高强度信息安全平台商业计划书

=====目录=======

第一部分  公司发展目标……………………………………………6

第二部分  产品/服务………………………………………………8

第三部分  研究与开发………………………………………………12

第四部分  行业及市场情况………………………………………15

第五部分  营销策略…………………………………………………25

第六部分  管理………………………………………………………27

第七部分  融资说明…………………………………………………29

第八部分 风险控制………………………………………………31

第九部分  项目实施进度…………………………………………33

第十部分   财务计划…………………………………………………34

第一部分  公司发展目标

公司近期及未来3-5年要实现的目标（行业地位、销售收入、市场占有率、产品品牌以及公司股票上市等）第一年：争取形成完善的产品系列，并且通过国家有关部门的认证，力争实现销售收入5000万-10000万元，逐步树立公司形象和产品品牌。

第二年：力争在产品性能及品牌上形成对竞争对手的优势，大力拓展市场，力争在本行业进入前三名，销售收入5亿元-10亿元，同时拓展新的项目，为公司创造新的利润点作准备。

第三年：形成产品品牌优势，力争市场占有率10%，销售收入20-50亿元(加上海外市场及其他利润)。并且争取形成新的利润增长点。作国外市场拓广的准备。

第四年：维持已有的国内市场优势，大力拓展国外市场，争取销售收入50-80亿元。金融运作开始从产品经营转向资本经营。

第五年：大力进入IT行业其他领域，研究新的产品。考虑公司股票上市，公司结构重组。争取销售收入100亿元。

公司近期的发展方向和发展战略：公司争取在1年以内开发完成安全加密平台，并应完成“网络安全狗”软件，加密机系列产品，紧密配合国内电子商务发展趋势，尽快完成SET系列产品。并利用已开发完成的产品，大力开拓市场，为下一年公司的继续发展提供必要的资金。公司成立前半年，主要工作力度应放在研发方面，半年之后在保证技术开发的前提下，大力拓展市场，争取尽快完成国家相关部门的认证工作，并且争取向政府部门申请高新技术企业特号。

公司未来3-5年发展方向和发展战略：第一年主要奠定产品及市场基础，第1年为投入期，收益期基本上是从第二年开始的。从第二年开始公司营业收入在确保公司继续发展的情况下，为确保投资方利益，逐步返回部分收益给投资方。第二年的发展是非常重要的一年，这一年应奠定产品及市场对竞争者的优势，重点开拓国内市场;第三年的工作重点是继续把握国内市场，同时大力开拓国外市场。对公司而言，第三年将可能是受益与发展最大的一年。经过三年的国内市场拓展，国内市场将可能会出现一定的紧缩性，此时产品开发方面应确定新的发展项目，为公司创造新的利润增长点作准备。第四年，争取在国内市场保持一定的份额，此时国内销售额可能会下降，但一定要把国外市场扩大起来，估计利润增长点在国外市场。第五年，可能为本项目市场全面收缩期，但通过前几年的资金储备及已发展了新的项目，公司经营上会有诸多困难但应能解决。在本项目方面的投资应适度收缩，全力拓展其他项目。

第二部分  产品/服务

产品/服务描述(主要介绍产品/服务的背景、目前所处发展阶段、与同行业其它公司同类产品/服务的比较，本公司产品/服务的新颖性、先进性和独特性，如拥有的专门技术、版权、配方、品牌、销售网络、许可证、专营权、特许权经营等。)随着网络技术的发展，网络安全问题变得越来越突出。如何保护网络信息数据的机密性、可靠性、完整性和可用性，以及网络交易的不可否认性、真实性，已经成为商家和用户十分关心的话题。本项目（安全加密平台）正是基于这一背景下产生的。

目前，本项目已初步开发完成，并具有以下特点：

1．原代码采用ANSI C开发，能适用于Windows（Window9.X，NT4.0）、Dos、Unix（Linux、　Solaris、Free BSD）等系统平台。

2．所有加密算法，安全特性及其安全协议均完全遵循国际或国家标准。

3．无任何2000年问题。

4．性能上，已完全实现线程级安全，所有函数库是可重入的。主要核心加密操作作了大量的代码优化（为提高性能，视具体硬件平台的不同尚可改用汇编语言实现），能适应宽带数据加密的需要(例如:宽带卫星通信、有线电台加密等)。

5．数字证书管理方面，已能支持下述证书类型：

◆SSL服务/客户机证书

◆S/MIME邮件证书

◆SET证书

◆X.509Verion1证书

◆X.509Version3证书

◆代码签署证书

◆IP加密隧道证书

◆网关加密证书

◆时间戳证书

6.密钥库存储方式主要支持Oracle、MS SQL等关系数据库,LDAP目录服务，今后尚可扩充至其他存储方式。(Windows环境下支持ODBC数据库接口,DOS环境下正在实现Dbase接口,Unix环境下暂仅支持Oracle接口,今后尚可扩展对Informix、InterBase、DB2、SyBase、My SQL的支持。)

7.已预留接口对智能卡的支持。

8.已完整实现Blowfish、Cast-128、Cast-256、DiamondⅡ、Gost、IDEA、Mars、Misty1、RC2、RC4、RC5、RC6、Rijndael、Twofish、DES、Triple DES、Safer、Safer-SK、Skipjack、MD2、MD4、MD5、MDC-2、RIPEMD-160、SHA、SHA1、HAVA1、HMAC-MD5、HMAC-SHA、HMAC-RIPEMD-160、Diffie-Hellman、DSA、Elgamal、RSA等算法，所有加密算法已无密钥大小限制且无任何“陷阱”与“后门”，用户可酌情使用适当大小的密钥。

9.已预留接口对安全随机数生成的应用。据悉，目前国内尚无同类性能产品。

10．已预留接口对自定义加密算法及国产算法的支持。

应用该安全加密平台，还可以衍生以下安全产品。

（1）网络安全狗软件（简称网狗），保护用户计算机信息文件的安全，类似于上海格尔软件公司的”网盾”软件（该软件已随联想品牌机随机赠送，广获用户好评，本公司运用本加密平台。可在3个月内将之产品化。）。

（2）加密机系列：1、真随机数生成器（包括密钥生成器）；2、高强度对称密钥加密机；3、高强度不对称密钥加密机；4、分布式加密机群（主要为了满足大型商务机构）。基本能在内5-6月内完成。

（3）SET系列产品：

◆客户电子钱包

◆商户电子商店。

◆支付网关。

◆CA证书认证系统，国内已有公司正在申请国家重点项目，如上海格尔软件等，但基本上不会在一年内彻底完成，况且该公司仅开发了基于NT和IIS SERVER的的产品，目前尚无基于Unix的产品。本公司今后拟联合国内Linux开发商共同推出安全的操作系统、安全的WEB SERVER、安全的数字证书认证系统等，并争取6个月之内完成。

（4）防火墙系列：

◆应用代理服务器。

◆IP加密隧道。

公司现有的和拟申请的知识产权（专利、商标、版权等）：拟向国家公安部、国家密码管理委员会、国家信息安全测评认证中心申请认证。

公司是否已签署了有关专利权及其它知识产权转让或授权许可的协议等，如果有，请说明，并附主要条款：视市场情况和用户需求而定，主要是某些加密算法需要授权许可。

产品面向的用户有哪些种类：国家安全部门、军队、政府、银行、证券商、电信局（通信局）、大中型企业、软件开发商、税务及海关部门、保险行业、公安部门、大专院校及科研机关、有线电视台、一般计算机用户等。

产品更新换代周期：1-3年

产品的售后服务和技术支持:在市场开发初期，拟在全国按片区设立办事处（市场人员及售后服务人员将在公司进行集中培训）。能由办事处解决的，由办事处派人解决，否则通过E-mail或传真返回给公司，由公司在24小时内作出答复。

产品销售成本的构成及销售价格制订的依据：高新技术产品的销售价格主要是由其附加的高科技含量及其市场因素所决定的，同时参照其他公司同类产品、本产品的开发成本及销售管理费用等。产品销售成本主要由开发成本+公司管理成本+运费+销售费用+投资风险费等构成。例如国内市场私钥加密机每台20万元人民币（据澳大利亚报价），我们的成本不足2万元，4万元即可出售，毛利润达100%。国际市场每台1万美元即可出售。毛利润达400%。 

产品形成规模销售时，毛利润率为100%以上，纯利润率80%以上。

如果产品已经在市场上形成了竞争优势，请说明与哪些因素有关（如成本相同但销售价格低、成本低形成销售价格优势、以及产品性能、品牌、销售渠道优于竞争对手产品，等等）在市场开发初期，只能在成本控制上下功夫，同时保证产品性能的优越性、做到“人无我有，人有我优，人优我转”，同时尽早形成品牌。如果要想产品形成竞争优势，主要是做好以下几方面的工作：—是在管理上下足功夫，尽力降低成本；二是形成品牌优势，提升企业形象，在保证产品性能优势的前提下，做好服务，急用户之急；三是建立合理的销售渠道，加大市场宣传力度,尽快抢占市场。

第三部分  研究与开发

公司已往的研究与开发成果及其技术先进性（包括技术鉴定情况、获国际、国家、省、市及有关部门和机构奖励情况）核心安全技术已开发完成，它完全遵循国际或国家标准，可达国际同类产品先进水平，但急需将其产品化，以便尽早进入市场。

公司参与制订产品或技术的行业标准和质量检测标准情况：就本项目而言，主要是遵循国际或国家标准。包括ANSI X3.92，ANSI X3.106，ANSI X9.9，ANSI X9.17，ANSI X9.30-1，ANSI X9.30-2，ANSI X9.31-1，FIPS PUB 46-2 FIPS PUB 74，FIPS PUB 81，FIPS PUB 113，FIPS PUB 180，FIPS PUB 180-1，FIPS PUB 186，ISO/IEC 8372，ISO/IEC8731 ISO/IEC 8732，ISO/IEC 8824/ITU-T X.680，ISE/IEC 8825/ITU-T X.690，ISO/IEC 9797，ISO/IEC 10116，ISO/IEC 10118，PKCS#1,PKCS#3，PICS#7，PKCS#9，PKCS#10，RFC1319，RFC1320，RFC 1321，RFC 1750，RFC 2104，RFC 2144，RFC 2268，RFC 2312，RFC 2313，RFC 2314，和RFC 2315等。

公司在技术与产品开发方面的竞争对手情况，以及公司为提高竞争力拟采取的措施：国际上，以IBM、HP、Microsoft等公司最具有技术优势，但其在我国存在市场限制。国内暂时以上海格尔公司稍具技术优势，其他竞争对手有一定的政府背景，存在市场服务优势（如可申请作证书认证中心等），但不存在技术优势。我们有能力在1-2年奠定技术优势。公司近期主要是把好质量控制关，做“人无我有、人有我优、人优我转”，在项目管理及公司管理上下功夫，大力降低成本，形成价格优势，并且建设合理的市场渠道和服务体系。扬长避短，提高产品品牌效应，迅速抢占市场。

到目前为止，公司在技术开发方面的资金总投入是多少，计划再投入的开发资金是多少（包括购置开发设备、开发人员工资、试验检测费用、以及与开发有关的其它费用）：

公司目前在技术上的开发成果潜在价值不在8,000万元以下。公司运作前半年计划投入研发资金600万，全年约2,000万元。

请说明，今后为保证产品质量、产品升级换代和保持技术先进水平，公司的开发方向、开发重点和正在开发的技术和产品：首先保证安全信息加密系统平台的研发成功，解决核心技术问题。之后可以由此衍生以下增值产品：

1、网络安全狗软件（简称网狗），保护用户计算机信息文件的安全。2、加密机系列：

◆真随机数生成器（包括密钥生成器）；

◆高强度对称密钥加密机；

◆高强度不对称密钥加密机；

◆分布式加密机群（主要为了满足大型商务机构）。

3、SET系列产品：

◆客户电子钱包

◆商户电子商店。

◆支付网关。

◆CA证书认证系统。

4、防火墙系列：

◆应用理代服务器。

◆IP加密隧道。

公司现有技术开发资源以及技术储备情况：就本项目而言，主要核心技术已基本解决，所需的是将技术产品化，市场化的问题，基本无重大技术风险。

公司将采取怎样的激励机制和措施，保持关键技术人员和技术队伍的稳定：最主要的是要将公司的发展同员工个人的发展结合起来，使员工把公司作为自身的依托，使员工觉得公司就是自己的家。另外，也要与员工签定劳工合同，加强法律保护，以避免员工对公司所造成的各种不利影响。切实加强技术管理工作，特别是技术文档制度。

  公司未来3~5年在研发资金投入和人员投入计划（万元）

第四部分  行业及市场情况

4.1行业发展历史及趋势

(行业专家请略过)

安全保密研究的过去、现在和未来

保密术伴随阶级和国家的出现而诞生，并在政治、军事、外交斗争中作为重要工具被充分使用。

人们在使用保密术的过程中，不断进行研究和实践，形成了一系列安全保密的方法和手段，逐渐使之变成一门学科——保密学。而今,计算机的出现和广泛普及，使人类社会步入信息化时代，也使安全保密研究揭掉了神秘的面纱，成为大家感兴趣并能为更多人服务的科学。从通信安全保密、计算机安全保密，直到信息系统的安全保密，社会的发展对安全保密的研究提出了越来越高的要求。

一、通信安全保密研究

保密学是研究通信安全保密的科学，是保护信息在信道的传递过程中不被敌方窃取、解读和利用的方法。保密学包含两个相互对立的分支：密码学和密码分析学。前者是研究把信息(明文)变换成为没有密钥不能解读或很难解读的密文的方法；后者是研究分析破译密码的方法。它们彼此目的相反，相互对立，但在发展中又相互促进。在密码学中，需要变换的原消息称为明文消息。明文经过变换成为另一种隐蔽的形式，称为密文消息。完成变换的过程称作加密，其逆过程(即由密文恢复出明文的过程)称作解密。对明文进行加密时所采用的一组规则称作加密算法，对密文进行解密时所采用的一组规则称作解密算法。加密和解密操作通常在密钥的控制下进行，并有加密密钥和解密密钥之分。传统密码体制所用的加密密钥和解密密钥相同，称为单钥或对称密码体制。在由Diffe和Hellman提出的新体制中，加密密钥与解密密钥不同，称为双钥或非对称密码体制。密钥是密码体制安全保密的关键，它的产生、分配和管理是密码学中的重要研究内容。密码学的任务是寻求生成高强度密码的有效算法，满足对消息进行加密或认证的要求。密码分析学的任务是破译密码或伪造认证密码，窃取机密信息或进行诈骗破坏活动。对一个保密系统采取截获密文、进行分析的方法进行进攻，称为被动进攻；非法入侵者采用删除、更改、添加、重放、伪造等手段向系统注入假消息的进攻是主动进攻。进攻与反进攻、破译与反破译是保密学中永无止境的矛与盾的竞技。通信安全保密研究围绕寻找更强更好的密码体制而展开。从代换密码、单表代换密码、多名代换密码、多表代换密码、转轮密码和多字母代换密码等古典密码体制到现代密码体制，通信安全保密研究不断向前发展。在通信和通信安全保密研究的历史中，Shannon做出了特殊的贡献。他在1948年发表的“通信的数学理论”，首次把数学理论运用于通信，开创了通信研究的新视角，在科学和工程界引起了强烈反响。他在1949年发表的“保密通信的信息理论”，把安全保密的研究引入了科学的轨道，使信息论成为研究密码学和密码分析的一个重要理论基础，宣告了科学的单钥密码学的到来，创立了信息论的一个新学科。可惜，这篇重要文章在30年后，也就是人类开始步入信息时代时才引起普遍重视。70年代中期，在安全保密研究中出现了两个引人注目的事件。一是Diffe和Hellman发表了“密码学的新方向”一文，冲破人们长期以来一直沿用的单钥体制，提出一种崭新的密码体制，即公钥或双钥体制。该体制可使发信者和收信者之间无须事先交换密钥就可建立起保密通信。二是美国专家标准局(NBS)公开征集、并于1977年1月15日正式公布实施了美国数据加密标准(DES)。公开DES加密算法、并广泛应用于商用数据加密，这在安全保密研究史上是第一次。它揭开了保密学的神秘面纱，大大激发了人们对安全保密研究的兴趣，吸引了许多数学家、计算机专家和通信工程界的研究人员参加研究。这两个事件标志着现代保密学的诞生。随着信息高速公路的兴起，全球信息化建设步伐不断加快，通信安全保密研究将会得到更进一步的发展。

二、计算机安全保密研究

随着计算机在社会各个领域的广泛使用，围绕计算机的安全保密问题越来越突出，计算机的安全保密研究成为极为重要的任务。与通信安全保密相比，计算机安全保密具有更广泛的内容，涉及计算机硬件、软件、以及所处理数据等的安全和保密。除了沿用通信安全保密的理论、方法和技术外，计算机安全保密有自己独特的内容，并构成自己的研究体系。在数据安全保密问题得到广泛认识以前，计算机的安全保密在绝大多数人的印象中是指硬件的物理安全。但是，当今计算机远程终端存取、通信和网络等新技术已取得长足的发展，单纯物理意义上的保护措施除可保护硬件设备的安全外，对信息和服务的保护意义越来越小。数据安全保密已成为计算机安全保密的主题，而且研究的重点是内部问题，即由合法用户造成的威胁(或许是无意的)。事实上，绝大多数的计算机犯罪是内部知情者所为，因此70年代以来，计算机安全保密研究的重点一直放在解决内部犯罪这个问题上。计算机安全保密研究数据的保密性、完整性和服务拒绝三方面内容。数据保密性解决数据的非授权存取(泄露)问题；数据完整性保护数据不被篡改或破坏；服务拒绝研究如何避免系统性能降低和系统崩溃等威胁。在计算机安全保密研究中，美国的Gasser提出了系统边界和安全周界概念。他认为，在计算机安全保密的一切努力中，必须对系统边界有清晰的了解，并明确哪些是系统必须防御(来自系统边界之外)的威胁，否则就不可能建造一个良好的安全环境。他进一步指出，系统内的一切得到保护，而系统外的一切得不到保护。系统内部由两部分元素组成：一部分与维护系统安全有关，另一部分与系统安全无关。应对与安全相关的元素实行内部控制。这两部分的分开靠一个想象中的边界，称作安全周界。Gasser的观点很有代表性，反映了计算机安全保密研究的一种方法，但有一定的局限性。系统周界的限制使这种研究方法很难适用于以计算机网络为特征的信息系统安全保密的研究。在计算机安全保密研究中，主体(subject)和客体(object)是两个重要概念，保护客体的安全、限制主体的权限构成了存取控制的主题。这两个概念的提出使计算机安全保密中最重要的研究内容——存取控制的研究问题得以抽象化，抽象化的结果是可以模型化，这就使计算机安全保密研究前进了一大步。1971年，Lampson提出了存取监控器的雏形。存取监控器是一个重要的存取控制抽象模型，为保护思想的实现提供了基本的理论。在存取监控器中，所有主体必然根据系统存取授权表来实现对客体的存取，对客体的每次存取、以及授权的改变都必须通过存取监控器。1972年，Schell提出了安全内核的概念。1974年，Mitre证实了构筑安全内核的可能性。安全内核的提出是信息安全保密研究的一个重要成果。安全内核方法为用有条理的设计过程代替智力游戏，从而构筑安全的计算机系统，进而为信息系统的开发建立安全的平台提供了理论基础。1978年，Gudes等人提出了数据库的多级安全模型，把计算机安全保密研究扩展到数据库领域。1988年，Denning提出了数据库视图技术，为实现最小泄露提供了技术途径。1984--1988年间，Simmons提出并完善了认证理论。类似于Shannon的保密系统信息理论，Simmons的认证理论也是将信息论用于研究认证系统的理论安全性和实际安全性问题。认证主要包括消息认证、身份验证和数字签名，其中身份验证是存取控制中的一个重要方面。

三、信息系统安全保密研究

当计算机普及到一定程度时，以计算机和计算机网络为基础的信息系统就成为计算机应用的主要形式，研究信息系统的安全保密就和建立信息系统同样重要和迫切。

1.背景

信息系统的广泛建立和规模化，使计算机的应用形式上升为网络形态。这种网络化的信息系统在系统内纵向贯通，在系统间横向渗透，构成了集通信、计算机和信息处理于一体的庞大复杂的巨系统，成为现代社会运转不可缺少的基础。信息系统规模化发展势头强劲，这从一个侧面预示了信息革命的到来，同时也深刻反映了当今社会对信息系统的巨大依赖性。信息系统安全无误的运转变得空前重要，并引起了各国政府和研究机构的高度重视。与计算机安全保密不同，信息系统以网络化为特处，成份多、环节多，既要解决系统内的异构问题，又要满足元素间的互操作要求，因而用计算机安全保密的一套办法来研究信息系统的安全保密不甚适宜。信息系统有自己独特的内在规定性，因而把信息系统安全保密作为独立课题加以研究势在必行。

2.范畴

信息系统的组成成份复杂，覆盖面广；信息处理既有集中式，又有分布式构成其基础的计算机、操作系统和网络既可能是同构的，也可能是异构的；实现计算机联接的网络结构可能是多种拓朴结构的混合；所用的网络组件繁杂，通信介质多种多样；信息出/入口多，且分布面广。因此，信息系统的安全保密具有无所不包的内容广泛性，它的实现必然是所有安全保密学科的综合运用。信息系统安全保密研究的对象是系统而不仅是系统中的某个或某些元素，系统内所有元素或成份都是研究的内容。从系统内看，研究内容包括通信安全(COMESC)、计算机安全、操作安全(OPSEC)、信息安全、人事安全、工业安全、资源保护和实体安全；从系统外看(因为系统不是孤立的)，研究内容还包括管理和法律两个方面，它们的综合构成一个合理的研究结构和层次。按照系统平衡的观点，信息系统安全保密追求并强调均匀性，因而各子项的研究深度要相互协调，不能重此轻彼。这就是系统论的观点。在信息系统安全保密研究的总的范畴内，不同领域的信息系统由于环境、要求的差异，表现为研究上有所侧重，这是合理且符合逻辑的。

3.历史与动态

把信息系统安全保密研究作为一个独立的课题提出还是近10年的事。IBM的高级研究员Fisher最先认识到这个问题，并于1984年出版了信息系统安全保密研究的第一部著作。同年，国际标准化组织(ISO)公布了信息处理系统参考模型，并提出了信息处理系统的安全保密体系结构(ISO-7498-2)。在这一年的国际信息处理联合会(IFIP)安全保密年会上，Fugini提出了办公信息系统的安全管理方法，把研究的触角伸向了信息系统。由于网络在信息系统中的重要地位，人们开始研究网络的安全保密问题。1985年，Voyolock和Kent提出了高级网络协议的安全保密问题。同期，分布式系统开始得到使用。1986年，Nessett提出分布式系统的安全保密问题，使信息系统安全保密研究的范围不断扩大，并逐渐走向深入。虽然在方法和技术上没有什么突破，但研究的重点逐步靠近信息系统。80年代后期，开放(信息)系统和系统互连得到了重视。进入90年代以来，信息系统安全保密研究出现了新的侧重点。一方面，对分布式和面向对象数据库系统的安全保密进行了研究；另一方面，对安全信息系统的设计方法、多域安全和保护模型等进行了探讨。随着信息系统的广泛建立和各种不同网络的互连、互通，人们意识到，不能再从单个安全功能、单个网络来个别地考虑安全问题，而必须系统地、从体系结构上全面地考虑安全保密。因此，安全保密的研究应着力于系统这个层次，把信息系统作为安全保密研究的对象。但是，信息系统安全保密研究目前还没有系统的理论，也缺乏足够的深度，整个研究还停留在量上，没有质的突破。当前，信息系统正朝着多平台、充分集成的方向发展，分布式将成为最流行的处理模式，而集中分布相结合的处理方式也将受到欢迎。今后的信息系统将建立在庞大、集成的网络基础上，因而在新的信息系统环境中，存取点将大大增加，脆弱点将分布更广。信息系统的这些发展趋势将影响安全保密的研究。信息系统安全保密研究的一种动态是，研究分布式环境及集中分布式相结合环境的安全保密策略，它反映了分布式信息系统的社会需求和传统的集中式安全保密策略的不适应性。第二种动态是，为适应多平台计算环境而研究面向整个网络的安全机制。80年代的安全保密研究主要集中于标准的一致性和单一平台的安全控制，已不能适应新一代信息系统对安全保密的要求。第二种研究动态有可能产生新的安全保密理论，至少会在方法学上有所突破。第三个动态是，在开放系统安全标准的研究和制定上，美国的TCSEC和欧洲的ITSEC标准不涉及开放系统的安全标准，而ECMATR46-A只是开放系统的安全框架，因而确定开放系统的安全评价标准极为必要，并由于人们对开放系统的普遍认同而显得迫切。

总之，信息系统安全保密研究期待理论的建立和方法的突破，只有这样才能满足信息系统迅速发展的需求，才能确保人类社会的第三大资源——信息的真正安全，并确保信息真正造福于整个人类。

4.金融信息系统安全保密研究的地位

金融信息系统是整个信息系统中最重要的一部分，有其独特的内容(如ATM系统、信用卡系统)，以及其它信息系统所没有的属性(如信息高机密性和高风险性等)。它的正常运转关系着国计民生，因此它的安全保密最必要、最重要、最迫切，无论在哪个国家都占据着最优先的地位。金融信息系统安全保密研究除了研究信息系统安全保密中的共性问题外，更要研究问题的特殊性，而且更强调研究的整体性、结构性和层次性。它适用于金融信息系统的安全保密机制，一般来说也适用于其它信息系统，反之则不一定适用。因此，对金融信息系统安全保密的研究，既要充分借鉴一般信息系统安全保密研究的成果，还要作为独特对象进行针对性研究，这也是由金融信息系统的特殊地位决定的。由于保密和其它原因，关于金融信息系统安全保密研究的公开论文和研究成果报道不多。相信随着时间的推移，这种状况将得到根本改变，因为普遍性问题需要普遍性研究，更需要全球性的交流。

四、安全保密研究的阶段划分和层次

安全保密研究伴随人类社会的发展走过了漫长的历程。其应用领域不断拓宽，研究方法有所突破，是一门古老而又年轻的科学。纵观安全保密研究的历史，有三个分水岭。一是计算机诞生前的保密学(通信安全保密)研究；二是计算机诞生后，以计算机和计算机网络为基础的信息系统广泛建立前的计算机安全保密研究；三是信息系统广泛建立、信息革命即将来临、全球信息高速公路酝酿和开始建设后的信息系统的安全保密研究。这三个分水岭对应安全保密研究的三个阶段。这三个阶段的研究互不排斥，而是相接(衔接、借鉴)相融。通信安全保密是计算机和信息系统安全保密的基础，并随着计算机和信息系统安全保密研究的提出和开展而走向深入；计算机安全保密是信息系统安全保密的重要内容，它们之间表现为相依相存的紧密关系；信息系统安全保密研究将综合前面两者的研究，并开辟新的研究方向，构成新的研究体系。在研究层次上，这三个阶段体现了递进的研究层次，前者是后者的基础和前提，后者对前者具有反馈和激励作用。一方面，没有密码学的研究成果，计算机和信息系统的安全保密研究就无法进行；另一方面，计算机和信息系统(网络)在为密码学研究提供巨大计算机资源的同时，也不断对其提出挑战。通信安全保密作为实施安全保密策略的基本工具，起着基础研究的作用；计算机安全保密利用基本密码学来研究计算机的安全保密问题，表现了研究对象的个体性，而不管计算机系统之外的事情；信息系统安全保密综合利用通信和计算机安全保密的研究成果，并将研究定位在系统这个层次，系统内的一切成份都是研究的对象。因此，若把通信安全保密比作基础层次，则计算机安全保密问题就是中间层次，而信息系统安全保密处在最高层次。

4.2市场情况

      据美国各大公司（Sun、Apple、AT&T、Compaq、IBM、Digital、SiliconGraphics、Microsoft）的预测，到达2000年左右，仅仅在美国涉及到网络安全方面的产品潜在的市场利益就在300-600亿美元左右，而全球预计网络安全产品潜在市场价值3,200-6,400亿美元。

目前，国外公司现有的电子商务整体技术方案已能较好地解决诸如网络安全、信息传输保护、身份认证、网上支付、网上结算等至关重要的技术问题，以及更可靠的防火墙、SSL技术、128位密码算法检验和面向对象的商务管理程序，满足网上安全交易的应用需求，但正是这些涉及信息安全与机密保密的方案和产品都出自国外公司（主要是美国、加拿大），考虑到国家对信息安全保密的独立要求,这些产品技术很难在国内推广应用，况且美国国家保密局严格控制美国的密码技术出口，新有密码技术产品需要得到美国国务院的出口许可，并遵守美国军队通信法规，他们定义密码技术设备为军用品，其中包括软件。这就将促使国内的信息安全技术研究机构大力发展自主技术，以尽快解决众多用户和商业机构的保密和系统安全难题。国家公安部已于1997年下半年也适时颁发了关于信息安全技术产品的认证管理条例，加紧健全国家的信息安全保密机制。更可喜的是，在短期内尚未全面建立信息安全技术产品认证检测机制和技术标准，还不能提供所有信息安全技术产品认证的情况下，公安部采取了按实际使用要求评测产品性能、未开展测试的类别产品可先应用后认证检测的操作原则。这种客观，公平的管理模式，对今后电子商务新技术的实际应用和市场技术标准的培养形成，都有莫大的裨益。就目前而言，国内尚无完整电子商务技术解快方案。据某权威机构预测，我国信息安全方面的产品市场潜在价值将达每年500-1,000亿元以上(我们取保守值100亿元)。而且该安全产品尚可外延至受美国出口限制的其他国家，特别是与美国有重大利益冲突的国家。如朝鲜，巴基斯坦，伊拉克，南斯拉夫等国家，预期市场潜在利益在500-1,000亿美元以上。这一技术的推广应用对我国的电子商务（网上银行，网上证券、网上交易）和电子数据交换（EDI）的发展起着非常重要的作用。同时，该信息安全平台还可应用在国家专用数据安全领域，如军用通信、政府办公公文系统、有线电台数据加密、专用通信网加密传输等。另外，对于集团公司而言，它对保护公司内部机密信息和网络通信也有非常重要的作用，特别是它非常有利于企业内部网（Internet）的建立。我们按保守估算今后五年内国内信息安全产品市场价值1,000亿元人民币，即使我们产品占市场份额1-10%的情况下，五年内仍可达到10-100亿元人民币的营业额，估计利润在4亿-40亿元以上。

本公司与行业内五个主要竞争对手的比较（包括潜在竞争对手）

市场销售有无行业管制，公司产品进入市场的难度分析：信息安全作为国家安全的一个组成部分,它是受国家控制的，信息安全产品需要接受国家的认证（我国由公安部、信息产业部信息安全认证中心、国家密码管理委员会等机构认定）。公司进入市场的难度主要在于事先获得国家认证，目前国内同类产品较少，而且都仅是处于起步阶段，国外产品一般很难打进国内市场。

详细描述本公司产品/服务的竞争优势（包括性能、价格、服务等方面）：目前国内虽有一些相关产品，但都只是处于起步阶段，尚未形成完整的安全加密平台，况且他们都往往偏重于某方面的应用，对我们有潜在的竞争力，但在技术和市场方面谁也没奠定优势。本公司一开始就构建安全加密平台，而该安全加密平台正是构建信息安全产品的核心技术。目前市场上的大部分产品，公司在1年以内可开发完成，在两年以内，公司能形成完善的产品体系，能具备国际竞争力。

公司未来3-5年的销售收入预测（融资成功情况下）（万元）

第五部分  营销策略

在建立销售网络、销售渠道、设立代理商、分销商方面的策略：全国按各片区中心城市设立办事处，对于有营销渠道的商家授权代销，允许代理商（或个人）获高额利润，但不允许其偏离公司营销策略，要求其签订某些限制性的合同。

在广告促销方面的策略：重点突出“国际先进技术、国内自主产权，国家认可的高强度安全产品、用户安全的贴心人，良好的服务质量，急用户之所急”。

在产品销售价格方面的策略：不谋暴利，但求更快的占领市场。允许用户逐次付款，建立良好的销后服务及技术支持体系，适当收取用户合理的服务费用，以“细水长流”保证公司的长远利益。在给予用户足够的优惠之时，可要求用户签订某些限制性的合同，如一定时间内不得使用其他竞争对手的产品等。

在建立良好销售队伍方面的策略：必要的专业技术培训，并且使其明确公司的市场方向和策略，鼓励并支持销售人员提出并修正市场营销方案。市场开拓是一个不断学习的过程，鼓励员工之间多交流，多总结。

产品售后服务方面的策略：产品是切入市场的基础，在IT行业，产品不仅仅是产品，更重要的是一种服务。从长远而言，利润的增长点不在于产品，而是在于服务。我们在满足用户合理的要求时，可要求用户支付少额的合理的服务费用。

其它方面的策略：由于本项目有一定的专用性，疏通市场环节宜从上而下选择辐射点，然后由上而下铺开。优先切入点可考虑：政府机关、军队、银行证券业、EDI建设单位、电信部门、IT系统集成开发商等。在营销策略方面既要注重利润，但更重要的是迅速抢占市场。

根据营销策略，预算未来3-5年销售费用（包括人工费用）（万元）

第六部分   管 理

请说明，为保证融资项目按计划实施，公司准备今后各年陆续设立哪些机构，各机构配备多少人员，人员年收入情况。请用图表统计表示出来，附在本调查表后。办公场所及办公设备100-150万元（含管理费），前半年配备人员50人左右，高级技术人员采用项目奖金的形式以后给予补偿。后半年由于工作的重点在产品认证及市场开发，需要增设市场人员5-10人，市场开发费用初步预算为500-1,000万元，技术开发方面全年投资1,000-2,000万之间。

公司对管理班子及关键人员将采取怎样的激励机制：公司核心管理成员由董事会决定，采取总经理责任制的方式进行管理。核心管理成员作为股东的代表，不般不再奖励股份（特殊贡献者除外），但可设立管理专项奖，关键技术人员公司视其具体情况给予股份奖励，还可设立技术开发奖。市场人员其待遇主要视其工作业绩而定，可设立市场开拓奖。对于一般员工，可设立优秀员工奖。另外公司还应有一定的员工培训制度。

公司是否考虑员工持股问题，请说明：对于关键技术人员或对公司有特殊贡献的员工（包括技术人员、管理人员、市场人员等）将配以一定份额的股份。但是最好的是通过技术开发奖、市场开拓奖，管理专项奖的方式给予员工以激励。

公司是否与掌握公司关键技术及其它重要信息的人员签定竞业禁止协议，若有，请说明协议主要内容：有。协议的主要内容是限制关键技术人员偷窃公司机密技术，并将之带给行业竞争对手或自己从事投资活动。对于公司机密技术应划分不同机密级别，分别由不同技术人员所掌握。

公司是否与每个雇员签定劳动用工合同：是

公司是否与相关员工签定公司技术秘密和商业秘密的保密合同：是

公司是否为每位员工购买保险，请说明保险品种：将考虑

公司是否存在关联经营和家族管理问题，若有，请说明：允许存在关联经营和家族管理，但是每一股东只能派一人进董事会或公司核心管理层（特殊才能者除外，最好是不允许家族管理）。

公司与董事会、董事、主要管理者、关键雇员之间是否有实际存在或潜在的利益冲突，如果有，请说明解决办法：多多少少总会有一些利益冲突的，但最主要的是切实平衡各方面的利益，事先制定好合作协议，或通过友好协商解决，一切工作的重点在于把公司发展起来。

请说明，公司对知识产权、技术机密和公司机密的保护措施：公司与员工签定保密合同，对关键知识产权申请国家专利保护。员工在公司工作期间，工作职责之内的工作成果完全属公司所有。对于关键技术，公司建立保密制度，分不同密级。控制技术机密泄露。

请说明，项目实施过程中，公司需要哪些外部支持，如何获得这些支持：项目实施过程中，公司需要政府的支持和市场的认可。同时也需要其他一些合作伙伴。我们可以在本着互利互惠的前提下，尽量争取一切可能的朋友。

第七部分  融资说明

为保证项目实施，需要的现金总额是多少：2,000万-10,000万元人民币。

请说明投入资金的用途和使用计划： 2,000万为产品开发费用，300万元为产品认证费用（估计此费用上限500万元），市场开拓费用500-1,000万元。办公用品及场地150万元，流动资金100万，总共3,050万（公司现已投入1000万）。该资金能保证公司一年以内的正常运作，但不含下一年的运营经费。如能融资10,000万则能保证下一年的后继开发和市场开拓，在投资策略未发生重大变化的情况下，能保证公司今后逐步自行发展壮大。

拟让投资方参股本公司里，还是与投资方成立新公司，为什么：拟成立新公司或让投资方参股本公司。本项目技术开发难度大，技术含量相当高，投资资金需求量大，与现有公司合作不便于理顺产权关系，也不便于保护投资方的利益。

拟向投资方出让多少股份，计算依据是什么：拟向投资方出让10-40%的股份。股份分配方案主要由各股东的投资额、投资风险性，项目技术含金量的多少和项目市场的前景而定。投资第一年，按预测销售额5,000万-10,000万元（获利2,000万-4,000万元），主要用于公司发展，不得进行分红。第二年销售额5-10亿元（纯利润2亿-4亿），

第三年，销售额20亿元（纯利按8亿计），第四年，销售收入50亿元（纯利20亿元），第五年，销售收入100亿元（纯利40亿元）。

预计未来3-5年平均每年资产回报率是多少

100%---1000%以上。

拟向投资方提供怎样的监督和管理权力：由投资方和本公司共同组成董事会，投资方通过董事会拥有一切监督和管理权，特别是财务审批权，财务监督权、财务终审权及其项目的决策权。

如果你做为项目实施者，没有实现项目发展计划，你愿意出让你在公司中的哪些利益：如果没有实现项目发展计划，可以与资方协商签订合作协议来解决。

你希望投资者以何种方式退出，这种方式是否具有操作性：希望与投资者长期性合作经营，共创大业。如果投资方实在希望退出，也需经董事会共同协商而定，一般应规定资方在两年之内不得退出。资方如确需退出，一是通过投资方回购股权或他方认购股权，二是通过股票上市。

与公司业务有关的税种有哪些，公司享受哪些政府提供的优惠政策，尤其是减免税等方面的优惠政策：申请国家高新技术企业及申请国家高新技术项目，争取得到国家的支持与援助。

第八部分  风险控制

请详细说明该项目实施过程中可能遇到的风险（包括政策风险、技术开发风险、经营管理风险、市场开拓风险、生产风险、财务风险、汇率风险、对公司关键人员依赖的风险等），提出有效的风险控制和防范手段：可能遇到的风险主要有：经营管理风险、市场开拓风险、市场预测风险、资金风险、技术开发风险。

A、             技术风险：由于核心技术已基本解决，所需的工作主要是将之产品化及其配套产品的研发，基本上无重大风险，其主要风险在于时间风险，必须保证产品尽快研发成功，占领市场。

风险控制：重点把好技术管理，质量控制，项目进度控制，产品研发以市场需求为主导。

B、              市场风险：1、市场预测风险，表现在实际市场价值可能比预测价值小（当然也可能更大）；2、项目赢利周期过长的风险，项目赢利周期可能比预测的更长，如此一来可能使公司运作资金上发生困难，导致该风险的因素不仅与公司内部经营管理决策失误有关之外，还与国家政策及行业发展的大市场背景有关；3、市场目标风险。随着市场条件的变化，有可能使公司不能完成预定市场目标。

风险控制：如上所述，即使实际市场价值低10倍的话，其市场前景也足以使公司得到巨额回报。项目赢利周期过长从而导致公司运作资金困难，一方面公司将适时调整市场策略。同时兼顾短期与长远利益，做好投资预算；另一方面公司将进行再次融资以解决资金问题。对目前而言，国家高度重视信息产业，随着信息基础设施的逐渐完善和WTO的临近，电子商务势在必行，众商家正在密切关注着这一新的利润增长点。甚至连军队也越来越注重电子信息战的概念，从大环境上看，我们正是适得其时。至于市场目标风险，实际上是一个产品“圈地”运动，除产品质量与资金投入外，最主要还是一个市场营销策略。我们在注重产品短期利润的同时，应更注重迅速占领市场。只有快速行动才能致胜。

资金风险：由于本项目涉及到技术开发及其市场开拓难度相当大。其资金预算很难一下子完全算准确，可能实际需求资金会更大，在有限的资金条件下，一是其中某些产品可能难以后续开发或进行市场推广。二、是可能实际到位资金太少，或一时未能融资成功，影响项目开发进度，从而使产品在市场竞争中处于相当不利的地位。

   总而言之，以上几方面互为影响，互为联系，要切实抓好每一环，缺一不可。做到以市场为主导，技术为手段，资金为保障。各合作方要团结一致，顾全大局，尽量做到风险防患于未然。

第九部分  项目实施进度

请说明，本项目实施过程中，哪些任务非常关键，以至于它们的实现成为项目各阶段的里程碑：在本项目实施过程中，第一年的重点工作在于产品开发，主要包括安全加密系统平台、加密机系列、网络安全软件、SET系列产品（证书认证系统、银行支付网关等）等。另外做好市场开拓及产品认证工作，为下一年的发展做好准备。第二年，在保证上述产品后继开发的前提下，全力开拓市场，第二年是非常关键的一年，也是奠定行业地位关键的一年，在这一年里公司全面步入赢利期。第三年视市场需求，在做好公司拳头产品的同时，积极开拓新的项目，该年度应着重考虑进入国外市场的可能性。第四年，主要是要稳住国内市场，全力进入国外市场，第五年，确定公司新的利润增长点，进行公司结构大调整，着重考虑上市的可能性。

（注：项目开发进度及发展规划情况另有详细说明，在此不再阐述。）

第十部分  资金预算

注：

1、  以上的所有销售额均按保守情况预测，实际的销售额极可能超过此数字。

2、  资金方只在公司成立的第一、二年投入资金，第三年开始公司依靠销售产品的收入作为投入。

3、  关于股东的分红问题具体可由董事会决定，但务必为公司的正常运转保证足够的资金。

4、  如果投资策略改变需要再次注资或融资扩股，可由董事会裁决