中国建筑业企业数字化研究报告 i 中国建筑业企业数字化 研究报告 （2024） 北京中建协认证中心有限公司 北京中建协兴国际工程咨询有限公司 2025 年 3 月 中国建筑业企业数字化研究报告 ii 目 录 引言 ........................... ................................................... 54 第五章 国际 BIM 认证标准体系及中国应用情况 ................................ 55 一、 国际 BIM 认证标准体系 ............................................ 55 二、 中国 BIM 应用现状及发展 .................... 76 （三） 中国 BIM 政策及标准体系 ..................................... 78 （四） 中国 BIM 认证体系 ........................................... 81 三、 BIM 未来发展趋势 .................................

.................................................................................. 56 7.10.1 统一身份认证服务（IAM） ........................................................................................... 术服务等各主业务流程中。安全作为质量管理体系的基本要求，通过管理制度和 技术规范来确保其有效实施。华为通过内部审计和接受各国政府安全部门、第三 方独立机构的安全认证和审计等来监督和改进各项业务流程。2004 年起，华为的 安全管理体系通过了 BS7799-2/ ISO27001 认证。华为云在公司级的业务流程基础 上，大胆地将已在华为全面采用的安全周期管理（SDL – Security Development Lifecycle）集成于当前适合云服务的 和云安全方面与相关法律法规的契合度。同时，华为也将法律法规的分析结果共 享给租户，避免信息缺失导致的违规风险，通过合同明确双方的安全职责。华为 一方面通过跨行业、跨区域的云安全认证满足监管机构要求，另一方面通过获得 重点行业、重点区域所要求的安全认证，建立并巩固华为云业务的客户信赖度， 最终在法律法规制定者、管理者、租户三者间共建安全的云环境。 ⚫ 在云安全生态方面，华为云认识到单靠一个公司、一个组织的力量不足以应对日

和被连接者，需要具备 为其他网络提供管道和接受其他网络管道服务的能力。这具体体现在网络的功能 设计中，设计实现联盟网络重点在于： 一、多主体网络互联：通过联盟网络协议（例如服务注册、发现、身份认证、 安全协议等），使多个独立运营的网络（不同运营商、行业专网、私有网络）能 够在受控环境下互通。 二、灵活资源和能力共享：通过网络的开放和管理（例如对内资源能力统一 管理和对外自定义服务）实 质量机制及多方见证技术实现共享与权益 的精确对应，保障资源能力流转的顺利进行。 四、跨域安全和身份管理：基于分布式身份（如去中心化身份（DID））和 分布式账本技术（DLT，如区块链），实现联盟网络中的安全认证与信任机制。 五、智能化网络管理：采用 AI 驱动的自主网络，结合智能体架构（AI Agents）， 优化网络拓扑、资源分配和策略管理，保障安全的共享交易。 在功能单元分类的角度来看，联盟网络相比传统的 中三横两纵的联盟网络体系，这四类功能单元归属于不同的网 络层中。业务单元是对网络内部资源的管理，负责资源的感知、任务资源的匹配、 资源的调度等功能，属于主体网络层。联盟单元实现互联互通，负责网络间身份 管理和认证、网络间数据传输的通道管理等功能；可信单元支撑多方共识，负责 网络间分布式信息管理、权益匹配等功能，联盟单元和可信单元是互联互通层的 关键。智能单元实现下层资源能力与上层应用的匹配，负责应用的全生命周期管

................................................................................... 8 3.1.3 旁路强制认证 .................................................................................................. ASG除了支持本地用户系统，还支持跟第三方用户系统进行联动，包括从第三方系统导入 用户和与第三方系统联动实现用户认证，支持导入用户的第三方系统包括AD域服务器、TSM （华为终端安全管理系统），支持联动实现用户认证的第三方系统包括AD域服务器、TSM、 标准的Radius认证服务器。 3.1.1 从第三方系统导入用户 一个大中型企业动辄几百上千人，管理这些人员的账号信息，无疑是一项非常大的工作。 SG设备 这个时候让用户在本地上线。 TSM的用户成功状态包括认证通过、安全认证通过，两种状态的变动都会通知ASG设备，ASG 收到消息后会根据本地设置来让用户上线和下线。 3.1.3 旁路强制认证 在旁路模式下，用户没有认证通过前，ASG可以对TCP流量进行阻断，对于HTTP协议支持 推送页面，强制用户进行认证。对于TCP阻断的原理如下： Internet服务器 1.TCP数据

本及产品，在政务 、金融、交通、通信等领域累计服务用户超过30万。 龙蜥开源影响力 龙蜥社区及龙蜥操作系统也获得了一定的行业认可，工信部电子标准院首批开源项目成熟度评估，成为唯 一获得“卓越级”认证的开源项目、龙蜥社区荣登 2022 科创中国“开源创新榜”、荣获“中国开源云联盟年度优 秀开源项目奖”、“OSCAR 开源尖峰案例奖”等 25 项行业奖项。 龙蜥项目运作模式 龙蜥社区已成立 50+ 进一步提供了虚拟机内存隔离支持。CSV 机密容器能够为用户提供虚拟机内存加密和虚拟机状态加密能 力，主机无法解密获取虚拟机的加密内存和加密状态信息。CSV 虚拟机使用隔离的 TLB、Cache 等硬件资源， 支持安全启动、代码验证、远程认证等功能。 • 主页：https://openanolis.cn/sig/coco/doc/533508829133259244 Intel Confidential Computing Zoo ache、TLB等CPU资源，实现CSV虚拟机、主机之间 的资源隔离。CSV虚拟机使用隔离的硬件资源，支持启动度量、远程认证等功能，是安全的硬件可信执行环境。 CSV机密容器技术将安全虚拟化技术与Kata容器技术结合，实现容器运行环境的度量和加密，容器中的程 序可以使用远程认证功能实现身份证明。CSV机密容器和普通容器的接口完全兼容，用户可以使用Docker或者 Kubernetes启动机密容器，实现对容器数据的隔离和保护。

10 网络和通信安全 15 密评量化分值分布 管理制度 30 密码服务应通过国家密 码主管部门许可 存在高危安全漏洞的密 码产品 选用的密码服务提供商 不具有相关资质（如电子 认证服务） 密码技术应遵循密码相关 标准 高风险 SSH 1.0 、 SSL 2.0 、 SSL 3.0 、 TLS 1.0 合规的商用密码产品 0028 / 37092 密码模 块安全等级 方案评审 层面 指标要求 第三级 网络和 通信安 全 （ 15 分） 身份鉴别 应 通信数据完整性 宜 通信过程中重要数据机密性 应 网络边界访问控制信息的完整 性 宜 安全接入认证 可 网络和通信安全层面密码应用方案整体策略分析： 不管对于已建还是新建都是关键拿分整改项，被测客户投入代价低，性价比高。 IPSec/SSL VPN 综合安全网关可解决网络和通信层 外部用户访问系统时，采用密码技术保证通信数据及通信过 程中重要数据的机密性。 n 具备访问控制功能的设备实体采用密码技术对网络边界和系 统资源访问控制信息进行保护，防止被非法篡改。 n 设备接入网络时，需要安全接入认证。 测评准备 测评过程 测评结果 二、密评方案工作指南网络和通信的要求与分析 《应急处置预案设计》 《密码应用实施方案》 《密码应用方案》 方案编制 方案评审

重于主体之间在数字交互过程中的信任建立和验证。 数字可信和数字信任存在以下差异：  侧重点不同 数字信任侧重于在数字交互过程中主体之间信任关系的建立和验证，主要 关注的是信任这一核心要素在数字场景中的体现，例如通过认证、加密等手段 确保主体之间的信任。数字可信则侧重于构建一种综合的安全与信任机制，重 点在于通过基础设施与多种服务和协作方式来持续评估信誉，保障数据流动和 协作的安全性和可信度，更像是一个系统性的框架，涵盖了技术、用户行为、 御、跨组织协作等多个领域，是一个将安全和信任融合在一起的综合性概念。 例如在数字城市建设中，数字可信涉及城市各个部门之间的数据共享、居民与 政府服务平台之间的互动等多个复杂场景。  实现方式不同 数字信任主要通过认证机制、加密技术等手段来实现。在网上银行系统中， 通过数字证书、SSL/TLS 加密协议等方式建立用户和银行之间的数字信任关系， 确保用户的账户安全和交易安全。而数字可信主要通过用户自主防御、跨组织 2 可信数据 第 22 页 数据可信包括数据访问可信、数据流通可信、数据权属可信及数据开放可 信，是数据可信能力与服务体系的技术能力基础支撑。数据访问可信确保了数 据的来源可靠性。通过多因素认证、数字证书和数字签名等技术手段，验证数 据访问者的身份和权限，防止未授权访问和数据泄露，保障数据本体安全及数 据的完整性；数据流通可信聚焦数据流通交互过程中的真实性。通过数据隐私 保护技术，保

议 复杂等特点，有效防范物联网特有的安全威胁，如设备身份伪造、数据重放攻击等，确保工业物联系统的 安全稳定运行。 工业物联安全概念示例 某智能工厂部署的物联网传感器，通过数字证书进行双向身份认证，并采用轻量级加密协议传输数据，防止不法 分子伪造设备身份上传虚假数据，误导生产决策。 （三）工业领域安全概念的关联性剖析 上述 12 个安全概念虽各有侧重，但彼此间存在一定的关联性，都属于工业领域安全的范畴。工业互 该企业事后按照工业领域安全的三大体系进行整改：在信息与数据安全体系方面，升级网络防火墙，加强数据加密与 访问控制；生产运行安全体系中，增设设备异常监测装置，优化生产操作规程；融合创新安全体系内，引入物联网设 备身份认证技术，强化工业物联安全防护，有效提升了整体安全水平。 （四）等保 2.0 视角下工业控制系统安全的边界与要求 伴随着云计算、大数据、人工智能、物联网等新技术在关键信息基础设施中的广泛应用，等保 2 工业信息安全、工业互联网安全、工业物联安全作为数字化转型的关键领域，需满足等保 2.0 对新技 术应用的扩展要求 工业互联网平台的安全防护（如身份认证、数据加密）需遵循信息安全全生命周期管理原则；工业物 联网设备的接入安全（如数字证书双向认证）则需适配等保 2.0 对无线使用控制、设备身份验证的要求。 这些概念通过技术融合，为工业领域安全提供创新防护手段。 (2) 12 个安全概念结合等保

。 2 术语和缩略语 以下缩略语适用于本白皮书。 缩略语 英文全称 中文含义 AEAD Authenticated Encryption with Additional Data 带有身份认证的加密算 法 AES Advanced Encryption Standard 高级加密标准 AI Artificial Intelligence 人工智能 中兴通讯版权所有未经许可不得扩散 等)分发给安全域中的FEP， 实现用户通信的安全传输。 4）加密和认证 使用带有身份认证的加密算法(AEAD)，默认采用AES-GCM，以实现对用户身份的对称 加密。在完成数据的正确加密及认证后，数据包正常转发，未经加密的明文不可以在网络上 发送。对接收到的数据包进行解密，并进行身份认证，认证通过后正常转发报文，认证不通 过作丢弃处理。 随着AI和HPC在大规模数据中心中的应用日益增加，动态数据存储和维护的需求也在不

。 物联网通信模组，集成基带、射频、电源、存储等芯片与阻容感等电子元器 件，配特定封装形式和软件设计，以满足各物联网应用场景的联网需求。模组厂 商从上游采购芯片等原材料，经软硬件设计、测试、认证、生产及销售等环节， 交付下游终端。通信模组可以分为蜂窝模组和非蜂窝模组，蜂窝类通信模组主要 包括 2/3/4/5G 以及授权频段的 NB-IoT、eMTC，非蜂窝类通信模组主要包括 WiFi、蓝牙、Zigbee 源、产品成分、产品合规及产 品服务支持、安全应急响应。 对于第三方商采和合作开发的供应商，需要从其能力资质，人员组织稳定性， 服务水平、财务信用状况，资金流水，信誉评级，营业执照及其相关行业认证等 多方面进行供应商的评估管理，确保第三方产品供应商的可信。 对于开源软件、软件依赖组件来源，需要可追溯确保源头的安全可信，要可 跟踪识别到开源软件官网、所属开源社区、所依存的代码托管平台、基金会等。 节点及软件客户端等，均已完成国产化适配，可为企业完整提供具有国产自主知识产 权的 SD-WAN 解决方案。其中，硬件方面已适配飞腾、海光国产芯片，操作系统已适配麒 麟、统信平台，且已取得相关认证证书。另外，在安全加密方面，轻网的嵌入式国产密码 卡已取得《商用密码产品认证证书》，可提供 SM2/3/4 加密，满足企业国密安全需要。 二、应用场景 轻网科技信创方案可满足企业以下场景需求： 1. 全球一张网：全集团部署