IT趋势及行业最新解决方案(季刊第二期).doc

it趋势及最新行业解决方案it趋势及最新行业解决方案季刊（第二期）神州数码系统集成服务有限公司能力交付中心2008年7月目 录第1章it发展趋势81.1新一代cio从it支持向创新领航跋涉81.2绿色it将推动虚拟化进程111.3汶川地震灾后重建蕴藏大规模it需求12第2章金融行业142.1透视08年金融行业趋势和热点142.1.1银行业发展的两大趋势142.1.2银行业发展的四大热点142.1.3银行业it投入重点领域162.1.4保险业it投入重点领域172.2银行业it解决方案市场分析与预测182.2.1业务相关解决方案市场分析182.2.2渠道类解决方案市场分析182.2.3管理类解决方案市场分析192.3信息系统等级保护解决方案需求202.3.1国家政策带来的市场需求202.3.2银监会、人行要求开展信息系统安全等级保护工作202.3.3保险业信息系统安全等级保护定级工作需求212.3.4国内网络安全风险评估市场与技术操作222.4风险评估理论和方法咨询方案282.4.1安全风险评估方法282.4.2安全风险评估内容322.4.3咨询项目交付物332.5网络准入控制解决方案332.5.1为什么关注网络准入控制？332.5.2需解决什么问题？342.5.3网络准入控制342.5.4nac的优势有哪些？35第3章电信行业363.1电信市场趋势363.1.1电信业面临新的融合格局：time363.1.2技术与业务在互动中推动产业发展373.2电信重组对通信市场的影响403.2.1电信改革方案要点解读413.2.2重组后的电信运营格局413.2.3运营商3g投资行为和最大受益者433.3运营商数据中心解决方案市场机会433.4针对运营商异常流量解决方案453.4.1使用netflow分析网络异常流量453.4.2运营商“安全创造业务”三中心的新思维解决方案493.4.3“安全域划分”的新概念清洗中心503.4.4“安全域划分”的经典设计隔离中心533.4.5“安全事件管理”的新高度响应中心553.5面向电信运营商的无线网状网络解决方案563.6网真会议解决方案593.6.1解决方案现状需求593.6.2该解决方案将解决哪些问题？593.6.3网真概述603.6.4网真会议解决方案的优点61第4章政府行业624.1市场机会624.2机构改革及绿色政府采购引领电子政务解决方案发展624.2.1电子政务建设现状634.2.2电子政务建设发展的趋势654.2.3电子政务的挑战和机遇674.3政府对未来的解决方案需求684.4政府行业解决方案704.5面向政府的无线网络解决方案714.5.1正在兴起的无线城市714.5.2无线城市解决方案75第5章电力行业825.1电力行业现状需求825.1.1信息化建设现状825.1.2现有系统存在的问题835.1.3电力行业建设的市场机会845.2电厂网络建设解决方案855.2.1基本现状分析855.2.2电厂应用分析865.2.3运行支持系统865.3无人值守电站及集抄自动化系统解决方案92第6章教育行业946.1市场机会946.2发展趋势956.3教育城域网解决方案966.3.1什么是教育城域网？966.3.2如何建设教育城域网？976.3.3如何选择技术？986.3.4教育城域网建设思路1006.4高等学府无线网络解决方案1026.4.1高校无线网络需求1026.4.2教育网络的组成部分1026.4.3网络设计实例103第7章医疗行业1057.1市场机会1057.2医疗行业it趋势1057.3医疗行业无线网络解决方案1077.3.1医疗保健机构的发展需求1087.3.2wlan 可提高医护水平及医护人员的生产率1087.3.3无线网络为医疗保健应用提供保障109第8章交通行业1138.1市场机会1138.2智能交通解决方案1158.2.1集成的智能机场1168.2.2发展中的轨道交通1188.2.3轨道交通集成通信系统1198.2.4地铁视频监控系统121第9章零售行业1229.1零售业it发展的趋势1229.2无线网络移动服务实现零售企业转型1229.2.1无线网络服务对零售业的益处1229.2.2访客服务1229.2.3安全服务1249.2.4位置服务1259.2.5语音服务126第10章中小企业12810.1中小企业服务标准化趋势12810.2中小企业安全保障咨询项目解决方案13010.3中小企业数据、语音、客服一体化解决方案13410.4中小企业网络安全解决方案136 刊物阅读说明1、 内容说明本期刊物内容以it行业划分为主线，分别介绍了如金融、电信、政府、电力、教育、医疗、交通、零售、中小企业等不同行业it发展趋势及行业解决方案，有些如风险评估咨询方案等解决方案同时也可适用于其他行业，希望各位同事在学习自己所在行业解决方案的同时，也要关注并学习其他行业发展动态，以便于引入好的解决方案为所在行业服务。2、 版权说明本刊物为公司内刊，由于部分资料源于网络，故仅限于个人学习使用，不能用于商业目的，特此声明！3、 改进说明本刊物为能力交付中心创办,到现在为止共发行了二期，由于时间仓促，缺乏经验，需要改进及完善的地方还很多，希望大家在阅读的过程中提出更多的宝贵建议，以便于我们办的更好，同时希望大家（无论您是销售人员、技术人员还是管理人员）都能有所收获！联系人：姚志平 电话邮箱：第1章 it发展趋势1.1 新一代cio从it支持向创新领航跋涉新时代赋予cio以新的历史使命，我们需要与企业高层管理者紧密配合，也许我们已经成为高层中的一员，从而领导企业娴熟地驾驭it，使之成为企业的核心竞争力或者赢得强大的竞争优势。在全球的cio眼中，cio价值的终极体现即是，作为企业战略决策层的一员，承担起领导企业战略转型的历史使命。为不辱这一使命，国内企业的cio们正在积极拓展盯的潜力以谋求企业业务价值的不断提升，由此，他们也开始了从it支持者向创新领航人转型的艰难跋涉 迈向“战略圆桌”cio正处于十字路口 前不久，cio领导力中心与哈佛商学院和麻省理工学院联手举办了cio领导力调研。针对全球27个国家超过175个cio进行了问卷调研。在此基础上，ibm携手清华大学首次针对中国cio群体进行了深入的调研，并发布了中国cio调研报告。 cio领导力中心执行总监在发布调研报告时表示：“cio正处在十字路口，应该是cio和企业一同进步的时候了。过去两年间，在全球范围内，企业的高级管理层开始日益认识到技术是创新和竞争优势的核心，因此，越来越多的cio已经加入到战略决策团队中。相应地，拥有战略型cio的企业也能够更加广泛地利用it来创新产品和服务，并有效提升企业内部的资源共享，it的影响力和价值正在得到体现。因此，如今的cio应该成为一个创新的领导，而不仅仅是一个处理it业务的领导，应该和ceo共同关注企业在国内、国际上的管理运营模式以及能否拥有更多的机会与全球经济互动。” 与国际先进企业的cio相比，当前中国企业对于it的引入还处于发展阶段，it技术在中国企业中的应用程度以及受重视程度相对不高，企业决策层尚缺乏对于it的战略意义的普遍认同。不管是cio在战略决策中的地位，战略性运用it的领域，还是it战略议程设置，中国cio调研的结果与全球调研相比都有显著差异。然而，从全球发展趋势中可以看到，国内企业的cio-并非不能影响企业战略，他们参与战略对话的前提是，必须对企业增长计划有贡献并获得高级管理层的高度信任。但与此同时，他们也的确面临着it业绩难以量化的困境。在全球cio领导力调研中，“将it职能视为业绩的、强大实现者”获得全球cio相当高的认同。然而，国内cio却感觉企业业绩的实现与it职能的关系还不大明显。无论是在企业中高度参与战略决策过程的cio还是低参与的cio，他们都不认为自己的it部门在企业中扮演的是利润中心的角色。国内cio平时更多的工作还是放在降低it部门的运营成本上。因此，为了提高自身在决策层的地位，中国的cio还需要把更多的精力放在利用it提高企业业绩上面，而非一味追求降低运营成本。 此外，国内cio仍旧面临着评估it对业务贡献度的挑战。尽管多数受访者同意it投资是it职能部门与业务部门协商的结果，但是对这些投资价值的评估并不明晰。对于许多cio来说，评估创造性贡献尤其是个问题。只有5的受访者认为他们的企业在很大程度上测评创造性流程的结果，而9的人几乎没有开展这一方面的工作。调研表明，企业所有的创新，包括产品、服务、流程和业务模式方面的创新，都源于创造性工作。但是，如果缺乏关于创造性流程结果的记录，随着时间的推移，企业复制、培养和支持将理念转换为具有商业可行性的创新成果的能力将受到限制。cio当然可努力提高技巧，并提高与创新性成功相关的活动的有效性。然而，在缺乏明确评估的情况下，这本身可能就是难以持续的。显然，在推行有效绩效评估方面，国内企业还有更多的工作要做。突破“玻璃天花板” cio亟须磨砺“软技能”在国内一些大型企业中，cio正在取得前所未有的地位。但与全球调研结果相比，这种进步还远远不够，国内cio并未真正成为企业战略的制定者或者重要的决策者。造成这种现象的原因是多样的，仅从cio的成长经历上来看，cio们往往在it能力上具有优势，而在本企业的业务能力和战略管理上不具有足够的发言权。在受访的cio中，很多人明显表现出对成为高层领导者的信心不足，尤其是在与主管和其他业务部门的沟通上，cio们往往也对承担更多的责任缺乏准备。在中国文化的背景之下，领导的艺术除了需要符合刚性的管理方法外，还需要掌握中国特有的沟通和协调技巧，这种能力的欠缺在某种程度上已经制约了中国cio的职业发展，技术能力在特定的时期也会成为cio们“玻璃天花板”。调研分析认为，为充分发挥出it的战略价值，中国cio的三大当务之急是促进内部协作、培训员工，以及参与战略规划。而在此过程中，中国cio们需要一组不同于国外同仁的“软技能”以支持他们成功走向“创新领航者”的角色，这包括以下七项技能： 团队领导：在其部门内外构建高业绩的团队氛围；协作与影响：与超出其自身管理权力之外的其他人建立可信赖的有效工作关系；业务认识：了解业务环境，包括市场竞争、供应商、客户群及法规环境；发展与赋能：发展他人以及公司整体的长期能力；领导变革：通过激励员工追求新的富有挑战性的发展方向，进行组织转型并使其保持一致；战略定位：从战略和分析角度考虑业务问题、企业资源及职能，以制定以行动为导向的长期计划；客户洞察：了解公司如何为最终客户创造价值，并与内外部客户建立增值关系。 实践证明，中国的cio大多是实干家，企业的快速发展给了他们很多展示自己的机会。优秀的cio往往能够抓住企业的契机，用it给以有力的支持，从而进入到高层领导者的行列。而只有成为业务创新的领航者，cio才能真正成为一个高层管理者。因此，cio应努力提升自身地位并充分发挥作用，策动和领导企业的业务转型计划，从而改善it与业务部门之间互动的有效性。此外，中国企业的优势体现在利用it提高内部管理信息的质量、实现内部协作，以及提高流程效率，而与国外企业的关键差距则表现在增强客户体验、促进外部合作与开拓新市场的能力，因此，在这些方面国内的cio需要进一步磨砺自身的实力。 ibm有关负责人给出了一个打造优秀cio的公式：“自我超越+沟通能力+时机选择”。优秀的cio首先完成对自我的超越，尤其是对工作内容的超越，也就是能够站在业务部门的角度，从员工和客户体验的角度出发考虑自己的工作、考虑企业整体业务的创新。再用自己对这种创新的深刻洞察和热情以及沟通的能力来说服主管，并选择适当的时机把自己的想法付诸实现。经过这样的循环，cio在企业中的地位就会变得愈加重要，由此真正实现cio的职业梦想。 总之，与国外企业的cio相比，虽然中国cio尚未树立起在企业中的战略地位，但是他们面临着更为广阔的发展空间。中国企业的it基础设施和流程自动化建设正在大面积开展，企业管理者正在国际化的进程中迅速成熟，这是cio把自己融入到企业发展战略中的一个契机，cio的未来不是掌握在cio的主管手中，而是在每一个中国cio自己的手中。 1.2 绿色it将推动虚拟化进程idc认为虚拟化技术-尤其是基于x86服务器平台的虚拟化技术在近年来已经逐渐成为市场的热点。idc进一步提出了中国虚拟化技术发展的路线图，并认为虚拟化技术将在目前的基础上有更深远的发展空间。 idc认为，虚拟化技术的发展会经历四个阶段，在2000年左右开始兴起的服务器集中化可以被看作是虚拟化发展的准备阶段，可称作虚拟化0.5时代。而从2005年开始持续至今的虚拟化热则可以被看作虚拟化的起步阶段。在这个阶段中，企业将计算资源的动态集中和共享作为实施虚拟化的主要任务。从2007年开始，在一些信息化水平较高的国家，虚拟化技术已经发展到了一个新的阶段，这时虚拟化实施的重点已经转移到了灾备、迁移以及负载均衡上。idc预测，在2010年左右，虚拟化将达到成熟阶段。这时的虚拟化实施，将形成以服务为导向、成本可控、基于策略且能够实现自动控制的数据中心，idc把这个阶段称作虚拟化3.0时代。根据idc对虚拟化发展进程的划分和对中国相关市场的研究，目前中国市场仍然处于虚拟化的起步阶段，即虚拟化1.0时代。在虚拟化的普及程度上也印证了这一点。idc在北美市场的研究表明，在大型企业（员工超过1000人的企业）中，虚拟化应用的普及程度达到了67%以上。而在中国市场的调研显示，即使在信息化水平较高的发达城市，应用虚拟化技术的大型企业仍然不超过22%。但是，随着中国政府“节能减排”的政策出台，建设“绿色it”成为各地企业和政府关注的重点。这将带动虚拟化技术在未来几年中加快发展。基于对未来虚拟化技术广阔前景的预期，idc将在“绿色it”的主题下对中国服务器虚拟化市场展开专项跟踪调研，研究内容包括各品牌、各机型的服务器虚拟化在各行业的现状和发展趋势的预测等。针对当前的虚拟化热潮，企业在实施虚拟化项目之前，一定要先进行投资回报率分析，明确实施虚拟化的目的，不能单纯为虚拟化而虚拟化。在分析投资回报率时，不但要考虑未来服务器增长情况，还需要对相关的电源与冷却成本进行充分的评估。同时，企业还需要在增强本身的虚拟化技能方面投资，创建专业的虚拟化团队，才能够成功地实施虚拟化项目。1.3 汶川地震灾后重建蕴藏大规模it需求汶川地震的灾后重建规模巨大，中央和地方财政投资将超过2,000亿元，总投资规模预计将超过一万亿。这些投资将在今年下半年到明年逐步到位，必将带动当地基础设施如道路、电力、通信、建筑以及医疗、教育等行业的发展。utd认为，在灾后重建的前期，基础设施建设将成为重点，it的大规模投入将发生在基础设施建设之后，信息化需求将在未来2-3年内凸显，市场需求主要体现在以下几个方面： o 基础设施重建 灾后将有大约3,000所学校需要重建，不仅仅是学校，政府办公机关、医院、银行等公共服务机构都需要重建。基础设施重建会带来大量it需求，据idc预测，仅3,000所学校的重建，将会带来数十万台pc产品市场机会。 o 电信行业恢复重建 各大电信运营商在此次地震中都遭受了不同程度损失，灾后重建中对于通讯产品和设备、灾备系统以及it系统都会有一定的需求。同时，地震中通信中断带动了应急通信设备的市场需求，卫星通信和应急通信车等设备将会得到重视。o 基础行业信息化需求地震中各大基础行业暴露出的种种不足，对信息化建设提出了更大、更具体的需求。例如交通信息化，灾害发生后对交通系统信息化建设的诉求也更为迫切，例如应急系统、调度系统、卫星定位系统等各种信息化手段。 o 地震网络信息化建设中国地震信息化建设上还比较落后，地震网络主要设备缺少备份、监测台网观测技术落后、统一分布式数据库系统在全国尚未建设。经过这次大地震后，预计地震信息化建设将会快速推进。与此相关，卫星气象通信网、全国天气预报电视会议系统、全国气象宽带网等网络建设将会加速推进。国家电网地震受损逾百亿，计划提高设备抗震要求 地震使国家电网遭受重大损失，主要受损的为变电站和输电线路，初步估计可能超过100亿元。目前国家电网的抗震救援已向灾后重建开始转移，并计划提高设备抗震目标。电网的重建规划将会与政府的整个重建计划同步。 数据显示，2007年国家电网的利润总额为471亿元，同比增长70.38%。而今年初的冰雪灾害又给国家电网带来了直接经济损失达104.5亿元，两场灾害就让国家电网遭受了200亿元以上的损失。负责人表示，虽然几年的经营压力很大，但是不会调低既定完成的经济目标。 第2章 金融行业2.1 透视08年金融行业趋势和热点2.1.1 银行业发展的两大趋势 中间业务收入增长迅猛 ：银行业在经历了2007年净利润平均增长71.8%的高峰后，2008年一季度再次跃上一个台阶。分析其高业绩构成可发现，多数银行中间业务收入增长超过一倍，成为银行业能够继续保持利润高速增长的“强大引擎”。在当前宏观经济调控趋紧的情况下，商业银行必须加大转型力度，加大理财等中间业务产品的开发与创新，以此来减少利息收入放缓对业绩的影响。中间业务在中资银行收入中所占比重仍然很小，统计数据显示，一季度中间业务收入占工行和建行收入的比例分别为16%和16.5%，与非利息收入比重高达40.7%的外资银行相比，尚有很大发展空间。 混业经营迈出新步伐 ：2008年以来，随着中行控股的中银基金揭牌，民生金融租赁、招银金融租赁等银行系金融租赁公司相继成立，商业银行混业经营进一步深入。银监会和保监会签署银保深层次合作备忘录，允许商业银行和保险公司开展相互投资试点，在政策层面也为银行开展综合经营创造了条件。目前，几大商业银行已透露了2008年综合化经营的战略布局，如工商银行将在今年完善境内外综合化经营布局，创造条件进入牌照类投行、证券和保险业务市场；建设银行希望能够采取直接投资、并购等方式经营投资银行、资产管理、信托、保险、基金、租赁和汽车金融等业务。 2.1.2 银行业发展的四大热点 1、城商行改革：上市、整合 城商行改革是08年中国银行业改革焦点，“上市”、“整合”将成为城商行08年改革发展的两个关键词。 上市：08年是第二轮城商行上市潮的启动年，继2007年三家城商行上市后，已有上海银行、天津银行、杭州银行、重庆银行、温州银行、大连银行等40家以上的城商行提出了“上市”规划，多家银行把2008年作为实施上市战略的基础年。 整合：目前，监管部门最新政策导向是：省会的城商行如符合条件可直接翻牌，并对其他城商行进行市场化并购。另外，只要监管达标，比如达到股份制银行的中等水平，监管部门对其跨区域并购和经营将放开限制。在这一新政策导向下，城商行的引资、跨区域收购、跨区域开设分行等都相当活跃。 2、农村金融机构：步入高速发展期 08年小额贷款组织、村镇银行、贷款公司、农村资金互助社等新型农村金融机构发展势头良好，农村合作金融机构将作为金融支农主力军，农村商业银行ipo也将于08年破题。 3、邮政储蓄银行：加快网点改造 08年，邮政储蓄银行进一步明确“面向三农，服务社区”的零售银行市场定位，加快网点改造和建设，调整业务结构，并登陆资本市场。目前全国邮储银行营业网点有3.6万个，汇兑营业网点4.5万个，其中一半以上的储蓄网点和三分之二的汇兑网点分布在农村地区。 4、外资银行：多渠道加强扩张 向二三级城市扩张：外资银行的机构网点和资产分布过去一直主要集中在长江三角洲、珠江三角洲和环渤海经济圈。但是，2008年以来，其网点布局更多向二、三线城市深入，在中西部和东北地区的机构设置也不断增加。2007年以前，中部地区拥有外资银行分支机构的城市只有武汉市，现在已增加到长沙、南昌。预计在2008年内，郑州、合肥等城市也将各自迎来外资银行入驻。抢占村镇银行市场：在政策上，银监会放宽外资银行在国内经营农村银行业务的条件，包括取消股权限制、经营地域限制，并允许直接其通过子公司管理农村银行，使得外资银行进入农村金融市场的步伐加快。汇丰2008年将在内地农村设6至10家支行，未来两三年内计划设立30家支行。目前，花旗、渣打、格来岷信托等外资金融机构也正预备通过设立村镇银行、入股农信社等方式，进入中国农村金融市场。 2.1.3 银行业it投入重点领域 随着外资银行全面进入中国市场，银行业的竞争加剧，各大银行纷纷加大it投入，借助it应用提升自身综合竞争能力。对于银行业来说，2008年仍然是快速发展的一年。目前，中资银行由于市场规模和发展阶段不同，在信息化投入上将各有偏重。四大国有银行、股份制银行：占据了银行业的主体地位，现在基本都已进入后数据集中时代，硬件信息化建设投入比例有所下降，软件和it服务上的信息化需求增加。在混业经营的大趋势下，搭建适应多种业务的综合业务平台成为信息化建设中的热点，同时风险控制和it服务将受到重视。中小银行：为了提高竞争力，核心业务系统的改造和后台管理系统的开发发展迅猛，城商行由于跨区域发展的需要，调整it规划适应跨区域经营成为重点；农村金融机构当前硬件投入需求较大，以农信社为例：it硬件将占到61.6%，网络设备占15.4%，软件产品占7.9%，it服务占15.1%。中小银行信息化已成为银行业it应用的亮点。 外资银行：大举拓展中国市场，市场份额快速上升，这一作用将在今后长时期内表现出来。外资银行信息化水平要求高、投入大，近期这主要体现为新建网点、人民币业务支持系统建设等需求上。总体来看，2008年的银行业it投资重点将围绕it规划、中间业务支持系统、核心业务系统升级、风险控制与管理、it服务管理等方面展开。北京首度定位金融中心，规划9大金融功能区 北京市近日发布关于促进首都金融业发展的意见，对北京金融业发展规划了“一主一副三新四后台”九大金融中心的总体布局，并首次提出将北京建设为具有国际影响力的金融中心城市。 根据金融街的现状，目前初步确定6个地块，包括西拓区3个项目（月坛北街地块、月坛南街地块、复兴门地块），东拓区1个项目（三十五中地块），核心区2个项目（中行住宅楼地块、华嘉小区地块）。目前扩区的工作正准备相关拆迁事宜，预计明年开建。 九大金融区布局： 一主：金融街作为金融主中心区，将进一步聚集国家级金融机构总部，提高金融街的金融聚集度和辐射力。 一副：北京商务中心区（cbd）作为金融副中心区，是国际金融机构的主聚集区。意见提出，要加快cbd的核心区建设，进一步发挥朝阳区使馆、跨国公司、国际学校聚集的优势，吸引更多的国际金融机构法人和代表处、交易所代表机构、中介机构聚集。 三新：中关村西区为新型科技金融功能区；东二环交通商务区定位为新兴产业金融功能区；丰台丽泽商务区定位为新兴金融功能区。 四后台：海淀稻香湖、朝阳金盏、西城德胜科技园、通州新城将建设4个金融后台服务园区，为金融企业提供国际标准的专业化、特性化、综合化的一站式服务。 2.1.4 保险业it投入重点领域2007年，在保险固定资产投资增长高达47的带动下，保险it投资增速达到24.4%， 预计08年稍有放缓，但仍高位增长。中国保险业信息化建设仍处于初步建立阶段，发展空间巨大，新增保险公司（如银行进入保险市场）及分支机构扩张带来的新建项目投资，以及成规模保险公司的系统整合均将加大it投入。utd认为，未来3年中国保险业信息化需求的重点领域包括： 数据集中, 目前各大保险公司的数据集中正在紧锣密鼓进行之中，平安、泰康、新华等公司已完成业务、财务数据的全国集中；人保、太保等实现了数据的省级集中；人寿完成了数据的省级物理集中。由于受到投资机构和监管机构的双重压力，保险公司一方面要不断提高盈利能力，另一方面要使内部稽核更加规范和精确，这都需要it体系的支持。数据集中以及基于“海量数据”的数据分析平台建设将成为保险公司信息化投入的重点领域之一。 客户管理系统和风险控制系统在保险业竞争日趋激烈的环境下，各大保险公司都将加强基于客户关系管理平台、决策管理系统、风险安全控制系统以及数据处理分析系统平台的建设。 网上营销和在线业务办理等新业务带来的it投入 目前，中国保险公司实现销售的主要手段仍然是以代理人拓展业务为主，柜台销售为辅。与网上银行和网上证券相比，网络保险还处于起步阶段。随着网络普及率提高和公民保险意识增强，网上保险发展前景广阔。银保通、网上投保、投连险等业务将迅速发展，同时将带动相关it投资的增加。 银保合作向深层次发展，带动it投资 两会期间，保监会曾表示，2008年将有五六家大型商业银行获得参股保险公司试点资格。3月19日，保监会与人民银行联合发布银行保险业务财产保险数据交换规范，银行保险业务将加速发展，银保合作将更加紧密。银行进入保险市场设立新网点、银保合作、数据共享平台建设都将拉动相应的it需求。2.2 银行业it解决方案市场分析与预测2.2.1 业务相关解决方案市场分析当前多数中资银行的综合业务系统大而全，而应用系统却零散、细小，二者不相匹配，在业务上不能适应与国际接轨的趋势，应变能力不高，直接限制了中资银行的竞争能力。不少银行都已着手更换现有的核心系统。这无疑是一项时期长、规模大、投资高的系统工程。近两年核心银行系统依然是各类中资银行用户的投资热点。idc预计，在未来五年，核心银行系统仍将占据银行it解决方案市场规模的最大份额。支付清算方面，近年来，各类银行服务主体都对交易、结算的自动化、电子化进行了大量投资，基本上建立起了全国范围的通讯网络和各级各类支付清算系统。此外，以各种支付卡为代表的电子支付方式成为零售小额支付领域的重要形式，各类信用卡、借记卡一直保持高速发展。idc预计，未来五年，中间业务it解决方案将会是增长最快的业务类解决方案市场。银行在中间业务上的不断创新和混业经营的趋势对银行的产品研发能力和交易效率提出了更高要求。我国银行业正在积极拓展中间业务，调整盈利结构，增强持续盈利能力。然而比起发达国家的银行业，我国银行业的收入构成仍然是以利差收入为主，中间业务收入所占比重偏低，尚有很大发展空间。2.2.2 渠道类解决方案市场分析随着渠道应用的增长，渠道之间的整合、管理越发显得迫切。有效整合包括网上银行等在内的各种银行服务渠道，不仅是提高客户满意度的重要途径之一，也有利于新产品的快速发布。按照“十一五”统一平台的信息化建设要求，整合渠道在未来五年是银行信息化建设的重点。随着信用卡数量的膨胀和使用的普及，2007年各银行在信用卡上的竞争达到白热化。idc预计，随着市场需求的增长和银行间竞争加剧，相对应的银行卡系统解决方案将会是未来五年内增长最快的渠道类解决方案子市场之一。2006年网上银行使用人数同比增长了近1.7倍，企业网上银行使用数量同比增长了近3倍，企业“网银”业务的增长成为2006年网上银行快速发展的亮点。值得注意的是，2007年1月以来，多家银行的基金销售系统和注册登记系统发生瘫痪。网络梗阻、系统罢工、电话无效导致的大面积“堵单”给银行和投资者都造成了损失。因此银行在交易系统升级和混业产品开发方面仍然面临挑战，有加大投入的趋势。2.2.3 管理类解决方案市场分析银监会于2007年第一季度发布了中国银行业实施新资本协议指导意见，要求商业银行按照新资本协议规定的高级内部评级体系，改进信用风险、市场风险和操作风险的资本计量方法。同时，银监会还首次为实施新资本协议设定了最后期限。信用风险管理、市场风险管理和操作风险管理是中国银监会要求的实施新巴塞尔协议的三项重点。用it系统控制风险、减少人为的干预，被认为是风险控制中比较有效且成本较低的一类方法。因此idc预计，在未来五年内风险管理解决方案市场将会是发展最快的管理类解决方案市场之一。随着各大银行数据大集中的完成，针对集中后的数据，银行的下一步投资重点将会是数据的管理、挖掘与利用，这意味着决策支持解决方案将会以高于任何其他解决方案市场的发展速度快速增长。通过对数据仓库的有效管理和数据挖掘，银行可以定量地测算并预测业务成长、不同客户群体市场占有率变化、客户流失率等指标，从而进行准确的市场定位，有效提升盈利能力。2.3 信息系统等级保护解决方案需求2.3.1 国家政策带来的市场需求信息安全等级保护是国家信息安全保障工作的基本制度，是国家交给公安机关的一项新的职责任务，也是一项面向全社会的、全新的专业化工作。2007年公安部会同国家保密局、国家密码管理局、国务院信息办，按照国家信息化领导小组关于加强信息安全保障工作的意见要求，积极制定出台国家信息安全等级保护政策，部署全国开展重要信息系统定级备案，全力推进国家信息安全保障工作。 一、出台国家信息安全等级保护管理政策和标准。二、部署开展全国重要信息系统等级保护定级工作。三、加强对等级保护工作的监督、检查和指导。以上为国家政策的要求，通过了解和学习这方面的材料，从其中的基本要求中（尤其是技术要求中），发现如果推进等级保护、风险评估等服务项目的话，那么将有一些非常重要的产业机会出现，概括如下： 安全等保、风险评估相关的咨询项目机会。 网络安全域划分、等级保护整改优化建设项目机会。 身份认证解决方案销售机会：从3级系统开始，双因素强身份认证被明确提出，那么现在pki、动态口令等解决方案都将面临巨大的市场机会。 系统软件加固解决方案：从3级系统开始，对系统层面提出了安全标签和强制访问控制的要求。 网络边界安全防御解决方案：从3级系统开始，边界防护要求实现恶意代码过滤，以防病毒网关为代表的一系列解决方案（包括ips在内），都将因此而受益 。 入侵检测/入侵防范解决方案：受益于政策的要求，尤其是其中最尴尬的主机ids解决方案。2.3.2 银监会、人行要求开展信息系统安全等级保护工作银监会根据关于开展全国重要信息系统安全等级保护定级工作的通知，会同人民银行积极有效开展了银行业金融机构重要信息系统安全等级保护的定级工作。2007年8月，银监会会同人民银行联合印发了开展银行业金融机构重要信息系统安全保护定级工作的通知，要求各银行业金融机构按照“谁主管谁负责，谁运营谁负责”的原则，切实做好重要信息系统安全等级保护定级工作。同时，通知中明确了银监会与人民银行在银行业金融机构信息系统安全等级保护监管方面的职责分工。为加强定级工作的开展力度，银监会将信息安全等级保护工作纳入到银行业金融机构信息科技风险监管工作中，建立了台账制度，对信息安全等级保护制度的落实情况进行监督、检查。9月，银监会信息中心组织召开了全国银监系统信息科技工作会，会上对36个银监局信息科技负责人就等级保护工作进行了专题培训并部署了任务，要求各银监局在积极做好自有系统定级备案的同时，要会同当地人民银行分支机构做好银行业金融机构等级保护的监督指导工作。 根据人民银行、银监会联合下发的通知精神，银监会信息中心负责对银监会组织建设和推广应用的信息系统进行统一定级和备案，各银监局负责对自主建设、面向地区服务信息系统进行定级和备案，并由银监会对备案材料进行审核。为此，银监会专门组织成立了由信息中心安全处、应用处、网络处、运行处共同组成等级保护定级工作小组。定级工作小组按照基本情况摸底调查、确定定级对象、初步确定安全保护等级、编写定级报告、业务部门会签、公安部备案等步骤，稳步扎实地开展重要信息系统安全等级保护的定级工作。目前，银行业金融机构重要信息系统安全等级保护的定级备案工作已经基本完成。2.3.3 保险业信息系统安全等级保护定级工作需求为贯彻落实国家信息安全等级保护制度，按照关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）要求，中国保监会将在保险行业内开展信息系统安全等级保护定级工作。保险行业第一批定级单位包括：保监会及各保监局，中国保险行业协会，中国人民保险集团公司、中国人寿保险（集团）公司、中国再保险（集团）公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险（集团）股份有限公司、中国太平洋（集团）股份有限公司及其下属各子公司和分公司。第一阶段：自主定级各单位按要求成立相关定级实施机构，对本系统内的重要信息系统和涉密信息系统展开摸底调查，全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况，按照管理办法和定级指南的要求，确定定级对象并初步确定保护等级，形成定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。各公司对本公司内的重要信息系统和涉密信息系统定级进行统一审核。第二阶段：到公安机关和保密部门备案根据管理办法，各单位对重要信息系统安全等级确定为二级以上的信息系统应到公安部网站下载信息系统安全等级保护备案表和辅助备案工具，并持填写的备案表和利用辅助备案工具生成的备案电子数据文件，到公安机关办理备案手续。在京的保险总公司，对统一定级的跨省联网运营的信息系统，向公安部备案；非在京的保险总公司，对统一定级的跨省联网运营的信息系统，向当地省级公安机关备案；保险公司分公司将总公司定级的跨省联网在当地运行、应用的分支系统，以及在当地分公司独立运行的信息系统，向当地设区的市级以上公安机关备案。涉密信息系统建设使用单位依据管理办法和国家保密局的有关规定，填写涉及国家秘密的信息系统分级保护备案表，按照属地化管理原则，将所确定的涉密信息系统，报送相对应的保密部门备案。2.3.4 国内网络安全风险评估市场与技术操作 什么是风险评估 说起风险评估，大家脑海中首先浮现的可能是：风险、资产、影响、威胁、弱点等一连串的术语，这些术语看起来并不难理解，但一旦综合考虑就会象绕口令般组合。比如风险，用iso/iec tr 13335-1:1996中的定义可以解释为： 特定威胁利用某个(些)资产的弱点，造成资产损失或破坏的潜在可能性。 为了帮助理解，我们举一个下里巴人的例子：我口袋里有100块钱，因为打瞌睡，被小偷偷走了，搞得晚上没饭吃。用风险评估的观点来描述这个案例，我们可以对这些概念作如下理解：quotation风险 = 钱被偷走资产 = 100块钱影响 = 晚上没饭吃威胁 = 小偷弱点 = 打瞌睡假设这么个案例：某证券公司的数据库服务器因为存在漏洞，遭到入侵者攻击，被迫中断3天。 让我们尝试做一道小学时常做的连线题，把左右两边相对应的内容用线段连接起来：quotation风险rpc dcom漏洞资产服务器遭到入侵影响数据库服务器威胁入侵者弱点中断三天如果这道题对你没什么难度，那么恭喜你，你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。 国内现有风险评估操作模式1、 评估市场和竞争分析 如果按照高、中、低端简单对国内的风险评估市场进行分类，那么我们可以很清晰地看到，几类市场的操作方式完全不同。 国内高端市场主要被如ibm(普华永道)、毕马威这样类型会计师事务所类型的公司占领，往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全公司，其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技低端厂商则数量庞大，往往只是通过简单的漏洞扫描、病毒查杀等方式操作。2、主要中端厂商的评估模式分析启明星辰启明星辰2002年之前始终比较低调，但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用bs7799到采用octave方法再到最终形成自己的网络安全风险评估的方法论、操作模型，有很多专业人员付出了大量劳动。业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方，但从启明星辰近期在几家大型客户那里的操作来看，较受客户好评。 启明星辰有较多在风险评估中可以应用的工具：1、天镜评估版：扫描器，有专门用于风险评估的版本。 2、天清：又名src，指security risk manage，基于iso17799的量化、可视化的评估工具。 3、信息库：名称不详，能够直接导入天镜、nessus、iss等扫描器的扫描结果并生成报告。据说是较好的安全评估过程辅助工具。 4、本地评估软件包。 我理解的启明星辰风险评估特点为：1）博采众长 这一方面与启明星辰参与部份安全行业国家标准的制订有关，另一方面则是他们有着较多高学历员工，对高端咨询类型的提炼、深化抓得比较好，对评估要求看得透彻，写得清楚。2）变化较快 这可以说既是优点，也是缺点。在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新，但同时也导致评估的方法论很容易有变动。安氏 安氏在国内较早从事网络安全风险评估项目的操作，做过较大的评估项目(包括顾问咨询)有：中国移动cmnet全网网络安全评估项目、天津电力公司安全咨询项目、中国电信ip网安全咨询顾问项目、上海移动boss系统安全咨询顾问项目、深圳华为科技公司安全咨询顾问项目等。 个人理解，2001年前后，is-one的评估在国内较为领先，一方面是他们与国外公司的沟通较密切，另外其高管层对风险评估、bs7799比较重视。但到了2003年，安氏整体战略转型，产品方面一边中止与iss合作，一面高调宣传做自主产品，soc大集成成为其主推概念，在风险评估领域的方法论却缺乏创新和突破。安氏的安全风险评估有几大优势：项目管理较为专业。文档体系比较规范 ，这可能与安氏的部份高管强执行力和国外背景有一定关系。他们较为注重方案、咨询建议等经验的可复用，当然，这同时也容易造成他们考虑问题简单化，对小客户容易用大企业的方案来裁剪套用。亿阳信通他们的所有业务流程包括：信息资产的界定、策略文档分析、安全审计、网络结构的评估、业务流程分析、安全技术性弱点的评估、安全威胁的评估、现有安全措施评估、安全弱点综合评估、安全威胁综合分析、综合风险分析。采用的评估方法包括五种：工具远程/本地评估、人工评估、白客测试、安全问卷、顾问访谈。 他们对方案中大多数项目都有比较严格的过程说明、参与人员说明、主要评估方式、输入、输出、参考规范和标准。比较严谨。亚信科技有着深厚运营商行业的优势，其曾经的子公司玛赛有过相当不错的成绩。从他们的几个方案中分析，亚信对风险评估的研究并不深入，仅是简单抄了一堆基本风险评估法、详细风险评估法、综合风险评估法等的概念。他们的评估分为六大部份：资产、脆弱性、威胁、影响、安全措施评估、风险评估。风险评估是对前五者的综合，其中的安全措施估计是自己增加的。 华为 华为的部份合作风格一直令人左右为难他们有庞大而有力的销售队伍、运营商方面良好的合作背景，这些都诱惑着其它厂商与之合作。但华为的高速发展和发展过程的调整，却往往令合作伙伴有些进退维谷。仅以防火墙市场为例，华为曾经因为要选择合作伙伴，广邀防火墙厂商进行产品测试，对各种产品的功能、性能指标、技术特点都了如指掌。但2003年华为推出了自己的防火墙产品。 2003年可以说是华为将安全由内部建设转向往外部推动的转折年。原因或许是他们发现他们的主要客户运营商已经把安全门槛提高了，与其很费劲地迈这个门槛，不如在自已的产品和集成基础上造一个高门槛。 华为的评估与其它安全公司的评估侧重点略有不同，更侧重于网络架构和应用评估(可能是他们这方面的人才更多的缘故)。2003年市场上也略有斩获。联想 联想的网络安全事业部和他们网御系列的安全产品一直令我很迷惑为什么联想投资一方面注资绿盟科技，另一方面却自己力图创立安全产品和服务品牌？从目前的情形来看，网御防火墙已经在市场上取得不错的销售成绩，网御入侵检测也初露头角。但笔者个人测试，这两款安全产品从功能、性能上来说都远离联想的大厂商风范。 安全服务和风险评估方面，联想介入市场比较迟，但由有几位掌握方面论和攻击渗透的安氏员工的加盟(由此也可见安氏的方法论积累很不错;)，他们很快站在前人的基础上号称有了一套自己的标准方法和操作流程。安络科技 安络科技创立伊始，在国内的网络安全界有比较高的知名度。但多年来始终偏安于深圳，失去了飞速增长的机会。因此被从国内安全厂商的第一梯队挤出。 在他们的很多方案中，同时包括了评估建议书和中长期安全规划建议。他们的远程风险评估乏善可陈，本地风险评估分得很细，包括实施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全的评估。但在可操作性方面下的功夫还不够。部份低端厂商的评估模式 部份低端评估厂商在市场上不但存在，而且有很大的生存空间。他们的目标客户群体是小型企业。不会为评估花费太多的精力和金钱，安全也只需要简单达到某一基线即可。2.4 风险评估理论和方法咨询方案随着技术的发展，业务系统的逐步完善，it系统在经历着数据集中-标准化-虚拟化-智能化几个阶段发展同时对it系统安全风险、等级保护、安全域划分有了新的要求，同时也为我们it服务行业带来了新的机会，如安全整改优化建设项目、安全风险咨询项目等。2.4.1 安全风险