|
新浪財經訊 11月19日,由中國民航總局人事科教司主辦、《中國民航報》和民航華東地區管理局等承辦、IBM公司協辦的第五屆民航信息化發展論壇將在上海隆重舉行。新浪財經進行了視頻直播。
以下為部分會議實錄。
主持人:
我們請聯邦快遞公司中國區總經理鐘國儀先生演講,演講的題目是《航空物流——現代經濟的催化劑》。
鐘國儀:
女士們、先生們,上午好。首先請允許我代表聯邦快遞祝賀本屆大會圓滿成功,很榮幸可以代表聯邦快遞出席這個會議。今天我講的題目是比較宏觀的課題,是國際航空物流現代經濟發展的催化劑。我想首先從當今世界經濟的發展主要特點去開始我這個題目。
它主要的特點是第一是全球經濟一體化。在二十年前不到20%的財富500強的企業,他們是擁有海外的分支機構,但是到現在我們可以看見不到20%的500強的企業,沒有海外的分支機構。據普華永道國際會計公司對公司經理人他們做的一個調查,他們發現在9.11以后,一些國際機構其實要開拓他們國際的業務大概有27%,比9.11以前19%還要高。可以說在未來全球化會議指發展下去。在全球化經濟發展的變革很多企業可以改變他自己的經濟運作模式,利用全球的資源來增強企業的競爭能力,同時我們也可以意識到全球帶給我們的不僅僅是一些機遇,而且帶給我們一個很大的挑戰。
第二個特點,它是數據化。數據化與物流發展是相輔相成的。曾經有很多人認為數據化的來臨認為物流時代的終結,事實恰恰相反。物流的重要性不僅是沒有絲毫減弱,反而已經成為企業競爭重要因素之一。我們再看一下現在在世界經濟新趨勢下的商業規則,第一是從占有信息到利用信息。隨著互聯網與信息技術的快速發展,我們可以更邊界掌握信息。新趨勢下的第一個規則就是如何利用信息。在當今世界競爭中信息正在取代投機,成為企業成敗的關鍵。對于物流以及供應鏈管理而言,要不斷壓縮供應鏈成本,協同合作是必須的。與合作伙伴分享有關生產及客戶的信息,是企業供應鏈做的關鍵的因素。第二個是產品導向到市場導向。不再是生產商靠積極來決定生產,而是由消費者來決定。也許今天的生產商只能通過不斷的提高產品,服務普及來不斷滿足顧客的要求,也需要通過一些渠道拿到市場上的信息來決定他的生產導向。第三,成本定價模式到市場定價模式。以前生意很簡單,我只需要制造一件產品,在上面把我的成為加上10%的利潤就可以。但是基本上今天的產品定價基本上由市場定價。如何壓縮供應鏈減少庫存,壓縮成本,成為企業重要的工作。
接下來我們分析一下現在中國物流的一些情況。首先我們來做一個比較。根據中國物流局采購司聯合會,在2001年中國物流方面的消費大概1.9萬億人民幣,占當年GDP20%,是一個很大的數字。如果我們把這個數字跟同期在美國比較發達的地方比較,美國GDP占的比重大概10%左右。所以物流環節效率已經成為影響中國整體經濟發展的重要因素。由于物流環節的時間占中國工業生產企業大約90%的生產產業。根據中國國際貨代協會的統計,是發達國家大概是兩倍,2002年中國平均工業企業現金流循環的基數每一年大概1.5到2次左右。商業基金流通平均大概是2.5左右。同期發達國家的現金流循環率大概是平均15-20次左右。大家可以看見,同樣的基金在中國由于物流環節的差異,沒有發揮它應該具有的效應。90年代中期,在美國17%的客戶是用JIT這個目標進行,不到五年這個比例已經達到50%左右。在中國雖然JIT這個概念及零庫存這個概念已經很多人都知道了,但是真正用這個方法的在中國沒有幾家。我們看了中國物流發展的一些差異,我們再來看一下究竟我們有什么問題阻礙中國現代物流發展,目前所面臨的挑戰是什么。
總體來講,中國目前的運輸與物流產業處于相對初級的發展階段。過去經濟計劃體制下的一些傳統的關于運輸以及流通的概念,沒有隨著世界經濟的發展而得到相應的發展。隨著物流供應鏈管理零庫存等概念受到國內各行各業的廣泛關注,但是真正能夠掌握精髓所作的企業少之又少。最近對219個企業做調查,我們發現大概64%的企業他們感覺中國現在的運輸以及物流能力,和他們在國際舞臺的競爭力。國內目前運輸體系主要的問題,就是在他的低效率的運作,運輸能力其實不是一個問題,只是他的低效率的運作。根據最近由國務院研發中心所進行的一個調研表明,國內現在有274萬家公司,這是很大的一個數據,僅在2002年各級政府投入記錄361美元,用于修建長度為六萬公里的高速公路,但是平均每間公司所擁有的數量只有1.43,而且沒有一家公司能夠擁有覆蓋全國的網絡系統。如此分散的運輸能力對于國內龔露運輸健康發展構成極大的浪費。其實主要的問題對于海運以及空運同樣存在。他們感覺到掌握貨物在運輸中狀態的信息,并有效的預期評估運輸的時間是非常困難的一個事情。
今天我們進入一體化國際航空快遞。我們前面講的速度成為當今世界每一個國家七所追求的關鍵。供應鏈成為企業與企業之間的競爭核心。而第三方物流是成功企業的關鍵,同時也是未來發展中國物流的主要手段之一。這一些都很驚人的把我們目光轉新到一體化國際航空快遞服務,這種能滿足顧客每一項需求的方面。作為第三方物流,提供供應商中重要的一員,國際航空快遞公司當今世界舞臺上扮演的角色是無可替代的。在過去二十年中,國際航空快遞公司快速發展,成為新經濟體系重要的一環。如果沒有現在航空快遞業的出現,就無從可談了。正是由于現代航空快遞業的迅速崛起,才有了這個概念。現在供應鏈管理,繼承現代發展的理念,可以全球范圍內廣泛興起。什么原因使航空快遞公司能夠飛速發展?原因就是他們提供的獨特的服務。
在這里,我可以講一下國際快遞公司的服務是什么。他們提供的是一種門對門的服務,就是從你的工廠或者從你的辦公室,都是門到門,直接送到顧客手里。整個過程里不需要自己安排車。第二,他是提供一種全程監控,這里需要很多高科技的技術去配合,特別是在信息上面,我們可以做一個比較,在一個門對門的服務上面,聯邦快遞的服務,從舉件到送件的過程里我們有17個掃描,可以把信息傳到我們中央電腦,我們的顧客會上網看到貨物的狀態是怎樣的,它現在在飛機上面或者是在海關里,或者是在路上,我們的顧客都可以看見。
我們也提供清關的服務,我們也有一個全球的網絡,全球網絡現在我們服務的國家已經達到210個,4.4萬多輛車在全球,遞送速度我們可以提供一天可以到達美國、亞洲,不像以前,如果你是用某某的運輸系統,可能七天、十天可以到達。還有定制化服務,我們可以按照客人的需求定制一些服務。
一體化航空快遞業對企業的重要性在哪兒。最近美中貿易全國委員會做了一個問卷調查,中國主要的出口行業都認為,在未來幾年中一體化航空快遞業務的作用越來越大,參與調查的企業都認為有一個競爭力,發展良好的一體化航空快遞業會直接影響他們行業的競爭力,以及他們在中國的投資。有效一體化航空快遞業對外商在華企業,特別是出口公司,維持正常商業運作極其重要。幾乎所有接受調查的公司都認為,一個可靠的服務、快速的商運、門到門的服務,以及全球追蹤等等服務,已經成為保持競爭力的重要組成部分。許多的在華投資公司都表示,如果沒有高標準的一體化航空快遞業,他們會推遲在中國的技術投資進一步擴展的計劃。
我上面講的種種信息表明,如果跨國航空快遞公司無法在有效的提供一流的國際快遞服務,在華的外商投資企業以及國內的許多出口招商型企業都要承受巨大的損失,可以說以一體化航空快遞業為代表,現代物流產業的水準,已經成為衡量一個地方投資環境優秀與否一個重要的指標。
未來五年,我們先看一下在企業用快遞業,可以看到不同行業他們用快遞業的情況。我們從紡織、電子產品、交通設備等等,藍色的都是2008年,棕色的是現代情況,我們看見都會有增長在用一體化航空快遞。在當今世界物流管理是一個重要的競爭領域,競爭的單位由單個企業擴展到戰略聯盟。競爭的企業已經從傳統的價格、研發、市場等領域轉到現代供應鏈與供應鏈的競爭,事實確實如此。在過去20年中,沒有什么比全球經濟一體化對物流產業的影響更為深刻。正如美國著名IT雜志所說的,進行競爭的不再是公司而是供應鏈。在提高供應鏈效率方面,國際航空快遞公司起到的作用是無可替代的。快速空運可以有效的減少庫存、倉儲,使企業真正做到零庫存的生產,同時達到這個目的,其實也可以說是企業主要是利用速度與信息取代庫存。同時安全可靠的運輸過程可以把途中時間降到最低,更重要的是通過全稱精密的監控,客戶可以知道貨物實時的情況,企業在整個供應鏈各個環節可以節省基金。在海關清關方面可以節省大量時間,節省安全成本,甚至可以節省保險成本。據美中貿易委員會稱,在未來五年,一個不受限制的國際航空快遞業可以為中國主要的出口行業帶來額外30億美元的投資,工業產值將新增840億美元,新增的就業機會可以達到80萬。在這里我特別要提出增加的就業機會對中國的重要性。在國家第十個五年計劃中,國家把發展就業當做一種重點來抓,就業對于保持中國的穩定發展有著非同凡響的意義。快遞公司本身就是創造就業機會的主體,我們以聯邦快遞為例,在99天我們成立合資公司的時候,在中國只有250個員工左右,到今天為止在中國剛好是四年,我們的員工已經達到1600多,在未來發展我們會每一年至少會增加500員工。而且還不包括代理以及間接為我們服務的人,我們會增加很多人,他們也會增加很多人。我們不僅在快遞公司本身創作就業機會,更重要的是通過提高企業競爭力,企業會創造更多的就業機會。上面提到一些調查,大概有41%的受訪公司表示,如果中國有一個快遞業,他們會雇傭更多的員工。長遠角度來看,長期的發展取決于是否盡快在出口產品價值鏈,提高價值。中國將生產重心由現在的勞動密集型轉移到基本技術密集型的高附加值的產業。這些產品時間一般都有依賴性,對他的價值有很大的影響,而且產品周期性越來越短。所以現在速度還有庫存是一個很重要的影響的地方。
在目前我反復強調的是良好的投資環境是需要一個一流的國際物流服務的機艙。我們在調查企業對空運存在的一些問題,這里調查的一個結果,大家在這里可以看到,54%說是有問題的。
我們看一下影響一體化國際快遞公司在中國發展的一些因素。政策法規上面有一些不是很完整的地方。我們要開拓一些分公司的時候,會面對很多煩瑣的程序,大大影響我們開拓國內市場的一些速度。我們在中國是一個合資公司,但是合資公司在中國不可以開分支公司。在法規上面有一些影響著國際快遞公司在中國發展的情況。我們也面對一些地方保護主義。另外一點在國內物流人才上非常缺乏,現在只有幾個高校或者是大學,他們有物流專業,大家以為在國內我們成本很低,其實不一定。在國內我們運作的成本是非常大的。可以跟大家分享一下,聯邦快遞是有自己本身的航班服務中國,我們有11個航班。我們看一下在中國同一個航班在中國起降費是多少,在日本是7665塊美元起降,在廣州是5415塊,我們看周邊國家的價錢,澳大利亞3414塊錢,香港是2635塊,我們現在在蘇州有一個集散中心,每天晚上有16架飛機飛到集散中心。每天晚上起降費800多塊美元。看一下飛機汽油費用,新加坡是0.74美金一張,香港是0.76,深圳是1.2,北京也是1.2。其實一個不便宜的運作最后因為到服務的費用。盡管存在不同的問題,我們仍然對航空快遞業在中國的發展充滿信心。在過去十年,中國的經濟發展增長是非常可觀的,93-2002年,中國平均經濟發展增長率達到12.8%,與此同時中國航空快遞業增長率更快,達到26.8%。從這個圖表可以看見,增長一直在加快,按照中國海關的統計,過去十年空運出口增長也十分快速,93年中國空運進出口分別為69、30億美言,2001年兩個數字443億元與262億,本年底中國空運進出口額預計會達到600億,出口額達到400億美元。來自民航總局的數據同樣確認了這一總體增長的趨勢。根據一些權威的統計表明,如果這個貨運平均每公斤達到16塊美元,航空快遞就是一種最好的方法去運輸這個產品。隨著中國世界工廠地位不斷提高,中國必將會有更高端產品產業的發展,高科技,高附加值的產品必將會引發一輪新的生產高峰。隨著這一種趨勢的來臨,國際快遞業的發展會扮演一種很重要的角色。
最后在這里做一個很簡單的介紹,聯邦快遞世界上是服務最優秀的國際運輸公司。大家可以看見,聯邦快遞過去幾年一直在做合并收購還有發展的不同服務,現在我們有陸路運輸、物流還有一些快遞業務。中國是聯邦快遞一個很重要的市場,我們聯邦快遞全球版圖上是一個舉足輕重的地位。我們相信中國是一條不斷崛起的巨龍,也讓我們祝愿這條巨龍不斷的高飛,謝謝各位。
主持人:
謝謝聯邦快遞公司鐘國儀先生的演講。下面有請匯源光通訊公司安全技術顧問董銳先生演講。演講的題目是《內網安全現狀與解決方案》。
董銳:
很高興和大家分享接下來的時間。我會就內網安全做出一些討論和講解。今天我要為大家帶來一些讓大家非常吃驚的數據,到底我們的安全問題出在什么地方。
首先來看需求,我們為什么應該關注內網?
大家可以在這張計算機安全事件的概率表明看到,這是由2001年出具安全事件調查表,最嚴重的事件是我們的信息盜竊事件,不是黑客入侵,而是我們內部信息盜竊盜竊再盜竊。下張圖可以看到,計算機財產損失主要是來自于內部安全事件,而不是外部黑客。實際上我們從98一直跟蹤到2002年,我們來分析一下,到2002年這個數據已經到了非常可怕的地步,有98%以上安全事件已經出自內部,外部的東西本身而言已經到了一種相對成熟的階段。我們可以看到這張分析表里,主要的安全事件是我們信息泄露事件,重要的是黑客事件。如果是內部人員所造成的損失往往是災難性的,因為他對內部太熟悉了,如果我要破壞,甚至連備份破壞掉。很多人對我們內網的安全關注程度是不夠的,或者說我們已經關注到了,但是沒有對他有足夠的投入。資金的投入內網關注是不夠的,解決方案到目前為止也沒有特別完善的解決方案,而相對于我們的這種內部安全,我們內部網絡的安全,我們外部網絡的安全,我們現在始終講威脅、漏洞,各種各樣的入侵、檢測,是屬于外部安全,這是次要的。我了黑客攻擊事件因為太引人注意的,被不政府的輿論導向誤導了。看內部分析安全的結果,可以概括為四個詞,內部人員、個人主機,精密事跡不恰當的關注。能不人員從他個人主機上竊取我們關鍵數據和機密數據,并且這種現象得到了一種不恰當的關注。我們看看如何解決這個問題,我們從以下三個方面提出我們內網解決方案。
第一點,我們認為我們內網的安全應該從天訪問控制策略得到很好的關注。內網訪問控制策略我們數據流與數據流之間能不能傳導,我們需要有一個訪問上面的規則。防火墻是一個內外網訪問控制策略的安全武器,達到一個內外網之間的訪問控制。防火墻現在已經非常成熟了,不是說每個黑客都能夠從外部入侵到我們的網絡內部,把我們的重要數據盜走。但是大多數的內部人員都可以輕而易舉的從內部把我們的重要數據帶走。這就是因為我們的內部沒有形成一種訪問控制,而我們的外網訪問控制其實已經做的很好了,因此我們認為在內網安全解決方案第一點,就是我們的內部訪問控制的策略,主要是也包括兩點,第一個就是我們需要合理劃分區域。第二個就是科學制定我們內網訪問的控制策略,我們可以看到這張圖,假設我們的網絡有四個安全,有服務器的安全可以看到,在四個安全域里有不同的數據上面的交流。比如我們假設上面是財務科第二生產科、運營科、服務器,三個科都會訪問我們的服務器,他們之間進行數據交互。生產科可不可以訪問財務數據?本身是不可以的。但是內網沒有作出任何顯示不可以。是因為他沒有進行一種安全域的劃分。在這里我們把很好的所有的主機技術安全域的劃分,并且數據之間的流向用很科學的網絡設計進行很好的限制。在內網形成一種訪問控制策略和安全劃分。安全劃分可以按照主機安全級別,同時按照企業的行政范圍。比如剛剛舉的例子比如一個科室,一個部門可以劃分安全域,因為范圍比較相同。還有一個按照主機安全級別,比如主任機器劃為安全區域,因為他們的級別不一樣。
第二點,就是一種從網絡保護到主機保護的遷移。所有安全事件所有的安全威脅以及安全起點都是來自于主機。正是因為每一天每臺計算機產生著大量不同密集的信息。比如說今天老總發了一個郵件說我們今天談了什么生意,這封郵件產生的時候密集不確定了,會有其他的人會對不同密集的信息感興趣,所以他才會采用各種各樣的破壞手段,來獲取這些信息,或者是破壞這些信息。可以看到,在整個安全過程當中,桌面是最主要的,發起的攻擊是從桌面發起的。這個信息的產生也是從桌面引起的。因此我們說在未來安全關注一定是從網絡的保護到主機的保護。網絡的保護象防火墻、掃描系統都是直接駕在網絡上的保護系統,大多數的安全方案都是這樣做的。我們認為對于主機的保護才是未來比較放心。這張圖就是相對比較典型的現代網絡保護。我們有核心設備把我們劃分若干安全域,形成一定程度的訪問控制。這種方案相對是比較粗的,還是不能防止內部人員的一些盜竊。每一個主機上面部署很小的保護裝置,我們認為這個保護裝置能夠細到對每一個主機的保護,也就是說的網絡保護對主機的保護過渡。我們的主機能夠得到直接的保護,并且可以形成一種集中管理。同樣可以支持更細的安全劃分,甚至可以支持到一臺主機就是一個安全域,可以支持到如此詳細的安全域。實際上對我們的企業管理是非常有好處的。
還有第三點我們最大化防范我們的安全威脅的企業,到底是誰在這里起攻擊,并且向誰發起攻擊。我已經保護主機了,如果要攻擊的化必須要通過我。最后一個就是完善主機的審計管理,這個是非常重要的,是取得大量分散的信息,集中起來,并且通過一種相關性分析和一種深度挖掘,最終形成了一些對我們非常有用的東西是知識,實際上大量的事件本身沒有意義,大家通過相關性分析,他能夠形成一種知識,而這種知識對我們企業的管理反過來起到決策的作用,這是一個循環的過程。
我們認為第三點很重要在解決方案就是雙向數據流的保護。我們先來看一下對于一個傳統的網絡安全運用是怎么做。從外部網絡到內部網絡數據流下來,外部網絡可以說是我們的廣域網,也可以說是我們的因特乃特。這些數據從外部到我們真正內部經過我們的路由器、防火墻是非常典型的例子。經過我們各樣的檢測系統、掃描系統,以至于最后流到我們的內部,經過大量的系統和所謂的路由防火器之后,我們的這些數據流到我們終端主機的時候,已經是相對非常安全了。我們對于反向數據流的關注程度是如何的,實際上我們根本沒有關注到。或者說被我們忽略了,這就是其中一個很重要的部分,對于反向數據流的保護。我們每一個數據流出去了是不是合法的,這個數據流現在根本沒有考慮,我們只考慮外面進來的數據流是不是合法的,比如說我們考慮外部數據流帶不帶病毒,這就是對正向數據流的關注,但是對反向數據流,我們發出去的數據流有沒有帶病毒?沒有得到人們的關注。這就是木桶理論,一個木桶到底能裝多少水,不在乎最長的木板多長,而在乎對短的木板。好象我們說我定十塊長長的木板,只有一個段段的木板,這個木桶只能裝短短那塊塊的水。這就是最重要的防止內部信息流的泄露和全面的信息的保護。
下面看一下我們的系統。防信息泄露系統是多種技術對我們敏感數據進行保護,我們可以保護的對象主要是我們設立的信息和資產,有各種各樣的數據流、文件、計算機,因為計算機本身就是應該被保護的,保護的途徑有很多,包括我們的網絡、顯示器等等,我們的保護基數有密碼、口號、審計跟蹤技術,所有的都是在我們的逆向數據流。
包括三個部分,第一個是我們的安裝助手,客戶端待遇,第三個是集中的服務器。安裝助手便于我們的安裝,客戶端的待遇就是剛才那張圖上展示的,每一個機器上面有一個小小的哨兵,會關注我們每一個人的動作,反向數據流都是從這里經過的。我們大量服務器進行安全域的劃分,在這個基礎上能夠達到很好內網安全保護。功能構成,首先第一包括我們的審計與管理,我們的計算機資源的審計管理,還有一個就是安全策略的生命周期的管理。計算機是含著打響的信息,包括我們硬件用什么,裝了什么樣的軟件,都是我們計算機的信息,對于我們大量分散信息上面計算機信息的審計對我們非常有幫助。第二個是我們安全策略生命周期的管理。我砍一棵樹怎樣去把它砍倒,如何去利用工具達到目的,這就是一個安全策略。在我們內部保護就是利用內部安全策略對內部形成保護。
第二個主要功能就是防信息的泄露,包括從網絡,我們現在常用的方式,郵件,比如到某一個論壇發一些東西,或者是QQ,或者是點對對傳輸工具,把很重要的密碼傳輸出去了。第二個就是外設的防信息泄露,主要包括了各種各樣的移 動設備、移 動硬件,軟盤等,還有很重要的一點是對移 動計算機本身的保護,移 動計算機本身也是一個存儲的設備,這是對外設的一種保護。第三個就是安全體系,實際上我們自身是一個安全的產品,我們對自身也是做的足夠的安全保護。包括大家在聽到我介紹有一個問題,你不是一個軟件嗎,你還管得著我嗎?如果我是一個普通的人員我會有想法,我告訴大家這個軟件在本地無法下載的。最重要的一點我們看到分析報告,把大量安全事件收集起來,進行相關性分析和深度挖掘,最終提取出來我們企業的知識,能夠為我們企業管理提供決策。
內網的安全框架。我們是如何運用這個產品形成安全框架的。可以看到,我們關注的其實是四個方面,第一個是我們的系統自身的安全,第二個是用戶數據的安全,第三個是用戶身份的安全,第四個是存儲設備的安全。四個安全關注之上,我們形成多層次可擴展的系統框架,四個安全對我們內網安全基礎,上面會有框架,各種系統都可以加在上面,上面是模塊。比如說防止網絡信息泄露實際說是一個模塊。最上就是一種用戶的體驗,用戶可以感覺到,比如說我發一些不該發的郵件,這種行為就可以終止。或者說一個普通的人員正在看財務報表,這是不允許的,我可以立即把機器鎖死,都是用戶體驗其中一部分。包括管理上的體驗。所有的軟件,我們從軟件一直講到方案,這些軟件和方案都是基于我們內網安全的一種管理理念,也就是我們內網的安全策略,我剛剛解釋過了,還有就是一種內網的安全管理,實際上光有工具是不夠的,我們始終認為軟件一定是一個工具,來幫助我們實現我們的想法,讓我們想法利用這種工具,作用到我們內網去,最后形成一個完整的方案,我們認為這才是一個安全體系,光有軟件就像光有斧子一樣沒有思想,始終砍不倒這棵樹,這就是我們內網安全體系。
最后安全體系有我們完善安全實施過程作為保障。剛剛講的安全體系是我為大家描述了,我們內網安全的房子到底搭成什么樣子,但是搭起來要有一個過程,而且需要搭房子的人技術足夠好。我們可以形成若干個安全域,這實際是中國現在行政安全管理上的要求。
如果大家有興趣,外面有展臺,可以到外面看一下。我用一句話結束我今天的演講,堅持不懈,我們努力做的更好,感謝你的關注,謝謝。
主持人:
謝謝,最后有請天融信公司技術總監陳愛鋒先生,演講的題目是民航信息安全管理體系建設與解決方案。
陳愛鋒:
各位來賓中午好!在前面一天半的時間之內,相關的一些著名公司對我們信息化的建設提供非常好的解決方案。在這些信息化建設介紹當中,他們主要給我們介紹兩部分內容,第一部分給我們介紹民航網絡系統的解決方案,并且方案怎么設計規劃,同時給這些方案提供相關的網絡產品,包括路由器和交換機。另外一部分公司在前面一天半的過程中給我們詳細介紹了民航應用系統的解決方案,包括我們在前面所聽到的和昨天所講的各種非常典型、具體、非常適合我們民航要求的具體方案。作為國內最早最專業的安全公司天融信,能夠為民航建設做些什么?民航網絡建設,應用系統建設都完成以后,我們安全如何保證?這一方面正好是天融信的特長。我們正好為民航的網絡系統或者應用系統,或者整個民航大的信息系統,或者某一類子系統提供一攬子的信息安全解決方案。信息安全解決方案里天融信可以做三方面的事情,第一方面我們為民航信息安全建設提供規劃、設計、實施和運行維護服務。第二,我們為整個信息安全解決方案提供我們所需要信息安全產品。第三,我們為整個信息安全整個方案后期性提供相應的安全服務。到底提供什么樣的信息安全技術與產品,又怎么樣來為我們民航的相關信息資系統提供一攬子的信息安全解決方案呢?我們會進行詳細的介紹。在開始這個介紹之前,我簡單用兩到三分鐘時間介紹一下天融信,因為不了解一個公司,我怎么樣去選擇你的信息安全方案,信息安全服務,信息安全產品。
在民航里,我們相對而言陌生一些,其實在你的生活和工作當中,你一直在跟我們接觸。目前在中國幾大主要骨干網與中國互聯網部署的安全設備都是天融信提供的,所以與國外相關信息交流,包括發送電子郵件,或者在無形當中都在經過我們天融信檢測和過濾。因此作為一個國內主要專業安全公司,我們做的比較早,做的比較專業,我們主要在安全方面,而且在95年就已經成立了。在這個過程中是一個本土化的公司,因為安全關系到整個國家的安全,尤其是民航,應該是一個國家信息安全非常基礎、非常基本的部分。所以我們在安全這個領域里有非常好的資質,包括在一些安全服務方面,我們也擁有一支非常專業的優勢的安全隊伍,包括一些通過國家認證的注冊信息安全專業人員,相關的精通網絡、精通技術等的專家,這些人員對相關信息的設定和實施提供保障。另外我們有自己比較完備的,經常所使用的信息安全技術架構,對我們信息安全產品的開發提供一個指導,為我們進行信息安全的設計提供了相應的資料。安全產品體歸商、安全方和安全服務提供商,在后面案例介紹會體現出來。
作為這么一個背景,我們為民航業提供完備的信息安全產品,信息安全方案,信息安全服務,最近幾年我們的業績增長的非常快,而且在整個安全領域我們一直占據領先地位。經過八年發展與非常完備的信息服務體系,我們為安全服務提供保障。在外交部與全球駐外使館安全系統的保護,設計提供我們做了兩年,國家統計網等設備保護和實施我們也做過等,所有這些證明一個問題,我們在這些里有豐富的案例。在十六大期間,新華網報道一些信息,也是關注的重點,新華網保護工作也是我們做的。同時在SARS期間,整個衛視網,為了保證SARS疫情正常傳輸,我們進行相關的安全服務,并且在五一期間大家不愿意出來的時候,我們安排四個小組輪流提供安全值班工作,確保信息及時傳遞。我們最關注的是為民航信息化建設提供一攬子的安全解決方案,怎么提供?下面我們來探討一下。
這個圖前面看過,既然信息安全過程是信息系統的建設是一個很大的工程,包括整個網絡傳輸平臺,整個應用系統,都需要考慮在里面。所以涉及的范圍很廣,既可以是整個民航的信息系統,也可以是某一個子系統。既然是這么大一個工程,涉及的面也包括這么多我們看到從最底層網絡平臺,到數據庫系統、應用系統,各類應用系統,因此是一個系統工程,既然是系統工程,簡單的設備要想保證安全是不可能的。因此,在后面的過程我們將探討怎么樣按照系統工程學的方法,結合現有的安全技術,結合現有的安全標準和安全理論融合起來為我們民航業提供一個很好的思路,為我們整個大的信息系統和子系統的規劃設計提供一個路子。
首先,我們最關注的要想進行信息系統安全建設,最關鍵的是需要了解我們整個信息系統或者某一個信息子系統安全需求是什么。安全需求也不是簡單判斷分析,必須按照一個科學的方法掌握信息安全需求,這個方法就是風險分析與評估。通過風險分析與評估這類方法,能夠真正了解我民航業的信息安全需求在什么地方。然后根據這個需求文檔才能制定出民航信息安全策略是什么。在這個策略文件的指導下,我才有可能從管理、技術、運行三個層面采取相應的措施,滿足我的需求,降低我的風險,然后將這些融合在一塊,就是一個風險管理的過程,最終生成一個信息安全解決方案。解決方案完成以后,我要按照這個方案進行嚴格的工程實施,確保方案確保工程的質量,將我的方案變成現實的東西。實施完成以后,我還需要評估子信息、子系統到底有多安全,經過這些建設,到底滿足了我多少需求,到底降低了多少風險,經過相應的認證,最后如果認證過程當中發生某一些不符合的地方需要改進,增加一些新的設施滿足我的需求,直到這個信息系統是可以完全滿足我的,這就構成一個循環,是動態的,也就是前面講的彈性的解決方案,能夠確保我們整個系統動態相應的安全。如果某一塊發生變化,我的業務增加了,又增加了新的需求,可以動態調整。圍繞這個思路,我們再展開一下,首先第一個環節,我怎么樣對我民航某一個信息寫子系統,進行風險分析與評估,包括幾個方面的內容。
首先我們需要確定我的風險模式是什么,我要講風險分析,不了解模型是無法展開的,因此在風險模型,我們主要考慮,既然要保護整個子系統,為什么要保護它?因為我的相關的一些東西都在這個系統這里,有一些重要的數據,一些重要的信息資產所以需要搞好。數據越重要,資產越多保護的力度會越大。一旦這個信息被破壞,或者說這個信息遭到損壞可能會導致我的業務出現一些毀滅性的打擊,導致我的工作不能正常擴展。為什么能夠導致我風險增加?因為他會利用我資產本身一些弱點,對我的資產進行破壞,所以導致我整個信息子系統安全風險增加。風險增加以后我需要了解我真正的風險在什么地方,才可能引出我安全需求是什么,我為什么要保護它,怎么樣保護,根據風險來。了解安全需求,才有可能采取對應的安全措施,在管理上、技術上、運行維護上來滿足需求,降低風險。這就是一個相應的風險模型。圍繞這個模型,我們了解一下某一個子系統的安全現狀。比如說我這個子系統網絡結構是怎么樣的,我的信息的流向是怎么流的,每一個設備、類型需要詳細了解,通過調查、訪談都可以溝通。第二個,分析一下在我這樣個網絡結構里,我需要考慮哪幾個層面,這個網絡安全邊界、計算環境以及相關的應用系統。同樣我還要了解整個應用系統的架構,前面介紹這么的應用系統,這些應用系統之間有沒有接口,怎樣接口的,怎么樣保護他的完整性、可用性等。還要了解整個業務的流向,我的人員要訪問這個系統,是怎么樣訪問的,是直接過問,還是穿過一些中間服務器再過來訪問,在這個訪問過程中,哪些是我需要關系的。通過這些了解,這個民或信息子系統的報道數目,根據這個數目還要了解相關的人員,比如說我的業務人員,我的技術人員的,我的管理人,我是這個系統技術維護人員,我認為應該怎么考慮安全維護等等,結合起來有一個安全報道書,確認哪些是需要我保護的。這些信息資產是很關鍵的,哪個破壞對我造成重大影響的,需要優先考慮出來。
轉化成資產以后,在這個基礎之上我要對資產進行復制,看看哪些資產是我最需要優先保護的,對相應的資產進行復制。哪些資產最關鍵進行優先保護,還要了解這些信息一些相關的資料,在這些資產里有哪些問題,都需要考慮一下。通過審計、工具掃描、人工訪談獲取,然后生出一些詳細的弱點文檔,技術類的、管理類的等等,了解完以后,還需要了解我的信息資產或者一些威脅,有誰會對我感興趣,利用這些弱點對我民航某一類信息子系統進行破壞。前面講了很多案例,比如說這個部分被破壞了,造成什么影響。在這里考慮面臨的一些危險,導致我的服務器訪問不了,導致我的機器癱瘓等等,都需要考慮。我還要考慮我怎么樣獲取一些手段,通過IBS取量、測試、訪談、分析等等,分析完以后生成詳細的分析文檔,然后按類分,形成一個詳細的弱點列表、危險列表等。在這個基礎上還要考慮已經采取哪些安全措施,在技術上、管理上、運行上保證這一塊,是不是還需要增加新的措施,如果滿足不的要求我怎么樣增加新的措施。將這些分析完以后,我才能最終衡量,在這樣的環境下,我這個民航信息子系統面臨這樣的威脅,有這樣的弱點,執行這些措施,在這種情況下能不能保證目前安全運行的需要,如果保證不了還需要增加哪些措施。
經過這些分析,制定出詳細的信息風險評估報道書,有了這個報道書以后才有可能客觀的分析風險需求,根據這個來提取我的需求,把這個分析完以后,才有可能有這個過程。根據這個報道來引出我的安全需求報道,經過安全需求報道確認以后,了解我整個信息子系統的真正安全需求。對于整個計算環境的、對于相關應用系統、應用程序的安全需求調查出來。還可以進行細化,我的認證、授權、訪問控制、檢測等等需求是什么。還可以細細化,計算環境里每一個主機、終端,也可以細化。將這些細化完以后,才能列出一千條、一萬條針對自己信息安全子系統的需求,有了這個需求才能制定出我的安全策略,對他的保護策略是怎樣的,包括我對風險的分類,哪些東西怎么樣考慮,哪些東西可以優先滿足,哪些可以不管等等,然后在這種情況下,圍繞這個文件,才能從管理、技術、運行三個層面,采取具體的安全控制措施,滿足我的需求,從而降低風險。這里就需要考慮運行、管理、技術層面考慮這一塊。比如這個系統突然癱瘓了,突然不能買票了等等,應該怎么辦。在這個架構下,我們把這些需求從這三個層面采取相應的措施滿足它,就是一個整體過程,可以描述我對哪類需求用什么方法,用什么技術,怎么樣設置滿足它,這是一個很具體的,可以感受到的過程。他的輸入以信息安全需求文檔為主,輸出是安全控制方案,會詳細描述我在技術層面什么地方用哪個類型,哪個型號的信息安全設備,怎么樣配制,滿足那一類的需求,非常具體,最后按照這個方法實施配制,最后驗證、評估就可以了。我列舉很多常用的技術,比如說第一類訪問控制技術,這個系統是這樣的,過來訪問可以通過防火墻或者相關的設備進行第一級的訪問控制,在這個地方可以提供一系列各類防火墻設備,滿足在不同環境的需求。第二類,對于身份認證技術,我們可以提供前面所講的安全認證,滿足這方面的認證。在這個層面可以提供相關信息安全認證方面的產品,確保你的認證。第三類,整個信息傳輸的安全問題,我的信息在這里進行交換、傳輸,怎么樣保護我的信息在傳輸過程當中是安全的,我們提供相應的VPN產品,都能夠確保他們的安全。第四類綜合管理,對這些信息系統的管理怎么保證,我們提供相應的管理技術和產品。安全審計這塊,對整個信息子系統相關的審計管理提供綜合審計技術和產品,通過這些綜合審計技術和產品,可以將不同日子信息傳輸過來進行綜合的審計分析,匯總到某一個地方進行集中的分析里處理。在這個層面,提供一整套的信息審計解決方案。除了這些以外,對于安全這塊,定期評估、加固、檢測,包括緊急響應,還有定期的安全培訓這塊,提供相應的保護。第七塊專門的安全教育培訓,我們提供專業的和一般的培訓,很多類型,也包括提供國家專業信息安全人員培訓。還有很多其他的安全工具措施,包括一些相關的產品和技術,不一一介紹。在這個層面,按照這樣的過程,我們采取不同的,從管理、運行幾個層面具體的措施滿足我們的信息安全要求,降低我們的風險,將風險控制到我們接受的程度。后面還要考慮,怎么樣把這個系統實施起來,按照科學的方法完成,每個環節是可控的,保證我的安全質量。實施完成以后,可以交付試運行,要求對我某一類信息子系統進行評估,看看到底有多安全,到底滿足多少安全需求,降低多少安全。在這里我們可以要求專業第三方,政府機關或者第三方中立公司、中立機關,按照信息評估標準進行認證,衡量我這個安全信息系統是不是達到要求。如果通過認證可以獲得一個信息安全的安全認證證書,說明我這個信息符合安全級別。
如果發現有的地方沒有滿足需求,會提出改進措施的建議,要求增加改進措施。經過改進以后,滿足我們的要求。這樣就完成一個循環,這個循環里,我們參考了相關的信息安全標準,按照一個規范化的標準過程,來進行設計和實施。所以在整個里面,這個過程就是天融信公司為民航業某一個信息子系統,或者整個信息系統提供安全解決方案的規劃設計實施與運營服務的一個過程,不管多大多小,我們都可以按照這一套思路和方法,進行設計規范下去,有一個完整的過程和文檔,從而建立一個安全子系統。哪一類方案我需要用什么技術手段滿足的,我可以提供相關的安全信息設備,需要服務的時候我們還可以提供服務。如果以后我的信息發生變化,我需要重新開始循環,再進行分析,再增加新的措施,這就是一個具體的方法和思路。謝謝各位。
主持人:
謝謝天融信公司的演講。各位來賓、朋友們,第五屆民航信息化發展論壇到此全部結束了。本屆論壇在各位嘉賓朋友們的光臨和大力支持下,會議取得了圓滿成功,我謹代表論壇承辦單位再一次對大家表示衷心的感謝。各位朋友出于對民航信息化發展的關注,對進一步辦好民航信息化發展論壇提出了一些更好的意見建議。比如論壇要更加具有互動性等等,對這些我們都會向民航信息化領導小組認真匯報反映,并努力改進我們的工作,我們相信下屆論壇一定能夠辦得更好,我們期待大家再一次聚會,謝謝各位嘉賓朋友,謝謝。
| 
