卫士（shì）通信息产业股份有限公司（sī）副总经理

张　剑

张剑，卫士（shì）通信息产（chǎn）业股份有限公司副总经理、高级工程师，负责（zé）公司在云（yún）安（ān）全、数据（jù）安全以及安全服（fú）务等（děng）业务（wù）领域的技术能力和产品规（guī）划等工作，拥有信息安全领域十余年（nián）从业经验，曾先后荣获（huò）省级、部级及军队科技进（jìn）步奖（jiǎng），并作为系（xì）统总（zǒng）师参与（yǔ）军队多个重大系统的（de）信息安全体（tǐ）系设（shè）计，先后参与工信部（bù）、国（guó）家保密局及公安部的云计算及大数据安（ān）全（quán）标（biāo）准的拟制工作，并作为ITU会员参（cān）与（yǔ）国际电联相关云计（jì）算安全标（biāo）准的讨论和（hé）研究工作，团队（duì）所研发的安全虚拟桌面（miàn）及安全云操作系统已经获得公安部（bù）最（zuì）高安全（quán）等级（jí）的增强级产品测评认（rèn）证。

目（mù）前（qián），全球进入大数据时代，数（shù）据呈（chéng）现爆发（fā）式增长的同时，也（yě）带来了前所未（wèi）有的风险与安全挑战。《中华人民（mín）共和国数据（jù）安全法（草案）》（以下简称（chēng）《数据安全法（草案）》）的颁（bān）布，旨（zhǐ）在（zài）搭建一个更为全面的数据安全保障体系（xì）。这不（bú）仅（jǐn）体（tǐ）现了国（guó）家对数据战略（luè）的（de）重大考量，也给相关（guān）的网络安全企业带来了重大机遇。

卫士通作为（wéi）一家以保护国家网络空间安全为（wéi）己任的公司，20多年来一直在国家重要行业信息系统的信息安全（quán）保障（zhàng）中发挥着（zhe）重要作用，当（dāng）下的《数据安（ān）全法（草案）》的出台，对卫（wèi）士通而言，既（jì）是机遇，也是挑战。为（wéi）此，记者采访了卫士通副总经理张剑，就《数据安全法 （草（cǎo）案 ）》、对企业的挑战与机遇，以及公司在数据安全领域的（de）布（bù）局等问题，进行（háng）了沟通交流，现整理如下，以飨读者。

记者：您如何评价刚出（chū）台的《数据安全法（草案）》？

张（zhāng）剑：《数据安全法（草案）》的出台，首先从宏观层面（miàn）上明确了国家的（de）大数据发展战略是引导安全需求要（yào）与数据的开发利用相结合，不是为了保护而保护。同时，草案从立法层面确立了我国数据安全治理（lǐ）与监管体系，表明数（shù）据安（ān）全已成为事关国家（jiā）安（ān）全与经济社（shè）会（huì）发展的重大关键点。国家关于数据安（ān）全（quán）的（de）总体战略，是（shì）鼓励数据活（huó）动（dòng）的各方共同参与数据安全的保护工（gōng）作（zuò），并且对（duì）开展数（shù）据活动的主体、相关的监管（guǎn）部门提出了义务和安全责任。

在（草案）中，对数据（jù）的定义、数据各参（cān）与（yǔ）方的（de）责任和（hé）义务都进行了清晰（xī）的厘（lí）定，明确规定（dìng）了数据（jù）保护的主体责（zé）任（rèn）和义务是（shì）进行数据活动的主体，特（tè）别规范了国家机关在进行政务信息开放时的责任和义务。国家相关（guān）部门（行业主管部门（mén）、公安机关、网信部门等）从监管的角度（dù）规（guī）范（fàn）数据处理的（de）环境（jìng），国家（jiā）将从数据的安（ān）全（quán）风险评估（gū）、监测预警、应急处置和安全审查四个方面进（jìn）行数据安全的监管。

其次，国（guó）家（jiā）也规范了在线数据处理（lǐ）和数据（jù）交易，要求专门提供在（zài）线数据处理等（děng）服务的经营者需要依法取得（dé）经营业务许可或者备案。针对个人信息（xī）、重（chóng）要数据和涉密数据（jù）的处理（lǐ）者（zhě）来说，都需要采取合法、正当的方式，并有保护的义务，包括（kuò）在（zài）境内开展数据（jù）活动的境外组织。再次，国家（jiā）要（yào）求数据活动主体（tǐ）加强风（fēng）险监测，针对重要数据的处理者还应定（dìng）期开展风险评估（gū），并向有关主管部（bù）门报送风（fēng）险（xiǎn）评估报告（gào）。

综上所述，《数据安全法（草案）》可以说（shuō）为国家后（hòu）续规范数据活（huó）动（dòng）环境、保障数（shù）据安全奠定了基础。

记（jì）者：《数据安全法（草（cǎo）案）》的出台对数据安全产业领域中的企业有何重要意义？

张剑：可以看到，数据（jù）安全法的最大特点是在鼓励（lì）数据流动（dòng）、共（gòng）享、乃至交易的情况下， 确保数据的安全，与此同时，国家正在最大（dà）限度地推动各行各业的大数据开放和（hé）共享。数（shù）据这一新（xīn）的生（shēng）产力已经逐步成（chéng）为各行业（yè）信息（xī）化中的基本（běn）共识。这样强有（yǒu）力的政策驱动对产（chǎn）业界（jiè）而言，无疑是重大的市场（chǎng）机遇。

与（yǔ）此同时，在大（dà）数（shù）据（jù）背景下（xià），数（shù）据（jù）类型多（duō）样化、数据交换共享（xiǎng）手段（duàn）的多样化，以（yǐ）及用户场景和需求的极大丰（fēng）富，导致（zhì）产业（yè）界在（zài）技（jì）术和产品中（zhōng）出现（xiàn）了诸多新（xīn）的挑（tiāo）战（zhàn），如行业数据的安全分级（jí）、结构化和非（fēi）结构化数据的识别和（hé）标记、数据流动全过程溯源和安全（quán）治理、业务全过程中的数据流动（dòng）风险（xiǎn）评估、隐私（sī）数据的安全计算、多（duō）方数据共享中的多（duō）方计算等问题的出现带动了传统数据（jù）安全企（qǐ）业的（de）转型（xíng），以及一大批（pī）数据安全创（chuàng）新公司的出（chū）现（xiàn）。

因此，数据（jù）安（ān）全（quán）产业在概念、内涵（hán）、技术（shù）、产品（pǐn）各个方面，都已出现了巨大变化，成为（wéi）网（wǎng）络安（ān）全领域（yù）中（zhōng）一个（gè）全（quán）新的（de）热点，处于（yú）一个快（kuài）速的产业发展期。

记（jì）者（zhě）：请您谈（tán）谈（tán），卫士通目前的技术沉淀、创新和（hé）产品研发情（qíng）况，与其（qí）他（tā）数据安全企业相（xiàng）比，其优势在哪里（lǐ）？《数（shù）据安全法（草（cǎo）案）》对贵司带来哪些影响，又将如何布（bù）局？

张剑：着力于数据（jù）安全这（zhè）一热点领域，确保（bǎo）数据的机密性是其根本和起点，而在这个方向上，卫（wèi）士通拥（yōng）有着（zhe）“红色基因（密码）、蓝色底蕴（科技）”的先（xiān）天（tiān）优（yōu）势（shì）。同时，基于对数据安全法的（de）深入理（lǐ）解，在国（guó）家推动数据流动（dòng）和（hé）共享的新形（xíng）势下（xià），针对不同行业中不同性质（zhì）和不同类型数（shù）据流动共享时的保护（hù）场景，卫士通充分结合自身的（de）密码优（yōu）势（shì），以打造覆盖数据流动全周期的安全（quán）治（zhì）理体（tǐ）系为目（mù）标，在数据识（shí）别与自动分级、数据标记（jì）、数据（jù）脱敏和降级、数据库和文件加密、数据流动全过程溯源（yuán）等方向（xiàng）开展（zhǎn）关键技术布局；并已初步形成（chéng）以数据（jù）安全治理平台、数据（jù）脱敏系（xì）统、数据分（fèn）级工具、数据库加密（mì）产品、数据密标（biāo）产品为代表的（de）系列化产品；并与业界友（yǒu）商形成广泛的合作和整合（hé），建立（lì）了数据安全的“生态圈”，具备多个行业应用（yòng）场景下的数据安全整体解决方案的提供能力（lì）。

记者：《数据安（ān）全法（fǎ）（草案）》背景下，作（zuò）为业内首（shǒu）个全服务化政（zhèng）务云安全项（xiàng）目，“成（chéng）都市政（zhèng）务云——数据安全（quán）治理项目”对整个行业有何重（chóng）要（yào）意义（yì）？

张（zhāng）剑：“成都市政务云——数据安全治理项目”可以说是政（zhèng）务领域一个较（jiào）为完（wán）整和典型（xíng）的数据安（ān）全治理案例。成（chéng）都市的数据安全（quán）共享、数（shù）据开放（fàng）、数据治理以（yǐ）及数（shù）据利用模式呈现出典型化和多（duō）样化（huà）的特质（zhì）。典型化在于成都市（shì）作为（wéi）一个一线的副省（shěng）级城市，其数据交换和共享场景，以及数据覆盖（gài）的委办局类型具备普（pǔ）遍的代表（biǎo）性（xìng）；而多样化则在（zài）于成都市政务（wù）大数（shù）据的交换、汇集和处理的场景（jǐng）丰富，且政务数据种类也呈现出（chū）多样（yàng）化的特点。

该项目（mù）的顺（shùn）利落地具备重要的示（shì）范（fàn）意义，也将产生深远的（de）影响。首先，它表（biǎo）明在复杂的城市（shì）级（jí）政务数据应用场景下，数据安全治理的可行性（xìng）以及实现（xiàn）效果是良好的（de）。基于我们（men）的解决方案（àn），数据安全管理（lǐ）部门可以实现（xiàn）上（shàng）万类政务数据的（de）有序分级（jí）、全场（chǎng）景下数（shù）据流动的全过程追溯、不同场景下数据的（de）有效控制和防护（hù），以及基（jī）于数据级别（bié）的安全（quán）防护策略（luè）的（de）动态（tài）协同。其次，该项目在政务（wù）数据安全治理（lǐ）中，实（shí）现了诸多创新，且对于（yú）其他城市级的数（shù）据安全治理有一定的参考价值，包括：结合（hé）人工智能技术实现政（zhèng）务数据的识别与分级，力图（tú）建立市（shì）级政务（wù）数据的分级分类标准；综（zōng）合运（yùn）用多种数据标记方法（fǎ），对数据（jù）在共（gòng）享交换（huàn）、数据汇集（jí）、市县共享等不同场景下实现（xiàn）标记跟踪；通（tōng）过打通与资源目录、共享交（jiāo）换等数据资源体系中的关键组件的接（jiē）口，获取数据（jù）流动日志，实现数据流动（dòng）全过程的追溯；基于数据（jù）标记识别数据的安全（quán）级别，并（bìng）以此为基础实现各类数据（jù）安全防（fáng）护（hù）设（shè）备（bèi）的策略（luè）协同。

最后，在该项目实施（shī）过程中我们遇到（dào）的问题和经验总结，也对（duì）其（qí）他城市数据安全（quán）治理（lǐ）有（yǒu）一（yī）定的（de）借鉴意义（yì），包括：实施（shī）过程中前置（zhì）机的安全责（zé）任以及安全措施之（zhī）间的关系，数据交换系统、数据共享系统与数据标记之间的融合（hé）， 如何（hé）以最小（xiǎo）的代价将安全（quán）与业务相结合，让业务流程、应用的改造量最小，实现效益最（zuì）大化。

记者（zhě）：众所周知，《数据（jù）安全法（草（cǎo）案（àn））》的出（chū）台将更加凸显数据安全（quán）的（de）重（chóng）要（yào）性，密码应用将在数据安（ān）全（quán）方（fāng）面起到什么样的（de）作用？

张剑（jiàn）：从数据安（ān）全的角度（dù）讲，密码是基础（chǔ）性的（de）保证，能（néng）够确保数据在各种场景下的（de）机密（mì）性。这也是卫士通为什么一直在（zài）致力于数据加密。从最初的文件加密，到现在的（de）数据库加（jiā）密， 再（zài）到（dào）基（jī）于密码的数据多（duō）方安全共（gòng）享等（děng），密码技术始终（zhōng）是（shì）其核心和灵（líng）魂。与此同时，数据加密新的场（chǎng）景也对密码算法和（hé）密码的应用带来了新的挑战，例（lì）如在数据多方（fāng）计算和多方共享的场景中，就（jiù）对密码算法带（dài）来了新的挑战，需要提（tí）供具备实用（yòng）性的密文计算或多（duō）方计算的算法， 在“数据（jù）不见面”情况（kuàng）下实现数（shù）据有效利用。

同时，数据安全（quán）关注度的极大提高，也会（huì）给内嵌（qiàn）了（le）密码（mǎ）机制的各种数（shù）据交互的应（yīng）用（yòng）带（dài）来（lái）更多机（jī）遇，卫（wèi）士通一（yī）直致力于为党政高（gāo）安全用户提供内嵌安（ān）全属性和密码属性的应用，如橙邮（yóu）、橙讯等；采用这样的（de）方式，能够很（hěn）好地做到应用中进行数据交换或者数（shù）据流动时，对数据的机密（mì）性（xìng）加以保护。

记者：《数据（jù）安全（quán）法（草案）》对政企（qǐ）的（de）数据安全建（jiàn）设提出了明确要求，您认为当前政企数（shù）据安全建设存（cún）在（zài）哪些问题和挑战？

张剑：从（cóng）政府角度讲，最（zuì）大的问题就是如何通（tōng）过（guò）数据安全治（zhì）理的思路来打通整个政府数据（jù）共享和交换路径的通道。

具体而言，首先，政务数据的分级和分（fèn）类（lèi）目（mù）前没有清晰（xī）的（de）标（biāo）准和法规的引（yǐn）领（lǐng）。从国家到（dào）地方（fāng），目前都还没有（yǒu）真正出台一部围绕政务数据的标准和法案，从而导致没（méi）有具体、有法可依、可操（cāo）作性（xìng）的（de）规（guī）范抓手，进而也就没有形（xíng）成一个规范性的解决思（sī）路或（huò）指导性意见，因此数据分（fèn）级问题很难在实际（jì）当中有效（xiào）开展。

其（qí）次（cì），政府如何科学有效监管？在目前大力推动政府数据的交换、共享、开放的大背景下（xià）， 如何对数据的流动（dòng）、流（liú）向（xiàng）进行（háng）有效（xiào）监管，掌握数据流动的全过（guò）程；同时（shí），如何（hé）整合当前的（de）各种离散的数（shù）据安（ān）全防（fáng）护手段（duàn），建（jiàn）立以数（shù）据（jù）属性为核心的一体化数据安全（quán）防护策略，实现对（duì）数据流动（dòng）中的统一有（yǒu）效管控，也（yě）是当下的一个（gè）挑战和（hé）难（nán）点。

对（duì）企业而言，国家正在积（jī）极推动商业秘密数据的保（bǎo）护（hù），国资委、国家保（bǎo）密局都（dōu）已经出台了相关（guān）的（de）要求和文件（jiàn），央（yāng）企（qǐ）首当其冲面临着如何实（shí）现内部商（shāng）业秘密数据（jù）的有序安全、流动（dòng）的问题。从文件产生（shēng），到文（wén）件通过邮件、即时通信、网盘等多种方（fāng）式进行交换，再到接收方打开和阅读文件的（de）全过程中，如何识别商业秘（mì）密数据、如何（hé）进行标（biāo）记，如何在产（chǎn）生、交（jiāo）换、阅读过（guò）程中进行（háng）管控，亟需（xū）完（wán）善的数据（jù）安全解（jiě）决方案。

目前（qián），卫（wèi）士通结合（hé）自（zì）身在数（shù）据标记、数（shù）据加密等方面的技（jì）术（shù）和产品积累，与业界的合（hé）作伙伴（bàn）积极（jí）对（duì）接，形成（chéng）支持结构化和非结构化数（shù）据，支撑（chēng）各（gè）种数据交换手段（duàn），具备较高自动（dòng）化水平的（de）商业（yè）秘密数据（jù）识别和标（biāo）记能力，覆盖数据交换全链条的商业秘密数（shù）据（jù）保护方案。

记者：从《数据安全法（草案）》可以看到国（guó）家（jiā）的数据安全（quán）整体布局，请问（wèn）卫士通将在其中（zhōng）扮演什么样的角色（sè）？

张（zhāng）剑：首先，我（wǒ）们希望把密码的基因发挥到极（jí）致。在数据（jù）安全（quán）的（de）治理（lǐ）体（tǐ）系当中，有诸（zhū）多（duō）环节都离不开（kāi）密码，其重要性不言而（ér）喻，为此可以放（fàng）大（dà）密码（mǎ）基因，在（zài）我们原有的文件加密、数据库加密等（děng）方式上进一步放大，并且积（jī）极（jí）去寻求和各种应用（yòng）场景的对（duì）接（jiē），让其（qí）在数据安全中的（de）作用发挥（huī）得（dé）更出色。

其次，结合对国（guó）家在政（zhèng）企数（shù）据保护（hù）的政策、标准、法规（guī）的研究，以及卫士通公司（sī）在数据安全（quán）领域（yù）的实践，可以看到未来数据安全治理将围绕数据内（nèi）容，打（dǎ）造以内（nèi）容（róng）为核心（xīn）的数（shù）据安全治理和防护体系。在该体（tǐ）系当中，卫士通将打造针对数据内容的（de）数据分级和识别、数据（jù）标（biāo）记（jì）， 以及数（shù）据溯（sù）源的能力，从而在未（wèi）来的数据（jù）安全产业链条（tiáo）中占据产业上游的技（jì）术（shù）和产品供（gòng）应商地位，同（tóng）时通过整合（hé）和合（hé）作，形成（chéng）完整的（de）数据安全解（jiě）决方案的提供能力。