1、大学生挑战杯 高强度信息安全平台创业计划书 目录目录 第一部分 公司发展目标 . 2 第二部分 产品/服务 . 3 第三部分 研究与开发 8 第四部分 行业及市场情况 . 11 第五部分 营销策略 25 第六部分 管 理 . 26 第七部分 融资说明 28 第八部分 风险控制 30 第九部分 项目实施进度 . 32 第一部分 公司发展目标 公司近期及未来 3-5 年要实现的目标(行业地位、销售收入、市场占 有率、 产品品牌以及公司股票上市等) 第一年: 争取形成完善的产品系列, 并且通过国家有关部门的认证,力争实现销售收入 5000 万-10000 万元, 逐步树立公司形象和产品品牌。 第二年
2、: 力争在产品性能及品牌上形成对竞争对手的优势, 大力拓展 市场,力争在本行业进入前三名,销售收入 5 亿元-10 亿元,同时拓展新 的项目,为公司创造新的利润点作准备。 第三年:形成产品品牌优势,力争市场占有率 10%,销售收入 20-50 亿元(加上海外市场及其他利润)。并且争取形成新的利润增长点。作国外 市场拓广的准备。 第四年:维持已有的国内市场优势,大力拓展国外市场,争取销售收 入 50-80 亿元。金融运作开始从产品经营转向资本经营。 第五年:大力进入 IT 行业其他领域,研究新的产品。考虑公司股票 上市,公司结构重组。争取销售收入 100 亿元。 公司近期的发展方向和发展战略:公
3、司争取在 1 年以内开发完成安 全加密平台,并应完成“网络安全狗”软件,加密机系列产品,紧密配合国 内电子商务发展趋势,尽快完成 SET 系列产品。并利用已开发完成的产 品,大力开拓市场,为下一年公司的继续发展提供必要的资金。公司成立 前半年, 主要工作力度应放在研发方面, 半年之后在保证技术开发的前提 下,大力拓展市场,争取尽快完成国家相关部门的认证工作,并且争取向 政府部门申请高新技术企业特号。 公司未来 3-5 年发展方向和发展战略: 第一年主要奠定产品及市场基 础,第 1 年为投入期,收益期基本上是从第二年开始的。从第二年开始 公司营业收入在确保公司继续发展的情况下, 为确保投资方利益
4、, 逐步返 回部分收益给投资方。 第二年的发展是非常重要的一年, 这一年应奠定产 品及市场对竞争者的优势,重点开拓国内市场;第三年的工作重点是继续 把握国内市场,同时大力开拓国外市场。对公司而言,第三年将可能是受 益与发展最大的一年。 经过三年的国内市场拓展, 国内市场将可能会出现 一定的紧缩性, 此时产品开发方面应确定新的发展项目, 为公司创造新的 利润增长点作准备。第四年,争取在国内市场保持一定的份额,此时国内 销售额可能会下降, 但一定要把国外市场扩大起来, 估计利润增长点在国 外市场。第五年,可能为本项目市场全面收缩期,但通过前几年的资金储 备及已发展了新的项目, 公司经营上会有诸多困
5、难但应能解决。 在本项目 方面的投资应适度收缩,全力拓展其他项目。 第二部分 产品/服务 产品/服务描述(主要介绍产品/服务的背景、目前所处发展阶段、与同 行业其它公司同类产品/服务的比较,本公司产品/服务的新颖性、先进性 和独特性,如拥有的专门技术、版权、配方、品牌、销售网络、许可证、 专营权、特许权经营等。)随着网络技术的发展,网络安全问题变得越来 越突出。如何保护网络信息数据的机密性、可靠性、完整性和可用性,以 及网络交易的不可否认性、 真实性, 已经成为商家和用户十分关心的话题。 本项目(安全加密平台)正是基于这一背景下产生的。 目前,本项目已初步开发完成,并具有以下特点: 1原代码采
6、用 ANSI C 开发,能适用于 Windows(Window9.X, NT4.0)、Dos、Unix(Linux、 Solaris、Free BSD)等系统平台。 2所有加密算法,安全特性及其安全协议均完全遵循国际或国家标 准。 3无任何 2000 年问题。 4性能上,已完全实现线程级安全,所有函数库是可重入的。主要 核心加密操作作了大量的代码优化 (为提高性能, 视具体硬件平台的不同 尚可改用汇编语言实现),能适应宽带数据加密的需要(例如:宽带卫星通 信、有线电台加密等)。 5数字证书管理方面,已能支持下述证书类型: SSL 服务/客户机证书 S/MIME 邮件证书 SET 证书 X.50
7、9Verion1 证书 X.509Version3 证书 代码签署证书 IP 加密隧道证书 网关加密证书 时间戳证书 6.密钥库存储方式主要支持 Oracle、MS SQL 等关系数据库,LDAP 目录服务,今后尚可扩充至其他存储方式。(Windows 环境下支持 ODBC 数据库接口,DOS 环境下正在实现 Dbase 接口,Unix 环境下暂仅支持 Oracle 接口,今后尚可扩展对 Informix、 InterBase、 DB2、 SyBase、 My SQL 的支持。) 7.已预留接口对智能卡的支持。 8.已完整实现 Blowfish、Cast-128、Cast-256、Diamon
8、d、Gost、 IDEA、Mars、Misty1、RC2、RC4、RC5、RC6、Rijndael、Twofish、 DES、Triple DES、Safer、Safer-SK、Skipjack、MD2、MD4、MD5、 MDC-2、 RIPEMD-160、 SHA、 SHA1、 HAVA1、 HMAC-MD5、 HMAC-SHA、 HMAC-RIPEMD-160、Diffie-Hellman、DSA、Elgamal、RSA 等算法, 所有加密算法已无密钥大小限制且无任何“陷阱”与“后门”,用户可酌情使 用适当大小的密钥。 9.已预留接口对安全随机数生成的应用。据悉,目前国内尚无同类性 能产品
9、。 10已预留接口对自定义加密算法及国产算法的支持。 应用该安全加密平台,还可以衍生以下安全产品。 (1)网络安全狗软件(简称网狗),保护用户计算机信息文件的安 全,类似于上海格尔软件公司的”网盾”软件(该软件已随联想品牌机随机 赠送,广获用户好评,本公司运用本加密平台。可在 3 个月内将之产品 化。)。 (2)加密机系列:1、真随机数生成器(包括密钥生成器);2、高 强度对称密钥加密机;3、高强度不对称密钥加密机;4、分布式加密机 群(主要为了满足大型商务机构)。基本能在内 5-6 月内完成。 (3)SET 系列产品: 客户电子钱包 商户电子商店。 支付网关。 CA 证书认证系统,国内已有公
10、司正在申请国家重点项目,如上海 格尔软件等, 但基本上不会在一年内彻底完成, 况且该公司仅开发了基于 NT 和 IIS SERVER 的的产品,目前尚无基于 Unix 的产品。本公司今后 拟联合国内 Linux 开发商共同推出安全的操作系统、安全的 WEB SERVER、安全的数字证书认证系统等,并争取 6 个月之内完成。 (4)防火墙系列: 应用代理服务器。 IP 加密隧道。 公司现有的和拟申请的知识产权(专利、商标、版权等):拟向国家 公安部、国家密码管理委员会、国家信息安全测评认证中心申请认证。 公司是否已签署了有关专利权及其它知识产权转让或授权许可的协 议等,如果有,请说明,并附主要条
11、款:视市场情况和用户需求而定,主 要是某些加密算法需要授权许可。 产品面向的用户有哪些种类:国家安全部门、军队、政府、银行、证 券商、电信局(通信局)、大中型企业、软件开发商、税务及海关部门、 保险行业、公安部门、大专院校及科研机关、有线电视台、一般计算机用 户等。 产品更新换代周期:1-3 年 产品的售后服务和技术支持:在市场开发初期,拟在全国按片区设立 办事处(市场人员及售后服务人员将在公司进行集中培训)。能由办事处 解决的,由办事处派人解决,否则通过 E-mail 或传真返回给公司,由公 司在 24 小时内作出答复。 产品销售成本的构成及销售价格制订的依据: 高新技术产品的销售价 格主要
12、是由其附加的高科技含量及其市场因素所决定的, 同时参照其他公 司同类产品、 本产品的开发成本及销售管理费用等。 产品销售成本主要由 开发成本+公司管理成本+运费+销售费用+投资风险费等构成。例如国内 市场私钥加密机每台 20 万元人民币(据澳大利亚报价),我们的成本不 足 2 万元,4 万元即可出售,毛利润达 100%。国际市场每台 1 万美元即 可出售。毛利润达 400%。 产品形成规模销售时,毛利润率为 100%以上,纯利润率 80%以上。 如果产品已经在市场上形成了竞争优势, 请说明与哪些因素有关 (如 成本相同但销售价格低、 成本低形成销售价格优势、 以及产品性能、 品牌、 销售渠道优
13、于竞争对手产品,等等)在市场开发初期,只能在成本控制上 下功夫,同时保证产品性能的优越性、做到“人无我有,人有我优,人优 我转”,同时尽早形成品牌。如果要想产品形成竞争优势,主要是做好以 下几方面的工作:是在管理上下足功夫,尽力降低成本;二是形成品牌 优势,提升企业形象,在保证产品性能优势的前提下,做好服务,急用户 之急;三是建立合理的销售渠道,加大市场宣传力度,尽快抢占市场。 第三部分 研究与开发 公司已往的研究与开发成果及其技术先进性 (包括技术鉴定情况、 获 国际、国家、省、市及有关部门和机构奖励情况)核心安全技术已开发完 成,它完全遵循国际或国家标准,可达国际同类产品先进水平,但急需将
14、 其产品化,以便尽早进入市场。 公司参与制订产品或技术的行业标准和质量检测标准情况: 就本项目 而言,主要是遵循国际或国家标准。包括 ANSI X3.92,ANSI X3.106, ANSI X9.9, ANSI X9.17, ANSI X9.30-1, ANSI X9.30-2, ANSI X9.31-1, FIPS PUB 46-2 FIPS PUB 74, FIPS PUB 81, FIPS PUB 113, FIPS PUB 180,FIPS PUB 180-1,FIPS PUB 186,ISO/IEC 8372,ISO/IEC8731 ISO/IEC 8732, ISO/IEC 88
15、24/ITU-T X.680, ISE/IEC 8825/ITU-T X.690, ISO/IEC 9797,ISO/IEC 10116,ISO/IEC 10118,PKCS#1,PKCS#3, PICS#7,PKCS#9,PKCS#10,RFC1319,RFC1320,RFC 1321, RFC 1750, RFC 2104, RFC 2144, RFC 2268, RFC 2312, RFC 2313, RFC 2314,和 RFC 2315 等。 公司在技术与产品开发方面的竞争对手情况, 以及公司为提高竞争力 拟采取的措施:国际上,以 IBM、HP、Microsoft 等公司最具有技术优
16、势, 但其在我国存在市场限制。 国内暂时以上海格尔公司稍具技术优势, 其他 竞争对手有一定的政府背景, 存在市场服务优势 (如可申请作证书认证中 心等),但不存在技术优势。我们有能力在 1-2 年奠定技术优势。公司近 期主要是把好质量控制关,做“人无我有、人有我优、人优我转”,在项目 管理及公司管理上下功夫,大力降低成本,形成价格优势,并且建设合理 的市场渠道和服务体系。扬长避短,提高产品品牌效应,迅速抢占市场。 到目前为止, 公司在技术开发方面的资金总投入是多少, 计划再投入 的开发资金是多少(包括购置开发设备、开发人员工资、试验检测费用、 以及与开发有关的其它费用): 公司目前在技术上的开
17、发成果潜在价值不在 8,000 万元以下。公司 运作前半年计划投入研发资金 600 万,全年约 2,000 万元。 请说明,今后为保证产品质量、产品升级换代和保持技术先进水平, 公司的开发方向、 开发重点和正在开发的技术和产品: 首先保证安全信息 加密系统平台的研发成功, 解决核心技术问题。 之后可以由此衍生以下增 值产品: 1、网络安全狗软件(简称网狗),保护用户计算机信息文件的安全。 2、加密机系列: 真随机数生成器(包括密钥生成器); 高强度对称密钥加密机; 高强度不对称密钥加密机; 分布式加密机群(主要为了满足大型商务机构)。 3、SET 系列产品: 客户电子钱包 商户电子商店。 支付
18、网关。 CA 证书认证系统。 4、防火墙系列: 应用理代服务器。 IP 加密隧道。 公司现有技术开发资源以及技术储备情况: 就本项目而言, 主要核心 技术已基本解决,所需的是将技术产品化,市场化的问题,基本无重大技 术风险。 公司将采取怎样的激励机制和措施, 保持关键技术人员和技术队伍的 稳定: 最主要的是要将公司的发展同员工个人的发展结合起来, 使员工把 公司作为自身的依托,使员工觉得公司就是自己的家。另外,也要与员工 签定劳工合同, 加强法律保护, 以避免员工对公司所造成的各种不利影响。 切实加强技术管理工作,特别是技术文档制度。 公司未来 35 年在研发资金投入和人员投入计划(万元) 年
19、份 第 1 年 第 2 年 第 3 年 第 4 年 第 5 年 资 金 投入(含 基本设备 费) 2,00 0 8,00 0 5,00 0 8,00 0 10,0 00 人 员 (个) 100 人 220 人 260 人 320 人 460 人 第四部分 行业及市场情况 4.1 行业发展历史及趋势 (行业专家请略过) 安全保密研究的过去、现在和未来 保密术伴随阶级和国家的出现而诞生,并在政治、军事、外交斗争中 作为重要工具被充分使用。 人们在使用保密术的过程中, 不断进行研究和实践, 形成了一系列安 全保密的方法和手段,逐渐使之变成一门学科保密学。而今,计算机 的出现和广泛普及, 使人类社会步
20、入信息化时代, 也使安全保密研究揭掉 了神秘的面纱, 成为大家感兴趣并能为更多人服务的科学。 从通信安全保 密、计算机安全保密,直到信息系统的安全保密,社会的发展对安全保密 的研究提出了越来越高的要求。 一、通信安全保密研究 保密学是研究通信安全保密的科学, 是保护信息在信道的传递过程中 不被敌方窃取、解读和利用的方法。保密学包含两个相互对立的分支:密 码学和密码分析学。前者是研究把信息(明文)变换成为没有密钥不能解读 或很难解读的密文的方法; 后者是研究分析破译密码的方法。 它们彼此目 的相反,相互对立,但在发展中又相互促进。在密码学中,需要变换的原 消息称为明文消息。 明文经过变换成为另一
21、种隐蔽的形式, 称为密文消息。 完成变换的过程称作加密,其逆过程(即由密文恢复出明文的过程)称作解 密。 对明文进行加密时所采用的一组规则称作加密算法, 对密文进行解密 时所采用的一组规则称作解密算法。 加密和解密操作通常在密钥的控制下 进行, 并有加密密钥和解密密钥之分。 传统密码体制所用的加密密钥和解 密密钥相同,称为单钥或对称密码体制。在由 Diffe 和 Hellman 提出的新 体制中,加密密钥与解密密钥不同,称为双钥或非对称密码体制。密钥是 密码体制安全保密的关键, 它的产生、 分配和管理是密码学中的重要研究 内容。 密码学的任务是寻求生成高强度密码的有效算法, 满足对消息进行 加
22、密或认证的要求。 密码分析学的任务是破译密码或伪造认证密码, 窃取 机密信息或进行诈骗破坏活动。 对一个保密系统采取截获密文、 进行分析 的方法进行进攻,称为被动进攻;非法入侵者采用删除、更改、添加、重 放、伪造等手段向系统注入假消息的进攻是主动进攻。进攻与反进攻、破 译与反破译是保密学中永无止境的矛与盾的竞技。 通信安全保密研究围绕 寻找更强更好的密码体制而展开。从代换密码、单表代换密码、多名代换 密码、 多表代换密码、 转轮密码和多字母代换密码等古典密码体制到现代 密码体制, 通信安全保密研究不断向前发展。 在通信和通信安全保密研究 的历史中,Shannon 做出了特殊的贡献。他在 194
23、8 年发表的“通信的数 学理论”,首次把数学理论运用于通信,开创了通信研究的新视角,在科 学和工程界引起了强烈反响。 他在 1949 年发表的“保密通信的信息理论”, 把安全保密的研究引入了科学的轨道, 使信息论成为研究密码学和密码分 析的一个重要理论基础, 宣告了科学的单钥密码学的到来, 创立了信息论 的一个新学科。可惜,这篇重要文章在 30 年后,也就是人类开始步入信 息时代时才引起普遍重视。70 年代中期,在安全保密研究中出现了两个 引人注目的事件。一是 Diffe 和 Hellman 发表了“密码学的新方向”一文, 冲破人们长期以来一直沿用的单钥体制, 提出一种崭新的密码体制, 即公
24、钥或双钥体制。 该体制可使发信者和收信者之间无须事先交换密钥就可建 立起保密通信。二是美国专家标准局(NBS)公开征集、并于 1977 年 1 月 15 日正式公布实施了美国数据加密标准(DES)。公开 DES 加密算法、并 广泛应用于商用数据加密, 这在安全保密研究史上是第一次。 它揭开了保 密学的神秘面纱, 大大激发了人们对安全保密研究的兴趣, 吸引了许多数 学家、 计算机专家和通信工程界的研究人员参加研究。 这两个事件标志着 现代保密学的诞生。 随着信息高速公路的兴起, 全球信息化建设步伐不断 加快,通信安全保密研究将会得到更进一步的发展。 二、计算机安全保密研究 随着计算机在社会各个领
25、域的广泛使用, 围绕计算机的安全保密问题 越来越突出, 计算机的安全保密研究成为极为重要的任务。 与通信安全保 密相比,计算机安全保密具有更广泛的内容,涉及计算机硬件、软件、以 及所处理数据等的安全和保密。 除了沿用通信安全保密的理论、 方法和技 术外,计算机安全保密有自己独特的内容,并构成自己的研究体系。在数 据安全保密问题得到广泛认识以前, 计算机的安全保密在绝大多数人的印 象中是指硬件的物理安全。但是,当今计算机远程终端存取、通信和网络 等新技术已取得长足的发展, 单纯物理意义上的保护措施除可保护硬件设 备的安全外, 对信息和服务的保护意义越来越小。 数据安全保密已成为计 算机安全保密的
26、主题, 而且研究的重点是内部问题, 即由合法用户造成的 威胁(或许是无意的)。 事实上, 绝大多数的计算机犯罪是内部知情者所为, 因此 70 年代以来,计算机安全保密研究的重点一直放在解决内部犯罪这 个问题上。 计算机安全保密研究数据的保密性、 完整性和服务拒绝三方面 内容。数据保密性解决数据的非授权存取(泄露)问题;数据完整性保护数 据不被篡改或破坏; 服务拒绝研究如何避免系统性能降低和系统崩溃等威 胁。在计算机安全保密研究中,美国的 Gasser 提出了系统边界和安全周 界概念。他认为,在计算机安全保密的一切努力中,必须对系统边界有清 晰的了解,并明确哪些是系统必须防御(来自系统边界之外)
27、的威胁,否则 就不可能建造一个良好的安全环境。 他进一步指出, 系统内的一切得到保 护,而系统外的一切得不到保护。系统内部由两部分元素组成:一部分与 维护系统安全有关, 另一部分与系统安全无关。 应对与安全相关的元素实 行内部控制。这两部分的分开靠一个想象中的边界,称作安全周界。 Gasser 的观点很有代表性,反映了计算机安全保密研究的一种方法,但 有一定的局限性。 系统周界的限制使这种研究方法很难适用于以计算机网 络为特征的信息系统安全保密的研究。在计算机安全保密研究中,主体 (subject)和客体(object)是两个重要概念,保护客体的安全、限制主体的 权限构成了存取控制的主题。 这
28、两个概念的提出使计算机安全保密中最重 要的研究内容存取控制的研究问题得以抽象化, 抽象化的结果是可以 模型化,这就使计算机安全保密研究前进了一大步。1971 年,Lampson 提出了存取监控器的雏形。存取监控器是一个重要的存取控制抽象模型, 为保护思想的实现提供了基本的理论。 在存取监控器中, 所有主体必然根 据系统存取授权表来实现对客体的存取, 对客体的每次存取、 以及授权的 改变都必须通过存取监控器。1972 年,Schell 提出了安全内核的概念。 1974 年, Mitre 证实了构筑安全内核的可能性。 安全内核的提出是信息安 全保密研究的一个重要成果。 安全内核方法为用有条理的设计
29、过程代替智 力游戏, 从而构筑安全的计算机系统, 进而为信息系统的开发建立安全的 平台提供了理论基础。1978 年,Gudes 等人提出了数据库的多级安全模 型,把计算机安全保密研究扩展到数据库领域。1988 年,Denning 提出 了数据库视图技术,为实现最小泄露提供了技术途径。1984-1988 年间, Simmons 提出并完善了认证理论。类似于 Shannon 的保密系统信息理 论,Simmons 的认证理论也是将信息论用于研究认证系统的理论安全性 和实际安全性问题。认证主要包括消息认证、身份验证和数字签名,其中 身份验证是存取控制中的一个重要方面。 三、信息系统安全保密研究 当计算
30、机普及到一定程度时, 以计算机和计算机网络为基础的信息系 统就成为计算机应用的主要形式, 研究信息系统的安全保密就和建立信息 系统同样重要和迫切。 1.背景 信息系统的广泛建立和规模化,使计算机的应用形式上升为网络形 态。这种网络化的信息系统在系统内纵向贯通,在系统间横向渗透,构成 了集通信、 计算机和信息处理于一体的庞大复杂的巨系统, 成为现代社会 运转不可缺少的基础。 信息系统规模化发展势头强劲, 这从一个侧面预示 了信息革命的到来,同时也深刻反映了当今社会对信息系统的巨大依赖 性。 信息系统安全无误的运转变得空前重要, 并引起了各国政府和研究机 构的高度重视。与计算机安全保密不同,信息系
31、统以网络化为特处,成份 多、 环节多, 既要解决系统内的异构问题, 又要满足元素间的互操作要求, 因而用计算机安全保密的一套办法来研究信息系统的安全保密不甚适宜。 信息系统有自己独特的内在规定性, 因而把信息系统安全保密作为独立课 题加以研究势在必行。 2.范畴 信息系统的组成成份复杂,覆盖面广;信息处理既有集中式,又有分 布式构成其基础的计算机、 操作系统和网络既可能是同构的, 也可能是异 构的; 实现计算机联接的网络结构可能是多种拓朴结构的混合; 所用的网 络组件繁杂,通信介质多种多样;信息出/入口多,且分布面广。因此, 信息系统的安全保密具有无所不包的内容广泛性, 它的实现必然是所有安
32、全保密学科的综合运用。 信息系统安全保密研究的对象是系统而不仅是系 统中的某个或某些元素, 系统内所有元素或成份都是研究的内容。 从系统 内看,研究内容包括通信安全(COMESC)、计算机安全、操作安全 (OPSEC)、信息安全、人事安全、工业安全、资源保护和实体安全;从 系统外看(因为系统不是孤立的),研究内容还包括管理和法律两个方面, 它们的综合构成一个合理的研究结构和层次。 按照系统平衡的观点, 信息 系统安全保密追求并强调均匀性, 因而各子项的研究深度要相互协调, 不 能重此轻彼。 这就是系统论的观点。 在信息系统安全保密研究的总的范畴 内, 不同领域的信息系统由于环境、 要求的差异,
33、 表现为研究上有所侧重, 这是合理且符合逻辑的。 3.历史与动态 把信息系统安全保密研究作为一个独立的课题提出还是近 10 年的 事。IBM 的高级研究员 Fisher 最先认识到这个问题,并于 1984 年出版 了信息系统安全保密研究的第一部著作。同年,国际标准化组织(ISO)公 布了信息处理系统参考模型, 并提出了信息处理系统的安全保密体系结构 (ISO-7498-2)。在这一年的国际信息处理联合会(IFIP)安全保密年会上, Fugini 提出了办公信息系统的安全管理方法, 把研究的触角伸向了信息系 统。 由于网络在信息系统中的重要地位, 人们开始研究网络的安全保密问 题。1985 年,
34、Voyolock 和 Kent 提出了高级网络协议的安全保密问题。 同期,分布式系统开始得到使用。1986 年,Nessett 提出分布式系统的 安全保密问题, 使信息系统安全保密研究的范围不断扩大, 并逐渐走向深 入。 虽然在方法和技术上没有什么突破, 但研究的重点逐步靠近信息系统。 80 年代后期, 开放(信息)系统和系统互连得到了重视。 进入 90 年代以来, 信息系统安全保密研究出现了新的侧重点。 一方面, 对分布式和面向对象 数据库系统的安全保密进行了研究; 另一方面, 对安全信息系统的设计方 法、 多域安全和保护模型等进行了探讨。 随着信息系统的广泛建立和各种 不同网络的互连、互通
35、,人们意识到,不能再从单个安全功能、单个网络 来个别地考虑安全问题, 而必须系统地、 从体系结构上全面地考虑安全保 密。因此,安全保密的研究应着力于系统这个层次,把信息系统作为安全 保密研究的对象。但是,信息系统安全保密研究目前还没有系统的理论, 也缺乏足够的深度,整个研究还停留在量上,没有质的突破。当前,信息 系统正朝着多平台、 充分集成的方向发展, 分布式将成为最流行的处理模 式, 而集中分布相结合的处理方式也将受到欢迎。 今后的信息系统将建立 在庞大、集成的网络基础上,因而在新的信息系统环境中,存取点将大大 增加, 脆弱点将分布更广。 信息系统的这些发展趋势将影响安全保密的研 究。 信息
36、系统安全保密研究的一种动态是, 研究分布式环境及集中分布式 相结合环境的安全保密策略, 它反映了分布式信息系统的社会需求和传统 的集中式安全保密策略的不适应性。 第二种动态是, 为适应多平台计算环 境而研究面向整个网络的安全机制。80 年代的安全保密研究主要集中于 标准的一致性和单一平台的安全控制, 已不能适应新一代信息系统对安全 保密的要求。 第二种研究动态有可能产生新的安全保密理论, 至少会在方 法学上有所突破。第三个动态是,在开放系统安全标准的研究和制定上, 美国的 TCSEC 和欧洲的 ITSEC 标准不涉及开放系统的安全标准,而 ECMATR46-A 只是开放系统的安全框架,因而确定
37、开放系统的安全评价 标准极为必要,并由于人们对开放系统的普遍认同而显得迫切。 总之, 信息系统安全保密研究期待理论的建立和方法的突破, 只有这 样才能满足信息系统迅速发展的需求, 才能确保人类社会的第三大资源 信息的真正安全,并确保信息真正造福于整个人类。 4.金融信息系统安全保密研究的地位 金融信息系统是整个信息系统中最重要的一部分,有其独特的内容 (如 ATM 系统、信用卡系统),以及其它信息系统所没有的属性(如信息高 机密性和高风险性等)。它的正常运转关系着国计民生,因此它的安全保 密最必要、最重要、最迫切,无论在哪个国家都占据着最优先的地位。金 融信息系统安全保密研究除了研究信息系统安
38、全保密中的共性问题外, 更 要研究问题的特殊性,而且更强调研究的整体性、结构性和层次性。它适 用于金融信息系统的安全保密机制, 一般来说也适用于其它信息系统, 反 之则不一定适用。因此,对金融信息系统安全保密的研究,既要充分借鉴 一般信息系统安全保密研究的成果,还要作为独特对象进行针对性研究, 这也是由金融信息系统的特殊地位决定的。 由于保密和其它原因, 关于金 融信息系统安全保密研究的公开论文和研究成果报道不多。 相信随着时间 的推移,这种状况将得到根本改变,因为普遍性问题需要普遍性研究,更 需要全球性的交流。 四、安全保密研究的阶段划分和层次 安全保密研究伴随人类社会的发展走过了漫长的历程
39、。 其应用领域不 断拓宽,研究方法有所突破,是一门古老而又年轻的科学。纵观安全保密 研究的历史,有三个分水岭。一是计算机诞生前的保密学(通信安全保密) 研究; 二是计算机诞生后, 以计算机和计算机网络为基础的信息系统广泛 建立前的计算机安全保密研究; 三是信息系统广泛建立、 信息革命即将来 临、 全球信息高速公路酝酿和开始建设后的信息系统的安全保密研究。 这 三个分水岭对应安全保密研究的三个阶段。这三个阶段的研究互不排斥, 而是相接(衔接、借鉴)相融。通信安全保密是计算机和信息系统安全保密 的基础,并随着计算机和信息系统安全保密研究的提出和开展而走向深 入; 计算机安全保密是信息系统安全保密的
40、重要内容, 它们之间表现为相 依相存的紧密关系; 信息系统安全保密研究将综合前面两者的研究, 并开 辟新的研究方向,构成新的研究体系。在研究层次上,这三个阶段体现了 递进的研究层次, 前者是后者的基础和前提, 后者对前者具有反馈和激励 作用。一方面,没有密码学的研究成果,计算机和信息系统的安全保密研 究就无法进行;另一方面,计算机和信息系统(网络)在为密码学研究提供 巨大计算机资源的同时, 也不断对其提出挑战。 通信安全保密作为实施安 全保密策略的基本工具, 起着基础研究的作用; 计算机安全保密利用基本 密码学来研究计算机的安全保密问题, 表现了研究对象的个体性, 而不管 计算机系统之外的事情
41、; 信息系统安全保密综合利用通信和计算机安全保 密的研究成果, 并将研究定位在系统这个层次, 系统内的一切成份都是研 究的对象。因此,若把通信安全保密比作基础层次,则计算机安全保密问 题就是中间层次,而信息系统安全保密处在最高层次。 4.2 市场情况 据美国各大公司 (Sun、 Apple、 AT&T、 Compaq、 IBM、 Digital、 SiliconGraphics、Microsoft)的预测,到达 2000 年左右,仅仅在美国涉 及到网络安全方面的产品潜在的市场利益就在 300-600 亿美元左右,而 全球预计网络安全产品潜在市场价值 3,200-6,400 亿美元。 目前, 国
42、外公司现有的电子商务整体技术方案已能较好地解决诸如网 络安全、信息传输保护、身份认证、网上支付、网上结算等至关重要的技 术问题,以及更可靠的防火墙、SSL 技术、128 位密码算法检验和面向 对象的商务管理程序, 满足网上安全交易的应用需求, 但正是这些涉及信 息安全与机密保密的方案和产品都出自国外公司 (主要是美国、 加拿大) , 考虑到国家对信息安全保密的独立要求,这些产品技术很难在国内推广应 用, 况且美国国家保密局严格控制美国的密码技术出口, 新有密码技术产 品需要得到美国国务院的出口许可, 并遵守美国军队通信法规, 他们定义 密码技术设备为军用品, 其中包括软件。 这就将促使国内的信
43、息安全技术 研究机构大力发展自主技术, 以尽快解决众多用户和商业机构的保密和系 统安全难题。 国家公安部已于 1997 年下半年也适时颁发了关于信息安全 技术产品的认证管理条例, 加紧健全国家的信息安全保密机制。 更可喜的 是,在短期内尚未全面建立信息安全技术产品认证检测机制和技术标准, 还不能提供所有信息安全技术产品认证的情况下, 公安部采取了按实际使 用要求评测产品性能、 未开展测试的类别产品可先应用后认证检测的操作 原则。这种客观,公平的管理模式,对今后电子商务新技术的实际应用和 市场技术标准的培养形成,都有莫大的裨益。就目前而言,国内尚无完整 电子商务技术解快方案。 据某权威机构预测,
44、 我国信息安全方面的产品市 场潜在价值将达每年 500-1,000 亿元以上(我们取保守值 100 亿元)。 而且 该安全产品尚可外延至受美国出口限制的其他国家, 特别是与美国有重大 利益冲突的国家。如朝鲜,巴基斯坦,伊拉克,南斯拉夫等国家,预期市 场潜在利益在 500-1,000 亿美元以上。这一技术的推广应用对我国的电 子商务(网上银行,网上证券、网上交易)和电子数据交换(EDI)的发 展起着非常重要的作用。 同时, 该信息安全平台还可应用在国家专用数据 安全领域,如军用通信、政府办公公文系统、有线电台数据加密、专用通 信网加密传输等。另外,对于集团公司而言,它对保护公司内部机密信息 和网
45、络通信也有非常重要的作用,特别是它非常有利于企业内部网 (Internet)的建立。我们按保守估算今后五年内国内信息安全产品市场 价值 1,000 亿元人民币,即使我们产品占市场份额 1-10%的情况下,五 年内仍可达到 10-100 亿元人民币的营业额,估计利润在 4 亿-40 亿元以 上。 本公司与行业内五个主要竞争对手的比较(包括潜在竞争对手) 竞争对手 市场份额 竞争优势 竞争劣势 上 海 格 尔 软件 北 京 信 安 世纪 海南格方 吉大正元 有 较 强 的 技术实力。 软 件 尚 未 形成完整的核 心安全平台, 无 IC 芯片技术 深 圳 兆 日 实业 偏 重 于 密 码器、 电子
46、防伪 等产品 尚 未 形 成 完整的安全平 台, 硬件产品加 解密速度不高, 无 IC 芯片技术 国 富 安 电 子商务安全认 证中心 (国富安 公司) 偏 重 于 数 字证书等服务、 已申请国家“九 五”重点攻关项 目。 有政府支持 背景。 尚 未 形 成 完整的安全平 台,无 IC 芯片 技术 本公司 偏 重 于 完 整的高强度安 全加密平台, 同 时拥有硬件加 密芯片技术, 可 彻底解决数据 安全及通信安 全等问题, 兼容 多种国际标准 及国家标准, 产 品性价比更高, 服务对象更广 阔,能争取政府 的支持。 从技术 比 大 多 同 行晚入市场半 年, 尚未进行产 品化,但可在 3-6
47、个月之内完 成主要技术的 产品化。 服务的角度看 他们可以利用 我们的核心技 术, 是我们的客 户, 但在系统应 用方面他们是 我们的竞争对 手。 市场销售有无行业管制, 公司产品进入市场的难度分析: 信息安全作 为国家安全的一个组成部分,它是受国家控制的,信息安全产品需要接受 国家的认证(我国由公安部、信息产业部信息安全认证中心、国家密码管 理委员会等机构认定) 。 公司进入市场的难度主要在于事先获得国家认证, 目前国内同类产品较少, 而且都仅是处于起步阶段, 国外产品一般很难打 进国内市场。 详细描述本公司产品/服务的竞争优势(包括性能、价格、服务等方 面):目前国内虽有一些相关产品,但都
48、只是处于起步阶段,尚未形成完 整的安全加密平台, 况且他们都往往偏重于某方面的应用, 对我们有潜在 的竞争力, 但在技术和市场方面谁也没奠定优势。 本公司一开始就构建安 全加密平台, 而该安全加密平台正是构建信息安全产品的核心技术。 目前 市场上的大部分产品,公司在 1 年以内可开发完成,在两年以内,公司 能形成完善的产品体系,能具备国际竞争力。 公司未来 3-5 年的销售收入预测(融资成功情况下)(万元) 年份 第 1 年 第 2 年 第 3 年 第 4 年 第 5 年 销 售 收入 5,00 0 万-1 亿 5 亿 -10 亿元 20亿 元 50亿 元 100 亿元(加 其 他 利 润)
49、市 场 份额 0.25 -0.5% 2.5- 5% 10% 25% 30% 第五部分 营销策略 在建立销售网络、销售渠道、设立代理商、分销商方面的策略:全国 按各片区中心城市设立办事处, 对于有营销渠道的商家授权代销, 允许代 理商(或个人)获高额利润,但不允许其偏离公司营销策略,要求其签订 某些限制性的合同。 在广告促销方面的策略:重点突出“国际先进技术、国内自主产权, 国家认可的高强度安全产品、用户安全的贴心人,良好的服务质量,急用 户之所急”。 在产品销售价格方面的策略:不谋暴利,但求更快的占领市场。允许 用户逐次付款, 建立良好的销后服务及技术支持体系, 适当收取用户合理 的服务费用,以“细水长流”保证公司的长远利益。在给予用户足够的优惠 之时, 可要求用户签订某些限制性的合同, 如一定时间内不得使用其他竞 争对手的产品等。 在建立良好销售队伍方面的策略: 必要的专业技术培训, 并且使其明 确公司的市场方向和策略,鼓励并支持销售人员提出并修正市场营销方 案。市场开拓是一个不断学习的过程,鼓励员工之间多交流,多总结。 产品售后服务方面的策略:产品是切入市场的基础,在 IT 行业,产 品不仅仅是产品,更重要的是一种服务。从长远而言,利润的增长点不在 于产品,而是在于服务。我们在满足
