A. 零信任网络助力工业互联网安全体系建设
随着云计算、大数据、物联网、5G、边缘计算等IT技术的快速发展,支撑了工业互联网的应用快速落地。作为“新基建”的重点方向之一,工业互联网发展已经进入快轨道,将加速“中国制造”向“中国智造”转型,并推动实体经济高质量发展。
新型 IT 技术与传统工业 OT 技术深度融合,使得工业系统逐步走向互联、开放,也加剧了工业制造面临的安全风险,带来更加艰巨的安全挑战。CNCERT 发布的《2019 年我国互联网网络安全态势综述》指出,我国大型工业互联网平台平均攻击次数达 90 次/日。
工业互联网连接了大量工业控制系统和设备,汇聚海量工业数据,构建了工业互联网应用生态、与工业生产和企业经营密切相关。一旦遭入侵或攻击,将可能造成工业生产停滞,波及范围不仅是单个企业,更可延伸至整个产业生态,对国民经济造成重创,影响 社会 稳定,甚至对国家安全构成威胁。
近期便有重大工业安全事件发生,造成恶劣影响,5 月 7 日,美国最大燃油运输管道商 Colonial Pipeline 公司遭受勒索软件攻击,5500 英里输油管被迫停运,美国东海岸燃油供应因此受到严重影响,美国首次因网络攻击而宣布进入国家紧急状态。
以下根据防护对象不同,分别从网络接入、工业控制、工业数据、应用访问四个层面来分析 5G 与工业互联网融合面临的安全威胁。
01
网络接入安全
5G 开启了万物互联时代,5G 与工业互联网的融合使得海量工业终端接入成为可能,如数控机床、工业机器人、AGV 等这些高价值关键生产设备,这些关键终端设备如果本身存在漏洞、缺陷、后门等安全问题,一旦暴露在相对开放的 5G 网络中,会带来攻击风险点的增加。
02
工业控制安全
传统工业网络较为封闭,缺乏整体安全理念及全局安全管理防护体系,如各类工业控制协议、控制平台及软件本身设计架构缺乏完整的安全验证手段,如数据完整性、身份校验等安全设计,授权与访问控制不严格,身份验证不充分,而各类创新型工业应用软件所面临的病毒、木马、漏洞等安全问题使原来相对封闭的工业网络暴露在互联网上,增大了工控协议和工业 IT 系统被攻击利用的风险。
03
数据传输及调用安全
云计算、虚拟化技术等新兴IT技术在工业互联网的大规模应用,在促进关键工业设备使用效率、提升整体制造流程智能化、透明化的同时,打破原有封闭自治的工业网络环境,使得安全边界更加模糊甚至弱化,各种外来应用数据流量及对工厂内部数据资源的访问调用缺乏足够透明性及相应监管措施,同时各种开放的 API 接口、多应用的的接入,使得传统封闭的制造业内部生产管理数据、生产操作数据等,变得开放流动,与及工厂外部各类应用及数据源产生大师交互、流动和共享,使得行业数据安全传输与存储的风险大大增加。
04
访问安全
工业互联网核心的各类创新型场景化应用,带来了更多的参与对象基础网络、OT 网络、生产设备、应用、系统等,通过与 5G 网络的深度融合,带来了更加高效的网络服务能力,收益于愈发灵活的接入方式,但也带来的新的风险和挑战,应用访问安全问题日益突出。
针对上面工业互联网遇到的安全问题,青云 科技 旗下的 Evervite Networks 光格网络面向工业互联网行业,提出了工业互联网 SD-NaaS(software definition network & security as a service 软件定义网络与安全即服务)解决方案,依托统一身份安全认证与访问控制、东西向流量、南北向流量统一零信任网络安全模型架构设计。工业互联网平台可以借助 SD-NaaS 构建动态虚拟边界,不再对外直接暴露应用,为工业互联网提供接入终端/网络的实时认证及访问动态授权,有效管控内外部用户、终端设备、工厂工业主机、边缘计算网关、应用系统等访问主体对工业互联网平台的访问行为,从而全面提高工业互联网的安全防护能力。帮助企业利用零信任网络安全防护架构建设工业互联网安全体系,让 5G、边缘计算、物联网等能力更好的服务于工业互联网的发展。
基于光格网络 SD-NaaS 架构的工业互联网安全体系大体可以分四个层面:
基于统一身份认证的网络安全接入
首先 SD-NaaS 平台引入零信任安全理念,对接入工业互联网的各类用户及工控终端,启用全新的身份验证管理模式,提供全面的认证服务、动态业务授权和集中的策略管理能力,SD-NaaS 持续收集接入终端日志信息,结合身份库、权限数据库、大数据分析,身份画像等对终端进行持续信任评估,并基于身份、权限、信任等级、安全策略等进行网络访问动态授权,有力的保障了 5G+ 工业互联网场景下的终端接入的安全。
最小权限,动态授权的工业安全控制
其次针对工业互联网时代下的工控网络面临的安全隐患,SD-NaaS 零信任网络平台提出全新的控制权限分配机制, 基于“最小化权限,动态授权”原则,控制权限判定不再基于简单的静态规则(IP 黑白名单,静态权限策略等),而是基于工控管理员、工程师和操作员等不同身份及信任等级,控制服务器、现场控制设备和测量仪表等不同终端的安全策略,不同工控指令权限,结合大数据安全分析进行动态评估及授权,实现工业边界最小授权,精细化的访问控制。以此避免工业控制网络受到未知漏洞威胁,同时还可以有效的阻止操作人员异常操作带来的危害。
端到端加密,精细化授权的数据防护
工业生产中会产生海量的工业数据包括研发设计、开发测试、系统设备资产信息、控制信息、工况状态、工艺参数等,平台各应用间有大量的数据共享与协同处理需求,SD-NaaS 平台提供更强壮的端到端数据安全保护方法,通过实时信任检测、动态评估访问行为安全等级,建立安全加密隧道以保障数据在应用间流动过程的安全可靠。同时生产质量控制系统、成本自动核算系统、生产进度可视系统等各类工业系统之间的 API 交互,数据库调用等行为,SD-NaaS 平台可实现细颗粒度的操作权限控制,对所有的增删改查等动作进行行为审计。
采用应用隐藏和代理访问的应用防护
最后 SD-NaaS 平台采用 SDP 安全网关和 MSG 微分段技术实现工业互联网平台的应用隐身和安全访问代理,有效管理工业互联网平台的网络边界及暴露面,并基于工程师、操作员、采购、销售、供应链等不同身份进行最细颗粒度的动态授权(如生产数据,库存信息,进销存管理等),对所有的访问行为进行审计,构建全方位全天候的应用安全防护屏障。
基于光格网络 SD-NaaS 解决方案,我们在工业视觉、智能巡检、远程驾驶、AI 视频监控等场景实现安全可靠落地;帮助企业在确保安全的基础上,打造支撑制造资源泛在连接、弹性供给、高效配置的工业云平台,利用工业互联网平台 探索 工业制造业数字化、智能化转型发展新模式和新业态。
SD-NaaS 最佳实践:
申请使用光格网络产品解决方案
点击申请使用光格网络产品解决方案
B. 企业如何做好网络安全
中小企业网络安全问题严重
垃圾邮件、病毒、间谍软件和不适内容会中断业务运行,这些快速演变的威胁隐藏在电子邮件和网页中,并通过网络快速传播,消耗着有限的网络和系统资源。要防范这些威胁,就需要在网络安全方面有所投入才行。但现在的经济形势让众多中小企业面临生存挑战,IT投入的缩减,专业人员的不足等因素,相比大型企业来说,都让中小企业在对付网络威胁方面更加无助。
即使投入有限,中小企业的网络安全需求一点也不比大企业少。在现实情况中,中小企业往往还对便捷的管理、快速的服务响应等要求更高。那么中小企业如何在有限的投入中构建完善的网络安全体系呢?试试下面这几招。
第一招:网关端防护事半功倍
内部病毒相互感染、外部网络的间谍软件、病毒侵袭等危害,使得仅仅依靠单一安全产品保证整个网络安全稳定运行的日子一去不复返了。而应对目前新型的Web威胁,利用架设在网关处的安全产品,在威胁进入企业网络之前就将其拦截在大门之外是更加有效的方法。对于中小企业来说,选择一款功能全面、易于管理和部署的网关安全设备,不但可以在第一时间内对各类Web流量内容进行扫描过滤,同时也可以大大减轻各应用服务器主机的负荷。
比如,趋势科技推出的IGSA就包含了防病毒、防垃圾邮件和内容过滤、防间谍软件、防网络钓鱼、防僵尸保护以及URL过滤服务等众多功能,并且可以统一集中管理,通过日志报告还让网络运行安全情况一目了然,大大减少了信息安全管理的工作量。
第二招:运用“云安全”免去内存升级压力
目前中小企业内网安全也不容忽视,而且要求实现集中管理和保护内部桌面计算机。在网络威胁飙升的今天,更新病毒码成为每天必备的工作,但传统代码比对技术的流程性问题正在导致查杀病毒的有效性急剧下降。趋势科技推出的云安全解决方案超越了病毒样本分析处理机制,通过云端服务器群对互联网上的海量信息源进行分析整理,将高风险信息源保存到云端数据库中,当用户访问时,通过实时查询信息源的安全等级,就可以将高风险信息及时阻挡,从而让用户频繁的更新病毒码工作成为历史。
目前,桌面端防护的用户数是网关防护用户数的5倍,桌面防护在现阶段也是必不可少的手段,但要求减轻更新负担和加强管理便捷性。这方面,趋势科技的Office Scan通过应用最新的云安全技术,使桌面端防护不再依赖于病毒码更新,降低了带宽资源和内存资源的占用和压力。
第三招:安全服务节省管理成本
网络安全管理成本在整个网络安全解决方案中占有一定比例,如果用三分技术、七分管理的理论来解释,这方面成本显然更高。如何才能在专业管理人员有限的状况下,达到安全管理的目标呢?中小企业可以借助安全厂商的专家技术支持,高效、专业地保障网络安全运行。也就是借用外力来管理自己的网络安全设备,将比自己培养管理人员成本更低,而且效果更佳。
目前,已有包括趋势科技在内的多家厂商提供此类服务。
第四招:培养安全意识一劳永逸
对于网络安全而言,薄弱的环节除了安全技术的滞后外,内部员工的安全意识不强也是重要因素。大量网络威胁的出现,与员工的应用操作不当有密切关联,如随意访问含有恶意代码的网站、下载和使用电子邮件发送带有病毒的附件、不更新病毒码等。所以,组织网络安全知识培训也必不可少,管理层还要制定一套完善的网络安全策略。
网络安全建设要具有长远的眼光,不能仅仅为了眼前的几种威胁而特意部署安全方案,只有从硬件、软件、服务等方面综合考虑,选择实力强的安全解决方案,才可以低价优质的保护网络安全。
C. 网站是如何盈利的如何计算成本
让我们首先来分析一下一个用户是怎样被吸引到网站上的。
一般来说,客户都要经历这样的过程:从开始上网时乱逛式的点击(click/pageview),到被内容留住(stickiness),再到被专业性、个人化的定制服务所吸引,注册成为某网站的忠实客户(loyalty),最后被专业的个人化的服务所打动而开始支付(payment),这就是一个客户对网站的需求,它也驱动着网站服务升级。对客户来说,他付出了:上网时间与精力;费用——包括上网电话费和网络使用费、网上购买支付的费用;隐私——为了让别人更好地为你服务,就得牺牲一部分隐私,笔者所付出的代价就是每天都会接到二、三十封商业垃圾邮件。
一个网站得到的是:1.费用方面。获得高点击率后就可以收取一部分广告收入,当然你的内容粘性越大,广告收入越高;ISP接入的费用,也就是用户在你的网上消费的时长;信息分成费用比如中公网上的游戏,能与169进行费用分成;电子商务支付的费用,包括买商品、专业数据库查询、炒股服务等等;2.资产方面。对商业网站来说更重要的是获得信息资产,包括——无形资产,如网站知名度,特别是门户网站,用点击率、点击率加客户停留时间来测量;客户资料价值,客户注册后,你可以获得客户资料,分析客户的需求,进行定制性服务,让客户更满意;信息资料集成,网络开设后逐步累积的各类信息资料并相应汇聚成了各种分类数据库;可扩展的技术支持平台,在与客户的互动中日臻完善形成网站独特的可扩展的技术平台,并可随着市场与客户需求的变化而在这一平台上不断增加内容与服务手段、成熟和具有扩展性的品牌形象、组织结构和工作流程。
以客户分析入手总结一个网站的收入流是投资银行较常用的手段,主要包括以下指标:1.页面访问次数(pageview)——点击率;2.停留时间——粘性;3.回访率——忠诚度;4.支付。这是网站的未来收入和资产定价的基本标准。高盛公司最早评价门户网站的模型就是所谓市值比访问量模型(Steve Harmon),从而计算出Yahoo!每个客户价值为798美金,通过这个相对指标大致可以估算每一个客户的价值,再根据客户增长的速度反过来推算网站的市场价值;随着网站内容的丰富,特别是Internet在近3年内由信息搜索发展到虚拟社区使得内容的粘性日渐变成评价指标,于是衡量网站价值的模型=页面访问量*停留时间,高盛以此为依据认为AOL的客户价值超过Yahoo!。99年以来电子商务的快速发展使得注册客户量越发显着——即客户忠诚度和客户信息对于销售者有着重要的意义。Yahoo!从单一门户到提供大量个性化服务而获得注册客户的显着增长,从而获得了巨额的中介收入而演变为电子商务的门户,成功的转型是它高股价的业绩来源,同时也从某种角度证明:注册客户成为更具有价值的群体,因此第一种评估方法有被改进为市场价值/注册客户价值,通过对注册用户增长率进行分析(Subscriber growth),而且把注册客户带来的无形收益进行统计(per user statistic)——客户的支付率和支付能力,常用的指标是市价/销售额(Price/Sales rate) 模型。
商业网站评估还有一个不可忽视的内容就是对未来的预期分析。众所周知,如果网络公司不是代表了未来的商业模式,类似Amazon这样连续5、6年都亏损的公司,估价可能只有5美元,而不是现在的300美元,可从数学分析角度就很难估价未来预期。但相对指标对描述客户价值是非常有益的,而且对寻求上市的网站公司的价值评估也起到重要的作用。按照目前我国的上市公司数据披露原则,利用收益/现金流贴现来评估网络公司价值将成为最重要的方法,所以在具体运用中就必须要把预期商业平台的扩展纳入到评估体系里,必须要考察网站平台的扩展性和独特性。
市场/客户的需求一步一步地驱动着网站向成熟商业模式发展,同时网站本身又有着自己为满足需求进行的供给性驱动,两者的合力共同推动着互联网站服务的变化。
网络技术和商业运营平台的价值
互联网领域中许多网站的建立是根据不同资源推动建立的,大致可分为两大类型:早期的公司主要是以技术作为驱动的,创始人都是计算机或通讯技术等方面的人才或爱好者,由自娱自乐到创造出有特色的网络服务模式,杨致远与Yahoo!、丁磊与Netease都是典型代表,在市场利益的推动下从网络的技术平台转向网络的商业平台;另一种则是从纯粹的商业模式出发,往往与大量的风险资本和商业合作伙伴相关联构成新的网络公司,如Amazon、eBay,中国的sohu、8848等。90年代中后期以前主要是技术推动为主,随着资本市场对网络认可度的加强,商业模式是最主要的网络公司的驱动因素,技术推动的公司也逐步转向了以商业模式驱动的公司,商业运行平台的作用越来越重要。由此就不得不深入研究网络公司价值驱动的重要因素——技术和与之配合的商业运作平台的拓展性(Scalability)。
技术平台应该包含:接入技术——包括接入途径的多样化、接入设备的多样化和接入速度的快速性;内容技术——由于接入技术的迅猛发展,网站开发的内容技术也就将从以文本为主的内容开发模式转向内容的多媒体;软件技术——主要是软件跨越多种硬件平台的技术,要求有比较好的适应性,如现有的JAVA编程软件等;安全技术——电子商务的核心是安全,包括自己网站本身的安全、数据库的安全、支付安全等;应用技术——如个人通讯和交互能力等;数据库技术——支撑个性化和极大化扩展的能力,以及潜在的技术创新和模仿能力。
网络虚拟商业运营平台应该包含:网站前景和战略;现有规模和未来规模扩展性,包括横向和纵向平台的扩展性;商务模式风格,比如,是选择媒体的商业运作还是选择电子商务,电子商务中选择B TO C还是B TO B等;网络品牌的递延能力和品牌策略;营销能力,包括营销战略、市场推广、配销体系和渠道管理,库存和内部形成的价值链;财务和融资能力;吸收和创造价值的能力;独特的战略资源和广泛的战略联盟关系;等等。
中国网络技术平台的价值=技术的应用能力+技术变革的适应能力。完全的技术创新能力可能对中国是不完全适合的,如在中国窄带的既定条件下过分追求多媒体技术,就会影响技术的应用空间。在中国不是越领先的技术就是最好的,而是最实用的技术可能是最佳的,因此技术创造出的价值最高的评价标准是:网民受众量,包括潜在的网民,如移动电话和呼机用户本不是互联网的网民,通过WAP技术和双向寻呼技术,有可能一下子使他们成为网民,如果一项技术能创造出最好的性能价格比使得网民受益或通过一项技术扩大了潜在的网民,都是非常有价值的技术。
网络商业虚拟平台比传统的商业运作平台更具有扩展性,Amazon从卖书到CD,再到玩具等等,其扩展速度比真实商业扩展的速度快、地域广,甚至连中国的客户都到Amazon上直接买书,这种生长力度是传统商业不可比拟的,但是网站商业平台要符合现有的一系列外在环境,也要符合传统商业的规矩——即外在的商业环境、品牌的递延性、加入新商业业务单元的成本收益等,也就是说平台扩展是有其客观局限性的,所以笔者认为不管当前网络公司经营的方式方法是怎样的,未来向专业化转变的趋势是不可避免的。另外,网络的商业平台必须和现实的商业平台相配合才能实现,传统商业平台是靠传统因素相砌而成的,现在也不可能完全虚拟,网站实际上是混合的商业模式——即现代和传统的混合才有可能比较成功。光有信息的虚拟商业平台是完成不了消费者支付的,Amazon作为世界级电子商务的领头羊仍然需要传统的“仓库”,8848不管概念怎样领先也需要建设好配送系统,因此中国的商业平台可能是:“信息(包含客户价值等)+虚拟商业扩展+传统因素”才能实现。
必须指出的是,中文网络商业平台中还需要包含对新知识内涵的尊重——也就是对“知本”要素的重新诠释。在现时代中国公司法律框架下,如何确定内部组织中人力资本股权和相应的知识与商誉股权以及保护出资人利益,都会影响着中国网络公司的创新能力。Internet网络实质上是以知识为核心竞争力的创新性企业,如果没有知识创新的组织模式,则核心竞争力也就没有了。
高盛公司的门户网站分析报告中指出成功网站必须具有6c要素:即连接性(connect)、 导航(context)、内容性(content)、商务(commerce)、通信(communication)、社区性(community);现在又提出转向新6C,即方便性(convenience)、聚合性(convengence)、整合(consolidation)、竞争性(competition)、合作性(cooperation)和客户关系(customer relationships)。高盛的研究也突出强调了客户和技术平台的问题,而在新6C中更多地引进了技术变革性含义,如接入和接入设备的多样性,但更重要的是引入了商业规则,如客户关系、合作性和竞争性。这一点笔者更欣赏约翰·哈格尔三世在其《网络价值》中对分析模型的分解性的研究,从而能细致地评价一个网络公司的价值和其已具有的和潜在的竞争优势。有学者把其归纳为下图:
投资的目的是为了盈利——投资Internet也同样就是让网络公司能获得更快的发展机会,如果网络公司始终达到不了利润增长预期,其结果就会是“泡沫破灭”。所以网络的心理预期可以说是生死攸关。笔者以为一个好的网络公司必须具备四大预期要素
★ 扩大网络服务客户的能力
★ 从单一的服务项目领导地位变为行业的领袖,以至有可能是自己的网络商业平台和模式标准成为公认的典范,具有可持续发展能力
★ 具有快速容纳各类商业模式的能力,使网络上商业平台虚拟扩展能力具有韧性、弹性与可塑性
★ 有明显增长的现金流和利润指标预期
美国的莫斯管理咨询公司的研究认为,在线服务的企业价值基本上由客户群以及市场营销资产(占40%到50%)、数据软件和其他知识产权资产(占30%到40%)、其他有形资产(占10%到20%)等3大部分组成。
笔者以为,虽然客户群概念很重要,但其与市场营销资产的比重明显过高,网络公司不仅要增加资产,更要找到盈利的道路——即所谓的商业模式,所以必须加上商业模式,还有知识创新能力。
商业模式左右资本价格
从投资者角度来说,对高速增长的、在一个市场中占主导或引导地位的公司必然会表现出热情。在美国,投资者所青睐的,如Yahoo、AOL、eBay、Amazon等,都是在一个战略性的、高速增长的市场里占有主导性地位的公司,而且这些公司成长得很快。能够在快速增长的市场中占领先地位,有很好的、有经验的管理团队,有可行的、具有说服力的商业模式,一般说都将受到投资者的青睐。
目前中文互联网公司的商业模型大都拷贝自美国,实际上成功的商业模式会是各种各样的。但不管是哪种商业模型,成本/利润概念与投资效益分析,取得一个用户需要多少成本,为这个用户服务要花多少成本,用户在使用服务的生命周期里能为公司带来多少收益,这些都是不可忽视的问题。以电子商务为例,据信息产业部透露的一些最新数字:国内电子商务网站已发展至200多个;1999年总交易额达2亿元,较1998年增幅达一倍以上;预计近两年将进入快速增长期,预测2000年底电子商务交易额将达8亿元,而到2002年有望达到100亿元。这样快速发展的势头完全可以探索具有中国特色的服务模式。
即使在美国,当前投资者对网络公司的态度与前些年也有了明显的变化,突出表现在对长时间亏损的看法上,至少是区别对待的。具体而言,对于B2B模型的网络公司,投资者关注的是有没有一个有说服力、能成功的商业模型,如果能在短期或中期执行商业计划,投资者会容忍暂时的亏损;而像yahoo、eBay这样处于相对成熟的市场,有相对成熟的商业模型、一流管理团队的网络公司,投资者就会比较注重盈利。对于一直领导B2C模式的商务先锋Amazon公司,从去年底的种种变化分析,投资者正在慢慢失去耐心,因为在市场日益成熟、商业模型清楚的情况下,公司仍然不断地亏损,且亏损数额正在不断增大,已使投资者对其产生利润的信心越来越低了。
如果从资本市场角度分析,互联网题材的实际深度和广度不但远远超越以往,而且也完全突破了行业和生产方式的局限,达到了一个更高的境界。网络股作为一种题材由兴盛至衰败的轮回周期决非三年五载就会宣告结束的,从这个意义上讲,资本市场中的网络概念受青睐的程度将在未来相当长的一段时间保持较快的上升势头,网络股具有被市场接受和认同更宽阔的市盈率弹性区间。通常而言,传统行业的市盈率震荡区为5-30倍;而传统高科技公司股价的市盈率震荡区间为20-100倍;网络股较传统高科技公司具有更广阔的市盈率区间早作为国际资本市场的一种共识,因而以市盈率指标来简单判断网络股的炒作显然是不合适的。
在1999年,国内的网络股主要指有线电视网络为主,而2000年后网络股已明显向互联网转向,显然是受到境外上市的刺激,特别是China.com的上市成功,以及大量的国际风险投资进军中国,增添了人们对网络公司的想象力。中国控股网络公司是符合中国A股市场规则的,因为中国股票市场是主板市场,其主要特征是按收益来评判股票的股价,而二板市场则主要以活跃度评价股票。中国上市公司通过出资控股网络后,可以促进网络公司成长,如再能到境外融资和上市,上市公司还可以获得丰厚的资产回报。这样上市公司既可以保证上市公司自身业绩,同时为未来获得收益打下了基础。主板市场永远是按业绩评价公司的,不可能完全靠概念,而现有的中国网络公司基本上盈利能力不好,现正处于需要投资的时期,核心是提高客户群价值、虚拟商业平台的价值和与传统配送、支付等商业环境互动,从而获得资产增值。
当前阶段笔者认为境外投资者最为看重的是网站的商业模式,或者独特的资源——如中国概念,中华网的新华社;本地化的忠实客户群体;本地化的配送体系;网站技术和商业运营平台扩展性等。因此我们在衡量一个网站时,要以国际投行的角度来评价,在国内,投资人的眼光评价控股网络公司的上市公司一定仍是“业绩+概念”,网络公司在未来可能会得到资产性收益,但当前不能获得收益,而且可能需要上市公司继续不断的投资。但因上市公司对其控股的网络公司投入过度,导致上市公司收益严重下降,这就非常危险了。控股网络公司的上市公司未来从网络公司中获得的主要收入是投资溢价,从而提高上市公司的资产净……