发布时间:2023-09-19 16:20:00
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全市场结构样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
(电子商务研究中心讯)网络信息安全整体市场增长较为稳健,公司龙头地位稳固。根据IDC预测,我国网络信息安全市场未来还将保持20%左右的增速,细分领域的增速也基本相同,下游需求较为旺盛。公司是网络信息安全领域龙头之一,多项产品国内市占率第一。网络信息安全业务是公司目前的核心业务,近三年保持20%以上的收入增长,毛利率稳中有升,近两年保持在88%以上。公司在上网行为管理和VPN网络安全细分领域中是绝对的龙头,依托强大的品牌和渠道,产品市占率常年保持第一。其中,上网行为管理产品2016Q4的市场份额超过第二、三、四、五名总和;根据IDC报告,公司下一代防火墙在2016年UTM类别中,国内市占率第二,并连续两年入围Gartner魔力象限;公司应用交付解决方案目前国内市占率第二,在国家倡导自主可控的背景下,公司产品性价较高并且作为国内品牌的代表,有望缩小与F5的差距。公司坚持渠道化战略,注重用户的体验,龙头地位进一步巩固。与同业相比,公司下游涵盖较多中小企业,单一自建营销网络难以覆盖全面,所以公司一直坚持渠道化战略实现更广覆盖,2017年渠道销售占比达到97.01%。同时,公司对用户意见反馈和产品需求的快速响应也有助于加强差异化竞争,巩固龙头地位。我们认为,网络安全市场,渠道为王,公司龙头效应显著,未来信息安全业务将保持稍快于行业整体增速增长。
云计算业务增长迅速,超融合市场前景广阔。公司连续两年云计算业务收入增速超过100%,且在2016年入围了GartnerX86服务器虚拟化基础魔力象限。IDC预测中国云计算整体市场将保持17%左右的复合增长,而细分领域的融合市场的年复合增长率为48%,公司产品未来市场空间广阔。根据IDC报告,2017年公司在超融合架构市场的市占率为13%,国内第三。公司超融合架构采用KMV+GlusterFS结构,具有一定的竞争力。
募集资金投入信息安全和云计算业务,未来实现双轮驱动。本次募投项目主要在产品的基础上进行升级改造,实现技术升级和产品更新换代,符合公司信息安全+云计算的双轮驱动发展方向。
投资建议:我们预计,公司18-20年EPS分别1.88/2.48/3.16元,对应发行价市盈率分别为16/12/10倍,鉴于新股上市,不予评级。
风险提示:行业竞争加剧;政策推进不及预期。(来源:中国银河证券 文/钱劲宇 编选:电子商务研究中心)
进入2006年,计算机网络安全威胁日益严重,病毒发作和黑客活动频繁,垃圾邮件猛增,从而也迫使计算机用户的安全防范意识和手段不断提高,网络安全产品需求随之迅速增长。面对日益严重的安全形势,厂商也在不断以变应变,比较明显的特征是强强合作,通过整合和并购以求全面发展。
2006年是东软安全持续快速发展的一年,也是东软安全从1996年成立实验室至今走过的第十个年头。以十年的技术和行业经验积累为依托,如今东软安全已经成长为国内网络安全领域的领先厂商。
古语说“路遥知马力”,在东软看来,保持十年如一日的持续增长,秘诀就是稳步进取,练好内功。那么,东软安全的内功又有何过人之处呢?
注重经营质量,追求稳健成长
东软安全多年来的健康发展,是经营质量严格管理的结果。东软是上市公司,每个月都有经营质量、经营效果的整合分析,需要与往年同期的指标进行比较评估,包括收入、现金流量、利润情况、投入情况等,所以特别关注经营环节,强调扎扎实实地去做市场。
另一方面,信息安全行业的发展充满着各种不确定因素,所以时机的把握、投入的前瞻性等等,都是影响安全企业生存的永恒话题。对此,东软安全的基本策略就是务实。这些年来,东软注重调整自身的经营理念、经营思路以及经营方法,注重人才、团队和经验的积累,不指望“抓住某些机会赚钱”的暴发式增长,而是在发展过程中随时去优化内部的组织结构、规范做事方法、解决发展中的问题等等,这些是未来“真正竞争力的根本所在”。
2006年东软的外包收入和利润快速增长,已经承接了很多跨国公司的软件外包业务,包括一些固化的管理软件、控制软件,也包括安全认证等等。同时,东软作为中国领先的解决方案提供商之一,在电信领域(计费系统、管理系统)、金融领域(银行、证交所),社保(社保系统)和公安(人口咨询库系统)等行业积累了大量经验。
无论是跨国公司,还是国内的行业客户,随着信息化程度的加深,都必然对安全服务产生需求,一个非常巨大的市场空间即将浮出水面。
由于安全市场发展到一定程度的时候,安全产品只是完成服务的一些必须部件,所以从这个角度来看,虽然安全市场未来的空间会更大,但是会更加隐性。比如东软为诺基亚手机提供一个安全模块,可以把这种服务定义为外包,但这种外包又不是单纯的编码,而是带有知识产权的一种高附加值服务。
此外,软件外包业务会产生对软件构成或逻辑构成中的安全进行评估的需求,而这就要通过分析、运营等针对性的服务来解决。这同样是安全服务的一部分。
走成熟可靠的产品技术路线
现在市场上,虽然有的产品理念很吸引人,但是在技术方面并不成熟,市场验证也不够,盲目地将不成熟的产品投放到市场就会带来很多的负面影响,而且会消耗企业很多的研发和服务力量。
2006年东软安全的技术投入依然与经营思路紧密相连,在通用型产品市场,以技术储备为主,等达到一定的规模程度,且适合营销体系、生产体系和服务体系时才会上市销售。东软认为,作为一个已经具有成熟品牌的企业,推出的产品应该让用户感到可靠好用,而不会因为产品自身的不成熟而给用户添麻烦。
经过了成熟的酝酿之后,在2006年东软安全一次推出了多款新品及“安全魔方、因需而变、因御而安”网络安全整体解决方案,涵盖网关类(G)、管理类(M)和组件类(C)三大类共14种核心产品,其推进力度可见一斑。
提升品牌价值开拓国际市场
东软安全的成熟稳健还体现在对NetEye品牌的打造,坚定不移地执行企业品牌战略,构筑品牌“高地”。品牌价值的提升为东软安全带来很多合作的机会,例如,在东软与英特尔公司讨论主机的安全管理合作时,英特尔公司曾这样解释为什么选择东软:“第一,双方有着多年的合作关系,彼此间有很好的沟通,相互了解;第二,做安全的企业需要的是形象良好的品牌,英特尔与东软合作看中的就是东软的品牌和声誉。”
通过与国际厂商的合作,东软NetEye的品牌价值得到进一步提升,为产品与服务快速开拓国际市场增添了一枚重量级的砝码,东软与诺基亚在安全领域的合作就是佐证。
随着合作的深入,国际化合作的影响面也越来越大,产品已经开始扩展到东南亚市场。从现在来看,它带来的收入对东软来说还不算是主力,但通过跟国外一些大厂商的合作,以服务的形式向一些大型客户推进,这方面类似的国际化途径会越来越多,因此将东软NetEye打造成国际化的品牌,也会成为未来东软重要的工作之一。
赛迪顾问分析师预测
怎样为云计算“罩”上安全的“防护衣”?安全的云计算架构应该包含哪些内容?2012年10月30日,在由国际云安全联盟(CSA)中国分会主办,绿盟科技和启明星辰共同承办的第三届云安全联盟高峰论坛上,来自CSA、云计算提供商、运营商等领域的专家就云计算面临的威胁和云安全最佳实践等话题进行了深入探讨和交流。
安全思维融入更多“云”要素
Gartner报告称,到2014年,云计算服务将取代PC电脑。尽管这一预判看起来有些绝对,但这也反映出云计算对全球IT信息系统的影响之深。
用“颠覆”一词来形容云计算带来的影响恐不为过。正如CSA中国分会理事、启明星辰首席战略官潘柱廷所言,我们已经进入一个新计算、新网络和新数据的时代。“所谓新计算是指云计算、虚拟化和高性能计算;新数据是指大数据和社会计算数据;新网络指的是移动互联网、物联网、SDN/Openflow。” 潘柱廷认为, 随着网络及信息安全保障体系正在形成纵深、多层次的综合防御体系,云计算模式下,新业务(包括Web 2.0、微博、SNS等)、新计算(物联网、虚拟化、三网融合等)以及基础技术(芯片能力、网络带宽、无线等)正在带来新的一些变化。作为载体的互联网、作为媒体的网站,以及作为访问者的用户都将受此影响,而基于这些主体的业务运行和管理也将面对新的挑战。
从安全的角度看,云计算让企业的安全问题愈发复杂,IT人员一时间难以应对自如。Gartner副总裁兼安全分析师John Pescatore指出:“企业处理云安全时应当像照顾儿童一样小心翼翼:不能让用户仅仅依靠由云服务供应商提供的安全功能,高度敏感的业务数据需要更细心的呵护。”
企业为何要小心翼翼?CSA中国分会理事、绿盟科技首席战略官、CSA中国分会理事赵粮认为,云计算给网络安全带来了深刻的影响,具体表现在三个层面:“第一,云计算作为一个新技术必然会带来新的安全问题,产生新的漏洞和攻击,网络安全该如何应对这些新的攻击;第二,云计算有其特殊的运行形态,包括虚拟化、SaaS、IaaS、PaaS等,网络安全也必须随之变革,才能够将相关安全策略部署在虚拟化环境中;第三,云计算不仅是一项技术,更是一种思想,它给网络安全带来丰富、深刻的影响,安全厂商要充分地加以吸收,并且用来变革网络安全自身。”
以硬件为中心的安全解决方案将越来越难以起效。“基于硬件设备的一次性部署的网络安全措施必须改变,安全解决方案需要跟上威胁者和威胁方式的变化,安全厂商也要不断更新知识库。” 赵粮强调智能驱动的下一代安全架构的重要性,认为它是安全厂商应该走的发展路径。在这个体系中,数据和基于数据的智能分析成为云安全的核心。
此外,潘柱廷认为,安全环境的变化意味着我们必须改变传统的安全思维,建立新的安全思路,他提倡用Threat Case思想来考虑云安全问题,“在讨论安全案例时,不仅要看到攻击者的入侵途径和时间,而且要有来源、目的、环境、对方的漏洞等,对此要有完整的认识”。这是因为“安全是一门高度依赖知识的技术,不管是攻击者还是防守者,都必须要对对方的结构、人员、技术特点及防御方式有充分的了解” 。
分析模型创新是“利器”
在云计算时代,以智能驱动云安全的发展,已经成为IT业界的共识。EMC公司执行副总裁兼EMC信息安全事业部RSA执行主席亚瑟·科维洛就曾指出,企业必须推动智能的安全模式,开展风险评估不仅是由内而外,还必须由外而内。也就是说,我们必须要对比和平衡风险的薄弱度、风险发生的概率和可能出现的时机,以及可能带来的后果。但智能和全面的评估并非易事,正如启明星辰潘柱廷所言,安全中的特征库必须是可积累、可共享、可升级的。它的建立存在困难,“你获取这个特征的技术复杂度要远远高于使用特征时的技术复杂度”。
大数据分析被认为是解决这一问题的“金钥匙”。云时代的安全防护必须以智能的数据分析及动态更新为基础。但是安全厂商经常遇到的问题是:现有数据处理不了,想要的数据却无从获取。
“工欲善其事,必先利其器”。赵粮给IT人员和安全从业者的建议是:“必须立即行动,重视数据,建立或完善数据的运营体系;重视攻防建模,基于异常行为、信誉的检测和防护方法重要性凸显;不断优化数据和各种智能工具。”
安全检测是大数据分析最主要的应用领域。在启明星辰,安全检测从低到高分为简单规则检测、单一特征检测和高端检测三个层次,其中高端信息安全检测包含宏观和微观两个方面。“宏观层面,启明星辰在宏观态势感知的基础上建立全局预警系统;微观层面,建立以防范APT攻击为核心的动态预防体系。”潘柱廷表示,无论是宏观态势感知,还是动态预防体系,都需要以大数据分析为支撑,建立在其基础之上。
将安全服务“云化”
安全思维模式的转变不仅是为了解决问题,更能找到新的商机。云计算服务商上海优刻得信息科技有限公司(Ucloud)CEO季昕华就看到了这一点,他认为网络虚拟化给安全厂商带来的新机会包括:“一是SDN的安全隔离;二是安全产品市场快速扩大,中小企业作为云服务商的主要目标用户群,很难有大量IT支出购买安全产品或者进行安全评估,因此很多服务和产品可以整合到云计算平台中;三是在软件定义网络、安全从产品向服务转变的情况下,新的机会也将随之出现,例如将SDN和入侵检测、WAF、抗DDOS设备、动态蜜罐系统或取证审计系统相结合,未来市场潜力很大。”
近一年来,将安全作为一种云服务提供给用户的声音在业界不绝于耳,其好处不言而喻,将传统的IT产品和安全服务作为一种云服务来提供,企业则不必购买硬件设施, 只需要按需调用相关服务并按需付费即可。
事实上,国外安全厂商在这方面早有尝试,一些企业将其安全服务放在亚马逊云平台上售卖。在国内,将安全“云化”也给安全企业创造了更多商机,一些安全厂商已经在实践。近日,东软集团信息安全事业部营销中心总经理赵鑫龙就向记者描绘了东软的安全云战略,称未来东软安全事业部将把自身的安全能力和资源整合起来,放在云平台上,以整体解决方案的方式提供给用户。
安全领域历来以硬件产品销售为主,企业IT支出的70%也花在硬件购买上。随着云计算的逐步深入,将安全服务“云化”的市场前景可见一斑。
链 接
CSA更加重视亚太市场
2010年,Novell与云安全联盟(Cloud Security Alliance,CSA)共同宣布了一项供应商中立计划,名为“可信任云计算计划(Trusted Cloud Initiative)”。
显然,可信是消除用户疑虑、让云计算得到广泛推广和应用的前提。近日,由云安全联盟中国分会主办的第四届云安全联盟高峰论坛举办。论坛上,可信与应用再次成为主题。
云计算的安全挑战
毫无疑问,云计算为用户带来的安全挑战颇多。这些挑战不仅来自用户的担忧,而且在于云计算架构彻底颠覆了原有的安全防护体系,让传统的防护方式显得力不从心。
山石网科首席技术官刘向明认为,在数据中心架构中做安全扩展非常容易,而在数据中心云化和虚拟化之后,就完全无法通过增加安全设备来提高数据中心的安全性了。在刘向明看来,云和虚拟化变革为数据中心安全带来了前所未有的挑战。这种挑战来自数据中心内部,因为虚拟化完全颠覆了原有的数据中心架构。这种挑战也降低了用户对云数据中心的接受度。
“根据NIST(美国国家标准与技术研究所)对云计算的定义,其宽带网络接入、快速弹性、按需服务、统一资源池、多租户等很多特性大大影响了原有的网络结构。”云安全联盟中国分会理事、启明星辰首席战略官潘柱廷告诉记者,“云计算很多特性的共同特质是要求服务资源高度灵活,而通过资源的集中和虚拟化可实现这样的灵活性。这种高度灵活、集中以及多租户访问带来了资源结构的复杂化、网络结构和边界的复杂化。”
刘向明认为,云计算带来安全困境的根本原因在于网络和安全虚拟化的滞后。“在2000年之后的七八年里,我们一直处在服务器虚拟化和存储虚拟化的阶段,在大概四五年前开始出现虚拟交换机,两三年前出现了SDN(软件定义网络)。”刘向明认为,数据中心目前正在从计算、存储虚拟化向网络虚拟化过渡。这将使网络和计算、存储资源一样变成基础架构虚拟化的一部分,而这种变化实际上给安全市场带来了新的契机。
什么才是网络
“在云计算、虚拟化和SDN等技术的影响下,我们不得不重新审视,究竟什么是网络?”潘柱廷认为,网络可以从四个层面去考察:第一个是网络的静态结构,即节点、连接、拓扑结构、域等,和传统的网络结构类似;第二是流,即路径、路由等传输和访问层面;第三个是包,即IP地址、DNS等协议和标识;第四个是内容和语义,包括解析、指令语义等。网络就是围绕这四个层面的工作而展开的,而网络安全就是在这四个层面进行保障。同样,攻击者对网络的攻击也是围绕这四个层面来展开的。
“基于这四个层面,我们可以把云计算时代的网络安全简单划分为流安全和包安全,流和架构是变化的,而包和语义是相对不变的。”潘柱廷告诉记者,云计算、虚拟化和SDN给网络结构带来根本改变之后,网络安全可能会进入一个新的认识和处理模式——两档安全处置模式。类似于汽车档位的概念,网络安全可分为流安全分拣的快档和深度包安全分析的慢档,这两档从目的上可分为提供秩序调度和提供深度分析。这样的两档安全处置模式可以兼顾性能和功能的矛盾性需求,在基于现有硬件性能水平和数据分析能力的情况下,提升整体安全效能。
刘向明则认为,云数据中心网络安全的未来将是弹性的安全网络。“我认为未来的网络安全架构有三个部分:第一个部分是安全触角,它通过分布式的方式随着硬件去部署,具有非常好的可扩展性。它关心局部的安全,具有虚拟机的感知能力,能够根据虚拟机的变化动态地对局部安全进行调整。第二个部分是安全资源池,它是全局资源,可以是硬件,也可以是软件,可以是分布式的部署,也可以是集中式部署。还有很重要的一点,它的安全资源能够自动调整,同时能够支持多租户应用。第三个部分是管理集成,如果安全要成为基础架构的一部分,就必须跟现在的云管理系统进行集成,必须跟现在的网络虚拟化软件进行集成,这样云的服务提供商才可以通过自动化的方式部署虚拟机,部署跟虚拟机安全。”刘向明告诉记者。
要协同不要堆砌
“其实,我们现在有很多安全设备和安全手段,防病毒、防火墙、IPS等等。但是,把这些设备和手段全都用上,就能解决安全问题吗?”云安全联盟中国分会理事、绿盟科技首席战略官赵粮抛出的问题令人深思。
答案当然是否定的,因为安全永远是相对的,永远都不存在绝对的安全。“信息安全不是靠安全设备和安全手段堆砌出来的,况且大部分用户都不可能应用所有的安全手段,这是因为这种方式会让用户投入巨大的成本。”赵粮认为,无论是攻击者还是防御者,都存在成本的博弈。“攻击者虽然总是期望创造‘未知’的攻击,但是由于成本所限,也会在创造‘未知’攻击时复用‘已知’的攻击;而防御者则需要在有限成本的前提下,尽量通过‘已知’的威胁来发现‘未知’的威胁。”
“我们认为,在APT防护方面,需要称之为‘九龙治水’的九个方面的防护,如防病毒、下一代防火墙、防DDoS、下一代IPS等。但是‘九龙治水’并不能很好起作用的原因就在于缺乏必要的协同。”赵粮指出,“通常,发现一个恶意攻击时,每条‘龙’所做的工作都是将这个攻击拦截掉,这样就导致了所有的‘龙’掌握的都是碎片化的信息,如果通过一套模型来进行推导,就会通过安全的协同构成闭环,可以从一点一点的‘已知’逐步推导出‘未知’,把更多的‘未知’变成‘已知’,建立信誉库,从而获得更加强大的安全防护能力。”
[关键词]职工医保联网;居民医保联网
[中图分类号]R197[文献标识码]B[文章编号]1673-7210(2008)10(b)-074-02
随着我国各项事业改革的深入发展,市场经济逐步发展成熟,医疗保障制度也在不断完善。自1998年以来已经建立了城镇职工基本医疗保险制度、新型农村合作医疗制度以及城镇居民基本医疗保险制度。医疗保险信息系统是医疗保险政策的体现,随着医疗保险制度的不断完善以及医保业务需求的不断变化,医疗保险信息系统也需要不断地得到完善,与医疗保险中心相连的定点医疗机构需要按照医疗保险中心信息系统的变化不断完善医院管理信息系统。如何在与医疗保险中心相连的情况下,也就是外部网络相连的情况下,建立有效的医院信息系统安全架构,保障信息系统安全、平稳、高效,成为医院信息化建设的重要内容。本文结合我院实际的网络体系结构,介绍医院信息管理系统(HIS)与城镇职工医疗保险系统(简称职工医保)、城镇居民基本医疗保险系统(简称居民医保)的实时联网的实现方法以及网络安全架构。
1信息系统的安全架构
1.1信息系统的安全问题
医院信息系统是利用计算机及其网络通讯设备和技术,对医院内外的相关信息进行自动收集、处理、存储、传输和利用,为临床和管理服务的应用信息系统。随着信息技术和网络技术的飞速发展,医院信息系统在医院得到了广泛应用。一个功能齐全的医院信息系统,不仅包括挂号系统、门诊管理系统、药房管理系统、药库管理系统、住院管理系统、病案管理系统、物质管理系统、人事管理系统等,甚至集成了医学影像归档与传输系统(PACS)、检验信息系统(LIS)、放射信息系统(RIS)等,几乎涵盖了医院工作的方方面面[1-2]。医院信息系统(HIS)一旦投入运行,其数据安全和网络安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统,要求能每天24h不间断运行,像门诊收费、挂号这样的系统,不能有30s的中断,也绝对不允许数据丢失,稍有不慎就会造成灾难性后果和巨大损失。而造成数据不安全和网络不安全问题的原因是多方面的,包括因特网黑客侵入、内部局域网非法用户侵入、系统或人为故障等。来自因特网的病毒和黑客侵入是很难防范的,因此我院将内部信息系统和外部因特网在物理上隔离起来,内部局域网不能和外界直接进行物理相连。为了与医疗保险管理系统相连,这种局部封闭的环境被彻底打破,HIS必须和外面网络相连,HIS的安全问题变得更加敏感、严峻,因此,医保联网要做好防护安全措施。对于联网安全问题,我院增加了一台前置服务器,安装网络防毒软件,以防止非法用户威胁或破坏整个信息系统安全。
1.2与医保中心相连的架构设计
医疗保险的实施,是一项复杂的社会系统工程,涉及到参保单位、医疗保险管理部门以及定点医院等机构,需要医保信息系统和医院信息系统衔接,要求医院使用的医疗保险的管理软件应与医保中心的信息系统相匹配,并留有与之相连接的接口以及网络连接,以满足医保中心的要求,实现实时传送数据。
徐州市城镇职工医疗保险信息系统自2001年开始运行,现已运行了7年,全市与医保中心直接联网的定点医疗机构在不断增加,系统的应用规模也在不断扩大,而且经过几年的完善,系统已逐渐趋于平稳,但是医疗保险信息系统中的职工医保系统也存在以下不足:首先,医疗保险系统的费用结算种类多种多样,参保人员医疗费用结算功能模块放在定点医疗机构来处理,这就使定点医疗机构的程序变得异常复杂;其次,当由于政策的改变或其他原因所引起的计算方法发生变化时,定点医疗机构的计算调整及时性和准确性都无法保证,如果定点医疗机构与医疗保险中心不能同步,就会造成系统数据的不一致,从而导致系统之间不能协同一致地工作。而城镇居民医疗保险信息系统从2008年4月开始试运行,医院信息系统与居民医保信息系统联网的定点医疗机构只有几家大型医疗机构。医保中心提供的居民医保接口解决了职工医保的不足,但是也提供了与职工医保完全不同的联网方法与体系结构。下面具体介绍我院信息系统与医保中心的职工医保与居民医保实时联网的实现方法及网络体系机构。
1.2.1与职工医保相连医疗保险信息系统中的职工医保子系统是通过前置机与定点医院的前置机相连。定点医院信息系统只要将参保人员的医疗费用数据发送到医院的前置机上,由前置机通过网络将信息发送到医保中心的前置机上进行信息处理,定点医院通过前置机从医疗保险中心的前置机上下载参保人员的基本信息。这个过程是双向的,信息处理完毕后,医保中心的主机即刻给予回应,将个人帐户、现金、统筹基金等各项应支付的金额数发回医院端,作为医院端的收费标准。为了实现与医保中心的实时联网,我院的信息系统通过医保前置机,通过综合业务数字网(ISDN)专线直接与医保中心的前置机相连。我院医保前置机配有两块网卡,一块与路由器相连,一块与内部局域网相连。医保前置机软件由医保信息中心统一维护,运行着数据传送模块。网络体系结构如图1所示:
1.2.2与居民医保相连医保中心提供的居民医保子系统采用了动态链接库的方案。动态链接库由医保中心统一开发维护,定期更新到联网的定点医院使用。医保接口动态链接库向医院的HIS系统提供若干供调用的函数集,帮助医院的HIS系统完成医保待遇的计算和数据的存储与传输,医院系统改造过程中,在不用理解医保政策的情况下,按照一定的规则,即可快速、安全的完成HIS与医保系统的接口改造工作。动态链接库中的函数全部采用被动调用的方式操作数据,即将动态链接库嵌入到原来的HIS系统中,由HIS系统调用动态链接库中的函数,来完成某个指定的动作。这种方案解决了职工医保联网方法的不足,即定点医院不用理解居民医保政策的结算方法,直接调用医保中心提供的函数,定点医院的程序处理也相对简单容易,即使计算方法发生变化,定点医院也不用修改程序,医保中心修改相应的动态链接库就可以使定点医院与医保中心保持同步。由于没有前置机与医保中心实时联网,定点医院信息系统的终端要调用医保中心的动态链接库,就要求终端能够与医保中心联网。由于定点医院要调用医保中心动态链接库的终端比较多,如收费系统、挂号系统、住院管理系统以及药品项目对照、收费项目对照等共有十几台终端。考虑到每台机器都使用双网卡,一块与路由器相连,一块与内部局域网相连不太现实,最后我们用一台单机安装两块网卡,一块与路由器相连,一块与内部局域网相连。网络体系结构如图2所示:
图2居民医保联网体系结构图
2总结
HIS系统与医保联网建设实际上是医院信息管理系统建设的一部分,是有效的补充和完善,必须采用符合医院自身特点的方案和方法进行建设。
[参考文献]
刚才各位专家的精彩演讲给我们许多启迪,未来信息化将给我们工作和生活带来巨大变化。吴市长将从战略和全局的高度对我市信息化工作提出要求。按照会议安排,我先就我市信息化工作讲几点具体意见。
一、我市信息化建设呈现良好的发展态势
(一)初步理顺了管理体制,制度和人才队伍建设取得初步成效。
长期以来,由于观念、体制、历史等多方面原因,我市的信息化工作存在着多头管理、统筹规划不足、重复建设严重、信息孤岛大量存、资源共享程度低等问题。为了解决这些突出问题,促进信息化工作的良性发展,年底,市委、市政府决定,专门成立了市信息化工作办公室,具体负责全市信息化工作的统筹管理。
为了规范全市信息化工作的管理,市政府先后制定了《市信息化“十二五“专项规划》、《网上听证管理办法》、《12345市民热线管理暂行办法》、《市信息化专家咨询委员会管理暂行办法》、《信息化建设项目管理审核暂行办法》等信息化工作的规范性文件,为我市信息化工作的科学化、规范化、制度化、奠定了基础。
坚持“请进来“与“走出去“相结合的方式,加强信息技术和管理人才队伍的锻炼和培训;初步组建了一支由省内外知名专家学者和本地优秀信息技术人才组成的信息化专家咨询队伍,为我市信息化工作的科学决策、项目实施提供了智力和人才支持。
(二)搭建了“两网一站“的信息化框架,为各项应用系统建设提供了基础平台。
党政网(电子政务内网)经过8年的不断发展、壮大,形成了覆盖市、县、乡镇及市、区县级部门、企事业单位的宽带网络。
电子政务外网平台经过两期建设,完成了与省电子政务外网的对接,接入了市级部门81个、区县10个,划分40多个单独虚拟专网,为我市开展电子化业务延伸、搭建商务平台提供了网络平台,有效降低了网络运行成本。
市政府门户网站(市公众网)是市政府信息公开、便民服务、政民互动的门户,自年底开通以来,整合了70多个部门、企事业单位、10个区县政府信息资源,网站的信息量和信息内容日益丰富,功能不断完善,年被评为全国地级市优秀政府门户网站。
(三)信息化的领域不断拓宽。
教育信息化成效明显,计算机辅助教育蓬勃开展,优质教育资源初步实现共享;医疗卫生领域实现了医院信息化管理、城镇职工基本医疗保险网络化管理;金融系统实现银行卡跨行联网通用,实现了电子汇兑计算机联网和票据清算自动化;税务部门在税收管理、税收会计的核算、稽查、发票管理、与银行进行数据交换等方面实现了计算机管理;公安、审计、人事、海关、财政、社保等系统信息化建设也取得很大进展,先后建成了西南人才网、科技信息网、农经网、教育信息网等专业网络。党政公文网上交换系统、政府部门电子邮件系统、政府网上采购系统、网上招商系统、政务信息交换系统、人大建议政协提案网上办理系统、空间地理数据共享平台等应用系统已经建成或正式启动;完成了“数字“工程中的示范系统建设。特别值得一提的是,“12345市民热线“、“网上听证“、“市民议政“等网上互动栏目建设取得明显成效。据统计,“12345市民热线“今年年初开通以来,共受理群众和基层单位有效信件15000余件,办理回复信件14000余件,总办结率达到96.5%,得到了广大市民的认可和支持,有力推进了决策和管理的民主化、科学化、法制化。
二、我市信息化工作存在的主要问题
近年来,我市信息化工作虽然取得了一些成绩,但我们要清醒地认识到我们存在的差距和不足:
一是全市上下对信息化工作重视程度不够,全民信息化意识和全市信息化水与时展的要求有相当大的差距。
二是信息化管理体制还需要进一步完善,条块分割、各自为政、重复建设、低效运营、资源分散、“信息孤岛“等突出问题没有得到根本解决。
三是信息产业发展相对滞后。信息制造业品种较少,科技含量不高;软件开发业薄弱;信息服务业基本没起步;信息技术的研发和推广应用还没有形成大气候。特别是一些干部认为没有发展信息产业的基础和优势,这种思想观念严重制约了我市以信息产业为引导的产业结构升级。
四是信息安全存在隐患。在网络和网站安全硬件和软件上,特别是信息安全管理上还有较大的差距。
五是投入机制还有缺陷。信息化建设资金投入跟不上发展的需要,政府引导、市场运作、多元化投资机制尚未形成。
三、坚定信心,加快发展,强力推进经济社会信息化进程
党的十七大为信息化发展指明了方向,我们要坚决贯彻和落实科学发展观,顺应社会发展的历史潮流,把信息化建设各项工作作为刚性任务抓好落实。
(一)进一步理顺信息化管理体制。全市信息化工作在市委、市政府和市信息化工作领导小组领导下,由市信息办具体负责统筹。在体制调整的过程中,各部门必须顾全大局,割舍部门利益,服从统一安排。
(二)进一步完善基础设施建设。
一是要紧密跟踪新的信息技术发展和应用,适时实施通信基础网络的更新改造和升级换代,完善政务网络平台。建成具有高速率、智能化、综合性、广覆盖、出口流畅的城域网络通信平台,使网络平台能有效支持电子政务、电子商务、应急联动指挥、高清晰视频电视会议等应用和多终端、全网络接入。加强网络设备配置,提高网络安全性和可靠性。在确保网络安全的前提下,要充分利用各通信运营商已经建成的网络。在投入方面,原则上今后凡是市本级公共网络建设由市级财政按照统一规划集中投入建设,凡是不符合统一规划的条条系统和部门网络市财政不予支持;区县参照这种办法处理。
二是完善基础数据库建设。加快数据管理中心、自然资源与空间数据库、法人单位基础信息数据库、人口基础信息数据库、党政信息资源库、宏观经济社会发展数据库建设,为“数字“各项信息系统建设提供统一的数据支撑平台。对已经建设的各类数据库,要在现有技术的条件下实现数据共享,任何部门不得以任何理由抵制。凡是新建设的数据库,一律统一在数据中心扩展,市财政对今后自行建设的数据库一律不予支持。要通过数据共享,为全面实行网上行政许可和行政审批奠定基础。要加快建设容灾备份系统。
(三)全面推进电子政务建设工作
要把电子政务工作作为整个信息化工作的突破口,带动信息化的全面发展。重点抓好以下几方面的工作。
一是加大资源整合力度。先期是做好全市市级财政供养网站的整合工作,要运用先进的网站集群管理模式,整合现有部门网站,建设统一的政府门户网站。市委、市政府已决定,以后市级财政供养网站中除极少数业务需要并经批准的外,都要整合归并到市政府门户网站,市财政将不再单独安排经费,请市信息办和市财政局共同把好这个关。网络的整合按照国家和省上的统一安排部署逐步推进。各部门各单位要站在全局的高度,积极配合,打破部门利益格局,消除信息孤岛,真正实现互联互通和资源共享。
二是强力推进全市政府系统公文无纸化办理及传输平台建设。此项工作涉及我市的所有部门和10个区县政府及部门,希望各级政府和部门积极支持配合,特别是各级领导干部要带好头,下大力气推进。要通过应用现代办公手段促进管理理念的创新和工作效能的提高。市政府办公室和市信息办在制订建设方案时,要把这个系统的科学性、先进性、合理性和规范性有机结合,同时要把全市电子政务系统建设统筹考虑。
三是认真做好政府信息公开工作。要按照国务院、省政府的要求,严格按《政府信息公开指南》、《政府信息公开目录》规范政府信息公开工作,确保《中华人民共和国政府信息公开条例》的全面、正确、有效施行。此项工作任务重、时间紧,各区县、各部门主要领导要亲自过问,大力协调和支持,安排专门的人员把政府信息公开有关工作抓紧、抓好。同时要做到有人管、有人做,做到机构落实、人员落实、责任落实、经费落实。
四是继续加强“12345市民热线“办理工作。当前市民热线办理工作存在的主要问题是:少数单位主要领导重视不够,办理中推诿扯皮、敷衍塞责、走过场等现象还不少,比较集中的是城市管理、违章建筑、噪声污染、西区卫生等问题。各区县、各部门都要认真办理批转的每一封信,努力多为市民群众办实事。今年是市民热线开通的第一年,对办理工作的考核要严格逗硬,对办理成绩突出的要重奖,对长期办理不落实的要严惩。
五是抓好应急管理系统建设。目前技术设计方案正在加紧制作,待经有关专家评审通过,并经市委、市政府批准后,加快推进。各区县、各应急管理建设部门要组织本地区、本部门积极投入到应急信息系统建设的准备工作中来,要抓好应急信息系统基础数据清理、收集、整理,进一步完善应急预案,配合做好相关工作。
(四)加快电子商务建设
积极探索利用现有资源,运用市场化运作模式,加快电子商务发展。一是要积极思考怎样利用现有的网络资源,搭建我市统一的电子商务平台,探索市场化的电子商务运营模式和发展模式;二是要尽快建立电子商务门户网站,及时、更新商务信息,促进招商引资工作的开展,并作为网上交易的统一窗口;三是与各大金融机构积极协调资金结算问题,积极推动我市电子商务网的形成,带动企业信息化发展;四是建立企业诚信管理机制,促进电子商务健康快速有序发展。
(五)深入推进农村信息化建设
农村信息化建设是最薄弱而需求又是最大的信息化领域,推进农村信息化建设是统筹城乡发展和建设社会主义新农村的重要依托和重要内容。目前我市农村信息化建设已经开始试点,当前要重点抓好以下工作:一是各级领导干部要深入调查研究,找准信息化新农村建设示范点,按照“先试点,再推开“的工作思路,认真做好农村信息化建设试点示范工作的前期调查工作;二是夯实硬件基础,加强信息化网络设施建设,努力提升示范点网络覆盖面和网络质量,解决“最后一公里“问题,最终实现“村村通电话,乡乡能上网,信息入万家“。三是各级政府和部门要加大对农村信息化的投入和技术支持,解决农村“用不起“和“用不来“的问题,把“支农“、“惠农“政策通过信息化建设切实体现好;四是加强信息整合,建立统一的农村信息数据指标体系、信息采集指标体系,增强信息的互通性、共享性和公用性,为农村提供最丰富、便捷的信息服务;五是健全保障体系,确保农村信息化建设快速持续发展,加强服务体系、技术队伍的建设,通过“政府扶持、多元参与、市场推动“等模式,保障发展资金的投入。
(六)加强信息化人才队伍建设
我认为,信息化人才队伍建设至少应该包括管理人才队伍、技术人才队伍、经营人才队伍这三支队伍建设。目前,我市的实际状况是,无论哪支队伍都明显与信息化发展要求不相适应。解决信息化人才问题,要多渠道想办法。一是尽快成立本地区的信息化协会或专家咨询委员会,把分布在各部门、企事业单位、社会各界的信息化人才组织起来形成合力,服务本地区和本部门的信息化建设,壮大信息化人才队伍,解决人员紧缺问题,我市市一级已经成立了专家咨询委员会、计算机学会等组织,在信息化建设项目咨询上发挥出了很好的作用,值得大家学习借鉴;二是积极争取上级业务部门的技术支持,弥补人才技术实力不足;三是在编制许可的前提下提倡面向社会公开招考信息化人才;四是要有计划地加强人才培训,信息技术发展日新月异,学习和培训要作为经常性的工作。
(七)切实抓好信息安全工作
随着信息网络技术的广泛运用和深入发展,信息安全越来越成为一个战略性的课题。我们要严格按照信息安全的管理规定,把这项工作摆在突出的位置来抓。一是各级领导干部要充分认识到我市信息安全防范体系还没有建成这一严峻形势,切实提高安全防范意识,加大对信息安全设备和软件的投入,完善安全防范体系;二是要结合信息资源的整合,尽量建设统一的安全防范体系,降低成本,提高效果;三是要建立健全网络信息管理制度,层层审核,严格把关,防止失泄密事件的发生;四是要制订和完善信息安全应急预案,及时、有效处置信息安全事故;五是加强经常性的检查、督查工作,及时发现安全管理上的漏洞,切实加以解决。
回顾
2006年是十一五规划开局之年,“创新”成为信息化建设的关键词,通过软件的应用来推动企业业务改进和创新已经成为企业的共识并直接推动中国软件市场规模的持续增长。赛迪顾问最新研究显示,2006年中国软件市场规模预计达到665.16亿元,同比增长17.8%,与2005年增长速度基本持平。由于部分大型企业已经建立起了一定的信息化基础,分散系统的整合需求快速上升使得中间软件增长突出,同比增长率达24.3%。
2006年,中国软件市场在不同的细分领域呈现出不同的发展特点:
■Linux产业环境得到优化,市场发展情势较好
2006年,在中央政府的正版化政策的大力推动下,在地方政府打击盗版行动的积极配合下,Linux的产业的发展环境得到进一步的优化,Linux市场发展迅速,并由政府相关行业的主流应用向其它行业渗透,尤其是在电信、金融、能源等行业的应用实现较大规模增长,同时Linux在这些行业中的应用也逐渐由边缘应用向核心应用深入发展。
在政策层面,一系列政府重要部门的联合发文对于政府采购中操作系统正版化问题都进行了明确规定,地方政府也积极采取措施打击盗版,其中北京市政府将把使用正版软件纳入各级政府督查考核的内容。这些举措对于Linux在政府行业的推广无疑起到了推动作用,对于其他的行业用户和个人也起到了示范和约束作用。
■国产平台软件在操作系统和数据库软件领域取得突破
国产平台软件发展尽管离主流应用还有一段距离,但目前已经取得一定的突破。在操作系统方面,本土厂商借助于开放源代码的Linux产业蓬勃发展的大好机会,大力发展自己的国产操作系统,在服务器端和桌面端都取得了突破性的成就。在服务器端,Linux操作系统已经成功进入邮政、政府、金融和电信等行业;在桌面端,本土厂商在政府软件采购活动中屡屡取得佳绩。在微软与国内四大PC厂商签订高达17亿美元订单后,国内厂商发挥Linux自身价格低、性能优越的优势,从一些二线PC厂商寻找突破口,成效显著。在数据库软件领域,部分国产数据库软件厂商的数据库软件产品已通过专家评审,并在政府、军队、制造业等行业中得到了一定的示范应用。同时,国产平台软件厂商还积极合作联合推出了“全国产电子政务平台”,该平台经过实际大规模使用验证,具备较大的实用和推广价值。
■标准制定不断推进,SOA落地指日可待
SOA(Service-Oriented Architecture),即面向服务架构,是指为了解决在Internet环境下业务集成的需要,通过连接能完成特定任务的独立功能实体实现的一种软件系统架构。依照上述定义,需要大家在一个统一的标准下,进行系统开发并提供标准服务。而目前的情况是,各中间件厂商以及各系统集成商仅仅是根据自身业务特点和产品特性,来部署具有自身特性的SOA构架,这也是SOA标准迟迟无法落地所造成的直接后果。2006年6月,OSOA组织成立,18家国际、国内公司成为联盟成员,具体推动SCA和SDO的标准制定,SOA落地指日可待。未来,SOA已经不仅仅是一个单纯的中间件和EAI整合的概念,越来越多中间件厂商和套装软件厂商可以借助SOA理念实现自我的发展和跨越,进一步挑战IBM和BEA的市场领导地位。
■网络安全并购正在进行,强强合作仍在延续
面对日益严重的安全形势,厂商也在不断以变应变,比较明显的特征是通过整合和并购以求全面发展。
需要引起我们注意的是,大规模的并购案例减少,以完善自身产品线为目的的小型并购事件增多。IBM以13亿美元收购了网络安全企业Internet Security Systems(ISS); EMC将以1.75亿美元的价格,收购IT安全公司Network Intelligence。在刚刚以21亿美元收购安全软件零售商RSA之后,EMC在收购市场再次出手。EMC的一系列收购表明,如今的科技领域中,存储公司与安全公司乃至系统管理公司之间的业务差别已经十分微小,这一点在赛门铁克与Veritas的合并中得到完全的体现。
与此同时,安全厂商之间的强强合作也较为引人瞩目,赛门铁克公司和Juniper Networks公司宣布建立合作伙伴关系,思科和微软也加强了合作,的新构架使得双方安全技术平台能够兼容。随着并购与合作的进行,市场资源更多的向实力厂商集中,市场将更多的体现出寡头垄断的趋势。
■协同软件产业链分工日益精细
在协同软件生态链中,协同解决方案提供商从高到低分成四类:第一类是以提供高端咨询和系统集成为主的专业厂商,代表厂商有中软、东软、埃森哲等;第二类是协同平台提供商,他们在自身协同平台的基础商,提供各种协同应用软件模块,代表厂商有慧点科技、浪潮、泛微等;第三类是在二类厂商协同平台的基础上,独立开发协同应用,提供应用组件;另外一类是应用型产品提供商,主要以分销为主。协同软件产业链的调整和逐渐形成,对各类协同软件厂商都带来了机遇,具有技术核心的厂商可以提供核心技术和应用平台,而不具备核心技术的厂商可以发展成为ISV,或者咨询服务商。
国内协同软件厂商只有积极与产业链内的厂商共同协作,以便在新的产业格局来临时,建立起自身在新格局中的竞争能力;同时,重视与众多中小地方性的集成商合作,通过与合作伙伴的广泛合作,以更加细分化的产品和专业服务赢得客户。
■资本运作扮演重要角色,调节ERP厂商竞争关系
近几年全球的软件企业并购之风似乎正在向中国蔓延,并直接表现为软件企业之间的资本合作,并购、合资、入股等名词在中国软件市场盛行。
4月,金蝶收购了制造业ERP厂商歌利来;5月份,赛捷集团收购了吉盟星公司和华拓软件公司后成立赛捷软件(上海)公司;韩国INOPS参股30%通过DCMS进入中国市场,双方在PDM领域展开合作;SAP则向东软投资1000万欧元并结成战略合作伙伴共同拓展ERP市场。
这些事件表明资本层面运作已经成为这个市场的典型现象,直接影响市场上的竞争关系,可以预计将有更多的资本合作浮出水面。
总体来讲,资本运作只是一种手段,共赢才是目的,不管是强强联合还是互补合作都是为了追求“1+1>2”的放大效应。赛迪顾问认为中国ERP市场正在走向成熟,一个相对成熟的市场是一个品牌竞争相对稳定、比较规范的市场,而厂商之间或上下游之间的资本合作或其它类型的合作是推动这个市场走向成熟的一个有力因素。
展望
中国软件市场已经基本步入成熟期,因此2007年将继续平稳增长,尤其是在中部崛起、西部大开发等国家发展策略的带动下,中西部等信息化基础相对薄弱的地区需求的上升将拉动软件市场增长的持续性。
赛迪顾问预测,2007年中国软件市场规模将达到780.48亿元,到2011年将超过1300亿元。其中,主要的市场热点和发展趋势表现为:
■虚拟技术成为热点
虚拟技术是现在被广泛讨论的一个热点话题,该技术的目的是要充分利用计算机系统日益增长的计算能力,提高计算系统的利用率,帮助客户降低成本。该技术能够同时在一台计算机上运行多个操作系统,从而使得多个操作系统共享同一套硬件成为可能。
目前,几大Linux厂商已了虚拟技术的计划。一方面是为了能使Linux用户更好的使用系统,另一方面是用来吸引未使用过Linux的用户方便的向Linux迁移。虚拟技术与系统部署、安全管理,尤其是数据管理方面的配合使用效果很好,并将Linux从传统的“操作系统-平台”捆绑的束缚中解放出来。
随着IT经理寻求从硬件资源中获得更多回报的途径,虚拟化将在越来越广泛的领域内被采用。
与此同时,随着虚拟技术的不断成熟,其应用与相关产品的市场认知度将不断得到提升,在帮助用户运行多种操作系统时提高工作效率、提供安全的Web浏览等方面的作用将日益突出。
■面向应用的嵌入式实时操作系统将发展迅速
面向应用的嵌入式实时操作系统(Application Specific Operating Systems,ASOS)是指面向应用的、专用特制的嵌入式实时操作系统。
它主要具有基本的处理多任务、文件及设备驱动的操作系统功能。目前主流的嵌入式操作系统有Windows CE、Palm OS、Embedded Linux、VxWorks、pSOS及OS-9等几种。
它们虽然提供了较为强大的类似于桌面操作系统的功能,但针对嵌入式系统的特征与特性而言,其共同的缺点是缺乏应用的高效性,网络连接功能较差,系统对应用程序开发支持相对较弱。
伴随着通用型嵌入式实时操作系统的发展,以面向Internet网络的、面向应用的嵌入式操作系统正日益引起人们的重视,成为重要的发展方向。
■中小企业拉动中间件市场增长,高端产品需求稳定
随着Internet的深入发展,中间件的用户结构正朝多元化发展,由以电信和金融为主扩展到其它更多行业和中小企业用户,由此对产品的需求也逐渐由高端扩展到中低端。
在中低端市场,用户主要包括政府、教育、制造、卫生、媒体、科研等行业用户和中小型企业,他们的产品应用规模相对小一些,但用户数量很多,因此需求空间十分广阔,而且由于受规定和资金的影响,这部分用户比较看重产品的性价比和实效性。
国外厂商凭借雄厚的技术实力和先发优势迅速占领国内电信和金融行业的高端产品市场,其价格相对较高也比较稳定。
而国内厂商正是以中低端产品为切入点,由行业应用到标准化产品,形成了丰富的中低端产品线,这些产品价格相对比较合理,还有个别产品采取低价策略。
不过,国内厂商正在成长和成熟,他们中有的已经开始介入高端产品市场,从而带动了中国中间件高端产品市场价格的下降。
■网络安全市场行业定价特征明显,解决方案成为首选
网络安全产品厂商和用户的行为都将更加成熟、理性。
国外企业继续利用其资本优势、性能优势和品牌知名度的优势来争夺市场。国内厂商天融信和东软采取的是一种相对低价的进入策略,随着其产品技术和支持的实力不断加强,其低价策略也就越发显示出优势。由于受国内主要厂商的价格牵制,国外厂商的产品价格不得不有所下降,国外厂商纷纷采取了捆绑销售和降价销售的竞争策略。
网络安全产品和技术正在朝着整合的方向发展,防火墙与网关、防病毒与反垃圾邮件、入侵检测与入侵防护,甚至于集各种网络安全防护技术和手段的产品也在不断的产生。
网络安全产品向整体解决方案发展已经成为必然趋势,而且用户则更为迫切需要务实有效的安全整体解决方案,安全整体解决方案则需要产品的更加集成化、智能化、便于集中管理,而且有配套的全面网络安全服务。
■协同软件厂商通过服务创新提升产品竞争力
当前,中国企业用户对“软件就是服务”的认可程度逐渐提高,用户对服务价值的认知度也逐年提升。协同软件接近一半的销售额都是通过渠道商实现的,渠道商的实施、培训和维护等服务能力对协同软件系统能否高效运行有很大影响。因此,用户对协同软件渠道商的服务能力和响应速度提出了很高的要求。
用户不断增长的个性化需求推动着协同软件的技术创新,而技术创新反过来又可以推动企业用户管理水平的进步。软件企业只有在挖掘用户需求方面走在前面,并以此为基础进行服务模式和服务内容的创新,提供全方位、个性化的服务,才能在日益激烈的市场竞争中占据一席之地。
■SOA的发展将为企业搭建更加灵活开放的信息化架构
目前,从中间件到应用软件和服务厂商都在把产品研发和竞争战略向SOA方向靠拢。
IT产业的发展历来是“应用驱动”与“技术驱动”两驾马车同步前行,当ERP、CRM、电子商务等等早已走出概念阶段,Web2.0试图与所有的存在现象建立联系时,当企业业务以全球化、全面协同、随时随地管理为特色时,应用需求的丰富性使“技术驱动”略显紧张,SOA则适时地成为降低这种紧张关系、从而提高应用与技术之间弹性的最好手段。
目前,存储资源的使用方式正在发生新的变化――趋向网络化的存储和数据的地区性分散(这源于企业对业务连续性和数据共享的需要),要合并联网环境中的存储资源,原有的、基于某个层面的数据保护措施(像防火墙、网络防毒等)就难以应对了。怎么办呢?最近,我们采访了HDS公司首席安全官Art Edmonds,他指出,必须将存储与安全技术有机融合。
安全必备3利器
在过去,存储设备几乎无一例外地通过SCSI连接技术直接连接到服务器上。进入数据存储库只有一个途径:通过应用服务器。如果该服务器是安全的,那么数据也是安全的。但通过网络把存储资源连接起来改变了这种简单模式,它为访问共享资源上的数据提供了多条传输途径,进而带来多方面的安全隐患。用户应用时特别要小心。这里有3种方法可助您一臂之力。
利器1:慎重授权
为了方便管理,大多数网络单元(如交换机和阵列)都为用户提供了带外访问功能,管理员在更改网络配置及许可权时要分外小心,慎重授权,否则数据会丢失或被盗用。
利器2:专线传输
无论是为了数据共享、业务连续性,还是保护数据,用户应该考虑与数据地区分布有关的问题。出于客户支持和产品设计的目的,许多企业需要共享数据,于是通过网关连接SAN的概念日渐盛行。虽然某些安全措施内置在网关当中,但用户仍要注意:如果不使用专线,传输网络将不在自己保护范围之内。
由于提供相对廉价的数据复制功能,特别是美国9.11事件之后,远程复制技术开始流行。需要提醒用户的是,一定要保证传输期间所复制数据的安全。
利器3:加密数据
不管用哪种存储基础设施保护数据,因多半静态数据没有经过加密,故易受到攻击。虽然用户可以把数据备份到磁带上用于恢复,或者找个安全地方保管起来,但只要有人拿走了这盘磁带,或读取到磁带信息,他就等于拥有了数据。
有的备份方案提供了加密,但不是所有企业都在用这项功能。这归因于一系列问题:性能衰退、应用响应延时,还有数据备份、恢复和管理的高复杂度。
硬盘上的数据同样岌岌可危。许多用户认为:硬盘上的数据是安全的,因为应用程序在与客户机通信时会对数据进行加密,网络在传输期间也会对数据进行加密。但如果数据存放到网络应用的后端(存储端),这些几乎是相当原始的数据(除非企业像有些政府部门那样,采用程序对静态数据进行加密)很容易被别人获取(如撤走硬盘),并用合适工具就能读取硬盘上的数据。用户千万要注意静态数据问题,不管用哪种存储基础设施。
细数存储3隐患
1.SAN隐患
光纤通道SAN(Fabric SAN,又称FC SAN)主要部署在数据中心,在FC SAN上的存储资源往往是关键任务数据。也因此,安全一直是FC SAN关注的一个重要方面。通常,人们采用分区和LUN屏蔽技术,保护对存储资源的安全访问。问题是,这2种技术无法提供介质安全,也无法提供加密静态数据的功能。
(1)分区技术的安全漏洞
FC SAN结构包括磁盘阵列、交换机和主机总线适配器(HBA)等多个单元,这些单元允许主机通过光纤通道网络进行通信。分区能够把这些单元配置成几个逻辑组,确保只有该组成员才能通信及访问特定的存储资源。
常用的分区方法有2种:硬分区(Hard Zoning)和软分区(Soft Zoning)。硬分区能够按照端口级别来进行分组,譬如只有连接到某端口的主机适配器才能与连接到该端口的阵列进行通信。这种方法非常有效,但如果网络结构发生变化,需要重新配置时缺乏灵活性。
软分区通常叫做全局名(WWN)分区。光纤通道结构里面的每个单元都由WWN加以标识。WWN分区用交换机里面的简单名字服务器(SNS)来确定某个区中的哪个WWN可以进行通信。这种分区法比较灵活,因为如果重新配置网络,不必改变分区。不过,WWN容易被欺骗,所以安全性不如硬分区。
(2)LUN屏蔽的不足
光纤通道设备以逻辑单元号(LUN)的形式提供数据资源。LUN屏蔽是把某存储资源上的多个LUN分给特定服务器。当众多服务器共享同一存储资源(比如某磁盘阵列)、却因某种原因不允许用户访问该阵列上的同一磁盘时,需要用到屏蔽技术。举例说,网络上有一容量为1TB的磁盘阵列,由Unix和Windows NT服务器共享。因为Windows NT服务器会为它看到的任何LUN分配识别标号,所以就要屏蔽Unix LUN,让Windows NT服务器看不到。有了屏蔽机制,管理员就可以决定每台服务器可以访问哪些LUN。
屏蔽可通过主机、HBA、交换机或磁盘阵列来实现,具体取决于软件支持以及用户如何来管理屏蔽方法。HBA和基于控制器的屏蔽技术相结合,使用WWN和LUN信息,以确保安全访问(譬如说,只可以访问该阵列上带有该WWN名的某个LUN)。
从限定哪个节点可以访问哪些资源的角度来看,分区和LUN屏蔽技术确实提供了一层安全保护。然而,您应该看到:它们没有采用验证或授权措施。虽然许多交换机厂商提供有如口令控制、访问控制列表(ACL)及基于验证的公钥基础设施(PKI)的保护技术。但是,每家厂商的安全级别各不相同,如果同一结构里面的交换机来自多家厂商,实施安全的方法互不兼容,交换机设备的安全控制难以发挥作用。
2.iSCSI隐患
iSCSI的安全防范主要是通过利用IP网络安全技术来实现,尤其是IPSec。IPSec标准为IP网络上传输数据定义了多个级别的安全。iSCSI将会利用IPSec的重要标准,包括验证报头(AH),用来验证初始连接;因特网密钥交换(IKE),用于在连接期间可以不断进行相互验证;封装安全协议(ESP),用于对第4层及更高层的数据进行加密(iSCSI协议位于第4层)。但这一层保护只针对传输中的数据,加密功能并不作用于静态数据。
此外,IP网络上传输iSCSI数据包能够利用其他各种网络安全措施,譬如VPN和防火墙。不过,IP网络上传输的iSCSI数据包是重要信息,因为它里面有数据块的实际位置,所以应当考虑采用另外的安全措施。
3.NAS隐患
NAS方案和充当文件服务器的通用服务器之间有两大区别。首先,NAS设备是经过优化的文件服务器,性能高得多,数据存储容量也大得多,又不会带来任何传输瓶颈问题;其次,NAS能够实现不同文件的共享,这样Unix和Windows等就能共享同一数据。所以,虽然部署NAS根本不会改变网络基础设施,但大规模数据共享和各种访问机制更有可能将数据置于危险境地。
NAS方案的默认设置允许所有用户都可以访问各种资源。所以,管理员应当赶紧设置许可权、ACL及管理权限。管理员要注意一个重要方面:NAS服务器上的安全特性可能会由NAS设备上的操作系统来确定。譬如说,如果NAS方案使用基于Windows NT版本之一的软件,那么其安全类似于Windows NT服务器的安全。这些NAS设备允许Unix服务器访问数据。不过,管理员可能也需要使用本地Unix命令为Unix文件设置安全。另一方面,有些NAS方案能在本地同时支持NFS和CIFS文件许可权,所以要注意NAS方案将提供什么以及每台服务器上需要完成什么。
唾手可得3方案
在美国等市场,已经开始涌现相关存储安全技术,通过利用多种手段来保护数据。不过,这些方法有待改善,特别是在标准方面,只有产品标准化,用户应用才更方便。据悉,现在有多家标准组织和行业协会(如SNIA)在致力于加强存储安全。
近来,一些专注存储技术的公司开始推广存储安全解决方案,比如HDS,它的解决方案涉及从HBA到光纤交换机再到存储设备的端到端整体安全保护,并且作为SINA成员,其方案将率先遵循各种新推标准协议。另外,在存储安全市场,新增诸多新兴企业,并已开始交付各种存储安全方案,主要是加密方案。它们能够分析数据流量,加密数据,并把加密数据传送到存储资源上。由于其加密功能被集成在专用设备上,所以加密起来不会像基于软件的加密技术那样占用宝贵的CPU时间。此外,这类方案还提供了集中管理及实施保密策略的功能,可同时保护主/辅助存储资源上的数据(如下所示)。国内在这方面还没有成熟的方案推出。
方案1:NeoScale解决方案
NeoScale Systems公司提供面向磁盘主存储和磁带辅助存储2种加密方案:CryptoStor FC和CryptoStor for Tape。两者均符合FIPS 140-2(联邦信息保护标准)、基于加密/压缩、状态存储处理、智能卡验证实现基于角色的管理、密钥管理(密钥生成、保护、代管及恢复)及群集操作。与完全采用软件进行加密的方案不同,此2种方案不占用主机CPU资源。
(1)CryptoStor FC
基本功能:用于加密光纤存储设备(如图1所示),可以达到千兆位吞吐量,端口到端口的时延不超过100ms。
特色:基于策略的安全和数据通路透明。
部署位置:部署在主机端、光纤通道结构内部、磁盘阵列前面或者存储网关后面。
售价:3.5万美元以上
网址:
(2)CryptoStor for Tape
基本功能:用于加密、验证和数据压缩磁带库和虚拟磁带系统中的数据,兼容主流备份应用软件,配备光纤通道和SCSI两种接口模式。如图2所示。
售价:1.5万美元以上
网址:
方案2:Decru解决方案
Decru公司的解决方案包括 DataFort E和DataFort FC两个系列,如图3所示。
基本功能:用于加密NAS、SAN、DAS和磁带备份等环境中的数据,速率达千兆位。
特色:(1)以透明方式加密及解密在网络存储设备来回传送的数据,主要是因为采用随机数生成器(TRNG)创建密钥,多密钥加密方法确保了密钥不会以明文形式传输。
(2)采用集成智能卡,提供另一层验证。智能卡确保只有授权的管理员才能配置及管理DataFort、授予数据访问权限。
(3)采用独特的分层方案,隔离开管理存储数据和读取存储数据。
部署:DataFort FC部署如图4所示。
特色:面向NAS环境的DataFort E440为3万美元;面向SAN环境的DataFort FC440售价为3.5万美元。
网址:
方案3:Vormetric解决方案
Vormetric的解决方案是CoreGuard Core Security。
基本功能:CoreGuard Core Security集成多种安全技术。首先,CoreGuard保护了主机的完整性,通过认证、授权技术,防止未经授权的应用、软件工具及操作/文件系统以及蠕虫、特洛伊木马、未授权补丁和被篡改代码运行及访问受保护数据;其次,使用行业标准算法AES和3DES,在文件―系统层面提供基于策略的高速数据加密功能。
部署:安装在被保护主机内。
售价:未知
网址:
