n 该标准以访问控制为核心构建基本保护环境和相关安全服务。 1. 设计技术要求核心思 想 01 要 。 信息系统安全影响国家安 全 重 02 安全漏洞和安全威胁永远存在。 03 攻防失衡，攻击占有巨大优势。 04 主动防御、守住底线。 1. 设计技术要求核心思 想 1. 设计技术要求核心思想 u 《设计技术要求》重在设计 PPDR 模型中的防护机制； 控制规则 ↓ t 访问控制 度量 验证 可信认证 1.1 防护思想 • 可信认证为基础 、 访问控制为核心 可信认证：保障信息系统主体、客体可信 访问控制：保障主体对客体合理操作权限 主体 客体 通过构建集中管控、最小权限管理与三权分立的管理平台，为管 理员创建了一个工作平台，使其可以借助于本平台对系统进行更 好的管理，从而弥补了我国现在重机制、轻管理的不足，保证信 好的管理，从而弥补了我国现在重机制、轻管理的不足，保证信 息系统安全可管。 以访问控制技术为核心，实现主体对客体的受控访问，保证所 有的访问行为均在可控范围之内进行，在防范内部攻击的同 时 有效防止了从外部发起的攻击行为。对用户访问权限的控 制可 以确保系统中的用户不会出现越权操作，永远都按系统 设计的 方式进行资源访问，保证了系统的信息安全可控。 以可信计算技术为基础，构建一个可信的业务系统执行环境， 即用

结论扩展表。】 测评结论和重大风险隐患 被测对象名称 安全保护等级 第 Z 级（SXAY） 扩展要求 应用情况 云计算 移动互联 物联网 工业控制系统 大数据 其他_______ 被测对象描述 【填写说明：简要描述被测对象承载的业务功能等基本情况，包括被测 对象的子系统情况，建议不超过 300 字】 统管理软件、 主机操作系统、数据库管理系统、业务应用系统、数据资源、管理制 度】等具体对象实施了测评。通过测评发现，在安全技术方面具备【网 络结构冗余、区域边界隔离、边界访问控制、双因子身份鉴别、账户权 限控制、操作日志审计、入侵检测、恶意代码查杀、设备冗余部署、数 据定期备份】等安全技术措施。在安全管理方面【制定了信息安全管理 体系及相关制度和流程，具备实施记录，组建了安全运维团队】。 e)应提供开放接口或开放性安全服务，允许云服务客户接入 第三方安全产品或在云计算平台选择第三方安全服务； f)应提供对虚拟资源的主体和客体设置安全标记的能力，保 证云服务客户可以依据安全标记和强制访问控制规则确定主 体对客体的访问； g) 应提供通信协议转换或通信协议隔离等的数据交换方式， 保证云服务客户可以根据业务需求自主选择边界数据交换方 式。 入侵防范 a)应能检测到云服务客户发起的网络攻击行为，并能记录攻

加 快经济社会发展全面绿色转型的意见》等政策背景下，数据中心数 字化转型速度加快，节能降碳需求越来越迫切。 传统数据中心冷却系统大多依靠经验设定运行参数，采用人工 调优和局部反馈调节方法实现控制；存在着设定值固定，不随负载、 环境条件变化；各设备之间缺乏信息沟通，运行参数不协同；未考 虑设备的运行效率问题，导致运行能耗高等问题。即便预制模块化 现有产品和技术，也存在类似问题，因此需要制定新的技术规范来 ................................................................................10 图 7 冷却系统主要设备监测与控制示意图...................................................13 图 8 智能调优示意图.............................. 理的 AI 算法，实现 基于预制模块化数据中心场景的冷却系统智能调优技术报告（ODCC-2025-06005） 2 节能降碳的目标，通过冷却系统智能调优技术，能够对冷却系统进行 运行节能优化控制，优化后的冷却系统节能率可达 15%以上。 二、术语、定义、缩略词 预制模块化数据中心 Prefabricated Modular Data Center 预制模块化数据中心是指将机架、制冷系统、配电柜、灭火系统、

数据库审计 IaaS 边界 安全 虚拟化安全 安全加固 虚拟资源隑离 入侵防御 漏洞扫描 基线核查 安全域隔离 边界安全防护 安全域划分 访问控制 访问控制 入侵防御 负载均衡 网络威胁检测 流量清洗 安全审计 安全接入 访问控制 流量监控 云安全服务平台 通信 安全 通信线路冗余 网关设备冗余 通信传输加密 完整性校验 带外管理通道 API 接口 SDN 网络 编排 编排 DaaS 安全 PaaS 安全 东西向安全 安 全 南北向安全 SaaS 安全 Web 安全防护 漏洞管理 安全传输 数据脱敂 容器安全 访问控制 访问控制 输入数据验证 API 接口安全 虚拟机微隑离 VPC 隑离 数据加密 剩余信息保护 于数据库安全 计算服务安全 集中管控 态势感知 管理网络隑离 等保 2.0 云安全体系 集约共享 开放接口 等保 2.0 通用方案设计思路 分级分域——划分丌同级别安全域 通信网络——网络架构及通信传输 区域边界——访问控制及检测防护 计算环境——入侵防范及数据安全 管理中心——集中管控及安全审计 “ 云安全服务平台（等保场景）”创新方案 出口网络 / 安全设备 于安全服务平台 核心交换 安全运营服务 安全运营服务

在标准要求方面，进行了新增和优化。等保 2.0 标准在 1.0 标准的基础上，注重 全方位主动防御、安全可信、动态感知和全面审计，实现了对传统信息系统、基础 信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的 全覆盖。在设计架构上，等保 2.0 充分体现了“一个中心三重防御“的思想，一个中 心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”， 同时等保 变。 4、网安对信息系统的备案受理及监督检查职责不变。  等级保护的五项工作不变 根据等保 2.0 的相关标准，原有的五项工作：定级、备案、建设整改、等级测 评、监督检查不变，内容根据具体控制项有微调。 2.3.2 标准变化的部分 等保 2.0 相对等保 1.0，主要在法律法规、标准要求、安全体系、实施环节四 个内容具有较大变化，本方案有关法律法规的要求在 2.1 章节中有部分阐述。本方 合防御体系。应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、 安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技 术检测、安全可控、队伍建设、教育培训和经费保障等工作。” 由此以及具体的技术控制项的调整，可以确定，等保 2.0 由 1.0 防御审计的被 动保障向感知预警、动态防护、安全监测、应急响应的主动保障体系全面转变。 2.3.2.2 实施过程变化分析 等保 2.0 的实施过程，

 等级保护对象扩展（云计算、工业控制、物联 网、移动安全）； 保护要求更高（针对高级威胁检测、供 应链安全、邮件 安全、通 报预警等） 增加对可信计算的相关要求。 等级保护管理条例 / 关键信息基础 设施保护条例发布征求意见稿； 配套管理规范 、实施细 则正在陆续 出台。 等保 2.0 8 等保定级对象 基础信息网络 工业控制系统 云计算平台 物联网 大数据 时，应当分别定级 。  安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。  现场采集 / 执行、现场控制和过程控制等要素应作为一个整体对象定级，各要素不单独定级；生产管理要素宜单独定级。  对于大型工业控制系统，可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。  应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。 通信网络 技术融合运营，运营提升管理，管理巩固安全 12 等级保护基本要求项 《基本要求》 2.0 （二级通用要求） 《基本要求》 2.0 （三级通用要求） 序号 安全控制类 安全控制点 安全要求项 序号 安全控制类 安全控制点 安全要求项 1 安全物理环境 10 15 1 安全物理环境 10 22 2 安全通信网络 3 4 2 安全通信网络 3 8 3 安全区域边界 6 11 3 安全区域边界

.......................................................................................33 6.3 数据访问控制................................................................................................... 身份认证与访问控制管理系统(PKI/PMI 系统) 作为 XX 信息化中重要的安全 基 础设施之一，解决了信息网警员用户管理、身份认证、应用授权和责任认定等方面长 期存 在的不安全、不统一、不便管理等问题， 突破了“信息孤岛”的壁垒， 实现了跨地区、 跨部门 的信息共享，促进了 XX 信息资源的高效应用，在保障 XX 信息化安全方面发挥了重 要作用。 按照《全国 XX 身份认证与访问控制管理系统国产密码算法替换建设任务书》(公科信 提供计算机外设管理功能，能够管理包括光驱、软驱以及打印机等外部设备，能够管理 串口、并口、红外以及 1394 等计算机接口。支持禁用某些端口，在一定程度上防范信息泄 漏。支持刻录光驱使用的审计和控制，提供刻录光驱只读控制功能，避免终端用户通过刻 录 光驱进行数据拷贝。 XX 可以根据自己的管理要求， 对 XX 内部 U 盘和 XX 外部 U 盘区别管理。终端管理平 台 提供 U 盘注册功能，注册后的

我国关键信息基础设施是指关系国家核心利益、人民群众生命 财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或数据泄 露，可能严重危害国家安全、国计民生和公共利益的网络基础设施、 重要业务系统和生产控制系统以及重要数据资源。 关键信息基础设施 关键信息基础设施的安全保护等级 不低于三级 12 等级保护政策内容  由测评公司、咨询公司提供预测评服务，根据技术要求与测 评要求提出整改意见与方案 管理系 统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面 的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、 市）门户网站和重要网站；跨省联接的网络系统等。 第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利 益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心 业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。 技术要求 安全物理环境 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 安全通信网络 网络架构 通信传输 可信验证 安全区域边 界 边界防护 访问控制 入侵防范 恶意代码和垃圾 邮件防范 安全审计 可信验证 安全计算环境 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证

13 图表 11 扭矩传感器产品 14 图表 12 六维力传感器产品 15 图表 13 编码器产品 16 图表 14 控制器产品 16 图表 15 中国市场工业机器人控制器代表企业 17 图表 16 一体化关节模组构成示意图 18 图表 17 2016-2028 年中国一体化关节模组市场规模及预测(单位:亿元，%) 全 性、易用性和灵活性，它们能够适应各种工作场景，通常价格更低，体积更小，对人类来说更安全。 协作机器人具有安全、易用、灵活的特征，主要表现为： 安全性：协作机器人配备有先进的传感器技术和控制算法，如力矩传感器、视觉系统等，使其能够实时感知环境 变化和与人体接触，并根据接触情况做出相应的安全响应，以防止对人类造成伤害。 易用性：协作机器人往往具有直观的用户界面和编程方式，使得非专业的操作员也能方便快捷地对其进行设置和 数据来源：各公司官网，高工机器人产业研究所（GGII）整理 3、根据结构划分 根据结构划分，协作机器人可以分为单臂协作机器人和双臂协作机器人。 单臂协作机器人是最常见的形式，这种设计具有布局灵活、控制相对简单的特点，适用于各种需要与人类进行互 动的轻型作业任务，例如装配、拾取和放置、质量检测等。 双臂协作机器人拥有两个相互独立或协同工作的机械臂，能提供更高的灵活性和功能性。它们通常用于更复杂的任

领域能力组件 - Enabler 数字资产交易平台 - Market 数字星云 icenter 统一入口 智慧能环 冶金集中管控 数字移动运维 安全生产 研发设计类应用 业务管理类应用 生产控制类应用 工 控 增 值 业 务 5 G 工 控 专 网 安全性 可靠性 经济性 确定性 网元频谱专属 多种认证方式 软硬切片隔离 双频双链路 内生双发选收 设备冗余备份 算力基站 定位 网络安全数据安全 用 5G 工控专网，构筑钢铁可靠连接 5G 专网 1.0 5G 专网 2.0  5G 核心网专属，安全可靠  4.9GHz+2.6GHz 双频组网，双发优选  控制类业务可靠性 99.999%  保障 PLC 远控业务安全可靠 5G/5GA 工控专网 共享 UPF 运营商 核心网 Internet 企业数据中心 公众网络 企业网切片 下沉 UPF Plug-in 云平台 工艺段 1 PLC 软件 工艺段 2 PLC 软件 车间 / 现场级自动化系统 工艺段 3 PLC 软件 ...... 工控 HMI 云电脑 电气室 生产线设备传动控制 运营调度 云电脑 WinCC 、 iFIX 等自动化系统客户端 普通办公 云电脑 工厂级云电脑 GE iFiX iClient 西门子 PLC HMI 北科工研 视觉表检 视频监控客户