目 录 页 安全计算环境 安全区域边界 安全通信网络 安全管理中心 一级系统安 全保护环境 用户身份鉴别、 自主访问控制、用 户数据完整性保护、恶意代码防范 包过滤、恶意代码 防范 数据传输完整性保 护 二级系统安 全保护环境 用户身份鉴别、 自主访问控制、系 统安全审计、用户数据完整性保护、 用户数据保密性保护、恶意代码防 范、客体安全重用 包过滤、安全审计、 完整性保护、恶意 代码防范 安全审计、数据传 输完整性保护、数 据传输保密性保护 系统管理、审计管 理 三级系统安 全保护环境 用户身份鉴别、 自主访问控制、标 记和强制访问控制、系统安全审计、 用户数据完整性保护、用户数据保 密性保护、客体安全重用、程序可 信执行保护 区域边界访问控制、 区域边界包过滤、 区域边界完整性保 护 安全审计、数据传 输完整性保护、数 据传输保密性保护、 可信接入保护 系统管理、安全管 理、审计管理 四级系统安 全保护环境 用户身份鉴别、 自主访问控制、标 记和强制访问控制、系统安全审计、 用户数据完整性保护、用户数据保 密性保护、客体安全重用、程序可 信执行保护 访问控制、包过滤、 安全审计、完整性

1 需求分析 AI 智能 + 人脸识别系统应用整体解决方案 过去 到店流量、提袋率 无法得到有效统计 人工难以辨认 费时费力、效率低下 未经授权擅自进入、使 用会议室等重要场所时 不明身份的人无 法得到有效甄别 大数据无从获取 运营者无从下手 上班忘记带卡、 双手抱满资料时的尴尬 AI 智能 + 人脸识别系统应用整体解决方案 随着我国社会不断发展、科技不断进步、人民工作、生 就是为了“提高管理效率，保证公共安全”。通过分级管理，设置管理层次，分配管理责任；通过权限管理，区分人员类 型，保证出入口安全；通过身份管理，规范身份管理制度，简化工作流程等。 人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术，它的唯一性和不易被复制的良好特性为身份 鉴别提供了必要的前提。而人脸识别系统就是把人脸识别技术与应用系统相结合，通过对人脸的识别作为开启的钥匙， 同时也作为出入 的接触性传染，既卫生，又安 全 唯一性 自然性好 易用性 非接触性 AI 智能 + 人脸识别系统应用整体解决方案 将人脸识别技术广泛应用于安防场景身份识别系统中，将 大大提高场所管控的安全性和可靠性，最大程度上降低通过身份 冒充而进入办公楼、公寓、社区等进行不法犯罪活动的可能性， 极大减少了安全系统中现存及潜在的技术漏洞、隐患和风险。同 时人脸的唯一性特征，从根源上杜绝了代打卡行为，规范了企业

全国 XX 身份认证与访问控制管理系统(PKI/PMI 系统) 作为 XX 信息化中重要的安全 基 础设施之一，解决了信息网警员用户管理、身份认证、应用授权和责任认定等方面长 期存 在的不安全、不统一、不便管理等问题， 突破了“信息孤岛”的壁垒， 实现了跨地区、 跨部门 的信息共享，促进了 XX 信息资源的高效应用，在保障 XX 信息化安全方面发挥了重 要作用。 按照《全国 XX 身份认证与访 2.1.2 用户安全准入 用户访问应用、云平台和云桌面必须经过身份管理中心认证，用户必须在身份管理中 心 中注册并形成数字化身份，数字证书是重要的身份属性， 身份管理基础设施要充分利用 现有 的 XX PKI 基础设施和信任根， 为每个用户签发数字证书，该数字证书能够唯一标识一个合 法用户身份。 证书验证根据不同的身份对象有所差异，人员证书的验证发生在用户登录过程， 由身 份 管理中心完成， 管理中心完成， 证书验证需验证证书的合法性和有效性。 信息网用户准入，用户以持有 USB-KEY 的方式代表其拥有合法身份，用户认证的时 候， 需要将该 USB-KEY 插入 PC 终端的 USB 端口， 并由身份管理中心完成用户的准入认证。 2.1.3 终端安全准入 信息网中存在大量的终端设备(PC 终端、哑终端等) ，这些终端的安全状况，直接 影响 了信息网的整体安全状况。比如哑终端设备，

安全体系设计思路 设计思路说明 以基础信息网络与承载的信息系统、数据为保护对象； 以一个中心、三重防护的要求，构建满足等级保护 2.0 要求的技术能力； 以体系化设计思路，按照基础架构安全、动态身份安全、 纵深防御体系、全生命周期防护等实际安全需求，进行 安全技术体系规划设计； 以自适应的安全架构为目标，构建持续改进的安全运营 体系，在安全运营过程中实现安全技术体系的持续优化 完善； 防水和防潮 温湿度控制 电力供应 物理位置选择 防静电 电磁防护 通信传输 可信验证 网络架构 边界防护 可信验证 访问控制 安全审计 入侵防范 恶意代码和垃圾邮件 防范 入侵防范 数据完整性 身份鉴别 恶意代码防范 数据备份恢复 可信验证 访问控制 个人信息保护 剩余信息保护 安全审计 数据保密性 系统管理 审计管理 安全管理 集中管控 安全策略 制定和发布 评审和修订 岗位设置 板 原始数据 消息中心 第三方日志 接入 设备日志 19 BG 即领域 基 础 设 施 安 全 层 IT 系统（办公网络） 环境 身份安全 事业部 大数据 安全层 场景 业务 安全层 数据安全 子公司 网络探针事业部 身份安全业务部 13. 区 块链安 全 14.AI 安全 1 终 端 安 全 B G 天擎事业部 终端国产化事业部 准入合规事业部 移动安全事业部

安全信息通报中心通报：淮南职业技术学院系统存在高危漏洞，系统存储的 4000 余名学生身份信息已经造成泄露。经查，确认淮南职业技术学院招生信息管理系统 存在越权漏洞，后台登录密码弱口令，学院未落实网络安全管理制度，未建立网络 安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和 加密措施，致使系统存储的 4353 名学生的身份信息泄露。 2017 年 10 月 12 日 , 安徽省淮 安徽省淮南市网警巡查执法官方微博发布通报称，关于淮 南职业技术学院未落实网络安全等级保护制度，导致 4000 余名学生身份信息泄露 一事，淮南市公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。 执法机构：淮南市公安局网安支队 处罚行为：淮南职业技术学院招生信息管理系统存在越权漏洞，后台登录密码弱口 令，未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于 六个月，未 电力供应 电磁防护 安全通信网络 网络架构 通信传输 可信验证 安全区域边 界 边界防护 访问控制 入侵防范 恶意代码和垃圾 邮件防范 安全审计 可信验证 安全计算环境 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息安全 安全管理中 心 系统管理 审计管理 安全管理

备、系统管理软件、 主机操作系统、数据库管理系统、业务应用系统、数据资源、管理制 度】等具体对象实施了测评。通过测评发现，在安全技术方面具备【网 络结构冗余、区域边界隔离、边界访问控制、双因子身份鉴别、账户权 限控制、操作日志审计、入侵检测、恶意代码查杀、设备冗余部署、数 据定期备份】等安全技术措施。在安全管理方面【制定了信息安全管理 体系及相关制度和流程，具备实施记录，组建了安全运维团队】。 患 XX 项，截止报告发布日期，已完成整改 XX 项，剩余 XX 项未整改。本次测评过 程中发现的重大风险隐患及整改建议如下： （1）存在空口令、弱口令、通用口令或无身份鉴别措施，导致非授权人员可直 接访问系统，造成身份冒用、恶意篡改或窃取重要数据等严重后果。 整改建议：为每个可登录的账户设置符合要求的口令，禁用或删除弱口令账户； 设置的口令长度应不低于 8 位，并由大小写字母、特殊字符和数字无规律排列 【2025 版】 3.4.3 服务器和终端 3.4.3.1 已有安全控制措施汇总分析 【参考示例】 在服务器和终端方面采取了以下安全措施： 在身份鉴别方面，采用用户名和口令的方式登录操作系统，对登录的用户进行 身份标识和鉴别，身份标识为用户名，具有唯一性。口令信息每 90 天更换一次， 由大小写字母、数字和特殊符号组成。启用登录失败处理功能，采用加密通信 技术。 在访问控制方面

全管理平台、网络型流量控制产品、负载均衡产品、抗拒绝服务攻击产品、终端接入控制产品、 USB 移动存储介质管理系统、文件加密产品、数据泄露防护产品、安全配置检查产品、运维安 全管理产品、日志分析产品、身份鉴别产品、终端安全监测产品、电子文档安全管理产品等 19 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 中国网络安全产业联盟 ..............................................................................................494 身份鉴别产品 北京数字认证股份有限公司................................................................................. 抗拒绝服务攻击产品 用于识别和拦截拒绝服务攻击、保障系统可用性的产品。 24 终端接入控制产品 提供对接入网络的终端进行访问控制功能的产品。 25 USB 移动存储介质管理 系统 对移动存储设备采取身份认证、访问控制、审计机制等管理手段 , 实现 移动存储设备与主机设备之间可信访问的产品。 26 文件加密产品 用于防御攻击者窃取以文件等形式存储的数据、保障存储数据安全的 产品。 27 数据泄露防护产品

采用白光补光，补光灯亮度支持手动、自动调节，光线柔和 ? 基于深度人脸识别算法，精准定位目标人脸 360 个以上关键点位置，并提 供 1:10000 人脸识别能力 ? 通过人脸识别算法快速采集人脸信息，用户通行时只需刷脸即可完成身份 验证 ? 最大支持 100000 用户， 100000 张 IC卡，10000 人脸库，支持 JPG、JPEG格 式图片导入人脸照片， ? 人脸验证准确率≥ 99%，1：N 比对时间≤ 0 处理器，处理性能 强 ? 采用 10.1 寸触摸显示屏 ,流明度 500cd/m2，屏幕分辨率 1280*800 ? 采用全玻璃面触摸屏，支持本地菜单的人脸、密码的采集和录入 ? 支持人脸、人证比对（身份证） 、卡（ IC 卡）、密码、蓝牙、二维码等多种 识别认证方式，支持分时段开门 ? 支持显示人脸框，并实时检测最大人脸（支持本地视频预览） ，方便用户校 XXXX 解决方案 第 15 页 需刷脸即可完成身份 验证 ? 最大支持 10000 人脸库，支持 JPG、JPEG格式图片导入人脸照片 ? 人脸验证准确率＞ 99%，1：N 比对时间≤ 0.5S/人，识别速度快，准确率高 ? 适应侧脸，遮挡，模糊，表情，明暗变化等实际环境，提高准确率 ? 设备支持 60000 个用户， 60000 张卡（二维码、蓝牙、卡） ，60000 个密 码， 60000 个身份证， 50 个管理员

雷达、毫米波雷达、麦克风等多个维度的传感器信息，还可以精细化 人工智能在交通领域业务应用白皮书 4 感知目标要素，如视频数据结构化处理，提取人、车、运动轨迹等深 层关键信息。感知类的典型赋能场景包括身份核验（人脸识别）、人 流分析、车况监控、车外环境感知、驾驶员行为监测、交通设施状态 感知、实时路况感知、机非人（机动车、非机动车、行人）识别等。 目前人工智能感知类技术服务的产业化最为成熟，在交通领域应用的 电 子支付、共享单车、网约车等服务，互联网地图的使用可以有效提升 民众出行效率、丰富出行选择、改善出行体验。另一类是出行过程中 其他交通设施提供的智能化服务，比如身份核验、非配合式体温测量 等。其中，使用人脸识别技术的身份核验已经广泛应用在民航、高铁 等场景，在新型冠状病毒4疫情期间，非配合式体温测量系统也在地 铁等场景得到广泛使用。 2. 载运工具 载运工具是交通运输系统中非常活跃和重要的因素，其创新往往 链、运营模式、管理制度和商业模式等已相对成熟。 人工智能在交通领域业务应用白皮书 12 刷脸出行服务是指使用人脸识别技术的辅助验证服务，旅客只需 要在少数关键环节（如安检）出示身份证件，其他环节可直接使用人 脸识别技术核验身份信息，并完成相关所有操作，能够有效加快通行 速度，提升出行体验。深圳宝安机场、广州白云机场等均已推出基于 人脸识别的智能安检通道。 智能客服是指使用智能语音语义、知识图谱等技术的客户服务，

共享共用的一种数据流通利用基础设施，是数据要素价值共创的应用生态，是支撑构建全国一体化数据市场的重要载体。数据可信空间借鉴 IDS-RAM 与 Gaia-X Trust Framework，在连接器中固化身份、加密、使用控制和审计规则，让数据可控、可计量、可追溯”的条件下跨组织流通；同时与中国国家数据基础设施标准（NDI-TR-2025） 对接，形成“平台＋连接器＋策略引擎”三层架构，支持数据目录发布、 信任根跨域扩展难度大 2、 高强度加密产生性能瓶颈 3、 数据主权与责任划分不清楚 4、 技术标准缺失 5、 数据定价与价值分配机制不健全 6、 安全管理与持续运维难度大 1、 可信身份与连接器管理 2、 数据使用控制与合约执行 3、 端到端加密与可信计算 4、 数据/算法可追溯与可审计 5、 语义互操作与目录编目 6、 跨空间协同与治理编排 1、 可信制造业供应链协同质检与预测性维护 （2）强合规：基于实名号卡与数字签名，确保用户身份及授权行为可验证、可追 溯、符合法规。 （3）可监管：依托区块链技术实现数据流通全链路存证溯源，满足多方透明监管 与审计需求。 （4）更便捷：提供移动认证能力，通过统一账号实现业务场景快速、灵活接入。 方案介绍： 中移数盾由中移互联网有限公司自主研发，针对个人数据要素流通场景提供身份认 证、数据资产汇聚、授权管理、存证溯源的个人数据空间解决方案。产品采用实名号卡、