商用密码应用安全性评估 李 丹 中国赛宝实验室 工业和信息化部电子第五研究所 工业和信息化部电子第五研究所 （中国赛宝实验室） 目录 应 用 安 全 性 评 估 商 用 密 码 密评简介 1 2 政策法规 3 密评内容 4 密评实施 5 机构简介 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.1 密码释 义 《密码法》第二条给出密码定义： 密码是指采用特定变换的方法对信息等进行加密保护、 商用密码用于保护不属于国家秘密的信息。 公民、法人和其他组织可以依法使用商用密码保护网络 与信息安全。 《中华人民共和国密码法》 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.2 密评释 义 商用密码应用安全性评估（简称“密评” ) ，指在采用商用密码技术、产品和服务 集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。 合规性 指密码算法、密码协议、密钥管 理、密码产品和服务使用合规。 理、密码产品和服务使用合规。 使用符合国家密码法规和标准规 定的商用密码算法，使用经检测 认证合格的商用密码产品或服务。 正确性 指密码算法、密码协议、密钥管理、密 码产品和服务使用正确。即釆用的密码 算法、协议和密钥管理机制按照相应的 密码国家和行业标准进行正确的设计和 实现；密码保障系统建设或改造过程中 密码产品和服务的部署和应用正确。 有效性 指釆用的密码协议、密钥管理系统、

天融信密评培训 安全接入产品线  第二章 密评建设方案  第一章 密评政策解读 第一章 密评政策解读 可信网络 安全世界 密评是什么？评估对象？评估的是什么？ 合规性 -- 技术 + 产品 + 服务 使用的密码算法、密码协议、密钥管理符合国家法律法规和标准规定，密码 产品或服务经过国家密码管理局核准和认证机构认证合格。 密码算法、密码协议、密钥管理、密码产品或服务使用正确，即按密码相关的 1 日 2017 年 6 月 1 日 中华人民共和国 国家标准 GB/T 39786-2021 《信息安全技术 信息系统 密码应用基本要求》 2021 年 10 月 1 日 “ 密评”全称：商用密码应用安全性评估 对采用商用密码技术、产品和服务集成建设的网络和信息系统 密码应用的合规性、正确性、有效性进行评估 密码应用相关国家法律、法规及政策 1999.10.7 2014 号令，施行《商用 密码管理条例》 《信息安全技术信息 系统密码应用基本要 求》 (GB/T 39786- 2021) 正式发布 十三届全国人大常委 会第十四次会议通过 《中华人民共和国密 码法》 国家密码管理局发 布 GM/T 0054- 2018 《信息系统 密码应用基本要 求》 中共中央办公厅、国务院 办公厅印发《关于加强重 要领域密码应用的指导意 见》（四号文）

密评梳理 0 1 密码知识 0 2 0 3 密评介绍 密评工作 密码简介 • 密码技术基础 0 1 • 密码分类 • 密码算法 密码技术基础 什么是密码？ ● 计算机开机“密码” ● 电子邮箱登录“密码” ● 银行卡支付“密码” ● 微信登录“密码” 口令≠ 密码 □ 密码是指使用特定变换对数据等信息进行加密保护或者 安全认证的物项和技术。 密码法 《中华人民共和国密码法》 认。 0 2 密评介绍 • 密评对象 • 两者关 系 • 基本概念 • 法律依据 密评工作关注要点  1. 五个等级：由低到高分为一到五级， 三 级最为常见  2. 主管单位：国家密码管理部门负责监督、 检 查、指导。（密评报告需双备案）  3. 监管力度：三级系统至少每年测评一 次 基本概念 关注要点 商用密码应用安全性评估（以下简称 “密评”）是指对采用商用密码技术、产品 密码应用的合规性、正确性、有效性进行评 估。 等保定级 定级 系统被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 密评试点机构目录（全国共 48 家） 密评试点机构目录（全国共 48 家） 密评对象 2 1 重点面向金融、政务等重要

据 智能化 高效化 数字化 04 数字交通枢纽方案 ——N 项应用 全 景 拼 接 枪 球 联 动 围 墙 翻 越 九 大 智 能 分 析 应 用 人 数 统 计 入 侵 检 测 密 度 检 测 电 梯 逆 行 排 队 长 度 物 品 遗 留 04 综合安防——视频监控 数字交通枢纽方案 ——N 项应用 动态黑名单布控 人脸轨迹呈现 机 / 非 / 人特征提取 以图搜人 依据。 能源监测 能耗分析 用能一张图 用能管理 用 能 管 理 能 耗 统 计 ， 量 化 企 业 用 能 状 况 ， 考 核 企 业 节 能 指 标 ， 指 导 企 业 节 能 评 估 ， 辅 助 分 析 用 能 形 势 。 能 源 监 测 实 时 采 集 企 业 用 电 、 用 气 、 用 水 等 能 耗 数 据 ， 构 建 能 耗 分 析 数 据 基 础 。 能 耗 分 信息发布 支持后台定向、批量信息发布（如政策宣传、精神文明 传达、展览信息、天气情况推送等），全面替代人工更 换宣传画册； 敏感拦截 发布信息（视频、图片、文字等），经过管理平台进行 脱敏脱密的处理，自动拦截敏感字眼，自动截取涉黄涉 假欺诈反动信息，并在平台联动预警，即时通知管理人 员。 紧急插播 在有特殊的节目需要插播时，可以随时插播文字信息、 图像信息、动态信息、视频信息等。

定、可靠的产品确保客 户设备安全、高效、环保，最大程度地降低维运成本，提升客户竞争力。 产品种类齐全向平台型企业发展 组织业务板块协调和拓展日益增加 密封件 动密封 静密封 往复密封件 旋转密 迫紧 密封 唇形 密封 旋转 油封 机械 密封 XXXX/ 华阳 优泰科 平台型企业 多组织协同 无忧智库 无忧智库 无忧智库 无忧智库 无忧智库 集团总部，集团战略与财务管 板块、静密封等，但主要板块全部围绕主要产业链展开；  XXXX 密封集团在新业务拓展过程中，希望通过信息化手段进一步强化集 团化管控落地；加强对于各分子公司的集团管控。 主营业务板块，主要做机械密 封 机械密封；压缩封；密封辅助 系统；核电密封 四某著名企业 为 XXXX 配套机加零件；为 XXXX 提供热处理及粗加工工序 外协；为 XXXX 和华阳配套碳 化硅部件； 优泰科某著名企业 XXXX 密封 集团 公司代码 核 算 单 元 工厂 / 车间 会计科目表 大连华阳密封 某著名企业 XXXX 密封件 某著名企业 四川桑尼机械 有限责任公司 优泰科 ( 苏州 ) 密 某著名企业 特种泵事业部 核电事业部 密封材料 密封件 XXXX 工厂 华阳工厂 优泰科工厂 机 加 热 处 理 焊 接 总 装 采购 销售 仓库 XXXX 密封 采购组织 尼桑机械 采购组织

对工业互联网的应用产生巨大影响 [4]。 4. 1 5G 组网 由于工厂车间大多为金属结构,有线方式布线困 难,传统无线通信设备无法可靠使用,传统的“Wi-Fi+ 有线”方式无法达到数据传输的要求。 同时,考虑到私 密性及低时延要求,本文采用“5G 专网+MEC” 方案, 用来传输各种数据、视频等。 其中,MEC 部署在苏州 电信机房,作为网络边缘计算平台,和公网演进型分组 核心网( Evolved Packet 资源之间的信息交互;建有的 MES、质量管理、设备管 理等系统已覆盖工厂生产制造全过程;研发的设备状 态监控的故障预测、微检修、VR 检修、人员定位健康监 控等系统则可以对人和物的安全进行有效地分析、评 估、预防、规避,大幅提高安全生产水平。 5G 全连接工 厂固废成效如表 2 所示。 表 2 5G 全连接工厂固废成效 指标项 联峰钢铁固废 传统固废 生产运转率 ≥98% ≤72% DRI

场景 ，促进资源盘活。 人民公园盘活更新提升实施方案 Implementation Plan for the Renewal and Enhancement of People's 显密圆通殿 城市记忆馆 东 1 房 屋 东 2 房屋 低碳数字植物 园 叁 . 实施方案 —— 三大盘活 藏经阁 360° 全景图 原老虎园为一个独立小院，内有独立建筑三幢， 其一其二环廊相连，移步拱桥，其三独立于岛中。 1. 计划在现有基础上进行保护性修缮 ，打造成为一个供游客和市民共享付费使用的都市解压疗愈馆。 2. 利用现有特色神秘感结合园区 ，打造一个沉浸式的剧本杀项目 ，形成吸引年轻人的流量互动点。 显密圆通殿都市解压疗愈馆 & 沉浸式 剧本杀 人民公园盘活更新提升实施方案 Implementation Plan for the Renewal and Enhancement of People's 西岸有礼”旅游手信店 老鸟舍 特色艺术展览空间或 旅拍艺术空间 苹果园 亲子友好宠物乐园 国学大讲堂 传统文化体验馆或 脱口秀互动剧场 藏经阁 品牌文化书店及 文化体验空间 显密圆通殿 都市解压疗愈馆或 沉浸式剧本杀 河西城市记忆馆 延展展览空间 & 研学体验空间 东一、东二房屋 公共文化活动平台 低碳数字植物园 常态化活动空间 导入七大业态一驱动公园功能互补 提升公园多样服务

可分为智能装备、智能控制、工业互联网基础设施、核心平台和数据库、智能生产、智能保障、智能供 应链、智能经营等方面. 不论是哪种智能工厂架构, 制造执行系统、流程模拟软件、先进过程控制软件、控制系统性能评 估和诊断软件等核心工业软件均在智能工厂运行中发挥了重要的作用, 是国内外智能工厂解决方案供 应商的核心竞争力所在, 下面将介绍这四类核心工业软件在国内外的发展情况. 2.1 智能生产与保障 —— 制造执行系统 于企业需要拥有一位总工程师; 如果需要核心工业软件具备该能力, 则需要将企业的知识显性化融入 核心工业软件中 [31,32], 面临着来自企业和智能工厂解决方案供应商两方面的阻力: 企业出于信息保 密原因不愿意提供业务知识, 智能工厂解决方案供应商认为业务知识缺乏通用性, 开发成本高且难以 在其他应用场景推广. 总的来说, 基于核心工业软件进一步提升流程工业智能工厂精益化运行水平具有高度的复杂性

中显示了四个象限（技术、 平台、工具、语言及框架） 中的一个。雷达环上的位 置表示该技术的行动建议： 采纳、试验、评估、暂缓。 技术雷达 P29 3 评估 -Assess 前景良好。应密 切关注并试验使 用 4 暂缓 -Hold 获得行业关注， 但尚未或可能从 未准备好使用。 可能有缺陷或可 能被视为避免使 用的技术 2 试验 -Trial 可以谨慎使用。 它还没有完全被 证实，因此需要 已排列优先级的待办列表 WIP 战略 少量增强 依赖 技术债 P87 管理待办列表 未排列优先级的团队待办列表的组件： 比较简单：直接分配价值 稍微复杂的方法是：先 为每一个故事的价值评 分，再为其工作量评分 中等复杂： MOS 评估 根据不同的 MOS （净推 荐值、转换、放弃）值确 定各自工作量的分值 最简单：直接分配优先级 最简单且省时的排序过 程是让团队对待办列表

AOHUR ELECTRDN VICTOR ALUMINUM CHF 长华布施螺子 鄂 达 精 ELDAR PRECISION 零 件 PARTS 88 SFOT 密 创造 的价值 15% 计划达成率 提高 20% 交付周期 缩短 10% 业务运行效率 提升 98.5% 物料流转准确率 提升 板上市。 公司在中国、欧洲、北美