密评工作流程指南 01 密评工作开展原则和依据 商用密码应用安全性评估（简称“密评”），是指对采用商用密码技术、产品和服务集成建设的 网络和信息系统密码应用的合规性、正确性、有效性进行评估。 参与方： 测评机构：为责任单位提供密码测评服务 被测单位：责任单位 参与单位：协助被测单位顺利通过密评（包括测评协助商， 系统集成商， 产品供应 商） 责任单位应当制定商用 《网络安全等级保护条例（征求意见稿）》 《关键信息基础设施安全保护条例（征求意见稿）》 《国密局关于加强政务密评的函》（国密局函 119 号） 《政务信息系统密码应用与安全性评估工作指 南》 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护 制度的指导意见》（公网安〔 2020 〕 1960 号） 密评与等保的衔接 （所有三级以上系统和关键 基础设施落实密码应用的 “ 三同步一评估” 安全性评估 密评的法律依据 （要用密码、要做密码 安全性评估） 《中华人民共和国密码法》 《中华人民共和国网络安全 法》 《国家政务信息化项目建设管理办法》（国办发〔 2019 〕 57 号） 密评的法律、法规、政策依据 《商用密码应用安全性评估管理办法（试行）》（ 2017 内部印发） 《国家政务信息化项目建设管理办法（国办发〔 2019 〕 57 号）》 密评的行政法规 （政务信息系统落实密码

云只是租户数据托管者，租户对其数据拥有所有权和控制权。华为云绝不允许运 维运营人员在未经授权的情况下访问租户数据。华为云关注内外部合规要求的变 化，负责遵从华为云服务所必需的安全法律法规，开展所服务行业的安全标准评 估，并且向租户分享我们的合规实践，保持应有的透明度。 ⚫ 华为云携手云安全商业合作伙伴向租户提供咨询服务，例如协助租户对虚拟网 络、虚拟机（包括虚拟主机和访客虚拟机）进行安全配置；对系统和数据库进行 销。账号一旦建立，立即纳入统一的帐号管理平台，并由专人对账号的使用进行 监控，如发现账号责任人/使用人离职、转岗，账号责任人将及时转移或者注销账 号。OS 主机、网络设备、安全设备等资产的特权账号通过特权账号管理系统集中 纳管和自动改密，运维人员使用特权账号时需要提交工单申请，并例行开展相关 审计，以确保特权账号使用安全。 在为客户提供服务时，如需使用客户网络账号，华为云客户经理负责向客户侧授 权代表进行账号使用授权书申请，明确客户网络账号使用者、使用目的、使用地 文暴漏在 HSM 之外，从而防止密钥泄露。HSM 是一种安全产生、存储、管理 及使用密钥并提供加密处理服务的硬件设备。为保护租户密钥安全，减少密钥外 泄风险，华为云提供不同厂商、不同规格（标准加密算法、国密算法等）、不同强 度的云 HSM 供租户选择，满足不同租户的实际需求，例如通过 FIPS140-2 国际 权威认证的第三方 HSM。KMS 对密钥的所有操作都会进行访问控制及日志跟 踪，满足审计和合规性要求。目前已对接

境影响，提升产品易用性和稳定性。 (三) 后续实施和应用计划/展望 量子计算是一门物理和计算机的交叉学科技术，针对物理系的 学生，更希望培养其动手实践能力，而量子计算机一般都是非常精 密的仪器，操作不当或环境稍有变化很容易影响数据的准确性，所 以目前的量子计算教学产品一般在物理硬件上是不开放的，所有实 验操作和数据全部在软件界面上进行，如此对于学生而言缺乏对于 硬件知识的了解， 是底物构象在形成复合物过程中的变化，是确定药物作用机制、设 计新药的基础。 在分子对接计算中，配体分子被放置在受体的活性位点附近， 然后基于几何互补性、能量互补性以及化学环境互补性等原则，评 估药物分子与受体之间的相互作用。这个过程旨在识别出两个分子 间的最佳结合模式。分子对接的优势在于它不仅考虑了受体的三维 结构信息，还考虑了受体与配体间的相互作用，这使得它在理论上 比仅基于配体结构的药物设计方法更为全面和合理。 工具，主要适用于传统封装芯片。它们通过检测芯片内部缺陷的光 发射来定位缺陷位置，其空间分辨率为 1~2um。但 EMMI/InGaAs 无 法处理无亮点（如短路）或者亮点被遮蔽等情况。随着芯片内部的 金 属 层 越 来 越 密 集 ， 对 光 子 的 阻 挡 会 越 来 越 严 重 ， 因 而 EMMI/InGaAs 的适用受到限制。OBIRCH 利用激光扫描芯片，使缺 陷处受热而改变阻抗，通过检测电信号的变化判断缺陷位置。

10 番苗小说 93.01 20 阅里巴巴(1688) 阿里 86.73 微量采置：七重改据注：105买力费根量2024年ADp在中国大脂轴区ADD900e的高计下能量，第计收入与目户好评应等多个评监维应综合得昌，服计时间量止至2024年12月31日 七壶数据 THREE 2024年度中国区i0s实力应用榜单Top100 排名 名称 公司 实力分值 排名 名称 公司 实力分值 21 [] 汽水音乐 50 联100 腾讯 81.45 60 驾考宝典 木仓科技 L5'6L 数量系减：七重改据注：105实力需根量2024年App在中国大陷险区AppS0e的素计下整量。黑计表入与且户好评应等多个评基维应综合调量。能计时同量止至2024年12月31日 七壶数据 THREE 2024年度中国区i0S实力应用榜单Top100 排名 名称 公司 实力分值 排名 名称 公司 实力分值 61 同程旅行 70 知乎 知乎 智者天下 78.71 80 百度极速版 百度 77.68 微量采置：七重改据注：105买力费根量2024年ADp在中国大脂轴区ADD900e的高计下能量，第计收入与目户好评应等多个评监维应综合得昌，服计时间量止至2024年12月31日 七壶数据 THREE 2024年度中国区i0S实力应用榜单Top100 排名 名称 公司 实力分值 排名 名称 公司 实力分组 81 贝壳找房

评估体系的使用，即可以融入到企业数字化现状的评估之中，从 信创化视角对有信息化要求的企业再从信创化视角进行补充评估，或者对于一些 12 正在积极推进信创化的，需要专门的从信创化视角进行专项评估的企业。具体评 估过程可参考图 3.6。 图 3.6 信创能力评估过程 13 四、央国企信创的技术体系 央国企信创技术首先要考虑自主可控的技术底座，国产芯片、操作系统和数 根据上面大数据总体架构，我们需要在每一次的产品上实现信创化替代，保 证自主可控。同时，还要使这些各层级的大数据组件能够适配满足信创要求的芯 片、操作系统及数据库等。另外，在数据存储、计算、应用环节，采用国密算法， 以透明加密码、半透明加密等方式实现对重要数据进行加密保护。比如，在大数 32 据分析处理方面，国内在 GPU 加速数据库计算和大数据分析计算，以及隐私计算 支持等方面的起步并不 技术标准现状是分析央国企当前 IT 技术标准建设情况，IT 技术标准是否融入了 信创化的要求；IT 管理流程制度现状，是分析现有的 IT 流程制度设计是否融入 了有利于有序化推进信创化工作的管理要求。信创化的组织人才是分析评企业当 前在信创化工作方面的组织岗位设置、人才配置情况以及信创化工作的相关职责 划分是否明确，信创化组织人才是一个企业信创化能力建设的根本。IT 技术与 产品生态是分析评估央国企当前正在着手推进信创化工作，在引入信创化的技术

Microsoft/Azure OAuth �录流�。然后攻击�指��户复制并 ��包含 OAuth 授权��本地主机 URL 到攻击 �控制�容器��中。�取�授权��于�取令 �，并在无��取密�和完成多因��份�� (MFA) �情况下���户� Microsoft �户。 ClickFix 及其变�在 2025 年�流�已扩展 到 Windows �境之外。威��为�专��对 ��。攻击�收�了有关�公司成员和内�流 ����信息，使他们�够在��为 Marks & Spencer 提供支持��三方服务台提供商时， 成功地冒充成功地冒充合法成员。攻击���一 名技术支持工�师��密�以�取��权�，从 ���了 DragonForce 勒��件。此次事件�使 ����暂停在��单一个多月，并扰乱了实体 店���，导�客户数据��。�公司后来估� 损失了�3亿���利润。�接事件响应和恢复成 �员工及其工作流���了 广泛�侦察。 IT承包商员工授予攻 击���权� Scattered Spider 攻击�很可����� ����三方IT承包商，冒充����� 员工，�求��密�/多因��份�� 攻击�活动 受害�活动 第 2 章 CHECK POINT �件 | 2026 年��安全报告 11 2025年初，以�������攻击手段��名� 威���Shiny

版本的内核，性能和稳定性经过历年“双 11”历练，能为云上典 型用户场景带来 40% 的综合性能提升，故障率降低 50%，兼容 CentOS 生态，提供平滑的 CentOS 迁移方案， 并提供全栈国密能力。最新的长期支持版本 Anolis OS 8.6 已发布，更多龙蜥自研，支持 X86_64 、RISC-V、 Arm64、LoongArch 架构，完善适配 Intel、飞腾、海光、兆芯、鲲鹏、龙芯等主流芯片。 磁盘数据，并有权重映射虚拟机内存等。攻击者可利用主机操作系统和虚拟机管理器的安全缺陷获取操作系统的 权限后攻击虚拟机，给虚拟机最终用户造成重大损失。 解决方案 CSV是海光自主研发的安全虚拟化技术，采用国密算法实现，CSV虚拟机在写内存数据时CPU硬件自动加密 ，读内存数据时硬件自动解密，每个CSV虚拟机使用不同的密钥。海光CPU内部使用ASID（Address Space ID） 区分不同的CSV虚拟 AMD安全内存加密（SME）: 所有内存由单一的密钥进行加密, 仅仅在BIOS中开启就可以实现（TSME）。 AMD安全加密虚拟化（SEV）: 每台虚拟机都会被分配自己的独立加密密钥, 宿主机和客户虚拟机之间相互加 密隔离。 Confidential Virtual Machine也可以称作Secure Virtual Machine (SVM)，是最终实现机密计算的实体， 本身作为一个可信域存在，SVM自身和在

网络与办公网络，部署工业防火墙过滤 Modbus 等协议异常流量。  智能航运数据协同：通过工业互联网平台实现船舶与岸上系统数据共享，采用零信任网络访问 （ZTNA）动态验证通信权限，敏感数据通过国密算法加密。  安全挑战与应对方案：  港口 RTG 控制指令劫持：绝大部分企业对控制协议实施加密传输，少部分企业采用控制指令数字 签名防止指令篡改。  航空维修数据篡改：大部分企业通过区 告；定期开展关基应急演练， 模拟勒索病毒攻击场景。  典型实践：某汽车制造集团（关基运营者）为应对 “供应商接口入侵” 风险，部署 API 网关鉴权系 统，对零部件供应商传输的生产数据实施国密算法加密，并依据 GB/T 39204-2022 要求，每季度对 供应商进行安全审计，防范供应商接口被入侵导致的生产数据泄露。 (4) 第四阶段：产业生态智能化阶段（2024 年以后）—— 主动免疫阶段  交通运输行业：  实践重点：聚焦工业协议加密与操作记录存证。有港口企业对 RTG 控制协议实施加密，有航空企 业通过区块链存证维修数据。  新兴需求：零信任网络访问（ZTNA）、国密算法加密等技术开始试点，以应对跨企业数据协同 中的信任挑战。 （二）跨行业共性安全风险与安全能力缺口 尽管工业领域各细分行业安全实践存在差异，但调研显示，工业领域整体在安全能力建设上仍面临以 下共性瓶颈：

移动通信方面，中电信量子推出华为 Mate 60 Pro 量子密话定制 终端，支持 SIM 卡密钥充注，结合国密算法实现 VoLTE 高清通话146。 韩国 SKT 推出集成 QRNG 芯片的 Galaxy Quantum 5 量子安全手机， 使用量子随机数进行设备内部认证和数据传输加密147。中国联通基 于华为 Pura 70 系列推出了量子密信定制版手机，融合了量子密码 和国密 SIM 卡等技术148。 (四)NIST 界不断针对密码破解算法开展研究，未来可能破解基于 RSA、ECDH 等算法的公钥密码体系，造成网络信息安全风险，更有甚者可能影 响政治、经济、社会正常运行，并对军事、政治、外交等需长期保 密的敏感信息造成“先截获，后破解”的追溯性威胁。构建抗量子密 码，也即 PQC，并通过研制标准、探索加密方案、完成测试验证、 开展试点应用等工作，稳步推进当前公钥密钥体系向着 PQC 完成升 级迁移，已逐渐成为密码学界和信息安全领域的共识。 式等方面仍待提 高。我国行业用户仍需加大在量子计算方面的研究投入与企业间合 作力度。 (二)量子保密通信领域产业化水平持续提升 随着量子保密通信试点应用和网络建设的推进和发展，量子保 密通信产业生态初步建立并逐渐发展，形成包含基础研究、设备研 发、建设运维和安全应用为一体的产业生态系统。 上游主要涉及量子保密通信相关的基础研究和技术创新，是量 子保密通信产业生态的核心源头。在基础研究方面，主要包括量子

Dencryption • 技术优势：  安全功能可插拔、硬化，高吞量  无需升级设备硬件，即可具备安全加密能力  安全加密能力不占用主设备资源，安全能力卸载  实现端口 - 端口的链路级数据加解 密 AM AM AM AM VLane1 VLane2 VLane3 VLane4 400GE L1-PHYSec PHY 芯 片 Serdes 光模块