十一五国家科技支撑计划重点项目

管理(manage)就是制定,执行,检查和改进。

“十一五”国家科技支撑计划重点项目

《证券期货行业信息服务安全保障与监管共性支撑

技术研究与示范工程》

课题申报指南

中国证券监督管理委员会

二○○九年七月

管理(manage)就是制定,执行,检查和改进。

目 录

第一部分 申报须知 ---------------------------- 3 第二部分 课题目标与内容-----------------------12 第三部分 申报文件编制 ------------------------ 29

管理(manage)就是制定,执行,检查和改进。

第一部分 申报须知

一、宗旨

为贯彻落实《国家中长期科学和技术发展规划纲要（2006-2020年）》和《2006-2020年国家信息化发展战略》文件的精神，解决我国证券期货行业信息技术安全保障以及监管信息系统建设方面存在的问题，保障中国资本市场的稳定发展，确保监管方式顺利过渡，进一步提高证券期货业应对紧急信息安全事件，提高反应处臵能力，科学技术部决定启动“十一五”国家科技支撑计划重点项目《证券期货行业信息服务安全保障与监管共性支撑技术研究与示范工程》，并委托中国证券监督管理委员会（以下简称“证监会）为本项目的组织部门。

为充分调动各方的积极性，促进科技资源优化配臵，公平、公开、公正地选择课题承担单位，证监会依据《国家科技支撑计划管理暂行办法》，特编制发布该项目的课题申报指南。

二、项目总体目标

本项目的主要目标是基于我国证券期货行业信息安全所面临的问题和形势，研究开发我国证券期货行业信息系统和信息服务安全建设中的关键技术，在证券期货行业信息安

管理(manage)就是制定,执行,检查和改进。

全领域形成一套完整的、具有自主知识产权的技术规范与技术体系；结合国家证券监督机构在市场监管中的需求，研究开发国家证券期货行业信息技术应急保障平台关键技术，通过监管平台的应用，从而加强我国证券市场的监管力度，总体把握我国证券市场信息系统安全运行状况，提高我国证券市场在应对突发事件、抗击敌对势力攻击的应急响应能力和风险预警能力，从而有力地支撑我国资本市场的稳定和发展。

通过本项目的实施，将极大地降低证券、基金与期货企业在信息系统安全、信息服务管理以及企业IT治理等方面的成本，降低我国重要信息系统在信息安全方面对国外产品的依赖性和依存度，提升我国在信息安全领域的自主知识产权。

本项目在2年内，通过自主研发主要可以完成如下目标：

1．实现国家证券监督机构对行业企业信息安全和服务的监管模式，完善国家证券监督机构的监管体系和手段。

2．研发一个证券期货行业信息技术应急保障平台。该平台将被运用在证监会的日常信息安全监管工作中，以提高监管机构的监管效率，改善证券市场对投资者的服务质量。

3．研发一个面向证券期货行业的信息安全保障构件库，开发证券期货行业信息系统、信息服务管理和综合治理的软

管理(manage)就是制定,执行,检查和改进。

件系统套件。这些工具涵盖企业网络管理、应用服务管理以及IT治理的各类自主研发的工具集，同时也包括针对证券期货行业的业务特点所研发的风险控制等工具。 三、项目研究内容

在分析项目需求的基础上，围绕项目目标，本项目研究与开发任务及内容主要包括：

1、在建立软件描述、组装部署等标准体系下，研发行业公共支撑构件，构建证券期货行业信息系统和信息服务安全软件（构件）库；

2、建立证券期货行业信息技术应急保障管理平台，实现覆盖全行业的信息安全信息收集、分析处臵；

3、针对网上证券交易的盗买盗卖和基金网上交易安全两个信息安全工作的重点课题开展研究，建设网上证券交易盗买盗卖安全防范系统和基金网上交易安全保障系统；

4、开展基于证券期货行业信息技术应急保障管理平台，研究辖区业务监管模式和监管系统建设；针对系统运行维护和交易业务风险保护，结合项目研究成果，分别建设交易委托运行监控系统和交易风险监控系统等示范推广工作。 四、申报管理

（一）证监会为该项目的组织部门，在科技部指导下，证监会证券期货业信息化领导小组办公室负责项目的组织实施。

管理(manage)就是制定,执行,检查和改进。

（二）证监会证券期货业信息化领导小组办公室组建评审委员会，负责课题的评审工作。评审委员会根据《国家科技支撑计划管理暂行办法》的规定，遵循“公开申报、择优委托”的原则，选择承担单位。

（三）评审工作遵照公平、公开、公正的原则进行。评审工作采用现场答辩的形式，通过形式审核的申报课题单位进入现场答辩程序。现场答辩具体安排另行通知。 五、申报内容

本项目共设6项课题如下：

课题1：证券期货行业信息安全保障项目总体框架和战略研究

课题2：证券期货行业信息技术应急保障管理平台 课题3：网上证券交易盗买盗卖防范系统 课题4：基金网上交易安全保障系统

课题5：面向证券期货行业的信息安全保障构件库 课题6：应用示范与推广

其中，课题1采取定向委托的方式确定课题承担单位；课题2、3、4、5、6采取公开申报的方式。 六、课题的资金来源

项目总经费概算共计为8000万元，其中国拨经费2000万元，单位自筹经费为6000万元，具体额度在各课题经费预算评审评估基础上确定。申报人须提供相关的配套条件。

管理(manage)就是制定,执行,检查和改进。

七、实施年限

课题实施年限为2009年 8月至2011年8月，实施年限2年。 八、申报资格

（一）申报单位的条件和要求

1. 凡在中华人民共和国境内注册，具有较强科研能力和条件、运行管理规范、具有独立法人资格的内资或内资控股企业、科研院所、高等院校、事业单位等，均可单独或联合申报，不接受个人申请。

2.申报单位必须具有自主创新能力，有科学、可行的研究路线和技术方案，长期从事信息技术理论研究和技术开发等相关领域工作，拥有承担课题研究任务的学科带头人和稳定的科研团队，熟悉证券期货行业信息系统特点，承担过证券期货行业相关领域技术项目。

3.申报单位必须具有开展相关研究工作所必需的科研设施及其相关的配套条件，具备良好的运行机制、管理模式及相应的质量体系，确保研发出的信息安全保障技术、技术标准与模式具有广泛的区域和行业推广价值。

4.鼓励多个单位联合申报，申报各方须签订合作协议，明确约定课题申报单位、参与单位承担的工作任务、责任和经费。鼓励产学研联合，充分发挥企业在证券期货业信息技术安全保障技术创新和研发过程中的作用。

管理(manage)就是制定,执行,检查和改进。

5.申报单位经费须专款专用，设立单独账簿，独立核算，并保证配套资金及时到位，保障课题研究工作的顺利实施。

6.课题负责人必须具有较高专业技术水平，有较强的组织协调能力，鼓励中青年科技骨干承担课题。

（二）申请负责人的条件和要求

1、课题负责人须从事相关研究或技术开发五年以上，具有副高级以上职称或在证券期货行业从事信息技术领域工作10年以上，并有固定单位（不包括在站博士后），年龄不超过55周岁，无不良科研行为。课题负责人用于本课题研究时间不少于本人工作时间的60%，在国内工作时间不少于9个月。

2、所有课题申请人均不得参与两项以上本项目课题的申报，且只能主持申报一项本项目课题。课题申报单位（包括联合申报中的任意一方）和主要申报人，对同一个课题不得进行重复或交叉申报。课题负责人同期只能主持一项国家主要科技计划（包括863计划、973计划、支撑计划等）课题，作为主要参加人员同期参与承担的国家主要科技计划课题数（含负责主持的课题数）不得超过两项。

3、政府机构公务员不得参加课题申请。

经形式审查，申请单位或申请负责人不符合上述规定的申请书视为无效申请，不参与专家评审。 九、申报文件的递交

管理(manage)就是制定,执行,检查和改进。

（一）申报应以中文编写，语言表述精炼，数据真实可靠。

（二）申报文件为： （1）申请函

（2）申请人资格审查文件 （3）课题申报书

（4）有关附件（申请单位承诺函、联合申请合作协议、申请单位营业执照或法人代码证复印件、申请单位资格声明函、申请单位资信证明、地方配套或企业自筹经费承诺函、近

两年度资产负债表、损益表及现金流量表等）

（三）申报文件正本1份，副本14份，要注明正本和副本。一旦正本和副本不符，则以正本为准。

（四）申报文件一律采用仿宋体四号字，A4幅面纸张，双面打印并装订成册。

（五）课题申报书及有关资料应有法定代表人（或委托授权人）签字并加盖公章，全部申请文件须包装完好，封皮上写明申请课题、申请单位名称、地址、邮政编码、电话、联系人及注明“不准提前启封”字样，并加盖单位公章。

（六）申报工作自本指南公布之日起开始，申报单位必须根据《课题申请指南》要求参与申报活动。

（七）递交文件的截止时间为2009年 8 月31日17:00时。只接收在申请截止日期前由申请人或委托代理人面交

管理(manage)就是制定,执行,检查和改进。

或邮寄的申请文件。邮寄时间以北京邮局签收日为准。对申报文件在邮寄过程中出现的遗失、损坏或逾期送达由申报人负责。

（八）文件送达地点：北京市西城区金融大街19号富凯大厦A座中国证券监督管理委员会1019室

邮政编码：100140

联 系 人：王东明 邓学智

电 话：010-88061946 88060592 传 真：010-88061314 邮 箱：wangdm@http://

dengxzh@http://

管理(manage)就是制定,执行,检查和改进。

第二部分 课题目标与内容

课题2：证券期货行业信息技术应急保障管理平台

（一）主要研究内容

证券期货行业信息技术应急保障管理平台（以下简称“应急保障平台”）的研究内容主要包括“四个层次，二套体系”，四个层次包括信息安全监管信息和数据采集、统一的信息安全库、信息安全分析评估和评价、信息安全展示预警和处臵；二套体系包括证券期货行业信息安全监管标准与规范体系，监管平台管理与运维体系。

（1）信息安全监管信息和数据采集

信息安全监管平台的信息安全监管信息和数据采集主要包括：

日常信息安全监管工作中信息安全检查和信息资源情况普查所获取的关于行业的各类IT基础设施以及信息安全情况。

行业中各企业上报到平台的关于信息安全报备信息等信息。

通过各种手段和方法所掌握的关于信息安全漏洞和信息安全情况，包括漏洞扫描和从国家相关部门（例如国家互

管理(manage)就是制定,执行,检查和改进。

联网应急中心）所获取的各种信息安全资料。

其它渠道获取信息部分。包括各种信息安全事故处理所积累的信息资源。

（2）统一的信息安全库

通过研发信息交换、信息转换和分布式网站监控等各种系统和技术，从监控对象和数据来源中获取到的各种结构化、半结构化和非结构化数据资源，并研究异构数据集成技术，对这些海量异构数据进行整合，从而形成一个国家证券期货行业的统一的基础信息安全库。具体的研究内容包括：

信息交换技术和系统实现。 信息资源转换技术和系统实现。 分布式网站监控技术和系统实现。 海量异构数据集成技术和系统实现。 （3）信息安全分析、评估与评价

参考信息安全、信息安全风险控制和IT服务治理等各种国际和国家标准，建立和不断完善面向证券期货行业的信息安全指数模型和信息安全风险评估模型。与此同时，参考相应的IT服务标准，结合行业的网站运行情况和信息服务情况建立和不断完善网络服务评估模型。

根据信息安全指数模型、信息安全风险评估模型和网络服务评估模型，研发和利用数据分析、数据挖掘等各项技术，在统一的证券期货行业信息安全库的基础上，产生证券期货

管理(manage)就是制定,执行,检查和改进。

行业信息安全指数和网络服务指数。

风险分析与评估：在监测信息分析与挖掘的基础上，结合证券金融信息系统的风险评估模型，对各证券系统进行综合的风险分析与评估。

服务与安全审计：在监测信息分析与挖掘的基础上，结合证券金融信息系统服务与安全的审计目标，对各证券系统进行综合的服务与安全审计。

法规遵从性审计: 自动生成安全法规遵从报告。实现了手动流程的自动化，不但能够有效识别策略违规行为、确保企业策略目标的切实执行，而且还能准确评估企业存在的法规遵从风险。

（4）信息安全展示、预警与处臵

针对分析、挖据所得到的信息安全指数、网络服务指数和各种网络监控状态等信息，研发和利用分析报表、图表等多维展示技术，提供各种便捷的方式展示国家证券期货行业的信息安全和服务状况，例如：基于GIS的方式展示全国证券期货行业信息服务状态；基于饼状图、曲线图等各种展示方式展示各服务节点的综合服务情况等。

结合信息安全风险评估结果，研发和利用手机、传真、邮件等各种通告技术和手段，提供预警、告警和通报等服务。

（5）标准规范体系

研究证券期货行业信息安全监管系统所涉及到的各项

管理(manage)就是制定,执行,检查和改进。

管理、技术安全标准。

（6）平台运行体系

研究系统的各项运行维护体系。 （二）主要考核指标

在软件系统方面，完成1个软件系统。

在标准规范方面，包括：1个信息安全指标体系、证券期货行业信息安全相关规范。

在知识产权方面，3个软件著作权。

在学术论文和著作方面，发表8篇学术论文。 其中研发的证券期货信息技术应急保障管理平台在功能和技术方面的具体指标如下：

功能指标：实现统一信息安全库，支持包括关系型数据库、XML、HTML以及其它非结构化的数据；实现证券期货业信息安全指数和网络服务指数及其评估系统；实现信息安全展示、预警与处臵功能，支持报表、屏幕监控等多种展示方式，支持手机、传真、邮件等多种预警方式。

性能指标：统一的信息安全库的数据量100G以上，同时支持10T的可扩展性；证券期货业信息安全指数和网络服务指数及其评估子系统反映覆盖10个省市的资本市场的信息安全和网络服务状况；信息安全展示预警与处臵子系统平均响应时间在2秒以上。 （三）经费概算

管理(manage)就是制定,执行,检查和改进。

国拨经费概算470万元，自筹经费概算1290万元，具体额度在经费预算评估基础上确定。 课题3 网上证券交易盗买盗卖防范系统

（一）主要研究内容

针对当前网上证券交易面临的盗买盗卖的风险，通过对盗买盗卖的行为特征分析，并结合网上交易活动特点，提出安全信息系统的解决方案，通过多种安全防护手段充分保障网上证券交易的安全性，遏制盗买盗卖情况的发生。并整合到现有的网上证券交易中，切实保障网上证券交易系统的安全运行。

（二）主要考核指标

在软件系统方面，1个软件系统。

在标准规范方面，关于证券期货行业信息安全完成3个行业内部规范。

在知识产权方面，2个软件著作权。

在学术论文和著作方面，发表8篇学术论文。 其中研发的网上证券交易盗买盗卖安全防范系统在功能和技术方面的具体指标如下：

功能性指标：客户端防护实现基于代码混淆的软件反跟踪、内嵌专业木马病毒查杀引擎、于虚拟机技术及磁盘中断还原、浏览器防护模块、基于搜索引擎与支持向量机的文本分类技术的“钓鱼”网站识别；身份认证系统实现证书+SSL

管理(manage)就是制定,执行,检查和改进。

加密、动态口令、绑定硬件信息、CA数字证书、数字签名；集中日志管理实现日志采集、日志审计；预警管理实现报警提示、系统反击等功能。

性能指标：