卫士通信息产业股份有限公司副总经理
张 剑
张剑,卫士通信息产业股份有限公司副总经理、高级工程师,负责公司在云安全、数据安全以及安全服务等业务领域的技术能力和产品规划等工作,拥有信息安全领域十余年从业经验,曾先后荣获省级、部级及军队科技进步奖,并作为系统总师参与军队多个重大系统的信息安全体系设计,先后参与工信部、国家保密局及公安部的云计算及大数据安全标准的拟制工作,并作为ITU会员参与国际电联相关云计算安全标准的讨论和研究工作,团队所研发的安全虚拟桌面及安全云操作系统已经获得公安部最高安全等级的增强级产品测评认证。
目前,全球进入大数据时代,数据呈现爆发式增长的同时,也带来了前所未有的风险与安全挑战。《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)的颁布,旨在搭建一个更为全面的数据安全保障体系。这不仅体现了国家对数据战略的重大考量,也给相关的网络安全企业带来了重大机遇。
卫士通作为一家以保护国家网络空间安全为己任的公司,20多年来一直在国家重要行业信息系统的信息安全保障中发挥着重要作用,当下的《数据安全法(草案)》的出台,对卫士通而言,既是机遇,也是挑战。为此,记者采访了卫士通副总经理张剑,就《数据安全法 (草案 )》、对企业的挑战与机遇,以及公司在数据安全领域的布局等问题,进行了沟通交流,现整理如下,以飨读者。
记者:您如何评价刚出台的《数据安全法(草案)》?
张剑:《数据安全法(草案)》的出台,首先从宏观层面上明确了国家的大数据发展战略是引导安全需求要与数据的开发利用相结合,不是为了保护而保护。同时,草案从立法层面确立了我国数据安全治理与监管体系,表明数据安全已成为事关国家安全与经济社会发展的重大关键点。国家关于数据安全的总体战略,是鼓励数据活动的各方共同参与数据安全的保护工作,并且对开展数据活动的主体、相关的监管部门提出了义务和安全责任。
在(草案)中,对数据的定义、数据各参与方的责任和义务都进行了清晰的厘定,明确规定了数据保护的主体责任和义务是进行数据活动的主体,特别规范了国家机关在进行政务信息开放时的责任和义务。国家相关部门(行业主管部门、公安机关、网信部门等)从监管的角度规范数据处理的环境,国家将从数据的安全风险评估、监测预警、应急处置和安全审查四个方面进行数据安全的监管。
其次,国家也规范了在线数据处理和数据交易,要求专门提供在线数据处理等服务的经营者需要依法取得经营业务许可或者备案。针对个人信息、重要数据和涉密数据的处理者来说,都需要采取合法、正当的方式,并有保护的义务,包括在境内开展数据活动的境外组织。再次,国家要求数据活动主体加强风险监测,针对重要数据的处理者还应定期开展风险评估,并向有关主管部门报送风险评估报告。
综上所述,《数据安全法(草案)》可以说为国家后续规范数据活动环境、保障数据安全奠定了基础。
记者:《数据安全法(草案)》的出台对数据安全产业领域中的企业有何重要意义?
张剑:可以看到,数据安全法的最大特点是在鼓励数据流动、共享、乃至交易的情况下, 确保数据的安全,与此同时,国家正在最大限度地推动各行各业的大数据开放和共享。数据这一新的生产力已经逐步成为各行业信息化中的基本共识。这样强有力的政策驱动对产业界而言,无疑是重大的市场机遇。
与此同时,在大数据背景下,数据类型多样化、数据交换共享手段的多样化,以及用户场景和需求的极大丰富,导致产业界在技术和产品中出现了诸多新的挑战,如行业数据的安全分级、结构化和非结构化数据的识别和标记、数据流动全过程溯源和安全治理、业务全过程中的数据流动风险评估、隐私数据的安全计算、多方数据共享中的多方计算等问题的出现带动了传统数据安全企业的转型,以及一大批数据安全创新公司的出现。
因此,数据安全产业在概念、内涵、技术、产品各个方面,都已出现了巨大变化,成为网络安全领域中一个全新的热点,处于一个快速的产业发展期。
记者:请您谈谈,卫士通目前的技术沉淀、创新和产品研发情况,与其他数据安全企业相比,其优势在哪里?《数据安全法(草案)》对贵司带来哪些影响,又将如何布局?
张剑:着力于数据安全这一热点领域,确保数据的机密性是其根本和起点,而在这个方向上,卫士通拥有着“红色基因(密码)、蓝色底蕴(科技)”的先天优势。同时,基于对数据安全法的深入理解,在国家推动数据流动和共享的新形势下,针对不同行业中不同性质和不同类型数据流动共享时的保护场景,卫士通充分结合自身的密码优势,以打造覆盖数据流动全周期的安全治理体系为目标,在数据识别与自动分级、数据标记、数据脱敏和降级、数据库和文件加密、数据流动全过程溯源等方向开展关键技术布局;并已初步形成以数据安全治理平台、数据脱敏系统、数据分级工具、数据库加密产品、数据密标产品为代表的系列化产品;并与业界友商形成广泛的合作和整合,建立了数据安全的“生态圈”,具备多个行业应用场景下的数据安全整体解决方案的提供能力。
记者:《数据安全法(草案)》背景下,作为业内首个全服务化政务云安全项目,“成都市政务云——数据安全治理项目”对整个行业有何重要意义?
张剑:“成都市政务云——数据安全治理项目”可以说是政务领域一个较为完整和典型的数据安全治理案例。成都市的数据安全共享、数据开放、数据治理以及数据利用模式呈现出典型化和多样化的特质。典型化在于成都市作为一个一线的副省级城市,其数据交换和共享场景,以及数据覆盖的委办局类型具备普遍的代表性;而多样化则在于成都市政务大数据的交换、汇集和处理的场景丰富,且政务数据种类也呈现出多样化的特点。
该项目的顺利落地具备重要的示范意义,也将产生深远的影响。首先,它表明在复杂的城市级政务数据应用场景下,数据安全治理的可行性以及实现效果是良好的。基于我们的解决方案,数据安全管理部门可以实现上万类政务数据的有序分级、全场景下数据流动的全过程追溯、不同场景下数据的有效控制和防护,以及基于数据级别的安全防护策略的动态协同。其次,该项目在政务数据安全治理中,实现了诸多创新,且对于其他城市级的数据安全治理有一定的参考价值,包括:结合人工智能技术实现政务数据的识别与分级,力图建立市级政务数据的分级分类标准;综合运用多种数据标记方法,对数据在共享交换、数据汇集、市县共享等不同场景下实现标记跟踪;通过打通与资源目录、共享交换等数据资源体系中的关键组件的接口,获取数据流动日志,实现数据流动全过程的追溯;基于数据标记识别数据的安全级别,并以此为基础实现各类数据安全防护设备的策略协同。
最后,在该项目实施过程中我们遇到的问题和经验总结,也对其他城市数据安全治理有一定的借鉴意义,包括:实施过程中前置机的安全责任以及安全措施之间的关系,数据交换系统、数据共享系统与数据标记之间的融合, 如何以最小的代价将安全与业务相结合,让业务流程、应用的改造量最小,实现效益最大化。
记者:众所周知,《数据安全法(草案)》的出台将更加凸显数据安全的重要性,密码应用将在数据安全方面起到什么样的作用?
张剑:从数据安全的角度讲,密码是基础性的保证,能够确保数据在各种场景下的机密性。这也是卫士通为什么一直在致力于数据加密。从最初的文件加密,到现在的数据库加密, 再到基于密码的数据多方安全共享等,密码技术始终是其核心和灵魂。与此同时,数据加密新的场景也对密码算法和密码的应用带来了新的挑战,例如在数据多方计算和多方共享的场景中,就对密码算法带来了新的挑战,需要提供具备实用性的密文计算或多方计算的算法, 在“数据不见面”情况下实现数据有效利用。
同时,数据安全关注度的极大提高,也会给内嵌了密码机制的各种数据交互的应用带来更多机遇,卫士通一直致力于为党政高安全用户提供内嵌安全属性和密码属性的应用,如橙邮、橙讯等;采用这样的方式,能够很好地做到应用中进行数据交换或者数据流动时,对数据的机密性加以保护。
记者:《数据安全法(草案)》对政企的数据安全建设提出了明确要求,您认为当前政企数据安全建设存在哪些问题和挑战?
张剑:从政府角度讲,最大的问题就是如何通过数据安全治理的思路来打通整个政府数据共享和交换路径的通道。
具体而言,首先,政务数据的分级和分类目前没有清晰的标准和法规的引领。从国家到地方,目前都还没有真正出台一部围绕政务数据的标准和法案,从而导致没有具体、有法可依、可操作性的规范抓手,进而也就没有形成一个规范性的解决思路或指导性意见,因此数据分级问题很难在实际当中有效开展。
其次,政府如何科学有效监管?在目前大力推动政府数据的交换、共享、开放的大背景下, 如何对数据的流动、流向进行有效监管,掌握数据流动的全过程;同时,如何整合当前的各种离散的数据安全防护手段,建立以数据属性为核心的一体化数据安全防护策略,实现对数据流动中的统一有效管控,也是当下的一个挑战和难点。
对企业而言,国家正在积极推动商业秘密数据的保护,国资委、国家保密局都已经出台了相关的要求和文件,央企首当其冲面临着如何实现内部商业秘密数据的有序安全、流动的问题。从文件产生,到文件通过邮件、即时通信、网盘等多种方式进行交换,再到接收方打开和阅读文件的全过程中,如何识别商业秘密数据、如何进行标记,如何在产生、交换、阅读过程中进行管控,亟需完善的数据安全解决方案。
目前,卫士通结合自身在数据标记、数据加密等方面的技术和产品积累,与业界的合作伙伴积极对接,形成支持结构化和非结构化数据,支撑各种数据交换手段,具备较高自动化水平的商业秘密数据识别和标记能力,覆盖数据交换全链条的商业秘密数据保护方案。
记者:从《数据安全法(草案)》可以看到国家的数据安全整体布局,请问卫士通将在其中扮演什么样的角色?
张剑:首先,我们希望把密码的基因发挥到极致。在数据安全的治理体系当中,有诸多环节都离不开密码,其重要性不言而喻,为此可以放大密码基因,在我们原有的文件加密、数据库加密等方式上进一步放大,并且积极去寻求和各种应用场景的对接,让其在数据安全中的作用发挥得更出色。
其次,结合对国家在政企数据保护的政策、标准、法规的研究,以及卫士通公司在数据安全领域的实践,可以看到未来数据安全治理将围绕数据内容,打造以内容为核心的数据安全治理和防护体系。在该体系当中,卫士通将打造针对数据内容的数据分级和识别、数据标记, 以及数据溯源的能力,从而在未来的数据安全产业链条中占据产业上游的技术和产品供应商地位,同时通过整合和合作,形成完整的数据安全解决方案的提供能力。