衛(wèi)士通信息產(chǎn)業(yè)股份有限公司副總經(jīng)理

張　劍

張劍，衛(wèi)士通信息產(chǎn)業(yè)股份有限公司副總經(jīng)理、高級工程師，負責(zé)公司在云安全、數(shù)據(jù)安全以及安全服務(wù)等業(yè)務(wù)領(lǐng)域的技術(shù)能力和產(chǎn)品規(guī)劃等工作，擁有信息安全領(lǐng)域十余年從業(yè)經(jīng)驗，曾先后榮獲省級、部級及軍隊科技進步獎，并作為系統(tǒng)總師參與軍隊多個重大系統(tǒng)的信息安全體系設(shè)計，先后參與工信部、國家保密局及公安部的云計算及大數(shù)據(jù)安全標(biāo)準(zhǔn)的擬制工作，并作為ITU會員參與國際電聯(lián)相關(guān)云計算安全標(biāo)準(zhǔn)的討論和研究工作，團隊所研發(fā)的安全虛擬桌面及安全云操作系統(tǒng)已經(jīng)獲得公安部最高安全等級的增強級產(chǎn)品測評認(rèn)證。

目前，全球進入大數(shù)據(jù)時代，數(shù)據(jù)呈現(xiàn)爆發(fā)式增長的同時，也帶來了前所未有的風(fēng)險與安全挑戰(zhàn)?！吨腥A人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱《數(shù)據(jù)安全法（草案）》）的頒布，旨在搭建一個更為全面的數(shù)據(jù)安全保障體系。這不僅體現(xiàn)了國家對數(shù)據(jù)戰(zhàn)略的重大考量，也給相關(guān)的網(wǎng)絡(luò)安全企業(yè)帶來了重大機遇。

衛(wèi)士通作為一家以保護國家網(wǎng)絡(luò)空間安全為己任的公司，20多年來一直在國家重要行業(yè)信息系統(tǒng)的信息安全保障中發(fā)揮著重要作用，當(dāng)下的《數(shù)據(jù)安全法（草案）》的出臺，對衛(wèi)士通而言，既是機遇，也是挑戰(zhàn)。為此，記者采訪了衛(wèi)士通副總經(jīng)理張劍，就《數(shù)據(jù)安全法 （草案 ）》、對企業(yè)的挑戰(zhàn)與機遇，以及公司在數(shù)據(jù)安全領(lǐng)域的布局等問題，進行了溝通交流，現(xiàn)整理如下，以饗讀者。

記者：您如何評價剛出臺的《數(shù)據(jù)安全法（草案）》？

張劍：《數(shù)據(jù)安全法（草案）》的出臺，首先從宏觀層面上明確了國家的大數(shù)據(jù)發(fā)展戰(zhàn)略是引導(dǎo)安全需求要與數(shù)據(jù)的開發(fā)利用相結(jié)合，不是為了保護而保護。同時，草案從立法層面確立了我國數(shù)據(jù)安全治理與監(jiān)管體系，表明數(shù)據(jù)安全已成為事關(guān)國家安全與經(jīng)濟社會發(fā)展的重大關(guān)鍵點。國家關(guān)于數(shù)據(jù)安全的總體戰(zhàn)略，是鼓勵數(shù)據(jù)活動的各方共同參與數(shù)據(jù)安全的保護工作，并且對開展數(shù)據(jù)活動的主體、相關(guān)的監(jiān)管部門提出了義務(wù)和安全責(zé)任。

在（草案）中，對數(shù)據(jù)的定義、數(shù)據(jù)各參與方的責(zé)任和義務(wù)都進行了清晰的厘定，明確規(guī)定了數(shù)據(jù)保護的主體責(zé)任和義務(wù)是進行數(shù)據(jù)活動的主體，特別規(guī)范了國家機關(guān)在進行政務(wù)信息開放時的責(zé)任和義務(wù)。國家相關(guān)部門（行業(yè)主管部門、公安機關(guān)、網(wǎng)信部門等）從監(jiān)管的角度規(guī)范數(shù)據(jù)處理的環(huán)境，國家將從數(shù)據(jù)的安全風(fēng)險評估、監(jiān)測預(yù)警、應(yīng)急處置和安全審查四個方面進行數(shù)據(jù)安全的監(jiān)管。

其次，國家也規(guī)范了在線數(shù)據(jù)處理和數(shù)據(jù)交易，要求專門提供在線數(shù)據(jù)處理等服務(wù)的經(jīng)營者需要依法取得經(jīng)營業(yè)務(wù)許可或者備案。針對個人信息、重要數(shù)據(jù)和涉密數(shù)據(jù)的處理者來說，都需要采取合法、正當(dāng)?shù)姆绞?，并有保護的義務(wù)，包括在境內(nèi)開展數(shù)據(jù)活動的境外組織。再次，國家要求數(shù)據(jù)活動主體加強風(fēng)險監(jiān)測，針對重要數(shù)據(jù)的處理者還應(yīng)定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告。

綜上所述，《數(shù)據(jù)安全法（草案）》可以說為國家后續(xù)規(guī)范數(shù)據(jù)活動環(huán)境、保障數(shù)據(jù)安全奠定了基礎(chǔ)。

記者：《數(shù)據(jù)安全法（草案）》的出臺對數(shù)據(jù)安全產(chǎn)業(yè)領(lǐng)域中的企業(yè)有何重要意義？

張劍：可以看到，數(shù)據(jù)安全法的最大特點是在鼓勵數(shù)據(jù)流動、共享、乃至交易的情況下， 確保數(shù)據(jù)的安全，與此同時，國家正在最大限度地推動各行各業(yè)的大數(shù)據(jù)開放和共享。數(shù)據(jù)這一新的生產(chǎn)力已經(jīng)逐步成為各行業(yè)信息化中的基本共識。這樣強有力的政策驅(qū)動對產(chǎn)業(yè)界而言，無疑是重大的市場機遇。

與此同時，在大數(shù)據(jù)背景下，數(shù)據(jù)類型多樣化、數(shù)據(jù)交換共享手段的多樣化，以及用戶場景和需求的極大豐富，導(dǎo)致產(chǎn)業(yè)界在技術(shù)和產(chǎn)品中出現(xiàn)了諸多新的挑戰(zhàn)，如行業(yè)數(shù)據(jù)的安全分級、結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的識別和標(biāo)記、數(shù)據(jù)流動全過程溯源和安全治理、業(yè)務(wù)全過程中的數(shù)據(jù)流動風(fēng)險評估、隱私數(shù)據(jù)的安全計算、多方數(shù)據(jù)共享中的多方計算等問題的出現(xiàn)帶動了傳統(tǒng)數(shù)據(jù)安全企業(yè)的轉(zhuǎn)型，以及一大批數(shù)據(jù)安全創(chuàng)新公司的出現(xiàn)。

因此，數(shù)據(jù)安全產(chǎn)業(yè)在概念、內(nèi)涵、技術(shù)、產(chǎn)品各個方面，都已出現(xiàn)了巨大變化，成為網(wǎng)絡(luò)安全領(lǐng)域中一個全新的熱點，處于一個快速的產(chǎn)業(yè)發(fā)展期。

記者：請您談?wù)?，衛(wèi)士通目前的技術(shù)沉淀、創(chuàng)新和產(chǎn)品研發(fā)情況，與其他數(shù)據(jù)安全企業(yè)相比，其優(yōu)勢在哪里？《數(shù)據(jù)安全法（草案）》對貴司帶來哪些影響，又將如何布局？

張劍：著力于數(shù)據(jù)安全這一熱點領(lǐng)域，確保數(shù)據(jù)的機密性是其根本和起點，而在這個方向上，衛(wèi)士通擁有著“紅色基因（密碼）、藍色底蘊（科技）”的先天優(yōu)勢。同時，基于對數(shù)據(jù)安全法的深入理解，在國家推動數(shù)據(jù)流動和共享的新形勢下，針對不同行業(yè)中不同性質(zhì)和不同類型數(shù)據(jù)流動共享時的保護場景，衛(wèi)士通充分結(jié)合自身的密碼優(yōu)勢，以打造覆蓋數(shù)據(jù)流動全周期的安全治理體系為目標(biāo)，在數(shù)據(jù)識別與自動分級、數(shù)據(jù)標(biāo)記、數(shù)據(jù)脫敏和降級、數(shù)據(jù)庫和文件加密、數(shù)據(jù)流動全過程溯源等方向開展關(guān)鍵技術(shù)布局；并已初步形成以數(shù)據(jù)安全治理平臺、數(shù)據(jù)脫敏系統(tǒng)、數(shù)據(jù)分級工具、數(shù)據(jù)庫加密產(chǎn)品、數(shù)據(jù)密標(biāo)產(chǎn)品為代表的系列化產(chǎn)品；并與業(yè)界友商形成廣泛的合作和整合，建立了數(shù)據(jù)安全的“生態(tài)圈”，具備多個行業(yè)應(yīng)用場景下的數(shù)據(jù)安全整體解決方案的提供能力。

記者：《數(shù)據(jù)安全法（草案）》背景下，作為業(yè)內(nèi)首個全服務(wù)化政務(wù)云安全項目，“成都市政務(wù)云——數(shù)據(jù)安全治理項目”對整個行業(yè)有何重要意義？

張劍：“成都市政務(wù)云——數(shù)據(jù)安全治理項目”可以說是政務(wù)領(lǐng)域一個較為完整和典型的數(shù)據(jù)安全治理案例。成都市的數(shù)據(jù)安全共享、數(shù)據(jù)開放、數(shù)據(jù)治理以及數(shù)據(jù)利用模式呈現(xiàn)出典型化和多樣化的特質(zhì)。典型化在于成都市作為一個一線的副省級城市，其數(shù)據(jù)交換和共享場景，以及數(shù)據(jù)覆蓋的委辦局類型具備普遍的代表性；而多樣化則在于成都市政務(wù)大數(shù)據(jù)的交換、匯集和處理的場景豐富，且政務(wù)數(shù)據(jù)種類也呈現(xiàn)出多樣化的特點。

該項目的順利落地具備重要的示范意義，也將產(chǎn)生深遠的影響。首先，它表明在復(fù)雜的城市級政務(wù)數(shù)據(jù)應(yīng)用場景下，數(shù)據(jù)安全治理的可行性以及實現(xiàn)效果是良好的?；谖覀兊慕鉀Q方案，數(shù)據(jù)安全管理部門可以實現(xiàn)上萬類政務(wù)數(shù)據(jù)的有序分級、全場景下數(shù)據(jù)流動的全過程追溯、不同場景下數(shù)據(jù)的有效控制和防護，以及基于數(shù)據(jù)級別的安全防護策略的動態(tài)協(xié)同。其次，該項目在政務(wù)數(shù)據(jù)安全治理中，實現(xiàn)了諸多創(chuàng)新，且對于其他城市級的數(shù)據(jù)安全治理有一定的參考價值，包括：結(jié)合人工智能技術(shù)實現(xiàn)政務(wù)數(shù)據(jù)的識別與分級，力圖建立市級政務(wù)數(shù)據(jù)的分級分類標(biāo)準(zhǔn)；綜合運用多種數(shù)據(jù)標(biāo)記方法，對數(shù)據(jù)在共享交換、數(shù)據(jù)匯集、市縣共享等不同場景下實現(xiàn)標(biāo)記跟蹤；通過打通與資源目錄、共享交換等數(shù)據(jù)資源體系中的關(guān)鍵組件的接口，獲取數(shù)據(jù)流動日志，實現(xiàn)數(shù)據(jù)流動全過程的追溯；基于數(shù)據(jù)標(biāo)記識別數(shù)據(jù)的安全級別，并以此為基礎(chǔ)實現(xiàn)各類數(shù)據(jù)安全防護設(shè)備的策略協(xié)同。

最后，在該項目實施過程中我們遇到的問題和經(jīng)驗總結(jié)，也對其他城市數(shù)據(jù)安全治理有一定的借鑒意義，包括：實施過程中前置機的安全責(zé)任以及安全措施之間的關(guān)系，數(shù)據(jù)交換系統(tǒng)、數(shù)據(jù)共享系統(tǒng)與數(shù)據(jù)標(biāo)記之間的融合， 如何以最小的代價將安全與業(yè)務(wù)相結(jié)合，讓業(yè)務(wù)流程、應(yīng)用的改造量最小，實現(xiàn)效益最大化。

記者：眾所周知，《數(shù)據(jù)安全法（草案）》的出臺將更加凸顯數(shù)據(jù)安全的重要性，密碼應(yīng)用將在數(shù)據(jù)安全方面起到什么樣的作用？

張劍：從數(shù)據(jù)安全的角度講，密碼是基礎(chǔ)性的保證，能夠確保數(shù)據(jù)在各種場景下的機密性。這也是衛(wèi)士通為什么一直在致力于數(shù)據(jù)加密。從最初的文件加密，到現(xiàn)在的數(shù)據(jù)庫加密， 再到基于密碼的數(shù)據(jù)多方安全共享等，密碼技術(shù)始終是其核心和靈魂。與此同時，數(shù)據(jù)加密新的場景也對密碼算法和密碼的應(yīng)用帶來了新的挑戰(zhàn)，例如在數(shù)據(jù)多方計算和多方共享的場景中，就對密碼算法帶來了新的挑戰(zhàn)，需要提供具備實用性的密文計算或多方計算的算法， 在“數(shù)據(jù)不見面”情況下實現(xiàn)數(shù)據(jù)有效利用。

同時，數(shù)據(jù)安全關(guān)注度的極大提高，也會給內(nèi)嵌了密碼機制的各種數(shù)據(jù)交互的應(yīng)用帶來更多機遇，衛(wèi)士通一直致力于為黨政高安全用戶提供內(nèi)嵌安全屬性和密碼屬性的應(yīng)用，如橙郵、橙訊等；采用這樣的方式，能夠很好地做到應(yīng)用中進行數(shù)據(jù)交換或者數(shù)據(jù)流動時，對數(shù)據(jù)的機密性加以保護。

記者：《數(shù)據(jù)安全法（草案）》對政企的數(shù)據(jù)安全建設(shè)提出了明確要求，您認(rèn)為當(dāng)前政企數(shù)據(jù)安全建設(shè)存在哪些問題和挑戰(zhàn)？

張劍：從政府角度講，最大的問題就是如何通過數(shù)據(jù)安全治理的思路來打通整個政府?dāng)?shù)據(jù)共享和交換路徑的通道。

具體而言，首先，政務(wù)數(shù)據(jù)的分級和分類目前沒有清晰的標(biāo)準(zhǔn)和法規(guī)的引領(lǐng)。從國家到地方，目前都還沒有真正出臺一部圍繞政務(wù)數(shù)據(jù)的標(biāo)準(zhǔn)和法案，從而導(dǎo)致沒有具體、有法可依、可操作性的規(guī)范抓手，進而也就沒有形成一個規(guī)范性的解決思路或指導(dǎo)性意見，因此數(shù)據(jù)分級問題很難在實際當(dāng)中有效開展。

其次，政府如何科學(xué)有效監(jiān)管？在目前大力推動政府?dāng)?shù)據(jù)的交換、共享、開放的大背景下， 如何對數(shù)據(jù)的流動、流向進行有效監(jiān)管，掌握數(shù)據(jù)流動的全過程；同時，如何整合當(dāng)前的各種離散的數(shù)據(jù)安全防護手段，建立以數(shù)據(jù)屬性為核心的一體化數(shù)據(jù)安全防護策略，實現(xiàn)對數(shù)據(jù)流動中的統(tǒng)一有效管控，也是當(dāng)下的一個挑戰(zhàn)和難點。

對企業(yè)而言，國家正在積極推動商業(yè)秘密數(shù)據(jù)的保護，國資委、國家保密局都已經(jīng)出臺了相關(guān)的要求和文件，央企首當(dāng)其沖面臨著如何實現(xiàn)內(nèi)部商業(yè)秘密數(shù)據(jù)的有序安全、流動的問題。從文件產(chǎn)生，到文件通過郵件、即時通信、網(wǎng)盤等多種方式進行交換，再到接收方打開和閱讀文件的全過程中，如何識別商業(yè)秘密數(shù)據(jù)、如何進行標(biāo)記，如何在產(chǎn)生、交換、閱讀過程中進行管控，亟需完善的數(shù)據(jù)安全解決方案。

目前，衛(wèi)士通結(jié)合自身在數(shù)據(jù)標(biāo)記、數(shù)據(jù)加密等方面的技術(shù)和產(chǎn)品積累，與業(yè)界的合作伙伴積極對接，形成支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，支撐各種數(shù)據(jù)交換手段，具備較高自動化水平的商業(yè)秘密數(shù)據(jù)識別和標(biāo)記能力，覆蓋數(shù)據(jù)交換全鏈條的商業(yè)秘密數(shù)據(jù)保護方案。

記者：從《數(shù)據(jù)安全法（草案）》可以看到國家的數(shù)據(jù)安全整體布局，請問衛(wèi)士通將在其中扮演什么樣的角色？

張劍：首先，我們希望把密碼的基因發(fā)揮到極致。在數(shù)據(jù)安全的治理體系當(dāng)中，有諸多環(huán)節(jié)都離不開密碼，其重要性不言而喻，為此可以放大密碼基因，在我們原有的文件加密、數(shù)據(jù)庫加密等方式上進一步放大，并且積極去尋求和各種應(yīng)用場景的對接，讓其在數(shù)據(jù)安全中的作用發(fā)揮得更出色。

其次，結(jié)合對國家在政企數(shù)據(jù)保護的政策、標(biāo)準(zhǔn)、法規(guī)的研究，以及衛(wèi)士通公司在數(shù)據(jù)安全領(lǐng)域的實踐，可以看到未來數(shù)據(jù)安全治理將圍繞數(shù)據(jù)內(nèi)容，打造以內(nèi)容為核心的數(shù)據(jù)安全治理和防護體系。在該體系當(dāng)中，衛(wèi)士通將打造針對數(shù)據(jù)內(nèi)容的數(shù)據(jù)分級和識別、數(shù)據(jù)標(biāo)記， 以及數(shù)據(jù)溯源的能力，從而在未來的數(shù)據(jù)安全產(chǎn)業(yè)鏈條中占據(jù)產(chǎn)業(yè)上游的技術(shù)和產(chǎn)品供應(yīng)商地位，同時通過整合和合作，形成完整的數(shù)據(jù)安全解決方案的提供能力。