高强度信息安全平台商业计划书Word格式.docx

1、争取销售收入100亿元。公司近期的发展方向和发展战略：公司争取在1年以内开发完成安全加密平台，并应完成“网络安全狗”软件，加密机系列产品，紧密配合国内电子商务发展趋势，尽快完成SET系列产品。并利用已开发完成的产品，大力开拓市场，为下一年公司的继续发展提供必要的资金。公司成立前半年，主要工作力度应放在研发方面，半年之后在保证技术开发的前提下，大力拓展市场，争取尽快完成国家相关部门的认证工作，并且争取向政府部门申请高新技术企业特号。公司未来3-5年发展方向和发展战略：第一年主要奠定产品及市场基础，第1年为投入期，收益期基本上是从第二年开始的。从第二年开始公司营业收入在确保公司继续发展的情况下，为

2、确保投资方利益，逐步返回部分收益给投资方。第二年的发展是非常重要的一年，这一年应奠定产品及市场对竞争者的优势，重点开拓国内市场;第三年的工作重点是继续把握国内市场，同时大力开拓国外市场。对公司而言，第三年将可能是受益与发展最大的一年。经过三年的国内市场拓展，国内市场将可能会出现一定的紧缩性，此时产品开发方面应确定新的发展项目，为公司创造新的利润增长点作准备。第四年，争取在国内市场保持一定的份额，此时国内销售额可能会下降，但一定要把国外市场扩大起来，估计利润增长点在国外市场。第五年，可能为本项目市场全面收缩期，但通过前几年的资金储备及已发展了新的项目，公司经营上会有诸多困难但应能解决。在本项目方

3、面的投资应适度收缩，全力拓展其他项目。第二部分 产品/服务产品/服务描述（主要介绍产品/服务的背景、目前所处发展阶段、与同行业其它公司同类产品/服务的比较，本公司产品/服务的新颖性、先进性和独特性，如拥有的专门技术、版权、配方、品牌、销售网络、许可证、专营权、特许权经营等。）随着网络技术的发展，网络安全问题变得越来越突出。如何保护网络信息数据的机密性、可靠性、完整性和可用性，以及网络交易的不可否认性、真实性，已经成为商家和用户十分关心的话题。本项目（安全加密平台）正是基于这一背景下产生的。目前，本项目已初步开发完成，并具有以下特点：1原代码采用ANSI C开发，能适用于Windows（Wind

4、ow9.X，NT4.0）、Dos、Unix（Linux、Solaris、Free BSD）等系统平台。2所有加密算法，安全特性及其安全协议均完全遵循国际或国家标准。3无任何2000年问题。4性能上，已完全实现线程级安全，所有函数库是可重入的。主要核心加密操作作了大量的代码优化（为提高性能，视具体硬件平台的不同尚可改用汇编语言实现），能适应宽带数据加密的需要（例如:宽带卫星通信、有线电台加密等）。5数字证书管理方面，已能支持下述证书类型：SSL服务/客户机证书S/MIME邮件证书SET证书X.509Verion1证书X.509Version3证书代码签署证书IP加密隧道证书网关加密证书时间戳证书

5、6.密钥库存储方式主要支持Oracle、MS SQL等关系数据库,LDAP目录服务，今后尚可扩充至其他存储方式。（Windows环境下支持ODBC数据库接口,DOS环境下正在实现Dbase接口,Unix环境下暂仅支持Oracle接口,今后尚可扩展对Informix、InterBase、DB2、SyBase、My SQL的支持。）7.已预留接口对智能卡的支持。8.已完整实现Blowfish、Cast-128、Cast-256、Diamond、Gost、IDEA、Mars、Misty1、RC2、RC4、RC5、RC6、Rijndael、Twofish、DES、Triple DES、Safer、Sa

6、fer-SK、Skipjack、MD2、MD4、MD5、MDC-2、RIPEMD-160、SHA、SHA1、HAVA1、HMAC-MD5、HMAC-SHA、HMAC-RIPEMD-160、Diffie-Hellman、DSA、Elgamal、RSA等算法，所有加密算法已无密钥大小限制且无任何“陷阱”与“后门”，用户可酌情使用适当大小的密钥。9.已预留接口对安全随机数生成的应用。据悉，目前国内尚无同类性能产品。10已预留接口对自定义加密算法及国产算法的支持。应用该安全加密平台，还可以衍生以下安全产品。（1）网络安全狗软件（简称网狗），保护用户计算机信息文件的安全，类似于上海格尔软件公司的”网盾”

7、软件（该软件已随联想品牌机随机赠送，广获用户好评，本公司运用本加密平台。可在3个月内将之产品化。）。（2）加密机系列：1、真随机数生成器（包括密钥生成器）；2、高强度对称密钥加密机；3、高强度不对称密钥加密机；4、分布式加密机群（主要为了满足大型商务机构）。基本能在内5-6月内完成。（3）SET系列产品：客户电子钱包商户电子商店。支付网关。CA证书认证系统，国内已有公司正在申请国家重点项目，如上海格尔软件等，但基本上不会在一年内彻底完成，况且该公司仅开发了基于NT和IIS SERVER的的产品，目前尚无基于Unix的产品。本公司今后拟联合国内Linux开发商共同推出安全的操作系统、安全的WEB

8、 SERVER、安全的数字证书认证系统等，并争取6个月之内完成。（4）防火墙系列：应用代理服务器。IP加密隧道。公司现有的和拟申请的知识产权（专利、商标、版权等）：拟向国家公安部、国家密码管理委员会、国家信息安全测评认证中心申请认证。公司是否已签署了有关专利权及其它知识产权转让或授权许可的协议等，如果有，请说明，并附主要条款：视市场情况和用户需求而定，主要是某些加密算法需要授权许可。产品面向的用户有哪些种类：国家安全部门、军队、政府、银行、证券商、电信局（通信局）、大中型企业、软件开发商、税务及海关部门、保险行业、公安部门、大专院校及科研机关、有线电视台、一般计算机用户等。产品更新换代周期：1

9、-3年产品的售后服务和技术支持:在市场开发初期，拟在全国按片区设立办事处（市场人员及售后服务人员将在公司进行集中培训）。能由办事处解决的，由办事处派人解决，否则通过E-mail或传真返回给公司，由公司在24小时内作出答复。产品销售成本的构成及销售价格制订的依据：高新技术产品的销售价格主要是由其附加的高科技含量及其市场因素所决定的，同时参照其他公司同类产品、本产品的开发成本及销售管理费用等。产品销售成本主要由开发成本+公司管理成本+运费+销售费用+投资风险费等构成。例如国内市场私钥加密机每台20万元人民币（据澳大利亚报价），我们的成本不足2万元，4万元即可出售，毛利润达100%。国际市场每台1万

10、美元即可出售。毛利润达400%。 产品形成规模销售时，毛利润率为100%以上，纯利润率80%以上。如果产品已经在市场上形成了竞争优势，请说明与哪些因素有关（如成本相同但销售价格低、成本低形成销售价格优势、以及产品性能、品牌、销售渠道优于竞争对手产品，等等）在市场开发初期，只能在成本控制上下功夫，同时保证产品性能的优越性、做到“人无我有，人有我优，人优我转”，同时尽早形成品牌。如果要想产品形成竞争优势，主要是做好以下几方面的工作：是在管理上下足功夫，尽力降低成本；二是形成品牌优势，提升企业形象，在保证产品性能优势的前提下，做好服务，急用户之急；三是建立合理的销售渠道，加大市场宣传力度,尽快抢占市

11、场。第三部分 研究与开发公司已往的研究与开发成果及其技术先进性（包括技术鉴定情况、获国际、国家、省、市及有关部门和机构奖励情况）核心安全技术已开发完成，它完全遵循国际或国家标准，可达国际同类产品先进水平，但急需将其产品化，以便尽早进入市场。公司参与制订产品或技术的行业标准和质量检测标准情况：就本项目而言，主要是遵循国际或国家标准。包括ANSI X3.92，ANSI X3.106，ANSI X9.9，ANSI X9.17，ANSI X9.30-1，ANSI X9.30-2，ANSI X9.31-1，FIPS PUB 46-2 FIPS PUB 74，FIPS PUB 81，FIPS PUB 11

12、3，FIPS PUB 180，FIPS PUB 180-1，FIPS PUB 186，ISO/IEC 8372，ISO/IEC8731 ISO/IEC 8732，ISO/IEC 8824/ITU-T X.680，ISE/IEC 8825/ITU-T X.690，ISO/IEC 9797，ISO/IEC 10116，ISO/IEC 10118，PKCS#1,PKCS#3，PICS#7，PKCS#9，PKCS#10，RFC1319，RFC1320，RFC 1321，RFC 1750，RFC 2104，RFC 2144，RFC 2268，RFC 2312，RFC 2313，RFC 2314，和RFC

13、 2315等。公司在技术与产品开发方面的竞争对手情况，以及公司为提高竞争力拟采取的措施：国际上，以IBM、HP、Microsoft等公司最具有技术优势，但其在我国存在市场限制。国内暂时以上海格尔公司稍具技术优势，其他竞争对手有一定的政府背景，存在市场服务优势（如可申请作证书认证中心等），但不存在技术优势。我们有能力在1-2年奠定技术优势。公司近期主要是把好质量控制关，做“人无我有、人有我优、人优我转”，在项目管理及公司管理上下功夫，大力降低成本，形成价格优势，并且建设合理的市场渠道和服务体系。扬长避短，提高产品品牌效应，迅速抢占市场。到目前为止，公司在技术开发方面的资金总投入是多少，计划再投入

14、的开发资金是多少（包括购置开发设备、开发人员工资、试验检测费用、以及与开发有关的其它费用）：公司目前在技术上的开发成果潜在价值不在8,000万元以下。公司运作前半年计划投入研发资金600万，全年约2,000万元。请说明，今后为保证产品质量、产品升级换代和保持技术先进水平，公司的开发方向、开发重点和正在开发的技术和产品：首先保证安全信息加密系统平台的研发成功，解决核心技术问题。之后可以由此衍生以下增值产品：1、网络安全狗软件（简称网狗），保护用户计算机信息文件的安全。2、加密机系列：真随机数生成器（包括密钥生成器）；高强度对称密钥加密机；高强度不对称密钥加密机；分布式加密机群（主要为了满足大型商

15、务机构）。3、SET系列产品：CA证书认证系统。4、防火墙系列：应用理代服务器。公司现有技术开发资源以及技术储备情况：就本项目而言，主要核心技术已基本解决，所需的是将技术产品化，市场化的问题，基本无重大技术风险。公司将采取怎样的激励机制和措施，保持关键技术人员和技术队伍的稳定：最主要的是要将公司的发展同员工个人的发展结合起来，使员工把公司作为自身的依托，使员工觉得公司就是自己的家。另外，也要与员工签定劳工合同，加强法律保护，以避免员工对公司所造成的各种不利影响。切实加强技术管理工作，特别是技术文档制度。 公司未来35年在研发资金投入和人员投入计划（万元）年份第1年第2年第3年第4年第5年资金投

16、入（含基本设备费）2,0008,0005,00010,000人员（个）100人220人260人320人460人第四部分 行业及市场情况4.1行业发展历史及趋势（行业专家请略过）安全保密研究的过去、现在和未来保密术伴随阶级和国家的出现而诞生，并在政治、军事、外交斗争中作为重要工具被充分使用。人们在使用保密术的过程中，不断进行研究和实践，形成了一系列安全保密的方法和手段，逐渐使之变成一门学科保密学。而今,计算机的出现和广泛普及，使人类社会步入信息化时代，也使安全保密研究揭掉了神秘的面纱，成为大家感兴趣并能为更多人服务的科学。从通信安全保密、计算机安全保密，直到信息系统的安全保密，社会的发展对安全保

17、密的研究提出了越来越高的要求。一、通信安全保密研究保密学是研究通信安全保密的科学，是保护信息在信道的传递过程中不被敌方窃取、解读和利用的方法。保密学包含两个相互对立的分支：密码学和密码分析学。前者是研究把信息（明文）变换成为没有密钥不能解读或很难解读的密文的方法；后者是研究分析破译密码的方法。它们彼此目的相反，相互对立，但在发展中又相互促进。在密码学中，需要变换的原消息称为明文消息。明文经过变换成为另一种隐蔽的形式，称为密文消息。完成变换的过程称作加密，其逆过程（即由密文恢复出明文的过程）称作解密。对明文进行加密时所采用的一组规则称作加密算法，对密文进行解密时所采用的一组规则称作解密算法。加密

18、和解密操作通常在密钥的控制下进行，并有加密密钥和解密密钥之分。传统密码体制所用的加密密钥和解密密钥相同，称为单钥或对称密码体制。在由Diffe和Hellman提出的新体制中，加密密钥与解密密钥不同，称为双钥或非对称密码体制。密钥是密码体制安全保密的关键，它的产生、分配和管理是密码学中的重要研究内容。密码学的任务是寻求生成高强度密码的有效算法，满足对消息进行加密或认证的要求。密码分析学的任务是破译密码或伪造认证密码，窃取机密信息或进行诈骗破坏活动。对一个保密系统采取截获密文、进行分析的方法进行进攻，称为被动进攻；非法入侵者采用删除、更改、添加、重放、伪造等手段向系统注入假消息的进攻是主动进攻。进

19、攻与反进攻、破译与反破译是保密学中永无止境的矛与盾的竞技。通信安全保密研究围绕寻找更强更好的密码体制而展开。从代换密码、单表代换密码、多名代换密码、多表代换密码、转轮密码和多字母代换密码等古典密码体制到现代密码体制，通信安全保密研究不断向前发展。在通信和通信安全保密研究的历史中，Shannon做出了特殊的贡献。他在1948年发表的“通信的数学理论”，首次把数学理论运用于通信，开创了通信研究的新视角，在科学和工程界引起了强烈反响。他在1949年发表的“保密通信的信息理论”，把安全保密的研究引入了科学的轨道，使信息论成为研究密码学和密码分析的一个重要理论基础，宣告了科学的单钥密码学的到来，创立了信

20、息论的一个新学科。可惜，这篇重要文章在30年后，也就是人类开始步入信息时代时才引起普遍重视。70年代中期，在安全保密研究中出现了两个引人注目的事件。一是Diffe和Hellman发表了“密码学的新方向”一文，冲破人们长期以来一直沿用的单钥体制，提出一种崭新的密码体制，即公钥或双钥体制。该体制可使发信者和收信者之间无须事先交换密钥就可建立起保密通信。二是美国专家标准局（NBS）公开征集、并于1977年1月15日正式公布实施了美国数据加密标准（DES）。公开DES加密算法、并广泛应用于商用数据加密，这在安全保密研究史上是第一次。它揭开了保密学的神秘面纱，大大激发了人们对安全保密研究的兴趣，吸引了许

21、多数学家、计算机专家和通信工程界的研究人员参加研究。这两个事件标志着现代保密学的诞生。随着信息高速公路的兴起，全球信息化建设步伐不断加快，通信安全保密研究将会得到更进一步的发展。二、计算机安全保密研究随着计算机在社会各个领域的广泛使用，围绕计算机的安全保密问题越来越突出，计算机的安全保密研究成为极为重要的任务。与通信安全保密相比，计算机安全保密具有更广泛的内容，涉及计算机硬件、软件、以及所处理数据等的安全和保密。除了沿用通信安全保密的理论、方法和技术外，计算机安全保密有自己独特的内容，并构成自己的研究体系。在数据安全保密问题得到广泛认识以前，计算机的安全保密在绝大多数人的印象中是指硬件的物理安

22、全。但是，当今计算机远程终端存取、通信和网络等新技术已取得长足的发展，单纯物理意义上的保护措施除可保护硬件设备的安全外，对信息和服务的保护意义越来越小。数据安全保密已成为计算机安全保密的主题，而且研究的重点是内部问题，即由合法用户造成的威胁（或许是无意的）。事实上，绝大多数的计算机犯罪是内部知情者所为，因此70年代以来，计算机安全保密研究的重点一直放在解决内部犯罪这个问题上。计算机安全保密研究数据的保密性、完整性和服务拒绝三方面内容。数据保密性解决数据的非授权存取（泄露）问题；数据完整性保护数据不被篡改或破坏；服务拒绝研究如何避免系统性能降低和系统崩溃等威胁。在计算机安全保密研究中，美国的Ga

23、sser提出了系统边界和安全周界概念。他认为，在计算机安全保密的一切努力中，必须对系统边界有清晰的了解，并明确哪些是系统必须防御（来自系统边界之外）的威胁，否则就不可能建造一个良好的安全环境。他进一步指出，系统内的一切得到保护，而系统外的一切得不到保护。系统内部由两部分元素组成：一部分与维护系统安全有关，另一部分与系统安全无关。应对与安全相关的元素实行内部控制。这两部分的分开靠一个想象中的边界，称作安全周界。Gasser的观点很有代表性，反映了计算机安全保密研究的一种方法，但有一定的局限性。系统周界的限制使这种研究方法很难适用于以计算机网络为特征的信息系统安全保密的研究。在计算机安全保密研究中

24、，主体（subject）和客体（object）是两个重要概念，保护客体的安全、限制主体的权限构成了存取控制的主题。这两个概念的提出使计算机安全保密中最重要的研究内容存取控制的研究问题得以抽象化，抽象化的结果是可以模型化，这就使计算机安全保密研究前进了一大步。1971年，Lampson提出了存取监控器的雏形。存取监控器是一个重要的存取控制抽象模型，为保护思想的实现提供了基本的理论。在存取监控器中，所有主体必然根据系统存取授权表来实现对客体的存取，对客体的每次存取、以及授权的改变都必须通过存取监控器。1972年，Schell提出了安全内核的概念。1974年，Mitre证实了构筑安全内核的可能性。安

25、全内核的提出是信息安全保密研究的一个重要成果。安全内核方法为用有条理的设计过程代替智力游戏，从而构筑安全的计算机系统，进而为信息系统的开发建立安全的平台提供了理论基础。1978年，Gudes等人提出了数据库的多级安全模型，把计算机安全保密研究扩展到数据库领域。1988年，Denning提出了数据库视图技术，为实现最小泄露提供了技术途径。1984-1988年间，Simmons提出并完善了认证理论。类似于Shannon的保密系统信息理论，Simmons的认证理论也是将信息论用于研究认证系统的理论安全性和实际安全性问题。认证主要包括消息认证、身份验证和数字签名，其中身份验证是存取控制中的一个重要方面

26、。三、信息系统安全保密研究当计算机普及到一定程度时，以计算机和计算机网络为基础的信息系统就成为计算机应用的主要形式，研究信息系统的安全保密就和建立信息系统同样重要和迫切。1.背景信息系统的广泛建立和规模化，使计算机的应用形式上升为网络形态。这种网络化的信息系统在系统内纵向贯通，在系统间横向渗透，构成了集通信、计算机和信息处理于一体的庞大复杂的巨系统，成为现代社会运转不可缺少的基础。信息系统规模化发展势头强劲，这从一个侧面预示了信息革命的到来，同时也深刻反映了当今社会对信息系统的巨大依赖性。信息系统安全无误的运转变得空前重要，并引起了各国政府和研究机构的高度重视。与计算机安全保密不同，信息系统以

27、网络化为特处，成份多、环节多，既要解决系统内的异构问题，又要满足元素间的互操作要求，因而用计算机安全保密的一套办法来研究信息系统的安全保密不甚适宜。信息系统有自己独特的内在规定性，因而把信息系统安全保密作为独立课题加以研究势在必行。2.范畴信息系统的组成成份复杂，覆盖面广；信息处理既有集中式，又有分布式构成其基础的计算机、操作系统和网络既可能是同构的，也可能是异构的；实现计算机联接的网络结构可能是多种拓朴结构的混合；所用的网络组件繁杂，通信介质多种多样；信息出/入口多，且分布面广。因此，信息系统的安全保密具有无所不包的内容广泛性，它的实现必然是所有安全保密学科的综合运用。信息系统安全保密研究的

28、对象是系统而不仅是系统中的某个或某些元素，系统内所有元素或成份都是研究的内容。从系统内看，研究内容包括通信安全（COMESC）、计算机安全、操作安全（OPSEC）、信息安全、人事安全、工业安全、资源保护和实体安全；从系统外看（因为系统不是孤立的），研究内容还包括管理和法律两个方面，它们的综合构成一个合理的研究结构和层次。按照系统平衡的观点，信息系统安全保密追求并强调均匀性，因而各子项的研究深度要相互协调，不能重此轻彼。这就是系统论的观点。在信息系统安全保密研究的总的范畴内，不同领域的信息系统由于环境、要求的差异，表现为研究上有所侧重，这是合理且符合逻辑的。3.历史与动态把信息系统安全保密研究作

29、为一个独立的课题提出还是近10年的事。IBM的高级研究员Fisher最先认识到这个问题，并于1984年出版了信息系统安全保密研究的第一部著作。同年，国际标准化组织（ISO）公布了信息处理系统参考模型，并提出了信息处理系统的安全保密体系结构（ISO-7498-2）。在这一年的国际信息处理联合会（IFIP）安全保密年会上，Fugini提出了办公信息系统的安全管理方法，把研究的触角伸向了信息系统。由于网络在信息系统中的重要地位，人们开始研究网络的安全保密问题。1985年，Voyolock和Kent提出了高级网络协议的安全保密问题。同期，分布式系统开始得到使用。1986年，Nessett提出分布式系统的安全保密问题，使信息系统安全保密研究的范围不断扩大，并逐渐走向深入。虽然在方法和技术上没有什么突破，但研究的重点逐步靠近信息系统。80年代后期，开放（信息）系统和系统互连得到了重视。进入90年代以来，信息系统安全保密研究出现了新的侧重点。一方面，对分布式和面向对象数据库系统的安全保密进行了研究；另一方面，对安全信息系统的设计方法、多域安全和保护模型等进行了探讨。随着信息系统的广泛建立和各种不同网络的互连、互通，人们意识到