|
新浪财经讯 11月19日,由中国民航总局人事科教司主办、《中国民航报》和民航华东地区管理局等承办、IBM公司协办的第五届民航信息化发展论坛将在上海隆重举行。新浪财经进行了视频直播。
以下为部分会议实录。
主持人:
我们请联邦快递公司中国区总经理钟国仪先生演讲,演讲的题目是《航空物流——现代经济的催化剂》。
钟国仪:
女士们、先生们,上午好。首先请允许我代表联邦快递祝贺本届大会圆满成功,很荣幸可以代表联邦快递出席这个会议。今天我讲的题目是比较宏观的课题,是国际航空物流现代经济发展的催化剂。我想首先从当今世界经济的发展主要特点去开始我这个题目。
它主要的特点是第一是全球经济一体化。在二十年前不到20%的财富500强的企业,他们是拥有海外的分支机构,但是到现在我们可以看见不到20%的500强的企业,没有海外的分支机构。据普华永道国际会计公司对公司经理人他们做的一个调查,他们发现在9.11以后,一些国际机构其实要开拓他们国际的业务大概有27%,比9.11以前19%还要高。可以说在未来全球化会议指发展下去。在全球化经济发展的变革很多企业可以改变他自己的经济运作模式,利用全球的资源来增强企业的竞争能力,同时我们也可以意识到全球带给我们的不仅仅是一些机遇,而且带给我们一个很大的挑战。
第二个特点,它是数据化。数据化与物流发展是相辅相成的。曾经有很多人认为数据化的来临认为物流时代的终结,事实恰恰相反。物流的重要性不仅是没有丝毫减弱,反而已经成为企业竞争重要因素之一。我们再看一下现在在世界经济新趋势下的商业规则,第一是从占有信息到利用信息。随着互联网与信息技术的快速发展,我们可以更边界掌握信息。新趋势下的第一个规则就是如何利用信息。在当今世界竞争中信息正在取代投机,成为企业成败的关键。对于物流以及供应链管理而言,要不断压缩供应链成本,协同合作是必须的。与合作伙伴分享有关生产及客户的信息,是企业供应链做的关键的因素。第二个是产品导向到市场导向。不再是生产商靠积极来决定生产,而是由消费者来决定。也许今天的生产商只能通过不断的提高产品,服务普及来不断满足顾客的要求,也需要通过一些渠道拿到市场上的信息来决定他的生产导向。第三,成本定价模式到市场定价模式。以前生意很简单,我只需要制造一件产品,在上面把我的成为加上10%的利润就可以。但是基本上今天的产品定价基本上由市场定价。如何压缩供应链减少库存,压缩成本,成为企业重要的工作。
接下来我们分析一下现在中国物流的一些情况。首先我们来做一个比较。根据中国物流局采购司联合会,在2001年中国物流方面的消费大概1.9万亿人民币,占当年GDP20%,是一个很大的数字。如果我们把这个数字跟同期在美国比较发达的地方比较,美国GDP占的比重大概10%左右。所以物流环节效率已经成为影响中国整体经济发展的重要因素。由于物流环节的时间占中国工业生产企业大约90%的生产产业。根据中国国际货代协会的统计,是发达国家大概是两倍,2002年中国平均工业企业现金流循环的基数每一年大概1.5到2次左右。商业基金流通平均大概是2.5左右。同期发达国家的现金流循环率大概是平均15-20次左右。大家可以看见,同样的基金在中国由于物流环节的差异,没有发挥它应该具有的效应。90年代中期,在美国17%的客户是用JIT这个目标进行,不到五年这个比例已经达到50%左右。在中国虽然JIT这个概念及零库存这个概念已经很多人都知道了,但是真正用这个方法的在中国没有几家。我们看了中国物流发展的一些差异,我们再来看一下究竟我们有什么问题阻碍中国现代物流发展,目前所面临的挑战是什么。
总体来讲,中国目前的运输与物流产业处于相对初级的发展阶段。过去经济计划体制下的一些传统的关于运输以及流通的概念,没有随着世界经济的发展而得到相应的发展。随着物流供应链管理零库存等概念受到国内各行各业的广泛关注,但是真正能够掌握精髓所作的企业少之又少。最近对219个企业做调查,我们发现大概64%的企业他们感觉中国现在的运输以及物流能力,和他们在国际舞台的竞争力。国内目前运输体系主要的问题,就是在他的低效率的运作,运输能力其实不是一个问题,只是他的低效率的运作。根据最近由国务院研发中心所进行的一个调研表明,国内现在有274万家公司,这是很大的一个数据,仅在2002年各级政府投入记录361美元,用于修建长度为六万公里的高速公路,但是平均每间公司所拥有的数量只有1.43,而且没有一家公司能够拥有覆盖全国的网络系统。如此分散的运输能力对于国内龚露运输健康发展构成极大的浪费。其实主要的问题对于海运以及空运同样存在。他们感觉到掌握货物在运输中状态的信息,并有效的预期评估运输的时间是非常困难的一个事情。
今天我们进入一体化国际航空快递。我们前面讲的速度成为当今世界每一个国家七所追求的关键。供应链成为企业与企业之间的竞争核心。而第三方物流是成功企业的关键,同时也是未来发展中国物流的主要手段之一。这一些都很惊人的把我们目光转新到一体化国际航空快递服务,这种能满足顾客每一项需求的方面。作为第三方物流,提供供应商中重要的一员,国际航空快递公司当今世界舞台上扮演的角色是无可替代的。在过去二十年中,国际航空快递公司快速发展,成为新经济体系重要的一环。如果没有现在航空快递业的出现,就无从可谈了。正是由于现代航空快递业的迅速崛起,才有了这个概念。现在供应链管理,继承现代发展的理念,可以全球范围内广泛兴起。什么原因使航空快递公司能够飞速发展?原因就是他们提供的独特的服务。
在这里,我可以讲一下国际快递公司的服务是什么。他们提供的是一种门对门的服务,就是从你的工厂或者从你的办公室,都是门到门,直接送到顾客手里。整个过程里不需要自己安排车。第二,他是提供一种全程监控,这里需要很多高科技的技术去配合,特别是在信息上面,我们可以做一个比较,在一个门对门的服务上面,联邦快递的服务,从举件到送件的过程里我们有17个扫描,可以把信息传到我们中央电脑,我们的顾客会上网看到货物的状态是怎样的,它现在在飞机上面或者是在海关里,或者是在路上,我们的顾客都可以看见。
我们也提供清关的服务,我们也有一个全球的网络,全球网络现在我们服务的国家已经达到210个,4.4万多辆车在全球,递送速度我们可以提供一天可以到达美国、亚洲,不像以前,如果你是用某某的运输系统,可能七天、十天可以到达。还有定制化服务,我们可以按照客人的需求定制一些服务。
一体化航空快递业对企业的重要性在哪儿。最近美中贸易全国委员会做了一个问卷调查,中国主要的出口行业都认为,在未来几年中一体化航空快递业务的作用越来越大,参与调查的企业都认为有一个竞争力,发展良好的一体化航空快递业会直接影响他们行业的竞争力,以及他们在中国的投资。有效一体化航空快递业对外商在华企业,特别是出口公司,维持正常商业运作极其重要。几乎所有接受调查的公司都认为,一个可靠的服务、快速的商运、门到门的服务,以及全球追踪等等服务,已经成为保持竞争力的重要组成部分。许多的在华投资公司都表示,如果没有高标准的一体化航空快递业,他们会推迟在中国的技术投资进一步扩展的计划。
我上面讲的种种信息表明,如果跨国航空快递公司无法在有效的提供一流的国际快递服务,在华的外商投资企业以及国内的许多出口招商型企业都要承受巨大的损失,可以说以一体化航空快递业为代表,现代物流产业的水准,已经成为衡量一个地方投资环境优秀与否一个重要的指标。
未来五年,我们先看一下在企业用快递业,可以看到不同行业他们用快递业的情况。我们从纺织、电子产品、交通设备等等,蓝色的都是2008年,棕色的是现代情况,我们看见都会有增长在用一体化航空快递。在当今世界物流管理是一个重要的竞争领域,竞争的单位由单个企业扩展到战略联盟。竞争的企业已经从传统的价格、研发、市场等领域转到现代供应链与供应链的竞争,事实确实如此。在过去20年中,没有什么比全球经济一体化对物流产业的影响更为深刻。正如美国著名IT杂志所说的,进行竞争的不再是公司而是供应链。在提高供应链效率方面,国际航空快递公司起到的作用是无可替代的。快速空运可以有效的减少库存、仓储,使企业真正做到零库存的生产,同时达到这个目的,其实也可以说是企业主要是利用速度与信息取代库存。同时安全可靠的运输过程可以把途中时间降到最低,更重要的是通过全称精密的监控,客户可以知道货物实时的情况,企业在整个供应链各个环节可以节省基金。在海关清关方面可以节省大量时间,节省安全成本,甚至可以节省保险成本。据美中贸易委员会称,在未来五年,一个不受限制的国际航空快递业可以为中国主要的出口行业带来额外30亿美元的投资,工业产值将新增840亿美元,新增的就业机会可以达到80万。在这里我特别要提出增加的就业机会对中国的重要性。在国家第十个五年计划中,国家把发展就业当做一种重点来抓,就业对于保持中国的稳定发展有着非同凡响的意义。快递公司本身就是创造就业机会的主体,我们以联邦快递为例,在99天我们成立合资公司的时候,在中国只有250个员工左右,到今天为止在中国刚好是四年,我们的员工已经达到1600多,在未来发展我们会每一年至少会增加500员工。而且还不包括代理以及间接为我们服务的人,我们会增加很多人,他们也会增加很多人。我们不仅在快递公司本身创作就业机会,更重要的是通过提高企业竞争力,企业会创造更多的就业机会。上面提到一些调查,大概有41%的受访公司表示,如果中国有一个快递业,他们会雇佣更多的员工。长远角度来看,长期的发展取决于是否尽快在出口产品价值链,提高价值。中国将生产重心由现在的劳动密集型转移到基本技术密集型的高附加值的产业。这些产品时间一般都有依赖性,对他的价值有很大的影响,而且产品周期性越来越短。所以现在速度还有库存是一个很重要的影响的地方。
在目前我反复强调的是良好的投资环境是需要一个一流的国际物流服务的机舱。我们在调查企业对空运存在的一些问题,这里调查的一个结果,大家在这里可以看到,54%说是有问题的。
我们看一下影响一体化国际快递公司在中国发展的一些因素。政策法规上面有一些不是很完整的地方。我们要开拓一些分公司的时候,会面对很多烦琐的程序,大大影响我们开拓国内市场的一些速度。我们在中国是一个合资公司,但是合资公司在中国不可以开分支公司。在法规上面有一些影响着国际快递公司在中国发展的情况。我们也面对一些地方保护主义。另外一点在国内物流人才上非常缺乏,现在只有几个高校或者是大学,他们有物流专业,大家以为在国内我们成本很低,其实不一定。在国内我们运作的成本是非常大的。可以跟大家分享一下,联邦快递是有自己本身的航班服务中国,我们有11个航班。我们看一下在中国同一个航班在中国起降费是多少,在日本是7665块美元起降,在广州是5415块,我们看周边国家的价钱,澳大利亚3414块钱,香港是2635块,我们现在在苏州有一个集散中心,每天晚上有16架飞机飞到集散中心。每天晚上起降费800多块美元。看一下飞机汽油费用,新加坡是0.74美金一张,香港是0.76,深圳是1.2,北京也是1.2。其实一个不便宜的运作最后因为到服务的费用。尽管存在不同的问题,我们仍然对航空快递业在中国的发展充满信心。在过去十年,中国的经济发展增长是非常可观的,93-2002年,中国平均经济发展增长率达到12.8%,与此同时中国航空快递业增长率更快,达到26.8%。从这个图表可以看见,增长一直在加快,按照中国海关的统计,过去十年空运出口增长也十分快速,93年中国空运进出口分别为69、30亿美言,2001年两个数字443亿元与262亿,本年底中国空运进出口额预计会达到600亿,出口额达到400亿美元。来自民航总局的数据同样确认了这一总体增长的趋势。根据一些权威的统计表明,如果这个货运平均每公斤达到16块美元,航空快递就是一种最好的方法去运输这个产品。随着中国世界工厂地位不断提高,中国必将会有更高端产品产业的发展,高科技,高附加值的产品必将会引发一轮新的生产高峰。随着这一种趋势的来临,国际快递业的发展会扮演一种很重要的角色。
最后在这里做一个很简单的介绍,联邦快递世界上是服务最优秀的国际运输公司。大家可以看见,联邦快递过去几年一直在做合并收购还有发展的不同服务,现在我们有陆路运输、物流还有一些快递业务。中国是联邦快递一个很重要的市场,我们联邦快递全球版图上是一个举足轻重的地位。我们相信中国是一条不断崛起的巨龙,也让我们祝愿这条巨龙不断的高飞,谢谢各位。
主持人:
谢谢联邦快递公司钟国仪先生的演讲。下面有请汇源光通讯公司安全技术顾问董锐先生演讲。演讲的题目是《内网安全现状与解决方案》。
董锐:
很高兴和大家分享接下来的时间。我会就内网安全做出一些讨论和讲解。今天我要为大家带来一些让大家非常吃惊的数据,到底我们的安全问题出在什么地方。
首先来看需求,我们为什么应该关注内网?
大家可以在这张计算机安全事件的概率表明看到,这是由2001年出具安全事件调查表,最严重的事件是我们的信息盗窃事件,不是黑客入侵,而是我们内部信息盗窃盗窃再盗窃。下张图可以看到,计算机财产损失主要是来自于内部安全事件,而不是外部黑客。实际上我们从98一直跟踪到2002年,我们来分析一下,到2002年这个数据已经到了非常可怕的地步,有98%以上安全事件已经出自内部,外部的东西本身而言已经到了一种相对成熟的阶段。我们可以看到这张分析表里,主要的安全事件是我们信息泄露事件,重要的是黑客事件。如果是内部人员所造成的损失往往是灾难性的,因为他对内部太熟悉了,如果我要破坏,甚至连备份破坏掉。很多人对我们内网的安全关注程度是不够的,或者说我们已经关注到了,但是没有对他有足够的投入。资金的投入内网关注是不够的,解决方案到目前为止也没有特别完善的解决方案,而相对于我们的这种内部安全,我们内部网络的安全,我们外部网络的安全,我们现在始终讲威胁、漏洞,各种各样的入侵、检测,是属于外部安全,这是次要的。我了黑客攻击事件因为太引人注意的,被不政府的舆论导向误导了。看内部分析安全的结果,可以概括为四个词,内部人员、个人主机,精密事迹不恰当的关注。能不人员从他个人主机上窃取我们关键数据和机密数据,并且这种现象得到了一种不恰当的关注。我们看看如何解决这个问题,我们从以下三个方面提出我们内网解决方案。
第一点,我们认为我们内网的安全应该从天访问控制策略得到很好的关注。内网访问控制策略我们数据流与数据流之间能不能传导,我们需要有一个访问上面的规则。防火墙是一个内外网访问控制策略的安全武器,达到一个内外网之间的访问控制。防火墙现在已经非常成熟了,不是说每个黑客都能够从外部入侵到我们的网络内部,把我们的重要数据盗走。但是大多数的内部人员都可以轻而易举的从内部把我们的重要数据带走。这就是因为我们的内部没有形成一种访问控制,而我们的外网访问控制其实已经做的很好了,因此我们认为在内网安全解决方案第一点,就是我们的内部访问控制的策略,主要是也包括两点,第一个就是我们需要合理划分区域。第二个就是科学制定我们内网访问的控制策略,我们可以看到这张图,假设我们的网络有四个安全,有服务器的安全可以看到,在四个安全域里有不同的数据上面的交流。比如我们假设上面是财务科第二生产科、运营科、服务器,三个科都会访问我们的服务器,他们之间进行数据交互。生产科可不可以访问财务数据?本身是不可以的。但是内网没有作出任何显示不可以。是因为他没有进行一种安全域的划分。在这里我们把很好的所有的主机技术安全域的划分,并且数据之间的流向用很科学的网络设计进行很好的限制。在内网形成一种访问控制策略和安全划分。安全划分可以按照主机安全级别,同时按照企业的行政范围。比如刚刚举的例子比如一个科室,一个部门可以划分安全域,因为范围比较相同。还有一个按照主机安全级别,比如主任机器划为安全区域,因为他们的级别不一样。
第二点,就是一种从网络保护到主机保护的迁移。所有安全事件所有的安全威胁以及安全起点都是来自于主机。正是因为每一天每台计算机产生着大量不同密集的信息。比如说今天老总发了一个邮件说我们今天谈了什么生意,这封邮件产生的时候密集不确定了,会有其他的人会对不同密集的信息感兴趣,所以他才会采用各种各样的破坏手段,来获取这些信息,或者是破坏这些信息。可以看到,在整个安全过程当中,桌面是最主要的,发起的攻击是从桌面发起的。这个信息的产生也是从桌面引起的。因此我们说在未来安全关注一定是从网络的保护到主机的保护。网络的保护象防火墙、扫描系统都是直接驾在网络上的保护系统,大多数的安全方案都是这样做的。我们认为对于主机的保护才是未来比较放心。这张图就是相对比较典型的现代网络保护。我们有核心设备把我们划分若干安全域,形成一定程度的访问控制。这种方案相对是比较粗的,还是不能防止内部人员的一些盗窃。每一个主机上面部署很小的保护装置,我们认为这个保护装置能够细到对每一个主机的保护,也就是说的网络保护对主机的保护过渡。我们的主机能够得到直接的保护,并且可以形成一种集中管理。同样可以支持更细的安全划分,甚至可以支持到一台主机就是一个安全域,可以支持到如此详细的安全域。实际上对我们的企业管理是非常有好处的。
还有第三点我们最大化防范我们的安全威胁的企业,到底是谁在这里起攻击,并且向谁发起攻击。我已经保护主机了,如果要攻击的化必须要通过我。最后一个就是完善主机的审计管理,这个是非常重要的,是取得大量分散的信息,集中起来,并且通过一种相关性分析和一种深度挖掘,最终形成了一些对我们非常有用的东西是知识,实际上大量的事件本身没有意义,大家通过相关性分析,他能够形成一种知识,而这种知识对我们企业的管理反过来起到决策的作用,这是一个循环的过程。
我们认为第三点很重要在解决方案就是双向数据流的保护。我们先来看一下对于一个传统的网络安全运用是怎么做。从外部网络到内部网络数据流下来,外部网络可以说是我们的广域网,也可以说是我们的因特乃特。这些数据从外部到我们真正内部经过我们的路由器、防火墙是非常典型的例子。经过我们各样的检测系统、扫描系统,以至于最后流到我们的内部,经过大量的系统和所谓的路由防火器之后,我们的这些数据流到我们终端主机的时候,已经是相对非常安全了。我们对于反向数据流的关注程度是如何的,实际上我们根本没有关注到。或者说被我们忽略了,这就是其中一个很重要的部分,对于反向数据流的保护。我们每一个数据流出去了是不是合法的,这个数据流现在根本没有考虑,我们只考虑外面进来的数据流是不是合法的,比如说我们考虑外部数据流带不带病毒,这就是对正向数据流的关注,但是对反向数据流,我们发出去的数据流有没有带病毒?没有得到人们的关注。这就是木桶理论,一个木桶到底能装多少水,不在乎最长的木板多长,而在乎对短的木板。好象我们说我定十块长长的木板,只有一个段段的木板,这个木桶只能装短短那块块的水。这就是最重要的防止内部信息流的泄露和全面的信息的保护。
下面看一下我们的系统。防信息泄露系统是多种技术对我们敏感数据进行保护,我们可以保护的对象主要是我们设立的信息和资产,有各种各样的数据流、文件、计算机,因为计算机本身就是应该被保护的,保护的途径有很多,包括我们的网络、显示器等等,我们的保护基数有密码、口号、审计跟踪技术,所有的都是在我们的逆向数据流。
包括三个部分,第一个是我们的安装助手,客户端待遇,第三个是集中的服务器。安装助手便于我们的安装,客户端的待遇就是刚才那张图上展示的,每一个机器上面有一个小小的哨兵,会关注我们每一个人的动作,反向数据流都是从这里经过的。我们大量服务器进行安全域的划分,在这个基础上能够达到很好内网安全保护。功能构成,首先第一包括我们的审计与管理,我们的计算机资源的审计管理,还有一个就是安全策略的生命周期的管理。计算机是含着打响的信息,包括我们硬件用什么,装了什么样的软件,都是我们计算机的信息,对于我们大量分散信息上面计算机信息的审计对我们非常有帮助。第二个是我们安全策略生命周期的管理。我砍一棵树怎样去把它砍倒,如何去利用工具达到目的,这就是一个安全策略。在我们内部保护就是利用内部安全策略对内部形成保护。
第二个主要功能就是防信息的泄露,包括从网络,我们现在常用的方式,邮件,比如到某一个论坛发一些东西,或者是QQ,或者是点对对传输工具,把很重要的密码传输出去了。第二个就是外设的防信息泄露,主要包括了各种各样的移 动设备、移 动硬件,软盘等,还有很重要的一点是对移 动计算机本身的保护,移 动计算机本身也是一个存储的设备,这是对外设的一种保护。第三个就是安全体系,实际上我们自身是一个安全的产品,我们对自身也是做的足够的安全保护。包括大家在听到我介绍有一个问题,你不是一个软件吗,你还管得着我吗?如果我是一个普通的人员我会有想法,我告诉大家这个软件在本地无法下载的。最重要的一点我们看到分析报告,把大量安全事件收集起来,进行相关性分析和深度挖掘,最终提取出来我们企业的知识,能够为我们企业管理提供决策。
内网的安全框架。我们是如何运用这个产品形成安全框架的。可以看到,我们关注的其实是四个方面,第一个是我们的系统自身的安全,第二个是用户数据的安全,第三个是用户身份的安全,第四个是存储设备的安全。四个安全关注之上,我们形成多层次可扩展的系统框架,四个安全对我们内网安全基础,上面会有框架,各种系统都可以加在上面,上面是模块。比如说防止网络信息泄露实际说是一个模块。最上就是一种用户的体验,用户可以感觉到,比如说我发一些不该发的邮件,这种行为就可以终止。或者说一个普通的人员正在看财务报表,这是不允许的,我可以立即把机器锁死,都是用户体验其中一部分。包括管理上的体验。所有的软件,我们从软件一直讲到方案,这些软件和方案都是基于我们内网安全的一种管理理念,也就是我们内网的安全策略,我刚刚解释过了,还有就是一种内网的安全管理,实际上光有工具是不够的,我们始终认为软件一定是一个工具,来帮助我们实现我们的想法,让我们想法利用这种工具,作用到我们内网去,最后形成一个完整的方案,我们认为这才是一个安全体系,光有软件就像光有斧子一样没有思想,始终砍不倒这棵树,这就是我们内网安全体系。
最后安全体系有我们完善安全实施过程作为保障。刚刚讲的安全体系是我为大家描述了,我们内网安全的房子到底搭成什么样子,但是搭起来要有一个过程,而且需要搭房子的人技术足够好。我们可以形成若干个安全域,这实际是中国现在行政安全管理上的要求。
如果大家有兴趣,外面有展台,可以到外面看一下。我用一句话结束我今天的演讲,坚持不懈,我们努力做的更好,感谢你的关注,谢谢。
主持人:
谢谢,最后有请天融信公司技术总监陈爱锋先生,演讲的题目是民航信息安全管理体系建设与解决方案。
陈爱锋:
各位来宾中午好!在前面一天半的时间之内,相关的一些著名公司对我们信息化的建设提供非常好的解决方案。在这些信息化建设介绍当中,他们主要给我们介绍两部分内容,第一部分给我们介绍民航网络系统的解决方案,并且方案怎么设计规划,同时给这些方案提供相关的网络产品,包括路由器和交换机。另外一部分公司在前面一天半的过程中给我们详细介绍了民航应用系统的解决方案,包括我们在前面所听到的和昨天所讲的各种非常典型、具体、非常适合我们民航要求的具体方案。作为国内最早最专业的安全公司天融信,能够为民航建设做些什么?民航网络建设,应用系统建设都完成以后,我们安全如何保证?这一方面正好是天融信的特长。我们正好为民航的网络系统或者应用系统,或者整个民航大的信息系统,或者某一类子系统提供一揽子的信息安全解决方案。信息安全解决方案里天融信可以做三方面的事情,第一方面我们为民航信息安全建设提供规划、设计、实施和运行维护服务。第二,我们为整个信息安全解决方案提供我们所需要信息安全产品。第三,我们为整个信息安全整个方案后期性提供相应的安全服务。到底提供什么样的信息安全技术与产品,又怎么样来为我们民航的相关信息资系统提供一揽子的信息安全解决方案呢?我们会进行详细的介绍。在开始这个介绍之前,我简单用两到三分钟时间介绍一下天融信,因为不了解一个公司,我怎么样去选择你的信息安全方案,信息安全服务,信息安全产品。
在民航里,我们相对而言陌生一些,其实在你的生活和工作当中,你一直在跟我们接触。目前在中国几大主要骨干网与中国互联网部署的安全设备都是天融信提供的,所以与国外相关信息交流,包括发送电子邮件,或者在无形当中都在经过我们天融信检测和过滤。因此作为一个国内主要专业安全公司,我们做的比较早,做的比较专业,我们主要在安全方面,而且在95年就已经成立了。在这个过程中是一个本土化的公司,因为安全关系到整个国家的安全,尤其是民航,应该是一个国家信息安全非常基础、非常基本的部分。所以我们在安全这个领域里有非常好的资质,包括在一些安全服务方面,我们也拥有一支非常专业的优势的安全队伍,包括一些通过国家认证的注册信息安全专业人员,相关的精通网络、精通技术等的专家,这些人员对相关信息的设定和实施提供保障。另外我们有自己比较完备的,经常所使用的信息安全技术架构,对我们信息安全产品的开发提供一个指导,为我们进行信息安全的设计提供了相应的资料。安全产品体归商、安全方和安全服务提供商,在后面案例介绍会体现出来。
作为这么一个背景,我们为民航业提供完备的信息安全产品,信息安全方案,信息安全服务,最近几年我们的业绩增长的非常快,而且在整个安全领域我们一直占据领先地位。经过八年发展与非常完备的信息服务体系,我们为安全服务提供保障。在外交部与全球驻外使馆安全系统的保护,设计提供我们做了两年,国家统计网等设备保护和实施我们也做过等,所有这些证明一个问题,我们在这些里有丰富的案例。在十六大期间,新华网报道一些信息,也是关注的重点,新华网保护工作也是我们做的。同时在SARS期间,整个卫视网,为了保证SARS疫情正常传输,我们进行相关的安全服务,并且在五一期间大家不愿意出来的时候,我们安排四个小组轮流提供安全值班工作,确保信息及时传递。我们最关注的是为民航信息化建设提供一揽子的安全解决方案,怎么提供?下面我们来探讨一下。
这个图前面看过,既然信息安全过程是信息系统的建设是一个很大的工程,包括整个网络传输平台,整个应用系统,都需要考虑在里面。所以涉及的范围很广,既可以是整个民航的信息系统,也可以是某一个子系统。既然是这么大一个工程,涉及的面也包括这么多我们看到从最底层网络平台,到数据库系统、应用系统,各类应用系统,因此是一个系统工程,既然是系统工程,简单的设备要想保证安全是不可能的。因此,在后面的过程我们将探讨怎么样按照系统工程学的方法,结合现有的安全技术,结合现有的安全标准和安全理论融合起来为我们民航业提供一个很好的思路,为我们整个大的信息系统和子系统的规划设计提供一个路子。
首先,我们最关注的要想进行信息系统安全建设,最关键的是需要了解我们整个信息系统或者某一个信息子系统安全需求是什么。安全需求也不是简单判断分析,必须按照一个科学的方法掌握信息安全需求,这个方法就是风险分析与评估。通过风险分析与评估这类方法,能够真正了解我民航业的信息安全需求在什么地方。然后根据这个需求文档才能制定出民航信息安全策略是什么。在这个策略文件的指导下,我才有可能从管理、技术、运行三个层面采取相应的措施,满足我的需求,降低我的风险,然后将这些融合在一块,就是一个风险管理的过程,最终生成一个信息安全解决方案。解决方案完成以后,我要按照这个方案进行严格的工程实施,确保方案确保工程的质量,将我的方案变成现实的东西。实施完成以后,我还需要评估子信息、子系统到底有多安全,经过这些建设,到底满足了我多少需求,到底降低了多少风险,经过相应的认证,最后如果认证过程当中发生某一些不符合的地方需要改进,增加一些新的设施满足我的需求,直到这个信息系统是可以完全满足我的,这就构成一个循环,是动态的,也就是前面讲的弹性的解决方案,能够确保我们整个系统动态相应的安全。如果某一块发生变化,我的业务增加了,又增加了新的需求,可以动态调整。围绕这个思路,我们再展开一下,首先第一个环节,我怎么样对我民航某一个信息写子系统,进行风险分析与评估,包括几个方面的内容。
首先我们需要确定我的风险模式是什么,我要讲风险分析,不了解模型是无法展开的,因此在风险模型,我们主要考虑,既然要保护整个子系统,为什么要保护它?因为我的相关的一些东西都在这个系统这里,有一些重要的数据,一些重要的信息资产所以需要搞好。数据越重要,资产越多保护的力度会越大。一旦这个信息被破坏,或者说这个信息遭到损坏可能会导致我的业务出现一些毁灭性的打击,导致我的工作不能正常扩展。为什么能够导致我风险增加?因为他会利用我资产本身一些弱点,对我的资产进行破坏,所以导致我整个信息子系统安全风险增加。风险增加以后我需要了解我真正的风险在什么地方,才可能引出我安全需求是什么,我为什么要保护它,怎么样保护,根据风险来。了解安全需求,才有可能采取对应的安全措施,在管理上、技术上、运行维护上来满足需求,降低风险。这就是一个相应的风险模型。围绕这个模型,我们了解一下某一个子系统的安全现状。比如说我这个子系统网络结构是怎么样的,我的信息的流向是怎么流的,每一个设备、类型需要详细了解,通过调查、访谈都可以沟通。第二个,分析一下在我这样个网络结构里,我需要考虑哪几个层面,这个网络安全边界、计算环境以及相关的应用系统。同样我还要了解整个应用系统的架构,前面介绍这么的应用系统,这些应用系统之间有没有接口,怎样接口的,怎么样保护他的完整性、可用性等。还要了解整个业务的流向,我的人员要访问这个系统,是怎么样访问的,是直接过问,还是穿过一些中间服务器再过来访问,在这个访问过程中,哪些是我需要关系的。通过这些了解,这个民或信息子系统的报道数目,根据这个数目还要了解相关的人员,比如说我的业务人员,我的技术人员的,我的管理人,我是这个系统技术维护人员,我认为应该怎么考虑安全维护等等,结合起来有一个安全报道书,确认哪些是需要我保护的。这些信息资产是很关键的,哪个破坏对我造成重大影响的,需要优先考虑出来。
转化成资产以后,在这个基础之上我要对资产进行复制,看看哪些资产是我最需要优先保护的,对相应的资产进行复制。哪些资产最关键进行优先保护,还要了解这些信息一些相关的资料,在这些资产里有哪些问题,都需要考虑一下。通过审计、工具扫描、人工访谈获取,然后生出一些详细的弱点文档,技术类的、管理类的等等,了解完以后,还需要了解我的信息资产或者一些威胁,有谁会对我感兴趣,利用这些弱点对我民航某一类信息子系统进行破坏。前面讲了很多案例,比如说这个部分被破坏了,造成什么影响。在这里考虑面临的一些危险,导致我的服务器访问不了,导致我的机器瘫痪等等,都需要考虑。我还要考虑我怎么样获取一些手段,通过IBS取量、测试、访谈、分析等等,分析完以后生成详细的分析文档,然后按类分,形成一个详细的弱点列表、危险列表等。在这个基础上还要考虑已经采取哪些安全措施,在技术上、管理上、运行上保证这一块,是不是还需要增加新的措施,如果满足不的要求我怎么样增加新的措施。将这些分析完以后,我才能最终衡量,在这样的环境下,我这个民航信息子系统面临这样的威胁,有这样的弱点,执行这些措施,在这种情况下能不能保证目前安全运行的需要,如果保证不了还需要增加哪些措施。
经过这些分析,制定出详细的信息风险评估报道书,有了这个报道书以后才有可能客观的分析风险需求,根据这个来提取我的需求,把这个分析完以后,才有可能有这个过程。根据这个报道来引出我的安全需求报道,经过安全需求报道确认以后,了解我整个信息子系统的真正安全需求。对于整个计算环境的、对于相关应用系统、应用程序的安全需求调查出来。还可以进行细化,我的认证、授权、访问控制、检测等等需求是什么。还可以细细化,计算环境里每一个主机、终端,也可以细化。将这些细化完以后,才能列出一千条、一万条针对自己信息安全子系统的需求,有了这个需求才能制定出我的安全策略,对他的保护策略是怎样的,包括我对风险的分类,哪些东西怎么样考虑,哪些东西可以优先满足,哪些可以不管等等,然后在这种情况下,围绕这个文件,才能从管理、技术、运行三个层面,采取具体的安全控制措施,满足我的需求,从而降低风险。这里就需要考虑运行、管理、技术层面考虑这一块。比如这个系统突然瘫痪了,突然不能买票了等等,应该怎么办。在这个架构下,我们把这些需求从这三个层面采取相应的措施满足它,就是一个整体过程,可以描述我对哪类需求用什么方法,用什么技术,怎么样设置满足它,这是一个很具体的,可以感受到的过程。他的输入以信息安全需求文档为主,输出是安全控制方案,会详细描述我在技术层面什么地方用哪个类型,哪个型号的信息安全设备,怎么样配制,满足那一类的需求,非常具体,最后按照这个方法实施配制,最后验证、评估就可以了。我列举很多常用的技术,比如说第一类访问控制技术,这个系统是这样的,过来访问可以通过防火墙或者相关的设备进行第一级的访问控制,在这个地方可以提供一系列各类防火墙设备,满足在不同环境的需求。第二类,对于身份认证技术,我们可以提供前面所讲的安全认证,满足这方面的认证。在这个层面可以提供相关信息安全认证方面的产品,确保你的认证。第三类,整个信息传输的安全问题,我的信息在这里进行交换、传输,怎么样保护我的信息在传输过程当中是安全的,我们提供相应的VPN产品,都能够确保他们的安全。第四类综合管理,对这些信息系统的管理怎么保证,我们提供相应的管理技术和产品。安全审计这块,对整个信息子系统相关的审计管理提供综合审计技术和产品,通过这些综合审计技术和产品,可以将不同日子信息传输过来进行综合的审计分析,汇总到某一个地方进行集中的分析里处理。在这个层面,提供一整套的信息审计解决方案。除了这些以外,对于安全这块,定期评估、加固、检测,包括紧急响应,还有定期的安全培训这块,提供相应的保护。第七块专门的安全教育培训,我们提供专业的和一般的培训,很多类型,也包括提供国家专业信息安全人员培训。还有很多其他的安全工具措施,包括一些相关的产品和技术,不一一介绍。在这个层面,按照这样的过程,我们采取不同的,从管理、运行几个层面具体的措施满足我们的信息安全要求,降低我们的风险,将风险控制到我们接受的程度。后面还要考虑,怎么样把这个系统实施起来,按照科学的方法完成,每个环节是可控的,保证我的安全质量。实施完成以后,可以交付试运行,要求对我某一类信息子系统进行评估,看看到底有多安全,到底满足多少安全需求,降低多少安全。在这里我们可以要求专业第三方,政府机关或者第三方中立公司、中立机关,按照信息评估标准进行认证,衡量我这个安全信息系统是不是达到要求。如果通过认证可以获得一个信息安全的安全认证证书,说明我这个信息符合安全级别。
如果发现有的地方没有满足需求,会提出改进措施的建议,要求增加改进措施。经过改进以后,满足我们的要求。这样就完成一个循环,这个循环里,我们参考了相关的信息安全标准,按照一个规范化的标准过程,来进行设计和实施。所以在整个里面,这个过程就是天融信公司为民航业某一个信息子系统,或者整个信息系统提供安全解决方案的规划设计实施与运营服务的一个过程,不管多大多小,我们都可以按照这一套思路和方法,进行设计规范下去,有一个完整的过程和文档,从而建立一个安全子系统。哪一类方案我需要用什么技术手段满足的,我可以提供相关的安全信息设备,需要服务的时候我们还可以提供服务。如果以后我的信息发生变化,我需要重新开始循环,再进行分析,再增加新的措施,这就是一个具体的方法和思路。谢谢各位。
主持人:
谢谢天融信公司的演讲。各位来宾、朋友们,第五届民航信息化发展论坛到此全部结束了。本届论坛在各位嘉宾朋友们的光临和大力支持下,会议取得了圆满成功,我谨代表论坛承办单位再一次对大家表示衷心的感谢。各位朋友出于对民航信息化发展的关注,对进一步办好民航信息化发展论坛提出了一些更好的意见建议。比如论坛要更加具有互动性等等,对这些我们都会向民航信息化领导小组认真汇报反映,并努力改进我们的工作,我们相信下届论坛一定能够办得更好,我们期待大家再一次聚会,谢谢各位嘉宾朋友,谢谢。
| 
