等保测评密评对照 关于“等保”与“密评”在法律、标准、流程以及测评实施等方面的具体差异与内在 联系，一直是客户领导关注的焦点。他们希望了解这两项制度在维护网络安全 方面各自的作用与互补性，以确保信息系统的政策合规性，并在网络安全上得 到全面、高效的保障。 “等保”即网络安全等级保护，旨在通过不同安全等级的管理和技术措施，确保 信息系统的安全稳定运行。我国于 2017 年颁布的《网络安全法》中第二十一 加 全面和深入地保障了网络安全。 ”密评“即商用密码应用安全性评估，是对网络信息系统中所使用的商用密码产 品和应用进行的安全性评估。《密码法》于 2020 年开始实施，其中第二十七 条要求关键信息基础设施的运营者需依法使用商用密码进行保护，并自行或委 托专业机构开展安全性评估，确保与其他安全检测评估制度相衔接，避免重复 工作。 ”等保“和”密评“共同构成了我国网络安全防御体系的重要组成部分，两者相互补 信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到 相应的标准和要求。 ”密评“则聚焦于使用了商用密码的产品、系统和服务，对其密码算法选择、密 码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、 正确性和有效性评估。 以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面 对”等保“和”密评“的具体差异与内在联系进行简单的探讨。 01.国家法律法规角度对比

重要行业密码应用及密评政策 重要行业密码应用及密评政策 近年来，信息化、网络化、数字化程度不断加深，密码技术已经渗透到了社会生产 生活各个方面，重要网络和信息系统、关键信息基础设施、数字化平台都离不开密 码的保护。我国已在多部法律法规中明确规定了密码应用的要求，包括《密码法》 《网络安全法》《商用密码管理条例(修订草案征求意见稿)》《关键信息基础设施 安全保护条例》《网络安全等级保护条例（征求意见稿）》等。 息基础设施安全 保护、密码应用安全性评估等工作。依据《网络安全法》《密码法》等法规，落实 《关键信息基础设施安全保护条例》，贯彻网络安全工作责任制，进一步完善大安 全体系。 重要行业其他密码应用及密评政策要求 教育、公安、住建、交通、水利、卫生计生、工商、能源等领域主管部门，均 制定了本领域密码应用总体规划或工作方案，明确要求使用符合国家密码法律 法规和标准规范的密码算法和密码产品，实现密码在本领域的全面应用。

《密评备案信息统计表》使用说明 注：考虑到表格当前的自动检查规则可能无法穷举所有异常， 若遇到极个别单元格提示填写错误，但经核实确实已按要求正确填 写的情况，请正常提交并向管理部门提醒说明，便于进一步完善表 格检查机制。 《密评备案信息统计表》的填表方一般为网络与信息系统运营 者。 《密评备案信息统计表》中部分单元格在填写数据后自动会进 行检查（注意：需要启用 Excel 宏）。全部信息填写无误时，“数据 备案编号填写正确时，显示如下图。 3. 密评类型 （1）填写错误示例 1）密评类型为空白时，数据检查说明显示“【密评类型】输入 或粘贴的值与下拉选项不一致（超出了下拉选项值范围）！”。 2）密评类型选择的选项与密评结果不对应时（如密评类型选择 2 “系统”，密评结果选择“通过”），数据检查说明显示“【密评类型】与 【密评结果】不对应！”。 3）密评类型自行填写，未从提供选项中选择时，将弹窗报错。 弹窗报错。 （2）填写正确示例 密评类型选择正确时，显示如下图。 4. 责任单位（网络运营者）性质 （1）填写错误示例 责任单位（网络运营者）性质自行填写，未从提供选项中选择 时，将弹窗报错。 3 （2）填写正确示例 责任单位（网络运营者）性质从提供选项中选择时，显示如下 图。 5. 网络与信息系统所在地 （1）填写错误示例 网络与信息系统所在地填写格式错误时，数据检查说明显示

《密评备案信息统计表》使用说明 注：考虑到表格当前的自动检查规则可能无法穷举所有异常， 若遇到极个别单元格提示填写错误，但经核实确实已按要求正确填 写的情况，请正常提交并向管理部门提醒说明，便于进一步完善表 格检查机制。 《密评备案信息统计表》的填表方一般为网络与信息系统运营 者。《密评备案信息统计表》中部分单元格在填写数据后自动会进 行检查（注意：需要启用 Excel 宏）。全部信息填写无误时，“数据 备案编号填写正确时，显示如下图。 3. 密评类型 （1）填写错误示例 1）密评类型为空白时，数据检查说明显示“【密评类型】输入 或粘贴的值与下拉选项不一致（超出了下拉选项值范围）！”。 2）密评类型选择的选项与密评结果不对应时（如密评类型选择 2 “系统”，密评结果选择“通过”），数据检查说明显示“【密评类型】与 【密评结果】不对应！”。 3）密评类型自行填写，未从提供选项中选择时，将弹窗报错。 弹窗报错。 （2）填写正确示例 密评类型选择正确时，显示如下图。 4. 责任单位（网络运营者）性质 （1）填写错误示例 责任单位（网络运营者）性质自行填写，未从提供选项中选择 时，将弹窗报错。 3 （2）填写正确示例 责任单位（网络运营者）性质从提供选项中选择时，显示如下 图。 5. 网络与信息系统所在地 （1）填写错误示例 网络与信息系统所在地填写格式错误时，数据检查说明显示

系统集成与实施费（15%）：约 3,750.00 万元。包含全域管网布线、设备安装调试、第 三方软件集成及系统压力测试。 - 其他费用（10%）：约 2,500.00 万元。包括工程前期咨询规划费、第三方测评费（等 保、密评）、监理费及预备费。 2. 资金来源与诉求 “ ” 为确保项目稳步推进，采取 争取上级专项支持、地方财政兜底、社会资本参与 的多元化 筹资模式。 - 拟申请专项资金：申请国家/省级新型基础设施建设专项补助资金 CIM/AI/中 台/业务系统 8,750.00 35% 符合 GB/T 8566 标准 3. 集成实施 安装/调试/链路 租用 3,750.00 15% 含综合布线 4. 安全与测评 等保三级/密 评/监理 1,250.00 5% GB/T 22239- 2019 5. 预备费 不可预见支出 1,250.00 5% 严格按比例提 取 合计 25,000.00 100% 通过本项目的实施， 核/64 线程), 256G DDR4, 4TB NVMe 政务云机房 业务逻辑处理 与计算 4 无人机监测系 统 经纬 M350 RTK, 搭载多光 谱相机 移动巡检 大面积长势评 估 4. 系统部署架构图 2.3.3 组织保障可行性 项目的成功实施不仅依赖技术，更依赖于严密的组织管理体系与闭环的执行机制。本项目 已建立从领导层到执行层的全方位保障体系。 1. “ ”

二、应用系统建设方案 .42 三、应用支撑建设方案 .57 四、项目亮点分析 .59 五、数据采购建设方案 .60 全域治理物业城市一网统管数字平台项目 1 六、信息系统安全保障 .61 七、信创及国密方案 .68 八、公共舆情的预防及处置 .83 第七章 时间步骤.................................................................. 量化考评结果作为各街道与城市运营商签署的物业城市运 营维护合同相关内容履约评估参考。考评结果同时反馈给相关 物业企业，对物业管理工作成效突出、业主满意度较高的物业 企业，可作为物业企业年度评优评先加分依据；对综合考评不 达标，或明显存在安全管理、环境卫生等方面问题的物业企 业，由区住房和建设局会同相关街道办对企业负责人进行约 谈，依法限期进行整改，并按照运营合同的约定追究责任。相 关 执法监督考核体系通过对执法依据的预先梳理，能够防止 用错法、用错条款、处罚不当等行为的发生，通过全过程记录 制度丰富了执法过程的事中监管，依托城市管理综合执法监督 管理平台和相关管理办法，法制部门需定期对执法案卷进行评 查工作，以此打造事前、事中、事后的执法监管工作体系。同 时依托移动执法终端、执法记录仪、便携式车载动态取证系统 等完善的执法装备，实现人车物事泛感知，为日常执法监督工 作的开展实现实时化。对每一个执法要素及执法全过程进行实

密码管理局发布，截止到目前已经 发布了 91 条密码相关标准。这些标准主要分为密码基础类标准、密 码应用类标准、检测类标准、管理类标准四大类。密码基础标准涵 48 / 309 大数据能力平台建设项目方案建议书 盖了所用到的算法如祖冲之序列密码算法、SM2 算法、SM3 密码杂 凑算法、SM4 分组密码算法等各种加密算法的接口规范与流程。密 码应用类标准包括 IPSec VPN、SSL VPN、认证网关、密码模块等 下面罗列了一些重要的密码标准成果： GM/T 0004-2012《SM3 密码杂凑算法》，该标准规定了 SM3 密 码杂凑算法的计算方法和计算步骤，并给出了运算示例。 GM/T 0002-2012《SM4 分组密码算法》，该标准规定了 SM4 分 组密码算法的算法结构和算法描述，并给出了运算示例，适用于密 码应用中使用分组密码的需求。 GM/T 0009-2012《SM2 密码算法使用规范》，该规范定义了 50 / 309 大数据能力平台建设项目方案建议书 GM/T 0014-2012《数字证书认证系统密码协议规范》，该标准 描述了证书认证和数字签名中通用的安全协议流程、数据格式和密 码函数接口等标准。 GM/T 0019-2012《通用密码服务接口规范》，该标准规定了统 一的通用密码服务接口。适用于公开密钥应用技术体系下密码应用 服务的开发，密码应用支撑平台的研制及检测，也可用于指导直接

提升内控管理水平，实现信息化业务向全流程无纸化、高效统一、安全可靠、 合法合规方向发展。 需支持统一的、集中的用户电子身份管理，结合用户入职、兼职、调岗、 借调、离职等不同业务场景实现用户账号的全生命周期管理；支持维护用户名、密 码、姓名、电话、邮箱等基本属性信息，并可根据需要增加用户自定义属性； 针对 各类用户可进行分类及管理。 需支持统一的、集中的机构管理，支持机构的新增、修改、删除、查看等 基本操作；支持多组织 区块链技术平台主要包括区块链系统部署、智能合约管理、区块链安全管 理等功能模块。平台采用联盟链技术，满足分布式账本、去中心化、不可篡改、 全程留痕、可以追溯、集体维护、公开透明等技术特点，支持高性能共识协议 算法、国密算法、分布式账本数据的冷热分离机制等要求，完成资源目录与电 子证照的区块链应用支撑。  基于容器部署和管理区块链组件：支持通过 k8s 来创建和管理区块链的 orderer 和 peer 等节点 4A 等功能，实现细粒 度访问控制管理，通过定制任务计划实现定期改密等自动运维功能。 2.2.3.2.2 主机安全服务 在互联网应用场景下，云主机承载对外访问的业务系统，会存在黑客利用 网络对云主机进行攻击的风险。最常见的就是利用端口扫描然后远程暴力破解， 黑客利用暴力破解工具，在短时间内连续通过密码猜测来登录云主机，一旦密 码猜测登录成功后，云主机就被黑客利用，如利用业务主机植入恶意木马，进

网 三 1 3 日 te 1 . □ n 0s 88W9x885 数 平 地 * * 6 游 理 F * 竹 形 的评来平 6 ,9 动 个 加 地 阳 1 8 c 5 物 * nc 相 中 n :1a a 4 4 4 部 曹 的应用系统的开发也得到迅速开展，但是按照传统的开发模式，每个应用系统都 必须开发各自独立的用户认证模块。比如，办公自动化系统、财务管理系统、人 事管理系统、电子邮件系统、网络办公等应用系统都需要验证用户的用户名及密 码。这样存在以下弊端： 一 方面会造成用户认证信息在多个应用系统的数据库中的重复放置，带来大 27 量的数据冗余，也造成了各个应用系统的重复开发，另外也给系统的用户认证信 息管理和用户的 2、使用动态秘密密钥实现数据网上传输的加密与解密 对于每一项应用服务的每一次访问，采用对称加密方法、使用 DES 算 法 ， 动态地为用户生成一个一次性的秘密密钥，用于数据网上传输的加密与解 密。 3、安全、可靠的统一身份认证 对访问者通过客户端提交的帐号与密码使用 HASH 函数获得数据摘要、使 用访问者私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对帐号、 密码及数

时代的新型数据基础设施，促进 Data+AI 的 全面融合发展与创新。 ③“ ” 数智共生 新生态 Data+AI 时代数据与智能深度耦合在一起，你中有我， 我中有你，难以剥离。尤其在生态体系方面更为密不 可分，单纯的数据或 AI 生态体系都无法满足数据要 素流通、大模型供数和 AI 智能业务等新场景新业态 “ ” 的诉求，因此未来必定是一个 数智共生 的全新生态体 系，包括数据生态、模型生态、Agent 确权、动态授权 ，例如基于预设规则（时间、地域 等）自动调整数据权限即限定数据在特定时段或者 区域内使用，超范围自动失效。 3）可用不可见：结合联邦学习、安全多方计算、密 态训练与推理，在数据不离开本地的前提下进行协 同计算或者可信计算环境下密态训练与推理，确保 原始数据不被泄露的同时，权属和使用过程可审计、可 追溯。从数据生成、数据计算、数据流通的每个环节 均上链存证，形成不可篡改的审计轨迹，从而支持 结 合检索增强实时校验内容的准确性和合规性。 2）数据隐私泄露：用户与模型的交互内容可能被拦 截或者非法存储。攻击者可通过 API 漏洞或者身份 验证不足，窃取隐私数据。例如通过密态推理和区 块链存证实现密文推理和泄露溯源。 3）输出内容合规：训练数据的隐性偏见或者投毒攻 19 击，可能导致模型输出歧视性内容，带来合规偏差和 意识形态风险。例如通过多层级审核引擎、敏感数据 实时监测、价值观对齐指标等系统级防御。