基础性法律。 . 法律、 行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施 ，其运营者应当使用商用密码进 行保护 ， 自行或者委托商用密码检测机构开展商用密码应用安全性评估。 商用密码应用安全性评估应当与关键信息基础 设施安全检测评估、 网络安全等级测评制度相衔接 ，避免重复评估、 测评。 密码应用工作法规依据 公安部《网络安全等级保护条例（征求意见稿） 》对第三级以上非涉密网络 规规定和密码应用相关标准规范。第三级以上网络应正确、有效采 用密码技术进行保护 ，并使用符合相关要求的密码产品和服务。第 三级以上网络运营者应在网络规划、建设和运行阶段 ，按照密码应 用安全性评估管理办法和相关标准 ，在网络安全等级测评中同步开 展密码应用安全性评估。 1.1 公 1.1 密码应用工作法规依据 《商用密码管理条例》 2023 年 7 月 1 日起施行 第三十八条 . 法律、 行政法规和国家有 同步运行商用密码保障系统 ， 自 行或者委托商用密码检测机构开展商用密码应用安全性评估。 前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行 ，运行后每年至少进行一次评估 ，评估情况 按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、 自治区、 直辖市密码管理部门备案。 1.1 密码应用工作法规依据 《商用密码应用安全性评估管理办法》 2023 年 11 月 1 日起施行 第六条、

防护体系的扩展和安全管理要求的强化，以及对新技术应用安全的覆盖，更加 全面和深入地保障了网络安全。 ”密评“即商用密码应用安全性评估，是对网络信息系统中所使用的商用密码产 品和应用进行的安全性评估。《密码法》于 2020 年开始实施，其中第二十七 条要求关键信息基础设施的运营者需依法使用商用密码进行保护，并自行或委 托专业机构开展安全性评估，确保与其他安全检测评估制度相衔接，避免重复 工作。 ”等保“和”密评“共同构成了 信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到 相应的标准和要求。 ”密评“则聚焦于使用了商用密码的产品、系统和服务，对其密码算法选择、密 码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、 正确性和有效性评估。 以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面 对”等保“和”密评“的具体差异与内在联系进行简单的探讨。 01.国家法律法规角度对比 不同等级的安全保护要求，旨 在确保网络基础设施、信息系统和数据的安全，有效预防网络攻击和数据泄露。 相对而言，《密码法》下的商用密码应用安全性评估则聚焦于规范商用密码的 应用和管理，深入评估密码算法、协议、应用设计、密钥管理、密码设备及模 块的安全性与合规性。其主要目的是保护使用密码技术进行数据加密、身份认 证、通信安全等涉及国家安全、商业秘密和个人隐私的信息系统。通过专业的 密码学方

的规定和商用密码检测认证（ ）、规则开展 商用密码检测认证。 下列哪一项不属于大众消费类产品所采用的商用 密码？（ ） 53 单项选择题 54 单项选择题 根据《密码法》，商用密码应用安全性评估应当 与（ ）、网络安全等级测评制度相衔接，避 免重复评估、测评。 根据《密码法》，商用密码认证机构泄露其在商 用密码认证中所知悉的商业秘密，由（ ）会同 密码管理部门责令改正或者停止违法行为，给予 品目录，由具备资格的机构检测认证合格后，方 可销售或者提供。 根据《密码法》，大众消费类产品所采用的商用 密码（ ）进口许可和出口管制制度。 根据《商用密码管理条例》规定，关键信息基础 设施只有通过商用密码应用安全性评估方可投入 使用，并且在运行后仍然需要进行评估。下列选 项中表述正确的是（ ）。 94 单项选择题 《商用密码管理条例》的颁布时间是（ ）。 95 单项选择题 96 单项选择题 商用密码监管中，密码管理部门不得要求商用密 根据《商用密码管理条例》规定，关于密码管理 部门和有关部门开展商用密码监督检查，下列选 项中表述正确的是（ ）。 125 单项选择题 126 单项选择题 根据《商用密码应用安全性评估管理办法》，关 于商用密码应用安全性评估，下列说法错误的是 （ ）。 根据《密码法》，国家鼓励商用密码技术的研究 开发、学术交流、成果转化和推广应用，健全（ ）的商用密码市场体系，鼓励和促进商用密 码产业发展。

系统等网络与信息系统，其运营者应当使用商用密 码进行保护，制定商用密码应用方案，配备必要的 资金和专业人员，同步规划、同步建设、同步运行 商用密码保障系统，自行或者委托商用密码检测机 构开展商用密码应用安全性评估” 从信息系统的管理制度、人员管理、 建设运行和应急处置四个方面提出密 码应用管理要求，为信息系统提供管 理方面的密码应用安全保障。 1996.7 1999.10 2011.3 2016.11 密等法律法规规定，构建全方位、多层次、一致 性的防护体系，按要求采用密码技术，并定期开 展密码应用安全性评估，确保政务信息系统运行 安全和政务信息资源共享交换的数据安全” 第 4 页 密评定义与工作流程 商用密码应用 （简称“密评”），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用合规性、正 安全性评估 确性和有效性进行评估。 合规性：是指密码算法、密码协议、密钥管理、密码产 委托密评机构开展系统评估：若首次评估未通过，则密评机构将出具《整改建议》，项目建设单位需对系统进行相应整改，评估通过 建设阶段 后，密评机构将出具《密码应用安全性评估报告》。 3. 报密码管理部门审查：项目建设单位将密评机构出具的系统《密码应用安全性评估报告》及相关意见报送至密码管理部门审核与备案。 4. 提交项目验收：项目验收通过后，进入项目运行阶段。 运行阶段 1. 定期开展密评，需定期开展密

和国家有关规定要求使用商 用密码进行保护的关键信息 基础设施，其运营者应当使 用商用密码进行保护，自行 或者委托商用密码检测机构 开展商用密码应用安全性评 估。商用密码应用安全性评 估应当与关键信息基础设施 安全检测评估、网络安全等 级测评制度相衔接，避免重 复评估、测评。 中华人民共和国 网络安全法 第三十一条 国家对公共通信 其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全 性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评 制度相衔接，避免重复评估、测评。 第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商 用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警 告；拒不改正或者导致危害网络安全等后果 口系统完整性校验 口系统安全性能监测 口 安 全 审 计 口 抗抵赖 口操作系统安全 口数据库安全 口边界安全防护 分保工作简介 产品选型与安全服务 口安全保密产品选型 口通用信息技术产品选型 口安全保密产品部署与配置 安全保密管理 口 管 理 机 构 口 管理人员 口 管理制度 口运行维护管理 运行安全 口备份与恢复 口系统安全性保护 □ 应 急 响 应

多重保护。 2.1.2 均衡性保护原则 对任何类型网络，绝对安全难以达到，也不一定是必须的，需正确处理安 全需求、安全风险与安全保护代价的关系。因此，结合适度防护实现分等级安 全保护，做到安全性与可用性平衡，达到技术上可实现、经济上可执行。 2.1.3 技术与管理相结合 信息安全涉及人、技术、操作等方面要素，单靠技术或单靠管理都不可能 实现。因此在考虑信息信息安全时，必须将各种安全技术与运行管理机制、人 通过细颗粒度访问控制对数据、文件或其他资源访问进行严格控制；  通过安全审计技术实现用户操作行为记录和分析，以及对资源访问的 行为记录、分析和响应；  通过边界完整性检查实现非法外联行为及接入设备安全性检查，切断 非授权连接； 27 网络安全等级保护（第三级）建设/整改方案 v2.0  通过入侵防范技术、流量监控技术实现访问数据异常发现和攻击检测、 分析、响应，阻止对网络和主机的攻击； 通过应用软件开发或第三方负载均衡技术实现资源控制措施，保证合 理使用和控制系统资源，维护系统运行的稳定性； 30 网络安全等级保护（第三级）建设/整改方案 v2.0  通过源代码审查控制软件代码的安全，实现对软件功能安全性进行检 查，保证只能采集业务必须的个人信息。 31 网络安全等级保护（第三级）建设/整改方案 v2.0 5 整体安全建设设计 5.1 物理和环境安全建设 5.1.1 机房场地的选择 机

制定网络安全事件应急预案，并定期进行演练。没有网络安全事件预 案的，或者没有定期演练的，会被依照此条进行责令改正。 安全检测评估：第三十八条规定，关键信息基础设施的运营者应 当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风 险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相 关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检 测评估的单位要被责令改正。 6 1.1.2 总体建设目标 本项目的建设目标，主要是结合对现状的安全需求分析，通过信 息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设 计以及信息安全产品集成实施等工作，全面提升信息系统的安全性， 能面对目前和未来一段时期内的安全威胁，保证信息系统的平稳、高 效的运行，本次设计我们将根据以下目标为指导思想： 目标一、保证信息的安全 完整性：保证数据的权威性，让使用者毫不怀疑； ； 目标二、保证提供服务的安全 连续性：保证业务连续性，提供 7X24 小时保质保量的服务； 可靠性：即使遭受不可抗力，也能够在足够短的时间内恢复； 满意度：达到内部用户、客户、主管部门对安全性的要求； 目标三：提高安全投资的效益 合规性：遵循技术标准、国家相关规范(三级等保); 示范性：树立贵单位信息安全建设标杆典范； 经济性：提高安全投资的性价比，考核人员的安全绩效 22 3

Sendable 对象类型，在并发通信时支持通过引用传递来解决 并发通信开销大的问题。Sendable 对象为可共享的，其跨线程前后指向同一个 JS 对象。如果底层是 Native 实现，还需要考虑线程安全性。通信过程如下图所 示： 12 Sendable 更多参见：https://developer.huawei 传输 ⭐⭐⭐⭐ 自动（GC 回收） ✅ 大对象场 景推荐 仓颉高性能能力概述 仓颉具有静态类型系统，且其源码被静态编译为直接执行的机器指令。这 种静态编译执行方式具有更高的启动性能和安全性。借助仓颉编译器强大的静 态分析能力，低效或有风险的代码在应用构建过程中识别，开发工具自动帮助 或提示开发者优化代码，达成最佳应用体验。 35 静态类型和静态编译优化 仓颉编译 仓颉安全能力概述 仓颉是静态类型语言，程序中所有变量和表达式的类型都是在编译期确定 的，并且禁止隐式类型转换，即在程序运行过程中不会发生改变，能够在编译 期尽量早的发现程序中的错误，提升程序安全性。 45 仓颉在编译和运行时支持多种安全检测，如数组越界、除 0、整型溢出、 移位检查等。以数组越界检查为例，支持编译时和运行时安全检查。 仓颉采用 tracing GC 技术，

命令式编程，需关注细节，变更频繁，维护成本高。 与此同时，AI 时代全面来临，在 PC 互联网到移动互联网到智能化终端演进过程中，AI 计算主要在云端数据中心进行，非常依赖网络，具有一定的时延，且数据传输的安全性、私 密性不能得到有效保证。随着人们对交互和信息获取的智能化要求越来越高，移动设备的计 7 算能力越来越强，在设备侧就能提供 AI 的相关能力，例如自然语言交互、环境智能感知、 特性与功能规范（设计规范约束）：应用包 体大小、参数设置、账号互通、卡片设置等 满足生态规范要求。 纯净安全 保障应用全生命周 期的纯净、安全、 隐私体验，确保生 态健康。 安全性测试：主要包含组件安全、WebView 安全、配置安全、签名安全等。 隐私测试：主要包含隐私政策信息和声明、 权限申请、个人信息收集等。 纯净测试：主要包含恶意弹窗、隐藏误导、 保活拉活、病毒植入等。 安全需求定义和产品质 量标准的过程。其目标是通过对系统进行全面的安全测试，发现系潜在的安全隐私隐患并提 出相关建议，确保系统的安全性和合规性。 可以参考开发者官网发布的《安全隐私体验建议》，对鸿蒙应用进行全面的安全测 试，主要包含以下内容：  安全性测试主要包含组件安全、WebView安全、配置安全、签名安全等内容。  隐私测试主要包含隐私政策信息、权限申请、个人信息收集等内容。