2020年08月07日  星期五
熱門搜索:民主辦會  規范運作  改革  服務
您的當前位置:胜平负 >  信息化建設 >  實踐經驗
燃氣行業信息安全體系建設方法及在北京燃氣的實踐
【添加時間:2015-03-26 】   來源: 分享:
1 概述
 
近年來,燃氣企業不斷提高其信息化水平以支撐業務的高速發展,提升企業工作效率并優化業務運作模式,向公眾提供高質量的服務。但是,作為傳統能源行業,燃氣企業在利用信息技術帶來的優勢時也必然需要承受先進技術帶來的風險——信息安全問題。
 
2010年6月,“震網”病毒悄然襲擊伊朗核設施的工業系統,“震網”是第一個被發現用于針對于政府的網絡戰爭武器。2012年,美國國土安全部應急響應小組報告了198起針對重要基礎設施的攻擊,而2011年的攻擊數量為l30起(上升了52%)。據歐洲網絡與信息安全局統計的數據,在2012年遭受攻擊最多的行業為能源行業,占41%,其次為供水,占15%[2]。
 
燃氣企業本身存在的信息安全問題、外部嚴峻的安全形勢以及各種監管的壓力都要求燃氣企業盡快建設信息安全體系。本文將對北京燃氣信息安全體系建設過程中的經驗、方法進行整理,供燃氣行業其他企業構建信息安全體系參考。
 
下文的“燃氣企業”泛指國內絕大部分燃氣企業,代表著國內燃氣行業的主要情況。
 
2 燃氣行業信息化現狀及信息安全問題
 
2.1 燃氣行業信息化現狀
 
國內燃氣企業的生產運營信息化建設開始于1996年左右,目前北京、上海、長春等多個大城市的管道燃氣企業均成功完成生產運營信息化項目的建設,使企業運營過程控制程序化、模型化、智能化、集成化、網絡化,監測、控制過程實現可視化和遠程化,以期達到進一步理川頁管理流程、提升管理水平和提高工作效率的日標。國內燃氣行業信息化具有以下特點:
 
(1)企業的信息化建設已覆蓋主要業務,但信息化缺乏有效整合,信息化的“孤島效應”明顯,企業信息資源沒有得到有效利用。
 
(2)信息化管控能力薄弱,企業缺乏有效IT治理機制和行業的信息化標準規范指導,信息化在企業管理應用有待提高。
 
(3)信息化技術力量薄弱,企業的信息化建設嚴重依賴于第三方服務。
 
(4)工業體系安全核心正在轉變,由傳統的物理安全正在向信息安全轉移。
 
國內燃氣企業已經基本完成了信息化“建設”的初期任務,已經建成了涵蓋SCADA、GIS、OA、ERP、EAM以及用戶管理系統等信息系統,而為了支撐燃氣業務的高速發展,更有效的、安全的利用信息化體系,實現信息化的整合和管控必然成為企業未來信息化發展的主題,企業信息化發展路線也逐步由偏重建設轉向偏重管控。信息安全作為信息化管控的主要組成部分,已成為企業必須面對的現實問題。
 
2.2燃氣行業信息安全問題
 
作為傳統的能源行業,大部分燃氣企業對信息安全比較陌生,缺乏主動有效的信息安全保障機制。下面從組織、策略和技術3個層面分析燃氣行業信息安全存在的問題。
 
2.2.1組織層面
 
燃氣企業的信息安全組織力量薄弱且定位較低,企業沒有形成自上而下的信息安全組織體系。
 
(1)企業信息化隊伍并不完善,信息安全隊伍嚴重匱乏,無法有效支撐企業的信息化建設和業務安全。
 
(2)企業對信息安全的認知度偏低,依然注重于傳統的物理安全,并忽視信息安全問題與業務安全之間的重要性。
 
(3)企業各部門的信息安全職責不清,缺乏各部門和分子公司等單位的參與。
 
(4)缺乏信息安全的培訓和意識提升機制,員工的信息安全意識薄弱。
 
(5)企業的信息化建設主要依賴于第三方,但是對第三方的管控薄弱且明顯落后于信息化的建設速度。
 
2.2.2策略層面
 
燃氣企業基本沒有成體系的信息安全策略,主要包括:
 
(1)事件驅動型,信息安全策略都是基于已發生的信息安全事件制定,缺乏體系化的制度流程支撐,信息安全策略側重于應急響應機制。
 
(2)缺乏對信息系統和敏感信息的安全控制體系、技術規范以及安全基線。
 
(3)缺乏信息安全策略推廣手段,信息安全策略難以落地實行。
 
(4)業務為先,較難平衡信息安全的控制以及業務效率之間的關系,信息安全策略要求更多“屈從”于業務要求。
 
(5)監督和考核機制不足,缺乏明確的策略要求,信息安全控制無法得到有效的落實。
 
2.2.3技術層面
 
燃氣企業已經部署基本的信息安全防護設施,如防火墻、入侵檢測、流量監測等設施,但是存在以下問題:
 
(1)信息安全系統“孤島”效應嚴重,無法形成有效合力。
 
(2)系統和網絡的邊界控制能力薄弱,不同的系統和網絡間的資源訪問控制顆粒度較粗,缺乏有效的監控和審計能力。
 
(3)企業業務復雜,第二三方廠商技術水平參差不齊,安全技術能力薄弱。
 
(4)工控系統由于在網絡中的互聯性增加,導致多種途徑可訪問這些系統,從而導致更多潛在攻擊的可能性。
 
(5)系統的建設和部署缺乏信息安全考慮,信息系統自身存在大量漏洞,這些問題極易被黑客所利用,嚴重影響到信息系統的運行安全。
 
2.3 燃氣行業信息安全成熟度
 
越來越多的燃氣企業高層管理人員認識到信息安全的重要性,但是無法了解企業自身信息安全所處的位置,不知道企業的信息安全未來發展之路如何走。參考信息安全控制最佳實踐CoBIT[3],可定義燃氣企業信息安全成熟度級別為初始級、可重復級、已定義級、可管理級和已優化級5個級別。初始級指企業信息安全管理流程不存在,或信息安全工作流程缺乏統籌安排;可重復級指信息安全管理流程遵循同定的模式;已定義級指信息安全體系已建立標準化的書面程序;可管理級指信息安全體系流程可監控、可度量;已優化級指信息安全工作流程自動化且持續優化。
 
國內絕大部分燃氣企業信息安全現狀與北京燃氣在進行信息安全體系建設之前的狀況一樣,處于第一級即初始級;燃氣企業的信息安全要達到一定的程度則信息安全成熟度必然要達到持續優化的第4級,即已管理級。通過信息安全成熟度模型,企業能夠準確的找到當前所處的位置,未來企業信息安全期望達到的目標,以及企業未來信息安全的具體發展路線。
 
3 企業建立信息安全體系的思路和方法
 
3.1 傳統信息安全管理存在的誤區
 
為實現組織的信息安全,各廠商、各標準化組織都基于各自的角度提出了各種信息安全管理的體系標準,這些基于產品、技術與管理層面的標準在某些領域得到了很好的應用,但從組織信息安全的各個角度和整個生命周期來考察,現有的信息安全管理體系與標準是不夠完備的,特別是忽略了組織中最活躍的因素——人的作用。
考察國內外的各種信息安全事件,發現在信息安全事件表象后面其實都是人的因素在起決定作用。不完備的安全體系是不能保證日趨復雜的組織信息系統安全性的。因此,組織為達到?;ば畔⒆什哪康?,應在“以人為本”的基礎上,充分利用等級?;?、IS027000、IS020000、CoBIT等信息化控制標準與最佳實踐,制定出周密的、系統的、適合組織自身需求的信息安全管理體系。
 
3.2 信息安全管理體系模型
 
信息安全的建設是一個系統工程,需要對信息系統的各個環節進行統一的考慮、規劃和構架,并要時時兼顧組織內不斷發生的變化,任何環節上的安全缺陷都會對系統構成威脅。
從宏觀的角度來看,信息安全可以由以下HTP模型來描述:人員與管理(Human and management)、技術與產品(Technology and products)、流程與體系(Process and frahiework)。
 
其中人是信息安全最活躍的因素,人的行為是信息安全保障最主要的方面。人特別是內部員工既可以是對信息系統的最大潛在威脅,也可以是最可靠的安全防線。統計結果表明,在所有的信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于內部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網絡安全的全貌就會發現安全問題實際上都是人的問題,單憑技術是無法實現從“最大威脅”到“最可靠防線”轉變的。
 
以往的各種安全模型,其最大的缺陷是忽略了對人的因素的考慮,在信息安全問題上,要以人為本,人的因素比信息安全技術和產品的因素更重要。與人相關的安全問題涉及面很廣,從國家的角度考慮有法律、法規、政策問題;從組織角度考慮有企業信息安全治理結構、安全方針政策程序、安全管理、安全教育與培訓、組織文化、應急計劃和業務持續性管理等問題;從個人角度來看有職業要求、個人隱私、行為學、心理學等問題。
 
在信息安全的技術防范措施上,可以綜合采用商用密碼、防火墻、防病毒、身份識別、網絡隔離、可信服務、安全服務、備份恢復、PKI服務、取證、網絡入侵陷阱、主動反擊等多種技術與產品來?;ば畔⑾低嘲踩?,但不應把通過部署所有安全產品與技術而達到信息安全的零風險為目標,安全成本太高,安全也就失去其意義。組織實現信息安全應采用“適度防范”(Rightsizing)的原則,就是在風險評估的前提下,引入恰當的控制措施,使組織的風險降到可以接受的水平,保證組織業務的連續性和商業價值最大化就達到了安全的目的。
 
信息安全不是一個孤立靜止的概念,信息安全是一個多層面、多因素的、綜合的、動態的過程,管理學上的木桶原理能夠很好的說明信息安全各個環節之間的作用。
一方面,如果組織憑著一時的需要,想當然去制定一些控制措施和引入某些技術產品,都難免存在掛一漏萬、顧此失彼的問題,使得信息安全這只“木桶”出現若干“短木塊”,從而無法提高安全水平。正確的做法是遵循信息安全標準與最佳實踐過程,考慮組織對信息安全各個層面的實際需求,在風險分析的基礎上引入恰當控制,建立合理安全管理體系,從而保證組織賴以牛存的信息資產的安全。
 
另一方面,這個安全體系還應當隨著組織環境的變化、業務發展和信息技術提高而不斷改進,不能一勞永逸,一成不變。因此,實現信息安全是一個需要一個完整的體系來保證的持續過程。
 
3.3 建立信息安全管理HTP體系的方法[4]
 
此方法論由國內著名的信息安全專家和IT治理專家陳偉提出,已被國內許多銀行和央企采用。
 
3.3.1 HTP方法論框架
 
根據自頂向下,逐步求精的原則,根據組織的業務目標與安全要求,首先要在組織中建立信息安全治理結構,對信息安全做出制度保證;然后綜合考察業務環境與IT環境,進行風險評估,做出信息安全計劃,建立并運行信息安全管理體系,初步達到粗粒度的信息安全;在完整的信息安全管理體系之上,建立“人力防火墻”與“技術防火墻”,在細粒度上保證信息安全;實施階段性的信息系統審計,在持續不斷的改進過程中保證信息的安全性、完整性、可用性及有效性,從而建立一套完整的、健壯的信息安全防御體系。
 
3.3.2建立HTP體系的步驟
 
(1)在充分理解組織業務目標、組織文件及信息安全的條件下,通過IS013335風險分析方法,建立組織的信息安全基線(Security Baseline),對組織的安全現狀有一個清晰的了解,并可以為以后進行安全控制績效分析提供一個評價基礎。
 
(2)根據安全基線分析報告,制定組織信息安全計劃,包括組織建設計劃、預算計劃和投資回報計劃。
 
(3)按照IS027000標準建立信息安全管理框架,完善粗粒度的信息安全過程。建立框架后,冉通過這種細粒度的安全措施一“技術防火墻”和“人力防火墻”,就有可能建立起完備的信息安全管理體系。
 
(4)重視信息安全中最活躍的因素——“人”,建立“人力防火墻”,實現從信息安全“最大威脅”到“最可靠防線”轉變,這樣才能真正調動組織中實現長治久安的內在動力。
 
(5)根據風險評估的結果,綜合利用各種信息安全技術與產品,以“適度防范”為原則,建立有效的“技術防火墻”,這是實現信息安全管理的可靠外部保證措施。
 
(6)實施階段性的信息系統審計,在持續不斷的改進過程中保證信息安全性、完整性、可用性及有效性。
 
3.4 燃氣行業信息安全體系建設方法
 
根據國內燃氣行業信息安全的現狀與特點,結合HTP信息安全體系建設方法論,下面提出燃氣行業信息安全體系的建設方法。
 
3.4.1燃氣行業信息安全體系建設方法
 
根據燃氣企業的戰略目標和風險現狀,結合信息安全最佳實踐,滿足上級單位的監管要求,兼顧燃氣企業生產安全和信息安全的結合點——工控安全,在確保外包服務安全的前提下設計燃氣企業的信息安全架構,并綜合燃氣企業的戰略目標和安全風險規劃信息安全實施路線矧,此藍圖作為未來信息安全體系建設的指南。
 
在此基礎上考慮組織、制度、技術體系的建設,實現HTP理論中“人力防火墻”和“技術防火墻”的目標,先試點運行并最終全面推廣,在此過程中應充分結合當前的環境推進信息安全意識教育,樹立企業正確的信息安全文化。
 
在體系的建設和運行過程中應充分考慮企業的風險現狀,不斷提升和改進企業的風險管控措施,實現燃氣企業的信息安全管理體系PDCA循序漸進的過程。在整個體系的設計、規劃、建設以及運行過程中應保持各部門各單位之間的有效溝通和協調,保證體系的正常運行,并不斷監控體系實施過程中的狀況,防止與業務目標的偏離,提升燃氣企業信息安全體系的保障能力。
 
3.4.2燃氣行業信息安全體系建設步驟
 
燃氣行業信息安全體系的建設建議按以下5個步驟進行:
 
(1)現狀調研和風險評估;
(2)架構設計和藍圖規劃;
(3)信息安全體系建設;
(4)信息安全意識培訓;
(5)信息安全體系優化。
 
3.4.3燃氣行業信息安全架構設計
 
信息安全架構是對信息安全治理機制的高度概括,從信息安全目標和方針、信息安全策略,到信息安全管理工作的分解,再到信息安全管理工作如何開展,提出了方向性和原則性指導意見。
 
在信息安全架構中,設置信息安全目標和信息安全方針作為安全架構的核心;為實現信息安全目標和方針,需要構建信息安全域,不同企業構建的信息安全域的情況可能會不一樣;最后再通過3個體系來保證信息安全域的實施和落地。
 
 
在構建燃氣行業的信息安全架構時應充分利用等級?;?、ISO27000、ISO20000、CoBIT等信息化控制標準與最佳實踐,制定出周密的、系統的、適合組織自身需求的信息安全架構。
燃氣企業在構建信息安全架構時除了吸收最佳實踐標準外,還應充分考慮風險評估、戰略驅動以及監管要求等內容,最終將國際國內信息安全最佳實踐標準裁剪成符合燃氣企業的信息安全體系架構。
 
3.4.4燃氣行業信息安全體系構建
 
燃氣行業在信息安全體系的建設過程中為保障信息安全體系有效性,一般會遵從“組織體系定職責、策略體系定依據、技術體系定手段”的原則構建“事前防御、事中控制、事后響應”的信息安全體系,推進信息安全體系的執行和落地。
 
(1)組織體系
 
燃氣企業應建立和完善信息安全決策、管理、執行以及監管的機構,明確企業所有單位的信息安全角色與職責以及總部和分公司之間的關系。信息安全組織體系處于信息安全戰略的核心,是信息安全戰略落實的基礎和保障。
 
(2)策略體系
 
策略體系主要包含信息安全策略/方針、各信息安全管理域的安全管理要求等,為燃氣企業提供信息安全控制依據。
 
(3)技術體系
 
燃氣企業的信息安全技術體系應整合各種成熟的信息安全技術與產品,對企業各類信息資產形成有效的差異化和精細化?;?。依據縱深防御的原則,結合“橫向隔離,縱向認證”的要求,采用不同層次的防護技術,如身份認證、訪問控制、內容安全、監控審計和備份恢復等,實現信息資產的安全防護。
 
4 北京燃氣信息安全體系建設實踐及應用
 
北京燃氣集團于2012年10月份啟動了信息安全體系建設項日,于2013年6月底結項。整個項目的建設基本遵循燃氣行業信息安全體系建設方法,是對燃氣行業信息安全體系建設方法的實踐和應用,同時根據實踐的結果再返回去對燃氣行業信息安全體系的建設方法進行了完善。
 
4.1 建設目標
 
(1)通過現狀調研和風險評估,全方位了解北京燃氣信息安全工作現狀和存在的風險。
 
(2)設計北京燃氣的信息安全體系架構,完善信息安全組織與管理策略,編寫信息安全制度與標準;并推進信息安全管理體系的落地運行。
 
(3)建立信息安全管理體系實施藍圖,使北京燃氣能夠利用3年到5年時間,建立起較為完善的信息安全管理體系。
 
(4)培育一批具備信息安全專業水平的技術人員和管理人員,并全面提升員工的信息安全意識。
 
4.2 現狀調研和風險評估
 
為全面梳理北京燃氣信息系統安全現狀,項目組對北京燃氣信息化組織結構、物理環境安全、人力資源、信息資產、信息系統的開發和運行以及北京燃氣各專業機構和分子公司的信息化建設和管理過程做了全面細致的了解,形成了北京燃氣信息安全現狀調研報告。
 
依據ISO27001國際標準,對北京燃氣的信息安全現狀進行了對標,查找與國際信息安全最佳實踐之間的差距,并通過風險評估和分析進行分類和匯總,形成了包括應用系統風險、訪問控制風險、外包服務風險、人員環境風險、組織安全風險等11個類別的風險。為將信息安全風險降低到北京燃氣可以接受的水平,項目組為各類風險選擇了恰當的風險處置措施并制定了從近期到長期詳細的風險處置計劃。
 
4.3 架構設計和藍圖規劃
 
依據前期調研發現的問題和風險、遵照國際國內最佳實踐標準、結合北京燃氣的“十二五”規劃設計完成了北京燃氣的信息安全架構,并規劃了北京燃氣未來3年至5年的信息安全建設路線。
 
4.3.1架構設計
 
北京燃氣信息安全體系依照北京燃氣信息安全整體目標,圍繞“構建信息安全體系、保障信息系統安全”的方針制定了北京燃氣的信息安全架構(如圖4所示),通過組織體系定職責、制度體系定依據、技術體系定手段,涵蓋了包括體系管控、建設安全、運維安全、應急保障和基礎保障在內的五大信息安全域,全面覆蓋北京燃氣信息安全的各個方面。
 
北京燃氣的五大信息安全域主要是參考ISO27001信息安全管理體系中的11個信息安全域,并結合燃氣行業信息安全工作的特點和北京燃氣已有的信息安全基礎,重新進行劃分和歸并而得。
 
4.3.2藍圖規劃
 
信息安全藍圖規劃日的是明確北京燃氣未來信息安全的建設路線,經過3年乃至5年信息安全規劃的實施,可以逐步改變目前信息安全的現狀,為北京燃氣信息系統的平穩運行和業務的持續開展提供強有力的保障。
 
北京燃氣未來5年信息安全藍圖規劃如下,分為以下3個階段:
 
(1)信息安全管理體系建立階段(2013年)。北京燃氣于2013年上半年建立信息安全管理體系,通過信息安全管理體系的建設,建立了信息安全組織、完善了信息安全制度;通過持續進行風險評估,使北京燃氣在信息安全方面具有了自我完善的能力。
 
(2)IT風險精細化管理階段(2014年—2015年)。從2014年開始,進行IT綜合管控體系的建設,建立完善的IT治理機制、IT綜合管理流程(項目管理、外包管理、數據管理等)、IT服務管理流程、軟件開發管理流程和IT績效管理體系等;通過部署安全管理中心(SOC)開展敏感信息泄漏防護工作,試點關鍵用戶信息安全績效測評工作,推動信息安全工作的深人開展。
 
(3)安全與業務融合階段(2016年—2017年)。從2016年開始,北京燃氣的信息安全將進入安全與業務融合階段,主要表現為,通過精細化信息安全管控體系的建立、IT內控體系建設,完善業務領域的信息安全工作,結合敏感信息防護工作的開展,實現安全與業務的深度融合,為IT支持業務運行與業務創新而奠定基礎。
 
4.4 體系構建
 
4.4.1組織保障體系
 
北京燃氣的信息安全組織體系(見圖5)包括領導層、管理層、執行層以及監督層。領導層由集團的信息化工作委員會擔任。管理層由集團信息安全管理小組擔任,下設信息安全管理辦公室,成員包括總部相關部門的信息安全協調員。執行層由信息檔案中心、運營調度中心以及集團其他所屬各單位組成。監督層由集團法審部和第三方審計機構組成。
 
通過信息安全組織體系的建立,明確了集團各屬單位信息安全角色與職責,以及總部和分公司之間信息安全接口與互動關系。信息安全組織保障體系處于信息安全戰略的核心,是信息安全戰略落實的基礎和保障,同時,信息安全制度保障體系的建立和執行、信息安全運行相關工作以及信息安全技術在北京燃氣內的運用也需要信息安全組織保障體系相關機構和角色去具體落實。
 
4.4.2制度保障體系
 
制度保障體系主要包含北京燃氣的信息安全策略/方針、各信息安全管理域的安全管理規定、細則和表單類的文檔,為北京燃氣提供信息安全依據。在制度體系中明確了信息安全技術類各種標準、安全規范、配置基線等;制定了信息安全運行保障機制以及總部和分公司的信息安全協作機制。
 
目前制定的制度規范共32個,其中二級規定1個、三級辦法6個、四級細則l2個、技術規范l3個,覆蓋了系統建設、系統運行、應急保障、體系管控、基礎保障五大領域。
 
4.4.3技術保障體系
 
北京燃氣建立了“五縱五橫”的技術保障體系(見圖6),實現從物理環境到終端數據的安全控制,建立了事前預防、事中監控以及事后恢復的相關機制。
 
北京燃氣的技術保障體系將重點關注和解決:完善安全域的綜合規劃和整改、建立信息系統基本等級防護技術體系、建立PKI體系、建立4A平臺、建立終端防護體系、建立信息安全監控體系和建立災備中心。
 
4.5 信息安全意識的宣貫和提升
 
北京燃氣在信息安全體系的建設過程中考慮了各個層面“人”的要素,從管理層到普通員工,從專業人員到非專業人員,充分保障了各層面人員所需的信息安全意識和技能的培養。
 
在構建自身的信息安全宣貫體系的同時,考慮了自身企業文化和企業特點,在借助傳統的宣傳媒介的同時引入社會化媒體進行企業內部員工信息安全意識的宣傳,建立多維度全方位的信息安全宣傳渠道。
 
5 燃氣行業信息安全體系建設成功因素
 
信息安全風險是應用信息技術過程所必須面對的問題,因此建立信息安全體系是保障燃氣企業業務和信息化持久發展的基礎。結合北京燃氣信息安全體系建設的過程和經驗,總結幾點燃氣行業信息安全體系成功實施的要素:
 
(1)來自企業高層明確的支持和承諾,尤其對于相對傳統的燃氣行業而言這是信息安全體系有效推進的保障。
(2)注重體系落地,依據“總體規劃、分步實施”的戰略,信息安全體系建設要從全局的觀念出發組建系統,制定具體的且可實現的計劃。
(3)信息安全部門的定位問題以及與信息化之間的關系,明確信息安拿與信息化是相互交叉又彼此區別的關系。
(4)加大信息安全的培訓并建立自己的信息安全隊伍,同時借助多種手段向所有管理者和員工有效的宣貫安全意識,注重持續性和時效性,減少信息安全在實施過程中的阻力。
(5)完善信息安全架構體系,增加信息安全縱深,整合現有信息安全設施,形成信息安全合力,避免不必要的資源浪費。
 
6 結束語
 
北京燃氣的信息安全建設才剛剛起步,燃氣行業其他企業的信息安全建設也即將開始,本文將在北京燃氣信息安全體系建設過程中的經驗、方法進行整理,在國內首次提出燃氣行業的信息安全體系建設方法,供燃氣行業其他企業構建信息安全體系參考。燃氣企業信息安全的發展必然是不斷變化和前進的過程,北京燃氣比較注重信息安全體系建設落地的實際效果,不斷夯實信息安全的基礎,關注信息安全未來的發展方向,持續優化已建立的信息安全體系架構,使之符合燃氣企業自身的安全需求并保障燃氣業務的安全運行。
 
京ICP備14027375號-1    版權所有:中國企業改革與發展研究會    中國企業改革與發展研究會   主辦
{ganrao}