《2022年高强度信息安全平台商业计划书 .pdf》由会员分享,可在线阅读,更多相关《2022年高强度信息安全平台商业计划书 .pdf(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 / 33 高强度信息安全平台商业计划书=目录= 第一部分公司发展目标6 第二部分产品 /服务8 第三部分研究与开发12 第四部分行业及市场情况15 第五部分营销策略25 第六部分管理27 第七部分融资说明29 第八部分风险控制31 第九部分工程实施进度33 第十部分财务计划34 第一部分公司发展目标公司近期及未来3-5 年要实现的目标(行业地位、销售收入、市场占有率、产品品牌以及公司股票上市等)第一年:争取形成完善的产品系列,并且通过国家有关部门的认证,力争实现销售收入5000万-10000万元,逐步树立公司形象和产品品牌。第二年:力争在产品性能及品牌上形成对竞争对手的优势,大力拓展市场,
2、力争在本行业进入前三名,销售收入5亿元-10 亿元,同时拓展新的工程,为公司创造新的利润点作准备。第三年:形成产品品牌优势,力争市场占有率10%,销售收入20-50 亿精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 1 页,共 33 页2 / 33 元(加上海外市场及其他利润)。并且争取形成新的利润增长点。作国外市场拓广的准备。第四年:维持已有的国内市场优势,大力拓展国外市场,争取销售收入50-80亿元。金融运作开始从产品经营转向资本经营。第五年:大力进入IT 行业其他领域,研究新的产品。考虑公司股票上市,公司结构重组。争取销售收入100亿元。公司
3、近期的发展方向和发展战略:公司争取在1 年以内开发完成安全加密平台,并应完成“网络安全狗”软件,加密机系列产品,紧密配合国内电子商务发展趋势,尽快完成SET 系列产品。并利用已开发完成的产品,大力开拓市场,为下一年公司的继续发展提供必要的资金。公司成立前半年,主要工作力度应放在研发方面,半年之后在保证技术开发的前提下,大力拓展市场,争取尽快完成国家相关部门的认证工作,并且争取向政府部门申请高新技术企业特号。公司未来3-5 年发展方向和发展战略:第一年主要奠定产品及市场基础,第 1 年为投入期,收益期基本上是从第二年开始的。从第二年开始公司营业收入在确保公司继续发展的情况下,为确保投资方利益,逐
4、步返回部分收益给投资方。第二年的发展是非常重要的一年,这一年应奠定产品及市场对竞争者的优势,重点开拓国内市场。第三年的工作重点是继续把握国内市场,同时大力开拓国外市场。对公司而言,第三年将可能是受益与发展最大的一年。经过三年的国内市场拓展,国内市场将可能会出现一定的紧缩性,此时产品开发方面应确定新的发展工程,为公司创造新的利润增长点作准备。第四年,争取在国内市场保持一定的精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 2 页,共 33 页3 / 33 份额,此时国内销售额可能会下降,但一定要把国外市场扩大起来,估计利润增长点在国外市场。第五年,可能
5、为本工程市场全面收缩期,但通过前几年的资金储备及已发展了新的工程,公司经营上会有诸多困难但应能解决。在本工程方面的投资应适度收缩,全力拓展其他工程。第二部分产品 /服务产品/服务描述 (主要介绍产品 /服务的背景、目前所处发展阶段、与同行业其它公司同类产品/服务的比较,本公司产品/服务的新颖性、先进性和独特性,如拥有的专门技术、版权、配方、品牌、销售网络、许可证、专营权、特许权经营等。)随着网络技术的发展,网络安全问题变得越来越突出。如何保护网络信息数据的机密性、可靠性、完整性和可用性,以及网络交易的不可否认性、真实性,已经成为商家和用户十分关心的话题。本工程(安全加密平台)正是基于这一背景下
6、产生的。目前,本工程已初步开发完成,并具有以下特点:1 原代码 采用 ANSI C 开发,能适 用 于 Windows( Window9.X ,NT4.0)、Dos、Unix(Linux、Solaris、Free BSD)等系统平台。2所有加密算法,安全特性及其安全协议均完全遵循国际或国家标准。3无任何 2000年问题。4性能上,已完全实现线程级安全,所有函数库是可重入的。主要核心加密操作作了大量的代码优化(为提高性能,视具体硬件平台的不同尚可改用汇编语言实现),能适应宽带数据加密的需要(例如:宽带卫星通精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -
7、第 3 页,共 33 页4 / 33 信、有线电台加密等 )。5数字证书管理方面,已能支持下述证书类型:SSL服务/客户机证书S/MIME 邮件证书SET证书X.509Verion1 证书X.509Version3 证书代码签署证书IP加密隧道证书网关加密证书时间戳证书6.密钥库存储方式主要支持Oracle、MS SQL 等关系数据库 ,LDAP 目录服务,今后尚可扩充至其他存储方式。(Windows 环境下支持ODBC 数据库接口 ,DOS 环境下正在实现Dbase接口,Unix 环境下暂仅支持Oracle接口,今后尚可扩展对Informix 、InterBase、DB2、SyBase 、M
8、y SQL 的支持。 ) 7.已预留接口对智能卡的支持。8.已 完整 实 现Blowfish 、 Cast-128、 Cast-256、 Diamond 、 Gost、IDEA 、Mars、Misty1 、RC2、RC4、RC5、RC6、Rijndael、Twofish、DES、Triple DES、Safer、Safer-SK、Skipjack、MD2 、MD4 、MD5 、MDC-2、RIPEMD-160、SHA、SHA1、HAVA1 、HMAC-MD5 、HMAC-SHA、HMAC-RIPEMD-160 、Diffie-Hellman 、DSA、Elgamal、RSA 等精选学习资料 -
9、 - - - - - - - - 名师归纳总结 - - - - - - -第 4 页,共 33 页5 / 33 算法,所有加密算法已无密钥大小限制且无任何“陷阱”与“后门”,用户可酌情使用适当大小的密钥。9.已预留接口对安全随机数生成的应用。据悉,目前国内尚无同类性能产品。10已预留接口对自定义加密算法及国产算法的支持。应用该安全加密平台,还可以衍生以下安全产品。(1)网络安全狗软件(简称网狗),保护用户计算机信息文件的安全,类似于上海格尔软件公司的”网盾”软件(该软件已随联想品牌机随机赠送,广获用户好评,本公司运用本加密平台。可在3 个月内将之产品化。)。(2)加密机系列: 1、真随机数生成
10、器(包括密钥生成器);2、高强度对称密钥加密机;3、高强度不对称密钥加密机;4、分布式加密机群(主要为了满足大型商务机构)。基本能在内5-6 月内完成。(3)SET系列产品:客户电子钱包商户电子商店。支付网关。CA 证书认证系统,国内已有公司正在申请国家重点工程,如上海格尔软件等,但基本上不会在一年内彻底完成,况且该公司仅开发了基于NT 和 IIS SERVER 的的产品,目前尚无基于Unix 的产品。本公司今后拟联合国内Linux 开发商共同推出安全的操作系统、安全的WEB 精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 5 页,共 33 页6
11、/ 33 SERVER、安全的数字证书认证系统等,并争取6 个月之内完成。(4)防火墙系列:应用代理服务器。IP加密隧道。公司现有的和拟申请的知识产权(专利、商标、版权等):拟向国家公安部、国家密码管理委员会、国家信息安全测评认证中心申请认证。公司是否已签署了有关专利权及其它知识产权转让或授权许可的协议等,如果有,请说明,并附主要条款:视市场情况和用户需求而定,主要是某些加密算法需要授权许可。产品面向的用户有哪些种类:国家安全部门、军队、政府、银行、证券商、电信局(通信局)、大中型企业、软件开发商、税务及海关部门、保险行业、公安部门、大专院校及科研机关、有线电视台、一般计算机用户等。产品更新换
12、代周期: 1-3年产品的售后服务和技术支持:在市场开发初期,拟在全国按片区设立办事处(市场人员及售后服务人员将在公司进行集中培训)。能由办事处解决的,由办事处派人解决,否则通过E-mail 或传真返回给公司,由公司在 24小时内作出答复。产品销售成本的构成及销售价格制订的依据:高新技术产品的销售价格主要是由其附加的高科技含量及其市场因素所决定的,同时参照其他公司同类产品、本产品的开发成本及销售管理费用等。产品销售成本主要由开发成本 +公司管理成本 +运费+销售费用 +投资风险费等构成。例如国精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 6 页,共
13、 33 页7 / 33 内市场私钥加密机每台20万元人民币(据澳大利亚报价),我们的成本不足 2 万元, 4 万元即可出售,毛利润达100%。国际市场每台1 万美元即可出售。毛利润达400%。产品形成规模销售时,毛利润率为100%以上,纯利润率 80%以上。如果产品已经在市场上形成了竞争优势,请说明与哪些因素有关(如成本相同但销售价格低、成本低形成销售价格优势、以及产品性能、品牌、销售渠道优于竞争对手产品,等等)在市场开发初期,只能在成本控制上下功夫,同时保证产品性能的优越性、做到“人无我有,人有我优,人优我转”,同时尽早形成品牌。如果要想产品形成竞争优势,主要是做好以下几方面的工作:是在管理
14、上下足功夫,尽力降低成本;二是形成品牌优势,提升企业形象,在保证产品性能优势的前提下,做好服务,急用户之急;三是建立合理的销售渠道,加大市场宣传力度,尽快抢占市场。第三部分研究与开发公司已往的研究与开发成果及其技术先进性(包括技术鉴定情况、获国际、国家、省、市及有关部门和机构奖励情况)核心安全技术已开发完成,它完全遵循国际或国家标准,可达国际同类产品先进水平,但急需将其产品化,以便尽早进入市场。公司参与制订产品或技术的行业标准和质量检测标准情况:就本工程而精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 7 页,共 33 页8 / 33 言,主要是遵
15、循国际或国家标准。包括ANSI X3.92,ANSI X3.106,ANSI X9.9,ANSI X9.17,ANSI X9.30-1,ANSI X9.30-2,ANSI X9.31-1,FIPS PUB 46-2 FIPS PUB 74,FIPS PUB 81,FIPS PUB 113,FIPS PUB 180 , FIPS PUB 180-1 , FIPS PUB 186 , ISO/IEC 8372 ,ISO/IEC8731 ISO/IEC 8732 , ISO/IEC 8824/ITU-T X.680 , ISE/IEC 8825/ITU-T X.690,ISO/IEC 9797, I
16、SO/IEC 10116,ISO/IEC 10118,PKCS#1,PKCS#3 , PICS#7 , PKCS#9 , PKCS#10 , RFC1319 ,RFC1320,RFC 1321,RFC 1750,RFC 2104,RFC 2144,RFC 2268,RFC 2312,RFC 2313,RFC 2314,和 RFC 2315等。公司在技术与产品开发方面的竞争对手情况,以及公司为提高竞争力拟采取的措施:国际上,以IBM 、HP、Microsoft 等公司最具有技术优势,但其在我国存在市场限制。国内暂时以上海格尔公司稍具技术优势,其他竞争对手有一定的政府背景,存在市场服务优势(如可申
17、请作证书认证中心等),但不存在技术优势。我们有能力在1-2 年奠定技术优势。公司近期主要是把好质量控制关,做“人无我有、人有我优、人优我转”,在工程管理及公司管理上下功夫,大力降低成本,形成价格优势,并且建设合理的市场渠道和服务体系。扬长避短,提高产品品牌效应,迅速抢占市场。到目前为止,公司在技术开发方面的资金总投入是多少,计划再投入的开发资金是多少(包括购置开发设备、开发人员工资、实验检测费用、以及与开发有关的其它费用):公司目前在技术上的开发成果潜在价值不在8,000 万元以下。公司运作精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 8 页,共
18、 33 页9 / 33 前半年计划投入研发资金600万,全年约 2,000万元。请说明,今后为保证产品质量、产品升级换代和保持技术先进水平,公司的开发方向、开发重点和正在开发的技术和产品:首先保证安全信息加密系统平台的研发成功,解决核心技术问题。之后可以由此衍生以下增值产品:1、网络安全狗软件(简称网狗),保护用户计算机信息文件的安全。2、加密机系列:真随机数生成器(包括密钥生成器);高强度对称密钥加密机;高强度不对称密钥加密机;分布式加密机群(主要为了满足大型商务机构)。3、SET系列产品:客户电子钱包商户电子商店。支付网关。CA 证书认证系统。4、防火墙系列:应用理代服务器。IP加密隧道。
19、公司现有技术开发资源以及技术储备情况:就本工程而言,主要核心技术已基本解决,所需的是将技术产品化,市场化的问题,基本无重大技精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 9 页,共 33 页10 / 33 术风险。公司将采取怎样的激励机制和措施,保持关键技术人员和技术队伍的稳定:最主要的是要将公司的发展同员工个人的发展结合起来,使员工把公司作为自身的依托,使员工觉得公司就是自己的家。另外,也要与员工签定劳工合同,加强法律保护,以避免员工对公司所造成的各种不利影响。切实加强技术管理工作,特别是技术文档制度。公司未来 35 年在研发资金投入和人员投入
20、计划(万元)年份第 1 年第 2 年第 3 年第 4年第 5 年资金投入(含基本设备费)2,000 8,000 5,000 8,000 10,000 人员(个)100人220人260人320人460人第四部分行业及市场情况4.1行业发展历史及趋势(行业专家请略过 ) 安全保密研究的过去、现在和未来保密术伴随阶级和国家的出现而诞生,并在政治、军事、外交斗争中作为重要工具被充分使用。人们在使用保密术的过程中,不断进行研究和实践,形成了一系列安全保密的方法和手段,逐渐使之变成一门学科保密学。而今,计算机的出现和广泛普及,使人类社会步入信息化时代,也使安全保密研究揭掉精选学习资料 - - - - -
21、- - - - 名师归纳总结 - - - - - - -第 10 页,共 33 页11 / 33 了神秘的面纱,成为大家感兴趣并能为更多人服务的科学。从通信安全保密、计算机安全保密,直到信息系统的安全保密,社会的发展对安全保密的研究提出了越来越高的要求。一、通信安全保密研究保密学是研究通信安全保密的科学,是保护信息在信道的传递过程中不被敌方窃取、解读和利用的方法。保密学包含两个相互对立的分支:密码学和密码分析学。前者是研究把信息(明文)变换成为没有密钥不能解读或很难解读的密文的方法;后者是研究分析破译密码的方法。它们彼此目的相反,相互对立,但在发展中又相互促进。在密码学中,需要变换的原消息称为
22、明文消息。明文经过变换成为另一种隐蔽的形式,称为密文消息。完成变换的过程称作加密,其逆过程(即由密文恢复出明文的过程)称作解密。对明文进行加密时所采用的一组规则称作加密算法,对密文进行解密时所采用的一组规则称作解密算法。加密和解密操作通常在密钥的控制下进行,并有加密密钥和解密密钥之分。传统密码体制所用的加密密钥和解密密钥相同,称为单钥或对称密码体制。在由Diffe和 Hellman 提出的新体制中,加密密钥与解密密钥不同,称为双钥或非对称密码体制。密钥是密码体制安全保密的关键,它的产生、分配和管理是密码学中的重要研究内容。密码学的任务是寻求生成高强度密码的有效算法,满足对消息进行加密或认证的要
23、求。密码分析学的任务是破译密码或伪造认证密码,窃取机密信息或进行诈骗破坏活动。对一个保密系统采取截获密文、进行分析的方法进行进攻,称为被动进攻;非法精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 11 页,共 33 页12 / 33 入侵者采用删除、更改、添加、重放、伪造等手段向系统注入假消息的进攻是主动进攻。进攻与反进攻、破译与反破译是保密学中永无止境的矛与盾的竞技。通信安全保密研究围绕寻找更强更好的密码体制而展开。从代换密码、单表代换密码、多名代换密码、多表代换密码、转轮密码和多字母代换密码等古典密码体制到现代密码体制,通信安全保密研究不断向前
24、发展。在通信和通信安全保密研究的历史中,Shannon做出了特殊的贡献。他在1948年发表的“通信的数学理论”,首次把数学理论运用于通信,开创了通信研究的新视角,在科学和工程界引起了强烈反响。他在 1949年发表的“保密通信的信息理论”,把安全保密的研究引入了科学的轨道,使信息论成为研究密码学和密码分析的一个重要理论基础,宣告了科学的单钥密码学的到来,创立了信息论的一个新学科。可惜,这篇重要文章在30年后,也就是人类开始步入信息时代时才引起普遍重视。 70 年代中期,在安全保密研究中出现了两个引人注目的事件。一是 Diffe 和 Hellman 发表了“密码学的新方向”一文,冲破人们长期以来一
25、直沿用的单钥体制,提出一种崭新的密码体制,即公钥或双钥体制。该体制可使发信者和收信者之间无须事先交换密钥就可建立起保密通信。二是美国专家标准局(NBS)公开征集、并于1977年 1 月 15日正式公布实施了美国数据加密标准(DES)。公开DES 加密算法、并广泛应用于商用数据加密,这在安全保密研究史上是第一次。它揭开了保密学的神秘面纱,大大激发了人们对安全保密研究的兴趣,吸引了许多数学家、计算机专家和通信工程界的研究人员参加研究。这两个事件标志着现代保密学的诞生。随着信息高速公路的兴起,全球信息化建设步伐精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -
26、第 12 页,共 33 页13 / 33 不断加快,通信安全保密研究将会得到更进一步的发展。二、计算机安全保密研究随着计算机在社会各个领域的广泛使用,围绕计算机的安全保密问题越来越突出,计算机的安全保密研究成为极为重要的任务。与通信安全保密相比,计算机安全保密具有更广泛的内容,涉及计算机硬件、软件、以及所处理数据等的安全和保密。除了沿用通信安全保密的理论、方法和技术外,计算机安全保密有自己独特的内容,并构成自己的研究体系。在数据安全保密问题得到广泛认识以前,计算机的安全保密在绝大多数人的印象中是指硬件的物理安全。但是,当今计算机远程终端存取、通信和网络等新技术已取得长足的发展,单纯物理意义上的
27、保护措施除可保护硬件设备的安全外,对信息和服务的保护意义越来越小。数据安全保密已成为计算机安全保密的主题,而且研究的重点是内部问题,即由合法用户造成的威胁(或许是无意的 )。事实上,绝大多数的计算机犯罪是内部知情者所为,因此70年代以来,计算机安全保密研究的重点一直放在解决内部犯罪这个问题上。计算机安全保密研究数据的保密性、完整性和服务拒绝三方面内容。数据保密性解决数据的非授权存取(泄露 )问题;数据完整性保护数据不被篡改或破坏;服务拒绝研究如何避免系统性能降低和系统崩溃等威胁。在计算机安全保密研究中,美国的 Gasser提出了系统边界和安全周界概念。他认为,在计算机安全保密的一切努力中,必须
28、对系统边界有清晰的了解,并明确哪些是系统必须防御 (来自系统边界之外)的威胁,否则就不可能建造一个良好的安全精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 13 页,共 33 页14 / 33 环境。他进一步指出,系统内的一切得到保护,而系统外的一切得不到保护。系统内部由两部分元素组成:一部分与维护系统安全有关,另一部分与系统安全无关。应对与安全相关的元素实行内部控制。这两部分的分开靠一个想象中的边界,称作安全周界。Gasser 的观点很有代表性,反映了计算机安全保密研究的一种方法,但有一定的局限性。系统周界的限制使这种研究方法很难适用于以计算机网
29、络为特征的信息系统安全保密的研究。在计算机安全保密研究中,主体(subject)和客体 (object)是两个重要概念,保护客体的安全、限制主体的权限构成了存取控制的主题。这两个概念的提出使计算机安全保密中最重要的研究内容存取控制的研究问题得以抽象化,抽象化的结果是可以模型化,这就使计算机安全保密研究前进了一大步。1971 年,Lampson 提出了存取监控器的雏形。存取监控器是一个重要的存取控制抽象模型,为保护思想的实现提供了基本的理论。在存取监控器中,所有主体必然根据系统存取授权表来实现对客体的存取,对客体的每次存取、以及授权的改变都必须通过存取监控器。1972 年, Schell 提出了
30、安全内核的概念。1974 年,Mitre 证实了构筑安全内核的可能性。安全内核的提出是信息安全保密研究的一个重要成果。安全内核方法为用有条理的设计过程代替智力游戏,从而构筑安全的计算机系统,进而为信息系统的开发建立安全的平台提供了理论基础。1978 年, Gudes 等人提出了数据库的多级安全模型,把计算机安全保密研究扩展到数据库领域。1988 年,Denning 提出了数据库视图技术,为实现最小泄露提供了技术途径。1984-1988 年间,Simmons 提出并完善了认证理论。类似于Shannon的保密系统信息精选学习资料 - - - - - - - - - 名师归纳总结 - - - - -
31、 - -第 14 页,共 33 页15 / 33 理论, Simmons 的认证理论也是将信息论用于研究认证系统的理论安全性和实际安全性问题。认证主要包括消息认证、身份验证和数字签名,其中身份验证是存取控制中的一个重要方面。三、信息系统安全保密研究当计算机普及到一定程度时,以计算机和计算机网络为基础的信息系统就成为计算机应用的主要形式,研究信息系统的安全保密就和建立信息系统同样重要和迫切。1.背景信息系统的广泛建立和规模化,使计算机的应用形式上升为网络形态。这种网络化的信息系统在系统内纵向贯通,在系统间横向渗透,构成了集通信、计算机和信息处理于一体的庞大复杂的巨系统,成为现代社会运转不可缺少的
32、基础。信息系统规模化发展势头强劲,这从一个侧面预示了信息革命的到来,同时也深刻反映了当今社会对信息系统的巨大依赖性。信息系统安全无误的运转变得空前重要,并引起了各国政府和研究机构的高度重视。与计算机安全保密不同,信息系统以网络化为特处,成份多、环节多,既要解决系统内的异构问题,又要满足元素间的互操作要求,因而用计算机安全保密的一套办法来研究信息系统的安全保密不甚适宜。信息系统有自己独特的内在规定性,因而把信息系统安全保密作为独立课题加以研究势在必行。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 15 页,共 33 页16 / 33 2.范畴信息系
33、统的组成成份复杂,覆盖面广;信息处理既有集中式,又有分布式构成其基础的计算机、操作系统和网络既可能是同构的,也可能是异构的;实现计算机联接的网络结构可能是多种拓朴结构的混合;所用的网络组件繁杂,通信介质多种多样;信息出/入口多,且分布面广。因此,信息系统的安全保密具有无所不包的内容广泛性,它的实现必然是所有安全保密学科的综合运用。信息系统安全保密研究的对象是系统而不仅是系统中的某个或某些元素,系统内所有元素或成份都是研究的内容。从系统内看,研究内容包括通信安全(COMESC)、计算机安全、操作安全 (OPSEC)、信息安全、人事安全、工业安全、资源保护和实体安全;从系统外看 (因为系统不是孤立
34、的),研究内容还包括管理和法律两个方面,它们的综合构成一个合理的研究结构和层次。按照系统平衡的观点,信息系统安全保密追求并强调均匀性,因而各子项的研究深度要相互协调,不能重此轻彼。这就是系统论的观点。在信息系统安全保密研究的总的范畴内,不同领域的信息系统由于环境、要求的差异,表现为研究上有所侧重,这是合理且符合逻辑的。3.历史与动态把信息系统安全保密研究作为一个独立的课题提出还是近10 年的事。IBM 的高级研究员 Fisher最先认识到这个问题,并于1984年出版了信息系统安全保密研究的第一部著作。同年,国际标准化组织(ISO)公布了信息处理系统参考模型,并提出了信息处理系统的安全保密体系结
35、构(ISO-精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 16 页,共 33 页17 / 33 7498-2)。在这一年的国际信息处理联合会(IFIP)安全保密年会上, Fugini提出了办公信息系统的安全管理方法,把研究的触角伸向了信息系统。由于网络在信息系统中的重要地位,人们开始研究网络的安全保密问题。1985 年,Voyolock 和 Kent 提出了高级网络协议的安全保密问题。同期,分布式系统开始得到使用。1986 年,Nessett提出分布式系统的安全保密问题,使信息系统安全保密研究的范围不断扩大,并逐渐走向深入。虽然在方法和技术上没有
36、什么突破,但研究的重点逐步靠近信息系统。80 年代后期,开放 (信息)系统和系统互连得到了重视。进入90 年代以来,信息系统安全保密研究出现了新的侧重点。一方面,对分布式和面向对象数据库系统的安全保密进行了研究;另一方面,对安全信息系统的设计方法、多域安全和保护模型等进行了探讨。随着信息系统的广泛建立和各种不同网络的互连、互通,人们意识到,不能再从单个安全功能、单个网络来个别地考虑安全问题,而必须系统地、从体系结构上全面地考虑安全保密。因此,安全保密的研究应着力于系统这个层次,把信息系统作为安全保密研究的对象。但是,信息系统安全保密研究目前还没有系统的理论,也缺乏足够的深度,整个研究还停留在量
37、上,没有质的突破。当前,信息系统正朝着多平台、充分集成的方向发展,分布式将成为最流行的处理模式,而集中分布相结合的处理方式也将受到欢迎。今后的信息系统将建立在庞大、集成的网络基础上,因而在新的信息系统环境中,存取点将大大增加,脆弱点将分布更广。信息系统的这些发展趋势将影响安全保密的研究。信息系统安全保密研究的一种动态是,研究分布式环境及集中分布式相结合环境的安全保密策略,它反精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 17 页,共 33 页18 / 33 映了分布式信息系统的社会需求和传统的集中式安全保密策略的不适应性。第二种动态是,为适应多平
38、台计算环境而研究面向整个网络的安全机制。 80 年代的安全保密研究主要集中于标准的一致性和单一平台的安全控制,已不能适应新一代信息系统对安全保密的要求。第二种研究动态有可能产生新的安全保密理论,至少会在方法学上有所突破。第三个动态是,在开放系统安全标准的研究和制定上,美国的TCSEC 和欧洲的 ITSEC 标准不涉及开放系统的安全标准,而ECMATR46-A 只是开放系统的安全框架,因而确定开放系统的安全评价标准极为必要,并由于人们对开放系统的普遍认同而显得迫切。总之,信息系统安全保密研究期待理论的建立和方法的突破,只有这样才能满足信息系统迅速发展的需求,才能确保人类社会的第三大资源信息的真正
39、安全,并确保信息真正造福于整个人类。4.金融信息系统安全保密研究的地位金融信息系统是整个信息系统中最重要的一部分,有其独特的内容(如ATM 系统、信用卡系统 ),以及其它信息系统所没有的属性(如信息高机密性和高风险性等 )。它的正常运转关系着国计民生,因此它的安全保密最必要、最重要、最迫切,无论在哪个国家都占据着最优先的地位。金融信息系统安全保密研究除了研究信息系统安全保密中的共性问题外,更要研究问题的特殊性,而且更强调研究的整体性、结构性和层次性。它适用于金融信息系统的安全保密机制,一般来说也适用于其它信息系统,反之则不一定适用。因此,对金融信息系统安全保密的研究,既要精选学习资料 - -
40、- - - - - - - 名师归纳总结 - - - - - - -第 18 页,共 33 页19 / 33 充分借鉴一般信息系统安全保密研究的成果,还要作为独特对象进行针对性研究,这也是由金融信息系统的特殊地位决定的。由于保密和其它原因,关于金融信息系统安全保密研究的公开论文和研究成果报道不多。相信随着时间的推移,这种状况将得到根本改变,因为普遍性问题需要普遍性研究,更需要全球性的交流。四、安全保密研究的阶段划分和层次安全保密研究伴随人类社会的发展走过了漫长的历程。其应用领域不断拓宽,研究方法有所突破,是一门古老而又年轻的科学。纵观安全保密研究的历史,有三个分水岭。一是计算机诞生前的保密学(
41、通信安全保密 )研究;二是计算机诞生后,以计算机和计算机网络为基础的信息系统广泛建立前的计算机安全保密研究;三是信息系统广泛建立、信息革命即将来临、全球信息高速公路酝酿和开始建设后的信息系统的安全保密研究。这三个分水岭对应安全保密研究的三个阶段。这三个阶段的研究互不排斥,而是相接(衔接、借鉴 )相融。通信安全保密是计算机和信息系统安全保密的基础,并随着计算机和信息系统安全保密研究的提出和开展而走向深入;计算机安全保密是信息系统安全保密的重要内容,它们之间表现为相依相存的紧密关系;信息系统安全保密研究将综合前面两者的研究,并开辟新的研究方向,构成新的研究体系。在研究层次上,这三个阶段体现了递进的
42、研究层次,前者是后者的基础和前提,后者对前者具有反馈和激励作用。一方面,没有密码学的研究成果,计算机和信息系统的安全保密研究就无法进行;另一方面,计算机和信息系统(网精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 19 页,共 33 页20 / 33 络)在为密码学研究提供巨大计算机资源的同时,也不断对其提出挑战。通信安全保密作为实施安全保密策略的基本工具,起着基础研究的作用;计算机安全保密利用基本密码学来研究计算机的安全保密问题,表现了研究对象的个体性,而不管计算机系统之外的事情;信息系统安全保密综合利用通信和计算机安全保密的研究成果,并将研究定
43、位在系统这个层次,系统内的一切成份都是研究的对象。因此,若把通信安全保密比作基础层次,则计算机安全保密问题就是中间层次,而信息系统安全保密处在最高层次。4.2市场情况据 美 国 各大公 司 (Sun、 Apple 、AT&T 、Compaq、 IBM 、Digital 、SiliconGraphics、Microsoft)的预测,到达2000 年左右,仅仅在美国涉及到网络安全方面的产品潜在的市场利益就在300-600 亿美元左右,而全球预计网络安全产品潜在市场价值3,200-6,400亿美元。目前,国外公司现有的电子商务整体技术方案已能较好地解决诸如网络安全、信息传输保护、身份认证、网上支付、
44、网上结算等至关重要的技术问题,以及更可靠的防火墙、SSL 技术、 128 位密码算法检验和面向对象的商务管理程序,满足网上安全交易的应用需求,但正是这些涉及信息安全与机密保密的方案和产品都出自国外公司(主要是美国、加拿大),考虑到国家对信息安全保密的独立要求,这些产品技术很难在国内推广应用,况且美国国家保密局严格控制美国的密码技术出口,新有密码技术产品需要得到美国国务院的出口许可,并遵守美国军队通信法精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 20 页,共 33 页21 / 33 规,他们定义密码技术设备为军用品,其中包括软件。这就将促使国内的
45、信息安全技术研究机构大力发展自主技术,以尽快解决众多用户和商业机构的保密和系统安全难题。国家公安部已于1997年下半年也适时颁发了关于信息安全技术产品的认证管理条例,加紧健全国家的信息安全保密机制。更可喜的是,在短期内尚未全面建立信息安全技术产品认证检测机制和技术标准,还不能提供所有信息安全技术产品认证的情况下,公安部采取了按实际使用要求评测产品性能、未开展测试的类别产品可先应用后认证检测的操作原则。这种客观,公平的管理模式,对今后电子商务新技术的实际应用和市场技术标准的培养形成,都有莫大的裨益。就目前而言,国内尚无完整电子商务技术解快方案。据某权威机构预测,我国信息安全方面的产品市场潜在价值
46、将达每年500-1,000 亿元以上 (我们取保守值100 亿元 )。而且该安全产品尚可外延至受美国出口限制的其他国家,特别是与美国有重大利益冲突的国家。如朝鲜,巴基斯坦,伊拉克,南斯拉夫等国家,预期市场潜在利益在500-1,000 亿美元以上。这一技术的推广应用对我国的电子商务(网上银行,网上证券、网上交易)和电子数据交换(EDI)的发展起着非常重要的作用。同时,该信息安全平台还可应用在国家专用数据安全领域,如军用通信、政府办公公文系统、有线电台数据加密、专用通信网加密传输等。另外,对于集团公司而言,它对保护公司内部机密信息和网络通信也有非常重要的作用,特别是它非常有利于企业内部网(Inte
47、rnet)的建立。我们按保守估算今后五年内国内信息安全产品市场价值1,000 亿元人民币,即使我们产品占市场份额1-10%的情况下,五年内仍可达到10-100精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 21 页,共 33 页22 / 33 亿元人民币的营业额,估计利润在4 亿-40 亿元以上。本公司与行业内五个主要竞争对手的比较(包括潜在竞争对手)竞争对手市场份额竞争优势竞争劣势上海格尔软件北京信安世纪海南格方吉大正元有 较 强 的 技 术实力。软 件尚 未 形 成完 整的 核 心 安全平台,无IC芯片技术深圳兆日实业偏 重 于 密 码器 、
48、电 子 防 伪等产品尚 未形 成 完 整的 安全 平 台 ,硬 件产 品 加 解密 速度 不 高 ,无 IC 芯片技术国 富 安 电子 商务 安 全 认证 中心 ( 国 富安 公司)偏 重 于 数 字 证书 等 服 务 、 已申 请 国 家 “ 九五 ” 重 点 攻 关工 程 。 有 政 府支持背景。尚 未形 成 完 整的 安全 平 台 ,无 IC 芯片技术本公司偏 重 于 完 整 的高 强 度 安 全 加密 平 台 , 同 时拥 有 硬 件 加 密芯 片 技 术 , 可彻 底 解 决 数 据安 全 及 通 信 安全 等 问 题 , 兼容 多 种 国 际 标准 及 国 家 标准 , 产 品 性
49、 价比 更 高 , 服 务对象更广阔,能争 取 政 府 的 支持 。 从 技 术 服务 的 角 度 看 他们 可 以 利 用 我比 大多 同 行 晚入 市场 半 年 ,尚 未进 行 产 品化,但可在3-6个 月之 内 完 成主 要技 术 的 产品化。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 22 页,共 33 页23 / 33 们 的 核 心 技术 , 是 我 们 的客 户 , 但 在 系统 应 用 方 面 他们 是 我 们 的 竞争对手。市场销售有无行业管制,公司产品进入市场的难度分析:信息安全作为国家安全的一个组成部分,它是受国家控制的,
50、信息安全产品需要接受国家的认证(我国由公安部、信息产业部信息安全认证中心、国家密码管理委员会等机构认定)。公司进入市场的难度主要在于事先获得国家认证,目前国内同类产品较少,而且都仅是处于起步阶段,国外产品一般很难打进国内市场。详细描述本公司产品/服务的竞争优势(包括性能、价格、服务等方面):目前国内虽有一些相关产品,但都只是处于起步阶段,尚未形成完整的安全加密平台,况且他们都往往偏重于某方面的应用,对我们有潜在的竞争力,但在技术和市场方面谁也没奠定优势。本公司一开始就构建安全加密平台,而该安全加密平台正是构建信息安全产品的核心技术。目前市场上的大部分产品,公司在1 年以内可开发完成,在两年以内