聯(lián)軟科技魏繼超：大家早上好，我是聯(lián)軟科技的魏繼超，今天我這邊跟大家匯報的主題是《構建稅務(wù)信息的安全邊界》。

主要有三部分的內容：
第一部分就是讓大家了解一下我們深圳聯(lián)軟。第二是我們方案的精髓。我們的方案精髓只有一句話(huà)。最后是很關(guān)鍵的重點(diǎn)內容，聯(lián)軟的安界產(chǎn)品在韶關(guān)地稅的真實(shí)的應用案例介紹。

首先介紹一下聯(lián)軟，聯(lián)、聯(lián)想的聯(lián)，微軟的軟，聯(lián)軟科技。我們是2003年成立于深圳的一家軟件公司，聯(lián)軟科技的主營(yíng)業(yè)務(wù)是“網(wǎng)絡(luò )準入控制與防信息泄露的產(chǎn)品研發(fā)及銷(xiāo)售”。
網(wǎng)絡(luò )準入控制：其實(shí)很容易理解，這次在座的大多數可能是坐飛機或者是高鐵過(guò)來(lái)的，那么我們坐飛機和坐高鐵我們要有什么憑證呢，很明顯必須要有身份證或者護照。所以這個(gè)地方它有一個(gè)身份的概念，這個(gè)身份我們把它應用在當今的稅務(wù)內部網(wǎng)絡(luò )中，很容易就可以跟準入控制進(jìn)行一個(gè)美妙的結合。比如我拿別人的身份證，我是肯定沒(méi)有辦法通過(guò)安全檢查的；再比如我的行李中有大量的不合格的物品（炸藥），那我也是沒(méi)有辦法通過(guò)安全檢查的，大家很清楚這就是機場(chǎng)的安檢流程。機場(chǎng)的安檢就確保了合法的乘客，才可以上飛機。我們進(jìn)入到機場(chǎng)以后，也不是任何一個(gè)飛機都可以上，你只能到你所在的登機口找到你所乘坐的航班。

我們把這種安全檢查的技術(shù)和流程以及這種先進(jìn)而成熟理念應用在我們當前的網(wǎng)絡(luò )環(huán)境中，它會(huì )變成什么情況呢？合法的計算機、合法的身份通過(guò)合法的接入點(diǎn)，訪(fǎng)問(wèn)被分配的資源。題外話(huà)：飛機的劫機事件怎么發(fā)生的，就是因為安檢存在瑕疵。我們再想一下坐高鐵，其實(shí)現在坐高鐵在驗票的時(shí)候基本上不看身份證，所以飛機的安檢的規格要遠高于高鐵。這就是為什么犯罪分子可以通過(guò)鐵路逃跑，但是通過(guò)飛機逃跑有點(diǎn)困難。

聯(lián)軟科技從2005年開(kāi)始研發(fā)了國內第一款網(wǎng)絡(luò )準入控制產(chǎn)品，并且在深圳證券交易所第一個(gè)成功的應用，給聯(lián)軟帶來(lái)了一個(gè)巨大的發(fā)展機遇。再經(jīng)過(guò)這近七年的發(fā)展，賽迪2012年末發(fā)了一個(gè)市場(chǎng)調研報告“聯(lián)軟的網(wǎng)絡(luò )準入控制產(chǎn)品在中國金融行業(yè)市場(chǎng)份額第一，遠遠高于國內外的同類(lèi)產(chǎn)品”。

聯(lián)軟的第二個(gè)核心競爭力，就是的防信息泄露，大家看這張幻燈片。剛才韶關(guān)地稅的陳衛國先生給大家分享了一下韶關(guān)地稅是如何構建稅務(wù)的數據安全平臺。我們?yōu)槭裁匆獦嫿ㄟ@個(gè)平臺呢，因為不懷好意的人到處都有，因為這些數據是值錢(qián)的。

我給大家舉兩個(gè)例子，第一個(gè)例子上海2012年發(fā)生了一件嚴重的信息泄露事件，很值得跟大家分享，雖然不是稅務(wù)系統的，但是有很大的借鑒意義。2012年是龍年，我相信在座的有可能也有生龍寶寶的，上海衛生局2012年統計到11月份有大約16萬(wàn)名新生兒。上海公安抓了一個(gè)嫌疑犯，這個(gè)人是一個(gè)IT公司的，該公司是專(zhuān)門(mén)為上海衛生局維護新生兒數據庫的，這個(gè)嫌疑犯從2012年3月份開(kāi)始，每個(gè)月登錄兩次數據庫而且在家里面登錄的。我說(shuō)的很清楚“在家里面登錄了衛生局的新生兒的數據庫，每次下載并更新相應的數據”。這些數據可以干什么呢，很簡(jiǎn)單“有人買(mǎi)”。大家想一想三月份到十月份，短短七個(gè)月的時(shí)間，獲利3萬(wàn)多人民幣。每個(gè)月也就是那么幾秒鐘，而統計所有內容下來(lái)可能總共干事的時(shí)間一分鐘都不到，但大賺了3萬(wàn)塊錢(qián)。如果我是一個(gè)嬰幼兒或者月嫂這樣的服務(wù)機構，這個(gè)數據我肯定毫不猶豫的買(mǎi)了，因為這全是精準的客戶(hù)，它非常值錢(qián)，可以說(shuō)是金礦！但是它就帶來(lái)了很大的社會(huì )危害（泄露了大量的個(gè)人和家庭隱私），這就是2012年上海公安破獲了一起信息泄露案件。
第二起信息泄露事件就是咱們廣州的“房叔”，我們看一下那個(gè)“房叔”曝出來(lái)的照片大家都應該知道那是一個(gè)屏幕上的截圖，如果有印象的你會(huì )發(fā)現上面是有一個(gè)水印，如果你看得更仔細那個(gè)水印就是一個(gè)文字，它沒(méi)有任何自定義的信息。剛才我們韶關(guān)地稅的陳衛國先生講了一點(diǎn)，我不知道大家有沒(méi)有聽(tīng)清楚。那么水印我們包含當前登陸的用戶(hù)它的IP、時(shí)間、計算機名，如果這張圖片可以敢到網(wǎng)上去曝光，一定知道是誰(shuí)從那里曝出來(lái)的，除非你拍別人的屏幕。聯(lián)軟科技的第二個(gè)強項就是防敏感信息泄露。
聯(lián)軟科技的產(chǎn)品，今天是我們第一次在公開(kāi)場(chǎng)合下把我們的新包裝、重新定義的名稱(chēng)，向大家進(jìn)行宣講。聯(lián)軟安界，安全的安，界限的界。給大家簡(jiǎn)單解釋一下“網(wǎng)絡(luò )無(wú)界，安全有界”什么意思，因為目前的無(wú)線(xiàn)技術(shù)，無(wú)線(xiàn)局域網(wǎng)技術(shù)、包括3G，以及智能設備的迅猛發(fā)展，帶來(lái)了一個(gè)什么變化呢？帶來(lái)了我隨時(shí)隨地不管在什么位置，我都可以辦公。所以，你企業(yè)內部的網(wǎng)絡(luò )還有邊界嗎，我估計你自己都找不到邊界在哪里，它非常模糊，所以我們稱(chēng)為“網(wǎng)絡(luò )無(wú)界”。我們的稅務(wù)系統，我們要關(guān)注信息的安全，就如剛才陳衛國先生所講的，“納稅人信息，包括企業(yè)納稅信息”，還有“個(gè)人的社保信息”，它的大規模、大批量的泄露，會(huì )帶來(lái)社會(huì )的不穩定。的確如此，對社會(huì )的危害相當的大。所以“安全有界”，這是我們所說(shuō)的網(wǎng)絡(luò )無(wú)界、安全有界。聯(lián)軟的安界產(chǎn)品守護邊界，守護我們的信息安全的邊界，守護我們信息的邊界、網(wǎng)絡(luò )的邊界。我們的兩大核心功能，準入控制和防信息泄露，是業(yè)界最強的。目前來(lái)講，國內外沒(méi)有第二款產(chǎn)品可以在一個(gè)平臺、一個(gè)客戶(hù)端上實(shí)現準入和防信息泄露。不要把它理解為傳統的加解密，稍候我會(huì )解釋這個(gè)問(wèn)題。當然了我們還有移動(dòng)介質(zhì)管控、行為審計等，不在這里多說(shuō)。

最終我們要實(shí)現的一個(gè)目標是什么呢，“構建可控的互聯(lián)世界”。
聯(lián)軟的發(fā)展歷程從2003年一直到2012年，這里面給大家做了一個(gè)展示。那么從LEAGVIEW這個(gè)品牌的建立，以及我們三合一產(chǎn)品的推出，一直到2011年的推出四合一的產(chǎn)品，準入、防泄露、資產(chǎn)、桌面，這就是四合一的產(chǎn)品。經(jīng)歷了這幾年的時(shí)間，我們在2005年、2007年分別簽約了深圳證券交易所和上海證券交易所，并且逐步在中國的證券金融市場(chǎng)建立了自己的江湖地位，證券行業(yè)市場(chǎng)份額71%。當然，我們還在這兩年簽約了山東地稅的全省、甘肅地稅的全省，強調一下是省、市、縣這樣的三級架構。
在今年我們跟韶關(guān)地稅反復地溝通，為韶關(guān)地稅定制開(kāi)發(fā)的我們的安界的信息防泄露功能，已經(jīng)在韶關(guān)成功上線(xiàn)了。為什么選擇聯(lián)軟呢，聯(lián)軟有什么優(yōu)勢，我們可以做什么。其實(shí)對聯(lián)軟來(lái)講，我們一個(gè)產(chǎn)品可以實(shí)現四個(gè)功能。同時(shí)我們公司可以幫助大家去進(jìn)行安全咨詢(xún)，就是前期的免費設計和免費咨詢(xún)，這就是我們在前期跟韶關(guān)反復地去溝通之后才開(kāi)發(fā)了一套適合我們稅務(wù)系統的信息泄露的一條思路，然后把它變成了現實(shí)，變成了產(chǎn)品。而且在我們還有傳統的功能、在優(yōu)勢功能的基礎之上，不需要你再去額外地部署任何東西。比如說(shuō)如果山東地稅，今天也有山東地稅客戶(hù)的在場(chǎng)，如果山東地稅在明年或者后年要考慮，“我的征管系統的信息要管一下，我的數據庫要管一下，那只需要做個(gè)升級就行了，買(mǎi)個(gè)系統就行了，不需要合同簽了我們再重新部署，這就是我們一個(gè)很大的優(yōu)勢”。

同時(shí)我們可以簡(jiǎn)化運維，你想一個(gè)平臺、一個(gè)客戶(hù)端可以解決你至少四個(gè)問(wèn)題，它一定比你購買(mǎi)四套系統更簡(jiǎn)單、更節省人力，更節省時(shí)間，更節省時(shí)間，而且管控效果一定是非常棒的。
最后就是滿(mǎn)足行規了。這個(gè)行規呢，我不知道國稅有沒(méi)有什么規定，相信一定是有的，但是公安部、保密局一定是有。如果出了不好的事情，特別是稅務(wù)系統如果出了事情，公安部、保密局一定會(huì )查，所以國家有等級保護，我們這個(gè)安界跟等級保護貼合的是非常緊密的。一般的像省地稅的級別至少要滿(mǎn)足國家等級保護的三級。
這是我們這幾年所做的客戶(hù)的一些名單，也不是我們吹的，“你在金融行業(yè)做得好，到底有哪些客戶(hù)”，包括所有的證券、以及銀行，確實(shí)很多。作為中國的金融中心上?；旧?0%以上的金融機構都選擇了聯(lián)軟。當然在廣東我們還有廣發(fā)證券、廣發(fā)期貨、廣東郵儲等。

接下來(lái)進(jìn)入我們第二個(gè)主題，就是我們安界產(chǎn)品的精髓，這個(gè)精髓只有一句話(huà)，非常簡(jiǎn)單，第一部分就是“不加密”，我們向加密說(shuō)拜拜。為什么不需要加密技術(shù)呢，因為如果采用了加密，第一影響系統的運行速度，第二兼容性的問(wèn)題，“今天藍屏、明天文件打不開(kāi)、后天文件丟失”，煩不勝煩，所以這也是國內目前做加解密的廠(chǎng)商為什么他們只能做一些小型的制造業(yè)，這種大型的垂直的行業(yè)，沒(méi)有辦法去做的原因，只能去做一做這種制造，然后小家電，設計研究院等，這都規模都很小，也就幾百個(gè)點(diǎn)、上千點(diǎn)而已。但是過(guò)萬(wàn)點(diǎn)的、幾萬(wàn)點(diǎn)的這種系統，不敢輕易用這樣的加解密產(chǎn)品。所以我們的思路從開(kāi)始我們就不走加密這條路線(xiàn)，這是我們的第一個(gè)特點(diǎn)，不加密。
第二個(gè)部分是什么呢，USB接口我們不需要去管控。那么你說(shuō)你不管控是不是吹牛？人家拿的U盤(pán)一拷就拷走了，拿個(gè)硬盤(pán)卸下來(lái)，用硬盤(pán)做個(gè)對拷，其實(shí)如果稍候大家有興趣的話(huà)可以到我們展臺那邊我們有視頻演示，整個(gè)我們的系統在韶關(guān)怎么用的，以及我們怎么防止數據庫的一個(gè)查詢(xún)結果的導出，它是怎么實(shí)現的，你通過(guò)視頻一看就明白了，根本不需要去管控這個(gè)USB。所以你上了這個(gè)移動(dòng)介質(zhì)管理系統，基本上沒(méi)有什么實(shí)際用途。因為數據不會(huì )落到你能夠隨意去操作的空間里面去。我們的數據只能夠在受控的區域，這個(gè)受控的區域你關(guān)了機，客戶(hù)端離線(xiàn)，然后你把硬盤(pán)拆了，你看到的只是一個(gè)文件，這個(gè)文件你也沒(méi)有能力去解密，所以存在受控區域里面的數據你沒(méi)有辦法對它進(jìn)行違規操作。
第三部分也是很重要的，想你所想，零改造。什么叫零改造呢，大家同時(shí)提出“我現有的業(yè)務(wù)系統，有些可能是很早之前的軟件廠(chǎng)商開(kāi)發(fā)的，有些是現在正在開(kāi)發(fā)的，我不能因為為了實(shí)現數據的泄露防護，讓這些開(kāi)發(fā)的軟件廠(chǎng)商再對我這個(gè)業(yè)務(wù)系統做改造，所以你這個(gè)東西上來(lái)以后跟我的業(yè)務(wù)不要有直接的關(guān)系”。這個(gè)就是零改造，也就是說(shuō)你業(yè)務(wù)現在怎么運行的你繼續運行，我們的平臺上來(lái)以后就實(shí)現我們的功能。所以我們會(huì )把你的計算機一分為二。個(gè)人計算環(huán)境和企業(yè)計算環(huán)境，什么叫個(gè)人計算環(huán)境呢，我通過(guò)IE瀏覽器或者一些工具我去連接去訪(fǎng)問(wèn)一些不受管控的資源，你該怎么用還怎么用，你想怎么保存就怎么保存，想怎么截屏就怎么截屏，但是如果你訪(fǎng)問(wèn)了我受保護的數據庫，受保護的業(yè)務(wù)系統，不好意思，這些操作一律受控，可以說(shuō)直接進(jìn)去了，最簡(jiǎn)單的是直接進(jìn)去了。那這就是我們總結起來(lái)一句話(huà)“不加密、不管USB、應用免改造”這就是聯(lián)軟的安界產(chǎn)品，是不是很牛！

那么接下來(lái)我們是第三部分的內容。那么我們把韶關(guān)地稅的經(jīng)驗簡(jiǎn)單做一個(gè)分享。
當然了，首先韶關(guān)地稅選擇安界產(chǎn)品同時(shí)包含了準入、可確保合法的健康的設備才可以接入到韶關(guān)地稅的內網(wǎng)。
今天深信服的廠(chǎng)商也在，有很多客戶(hù)跟我講“深信服是網(wǎng)絡(luò )準出、聯(lián)軟是網(wǎng)絡(luò )準入”，也就是說(shuō)2者是相輔相成的。我們的韶關(guān)地稅的應用的準入是純軟件的解決方案，沒(méi)有使用任何的硬件。管控的效果要比硬件不知道好多少倍，準入有三種。高、中、低，那么我們所做的是高強度的準入，高強度的準入一定是純軟件的，如果有廠(chǎng)商給你推薦的是硬件結合的，它就是弱準入，弱準入和中準入有大量的漏洞，做了還不如不做，除非你的網(wǎng)絡(luò )環(huán)境非常差。
第二就是我們的DLP，就是我剛才說(shuō)的防信息泄露。
其次就是我們的資產(chǎn)和桌面的安裝管控，滿(mǎn)足內部的審計。
所以一個(gè)產(chǎn)品四個(gè)功能，一個(gè)平臺，一個(gè)客戶(hù)端、一個(gè)進(jìn)程，讓我們簡(jiǎn)化管理。

這張圖是我們在韶關(guān)地稅的一個(gè)部署的結構，我們分成三個(gè)部分。最左邊是我們的平臺，純軟件的，我們主要的功能，比如說(shuō)對瀏覽器的管控，對工具的管控，那么這個(gè)我們分為B/S或者C/S。另外我們的準入控制，確保所有的設備在入網(wǎng)的時(shí)候必須經(jīng)過(guò)認證，簡(jiǎn)單用五個(gè)字總結就是"實(shí)名制準入"。那通過(guò)這個(gè)準入的審計信息我就知道是"哪一個(gè)人在什么時(shí)間、通過(guò)哪一個(gè)樓層的哪一個(gè)交換機的哪一個(gè)端口接入到網(wǎng)絡(luò )，什么時(shí)間離開(kāi)"的一目了然，并且只通過(guò)一個(gè)界面查詢(xún)就可以了。這就是我們的準入。
當然了還有桌面里面的一些常規的管控，這個(gè)就不多說(shuō)了，都是常規應用。右邊是我們看到的分為數據庫和業(yè)務(wù)系統。其實(shí)業(yè)務(wù)系統后面都有數據庫。像韶關(guān)地稅，在上個(gè)月剛上線(xiàn)了一個(gè)新的業(yè)務(wù)系統。那么涉及到第三方的開(kāi)發(fā)人員要駐場(chǎng)開(kāi)發(fā)，這些開(kāi)發(fā)人員要頻繁訪(fǎng)問(wèn)你真實(shí)的數據庫，這個(gè)過(guò)程你是沒(méi)有任何管控的，所以經(jīng)過(guò)溝通以后我們要進(jìn)行再次的擴容，其實(shí)就是策略上的擴容，不是說(shuō)客戶(hù)端的部署。這樣就把第三方維護和開(kāi)發(fā)人員把他們管起來(lái)，防止車(chē)輛信息，車(chē)牌、車(chē)主、家庭住址、電話(huà)號碼，這些信息也很值錢(qián)啊，如果是一個(gè)4S店的經(jīng)銷(xiāo)商，拿著(zhù)這個(gè)信息天天發(fā)短信，一定可以把車(chē)賣(mài)出去。所以車(chē)輛的信息也是很重要的。這些信息的信息量都很小，我直接通過(guò)PL/SQL的工具一個(gè)指令就把它拷貝然后Excel，就把數據導走了，拷到U盤(pán)里面，出去就可以賣(mài)了，在QQ上、淘寶上隨便賣(mài)，網(wǎng)上的這個(gè)信息非常多，所以我們要對第三方的運維和外包人員進(jìn)行管控，禁止他導出，如果你要導出沒(méi)問(wèn)題，只有一臺計算機可以導，導了以后要帶走，沒(méi)問(wèn)題但是有審計和審批，而且領(lǐng)導批了以后你隨便拿，領(lǐng)導沒(méi)批你也拿不走，因為對一些敏感的信息確實(shí)有脫離管控被使用的時(shí)候，這要有一個(gè)責任制。
我們下面當然就針對不同的網(wǎng)點(diǎn)，還有我們不同區的稅務(wù)的辦公地點(diǎn)，還有不同的樓層，我們所要實(shí)現的就是通過(guò)策略、通過(guò)管理中心下發(fā)，然后所有的受控端會(huì )上傳日志，我們所要實(shí)現的兩大主要功能，就是準入和防泄露。那么最終我們帶來(lái)的價(jià)值是什么呢，準入可以做到“合規方可入網(wǎng)”沒(méi)有規矩不成方圓，因為有了規矩它才安全。所以“合規才能入網(wǎng)”，合規的規則由你來(lái)定義。
第二，防泄露。我這次的匯報主題是《構建稅務(wù)信息的安全邊界》，里面有一個(gè)“安”、有一個(gè)“界”，是我們產(chǎn)品的名稱(chēng)，同時(shí)保護我們的關(guān)鍵的稅務(wù)的業(yè)務(wù)系統。因為通過(guò)準入和防泄露兩個(gè)功能模塊的相互配合才可以實(shí)現這樣的功能。舉例來(lái)說(shuō)，如果光要防泄露行不行，肯定是不行的，因為它把客戶(hù)端弄沒(méi)了，比如他用360之類(lèi)的工具，弄沒(méi)之后呢，他就可以不受管控。但是有了準入，你弄掉以后就不能訪(fǎng)問(wèn)業(yè)務(wù)系統。所以，準入和防泄露是密不可分的，相輔相成，須同時(shí)使用，才可以達到最佳效果。
以上就是我今天演講的所有內容，感謝大家。