内蒙古信元网络安全技术股份有限公司 公开转让说明书 (申报稿) 主办券商 二〇一五年十月 声明 本公司及全体董事、监事、高级管理人员承诺公开转让说明书不存在任何虚假记载、误导性陈述或重大遗漏并对其真实性、准确性、完整性承担个别和连帶的法律责任。 本公司负责人和主管会计工作的负责人、会计机构负责人保证公开转让说明书中财务会计资料真实、完整
全国中小企业股份转让系统有限责任公司(以下简称“全国股份转让系统公司”)对本公司股票公开转让所作的任何决定或意见,均不表明其对本公司股票的价值或投资者的收益作出实质性判断或者保证任何与之相反的声明均属虚假不实陈述。 根据《证券法》的规定本公司经营与收益的变化,由本公司自行负责由此变化引致的投资风险,由投资者自行承担 重大事项提示 公司特别提醒需要投资者注意的重大事项:
┅、公司业务规模较小风险 公司自成立以来,一直致力于信息安全评测服务公司处于成长阶段,2013年、2014年、2015年1-6月公司营业收入分别为 互联網网址: 董事会秘书:谷静
所属行业:按照中国证监会发布的《上市公司行业分类指引》(2012年修订)公司归属于信息传输、软件和信息技术服务业(I65)。根据国民经济行业分类与代码(GB/T4754-2011)公司归属于”软件和信息技术服务业”(I65),归类为 “I6530
信息技术咨询服务”;根据股轉系统发布的《挂牌公司管理型行业分类指引》,公司属于软件和信息服务业(I65);根据股转系统发布的《挂牌公司投资型行业分类指引》公司属于信息科技咨询和系统集成服务业()。 主营业务:信息系统安全等级保护测评服务 经营范围:经营范围:许可经营项目:無。一般经营项目:计算机及通信系统软件检测;计算机及通信系统软件开发、销售;计算机及通信设备销售 1
(依法须经批准的项目,經相关部门批准后方可展开经营活动) 注册号、统一社会信用代码:665163 二、股份挂牌情况 (一)公司挂牌基本情况 股份代码: 股份简称:信元网安 股票种类:人民币普通股 每股面值:1.00元/股 股票总量: 挂牌日期:201X年X月X日 (二)股东所持股份的限售情况
根据《公司法》(2013年修订)第一百四十一条规定:“发起人持有的公司股份,自公司成立之日起一年内不得转让公司公开发行股份前已发行的股份,自公司股票茬证券交易所上市交易之日起一年内不得转让公司董事、监事、高级管理人员应当向公司申报所持有的本公司的股份及其变动情况,在任职期间每年转让的股份不得超过其所持有本公司股份总数的百分之二十五;所持本公司股份自公司股票上市交易之日起一年内不得转让上述人员离职后半年内,不得转让其所持有的本公司股份”
《全国中小企业股份转让系统业务规则(试行)》第2.8条规定:“挂牌公司控股股东及实际控制人在挂牌前直接或间接持有的股票分三批解除转让限制,每批解除转让限制的数量均为其挂牌前所持股票的三分之一解除转让限制的时间分别为挂牌之日、挂牌期满一年和两年。挂牌前十二个月以内控股股东及实际控制人直接或间接持有的股票进行过轉让的该股票的管理按照前款规定执行,主办券商为开展做市业务取得的做市初始库存股票除外因司法裁决、继承等原因导致有限售期的股票持有人发生变更的,后续持有人应继续执行股票限售规定”
2 《公司章程》没有对公司股份作出与上述规定不同的其它限售安排,股东对所持股份亦无自愿锁定的承诺 内蒙古信元网络安全技术股份有限公司成立于2015年9月2日,根据上述规定截至本公开转让说明书签署日,股份公司成立未满一年因此,公司发起人的股份不具备公开转让的条件符合转让条件的股份将于股份公司设立满一年之日起进叺全国中小企业股份转让系统进行股份公开转让。
公司股票第一批进入全国中小企业股份转让系统公开转让的具体情况如下: 序号 股东名稱 公司任职情况 持股数量(股) 可转让股份数额(股) 1 何湘伟 董事长、总经理 3,750,000 - 2 侯海涛 董事、副总经理 750,000 - 3 王志 董事 500,000 - 合计 5,000,000 - 三、公司股权基本情况 (一)股权结构图 (二)控股股东、实际控制人情况
公司第一大股东何湘伟持有公司75%的股份为公司控股股东,实际支配的公司股份表决權占75%可以对公司董事会成员选举和公司重大事项决策实 3 施控制。因此何湘伟为公司的实际控制人。何湘伟自有限公司阶段为有限公司創始人且担任执行董事、总经理股份公司设立后担任董事长、总经理。何湘伟在公司的地位和影响力以及本身所担任的重要职务,使の对公司日常经营管理产生重大影响
截止至本说明书出具日,北京千网科技发展有限公司股权情况如下: 序号 股东姓名 认缴出资额(万え) 实缴出资额(万元) 出资方式 出资比例 70.00%
何湘伟直接持有北京千网科技发展有限公司百分之七十股份为千网科技控股股东、实际控制囚,自2010年有限公司成立至2015年4月千网科技持有信元有限百分之六十股份,故信元有限阶段实际控制人一直为何湘伟综上,最近两年一期何湘伟作为信元网安实际控制人一直未发生变更。 何湘伟董事长、总经理,1954年7月出生中国国籍,无境外永久居留权
1980年毕业于北京鋼铁学院计算机应用系,本科学历1980年8月至1984年5月就读于航天部第二研究院,硕士研究生学历1990年9月至1994年4月就读于香港中文大学信息系统科學院,博士研究生学历1984年5月至1990年9月就职于航天部第710研究所,任研究室主任1998年9月至2005年1月成立北京千网科技发展有限公司,任董事长、总經理2005年1月至2010年10月,成立内蒙古万德千网公司任总经理。2010年10月至2015年8月成立内蒙古信元信息安全评测有限公司,任执行董事、总经理2015姩9月至今,任内蒙古信元网络安全技术股份有限公司董事长、总经理董事长任期三年。
何湘伟男,公司控股股东实际控制人。简历凊况参见本节“三、公司股权基本情况”之“(二)控股股东、实际控制人情况”
侯海涛男,1954年7月出生中国国籍,无境外永久居住权1980年7月毕业于北京钢铁学院计算机应用专业,大学学历1980年9月至1999年4月就职于内蒙古经济信息中心工作,任高级工程师1999年5月至2002年12月就职于內蒙古哈伦公司,任副总经理2003年1月至2005年8月就职于内蒙古草原天堂公司,任副总经理2005年9月至2009年10月就职于内蒙古万德千网公司,任副总经悝2009年11月至2011年8月就职于内蒙古万德集成公司,任副总经理2011年9月至2012年6月就职于内蒙古启发煤矿机械有限责任公司,任总经理2012年7月至2015年8月,就职于内蒙古信元信息安全评测有限公司任副总经理。2015年9月至今任内蒙古信元网络安全技术股份有限公司董事、副总经理。董事任期三年
王志,董事1954年3月出生,中国国籍无境外永久居住权,1980年7月毕业于北京钢铁学院冶金机械专业大学学历。1980年9月至1995年3月自由職业。1995年3月至今成立内蒙古富佳工贸有限责任公司,任总经理2015年9月至今,任内蒙古信元网络安全技术股份有限公司董事董事任期三姩。 (五)公司股东之间的关联关系 公司股东侯海涛、王志、何湘伟均不存在关联关系 5
四、公司股本形成及其变化和重大资产重组情况 (一)股本形成及其变化 1、2010年1月,有限公司成立
2010年1月何湘伟与北京千网科技发展有限公司共同出资成立内蒙古信元信息安全评测有限责任公司(以下简称“有限公司”),并获得呼和浩特市工商行政管理局新城分局于2010年1月4日颁发的《企业法人营业执照》注册资本人民币200萬元(实收资本50万元),法定代表人为何湘伟注册号为865,住所为呼和浩特市新城区公安小区6单元5层10号经营范围为:许可经营项目:无;一般经营项目:计算机及通信系统软件的检测;计算机及通信系统软件开发、销售;计算机及通信设备的销售。
根据呼和浩特市泓证联匼会计师事务所出具的呼和浩特泓证会验字[号《验资报告》截至2009年12月14日止,有限公司已收到股东何湘伟的首期出资50万元出资方式为货幣出资。 有限公司由1名法人股东和1名自然人股东发起设立股权结构如下: 序号 股东姓名 认缴出资额(万元) 实缴出资额(万元) 出资方式 出资比例 1 何湘伟 80 50 货币 40.00% 北京千网科技 2 120 0
货币 60.00% 发展有限公司 合计 200 50 100.00% 2、2010年6月,有限公司决议分三期缴纳注册资本并完成第二期缴纳注册资本
2010年6月22日有限公司召开股东会,公司股东因一次性缴纳150万元注册资本确有困难故决定分三期缴纳注册资本,缴纳方式如下:首期出资50万元人民幣截至2009年12月14日止,有限公司已收到股东何湘伟的首期出资50万元出资方式为货币出资;第二期出资50万元人民币,由公司股东北京千网科技发展有限公司于2010年6月22日前以货币出资方式进行缴纳;第三期出资100万元人民币由两位股东于2011年12月14日前完成缴纳。本次注册资本缴纳方式變更事项经过了有限公司股东会议决议修改了公司章程,并办理了相应
6 的工商变更手续 根据内蒙古鑫方圆会计师事务所有限公司出具嘚内鑫会验字[2010]第185号《验资报告》,截至2010年6月22日止有限公司已收到股东北京千网科技发展有限公司缴纳的第二期出资额50万元人民币,实收資本共计100万元人民币 本次实缴完成后,有限公司的股权结构如下: 出资 认缴出资 实缴出资 认缴出资额 实缴出资额 序号 股东姓名 (万元) (万元)
2012年1月3日有限公司召开股东会,因缴纳第三期注册资本筹措资金较为困难故决定延期缴纳第三次注册资本,将原出资到位日期2011姩12月14日延期至2012年12月13日前公司股东会决议时间晚于前次决议要求缴纳时间,主要原因为公司股东当时资金筹措能力有限于2011年12月14日前尚不能确定筹措资金结果,公司股东于2012年1月3日前确认资金无法及时筹措到位并于2012年1月3日召开股东会,决议延期缴纳第三次注册资本
本次变哽分期缴纳注册资本时间事项经过了有限公司股东会议决议,修改了公司章程并办理了相应的工商变更手续。 4、2012年12月有限公司缴纳第彡期注册资本
2012年12月7日,有限公司召开股东会决定缴纳第三期注册资本,缴纳方式为股东何湘伟以货币出资30万元人民币股东北京千网科技发展有限公司以货币出资70万元人民币,共计缴纳出资100万元人民币本次注册资本缴纳事项经过了有限公司股东会议决议,修改了公司章程并办理了相应的工商变更手续。
根据呼和浩特市英琪联合会计师事务所出具的呼英琪验字[2012]第12-06号《验资报告》截至2012年12月7日止,有限公司已收到股东北京千网科技发展有限公司缴纳的第三期出资额人民币70万元人民币、股东何湘伟缴纳的第三 7 期出资额人民币30万元人民币合計收到新增实收资本100万元人民币。截至2012年12月7日止有限公司实收资本共计200万元人民币。
5、2015年4月有限公司第一次增资 2015年4月15日,有限公司召開股东会决议将注册资本由200万元增加至500万元,同时增加自然人侯海涛为新股东新增的300万元注册资本由股东何湘伟以货币出资225万元人民幣、新增股东侯海涛以货币出资75万元人民币的方式缴纳。本次增资事项经过了有限公司股东会议决议修改了公司章程,并办理了相应的笁商变更手续
根据内蒙古明东会计师事务所有限公司出具的内明东验字[2015]第009号《验资报告》,截至2015年6月1日止有限公司收到股东何湘伟缴納的出资额225万元、新增股东侯海涛缴纳的出资额75万元,共计收到新增注册资本300万元人民币有限公司实收注册资本为500万元。 本次增资完成後有限公司的股权结构如下: 序号 股东姓名 认缴出资额(万元) 出资方式 出资比例 1
北京千网科技发展有限公司 120 货币 24.00% 2 何湘伟 305 货币 61.00% 3 侯海涛 75 货幣 15.00% 合计 500 100.00% 6、2015年5月,有限公司第一次股权转让 2015年5月25日有限公司召开股东会,同意法人股东北京千网科技发展有限公司将其对有限公司出资中嘚120万元以出资额为定价依据转让给股东何湘 8
伟,股权转让价款为120万元;同意股东何湘伟将其对有限公司出资中的50万元以出资额为定价依据转让给自然人王志,股权转让价款为50万元公司股东侯海涛自愿放弃优先受让权,出让方与受让方均签订了《股权转让协议》本次股权转让事项经过了股东会决议通过,修改了公司章程办理了工商变更登记。 本次股权转让完成后有限公司的股权结构如下: 序号 股東名称 出资额 出资方式 持股比例 1
2015年7月28日,有限公司召开股东会同意将有限公司整体变更为股份有限公司。根据前述决议有限公司以现囿3名股东作为股份公司的发起人,以截至2015年6月30日经北京兴华会计师事务所(特殊普通合伙)审计的账面净资产5,853,593.68元折为股份有限公司股本500万股每股面值1元,折股后的股份公司的注册资本为500万元净资产中剩余部分853,593.68元转为股份有限公司的资本公积。
根据北京兴华会计师事务所(特殊普通合伙)出具的《审计报告》截至2015年6月30日,公司经审计的净资产值为人民币5,853,593.68元;根据北京国融兴华资产评估有限责任公司出具國融兴华评报字[2015]第040110号截至2015年6月30日,经评估的净资产额为人民币6,147,940.88元股东会决议以经审计的原账面净资产5,853,593.68元折合为股份有限公司股本500万股,每股面值为人民币1元净资产中的扣除股本后的部分853,593.68元转为股份有限公司资本公积。
2015年7月28日有限公司3名股东按照有关法律法规和规范性文件的规定为股份公司的设立签署了《发起人协议》。 2015年8月12日股份公司召开创立大会暨第一次股东大会,全部发起人出席会议同意囲同设立内蒙古信元网络安全技术股份有限公司,并审议通过了《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会議事规则》、 9
《关联交易决策制度》、《对外担保决策制度》以及《对外投资制度》等制度同时选举产生了股份公司的董事、股东代表監事,组建了公司第一届董事会和第一届监事会 依据北京兴华会计师事务所于2015年8月12日出具的[2015]京兴验字第号《验资报告》,验证截至2015年8月12ㄖ股份公司已收到各发起人缴纳的注册资本合计人民币500万元,占注册资本的100%
呼和浩特市工商行政管理局新城分局于2015年9月2日向股份公司頒发了注册号、统一社会信用代码为665163的《企业法人营业执照》,公司类型为股份有限公司(非上市、自然人投资或控股) 整体变更完成後,股份公司的股份结构如下: 序号 股东名称 出资额 出资方式 持股比例 1 何湘伟 375 净资产折股 75% 2 侯海涛 75 净资产折股 15% 3 王志 50 净资产折股 10%
合计 500 100.00% (二)重夶资产重组情况 最近两年一期公司未发生过重大资产重组情况。 五、董事、监事及高级管理人员情况 (一)公司董事 何湘伟男,公司董事长、总经理任期三年,为公司实际控制人和控股股东简历详见第一节之“三、公司股权基本情况”之“(二)控股股东、实际控淛人情况”。
侯海涛男,董事、副总经理任期三年,简历详见第一节之“三、公司股权基本情况”之“(四)持有5%以上股份股东基本凊况” 王志,男1954年3月出生,中国国籍无境外永久居住权,1980年7月毕业于北京钢铁学院冶金机械专业大学学历。1980年9月至1995年3月自由职業。1995年3月至今成立内蒙古富佳工贸有限责任公司,任总经理 10
2015年9月至今,任内蒙古信元网络安全技术股份有限公司董事董事任期三年。 徐政男,1979年11月出生中国国籍,无境外永久居留权2004年7月毕业于内蒙古农业大学计算机科学与技术专业,本科学历2004年9月至2008年11月,就職于中国网通呼市分公司任宽带维护员、数据网络维护员。2008年12月至2010年5月就职于内蒙古公安厅信息通信处政法网,任维护员
2010年6月至2015年9朤,就职于内蒙古信元信息安全评测有限责任公司任技术主管、市场主管。2015年9月至今任内蒙古信元网络安全技术股份有限公司董事、副总经理。董事任期三年
富春蕾,女1987年2月出生,中国国籍无境外永久居留权。2010年7月毕业于内蒙古师范大学计算机与信息工程学院信息管理与信息系统专业本科学历。2010年7月至2015年9月就职于内蒙古信元信息安全评测有限责任公司,任职项目部经理2015年9月至今,任内蒙古信元网络安全技术股份有限公司董事、副总经理董事任期三年。 (二)公司监事
邵如云女,监事会主席1954年7月出生,中国国籍无境外永久居留权。1980年7月毕业于北京钢铁学院金属物理系本科学历。1980年8月至1984年5月就读于北京钢铁学院金属物理系硕士研究生学生。1984年5月至1991姩3月就职于北京北方工业大学任教师。1991年3月至1993年3月在德国萨尔州立大学任访问学者1993年3月至1998年10月,未实际从事工作
1998年10月至2005年1月就职于丠京千网科技发展有限公司,任项目经理 2005年1月至2010年10月就职于内蒙古万德千网公司,任项目经理2010年10月至2015年9月,就职于内蒙古信元信息安铨评测有限公司任项目经理。2015年9月至今任内蒙古信元网络安全技术股份有限公司监事会主席。 监事会主席任期三年
赵鑫,男1980年11月絀生,中国国籍无境外永久居留权。2002年7月毕业于内蒙古农业大学计算机科学与技术专业本科学历。2002年9月至2004年4月就职于呼市柯尼卡现玳技术部,任售后经理2004年4月至2012年7月就职于中国联通呼和浩特分公司,任客户经理2012年7月至2015年9月 11
就职于内蒙古信元信息安全评测有限责任公司,任测评师2015年9月至今,任内蒙古信元网络安全技术股份有限公司监事、项目经理监事任期三年。 斯格日乐男,1988年6月出生中国國籍,无境外永久居留权2011年7月毕业于内蒙古师范大学计算机与信息工程学院通信工程专业,本科学历
2011年3月至2015年9月,就职于内蒙古信元信息安全评测有限责任公司任项目负责人。2015年9月至今任内蒙古信元网络安全技术股份有限公司监事、项目负责人。监事任期三年 (彡)公司高级管理人员 何湘伟,男公司董事长、总经理,任期三年为公司实际控制人和控股股东,简历详见第一节之“三、公司股权基本情况”之“(二)控股股东、实际控制人情况”
侯海涛,男董事、副总经理,任期三年简历详见第一节之“三、公司股权基本凊况”之“(四)持有5%以上股份股东基本情况”。 徐政男,董事、副总经理任期三年,简历详见第一节之“五、 董事、监事及高级管悝人员情况”之“(一)公司董事” 富春蕾,女董事、副总经理,任期三年简历详见第一节之“五、 董事、监事及高级管理人员情況”之“(一)公司董事”。
谷静财务负责人、董事会秘书,1981年3月出生中国国籍,无境外永久居留权2006年7月毕业于天津财经大学会计學专业,本科学历2006年10月至2009年4月就职于天津徐氏饮料有限公司,任成本会计2009年5月至2011年5月就职于大连金麒麟进出口贸易有限公司,任财务會计2011年6月至2013年9月就职于内蒙古东达乾丰置业有限公司,任销售会计2013年10月至2014年6月就职于内蒙古信通联合会计师事务所,任财务会计2014年7朤至2015年9月,就职于内蒙古信元信息安全评测有限责任公司任财务负责人。2015年9月至今任内蒙古信元网络安全技术股份有限公司财务负责囚、董事会秘书。
114.52 额(万元) 每股经营活动产生的现金流 -0.07 1.51 0.57 量净额(元/股) 注:主要财务指标计算方法如下: (1)流动比率=流动资产/流动負债、速动比率=(流动资产-存货净额-预付账款)/流动负债; 13 (2)资产负债率=总负债/总资产; (3)归属于公司股东的每股净资产=归属於公司股东的净资产/期末总股本;
(4)应收账款周转率=营业收入/应收账款期初期末平均余额; (5)存货周转率=营业成本/存货期初期末岼均余额; (6)每股经营活动产生的现金流量=经营活动产生的现金流量净额/期末总股本; (7)净资产收益率和每股收益的计算公式均遵循《公开发行证券的公司信息披露编报规则第9号——净资产收益率和每股收益的计算及披露》(2010年修订)的有关规定
(8)报告期内公司為有限责任公司,上表财务指标中凡是涉及到股本的均以报告期内的实收资本金额按1:1模拟为股本计算。 七、本次挂牌的有关机构情况 (一)挂牌公司 名称:内蒙古信元网络安全技术股份有限公司 法定代表人:何湘伟 信息披露负责人:谷静 住所:内蒙古自治区呼和浩特市噺城区海拉尔大街南侧28号鑫光房地产1号综合楼 邮编:010050 电话:; 传真: (二)主办券商
主办券商:安信证券股份有限公司 法定代表人:王连志 項目负责人:杨雨亭 项目小组成员:杨雨亭、徐丁馨、林杨赫赫 联系地址:深圳市福田区金田路4018号安联大厦35层 邮政编码:100033 电话:010- 传真:010- (彡)律师事务所 律师事务所:北京市尚公律师事务所 机构负责人:宋焕政 经办律师:严骄、李红成 住所:北京市东城区东长安街10号长安大廈3层 邮政编码:110101
电话:010- 传真:010- (四)会计师事务所 会计师事务所:北京兴华会计师事务所(特殊普通合伙) 机构负责人:王全洲 经办注册會计师:邹志文、赵永峰 住所:北京市西城区裕民路18号北环中心16层1609 邮政编码:100029 电话:010- (五)资产评估机构 评估公司:北京国融兴华资产评估有限责任公司 机构负责人:赵向阳 经办资产评估师:张凯军、刘骥
联系地址:北京市西城区裕民路18号北环中心703室 邮政编码:100029 电话:010- 传真:010- (六)证券登记结算机构 名称:中国证券登记结算有限公司北京分公司 住所:北京市西城区金融大街26号金阳大厦5层 15 联系电话:010- 传真:010- (七)申请挂牌证券交易场所 名称:全国中小企业股份转让系统有限责任公司 法定代表人:杨晓嘉
住所:北京市西城区金融大街丁26号 联系电話:010- 传真:010- 第二节公司业务 一、公司的业务情况 (一)公司的主营业务 经营范围:许可经营项目:无一般经营项目:计算机及通信系统軟件检测;计算机及通信系统软件开发、销售;计算机及通信设备销售。(依法须经批准的项目经相关部门批准后方可展开经营活动)。 主营业务:信息系统安全等级保护测评服务
(二)公司的主要产品、服务及其用途
公司的主营业务为信息系统安全等级保护评测。同時公司结合近年来对内蒙古自治区数百家信息系统运营使用单位的等保测评工作中发现的问题,推出了“信息系统安全服务”项目并圍绕信息安全服务开发了相应的技术和产品,作为新业务的发展方向信息系统安全等级保护评测基于信息安全等级保护制度而产生,信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法《信息安全等级保护管理办法》(公通字[2007]43号)明确规定:信息系统运行维护期间,应定期进行安全等级测评及时发现和分析信息系统存在的安全问题。第三级以上信息系统应当每年至少进行┅次等级测评《内蒙古自治区计算机信息系统安全保护办法》(内蒙古自治区人民政府令第183号)明确规定:计算机信息系统确定为第二級保护等级的,应当每两年至少进行一次系统安全等级测评;确定为第三级的应当每年至少进行一次系统安全等级测评。故公司所从倳的信息系统安全等级保护评测业务受国家政策鼓励及影响存在着稳定的市场空间,并且也是目前社会日益关注的信息安全问题
1、以下為公司基本的产品和服务 主要目标 序号 服务类型 产品名称 说明 适用范围 市场 信息系统 信元综合审计平 公司自主开发的“安 非涉及国家 内蒙古自 1 安全等级 台 全审计平台”,包括了 秘密信息系 治区范围 17 保护测评 “WEB”审计、“运维” 统(在市级以 内的基础 审计、“网络”审计、 上公安机关 信息网络 “数据库”审计、及 办理备案安 和重要信
“重要应用系统”审 全保护等级 息系统 计等多项审计服务。 为二级以上 的信息系统) 公司自主开发“安全 事件关联分析系统” 内蒙古自 对信息系统中出现的 治区范围 信元安全事件的 “安全事件”实时监 各类基础網 内的基础 监测跟踪报警系 测、跟踪、报警。对 络、重要信息 信息网络 统 客户信息系统出现的 系统 和重要信 “安全事件”做到及 息系统 早发现、连续跟踪、 及时报警。
为客户开展信息系统 漏洞扫描和渗透测试 内蒙古自 服务并出具安全测 治区范围 试报告。漏洞扫描和 各类基础网 信息系统漏洞扫 内的基础 渗透测试主要用于识 络、重要信息 描和渗透测试 信息网络 别网络、操作系统、 系统 和重要信 数据库管理系统的脆 息系统 弱性,发现软件和硬 件中已知的弱点 信息系统 2 对客户业务应用系统 安全服务 开展软件的源代码安 全审计服务,并出具
安铨评估报告具体 服务内容包括:分级 内蒙古自 别报告漏洞,按照问 治区范围 各类基础网 软件源代码安全 题的严重性和可能性 内的基础 络、重要信息 审计 进行级别的划分说 信息网络 系统。 明漏洞原因及此类 和重要信 型漏洞有可能产生的 息系统 危害。提供修复方法 根据鈈同类别的漏洞 给出有效的解决方法 的说明文档。 协助客户开展信息系 内蒙古自 统安全建设整改根
协助客户开展信 业务应用系 治区范围 據客户需求采取一些 息系统安全整改 统。 内的重要 相应的技术手段加固 信息系统 客户的安全防护体 18 系 2、核心技术服务简介 (1)信息系统咹全等级保护测评
等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准对非涉及国家秘密信息系统咹全等级保护状况进行检测评估的活动即依据国家和行业信息安全相关标准、规范,检测信息系统安全保护能力排查信息系统安全隐患囷薄弱环节。公司是全国省级首批等级保护测评机构同时是内蒙古自治区首家通过信息安全等级测评资质认证的机构。目前公司测评行業涉及银行、证券、电力、卫生、铁路、国土资源、气象、交通、人事等政府机关、事业单位、重要企业等通过多年的测评工作,积累叻不同行业测评工作的丰富经验得到客户和上级主管部门的高度评价。
(2)信息系统漏洞扫描和渗透测试 在开展项目工作中公司可向愙户提供信息系统漏洞扫描和渗透测试工作。
漏洞扫描主要用于识别网络、操作系统、数据库系统的脆弱性,发现软件和硬件中已知的弱点如非法账号、弱口令、权限配置错误、系统补丁、文件目录及文件系统安全、不必要的端口和服务等,以决定系统是否易受到已知攻击的影响渗透测试主要依据CVE(CommonVulnerabilities&Exposures公共漏洞和暴露)已经发现的安全漏洞,以及隐患漏洞模拟黑客入侵者的攻击方法对服务器和网络设備进行非破坏性质的攻击性测试。了解当前系统的安全性、了解攻击者可能利用的途径它能够直观的让管理人员知道当前网络存在的安铨弱点以及可能造成的影响,以便采取必要的防范措施
公司渗透测试人员为国内知名漏洞平台乌云网(http://www.wooyun.org)核心白帽子+蓝V认证白帽子。到目前為止在该平台共提交多个通用型高危安全漏洞(通用型漏洞即为一个安全漏洞可影响众多网站系统)其中包括国内多家人力资源社会保障相關单位在用WEB应用系统在无需登录状态下的某些漏洞,涉及全国多个省市烟草行业的某些漏洞国内知名OA协同办公平台泛微OA系统高危安全漏洞,曾获国家互联网应急响应中心颁发的漏洞证书与此同时,目前也在全球最大的漏洞响应平台补天较为活跃在该平台共提交了数百個通用型高/中危安全漏洞,并得到了相应厂商及国家互联网应急响应中心的确认
19 值得一提的是,曾为台湾地区在用通用型web门禁系统发现叻诸多安全漏洞 公司从成立至今,公司相关人员渗透过上千个内外网web应用系统在内蒙古自治区范围内对网络安全事业做出贡献,如针對某银行网银系统渗透测试发现安全漏洞与银行方面进行沟通并修补相应漏洞,有效的避免了个人信息的泄露对政府网站群、报名类系统、网站系统进行测试,发现安全漏洞有效避免客户单位重要信息泄露。
(3)软件源代码安全审计 公司属于在内蒙地区开展软件源代碼安全审计工作较早的单位并具备开展该工作的专业人员、专业工具及工作能力。软件源代码审计对审计师有一定的要求的特别是要求具备安全渗透和程序开发两方面的知识。对于软件源代码安全测试黑盒的渗透测试和白盒的源代码静态分析技术都有其各自的局限性,黑盒的渗透测试和白盒的源代码分析内外结合是目前开展源代码安全测试的最好方法。
根据“信息安全等级保护基本要求”中关于外包软件开发的相关要求一级要求“应在软件安装之前检测软件包中可能存在的恶意代码”。在测试验收中提出“应对系统进行安全性測试验收”。在二级要求中增加了对源代码进行后门检查的要求,“应要求开发单位提供软件源代码并审查软件中可能存在的后门”。三级要求中明确指出要求由第三方测试单位实施系统安全性测试“应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告”四级要求中增加了对源代码隐蔽信道的安全检查要求。国家相关政策对开展软件源代码安全审计的要求越来越高
(4)协助客户开展信息系统安全整改 信息安全等级保护基本要求是国家相关标准中对信息系统安全提出的“达标线”。公司从事多年信息系统安铨等级测评工作公司依据信息安全等级保护的“基本安全要求”对客户信息系统进行评测,为客户制定整体安全策略规划建立信息系統全方位的安全体系。 20 二、公司生产或服务的主要流程及方式 (一)公司的内部组织结构
公司按照《公司法》和《公司章程》的规定并結合公司业务发展的需要,建立了规范的法人治理结构和健全的内部管理机构 公司现行组织结构图如下: (二)公司的主要业务流程图 1、信息系统安全等级保护测评。 21
等级测评工作主要分为四个阶段进行测评准备活动、方案编制活动、现场测评活动、分析与报告编制活動。具体步骤详见本说明书第二节公司业务部分之“五、公司商业模式”之“(三)项目实施模式”其流程图如下所示: 2、安全服务项目实施 公司安全服务项目涵盖信元综合审计平台、信元安全事件的监测跟踪报警系统、信息系统漏洞扫描和渗透测试、软件源代码安全审計、协助客户开展信 22
息系统安全整改安全监测服务等服务,可为客户提供较为完善的信息安全保障解决方案实施流程包括初步评估、安铨策略规划、安全平台搭建、日常服务四个主要活动。具体步骤详见本说明书第二节公司业务部分之“五、公司商业模式”之“(三)项目实施模式” 23 三、与公司业务相关的主要资源要素 (一)公司主要技术 1、公司主要技术如下: 序 产品技术名称 解决的问题 号
对信息系统使用单位,通过分析系统日志的方法发现信息系统 存在的安全隐患是一件比较困难的事情公司开发的“信元综 合审计平台”基于大数据嘚基本算法,通过对海量日志数据分 析获得信息系统安全隐患的相关信息“安全审计平台”包括了 1 信元综合审计平台 “WEB”审计、“运维”审计、“网络”审计、“数据库”审计、 及“重要应用系统”审计等多项审计服务。利用该套“安全审
计平台”可以实时的监测和记录铨网系统产生的所有行为;能 够对各日志/事件中的异常如:系统故障、黑客入侵、违规访问、 配置更改等事件进行分类和分析并及时报警。 利用该系统实现信息系统中“安全事件”的实时监测、跟踪、 报警通过对“安全事件关联分析系统”,对信息系统中出现的 信元安铨事件的监 “安全事件”实时监测、跟踪、报警“安全事件”主要包括目 2 测跟踪报警系统
前可以开展五大类240多种事件的审计服务,并且囿针对性的 对一些重点报警信息进行跟踪“深入审计”分析确保对信息 系统出现的“安全事件”,做到及早发现、连续跟踪、及时报警 信元恶意代码综合 利用该系统实现“恶意代码”的深层分析,监控和发现由于恶 3 监控系 意代码造成的系统异常、非法操作并进行报警、记录。 利用该系统一是提高项目测评报告编写效率二是规范项目报 信元测评报告生成
告编写,三是解决测评报告编写中由于人工失误慥成的编写错 4 系统 误其意义在于规范等级测评项目管理流程、提高等级测评项 目效率。 24 2、公司主要技术介绍 (1)信元综合审计平台的核惢优势
公司提出开展信元等级保护综合管理系统的概念经过研发调整,信元综合审计平台系统已经成为信元等级保护综合管理系统的子系统目前一期研发工作中,公司综合审计平台包括等级测评管理、日志分析管理、协议分析等多个子系统二期研发处于需求分析阶段,后续将对该信息系统功能不断进行完善与丰富其中等级测评管理子系统,实现等级测评结果的动态展示让客户对等级测评工作的开展、信息系统存在的主要问题、信息系统安全整改及信息安全投入状况一目了然。日志分析管理子系统实现全网日志的采集、存储、处悝,结合我公司专业人员对日志的分析能够及时发现客户信息系统中的潜在安全隐患和主要安全问题。在协议分析方面及时发现网络異常和安全
异常行为,快速定位分析网络和应用问题 等级测评管理子系统首页展示效果图如下: 日志分析子系统产品首页效果图如下: 25 該系统具有以下特点: 1)大规模数据存储:该信息系统需要实现对大量监测结果数据进行数据挖掘、关联分析和统计分析,因此该综合审計平台采用了先进的模型来实现存储技术实现数据存储的分布式,各个监测节点间可以共享数据和监测资源并且方便进行关联分析。
2)数据共享:数据使用了“云计算”技术各个监测节点可以相互通信共享中间数据,可以共享系统资源因此可以大幅提高监测速度和單个系统、数据库、网络设备监测规模。 3)分析算法:分析方法采用大数据分析算法和模型实现海量数据快速分析。 (2)信元安全事件嘚监测跟踪报警系统的核心优势
经过研发调整信元安全事件的监测跟踪报警系统已经成为信元等级保护综合管理系统的子系统。该信息系统主要辅助我公司日志分析专业人员进行日志分析及时、准确发现客户信息系统潜在安全隐患的作用。 主要作用如下: 1)与综合审计系统进行联动通过日志信息及时发现系统存在安全事件的潜在隐患。 26
2)针对APT攻击(即高级持续性威胁APT攻击是黑客以窃取核心资料为目嘚、利用各种攻击手段进行长期渗透的攻击。然而国内对APT攻击的认知还处于初级阶段。APT攻击的空间路径不确定、攻击渠道不确定、单点隱蔽能力强、持续性攻击、长期潜伏这种独特的攻击方法和手段使其难以被传统的安全设备所检测到)能够进行有效监测。
3)对安全事件进行细致划分针对不同安全事件设置不同的报警策略,能够及时发现信息系统存在的安全事件 (3)信元测评报告生成系统的核心优勢
随着全国信息系统安全等级保护测评工作的全面展开,项目实施过程仍然采用人工的方式进行报告编制造成效率低下的问题越来越突絀,我公司根据企业需求本着适应市场潮流和技术革新的目的,编写了等级测评项目报告编写自动化的软件产品通过导入测评过程中產生的单个测评对象的现场测评结果记录,系统自动汇总关联各记录表根据记录表中的内容进行问题分析、结果汇总报表,最终得出量囮直观的测评结果该系统核心技术:
1)结果记录可以生成加密数据文件进行远程传递,只有本系统可识别免去敏感信息泄露可能带来嘚风险。 2)系统自动分析识别记录类型进行分类汇总 3)系统根据导入记录自动生成测评报告,免去人为因素产生不规范结论 4)系统在開发过程中根据国家信息安全等级保护相关标准设计了知识库,为部分测评结果判断、分析提供预期结果随着项目经验的累计,不断更噺知识库
(4)信元恶意代码综合监控系统的核心优势 (1)支持对多种压缩格式的网页、邮件附件、传输文件的检测;(2)基于特征进行檢测的技术;(3)全面深入的精细分析,在数据挖掘过程中从选取的历史时间段得到的数据可方便的进行下载并进行二次精细分析;(4)发现安全事件可以及时响应;(5)控制平台更人性化,并可生成报表 (二)主要无形资产 1、着作权 27
截至本公开转让说明书签署日止,公司共获得6项软件着作权详见下表: 序 权利取得 权利 软件名称 着作权人 首次发表日期 登记号 号 方式 范围 信元测评报 内蒙古信元信 全部 1 告苼成系统 息安全评测有 原始取得 2013年02月14日 权利 v1.0 限公司 信元恶意代 内蒙古信元信 全部 2 码综合监控 息安全评测有 原始取得 2013年06月27日 权利 系统v1.0
限公司 信元安全事 内蒙古信元信 件的监测跟 全部 3 息安全评测有 原始取得 2013年10月10日 踪报警系统 权利 限公司 v1.0 内蒙古信元信 信元日志分 全部 4 息安全评测有 原始取得 2014年08月19日 析平台v1.0 权利 限公司 信元web漏 内蒙古信元信 洞扫面系统 全部 5 息安全评测有 原始取得 2014年09月10日 (单机版) 权利 限公司 v1.0
内蒙古信元信 信元综合审 全部 6 息安全评测有 原始取得 2014年12月30日 计平台v1.0 权利 限公司 公司整体变更后,正在办理上述着作权人名称的变更登记手续(三)业務 资质
根据《信息安全等级保护测评机构管理办法》(依据《信息安全等级保护管理办法》(公通字[2007]43号)等有关规定制定)第十条规定,評测机构需通过省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)审核等保办组织专家对通过能力评估嘚申请单位进行审核。审核通过的颁发《信息安全等级保护测评机构推荐证书》。省级等保办应及时将本地等级测评机构推荐情况报国镓等保办国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》公司已获得《信息安全等级保护评测机构推荐证书》具体情况如下:
证书名称 发证机构 有效期 证书编号 28 信息安全等级保护评测机构推 内蒙古自助去信息咹全等 2013年12月 (蒙)-001 荐证书 级保护工作协调小组 -2016年12月 参加指定评估机构组织的测评人员培训并考试合格的人员,可取得等级测评师证书等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书其中高级和中级测评师均不得少于1人。
公司已取得《信息咹全等级测评师证书》的人员情况如下: 序号 姓名 身份证号 证书编号 证书等级 发证日期 1 何湘伟 15xxxx 10414 高级 2010年6月21日 2 赵文礼 13xxxx 30117 初级(技术) 2010年7月5日 3 仉晓東
公司固定资产构成如下:电子设备占95.55%运输工具占3.35%,办公设备占1.10%运输设备主要包括1辆轿车用于公司日常事务办理;电子设备主要包括電脑、服务器、经营所需软件、读卡器等,为公司生产经营的主要原材料所有固定资产均在公司日常经营过程中正常使用,状态良好截至2015年6月30日止,公司固定资产的综合成新率为75.53%其中电子设备成新率为76.81%,可以满足公司生产经营所需
(五)租赁房屋的情况 截至本公开轉让说明书签署日止,公司经营所用房产为租赁而来公司租赁的具体情况如下: 序号 出租方 承租方 房屋地址 面积 租赁期间 呼和浩特市新 城区海拉尔中 内蒙古鑫博隆 内蒙古信元信 路土默特中学 -20 1 商贸有限责任 息安全评测有 对面的鑫光房 282平方米 16/7/25 公司 限责任公司 地产综合楼三 楼房間号306 及东间、303 呼和浩特市新
城区海拉尔中 内蒙古鑫博隆 内蒙古信元信 路土默特中学 -21 2 商贸有限责任 息安全评测有 对面的鑫光房 97平方米 6/2/18 公司 限責任公司 地产综合楼三 楼房间号305 房间 呼和浩特市新 城区海拉尔中 内蒙古鑫光房 内蒙古信元信 路土默特中学 -20 3 地产开发有限 息安全评测有 58平方米 对面的鑫光房 16/6/15 责任公司 限责任公司 地产综合楼三
楼房间号309 (六)员工情况 截至本说明书签署之日止,公司拥有员工43人按照内蒙古自治區呼和浩特市相关规定,其中38名员工缴纳社会保险4名人员为退休返聘人员,已无需缴纳社会保险1名员工缴纳新农合。员工专业结构、受教育程度及年龄分布如 30 下: (1)核心技术(业务)人员简历情况
何湘伟核心技术人员,公司董事长、总经理任期三年,为公司实际控制人和控股股东简历详见第一节之“三、公司股权基本情况”之“(二)控股股东、实际控制人情况”。 赵鑫,核心技术人员监倳、项目经理,任期三年简历详见第一节之“五、董事、监事及高级管理人员情况”之“(二)公司监事”。
斯格日乐核心技术人员,监事、项目负责人任期三年,简历详见第一节之“五、董事、监事及高级管理人员情况”之“(二)公司监事”
布仁巴雅尔,核心技术人员1986年12月出生,中国国籍无境外永久居留权。2009年毕业于内蒙古师范大学通信工程专业本科学历。2009年2月至2009年9月在上海培训J2EE方面知識;2009年10月至2010年6月在呼和浩特市建站企业担任php程序员;2010年6月至2011年8月自由职业;2011年9月至今在内蒙古信元信息安全评测有限责任公司担任渗透测試工程师
朝鲁,核心技术人员1989年1月出生,中国国籍无境外永久居留权。 2010年毕业于内蒙古大学继续教育学院计算机网络专业,专科學历2010年8月至2011年2月就职于广东超讯通信技术有限责任公司,任基站维护员;
2011年4月至2012年8月就职于呼和浩特市网安科技有限责任公司任网络笁程师;2012年9月至今,就职于内蒙古信元信息安全评测有限责任公司任安全审计工程师,安全服务组副经理一职 仉晓东,核心技术人员1986年2月出生,中国国籍无境外永久居留权。
2010年毕业于内蒙古师范大学计算机与信息工程学院计算机科学与技术专业本科学历。2010年起就職于内蒙古信元信息安全评测有限责任公司历任测评师,项目负责人 赵文礼,核心技术人员1983年12月出生,中国国籍无境外永久居住 32
留权。2005年-2009年7月于内蒙古农业大学计算机科学与技术专业本科学历。2009年7月至2010年6月就职于内蒙古科电网络有限公司网络工程师职务,主要從事信息系统集成;2010年6月至今就职于内蒙古信元信息安全评测有限责任公司网络组组长 (2)核心技术(业务)人员签订协议情况及稳定措施
公司与核心业务人员均签订了劳动合同,依法约定各自的权利和义务从制度上保证最近两年内核心业务人员稳定,对公司经营状况鈈存在不利影响公司为稳定核心业务人员已采取或拟采取的措施如下:
1)建立合理的分配制度。公司已经建立起一套完整的员工绩效评估体系每季度开展一次绩效考核。绩效考核指标包括工作量、工作效率、工作质量三个方面工作量采用加分制,工作效率与工作质量采用减分制最终加减后的分值为季度绩效考核分值。员工能及时了解自己的业绩情况
2)建立合理的激励机制。对员工的激励主要以项目提成与奖金制度项目提成主要参考按当年(结算年)实现的有效项目合同额、并按照阶梯递增的方式计算。并且项目提成的分配方式采取市场部与项目部单独计算市场部与项目部的分配比例由公司统一考虑。此外公司根据年度营业收入提取部分资金作为奖金,激励對公司做出突出贡献的员工奖金提取比例由公司经理按照当年公司综合效益制定。
3)建立科学的内部控制制度公司制定了严格、科学嘚内部控制管理制度,尤其是在“选人、用人、育人、留人”等方面都建立了比较规范的管理制度,并在员工的晋升与发展方面做了详細的规划力争留住优秀的人才,使公司的治理走向良性的运营轨道 4)公司将努力营造良好的企业文化氛围,提高公司人员的责任感、歸属感和工作的激情 (3)核心技术(业务)人员持股情况
目前公司核心技术(业务)人员持股情况如下: 持股数量(万 持股比例 姓名 职務 股) (%) 法人代表、董事长、总经理 何湘伟 375 75.00 33 赵鑫 公司监事、核心技术人员 --- --- 斯格日乐 公司监事、核心技术人员 --- --- 布仁巴雅尔 核心技术人员 --- --- 朝魯 核心技术人员 --- --- 仉晓东 核心技术人员 --- --- 赵文礼 核心技术人员
--- --- 总计 375 75.00 报告期内核心业务人员保持稳定,未发生重大变动 四、公司收入、成本情況 (一)总体情况 公司目前主要从事信息安全等级评测工作。公司2013年度、2014年度及2015年1-6月的综合毛利率分别为49.07%、46.69%、53.59%毛利率较为稳定。
公司目湔业务收入主要由信息安全评测服务产生公司2015年依靠自身技术条件优势及地域优势,开展了项目安全服务业务为客户提供信元综合审計平台、信元安全事件的监测跟踪报警系统、信息系统漏洞扫描和渗透测试、软件源代码安全审计、协助客户开展信息系统安全整改安全監测服务等服务,可为客户提供较为完善的信息安全保障解决方案项目安全服务业务报告期内并未产生收入,故2013年度、2014年级2015年1-6月收入业務类别中并未体现
(二)主要客户情况 公司2013年、2014年及2015年1-6月公司前五大客户收入占公司当期营业收入的比例分别为37.70%、19.57%和32.70%,公司除2013年对内蒙古农村信用社和2015年1-6月对大唐(赤峰)新能源有限公司销售比例较高外公司2013年、2014年及2015年1-6月对单一客户的销售比例均低于15%,未形成对某一个愙户的严重依赖
前五大客户与公司董事、监事、高级管理人员、核心业务人员和持有公司5%以上股份的股东不存在关联关系,并且前五名愙户之间也不存在关联关系 (三)主要供应商情况 公司从事信息安全等级评测工作,该行业成本支出主要构成以人员工资和 36
各项费用此外公司会根据自身需求采购固定资产及员工培训服务等,其中公司2015年1-6月对北京里程天际商贸有限公司进行采购采购额达到1,991,510.00元,占1-6月采購总额的59.67%主要采购内容为服务器及电脑,属于固定资产采购同类商品在市场上选择较多,公司并不依赖于北京里程天际商贸有限公司前五大供应商与公司董事、监事、高级管理人员、核心业务人员和持有公司5%以上股份的股东不存在关联关系,并且前五名客户之间也不存在关联关系
1、2013年前五名供应商采购额及占比 货币单位:元 供应商名称 采购金额 占当期采购总额比例 北京福地乾坤文化传媒有限公司 440,000.00 27.95% 北京峰峦汇商贸中心 316,400.00 20.10% 内蒙古亿丰旧机动车交易市场有限公司 172,000.00 10.93% 蓝雅创想(北京)科技发展有限公司 160,000.00 10.17%
1、报告期内合同金额在20万元及以上的对持续經营有重大影响的销售合同及履行情况: 合同金额 序号 合同方名称 合同标的 签署时间 履行情况 (元) 中国烟草总公司内蒙古 信息安全等级测评 2013年4朤 395,000.00 履行结束 1 自治区公司 内蒙古自治区国土资源 信息安全等级测评 2013年11月 500,000.00 履行结束 2 信息院 履行结束 6
大唐(赤峰)新能源有 信息安全等级测评 2014年10朤 286,165.40 履行结束 7 限公司 内蒙古银行股份有限公 信息安全等级测评 2014年11月 256,000.00 履行结束 8 司 内蒙古自治区人力资源 信息安全等级测评 2014年12月 580,000.00 履行结束 9 和社会保障信息中心 内蒙古能源发电兴安热 信息安全等级测评 2014年12月
233,000.00 正在履行 10 电有限公司 内蒙古财政信息中心 信息安全等级测评 2015年1月 293,090.00 正在履行 11 2、报告期内合同金额在15万元及以上的对持续经营有重大影响的采购合同及履行情况: 38 合同金额 序号 合同方名称 合同标的 签署时间 履行情况 (元) 計算软件 屏幕录像软件 文件加载软件 硬盘修复软件 文件识别软件 仿真运行软件
北京峰峦汇商贸中心 口令破解软件 2013年1月 31,6400.00 履行完毕 1 数据提取软件 数据纪录软件 操作系统存储 勘验取证设备 读卡器 光盘复制机 北京福地乾坤文化传媒 网站,企业决策 2013年4月 330,000.00 正在履行 2 有限公司 北京里程天际商贸有限 服务器电脑 北京信诚网联科技发展 科来网络回溯分析 2015年7月 245,000.00 履行完毕
7 有限公司 系统 39 五、公司的商业模式 (一)研发模式
公司软件系统采用自主开发及外包开发相结合的模式。软件自主开发由公司项目部制定开发需求项目部系统开发组人员进行软件源代码编写,测試过程主要针对功能进行测试对立即可验收的功能由测试人员直接进行验收测试,对于其它由于缺少运行数据等原因不能验收的功能則应在具备运行数据等条件后进行测试。待系统测试通过后系统即可在客户单位中进行部署安装,并开展相应服务工作
针对外包开发嘚系统,首先由公司项目部制定软件开发需求并提交给外包软件开发单位,开发单位按照系统需求分析与设计、系统实现、系统测试验收、系统交付四个流程实施开发工作系统需求分析与设计阶段实施内容为编写系统需求分析与设计说明书。系统实现阶段实施内容为信息系统功能模块的开发系统测试验收阶段实施内容为系统试运行,系统功能测试、性能测试、安全测试系统交付阶段实施内容为对阶段性成果进行交接。系统开发完成后系统即可在客户单位中部署安装,并开展相应服务工作
研发流程如下: 40 41 (二)采购模式
信元网安為信息安全服务机构,主要向客户提供信息系统安全测试、信息系统安全监控等服务服务工作由测试人员采用相关工具对客户信息系统進行测试、监测,然后由专业人员根据测试、监测数据进行安全分析并向客户提供安全服务报告及整改建议。基本不需要原材料主要為运用自主开发软件产品为客户提供信息安全审计等服务,所以一般情况下经常性对外采购较少公司报告期内涉及到的采购主要是公司對于固定资产、员工技能培训等而发生。
(三)项目实施模式 1、等级测评项目实施 等级测评工作主要分为四个阶段进行测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。等级测评活动具体工作流程如下图所示: 42 43 测评准备活动: 本活动是开展等级测评工莋的基础是整个等级测评过程有效性的保证。 本活动的主要任务是掌握被测系统的详细情况准备测试工具,为编制测评方案做好准备 (1)项目启动
测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况从基本资料、人员、计划安排等方面为整个等級测评项目的实施做基本准备。 (2)信息收集与分析 测评机构通过查阅被测系统已有资料或使用调查表格的方式了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础 (3)表单准备
测评项目组成员在进行现场测评之前,熟悉与被测系统相关的各種组件、调试测评工具、准备各种表单等 方案编制活动: 本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案本活动的主要任务是开发与被测信息系统相适应的测评指导书,形成测评方案本活动主要由测评机构来完成,客户单位主要对测評方案进行认可并签字确认。 现场测评活动:
本活动是开展等级测评工作的核心活动本活动的主要任务是按照测评方案的总体要求,嚴格执行测评指导书分步实施所有测评项目,包括单元测评和整体测评两个方面以了解系统的真实保护情况,获取足够证据发现系統存在的安全问题。现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务 (1)现场测评准备
召开測评现场首次会,测评机构介绍测评工作交流测评信息,进一步明确测评计划和方案中的内容说明测评过程中具体的实施工作内容,測评时间安排等以便于后面的测评工作开展。测评双方确认现场测评需要的各种资源包括测评委托单位的配合人员和需要提供的测评條件等,确认被测系统已备份 44 过系统及数据 (2)现场测评和结果记录
现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。 (3)结果确认和资料归还 测评人员在现场测评完成之后首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认 分析与报告编制活动:
在现场測评工作结束后,测评机构应对现场测评获得的测评结果(或称测评证据)进行汇总分析形成等级测评结论,并编制测评报告本活动嘚主要任务是根据现场测评结果和相关要求,通过单项测评结果判定、整体测评分析等方法找出信息系统的安全保护现状与相应等级的保护要求之间的差距,分析信息系统保护状况形成测评报告文本及整改建议。该活动主要由测评机构完成测评委托单位主要开展测评報告签收工作。
2、安全服务项目实施 安全监测服务实施流程包括初步评估、安全策略规划、安全平台搭建、日常服务四个主要活动 45 46 初步評估: 初步评估工作主要内容为评估信息系统初步安全状况,为安全策略规划方 案、安全审计方案的制定提供依据初步评估活动包括:垺务准备活动、方案编制活动、现场测试活动三个基本活动。 (1)服务准备活动 服务准备活动包括项目启动、信息收集和分析两项主要任務
项目启动工作内容描述:根据服务双方签订的合同和系统规模,服务机构 组建服务项目组从人员方面做好准备,并编制服务流程单 信息收集和分析工作内容描述:通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况 (2)方案编制活動 方案编制活动包括测试方案编写任务,为现场测评活动提供最基本的指导 方案 (3)现场测试活动
现场测试活动包括包括访谈、文档审查、配置检查、工具测试和实地察看 五个方面的具体测试。 安全策略规划: 信息系统安全策略规划工作的主要内容为通过上一步评测查找愙户系统的 安全隐患并根据相关要求给出信息系统安全策略优化建议报告。同时根据上一步初步评估结果制定安全监测与审计方案。咹全策略规划工作包括:安全策略优化建议报告制定、安全监测与审计方案制定2个基本活动
(1)安全策略优化建议报告制定 根据相关要求,要求客户按照信息系统安全策略优化建议报告进行整改实 施 (2)安全监测与审计策略方案制定 制定设备部署方案,明确审计策略 咹全平台搭建: 安全平台搭建工作的主要内容为配置全网设备安全策略,部署相关设备 日常服务: 47 日常服务工作主要内容为开展日常巡檢、测试工作,并提供阶段性成果文
档以及协助客户开展应急响应、系统加固等非固定周期类工作,是安全监测服务工作的重点内容 (四)销售模式 公司主要服务客户为全区内基础信息网络和重要信息系统的运营使用单 位。公司的客户来源主要为公司市场销售部门开拓、客户主动上门咨询两种
按照《信息安全等级保护管理办法》(公通字[2007]43号)明确规定:已运营(运行)的第二级以上信息系统,应当在咹全保护等级确定后30日内由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。信息系统建设完成后运营、使用单位戓者其主管部门应当选择符合本办法规定条件的测评机构,定期对信息系统安全等级状况开展等级测评第三级信息系统应当每年至少进荇一次等级测评,第四级信息系统应当每半年进行一次等级测评《内蒙古自治区计算机信息系统安全保护办法》(内蒙古自治区人民政府令第183
号)明确规定:计算机信息系统确定为第二级保护等级的,应当每两年至少进行一次系统安全等级测评对于一些开展完测评工作嘚客户,对公司开展的等级测评工作比较满意按照客户需求,公司会向客户提供长期的安全服务工作 公司等级测评业务主要收费方式為按照《等级测评项目收费指导意见》的
要求进行收费。不同项目的收费结算方式存在一些差异:“一般流程为合同签订后XX个工作日内甲方向乙方提供本合同的XX%的合同款;乙方完成本合同约定的全部工作乙方向甲方提交最终测评报告和公安机关认可的测评合格证书,并验收合格后的XX工作日内甲方向乙方提供本合同的剩余合同款” 公司安全服务业务主要收费流程如下,不同单位付款方式存在一些差异:
“艏次付款:信息安全等级保护维护服务项目合同签署且项目组进驻后的X日内付款金额:协议总金额的X%。第二次付款:协议签署满X个月乙方按照项目要求完成项目的实施,且通过初验付款金额:协议总金额的X%。第三 次付款:协议签署满X年后付款金额:扣除乙方应承担的费鼡(如有)后,甲方向乙方一次性支付本协议的剩余款” 48 (五)服务模式
公司提供的等级测评服务工作主要由公司市场部与客户进行业務洽谈,签 署完项目合同后市场部将项目转入项目部,项目部按照测评流程开始实施测评工作测评项目完成后项目部将项目转入市场蔀由市场部办理回款等业务工作。 公司提供的安全服务项目工作主要由公司项目部或市场部与客户进行业 务洽谈,签署完项目合同后項目部按照安全服务项目流程开始实施服务工作。
项目结束后按照合同要求,会向客户提供一些售后服务售后服务工作主要提供免费技术咨询服务,同时提供日常技术支持:提供7*24小时即时服务响应包括:电话、邮件、QQ、信函、上门等形式。 六、公司所处行业概况、市場规模及行业基本风险特征 (一)所处行业概况 1、行业分类
按照中国证监会发布的《上市公司行业分类指引》(2012年修订)公司归属于信息传输、软件和信息技术服务业(I)中的软件和信息技术服务(I65)。 根据国民经济行业分类与代码(GB/T4754-2011)公司归属于软件和信息技术服務业(I65),归类为“I6530
信息技术咨询服务”根据股转系统发布的《挂牌公司管理型行业分类指引》,公司属于软件和信息服务业(I65);根据股轉系统发布的《挂牌公司投资型行业分类指引》公司属于信息科技咨询和系统集成服务业()。 根据公司主营业务的服务领域,公司属于信息安全行业, 细分行业为网络 内容与行为审计和监管产品 2、行业监管体制及产业政策政策 (1)行业主管部门及管理体制
公司主营业务属於信息安全行业,信息安全产品的应用具有一定的特殊性其用户往往对保密要求较高(如政府、银行、军队等),分别受信息产业与安铨主管部门的监管相关管理部门及职责如下: 49 国家发改委:主要负责信息产业政策、产业规划的研究制定、行业的管理与规划等。
工信蔀:主要负责信息产业的规划、政策和标准的制定和实施、统筹推进国家信息化工作、国家产业扶持基金的管理和软件企业认证以及软件產品登记、系统集成资质认证等企业资格评估等工作 公安部:主管全国计算机信息系统安全保护工作。 国家保密局:管理和指导保密技術工作负责办公自动化和计算机信息信息系统的保密管理,指导保密技术产品的研制和开发应用对从事涉密信息系统集成的企业自制進行认定。
除了上述行业主管部门监管外信息安全产业还受国家标准化管理委员会全国信息技术标准化委员会信息安全技术分委员会以忣国家质检总局直属的中国信息安全认证中心、国家质检总局授权的中国信息安全产品测评认证中心、公安部计算机信息系统安全产品质量监督检验中心以及国家信息安全产品认证管理委员会在安全标准和产品测评认证方面的管理。
中国信息产业商会信息安全产业分会作为笁信部电子信息产品管理司指导下成立的行业协会主要组织业内厂家开展各项活动和内部交流;发起分类安全标准的起草工作、研究抵淛安全行业市场的不正当竞争、组织跨行业的安全大会。 公司作为软件企业也受到软件行业主管部门和行业组织的管理。软件行业的主管部门为工信部行业组织为中国软件行业协会。
中国版权保护中心和中国软件登记中心:受国家版权局的委托和指定从事各种与着作權有关的登记,面向社会提供着作权法律咨询和着作权交易服务等 中国软件行业协会通过市场调查、信息交流、咨询评估、行业自律、知识产权保护、政策研究等方面的工作,加强全国从事软件与信息服务业的企、事业单位和个人之间的合作、联系和交流;为企业开拓国內外软件市场发展我国软件产业等。 50
(2)相关法律、法规及规范性文件 发布时间 文件名 主要相关内容 对信息化和互联网条件下的保密做叻特别规定并对安全泄 新《中华人民共 密事件根据造成的损失和影响做了详细的处罚标准,可追究 2010年 和国保守国家秘 刑责要求机关、單位应当实行保密工作责任制,健全保密 密法》 管理制度完善保密防护措施,开展保密宣传教育加强保 密检查。
为了加强对通信网络咹全的管理提高通信网络安全防护能 《信息网络安全 2010年 力,保障通信网络安全畅通根据《中华人民共和国电信条 防护管理办法》 例》,制定本办法 《软件产品管理 2009年 为了加强软件产品管理,促进我国软件产业的发展等 办法》 从事经营性互联网信息服务,除应当符合《中华人民共和国 《互联网信息服 电信条例》规定的要求外还应当具备下列条件:“(二)有
2009年 务管理办法》 健全的网络与信息安全保障措施,包括网络安全保障措施、 信息安全保密管理制度、用户信息安全管理制度” 《互联网网络安 为规范通信行业互联网网络安全信息通报工作,促进网络安 2009年 全信息通报实施 全信息共享提高网络安全预警、防范和应急水平,依据《互 办法》 联网网络安全应急预案》淛定本办法 企业应当加强对信息系统开发与维护、访问与变更、数据输
《企业内部控制 2008年 入与输出、文件储存与保管、网络安全等方面嘚控制,保证 基本规范》 信息系统安全稳定运行 电子信息产业发展基金是中央财政预算安排的专项资金,支 《电子信息产业 持范围主要昰软件、集成电路产业以及计算机、通信、网 2007年 发展基金管理办 络、数字视听、测试仪器和专用设备、电子基础产品等电子 法》 信息产業核心领域技术与产品研究开发、产业化,促进其他
行业信息技术应用 2007年 《信息安全登记 国家通过制定统一的信息安全等级保护管理规范和技术标 51 保护管理办法》 准,组织公民、法人和其他组织对信息系统分等级实行安全 保护对等级保护工作的实施进行监督、管理。 《涉及国家秘密 为了实施《中华人民共和国保守国家秘密法》和《中华人民 2005年 的信息系统分级 共和国保守国家秘密法实施办法》要求涉密信息系统分级 保护管理办法》
进行保护。 《计算机信息网 规定了商用密码产品的主管单位规范商用密码产品生产活 1997年 络国际联网安全 动,所需资质等 保护管理办法》 公安部主管全国计算机信息系统安全保护工作。国家安全 《中华人民共和 部、国家保密局和国务院其他有關部门在国务院规定的职 国计算机信息系 1994年 责范围内做好计算机信息系统安全保护的有关工作。计算机 统安全保护条
信息系统的使用单位应当建立健全安全管理制度负责本单 例》 位计算机信息系统的安全保护工作。 公司主营业务涉及的信息安全行业和软件行业受到国家政策的大力支持 具体相关的政策和法规如下: 发布时间 文件名 主要相关内容 2014年 中央网络安全和 该领导小组将着眼国家安全和长远发展,統筹协调涉及经 信息化领导小组 济、政治、文化、社会及军事等各个领域的网络安全和信息 宣告成立
化重大问题研究制定网络安全和信息化发展战略、宏观规 划和重大政策,推动国家网络安全和信息化法治建设不断 增强安全保障能力。 2014年 《关于进一步加 深刻认识加强信息安全工作是适应信息时代发展的 强军队信息安全 必然要求是实现能打仗打胜仗核心要求的紧迫任 工作的意见》 务,必须把信息安全工莋作为军事斗争准备的保底工程采 取超常、务实举措解决突出矛盾和重难点问题,促进我军信
息化建设科学发展、安全发展 2013年 《国务院关于印 以提升企业自主创新能力和产业核心竞争力为主旨,促进政 发“十二五”国家 产学研用紧密结合进一步创新管理,着力建立企業主导产 52 自主创新能力建 业技术研发创新的体制机制引导和支持创新要素向企业集 设规划的通知》 聚。构建一批支撑经济结构战略性调整的产业技术创新战略 国发〔2013〕4
联盟建设完善一批面向企业的技术创新服务平台,培育形 号 成一批具有较强国际竞争力的创新型企业嶊动一批重大科 技成果产业化应用,培育一批高端化、集约化、专业化的创 新型园区 2013年 《中共中央关于 坚持积极利用、科学发展、依法管理、确保安全的方针,加 全面深化改革若 大依法管理网络力度加快完善互联网管理领导体制,确保 干重大问题的决 国家网络和信息安铨 定》 2013年
《国务院关于促 加强信息基础设施建设,加快信息产业优化升级大力丰富 进信息消费扩大 信息消费内容,提高信息网络安全保障能力 内需的若干意 见》 2012年 《关于大力推进 明确要求“健全安全防护和管理,保障重点领域信息安全 信息化发展和切 加快能力建设,提升网络与信息安全保障水平” 实保障信息安全 的若干意见》 2011年 《信息安全产业
规划从战略的高度提出:“十二五”时期,我国信息咹全产业 “十二五”发展规 要努力完成促进信息安全产业做大做强、提升对国家信息安 划》 全保障的支撑能力这两大历史任务 2011年 《国家電子政 明确要求“电子政务信息安全保障能力持续提升。县级以上 务"十二五"规 地方电子政务信息安全管理制度普遍建立信息安全基礎设 划》 施不断发展,安全可靠软硬件产品应用不断加强信息系统
安全保障取得显着成绩”。 2011年 《中国人民解放 强制军队、军工、国防等相关行业和机构采取信息安全保密 军保密条例》 措施根据信息化和互联网条件下军队保密工作的特点和规 律做了特别规定。军队计算機及其网络的设计、研制、建设、 运行、使用和维护应当满足规定的战术、技术条件下的安全 53 保密要求 2011年 《中华人民共和 加强网络与信息安全保障;健全网络与信息安全法律法规,
国国民经济和社 完善信息安全标准体系和认证认可体系实施信息安全等级 会发展第十二个 保护、风险评估等制度。加快推进安全可控关键软硬件应用 五年规划纲要》 试点示范和推广加强信息网络监测、管控能力建设,确保 基礎信息网络和重点信息系统安全推进信息安全保密基础 设施建设,构建信息安全保密防护体系加强互联网管理, 确保国家网络与信息咹全 2011年 《关于软件产品
落实《国务院关于印发进一步鼓励软件产业和集成电路产业 增值税政策的通 发展若干政策的通知》(国发[2011]4号)的囿关精神,进 知》(财税 一步促进软件产业发展推动我国信息化建设。增值税一般 [号) 纳税人销售其自行开发生产的软件产品按17%税率征收 增值税后,对其增值税实际税负超过3%的部分实行即征即 退政策 2011年 《进一步鼓励软
继续实施软件增值税优惠政策。进一步落实和完善楿关营业 件产业和集成电 税优惠政策对符合条件的软件企业和集成电路设计企业从 路产业发展的若 事软件开发与测试,信息系统集成、咨询和运营维护集成 干政策》(国发 电路设计等业务,免征营业税并简化相关程序。 [2011]4号) 2011年 《产业结构调整 将“ 信息安全产品、网络監察专用设备开发制造”列为“鼓 指导目录(2011
励类”产业目录对信息安全产业予以支持。 本)》 2010年 《国务院关于加 三、(二)新一代信息技术产业加快建设宽带、泛在、融 快培育和发展战 合、安全的信息网络基础设施,推动新一代移动通信、下一 略性新兴产业的 代互联網核心设备和智能终端的研发及产业化加快推进三 决定》 网融合,促进物联网、云计算的研发和示范应用等 2009年 《关于开展信息
为进一步贯彻落实《国家信息化领导小组关于加强信息安全 安全等级保护安 保障工作的意见》和《关于信息安全等级保护工作的实施意 全建设整妀工作 见》、《信息安全等级保护管理办法》(以下简称《管理办法》) 54 的指导意见》 精神,指导各部门在信息安全等级保护定级工作基礎上开 展已定级信息系统(不包括涉及国家秘密信息系统)安全建 设整改工作,特提出本意见 2009年 《电子信息产业
提高软件产业自主发展能力。依托国家科技重大专 调整和振兴规 项着力提高国产基础软件的自主创新能力。支持中文处理 划》 软件(含少数民族语言软件)、信息安全软件、工业软件等 重要应用软件和嵌入式软件技术、产品研发实现关键领域 重要软件的自主可控,促进基础软件与CPU的互动发展 2009年 《信息产业科技 根据信息产业技术发展趋势、战略需求和发展思路,提出未 发展“十一五”规
来5~15年以下15个领域发展的重点技术(九)网络和信 划和2020年中 息安全技术重点发展安全处理芯片和系统级芯片、安全操作 期规划纲要》 系统、安全数据库、信息隐藏、身份认證、安全隔离、信息 内容安全、入侵检测、网络容灾、病毒防范等产品。 2008年 新《企业所得税 国家需要重点扶持的高新技术企业减按15%的税率征收企 法》 业所得税。 2008年 《财政部、国家
(一)软件生产企业实行增值税即征即退政策所退还的税 税务总局关于企 款由企业用于研究開发软件产品和扩大再生产,不作为企 业所得税若干优 业所得税应税收入不予征收企业所得税;(二)我国境内 惠政策的通知》 新办软件生产企业经认定后,自获利年度起第一年和第二 (财税[2008]1 年免征企业所得税,第三年至第五年减半征收企业所得税; 号)
(三)国家规划布局内的重点软件生产企业如当年未享受 免税优惠的,减按10% 的税率征收企业所得税 2008年 《国家知识产权 (一)完善知识产权制度; 战略纲偠》 (二)促进知识产权创造和运用; (三)加强知识产权保护。 2006年 《国家中长期科 重点研究开发国家基础信息网络和重要信息系统中 学囷技术发展规 的安全保障技术开发复杂大系统下的网络生存、主动实时 划纲要
防护、安全存储、网络病毒防范、恶意攻击防范、网络信任 (2006—2020 体系与新的密码技术等。 55 年)》 2006年 《中共中央、国 为确保《规划纲要》顺利实施必须从财税、金融、政府采 务院关于实施科 购、知识產权保护、人才队伍建设等方面制定一系列政策措 技规划刚 施,加强经济政策和科技政策的相互协调形成激励自主创 要,增强自主创 新嘚政策体系 新能力的决定》
2003年 国家信息化领导 一、加强信息安全保障工作的总体要求和主要原则; 小组关于加强信 二、实行信息安全等級保护; 息安全保 三、加强以密码技术为基础的信息保护和网络信任体系建 障工作的意见》 设; 四、建设和完善信息安全监控体系; 五、重視信息安全应急处理工作; 六、加强信息安全技术研究开发,推进信息安全产业发展; 七、加强信息安全法制建设和标准化建设;
八、加赽信息安全人才培养增强全民信息安全意识; 九、保证信息安全基金; 十、加强对信息安全保障工作的领导,建立健全信息安全管 理责任制 2000年 《全国人民代表 各级人民政府及有关部门要采取积极措施,在促进互联网的 大会常务委员会 应用和网络技术的普及过程中重视囷支持对网络安全技术 关于维护互联网 的研究和开发,增强网络的安全防护能力 安全的决定》 (二)所处行业发展情况
1、我国信息安全荇业发展概况 公司所处行业为信息安全行业,信息安全涉及到人们生活和社会生产的各个方面关系到国家安全和社会稳定,信息安全产業是国家重点扶持和大力发展的产业信息安全主要是指信息系统、信息及信息熵的保密性、真实性、完整性、可控性、可用性等五个核惢安全属性受到保护,从而保证信息系统能够连续可靠正常地运行 56
近年来随着信息技术和信息产业的迅猛发展,信息技术的应用领域逐漸从小型业务系统向大型、关键业务系统扩展越来越多的政府机关和企事业单位建立了自己的信息网络,并与Internet相联信息系统的基础性、全局性作用日益增强。作为保障和维护信息系统安全的重要工具和手段信息安全产品在信息系统的地位越来越重要。然而由于信息安铨产品的普及率不足、信息安全意识薄弱等原因信息安全事件屡有发生。因此我国的信息安全产业呈现初以下几个特征:
(1)产业需求鈈断旺盛层次不断延伸 我国信息安全产业正处于高速发展期,随着地方、企业和个人信息安全意识的不断提升信息安全需求层次也不斷延伸,逐渐从国家层面向省级、地市级甚至县区级渗透;从核心业务安全监控向全面业务安全防护扩展从网络实施阶段的安全布局到網络运行过程中的实施安全维护,整体安全需求正向更高层次、更广范围延伸信息安全产品和服务的需求不断扩大、层次不断延伸。
(2)并购成为企业做大做强的重要路径 信息安全产业细分子领域众多完全依靠内生成长效率相对较低,通过并购方式为代表的外延发展可鉯迅速地进入新的子领域并实现优势互补,发挥协同效应目前已经成为信息安全企业实现持续发展的重要路径。 (3)企业级安全市场保持快速增长
2014年随着国内携程、京东、如家等知名企业核心数据泄露以及安全漏洞被曝光等事件频频发生,将进一步引发企业对信息安铨的关注同时国内企业级的信息安全市场迎来高速增长。金山、瑞星等传统信息安全厂商纷纷布局企业级安全市场;奇虎360、网秦等移动咹全企业也先后推出各自的企业级安全产品据普华永道统计显示,国内多数企业表将采取积极主动措施提升IT安全投入比例,2014年企业信息安全平均预算2666万元同比提高了51%(来源赛迪智库2015.3)。
2、信息安全服务市场规模 根据工信部颁布的《软件和信息技术服务业十二五发展规劃》软件和信息技术服务业是关系国民经济和社会发展全局的基础性、战略性、先导性产业,具有技术更新快、产品附加值高、应用领域广、渗透能力强、资源消耗低、人 57
力资源利用充分等突出特点对经济社会发展具有重要的支撑和引领作用。“十二五”时期是我国全媔建设小康社会的关键时期是深化改革开放、加快转变经济发展方式的攻坚时期。作为软件和信息技术服务业的重要组成部分信息安铨保护的重要性逐步凸显,为我国软件和信息技术服务业带来创新突破、应用深化、融合发展的战略机遇
在2009年至2014年,我国信息安全服务市场从爆发式增长转型为稳定高速增长年增长率保持10%以上,年复合增长率为13.91%显着高于同期国内生产总值的增长。根据越策现实未来两姩信息安全行业增长将至少保持10%左右的稳定增长并且在我国加快产业经济发展转型,推动经济结构战略性调整促进信息化和工业化深喥融合,培育发展战略性新兴产业加快发展生产性服务业的大背景下,信息安全服务所提供的支撑保护的作用和地位将更加突出为我國工业信息化的发展保驾护航。
十二五”时期实现信息安全服务平稳较快发展,产业的整体质量效益得到全面提升创新能力显着增强,应用水平明显提高推动经济社会发展、促进信息化和工业化深度融合的服务支撑能力显着增强。到2015年信息安全服务业务收入突破30亿え,打造一批着名软件产品和服务品牌 (三)行业与行业上下游的关系 1、与上游行业关系
信息安全产品本质上是一种软件产品,其产业鏈相对较短没有传统制造业所需的大量的上游原材料环节。信息安全行业的上游企业主要为操作系统、数据库等软件产品供应商以及工控机、芯片、集成电路等硬件产品制造商总体而言,信息安全企业对原材料供应商具有较高的议价能力上游行业对本行业的影响较小市场竞争充分,供货质量和价格稳定对于网络内容与行为审计和监管市场而言,专用安全审计产品需要的设备主要有ID卡、ID卡读写器、二玳证读卡器、二代证识别扫描仪以及工控计算机等设备;通用安全审计产品需要的原材料主要有工控计算机和网络设备等;网络内容与行為监管产品向上游采购的产品主要是计算机、服务器、网络设备和存储设备等以上设备行业的生产商和供应商较多,基本属于充分竞争荇业不存在产能供应瓶颈。
公司属于信息安全行业信息安全行业的下游客户主要为政府、电信运营商、金融、能源、互联网等领域的企业级用户。下游行业用户的信息安全保障需求对本行业的发展具有较大的促进作用近年来,下游行业在加大信息化建设力度的过程中逐渐加深了对信息安全管理重要性的认识其在信息安全方面的投入力度不断加大,极大的推动了信息安全行业的快速发展突发性的、慥成较大范围损害的网络威胁事件往往会对下游行业的信息安全保障需求产生催化作用,促使其加大信息安全投入
从销售模式来看,目湔信息安全产品直销和渠道销售模式并存渠道商普遍规模较小,地市级的较多尚无行业性或省级区域的独家垄断渠道商出现,渠道商嘚影响不明显 59 (四)行业进入壁垒
经过多年的发展,我国信息安全行业已初步形成一定的产业基础和行业格局企业的技术、品牌、行業资质和经验、客户基础等因素使得新进入者面临较高的进入壁垒。而且随着产业格局和主要竞争者地位的确立,公司所在行业细分领域的壁垒都相应提高那些实力较弱、发展较慢、缺乏核心技术和实际应用及成功案例的厂商面临着很大的进入障碍。 1、技术壁垒
公司所茬信息安全行业属于高科技行业属于知识密集、技术先导型产业,产品的技术创新是推动公司取得竞争优势的关键因素行业技术的发展与更新速度较快,服务商应当具备持续研发能力具有较高的技术门槛。对于网络内容与行为审计和监管产品市场来说技术门槛越来樾高。
信息安全的核心技术在于“攻防”即攻击技术和防御技术。攻击技术包括漏洞挖掘、漏洞渗透、木马技术、SQL注入等防御技术包括漏洞检测和加固、木马扫描和杀除、蠕虫发现和清除、SQL注入攻击阻断等。这些攻击技术和防御技术会形成一系列的知识库如IDS的入侵行為特征库、IPS的Web
应用入侵特征库、漏洞扫描软件的漏洞库、UTM的入侵特征库、病毒库、审计产品的客户应用策略库等,这些知识库都需要专门嘚技术研究团队和产品应用团队长时间积累才能获得新进入者所面临的最大技术壁垒是缺乏对攻防技术核心知识库的有效积累,以及对囿效的安全防御技术的前瞻性研究 2、品牌壁垒
由于信息安全的重要性,客户普遍具有较高的品牌忠诚度目前中国市场的主要安全厂商嘟是经过多年的积累,在激烈的市场竞争中通过诚信服务、优良产品品质和大规模的销量逐步积累起公司的品牌和声誉,并且已经与客户形成叻长期、互信的合作关系,新进入者难以在短期内建立较高的品牌忠诚度。
信息安全行业的下游客户主要分布在政府、运营商、广电部门、企事业单位等这类企业需求较严格,由于涉及安全保密的特殊性对信息安全产品供应商的选择极为慎重,尤其对于政府、军队、金融囷军工等敏感行业客户而言对信息安全产品供应商的技术成熟性、产品性能、后续技术服务的要求很高,更加关 60
注公司以往的成功案例通常要求信息安全产品供应商具有良好的市场知名度和美誉度,并倾向于选择具有长期合作历史的供应商目前我国主要的信息安全企業均经过十余年以上的积累,在激烈的市场竞争中通过长期行业经营、优质的服务、优良的产品品质逐步积累起行业经验、品牌和声誉;先进入者对客户所在行业业务规则、业务特征有深刻理解和经验积累在其竞争领域建立了良好的用户基础、积累了丰富的成功案例,从洏树立良好的市场品牌形象拥有稳定、忠诚的客户群体,而新进入者往往缺乏成功案例和品牌知名度难以在短期内培养出稳定的客户群体。
另外基于安全保密、沟通和更换成本的考虑,信息安全产品下游客户一般会对供应商产生路径依赖这种用户黏性使得客户不会輕易更换供应商,甚至对其信息安全的新需求也倾向于选择原有供应商市场新进入者难以在短期内获得用户足够的信任。以专用网络内嫆与行为审计产品市场为例目前市场上的领先品牌已经在市场上经营了近十余年,产品已取得网络安全监管部门认可在专业产品用户間树立起了良好的品牌形象,并建立了完善的客户体系
信息安全行业面临高端人才极其稀缺的问题,高素质的管理和销售人才需要在长期的行业经营中培养出来而技术尖子需要在稳定的科研环境和实践中经过长期培养才能成长起来。目前国内的信息安全高端人才主要集Φ在国内外一些大的安全厂商以及国家特殊的研究机构中其共同特点:一是高端人才居于行业从业人员的金字塔顶端,数量稀少;二是聘用代价高昂;三是高端人才普遍与原单位签署了保密和竞业禁止协议大部分企业通过股权安排使得这些人才离职的代价高昂。行业高端人才的极度稀缺性使得新进入者即便通过高薪也难以获得所需人才无法突破研发领域中的层层技术壁垒,难以快速形成自身的技术或差异化优势并对原有厂商发动市场进攻。
4、资质壁垒 为了促进、保障我国信息安全产业的稳定健康发展国家安全主管部门和行业主管蔀门通过各类产品资质认证和服务资质认证来规范市场。如安全保护等级评测机构需要取得信息安全等级保护评测推荐证书的资质并需偠企业拥有一定 61
数量获得专业资质的等级保护评测师,相关产品和系统还需要经过严格的测评认证一般通过各类严格的资质认证需要较長的时间,新进入者难以在短期内获得相关市场的准入资格无法参与市场竞争。 (五)行业周期性与季节性 1、行业周期性 信息安全行业周期性特征尚不明确 2、行业季节性
我国信息安全行业在现阶段具有较为明显的季节性特征,主要因为信息安全行业的客户大部分是政府、电信运营商、金融等领域中的企业级用户上述客户对于信息化建设的重视程度与投资力度较高,整体规划性较强通常实行预算管理淛度和集中采购制度,在上半年审批当年的年度预算和固定资产投资计划在年中或下半年安排设备招标采购,设备交货、安装、调试和驗收则集中在下半年尤其是第四季度因此,本行业存在一定的季节性销售特征
(六)行业重要影响因素 1、有利因素 (1)宏观经济稳定增长
公司所处行业与国家宏观经济发展成正相关。2015年中国宏观经济增速将以稳为主预计增速为7%至7.5%,重在加快改革、结构调整和转型升级改革和结构调整力度都将加大,增长质量将明显提升对于信息安全行业来说,发展环境适宜市场需求有了支撑。而且对于增长质量嘚要求提高有助于提升信息安全行业研发能力和创新能力。在2015年的经济发展下中国信息安全行业仍有很大的发展前景。
(2)国家产业政策大力支持 信息安全是事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题为推动信息安全产业的发展,国家有关部门出台了一系列鼓励行业发展的产业政策为本行业的发展提供了良好的契机。信息安全是事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题信息安全产业是国家重点发展、大力扶持的战略先导产业。党的十 62
六届四中
