卫士通信息产业股（gǔ）份有（yǒu）限公司副总经理

张　剑

张剑，卫士通（tōng）信息产业股（gǔ）份有限（xiàn）公司副总经理、高级工程师，负责（zé）公（gōng）司在云安全（quán）、数据安全以及（jí）安全（quán）服（fú）务等业务领域（yù）的技术能力和产品规划（huá）等工作，拥有信息安全领（lǐng）域十余年（nián）从业经验，曾（céng）先后荣获省级、部级及（jí）军队科技进（jìn）步奖，并作为系统总师参与军队多个重（chóng）大系统的信息安全体（tǐ）系设计，先后参（cān）与工（gōng）信部、国家（jiā）保密局（jú）及公安部的云计算及大数（shù）据安（ān）全（quán）标准的拟制工作，并作为ITU会员参与国际电联相关云计算安全标准的讨论和研（yán）究（jiū）工（gōng）作，团（tuán）队所研发的安全虚拟桌面及安全云操作（zuò）系统已经获得公安部最高安全等级的（de）增强级产品测评认证（zhèng）。

目前，全球进入大（dà）数（shù）据时代，数据呈现爆发式增长的同时，也带（dài）来了前所未（wèi）有的风险与安全挑战。《中华（huá）人民共和（hé）国（guó）数据安全法（草案）》（以下（xià）简称《数据安（ān）全法（fǎ）（草案（àn））》）的（de）颁（bān）布（bù），旨在搭建一个更（gèng）为全（quán）面的数（shù）据安全保障体（tǐ）系。这不仅体现（xiàn）了国家对数（shù）据战（zhàn）略的重大考量，也给相关的网（wǎng）络安全企业带来（lái）了（le）重（chóng）大机遇。

卫士（shì）通（tōng）作为（wéi）一家以保护国（guó）家网络空（kōng）间安全为己任的公（gōng）司，20多年来一直（zhí）在国（guó）家重要行业信（xìn）息系统的信息安全保障中发（fā）挥着（zhe）重要作用（yòng），当下的《数（shù）据安（ān）全法（草案）》的出台（tái），对卫士通而言，既是（shì）机遇（yù），也是挑（tiāo）战（zhàn）。为此，记者采访了卫士通副总（zǒng）经（jīng）理（lǐ）张（zhāng）剑，就《数据（jù）安全法 （草案 ）》、对企业的挑战与机（jī）遇，以（yǐ）及公司在数据安全领域的布局等问（wèn）题（tí），进行了沟通（tōng）交流，现（xiàn）整理如下，以飨读者。

记者：您如何评价刚（gāng）出（chū）台（tái）的《数据安全法（fǎ）（草案）》？

张剑（jiàn）：《数据安全法（fǎ）（草案）》的（de）出台（tái），首先（xiān）从（cóng）宏观层面（miàn）上明确了国家的大数据发展战略是（shì）引（yǐn）导安全（quán）需求要与数据的开发（fā）利用相结合，不（bú）是为了保护而保（bǎo）护。同时，草案从立法层面（miàn）确立（lì）了我国数据（jù）安全治理与（yǔ）监管体系（xì），表明数据安全已（yǐ）成（chéng）为事关国家安全与经（jīng）济社会发展的重大（dà）关键点。国家关于数据安全的总体战略，是鼓励数据活（huó）动的各方共同参（cān）与数据（jù）安全的保护工作，并且对开展（zhǎn）数据（jù）活动的主体、相关的监管部（bù）门（mén）提出了（le）义（yì）务和安全责任。

在（草案）中，对数据（jù）的定义（yì）、数（shù）据各参（cān）与方的责任和义（yì）务都进行了清晰的（de）厘定，明确规定（dìng）了数据保护的（de）主体责任和（hé）义务（wù）是进行数据活（huó）动的主体，特别规范了国（guó）家（jiā）机（jī）关在进行政务信（xìn）息开放时的责任和义务。国（guó）家相关部门（行业主管部门、公安机（jī）关、网信（xìn）部门等）从监管的角度规范数（shù）据处理的环境，国家将从（cóng）数（shù）据的安（ān）全风险评（píng）估、监测预警、应（yīng）急处置和安全审查（chá）四个方面进行数据安（ān）全的（de）监管（guǎn）。

其次，国（guó）家也（yě）规范了在线数据处理和数据交（jiāo）易，要求专门提（tí）供在线（xiàn）数据处理等服务的（de）经营者（zhě）需（xū）要依法（fǎ）取得经（jīng）营业务许可（kě）或（huò）者备案。针对个人（rén）信息、重要数据（jù）和涉密数据的（de）处（chù）理者来说（shuō），都（dōu）需要（yào）采取合法、正当的方式，并有（yǒu）保护（hù）的（de）义务，包括在境内开展数据活动（dòng）的境（jìng）外组（zǔ）织。再次，国（guó）家要求数据活动（dòng）主（zhǔ）体（tǐ）加强风险监测，针对（duì）重要数据的处理者还应定（dìng）期开展（zhǎn）风险评估，并向有关主（zhǔ）管部门报送风（fēng）险（xiǎn）评估报（bào）告。

综上所述，《数据安全法（草案）》可以说为国家后续（xù）规范数据活动环境（jìng）、保（bǎo）障数据安全（quán）奠（diàn）定了基础。

记（jì）者：《数据安全法（草案）》的出台对数（shù）据（jù）安全产业领域中的企业有何（hé）重要（yào）意义（yì）？

张剑（jiàn）：可（kě）以看到，数据安全法的最大特点是在鼓励数（shù）据流动、共享、乃至交易的情况下， 确（què）保数据的安（ān）全，与此同时，国家正在最大限度地推动各行各业（yè）的大数据开放和共（gòng）享。数据这一新的生产力（lì）已经逐（zhú）步成（chéng）为各行业信息（xī）化中的基本共识。这（zhè）样强（qiáng）有力的政策驱动对（duì）产（chǎn）业界而言（yán），无疑是重（chóng）大的市场机（jī）遇。

与（yǔ）此同时，在大数据（jù）背（bèi）景（jǐng）下（xià），数据类型（xíng）多样（yàng）化、数据交换（huàn）共（gòng）享手段的多样（yàng）化，以及用户场景（jǐng）和需求的极（jí）大丰（fēng）富，导致产（chǎn）业界在技（jì）术和产品中出现了诸多新的挑战，如行业数据（jù）的安全分级、结（jié）构化和非（fēi）结（jié）构化数据（jù）的识别（bié）和（hé）标记、数（shù）据流（liú）动（dòng）全过程溯源和安全（quán）治理、业务全（quán）过程（chéng）中的（de）数据流动风险评估、隐（yǐn）私数（shù）据的安全计算、多方数据共享（xiǎng）中的多方计算等问题的出现带动了传统数据安全企业的转型，以（yǐ）及一大批数据安（ān）全创新公司的（de）出现。

因此，数据安全产（chǎn）业在（zài）概念、内（nèi）涵、技术、产品各个方面，都已出现（xiàn）了巨大（dà）变化，成为网络安全领域中一个全新的热点，处于一个快速的产业发展期。

记者：请您（nín）谈谈，卫士通目（mù）前的技术沉淀（diàn）、创新和产（chǎn）品研发（fā）情况（kuàng），与其他数据安全（quán）企业相比，其（qí）优势在哪里？《数据安全法（草案）》对贵司带来哪些（xiē）影响，又将如何布局（jú）？

张剑：着力于数据（jù）安全这一热点领（lǐng）域，确保数据（jù）的机密性（xìng）是其根本（běn）和（hé）起（qǐ）点（diǎn），而在这个方向上（shàng），卫（wèi）士通拥有着（zhe）“红色基因（yīn）（密码）、蓝（lán）色底蕴（科技）”的先天优（yōu）势。同时，基于对（duì）数据安全法（fǎ）的深入理解，在国（guó）家推动数据流动和共享的新形势下，针对不同行业中不同性质和不同类型数据（jù）流动共（gòng）享时的保护场景，卫士通（tōng）充分（fèn）结合自身的密码优（yōu）势，以打造覆盖数（shù）据流动全周期的安全治理体（tǐ）系为目（mù）标（biāo），在数据（jù）识别与自（zì）动分（fèn）级（jí）、数据标（biāo）记、数据脱敏和（hé）降级、数据库和文件加（jiā）密、数据流动全（quán）过程溯（sù）源等方向开展（zhǎn）关（guān）键技术布（bù）局；并已初（chū）步形成以数据安（ān）全治理平台、数（shù）据（jù）脱敏系统（tǒng）、数据分级工具、数据库加密产（chǎn）品、数据密标产品（pǐn）为代（dài）表的系（xì）列化产品（pǐn）；并与业（yè）界（jiè）友商（shāng）形成广泛的（de）合作和整合，建（jiàn）立了（le）数据安（ān）全的（de）“生态圈”，具备（bèi）多个行业应用（yòng）场景下的数据安全整体（tǐ）解决方（fāng）案的提供能力。

记者：《数据安（ān）全法（草案）》背景下，作为（wéi）业内首个（gè）全服务（wù）化政务云安全项目（mù），“成（chéng）都（dōu）市政务云——数据安全治理项目”对整个行业有何重要（yào）意义？

张剑：“成都（dōu）市（shì）政务（wù）云——数（shù）据（jù）安全治理项（xiàng）目”可以说是政（zhèng）务领（lǐng）域一个较为完整和典型的（de）数据安全治理（lǐ）案例。成（chéng）都市的数据安全共享、数据（jù）开放、数据（jù）治（zhì）理以（yǐ）及数据利用模式呈现（xiàn）出典型化和多样化（huà）的（de）特质。典型化在于成都市作为一个一线（xiàn）的副省级城市，其（qí）数据交换（huàn）和（hé）共享场景，以及数据覆（fù）盖的委办局类型（xíng）具备普遍的代（dài）表性；而多样化则在于成都市政务（wù）大数据的交换、汇集和处理的场景丰富（fù），且政（zhèng）务（wù）数据种类也呈现（xiàn）出多（duō）样化的特点。

该项目的顺利落地具备重要的示范意义，也将产生深远的影响。首先（xiān），它表明在复（fù）杂（zá）的城（chéng）市级政（zhèng）务数据应（yīng）用场景下，数据（jù）安全治理的可行性以及实现效果是良好（hǎo）的。基于（yú）我们的解决（jué）方案，数据安全管（guǎn）理（lǐ）部门可（kě）以实现上万（wàn）类政（zhèng）务数据的有序分级（jí）、全场景下数据流（liú）动的全过程追溯、不同场景下数据的有效控制（zhì）和防护，以及（jí）基于数据级（jí）别的安全防（fáng）护策略的动态协同。其次，该项目在政（zhèng）务（wù）数（shù）据安全治理中，实（shí）现了诸多创（chuàng）新，且对于其（qí）他城市级的数据安全治理有一定的参考价值，包括：结合人工智能技（jì）术实现政务数据的识别与分级，力图建（jiàn）立（lì）市级政（zhèng）务数据（jù）的分级分（fèn）类（lèi）标准；综（zōng）合运用多种数据（jù）标记方（fāng）法（fǎ），对数据在共享交换、数据汇集、市县共享等不同场景下实现标记跟踪；通过打（dǎ）通与资（zī）源目录、共享交换等数据资源体系中的（de）关键（jiàn）组件的接（jiē）口（kǒu），获取数据流（liú）动（dòng）日（rì）志，实现数据（jù）流动全过（guò）程的追溯；基于数据标记（jì）识别数据的安（ān）全级（jí）别，并以（yǐ）此为基础实现各类数据安全防（fáng）护设备的策略协同。

最后，在该项目（mù）实施过程（chéng）中我们遇到的问题和经验（yàn）总结，也对其他城市数据（jù）安全治（zhì）理有一定的（de）借鉴（jiàn）意义，包括：实施过程（chéng）中前置机的（de）安全责任以（yǐ）及安全措施（shī）之间的关系，数据交换系统、数据共享系统与数据标记之间的融合， 如（rú）何以最小的（de）代（dài）价将（jiāng）安全与业务相结合，让业（yè）务流（liú）程、应（yīng）用的改造（zào）量（liàng）最（zuì）小，实（shí）现（xiàn）效益最大化（huà）。

记者：众所周（zhōu）知（zhī），《数（shù）据安全法（草案）》的出台将更加凸显数据（jù）安全的重（chóng）要性，密码应用将在数（shù）据安全方面起到什（shí）么样的作（zuò）用？

张剑：从数据安全的（de）角度讲（jiǎng），密码是基础性的保证，能够确保数据在各种场景下的机密性（xìng）。这也是卫士通为（wéi）什么（me）一直在致力于数据加密。从最（zuì）初的文件加密，到现在的数据库加密， 再到基于密码的（de）数（shù）据（jù）多（duō）方安全共享等，密码技（jì）术始（shǐ）终是其核（hé）心和灵魂（hún）。与（yǔ）此同（tóng）时，数据加（jiā）密新的（de）场景也对密码算（suàn）法（fǎ）和密（mì）码的应用带来了新的挑战，例如在数据多方计算（suàn）和多方（fāng）共享（xiǎng）的场（chǎng）景（jǐng）中（zhōng），就对密码（mǎ）算法带来了新的挑战，需要提供具备实用性的密文计算或多方计算的算法， 在“数据不见面（miàn）”情况下实现数据有效利用（yòng）。

同（tóng）时，数据安全关注度的极大提高，也会给（gěi）内（nèi）嵌了密码机制的各种（zhǒng）数（shù）据（jù）交互的应用带来更多机遇（yù），卫士通一直致（zhì）力于为（wéi）党政高安全用户提供内嵌（qiàn）安全属性和密码（mǎ）属性的应用，如橙邮（yóu）、橙讯等；采用这样的方式，能够很（hěn）好地（dì）做到应用（yòng）中进行数据交换或者数（shù）据（jù）流动时，对数据的机密性加以（yǐ）保护。

记者：《数据安全法（草（cǎo）案）》对政企的数据安全建设提出了明确要求，您认为（wéi）当前政（zhèng）企数据安全建设存在哪些问（wèn）题和挑（tiāo）战？

张（zhāng）剑：从政府角度讲，最（zuì）大的问题就是如何（hé）通过数（shù）据安全治理的（de）思路来打通整个政（zhèng）府数据共享和交（jiāo）换路径的通道。

具（jù）体而言，首先，政务数据（jù）的分级和分类目前没有清晰的（de）标准和法规的引（yǐn）领。从国家到地方，目前都还没有真正出台一（yī）部（bù）围绕（rào）政（zhèng）务数据的（de）标准和（hé）法（fǎ）案（àn），从而（ér）导致没有（yǒu）具体、有法可依、可操（cāo）作性的（de）规范抓手（shǒu），进而也就（jiù）没有形成一个规范性的解决思路或指导性意见，因此数据分级问题很难在实际（jì）当中有效开展。

其次，政府如何科学有效监（jiān）管（guǎn）？在目（mù）前大力推动（dòng）政府数据的交（jiāo）换、共享、开放的大背景（jǐng）下， 如何对数据的流（liú）动（dòng）、流向进行有效监管，掌握数据流动的全过程；同时，如何（hé）整合当（dāng）前的各种离散的数据安全防护手段，建立以数据属性为核心的一（yī）体化数据安全防护策略，实现对数（shù）据流动（dòng）中的统一有效管（guǎn）控，也是当下的一个挑战（zhàn）和难（nán）点（diǎn）。

对企业而言，国家正（zhèng）在积（jī）极推动商业秘密数据的保（bǎo）护，国资委、国家保密局都已（yǐ）经出台（tái）了相关的要求和文件，央企首当其冲面（miàn）临（lín）着如何实现（xiàn）内部商（shāng）业秘密数据的有序安全、流（liú）动的问（wèn）题。从文件产生，到文（wén）件（jiàn）通过邮件（jiàn）、即时通信、网盘等多种（zhǒng）方（fāng）式进行交换，再到接收方（fāng）打开（kāi）和阅读文件的全过程中，如何识别商（shāng）业秘密数（shù）据、如何进（jìn）行标记，如（rú）何在产生、交（jiāo）换、阅读过程中进行管控（kòng），亟需完善的数据（jù）安全（quán）解决方案。

目前，卫士通结合自身在（zài）数据标（biāo）记、数据加密等方面的技术和产品积累，与业（yè）界的合作伙伴积极对接，形成支持结构化和非结构化（huà）数据（jù），支撑（chēng）各种（zhǒng）数据交换手（shǒu）段，具（jù）备（bèi）较（jiào）高自动化水平的商业（yè）秘密（mì）数（shù）据识别和标（biāo）记能力（lì），覆盖数（shù）据交（jiāo）换全链条的商业秘密（mì）数据（jù）保护方案。

记者：从《数据安全法（fǎ）（草案）》可以看到国家的（de）数据安全整体（tǐ）布（bù）局，请问卫士（shì）通将在（zài）其（qí）中扮演什么样的（de）角色？

张剑：首（shǒu）先，我们希望把（bǎ）密（mì）码的基因（yīn）发挥到极致。在（zài）数（shù）据安全的（de）治理（lǐ）体系（xì）当（dāng）中（zhōng），有诸多环节都离（lí）不（bú）开密码，其重要性不言而喻（yù），为此可以放（fàng）大密码基因（yīn），在我们原有（yǒu）的文件加密、数据库加密等方式上进一步放大，并且积极（jí）去寻求（qiú）和各种应用场（chǎng）景的对接，让其在数据安全中的作用发挥得更出色（sè）。

其次，结合（hé）对国家在政企数据保护（hù）的（de）政策、标准、法规的研（yán）究，以及卫士通公（gōng）司在数据安全领域（yù）的（de）实践，可以看到未来数据（jù）安全治理将围绕数据内容，打造（zào）以内容（róng）为核心的数（shù）据安（ān）全（quán）治理和防护（hù）体系。在该体（tǐ）系当（dāng）中，卫士通（tōng）将打造针对数据内（nèi）容的数据分级和识别、数据标记， 以及数（shù）据溯源的能力，从而在未来的数据安全产业链条中占（zhàn）据产业（yè）上游的技术和（hé）产品供应商地位，同时通过整合和合（hé）作，形成完整的数据（jù）安全解（jiě）决方案的提供能力（lì）。