聯(lián)軟科技魏繼超：大家早上好，我是聯(lián)軟科技的魏繼超，今天我這邊跟大家匯報的主題是《構(gòu)建稅務(wù)信息的安全邊界》。

主要有三部分的內(nèi)容：
第一部分就是讓大家了解一下我們深圳聯(lián)軟。第二是我們方案的精髓。我們的方案精髓只有一句話。最后是很關(guān)鍵的重點內(nèi)容，聯(lián)軟的安界產(chǎn)品在韶關(guān)地稅的真實的應(yīng)用案例介紹。

首先介紹一下聯(lián)軟，聯(lián)、聯(lián)想的聯(lián)，微軟的軟，聯(lián)軟科技。我們是2003年成立于深圳的一家軟件公司，聯(lián)軟科技的主營業(yè)務(wù)是“網(wǎng)絡(luò)準入控制與防信息泄露的產(chǎn)品研發(fā)及銷售”。
網(wǎng)絡(luò)準入控制：其實很容易理解，這次在座的大多數(shù)可能是坐飛機或者是高鐵過來的，那么我們坐飛機和坐高鐵我們要有什么憑證呢，很明顯必須要有身份證或者護照。所以這個地方它有一個身份的概念，這個身份我們把它應(yīng)用在當今的稅務(wù)內(nèi)部網(wǎng)絡(luò)中，很容易就可以跟準入控制進行一個美妙的結(jié)合。比如我拿別人的身份證，我是肯定沒有辦法通過安全檢查的；再比如我的行李中有大量的不合格的物品（炸藥），那我也是沒有辦法通過安全檢查的，大家很清楚這就是機場的安檢流程。機場的安檢就確保了合法的乘客，才可以上飛機。我們進入到機場以后，也不是任何一個飛機都可以上，你只能到你所在的登機口找到你所乘坐的航班。

我們把這種安全檢查的技術(shù)和流程以及這種先進而成熟理念應(yīng)用在我們當前的網(wǎng)絡(luò)環(huán)境中，它會變成什么情況呢？合法的計算機、合法的身份通過合法的接入點，訪問被分配的資源。題外話：飛機的劫機事件怎么發(fā)生的，就是因為安檢存在瑕疵。我們再想一下坐高鐵，其實現(xiàn)在坐高鐵在驗票的時候基本上不看身份證，所以飛機的安檢的規(guī)格要遠高于高鐵。這就是為什么犯罪分子可以通過鐵路逃跑，但是通過飛機逃跑有點困難。

聯(lián)軟科技從2005年開始研發(fā)了國內(nèi)第一款網(wǎng)絡(luò)準入控制產(chǎn)品，并且在深圳證券交易所第一個成功的應(yīng)用，給聯(lián)軟帶來了一個巨大的發(fā)展機遇。再經(jīng)過這近七年的發(fā)展，賽迪2012年末發(fā)了一個市場調(diào)研報告“聯(lián)軟的網(wǎng)絡(luò)準入控制產(chǎn)品在中國金融行業(yè)市場份額第一，遠遠高于國內(nèi)外的同類產(chǎn)品”。

聯(lián)軟的第二個核心競爭力，就是的防信息泄露，大家看這張幻燈片。剛才韶關(guān)地稅的陳衛(wèi)國先生給大家分享了一下韶關(guān)地稅是如何構(gòu)建稅務(wù)的數(shù)據(jù)安全平臺。我們?yōu)槭裁匆獦?gòu)建這個平臺呢，因為不懷好意的人到處都有，因為這些數(shù)據(jù)是值錢的。

我給大家舉兩個例子，第一個例子上海2012年發(fā)生了一件嚴重的信息泄露事件，很值得跟大家分享，雖然不是稅務(wù)系統(tǒng)的，但是有很大的借鑒意義。2012年是龍年，我相信在座的有可能也有生龍寶寶的，上海衛(wèi)生局2012年統(tǒng)計到11月份有大約16萬名新生兒。上海公安抓了一個嫌疑犯，這個人是一個IT公司的，該公司是專門為上海衛(wèi)生局維護新生兒數(shù)據(jù)庫的，這個嫌疑犯從2012年3月份開始，每個月登錄兩次數(shù)據(jù)庫而且在家里面登錄的。我說的很清楚“在家里面登錄了衛(wèi)生局的新生兒的數(shù)據(jù)庫，每次下載并更新相應(yīng)的數(shù)據(jù)”。這些數(shù)據(jù)可以干什么呢，很簡單“有人買”。大家想一想三月份到十月份，短短七個月的時間，獲利3萬多人民幣。每個月也就是那么幾秒鐘，而統(tǒng)計所有內(nèi)容下來可能總共干事的時間一分鐘都不到，但大賺了3萬塊錢。如果我是一個嬰幼兒或者月嫂這樣的服務(wù)機構(gòu)，這個數(shù)據(jù)我肯定毫不猶豫的買了，因為這全是精準的客戶，它非常值錢，可以說是金礦！但是它就帶來了很大的社會危害（泄露了大量的個人和家庭隱私），這就是2012年上海公安破獲了一起信息泄露案件。
第二起信息泄露事件就是咱們廣州的“房叔”，我們看一下那個“房叔”曝出來的照片大家都應(yīng)該知道那是一個屏幕上的截圖，如果有印象的你會發(fā)現(xiàn)上面是有一個水印，如果你看得更仔細那個水印就是一個文字，它沒有任何自定義的信息。剛才我們韶關(guān)地稅的陳衛(wèi)國先生講了一點，我不知道大家有沒有聽清楚。那么水印我們包含當前登陸的用戶它的IP、時間、計算機名，如果這張圖片可以敢到網(wǎng)上去曝光，一定知道是誰從那里曝出來的，除非你拍別人的屏幕。聯(lián)軟科技的第二個強項就是防敏感信息泄露。
聯(lián)軟科技的產(chǎn)品，今天是我們第一次在公開場合下把我們的新包裝、重新定義的名稱，向大家進行宣講。聯(lián)軟安界，安全的安，界限的界。給大家簡單解釋一下“網(wǎng)絡(luò)無界，安全有界”什么意思，因為目前的無線技術(shù)，無線局域網(wǎng)技術(shù)、包括3G，以及智能設(shè)備的迅猛發(fā)展，帶來了一個什么變化呢？帶來了我隨時隨地不管在什么位置，我都可以辦公。所以，你企業(yè)內(nèi)部的網(wǎng)絡(luò)還有邊界嗎，我估計你自己都找不到邊界在哪里，它非常模糊，所以我們稱為“網(wǎng)絡(luò)無界”。我們的稅務(wù)系統(tǒng)，我們要關(guān)注信息的安全，就如剛才陳衛(wèi)國先生所講的，“納稅人信息，包括企業(yè)納稅信息”，還有“個人的社保信息”，它的大規(guī)模、大批量的泄露，會帶來社會的不穩(wěn)定。的確如此，對社會的危害相當?shù)拇?。所?ldquo;安全有界”，這是我們所說的網(wǎng)絡(luò)無界、安全有界。聯(lián)軟的安界產(chǎn)品守護邊界，守護我們的信息安全的邊界，守護我們信息的邊界、網(wǎng)絡(luò)的邊界。我們的兩大核心功能，準入控制和防信息泄露，是業(yè)界最強的。目前來講，國內(nèi)外沒有第二款產(chǎn)品可以在一個平臺、一個客戶端上實現(xiàn)準入和防信息泄露。不要把它理解為傳統(tǒng)的加解密，稍候我會解釋這個問題。當然了我們還有移動介質(zhì)管控、行為審計等，不在這里多說。

最終我們要實現(xiàn)的一個目標是什么呢，“構(gòu)建可控的互聯(lián)世界”。
聯(lián)軟的發(fā)展歷程從2003年一直到2012年，這里面給大家做了一個展示。那么從LEAGVIEW這個品牌的建立，以及我們?nèi)弦划a(chǎn)品的推出，一直到2011年的推出四合一的產(chǎn)品，準入、防泄露、資產(chǎn)、桌面，這就是四合一的產(chǎn)品。經(jīng)歷了這幾年的時間，我們在2005年、2007年分別簽約了深圳證券交易所和上海證券交易所，并且逐步在中國的證券金融市場建立了自己的江湖地位，證券行業(yè)市場份額71%。當然，我們還在這兩年簽約了山東地稅的全省、甘肅地稅的全省，強調(diào)一下是省、市、縣這樣的三級架構(gòu)。
在今年我們跟韶關(guān)地稅反復地溝通，為韶關(guān)地稅定制開發(fā)的我們的安界的信息防泄露功能，已經(jīng)在韶關(guān)成功上線了。為什么選擇聯(lián)軟呢，聯(lián)軟有什么優(yōu)勢，我們可以做什么。其實對聯(lián)軟來講，我們一個產(chǎn)品可以實現(xiàn)四個功能。同時我們公司可以幫助大家去進行安全咨詢，就是前期的免費設(shè)計和免費咨詢，這就是我們在前期跟韶關(guān)反復地去溝通之后才開發(fā)了一套適合我們稅務(wù)系統(tǒng)的信息泄露的一條思路，然后把它變成了現(xiàn)實，變成了產(chǎn)品。而且在我們還有傳統(tǒng)的功能、在優(yōu)勢功能的基礎(chǔ)之上，不需要你再去額外地部署任何東西。比如說如果山東地稅，今天也有山東地稅客戶的在場，如果山東地稅在明年或者后年要考慮，“我的征管系統(tǒng)的信息要管一下，我的數(shù)據(jù)庫要管一下，那只需要做個升級就行了，買個系統(tǒng)就行了，不需要合同簽了我們再重新部署，這就是我們一個很大的優(yōu)勢”。

同時我們可以簡化運維，你想一個平臺、一個客戶端可以解決你至少四個問題，它一定比你購買四套系統(tǒng)更簡單、更節(jié)省人力，更節(jié)省時間，更節(jié)省時間，而且管控效果一定是非常棒的。
最后就是滿足行規(guī)了。這個行規(guī)呢，我不知道國稅有沒有什么規(guī)定，相信一定是有的，但是公安部、保密局一定是有。如果出了不好的事情，特別是稅務(wù)系統(tǒng)如果出了事情，公安部、保密局一定會查，所以國家有等級保護，我們這個安界跟等級保護貼合的是非常緊密的。一般的像省地稅的級別至少要滿足國家等級保護的三級。
這是我們這幾年所做的客戶的一些名單，也不是我們吹的，“你在金融行業(yè)做得好，到底有哪些客戶”，包括所有的證券、以及銀行，確實很多。作為中國的金融中心上?；旧?0%以上的金融機構(gòu)都選擇了聯(lián)軟。當然在廣東我們還有廣發(fā)證券、廣發(fā)期貨、廣東郵儲等。

接下來進入我們第二個主題，就是我們安界產(chǎn)品的精髓，這個精髓只有一句話，非常簡單，第一部分就是“不加密”，我們向加密說拜拜。為什么不需要加密技術(shù)呢，因為如果采用了加密，第一影響系統(tǒng)的運行速度，第二兼容性的問題，“今天藍屏、明天文件打不開、后天文件丟失”，煩不勝煩，所以這也是國內(nèi)目前做加解密的廠商為什么他們只能做一些小型的制造業(yè)，這種大型的垂直的行業(yè)，沒有辦法去做的原因，只能去做一做這種制造，然后小家電，設(shè)計研究院等，這都規(guī)模都很小，也就幾百個點、上千點而已。但是過萬點的、幾萬點的這種系統(tǒng)，不敢輕易用這樣的加解密產(chǎn)品。所以我們的思路從開始我們就不走加密這條路線，這是我們的第一個特點，不加密。
第二個部分是什么呢，USB接口我們不需要去管控。那么你說你不管控是不是吹牛？人家拿的U盤一拷就拷走了，拿個硬盤卸下來，用硬盤做個對拷，其實如果稍候大家有興趣的話可以到我們展臺那邊我們有視頻演示，整個我們的系統(tǒng)在韶關(guān)怎么用的，以及我們怎么防止數(shù)據(jù)庫的一個查詢結(jié)果的導出，它是怎么實現(xiàn)的，你通過視頻一看就明白了，根本不需要去管控這個USB。所以你上了這個移動介質(zhì)管理系統(tǒng)，基本上沒有什么實際用途。因為數(shù)據(jù)不會落到你能夠隨意去操作的空間里面去。我們的數(shù)據(jù)只能夠在受控的區(qū)域，這個受控的區(qū)域你關(guān)了機，客戶端離線，然后你把硬盤拆了，你看到的只是一個文件，這個文件你也沒有能力去解密，所以存在受控區(qū)域里面的數(shù)據(jù)你沒有辦法對它進行違規(guī)操作。
第三部分也是很重要的，想你所想，零改造。什么叫零改造呢，大家同時提出“我現(xiàn)有的業(yè)務(wù)系統(tǒng)，有些可能是很早之前的軟件廠商開發(fā)的，有些是現(xiàn)在正在開發(fā)的，我不能因為為了實現(xiàn)數(shù)據(jù)的泄露防護，讓這些開發(fā)的軟件廠商再對我這個業(yè)務(wù)系統(tǒng)做改造，所以你這個東西上來以后跟我的業(yè)務(wù)不要有直接的關(guān)系”。這個就是零改造，也就是說你業(yè)務(wù)現(xiàn)在怎么運行的你繼續(xù)運行，我們的平臺上來以后就實現(xiàn)我們的功能。所以我們會把你的計算機一分為二。個人計算環(huán)境和企業(yè)計算環(huán)境，什么叫個人計算環(huán)境呢，我通過IE瀏覽器或者一些工具我去連接去訪問一些不受管控的資源，你該怎么用還怎么用，你想怎么保存就怎么保存，想怎么截屏就怎么截屏，但是如果你訪問了我受保護的數(shù)據(jù)庫，受保護的業(yè)務(wù)系統(tǒng)，不好意思，這些操作一律受控，可以說直接進去了，最簡單的是直接進去了。那這就是我們總結(jié)起來一句話“不加密、不管USB、應(yīng)用免改造”這就是聯(lián)軟的安界產(chǎn)品，是不是很牛！

那么接下來我們是第三部分的內(nèi)容。那么我們把韶關(guān)地稅的經(jīng)驗簡單做一個分享。
當然了，首先韶關(guān)地稅選擇安界產(chǎn)品同時包含了準入、可確保合法的健康的設(shè)備才可以接入到韶關(guān)地稅的內(nèi)網(wǎng)。
今天深信服的廠商也在，有很多客戶跟我講“深信服是網(wǎng)絡(luò)準出、聯(lián)軟是網(wǎng)絡(luò)準入”，也就是說2者是相輔相成的。我們的韶關(guān)地稅的應(yīng)用的準入是純軟件的解決方案，沒有使用任何的硬件。管控的效果要比硬件不知道好多少倍，準入有三種。高、中、低，那么我們所做的是高強度的準入，高強度的準入一定是純軟件的，如果有廠商給你推薦的是硬件結(jié)合的，它就是弱準入，弱準入和中準入有大量的漏洞，做了還不如不做，除非你的網(wǎng)絡(luò)環(huán)境非常差。
第二就是我們的DLP，就是我剛才說的防信息泄露。
其次就是我們的資產(chǎn)和桌面的安裝管控，滿足內(nèi)部的審計。
所以一個產(chǎn)品四個功能，一個平臺，一個客戶端、一個進程，讓我們簡化管理。

這張圖是我們在韶關(guān)地稅的一個部署的結(jié)構(gòu)，我們分成三個部分。最左邊是我們的平臺，純軟件的，我們主要的功能，比如說對瀏覽器的管控，對工具的管控，那么這個我們分為B/S或者C/S。另外我們的準入控制，確保所有的設(shè)備在入網(wǎng)的時候必須經(jīng)過認證，簡單用五個字總結(jié)就是"實名制準入"。那通過這個準入的審計信息我就知道是"哪一個人在什么時間、通過哪一個樓層的哪一個交換機的哪一個端口接入到網(wǎng)絡(luò)，什么時間離開"的一目了然，并且只通過一個界面查詢就可以了。這就是我們的準入。
當然了還有桌面里面的一些常規(guī)的管控，這個就不多說了，都是常規(guī)應(yīng)用。右邊是我們看到的分為數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)。其實業(yè)務(wù)系統(tǒng)后面都有數(shù)據(jù)庫。像韶關(guān)地稅，在上個月剛上線了一個新的業(yè)務(wù)系統(tǒng)。那么涉及到第三方的開發(fā)人員要駐場開發(fā)，這些開發(fā)人員要頻繁訪問你真實的數(shù)據(jù)庫，這個過程你是沒有任何管控的，所以經(jīng)過溝通以后我們要進行再次的擴容，其實就是策略上的擴容，不是說客戶端的部署。這樣就把第三方維護和開發(fā)人員把他們管起來，防止車輛信息，車牌、車主、家庭住址、電話號碼，這些信息也很值錢啊，如果是一個4S店的經(jīng)銷商，拿著這個信息天天發(fā)短信，一定可以把車賣出去。所以車輛的信息也是很重要的。這些信息的信息量都很小，我直接通過PL/SQL的工具一個指令就把它拷貝然后Excel，就把數(shù)據(jù)導走了，拷到U盤里面，出去就可以賣了，在QQ上、淘寶上隨便賣，網(wǎng)上的這個信息非常多，所以我們要對第三方的運維和外包人員進行管控，禁止他導出，如果你要導出沒問題，只有一臺計算機可以導，導了以后要帶走，沒問題但是有審計和審批，而且領(lǐng)導批了以后你隨便拿，領(lǐng)導沒批你也拿不走，因為對一些敏感的信息確實有脫離管控被使用的時候，這要有一個責任制。
我們下面當然就針對不同的網(wǎng)點，還有我們不同區(qū)的稅務(wù)的辦公地點，還有不同的樓層，我們所要實現(xiàn)的就是通過策略、通過管理中心下發(fā)，然后所有的受控端會上傳日志，我們所要實現(xiàn)的兩大主要功能，就是準入和防泄露。那么最終我們帶來的價值是什么呢，準入可以做到“合規(guī)方可入網(wǎng)”沒有規(guī)矩不成方圓，因為有了規(guī)矩它才安全。所以“合規(guī)才能入網(wǎng)”，合規(guī)的規(guī)則由你來定義。
第二，防泄露。我這次的匯報主題是《構(gòu)建稅務(wù)信息的安全邊界》，里面有一個“安”、有一個“界”，是我們產(chǎn)品的名稱，同時保護我們的關(guān)鍵的稅務(wù)的業(yè)務(wù)系統(tǒng)。因為通過準入和防泄露兩個功能模塊的相互配合才可以實現(xiàn)這樣的功能。舉例來說，如果光要防泄露行不行，肯定是不行的，因為它把客戶端弄沒了，比如他用360之類的工具，弄沒之后呢，他就可以不受管控。但是有了準入，你弄掉以后就不能訪問業(yè)務(wù)系統(tǒng)。所以，準入和防泄露是密不可分的，相輔相成，須同時使用，才可以達到最佳效果。
以上就是我今天演講的所有內(nèi)容，感謝大家。