聯軟科技魏繼超：大家早上好，我是聯軟科技的魏繼超，今天我這邊跟大家匯報的主題是《構建稅務信息的安全邊界》。

主要有三部分的內容：
第一部分就是讓大家了解一下我們深圳聯軟。第二是我們方案的精髓。我們的方案精髓只有一句話。最后是很關鍵的重點內容，聯軟的安界產品在韶關地稅的真實的應用案例介紹。

首先介紹一下聯軟，聯、聯想的聯，微軟的軟，聯軟科技。我們是2003年成立于深圳的一家軟件公司，聯軟科技的主營業務是“網絡準入控制與防信息泄露的產品研發及銷售”。
網絡準入控制：其實很容易理解，這次在座的大多數可能是坐飛機或者是高鐵過來的，那么我們坐飛機和坐高鐵我們要有什么憑證呢，很明顯必須要有身份證或者護照。所以這個地方它有一個身份的概念，這個身份我們把它應用在當今的稅務內部網絡中，很容易就可以跟準入控制進行一個美妙的結合。比如我拿別人的身份證，我是肯定沒有辦法通過安全檢查的；再比如我的行李中有大量的不合格的物品（炸藥），那我也是沒有辦法通過安全檢查的，大家很清楚這就是機場的安檢流程。機場的安檢就確保了合法的乘客，才可以上飛機。我們進入到機場以后，也不是任何一個飛機都可以上，你只能到你所在的登機口找到你所乘坐的航班。

我們把這種安全檢查的技術和流程以及這種先進而成熟理念應用在我們當前的網絡環境中，它會變成什么情況呢？合法的計算機、合法的身份通過合法的接入點，訪問被分配的資源。題外話：飛機的劫機事件怎么發生的，就是因為安檢存在瑕疵。我們再想一下坐高鐵，其實現在坐高鐵在驗票的時候基本上不看身份證，所以飛機的安檢的規格要遠高于高鐵。這就是為什么犯罪分子可以通過鐵路逃跑，但是通過飛機逃跑有點困難。

聯軟科技從2005年開始研發了國內第一款網絡準入控制產品，并且在深圳證券交易所第一個成功的應用，給聯軟帶來了一個巨大的發展機遇。再經過這近七年的發展，賽迪2012年末發了一個市場調研報告“聯軟的網絡準入控制產品在中國金融行業市場份額第一，遠遠高于國內外的同類產品”。

聯軟的第二個核心競爭力，就是的防信息泄露，大家看這張幻燈片。剛才韶關地稅的陳衛國先生給大家分享了一下韶關地稅是如何構建稅務的數據安全平臺。我們為什么要構建這個平臺呢，因為不懷好意的人到處都有，因為這些數據是值錢的。

我給大家舉兩個例子，第一個例子上海2012年發生了一件嚴重的信息泄露事件，很值得跟大家分享，雖然不是稅務系統的，但是有很大的借鑒意義。2012年是龍年，我相信在座的有可能也有生龍寶寶的，上海衛生局2012年統計到11月份有大約16萬名新生兒。上海公安抓了一個嫌疑犯，這個人是一個IT公司的，該公司是專門為上海衛生局維護新生兒數據庫的，這個嫌疑犯從2012年3月份開始，每個月登錄兩次數據庫而且在家里面登錄的。我說的很清楚“在家里面登錄了衛生局的新生兒的數據庫，每次下載并更新相應的數據”。這些數據可以干什么呢，很簡單“有人買”。大家想一想三月份到十月份，短短七個月的時間，獲利3萬多人民幣。每個月也就是那么幾秒鐘，而統計所有內容下來可能總共干事的時間一分鐘都不到，但大賺了3萬塊錢。如果我是一個嬰幼兒或者月嫂這樣的服務機構，這個數據我肯定毫不猶豫的買了，因為這全是精準的客戶，它非常值錢，可以說是金礦！但是它就帶來了很大的社會危害（泄露了大量的個人和家庭隱私），這就是2012年上海公安破獲了一起信息泄露案件。
第二起信息泄露事件就是咱們廣州的“房叔”，我們看一下那個“房叔”曝出來的照片大家都應該知道那是一個屏幕上的截圖，如果有印象的你會發現上面是有一個水印，如果你看得更仔細那個水印就是一個文字，它沒有任何自定義的信息。剛才我們韶關地稅的陳衛國先生講了一點，我不知道大家有沒有聽清楚。那么水印我們包含當前登陸的用戶它的IP、時間、計算機名，如果這張圖片可以敢到網上去曝光，一定知道是誰從那里曝出來的，除非你拍別人的屏幕。聯軟科技的第二個強項就是防敏感信息泄露。
聯軟科技的產品，今天是我們第一次在公開場合下把我們的新包裝、重新定義的名稱，向大家進行宣講。聯軟安界，安全的安，界限的界。給大家簡單解釋一下“網絡無界，安全有界”什么意思，因為目前的無線技術，無線局域網技術、包括3G，以及智能設備的迅猛發展，帶來了一個什么變化呢？帶來了我隨時隨地不管在什么位置，我都可以辦公。所以，你企業內部的網絡還有邊界嗎，我估計你自己都找不到邊界在哪里，它非常模糊，所以我們稱為“網絡無界”。我們的稅務系統，我們要關注信息的安全，就如剛才陳衛國先生所講的，“納稅人信息，包括企業納稅信息”，還有“個人的社保信息”，它的大規模、大批量的泄露，會帶來社會的不穩定。的確如此，對社會的危害相當的大。所以“安全有界”，這是我們所說的網絡無界、安全有界。聯軟的安界產品守護邊界，守護我們的信息安全的邊界，守護我們信息的邊界、網絡的邊界。我們的兩大核心功能，準入控制和防信息泄露，是業界最強的。目前來講，國內外沒有第二款產品可以在一個平臺、一個客戶端上實現準入和防信息泄露。不要把它理解為傳統的加解密，稍候我會解釋這個問題。當然了我們還有移動介質管控、行為審計等，不在這里多說。

最終我們要實現的一個目標是什么呢，“構建可控的互聯世界”。
聯軟的發展歷程從2003年一直到2012年，這里面給大家做了一個展示。那么從LEAGVIEW這個品牌的建立，以及我們三合一產品的推出，一直到2011年的推出四合一的產品，準入、防泄露、資產、桌面，這就是四合一的產品。經歷了這幾年的時間，我們在2005年、2007年分別簽約了深圳證券交易所和上海證券交易所，并且逐步在中國的證券金融市場建立了自己的江湖地位，證券行業市場份額71%。當然，我們還在這兩年簽約了山東地稅的全省、甘肅地稅的全省，強調一下是省、市、縣這樣的三級架構。
在今年我們跟韶關地稅反復地溝通，為韶關地稅定制開發的我們的安界的信息防泄露功能，已經在韶關成功上線了。為什么選擇聯軟呢，聯軟有什么優勢，我們可以做什么。其實對聯軟來講，我們一個產品可以實現四個功能。同時我們公司可以幫助大家去進行安全咨詢，就是前期的免費設計和免費咨詢，這就是我們在前期跟韶關反復地去溝通之后才開發了一套適合我們稅務系統的信息泄露的一條思路，然后把它變成了現實，變成了產品。而且在我們還有傳統的功能、在優勢功能的基礎之上，不需要你再去額外地部署任何東西。比如說如果山東地稅，今天也有山東地稅客戶的在場，如果山東地稅在明年或者后年要考慮，“我的征管系統的信息要管一下，我的數據庫要管一下，那只需要做個升級就行了，買個系統就行了，不需要合同簽了我們再重新部署，這就是我們一個很大的優勢”。

同時我們可以簡化運維，你想一個平臺、一個客戶端可以解決你至少四個問題，它一定比你購買四套系統更簡單、更節省人力，更節省時間，更節省時間，而且管控效果一定是非常棒的。
最后就是滿足行規了。這個行規呢，我不知道國稅有沒有什么規定，相信一定是有的，但是公安部、保密局一定是有。如果出了不好的事情，特別是稅務系統如果出了事情，公安部、保密局一定會查，所以國家有等級保護，我們這個安界跟等級保護貼合的是非常緊密的。一般的像省地稅的級別至少要滿足國家等級保護的三級。
這是我們這幾年所做的客戶的一些名單，也不是我們吹的，“你在金融行業做得好，到底有哪些客戶”，包括所有的證券、以及銀行，確實很多。作為中國的金融中心上海基本上50%以上的金融機構都選擇了聯軟。當然在廣東我們還有廣發證券、廣發期貨、廣東郵儲等。

接下來進入我們第二個主題，就是我們安界產品的精髓，這個精髓只有一句話，非常簡單，第一部分就是“不加密”，我們向加密說拜拜。為什么不需要加密技術呢，因為如果采用了加密，第一影響系統的運行速度，第二兼容性的問題，“今天藍屏、明天文件打不開、后天文件丟失”，煩不勝煩，所以這也是國內目前做加解密的廠商為什么他們只能做一些小型的制造業，這種大型的垂直的行業，沒有辦法去做的原因，只能去做一做這種制造，然后小家電，設計研究院等，這都規模都很小，也就幾百個點、上千點而已。但是過萬點的、幾萬點的這種系統，不敢輕易用這樣的加解密產品。所以我們的思路從開始我們就不走加密這條路線，這是我們的第一個特點，不加密。
第二個部分是什么呢，USB接口我們不需要去管控。那么你說你不管控是不是吹牛？人家拿的U盤一拷就拷走了，拿個硬盤卸下來，用硬盤做個對拷，其實如果稍候大家有興趣的話可以到我們展臺那邊我們有視頻演示，整個我們的系統在韶關怎么用的，以及我們怎么防止數據庫的一個查詢結果的導出，它是怎么實現的，你通過視頻一看就明白了，根本不需要去管控這個USB。所以你上了這個移動介質管理系統，基本上沒有什么實際用途。因為數據不會落到你能夠隨意去操作的空間里面去。我們的數據只能夠在受控的區域，這個受控的區域你關了機，客戶端離線，然后你把硬盤拆了，你看到的只是一個文件，這個文件你也沒有能力去解密，所以存在受控區域里面的數據你沒有辦法對它進行違規操作。
第三部分也是很重要的，想你所想，零改造。什么叫零改造呢，大家同時提出“我現有的業務系統，有些可能是很早之前的軟件廠商開發的，有些是現在正在開發的，我不能因為為了實現數據的泄露防護，讓這些開發的軟件廠商再對我這個業務系統做改造，所以你這個東西上來以后跟我的業務不要有直接的關系”。這個就是零改造，也就是說你業務現在怎么運行的你繼續運行，我們的平臺上來以后就實現我們的功能。所以我們會把你的計算機一分為二。個人計算環境和企業計算環境，什么叫個人計算環境呢，我通過IE瀏覽器或者一些工具我去連接去訪問一些不受管控的資源，你該怎么用還怎么用，你想怎么保存就怎么保存，想怎么截屏就怎么截屏，但是如果你訪問了我受保護的數據庫，受保護的業務系統，不好意思，這些操作一律受控，可以說直接進去了，最簡單的是直接進去了。那這就是我們總結起來一句話“不加密、不管USB、應用免改造”這就是聯軟的安界產品，是不是很牛！

那么接下來我們是第三部分的內容。那么我們把韶關地稅的經驗簡單做一個分享。
當然了，首先韶關地稅選擇安界產品同時包含了準入、可確保合法的健康的設備才可以接入到韶關地稅的內網。
今天深信服的廠商也在，有很多客戶跟我講“深信服是網絡準出、聯軟是網絡準入”，也就是說2者是相輔相成的。我們的韶關地稅的應用的準入是純軟件的解決方案，沒有使用任何的硬件。管控的效果要比硬件不知道好多少倍，準入有三種。高、中、低，那么我們所做的是高強度的準入，高強度的準入一定是純軟件的，如果有廠商給你推薦的是硬件結合的，它就是弱準入，弱準入和中準入有大量的漏洞，做了還不如不做，除非你的網絡環境非常差。
第二就是我們的DLP，就是我剛才說的防信息泄露。
其次就是我們的資產和桌面的安裝管控，滿足內部的審計。
所以一個產品四個功能，一個平臺，一個客戶端、一個進程，讓我們簡化管理。

這張圖是我們在韶關地稅的一個部署的結構，我們分成三個部分。最左邊是我們的平臺，純軟件的，我們主要的功能，比如說對瀏覽器的管控，對工具的管控，那么這個我們分為B/S或者C/S。另外我們的準入控制，確保所有的設備在入網的時候必須經過認證，簡單用五個字總結就是"實名制準入"。那通過這個準入的審計信息我就知道是"哪一個人在什么時間、通過哪一個樓層的哪一個交換機的哪一個端口接入到網絡，什么時間離開"的一目了然，并且只通過一個界面查詢就可以了。這就是我們的準入。
當然了還有桌面里面的一些常規的管控，這個就不多說了，都是常規應用。右邊是我們看到的分為數據庫和業務系統。其實業務系統后面都有數據庫。像韶關地稅，在上個月剛上線了一個新的業務系統。那么涉及到第三方的開發人員要駐場開發，這些開發人員要頻繁訪問你真實的數據庫，這個過程你是沒有任何管控的，所以經過溝通以后我們要進行再次的擴容，其實就是策略上的擴容，不是說客戶端的部署。這樣就把第三方維護和開發人員把他們管起來，防止車輛信息，車牌、車主、家庭住址、電話號碼，這些信息也很值錢啊，如果是一個4S店的經銷商，拿著這個信息天天發短信，一定可以把車賣出去。所以車輛的信息也是很重要的。這些信息的信息量都很小，我直接通過PL/SQL的工具一個指令就把它拷貝然后Excel，就把數據導走了，拷到U盤里面，出去就可以賣了，在QQ上、淘寶上隨便賣，網上的這個信息非常多，所以我們要對第三方的運維和外包人員進行管控，禁止他導出，如果你要導出沒問題，只有一臺計算機可以導，導了以后要帶走，沒問題但是有審計和審批，而且領導批了以后你隨便拿，領導沒批你也拿不走，因為對一些敏感的信息確實有脫離管控被使用的時候，這要有一個責任制。
我們下面當然就針對不同的網點，還有我們不同區的稅務的辦公地點，還有不同的樓層，我們所要實現的就是通過策略、通過管理中心下發，然后所有的受控端會上傳日志，我們所要實現的兩大主要功能，就是準入和防泄露。那么最終我們帶來的價值是什么呢，準入可以做到“合規方可入網”沒有規矩不成方圓，因為有了規矩它才安全。所以“合規才能入網”，合規的規則由你來定義。
第二，防泄露。我這次的匯報主題是《構建稅務信息的安全邊界》，里面有一個“安”、有一個“界”，是我們產品的名稱，同時保護我們的關鍵的稅務的業務系統。因為通過準入和防泄露兩個功能模塊的相互配合才可以實現這樣的功能。舉例來說，如果光要防泄露行不行，肯定是不行的，因為它把客戶端弄沒了，比如他用360之類的工具，弄沒之后呢，他就可以不受管控。但是有了準入，你弄掉以后就不能訪問業務系統。所以，準入和防泄露是密不可分的，相輔相成，須同時使用，才可以達到最佳效果。
以上就是我今天演講的所有內容，感謝大家。