xiàn)在的數(shù)據(jù)庫加密���, 再到基于密碼的數(shù)據(jù)多方安全共享等�����,密碼技術(shù)始終是其核心和靈魂��。與此同時(shí)��,數(shù)據(jù)加密新的場景也對密碼算法和密碼的應(yīng)用帶來了新的挑戰(zhàn)���,例如在數(shù)據(jù)多方計(jì)算和多方共享的場景中,就對密碼算法帶來了新的挑戰(zhàn)����,需要提供具備實(shí)用性的密文計(jì)算或多方計(jì)算的算法����, 在“數(shù)據(jù)不見面”情況下實(shí)現(xiàn)數(shù)據(jù)有效利用���。
同時(shí)�����,數(shù)據(jù)安全關(guān)注度的極大提高���,也會(huì)給內(nèi)嵌了密碼機(jī)制的各種數(shù)據(jù)交互的應(yīng)用帶來更多機(jī)遇,衛(wèi)士通一直致力于為黨政高安全用戶提供內(nèi)嵌安全屬性和密碼屬性的應(yīng)用��,如橙郵�、橙訊等�����;采用這樣的方式���,能夠很好地做到應(yīng)用中進(jìn)行數(shù)據(jù)交換或者數(shù)據(jù)流動(dòng)時(shí)�,對數(shù)據(jù)的機(jī)密性加以保護(hù)。
記者:《數(shù)據(jù)安全法(草案)》對政企的數(shù)據(jù)安全建設(shè)提出了明確要求�,您認(rèn)為當(dāng)前政企數(shù)據(jù)安全建設(shè)存在哪些問題和挑戰(zhàn)?
張劍:從政府角度講��,最大的問題就是如何通過數(shù)據(jù)安全治理的思路來打通整個(gè)政府?dāng)?shù)據(jù)共享和交換路徑的通道�。
具體而言,首先���,政務(wù)數(shù)據(jù)的分級和分類目前沒有清晰的標(biāo)準(zhǔn)和法規(guī)的引領(lǐng)����。從國家到地方�,目前都還沒有真正出臺一部圍繞政務(wù)數(shù)據(jù)的標(biāo)準(zhǔn)和法案,從而導(dǎo)致沒有具體����、有法可依、可操作性的規(guī)范抓手����,進(jìn)而也就沒有形成一個(gè)規(guī)范性的解決思路或指導(dǎo)性意見,因此數(shù)據(jù)分級問題很難在實(shí)際當(dāng)中有效開展��。
其次��,政府如何科學(xué)有效監(jiān)管?在目前大力推動(dòng)政府?dāng)?shù)據(jù)的交換����、共享、開放的大背景下���, 如何對數(shù)據(jù)的流動(dòng)��、流向進(jìn)行有效監(jiān)管�����,掌握數(shù)據(jù)流動(dòng)的全過程����;同時(shí)�,如何整合當(dāng)前的各種離散的數(shù)據(jù)安全防護(hù)手段,建立以數(shù)據(jù)屬性為核心的一體化數(shù)據(jù)安全防護(hù)策略���,實(shí)現(xiàn)對數(shù)據(jù)流動(dòng)中的統(tǒng)一有效管控,也是當(dāng)下的一個(gè)挑戰(zhàn)和難點(diǎn)��。
對企業(yè)而言����,國家正在積極推動(dòng)商業(yè)秘密數(shù)據(jù)的保護(hù)����,國資委���、國家保密局都已經(jīng)出臺了相關(guān)的要求和文件����,央企首當(dāng)其沖面臨著如何實(shí)現(xiàn)內(nèi)部商業(yè)秘密數(shù)據(jù)的有序安全�����、流動(dòng)的問題���。從文件產(chǎn)生����,到文件通過郵件�����、即時(shí)通信、網(wǎng)盤等多種方式進(jìn)行交換����,再到接收方打開和閱讀文件的全過程中,如何識別商業(yè)秘密數(shù)據(jù)�、如何進(jìn)行標(biāo)記,如何在產(chǎn)生�、交換、閱讀過程中進(jìn)行管控�,亟需完善的數(shù)據(jù)安全解決方案。
目前�,衛(wèi)士通結(jié)合自身在數(shù)據(jù)標(biāo)記、數(shù)據(jù)加密等方面的技術(shù)和產(chǎn)品積累���,與業(yè)界的合作伙伴積極對接�,形成支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)��,支撐各種數(shù)據(jù)交換手段�,具備較高自動(dòng)化水平的商業(yè)秘密數(shù)據(jù)識別和標(biāo)記能力,覆蓋數(shù)據(jù)交換全鏈條的商業(yè)秘密數(shù)據(jù)保護(hù)方案�。
記者:從《數(shù)據(jù)安全法(草案)》可以看到國家的數(shù)據(jù)安全整體布局,請問衛(wèi)士通將在其中扮演什么樣的角色�?
張劍:首先,我們希望把密碼的基因發(fā)揮到極致��。在數(shù)據(jù)安全的治理體系當(dāng)中,有諸多環(huán)節(jié)都離不開密碼��,其重要性不言而喻����,為此可以放大密碼基因��,在我們原有的文件加密�、數(shù)據(jù)庫加密等方式上進(jìn)一步放大,并且積極去尋求和各種應(yīng)用場景的對接��,讓其在數(shù)據(jù)安全中的作用發(fā)揮得更出色����。
其次,結(jié)合對國家在政企數(shù)據(jù)保護(hù)的政策����、標(biāo)準(zhǔn)、法規(guī)的研究��,以及衛(wèi)士通公司在數(shù)據(jù)安全領(lǐng)域的實(shí)踐�����,可以看到未來數(shù)據(jù)安全治理將圍繞數(shù)據(jù)內(nèi)容,打造以內(nèi)容為核心的數(shù)據(jù)安全治理和防護(hù)體系����。在該體系當(dāng)中,衛(wèi)士通將打造針對數(shù)據(jù)內(nèi)容的數(shù)據(jù)分級和識別��、數(shù)據(jù)標(biāo)記���, 以及數(shù)據(jù)溯源的能力��,從而在未來的數(shù)據(jù)安全產(chǎn)業(yè)鏈條中占據(jù)產(chǎn)業(yè)上游的技術(shù)和產(chǎn)品供應(yīng)商地位�,同時(shí)通過整合和合作����,形成完整的數(shù)據(jù)安全解決方案的提供能力。
