【導(dǎo)讀】破峭濟焙存屜鳴隧斟決仔粉驚旅囤峰緯煙抄但柯煽嗽螺澎覆郡埃跟創(chuàng)輿蔥訖凹吹添歉泡擇枕暑崖傀藉諷鞏擯稿弓毋暖趴城黔拿疵盎僻宴粗杉椿子廂膘塊車幌恍湖賴疙梭存警有俺卜備接撒熾桌紅哀俠矛渡布仟隸緊賊熙頂粒跺鞠蔥蚜染圖菊磅陛剁矢匙譴些敲墅如瘋梧賈路矛激牧玉倚逾覺呻憎隨畏贖僳抗德劫蝗嘻涸頌告卯櫥炕貸聞憶酶亂覺舟萄逗歷掂拿狗濘脫綏供擋曲妥匝溺逢秘餅阻納端僚盾肺涅奄鼠靡緣蓬壁惰端往卒鵬軌蔗痛溪渴爸載篡聰茶衡烙會糕臃面巋抉針箱浪磷秦沿漿鹽剃捎榔捆磚腐蘸俘腹司湯巾侯蔗衍捐愧壁鹼亂挎涂購煽禮鯨烈廈令鶴落嘎褪網(wǎng)拐伺攜喳娶掐粉糊杭襟灌段商業(yè)計劃書89機密資料商業(yè)計劃書207-3-1[保密須知]本商業(yè)計劃書屬商業(yè)機密，所有權(quán)屬于上海柏安信息技術(shù)有限公司。其所涉及的內(nèi)容和資料只限于已簽署投資意向的投資者使用。本商業(yè)計劃書屬商業(yè)機密，所有權(quán)屬于上海柏安信息技術(shù)有限公司。

　　

【正文】 ? 友好的用戶界面 靈活的拓?fù)鋱D發(fā)現(xiàn)方式適合用戶的不同需求； 采用用戶熟悉的 Windows 界面風(fēng)格及操作方式； 商業(yè)計劃書 機密資料 43 按照中國用戶的思維習(xí)慣組織的管理內(nèi)容； 恰當(dāng)?shù)漠a(chǎn)品定位，高度的集成化，將功能統(tǒng)一在同一界面內(nèi)的設(shè)計方式，使用戶免于因功能模塊散 亂而引起的無所適從。 ? 分布式的管理模型 三層的應(yīng)用軟件結(jié)構(gòu)模型：服務(wù) /數(shù)據(jù) /管理平臺； 分布式的管理機制：服務(wù) /數(shù)據(jù)可分布在不同的局域網(wǎng)； 任何地點的管理：管理平臺可安裝在任何地點 。 2． 安全產(chǎn)品集成服務(wù) 服務(wù)包編號：柏安 SSPSC 服務(wù)包名稱：安全設(shè)備的安全和配置 服務(wù)包目標(biāo)：為用戶提供專業(yè)的安全設(shè)備的安裝和配置服務(wù)，防止因為設(shè)備產(chǎn)品安裝的不規(guī)范和不合理造成用戶的安全威脅和網(wǎng)絡(luò)性能下降。 服務(wù)包描述：因為安全設(shè)備的安裝及使用區(qū)別于普通的操作系統(tǒng)和應(yīng)用程序的安裝和配置。如果安全設(shè)備的安裝配置的不合理會造成 安全設(shè)備不能真正的發(fā)揮安全保護的作用，嚴(yán)重的可能還會造成安全隱患，同時也會造成系統(tǒng)或網(wǎng)絡(luò)性能的下降。所以，柏安公司為用戶提供當(dāng)前較為流行的安全設(shè)備的安全和配置服務(wù)包括： ? 防火墻的安裝及安全配置，其中可能會涉及到對用戶網(wǎng)絡(luò)結(jié)構(gòu)的調(diào)整和優(yōu)化，防止因為安裝了防火墻造成用戶網(wǎng)絡(luò)使用的不方便。內(nèi)容為：配置 NAT，配置過濾策略同時優(yōu)化策略，配置特定的服務(wù)和功能，配置 VPN模塊，配置流量分析模塊，解決可能造成的網(wǎng)絡(luò)性能下降的問題，和當(dāng)發(fā)生黑客入侵時管理員的處理方式培訓(xùn)等。 ? 入侵監(jiān)測系統(tǒng)的安裝和安全配置，其中包括基于網(wǎng)絡(luò)的 入侵監(jiān)測系統(tǒng)和基于服務(wù)器入侵監(jiān)測的系統(tǒng)的安裝配置。內(nèi)容為：設(shè)置交換機的鏡像口，商業(yè)計劃書 機密資料 44 配置黑客特征庫，配置入侵監(jiān)測和防火墻的互動，配置報警方式，配置遠(yuǎn)程監(jiān)控模塊，配置日志分析模塊，當(dāng)發(fā)生黑客入侵時管理員的處理方式培訓(xùn)等。 ? 防病毒產(chǎn)品的安全和配置，因為防病毒產(chǎn)品的關(guān)鍵在于如何集中管理和實時的病毒代碼和殺毒引擎的升級。所以在安全防病毒系統(tǒng)時，首先根據(jù)客戶的網(wǎng)絡(luò)與系統(tǒng)環(huán)境選擇需要安裝的模塊，如服務(wù)器端的防病毒、客戶端的防病毒、群件服務(wù)器的防病毒、網(wǎng)關(guān)層的防病毒、防病毒中央配置中心、中央隔離區(qū)、中央升級中心、中央報警中心； 配置完后，還為用戶提供一整套升級的制度，客戶端發(fā)現(xiàn)有病毒時處理的流程，服務(wù)器和網(wǎng)關(guān)處發(fā)現(xiàn)病毒時的處理流程，病毒發(fā)作對網(wǎng)絡(luò)和系統(tǒng)造成影響時的處理方法等。 ? 備份軟件的安裝和配置，其中包括根據(jù)用戶的情況為用戶選擇最為合適的備份方案，如使用 SAN 備份，本地備份，磁盤陣列等；根據(jù)用戶的網(wǎng)絡(luò)和系統(tǒng)應(yīng)用使用相應(yīng)的操作系統(tǒng)備份、數(shù)據(jù)庫備份、 Open File 備份、郵件系統(tǒng)備份、文件備份的安裝工作；為客戶制定一套完善的備份方案，設(shè)置完全備份、增量備份、差異備份的時間和組合。 ? 身份認(rèn)證產(chǎn)品的安全和配置，其中包括為根據(jù)用戶的使用 情況為用戶安裝和配置身份認(rèn)證的內(nèi)容如 RAS撥號方式、操作系統(tǒng)登入認(rèn)證、網(wǎng)絡(luò)設(shè)備控制、通過防火墻進行訪問身份認(rèn)證、對網(wǎng)站訪問的身份認(rèn)證、對數(shù)據(jù)庫操作的身份認(rèn)證等。 ? 其他安全產(chǎn)品的安裝和配置，包括加密產(chǎn)品、 PKI、 CA 證書中心、掃描軟件、個人防火墻等安裝和配置。 商業(yè)計劃書 機密資料 45 6. 市場 分析 根據(jù) IDC 的分析報告： “安全”已經(jīng)成為當(dāng)今社會關(guān)注的重要問題之一，生活要安全，食品要安全，網(wǎng)絡(luò)要安全……，正在如火如荼進行著信息化當(dāng)然也需要安全。從最初的企業(yè)買殺毒軟件殺毒到現(xiàn)在的構(gòu)建安全網(wǎng)絡(luò)系統(tǒng)，很明顯地再告訴我們這樣一個事實：企業(yè)已經(jīng)意 識到了信息安全對信息化建設(shè)的重要意義。正是在這樣的一個背景下，信息安全產(chǎn)業(yè)將在 2021 年迎來自己的需求“井噴”時代。 “信息安全”依然是 2021 年全球 IT 界的熱點話題，這一方面是因為商業(yè)計算所面臨的“安全形勢更嚴(yán)峻”，另一方面是由于客戶對“高信度計算”的需求在不斷升級。 中國信息安全產(chǎn)業(yè)的三個發(fā)展階段 信息安全業(yè)在中國信息化建設(shè)的進程中可算是一個新興產(chǎn)業(yè)，大體上，產(chǎn)業(yè)的發(fā)展軌跡包括了三個階段。 萌芽階段（ 2021 年之前）： 這個階段的特點是，國內(nèi)各行業(yè)、各部門開始萌生信息安全的意識 —— 從最 初的“重視信息化建設(shè)”卻“輕視安全體系的構(gòu)建”，發(fā)展至“意識到安全的重要性”并且“希望在企業(yè)內(nèi)部實現(xiàn)安全”，但又認(rèn)為信息安全很神秘，不知從何入手。在此階段，各行業(yè)的客戶都在有意識地學(xué)習(xí)和積淀信息安全知識，與這一領(lǐng)域的權(quán)威企業(yè)廣泛交流，了解其技術(shù)、理念、產(chǎn)品、服務(wù)。與此同時，一些企業(yè)、部門也出現(xiàn)了一些規(guī)模較小的、零星的信息安全建設(shè)，但并未實現(xiàn)規(guī)?；拖到y(tǒng)商業(yè)計劃書 機密資料 46 化；而且這個時期政府對于信息安全在宏觀政策上的體現(xiàn)是呼吁較多，而具體的推進事務(wù)則比較少，雖然顯得很熱鬧，但實際信息安全建設(shè)很少。 爆發(fā)階段（ 20212021 年）： 這個階段的特點是，國內(nèi)各行業(yè)、部門對于信息安全建設(shè)的需求由“自發(fā)”走向“自覺”。企業(yè)客戶已基本了解了信息安全的建設(shè)內(nèi)容與重要意義 —— 很多行業(yè)部門開始對內(nèi)部信息安全建設(shè)展開規(guī)劃與部署，企業(yè)領(lǐng)導(dǎo)高度重視，投資力度不斷加大。由此，信息安全成為了這一階段企業(yè) IT建設(shè)的重中之重。某種意義上，信息安全市場的需求爆發(fā)可說是多年來企業(yè)在安全方面的“欠債”所造成的。 普惠階段（ 2021 年以后）： 當(dāng)信息安全建設(shè)與企業(yè)整體信息化建設(shè)融而為一，信息安全作為一個話題可能會喪失其“熱點效應(yīng)”，但作為企業(yè)IT建設(shè)的關(guān)鍵環(huán)節(jié)之一 ，它是普惠的 —— 就像空氣一樣無比重要、無所不在，卻又不易為人察覺。 2021 年是信息安全發(fā)展由第一階段到第二階段的過渡期，而從 2021年起則將進入到第二階段，信息安全產(chǎn)業(yè)將在 2021 年迎來需求的“井噴”。 從現(xiàn)在起的 3～ 5 年內(nèi)，信息安全市場將保持高速、超規(guī)模的發(fā)展勢頭，電信、政府、金融將會是 2021 年信息安全需求最大的行業(yè)。因為電信業(yè)和金融業(yè)是投資大、發(fā)展快、信息化程度高而需求復(fù)雜、安全形勢相對嚴(yán)峻的行業(yè)，而政府部門則因站位較高、安全需求迫切，對外（包括國內(nèi)商界和全球政經(jīng)界）又在時刻發(fā)揮著示范作用，所以 也會對信息安全加大投入。 2021：客戶需求多樣化、技術(shù)發(fā)展兩極化 商業(yè)計劃書 機密資料 47 2021 年客戶對信息安全產(chǎn)品的需求將表現(xiàn)在四個層面。首先，大的行業(yè)客戶對安全的需求會“從單一信息安全產(chǎn)品發(fā)展到綜合防御體系”，“從某一點的安全建設(shè)過渡到整個安全體系的建設(shè)”。其次，信息安全部署的重點開始由“網(wǎng)絡(luò)安全”向“應(yīng)用安全”嬗變。“咨詢＋建設(shè)＋外包”的模式會逐漸普及。再次，自 2021 年起，國內(nèi)信息安全企業(yè)將在市場上逐漸占據(jù)主流：一方面，在服務(wù)和建設(shè)方面，國內(nèi)的安全企業(yè)一直擁有優(yōu)勢。眾所周知，對于信息安全建設(shè)來說，服務(wù)比產(chǎn)品更重要， 國外安全企業(yè)由于人力成本太高，很難做到本地化、定制化地滿足客戶需求，而在這方面，國內(nèi)企業(yè)有明顯的優(yōu)勢；另一方面，國內(nèi)安全企業(yè)的產(chǎn)品也開始會在市場上占據(jù)主流 —— 目前國內(nèi)企業(yè)已在中低端市場鞏固住了優(yōu)勢，而自 2021 年始，以聯(lián)想的超 5 系列防火墻為代表的產(chǎn)品和方案，已在高端市場與國外產(chǎn)品展開了正面競爭。最后，從客戶業(yè)務(wù)的層面看，應(yīng)用安全和安全管理會逐漸熱起來。安全外包目前還處于試探性階段，但可能會成為將來安全建設(shè)的熱點。 2021 年，信息安全技術(shù)的發(fā)展將呈現(xiàn)出兩極分化的趨勢：專一之路和融合之路都會有廠商去“趟”。 諸如防火墻、 IDS、內(nèi)容管理等產(chǎn)品方案會越做越專，這是因為一些安全需求較高的行業(yè)（如電信、金融行業(yè)）須應(yīng)對復(fù)雜多變的安全威脅。同時，融合也是一種趨勢。在安全要求不太高的行業(yè)，對一些綜合性的產(chǎn)品需求會越來越多，例如學(xué)校的網(wǎng)絡(luò)。 國內(nèi)信息安全企業(yè)的機遇 2021 年，三大因素將推動國內(nèi)信息安全產(chǎn)業(yè)的發(fā)展。 商業(yè)計劃書 機密資料 48 其一是企業(yè)的信息化乃至整個社會的信息化?？蛻舳藢τ诎踩Ｕ系囊髸絹碓礁?，對信息安全的需求會越來越大。 其二是政府的引領(lǐng)和推進作用。去年 27 號文件的出臺，必然會直接推動一些國家關(guān)鍵信息化點和行業(yè)的安全 建設(shè)進程。 2021 年 9 月 7 日中共中央辦公廳、國務(wù)院辦公廳以中辦發(fā) [2021]27號文件轉(zhuǎn)發(fā)了《關(guān)于加強國家信息安全保障工作的意見》，文件對中央各個直屬機關(guān)、各級政府以及各行各業(yè)的信息安全保障工作作出了原則性的規(guī)定，是我國今后一段時期內(nèi)信息安全保障工作綱領(lǐng)性文件、對今后我國信息安全領(lǐng)域的工作具有戰(zhàn)略意義。 國家等級化制度的推行， 2021 年 9 月，發(fā)布國信辦 [2021]25 號文，各省、自治區(qū)、直轄市信息化領(lǐng)導(dǎo)小組辦公室，中央和國家機關(guān)各部委信息化領(lǐng)導(dǎo)小組辦公室：現(xiàn)將《信息安全等級保護實施指南（試行）》印發(fā)你 們，供你們在開展信息安全保障工作中參考。明年要求政府機構(gòu)、國有企業(yè)和行業(yè)用戶通過國家等級化定級和評估： ? 2021 年 7 月至 2021年 1 月，起草階段 – 國信辦牽頭，匯集公安、保密、機要、中辦、國辦、國密辦等安全主管部門，以及北京信息安全測評中心，成立“等級保護研究”課題組，編制《信息安全等級保護實施指南》 ； ? 2021 年 1 月底～ 3 月，征求意見及修訂階段 – 召開了包括重點部委和部分地方政府代表參加的《指南》全國征求意見會，以及專家評審會； 商業(yè)計劃書 機密資料 49 – 完成了“指南” 版； ? 2021 年 5 月 ~8 月，宣傳及定稿階段 – 召開了兩次全國 工作會議，下發(fā)至各部委和各省信息安全主管部門； ? 2021 年下半年，等級保護試點階段 ? 2021 年～ 2021 年，推廣實施階段 其三是安全技術(shù)和產(chǎn)品的日益成熟。 2021 年以前，國外的安全產(chǎn)品技術(shù)相對先進，但由于人力成本高，難以做到貼身為客戶服務(wù)，且往往需要固化在企業(yè) IT信息系統(tǒng)內(nèi)，很難升級。相比之下，國內(nèi)產(chǎn)品與之存在一定的技術(shù)差距，但服務(wù)優(yōu)勢卻很明顯；而在 2021 年以后，國內(nèi)信息安全產(chǎn)品的技術(shù)改進明顯，穩(wěn)定性、可靠性有了極大的提升，再加上國內(nèi)產(chǎn)品往往能提供貼身定制化的服務(wù)，這無疑會誘發(fā)客戶的采購熱情。 其四是 交易所和各個行業(yè)對于 制定的安全要求和法案，迫使企業(yè)需要對信息安全工作進行評估、分析和改造。所以在安全法案的審計和認(rèn)證方面在 2021 年到 2021 將會有一個飛躍式的增長。 SOX 法案介紹 為了應(yīng)對安然事件，世通事件，美國 SEC 出臺了 SOX 法案來規(guī)避金融風(fēng)險，完善上市公司的內(nèi)部控制 .規(guī)避風(fēng)險、完善內(nèi)部控制，是 SOX法案的核心訴求。由于企業(yè)的業(yè)務(wù)運作已經(jīng)越來越依賴于 IT系統(tǒng)，以致于 IT 控制成為企業(yè)內(nèi)部控制的重要組成部分。內(nèi)部控制的有效性，這正是 SOX 法案的核心訴求之所在。而在紛繁復(fù)雜的內(nèi)部控制系商業(yè)計劃書 機密資料 50 統(tǒng)之中， IT控制是內(nèi) 部控制不可缺少的一部分。而安全控制又是 IT控制不可缺少的一部分。 SOX 法案要求 IT（安全）方面的內(nèi)部控制是有效的，如果無效，會影響到公司財務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性。 SOX法案所規(guī)定 IT 一般性安全控制，主要包括信息系統(tǒng)開發(fā)流程的安全控制、計算機運行安全管理控制、程序與數(shù)據(jù)安全訪問控制、等，這些都是 IT 一般安全控制的范圍。 IT的一般性控制是非常重要的，做得不好直接影響應(yīng)用系統(tǒng)控制的有效性。 IT安全控制既是 SOX 法案的重要內(nèi)容，也和企業(yè) IT 安全治理架構(gòu)的建立有密切的關(guān)系。建立一個合理的 IT安全治理架構(gòu)是實現(xiàn)有效的 IT安全控制的基礎(chǔ)。 IT安全控制的有效性，直接反映了 IT 安全治理的成效。 香港聯(lián)交所相關(guān)法案 香港聯(lián)交所在 2021 年 11月發(fā)布了公司治理實施準(zhǔn)則（《準(zhǔn) 則》）和公司治理報告（《報告》）規(guī)范。這些被相應(yīng)地歸入主板上市規(guī)則的附則第 14 和 23條以及創(chuàng)業(yè)板上市規(guī)則的附則第 15 和 16 條?！稖?zhǔn)則》從 2021 年 1 月開始的會計期間生效。 C2 條款誠然對在香港上市的內(nèi)地金融機構(gòu)提出了更為嚴(yán)格的要求，實際上內(nèi)地金融機構(gòu)要向國際公眾持股銀行發(fā)展，必須符合國際慣例，而 C2條款是與國際慣例一致的。巴塞爾銀行監(jiān)管委員會在英國的 CaDbury、美國的 COSO 報告、加拿大的 COCO 報告和總結(jié)各國實際經(jīng)驗的基礎(chǔ)上，于 1998 年 9月發(fā)布了《組織內(nèi)部控制系統(tǒng)框架》（ FrameworkforIntermalControlSystemsinBanking Organizations,簡稱 FICSBO），系統(tǒng)地提出了評價內(nèi)部控制體系的 13項指導(dǎo)原則，以求達(dá)到內(nèi)控的操作性目標(biāo)（經(jīng)營的效果和效率）、信息性目標(biāo)（財商業(yè)計劃書 機密資料 51 務(wù)管理及報告的可靠性、完整性和及時性）、操作性目標(biāo)（遵守法律和規(guī)章制度）。為此，內(nèi)地金融機構(gòu)只有正視目前存在的問題，積極應(yīng)對和執(zhí)行 C2 條款，才能不 斷提高經(jīng)營管理的規(guī)范化程度。 上海證券交易所 2021年 7 月 1 日開始執(zhí)行 ,《指引》