联软科技魏继超:大家早上好,我是联软科技的魏继超,今天我这边跟大家汇报的主题是《构建税务信息的安全边界》。
主要有三部分的内容:
第一部分就是让大家了解一下我们深圳联软。第二是我们方案的精髓。我们的方案精髓只有一句话。最后是很关键的重点内容,联软的安界产品在韶关地税的真实的应用案例介绍。
首先介绍一下联软,联、联想的联,微软的软,联软科技。我们是2003年成立于深圳的一家软件公司,联软科技的主营业务是“网络准入控制与防信息泄露的产品研发及销售”。
网络准入控制:其实很容易理解,这次在座的大多数可能是坐飞机或者是高铁过来的,那么我们坐飞机和坐高铁我们要有什么凭证呢,很明显必须要有身份证或者护照。所以这个地方它有一个身份的概念,这个身份我们把它应用在当今的税务内部网络中,很容易就可以跟准入控制进行一个美妙的结合。比如我拿别人的身份证,我是肯定没有办法通过安全检查的;再比如我的行李中有大量的不合格的物品(炸药),那我也是没有办法通过安全检查的,大家很清楚这就是机场的安检流程。机场的安检就确保了合法的乘客,才可以上飞机。我们进入到机场以后,也不是任何一个飞机都可以上,你只能到你所在的登机口找到你所乘坐的航班。
我们把这种安全检查的技术和流程以及这种先进而成熟理念应用在我们当前的网络环境中,它会变成什么情况呢?合法的计算机、合法的身份通过合法的接入点,访问被分配的资源。题外话:飞机的劫机事件怎么发生的,就是因为安检存在瑕疵。我们再想一下坐高铁,其实现在坐高铁在验票的时候基本上不看身份证,所以飞机的安检的规格要远高于高铁。这就是为什么犯罪分子可以通过铁路逃跑,但是通过飞机逃跑有点困难。
联软科技从2005年开始研发了国内第一款网络准入控制产品,并且在深圳证券交易所第一个成功的应用,给联软带来了一个巨大的发展机遇。再经过这近七年的发展,赛迪2012年末发了一个市场调研报告“联软的网络准入控制产品在中国金融行业市场份额第一,远远高于国内外的同类产品”。
联软的第二个核心竞争力,就是的防信息泄露,大家看这张幻灯片。刚才韶关地税的陈卫国先生给大家分享了一下韶关地税是如何构建税务的数据安全平台。我们为什么要构建这个平台呢,因为不怀好意的人到处都有,因为这些数据是值钱的。
我给大家举两个例子,第一个例子上海2012年发生了一件严重的信息泄露事件,很值得跟大家分享,虽然不是税务系统的,但是有很大的借鉴意义。2012年是龙年,我相信在座的有可能也有生龙宝宝的,上海卫生局2012年统计到11月份有大约16万名新生儿。上海公安抓了一个嫌疑犯,这个人是一个IT公司的,该公司是专门为上海卫生局维护新生儿数据库的,这个嫌疑犯从2012年3月份开始,每个月登录两次数据库而且在家里面登录的。我说的很清楚“在家里面登录了卫生局的新生儿的数据库,每次下载并更新相应的数据”。这些数据可以干什么呢,很简单“有人买”。大家想一想三月份到十月份,短短七个月的时间,获利3万多人民币。每个月也就是那么几秒钟,而统计所有内容下来可能总共干事的时间一分钟都不到,但大赚了3万块钱。如果我是一个婴幼儿或者月嫂这样的服务机构,这个数据我肯定毫不犹豫的买了,因为这全是精准的客户,它非常值钱,可以说是金矿!但是它就带来了很大的社会危害(泄露了大量的个人和家庭隐私),这就是2012年上海公安破获了一起信息泄露案件。
第二起信息泄露事件就是咱们广州的“房叔”,我们看一下那个“房叔”曝出来的照片大家都应该知道那是一个屏幕上的截图,如果有印象的你会发现上面是有一个水印,如果你看得更仔细那个水印就是一个文字,它没有任何自定义的信息。刚才我们韶关地税的陈卫国先生讲了一点,我不知道大家有没有听清楚。那么水印我们包含当前登陆的用户它的IP、时间、计算机名,如果这张图片可以敢到网上去曝光,一定知道是谁从那里曝出来的,除非你拍别人的屏幕。联软科技的第二个强项就是防敏感信息泄露。
联软科技的产品,今天是我们第一次在公开场合下把我们的新包装、重新定义的名称,向大家进行宣讲。联软安界,安全的安,界限的界。给大家简单解释一下“网络无界,安全有界”什么意思,因为目前的无线技术,无线局域网技术、包括3G,以及智能设备的迅猛发展,带来了一个什么变化呢?带来了我随时随地不管在什么位置,我都可以办公。所以,你企业内部的网络还有边界吗,我估计你自己都找不到边界在哪里,它非常模糊,所以我们称为“网络无界”。我们的税务系统,我们要关注信息的安全,就如刚才陈卫国先生所讲的,“纳税人信息,包括企业纳税信息”,还有“个人的社保信息”,它的大规模、大批量的泄露,会带来社会的不稳定。的确如此,对社会的危害相当的大。所以“安全有界”,这是我们所说的网络无界、安全有界。联软的安界产品守护边界,守护我们的信息安全的边界,守护我们信息的边界、网络的边界。我们的两大核心功能,准入控制和防信息泄露,是业界最强的。目前来讲,国内外没有第二款产品可以在一个平台、一个客户端上实现准入和防信息泄露。不要把它理解为传统的加解密,稍候我会解释这个问题。当然了我们还有移动介质管控、行为审计等,不在这里多说。
最终我们要实现的一个目标是什么呢,“构建可控的互联世界”。
联软的发展历程从2003年一直到2012年,这里面给大家做了一个展示。那么从LEAGVIEW这个品牌的建立,以及我们三合一产品的推出,一直到2011年的推出四合一的产品,准入、防泄露、资产、桌面,这就是四合一的产品。经历了这几年的时间,我们在2005年、2007年分别签约了深圳证券交易所和上海证券交易所,并且逐步在中国的证券金融市场建立了自己的江湖地位,证券行业市场份额71%。当然,我们还在这两年签约了山东地税的全省、甘肃地税的全省,强调一下是省、市、县这样的三级架构。
在今年我们跟韶关地税反复地沟通,为韶关地税定制开发的我们的安界的信息防泄露功能,已经在韶关成功上线了。为什么选择联软呢,联软有什么优势,我们可以做什么。其实对联软来讲,我们一个产品可以实现四个功能。同时我们公司可以帮助大家去进行安全咨询,就是前期的免费设计和免费咨询,这就是我们在前期跟韶关反复地去沟通之后才开发了一套适合我们税务系统的信息泄露的一条思路,然后把它变成了现实,变成了产品。而且在我们还有传统的功能、在优势功能的基础之上,不需要你再去额外地部署任何东西。比如说如果山东地税,今天也有山东地税客户的在场,如果山东地税在明年或者后年要考虑,“我的征管系统的信息要管一下,我的数据库要管一下,那只需要做个升级就行了,买个系统就行了,不需要合同签了我们再重新部署,这就是我们一个很大的优势”。
同时我们可以简化运维,你想一个平台、一个客户端可以解决你至少四个问题,它一定比你购买四套系统更简单、更节省人力,更节省时间,更节省时间,而且管控效果一定是非常棒的。
最后就是满足行规了。这个行规呢,我不知道国税有没有什么规定,相信一定是有的,但是公安部、保密局一定是有。如果出了不好的事情,特别是税务系统如果出了事情,公安部、保密局一定会查,所以国家有等级保护,我们这个安界跟等级保护贴合的是非常紧密的。一般的像省地税的级别至少要满足国家等级保护的三级。
这是我们这几年所做的客户的一些名单,也不是我们吹的,“你在金融行业做得好,到底有哪些客户”,包括所有的证券、以及银行,确实很多。作为中国的金融中心上海基本上50%以上的金融机构都选择了联软。当然在广东我们还有广发证券、广发期货、广东邮储等。
接下来进入我们第二个主题,就是我们安界产品的精髓,这个精髓只有一句话,非常简单,第一部分就是“不加密”,我们向加密说拜拜。为什么不需要加密技术呢,因为如果采用了加密,第一影响系统的运行速度,第二兼容性的问题,“今天蓝屏、明天文件打不开、后天文件丢失”,烦不胜烦,所以这也是国内目前做加解密的厂商为什么他们只能做一些小型的制造业,这种大型的垂直的行业,没有办法去做的原因,只能去做一做这种制造,然后小家电,设计研究院等,这都规模都很小,也就几百个点、上千点而已。但是过万点的、几万点的这种系统,不敢轻易用这样的加解密产品。所以我们的思路从开始我们就不走加密这条路线,这是我们的第一个特点,不加密。
第二个部分是什么呢,USB接口我们不需要去管控。那么你说你不管控是不是吹牛?人家拿的U盘一拷就拷走了,拿个硬盘卸下来,用硬盘做个对拷,其实如果稍候大家有兴趣的话可以到我们展台那边我们有视频演示,整个我们的系统在韶关怎么用的,以及我们怎么防止数据库的一个查询结果的导出,它是怎么实现的,你通过视频一看就明白了,根本不需要去管控这个USB。所以你上了这个移动介质管理系统,基本上没有什么实际用途。因为数据不会落到你能够随意去操作的空间里面去。我们的数据只能够在受控的区域,这个受控的区域你关了机,客户端离线,然后你把硬盘拆了,你看到的只是一个文件,这个文件你也没有能力去解密,所以存在受控区域里面的数据你没有办法对它进行违规操作。
第三部分也是很重要的,想你所想,零改造。什么叫零改造呢,大家同时提出“我现有的业务系统,有些可能是很早之前的软件厂商开发的,有些是现在正在开发的,我不能因为为了实现数据的泄露防护,让这些开发的软件厂商再对我这个业务系统做改造,所以你这个东西上来以后跟我的业务不要有直接的关系”。这个就是零改造,也就是说你业务现在怎么运行的你继续运行,我们的平台上来以后就实现我们的功能。所以我们会把你的计算机一分为二。个人计算环境和企业计算环境,什么叫个人计算环境呢,我通过IE浏览器或者一些工具我去连接去访问一些不受管控的资源,你该怎么用还怎么用,你想怎么保存就怎么保存,想怎么截屏就怎么截屏,但是如果你访问了我受保护的数据库,受保护的业务系统,不好意思,这些操作一律受控,可以说直接进去了,最简单的是直接进去了。那这就是我们总结起来一句话“不加密、不管USB、应用免改造”这就是联软的安界产品,是不是很牛!
那么接下来我们是第三部分的内容。那么我们把韶关地税的经验简单做一个分享。
当然了,首先韶关地税选择安界产品同时包含了准入、可确保合法的健康的设备才可以接入到韶关地税的内网。
今天深信服的厂商也在,有很多客户跟我讲“深信服是网络准出、联软是网络准入”,也就是说2者是相辅相成的。我们的韶关地税的应用的准入是纯软件的解决方案,没有使用任何的硬件。管控的效果要比硬件不知道好多少倍,准入有三种。高、中、低,那么我们所做的是高强度的准入,高强度的准入一定是纯软件的,如果有厂商给你推荐的是硬件结合的,它就是弱准入,弱准入和中准入有大量的漏洞,做了还不如不做,除非你的网络环境非常差。
第二就是我们的DLP,就是我刚才说的防信息泄露。
其次就是我们的资产和桌面的安装管控,满足内部的审计。
所以一个产品四个功能,一个平台,一个客户端、一个进程,让我们简化管理。
这张图是我们在韶关地税的一个部署的结构,我们分成三个部分。最左边是我们的平台,纯软件的,我们主要的功能,比如说对浏览器的管控,对工具的管控,那么这个我们分为B/S或者C/S。另外我们的准入控制,确保所有的设备在入网的时候必须经过认证,简单用五个字总结就是"实名制准入"。那通过这个准入的审计信息我就知道是"哪一个人在什么时间、通过哪一个楼层的哪一个交换机的哪一个端口接入到网络,什么时间离开"的一目了然,并且只通过一个界面查询就可以了。这就是我们的准入。
当然了还有桌面里面的一些常规的管控,这个就不多说了,都是常规应用。右边是我们看到的分为数据库和业务系统。其实业务系统后面都有数据库。像韶关地税,在上个月刚上线了一个新的业务系统。那么涉及到第三方的开发人员要驻场开发,这些开发人员要频繁访问你真实的数据库,这个过程你是没有任何管控的,所以经过沟通以后我们要进行再次的扩容,其实就是策略上的扩容,不是说客户端的部署。这样就把第三方维护和开发人员把他们管起来,防止车辆信息,车牌、车主、家庭住址、电话号码,这些信息也很值钱啊,如果是一个4S店的经销商,拿着这个信息天天发短信,一定可以把车卖出去。所以车辆的信息也是很重要的。这些信息的信息量都很小,我直接通过PL/SQL的工具一个指令就把它拷贝然后Excel,就把数据导走了,拷到U盘里面,出去就可以卖了,在QQ上、淘宝上随便卖,网上的这个信息非常多,所以我们要对第三方的运维和外包人员进行管控,禁止他导出,如果你要导出没问题,只有一台计算机可以导,导了以后要带走,没问题但是有审计和审批,而且领导批了以后你随便拿,领导没批你也拿不走,因为对一些敏感的信息确实有脱离管控被使用的时候,这要有一个责任制。
我们下面当然就针对不同的网点,还有我们不同区的税务的办公地点,还有不同的楼层,我们所要实现的就是通过策略、通过管理中心下发,然后所有的受控端会上传日志,我们所要实现的两大主要功能,就是准入和防泄露。那么最终我们带来的价值是什么呢,准入可以做到“合规方可入网”没有规矩不成方圆,因为有了规矩它才安全。所以“合规才能入网”,合规的规则由你来定义。
第二,防泄露。我这次的汇报主题是《构建税务信息的安全边界》,里面有一个“安”、有一个“界”,是我们产品的名称,同时保护我们的关键的税务的业务系统。因为通过准入和防泄露两个功能模块的相互配合才可以实现这样的功能。举例来说,如果光要防泄露行不行,肯定是不行的,因为它把客户端弄没了,比如他用360之类的工具,弄没之后呢,他就可以不受管控。但是有了准入,你弄掉以后就不能访问业务系统。所以,准入和防泄露是密不可分的,相辅相成,须同时使用,才可以达到最佳效果。
以上就是我今天演讲的所有内容,感谢大家。