财力、物力；  访客身份无法确认，导致可能事件发生无轨迹可查；  出入口必须有专人盯守；社区人员过多，专人无法识别是否为该小区身份，导 致进入管理漏洞；  非社区车辆进入小区乱停乱放，无法知晓车主身份。 人脸识别智慧社区管理方案 针对以上情况，十分有必要建立一个高科技、全面、人性化、智慧社区管理系 统： --- 采用人脸识别 /车牌识别的身份识别方式，安全、方便、卫生、不可代替 区时， 马上提醒或报警，通知相关人员；  将社区门禁管理升级为人脸识别门禁管理系统，采用刷身份证 + 人脸识别或单 独刷人脸识别的方式进出门禁，更为安全，不可代替；  将社区访客系统升级为人脸识别人证合一访客系统，对来访人员进行身份证验 证，并将身份证上的照片与实人比对，确认身份证主人身份，以防冒用他人身 份证进入社区；  将社区车辆出入管理系统升级为车牌自劢识别通行管理系统，只需登记外来 我们的解决方案 人脸识别智慧社区管理方案 为什么需要用人脸识别智慧化社区出入口和实名制访 客管理系统、黑名单布控系统？  通过人的脸部特征，准确、快速的辨识每一个人员，由此获得进 出社区的所有人员的身份信息；  采用人脸识别方式，比传统的刷卡、指纹模式有非常明显的优势， 如：不会出现卡丢失（忘带卡）、无法作假出入数据、无需触摸 机器等等；  人脸识别简单易用，适用范围广，无论是在出入口、或是走道、

习时强调“高质量发展需要新的生产力理论来指导”。传统的 ISO/OSI 等经典网络理论，虽然涵盖了联网设备之间，从物理连接、 数据传输、会话管理到应用服务的完整通信功能，但并未纳入网络用 户交互所需的身份识别、行为交互、数据解析等能力。针对当前互联 网在数据互联互通中面临的架构性与基础性瓶颈，本白皮书在参考借 鉴 OSI 网络七层模型的基础上，通过在网络传输层之上构建新型互 联协议，提出一种面向 七层模型虽然涵盖了物理连接、数据传 输、会话管理到应用服务的完整通信流程，但是受限于领域特定数据与网络公用 性的矛盾问题，传统的 ISO、TCP/IP 等经典网络理论主要定位在异构网络通信 层面，数据互联所需的身份识别、行为交互、数据语义解析等需求被当做应用层 问题由“客户端-平台（服务器）”交互模型解决。 2) 缺乏对数据的合理抽象 OSI 七层模型主要针对异构网络互联，这使得当前网络基础设施主要面向" 构互联网基础架构，实现去中心化的数字生态”。与 Web1.0（只读）、Web2.0 （读写+中心化平台）相比，Web3 强调： 面向 Web3.0 的数字实体互联白皮书 14 - 用户主权：个人拥有数据、身份和资产的完全控制权 - 去中心化协议：以区块链替代传统中心化平台作为信任基础 - 通证经济：通过加密货币和智能合约实现价值网络化 以太坊联合创始人 Gavin Wood 在 2014 年首次提出

目 录 页 安全计算环境 安全区域边界 安全通信网络 安全管理中心 一级系统安 全保护环境 用户身份鉴别、 自主访问控制、用 户数据完整性保护、恶意代码防范 包过滤、恶意代码 防范 数据传输完整性保 护 二级系统安 全保护环境 用户身份鉴别、 自主访问控制、系 统安全审计、用户数据完整性保护、 用户数据保密性保护、恶意代码防 范、客体安全重用 包过滤、安全审计、 完整性保护、恶意 代码防范 安全审计、数据传 输完整性保护、数 据传输保密性保护 系统管理、审计管 理 三级系统安 全保护环境 用户身份鉴别、 自主访问控制、标 记和强制访问控制、系统安全审计、 用户数据完整性保护、用户数据保 密性保护、客体安全重用、程序可 信执行保护 区域边界访问控制、 区域边界包过滤、 区域边界完整性保 护 安全审计、数据传 输完整性保护、数 据传输保密性保护、 可信接入保护 系统管理、安全管 理、审计管理 四级系统安 全保护环境 用户身份鉴别、 自主访问控制、标 记和强制访问控制、系统安全审计、 用户数据完整性保护、用户数据保 密性保护、客体安全重用、程序可 信执行保护 访问控制、包过滤、 安全审计、完整性

1 需求分析 AI 智能 + 人脸识别系统应用整体解决方案 过去 到店流量、提袋率 无法得到有效统计 人工难以辨认 费时费力、效率低下 未经授权擅自进入、使 用会议室等重要场所时 不明身份的人无 法得到有效甄别 大数据无从获取 运营者无从下手 上班忘记带卡、 双手抱满资料时的尴尬 AI 智能 + 人脸识别系统应用整体解决方案 随着我国社会不断发展、科技不断进步、人民工作、生 就是为了“提高管理效率，保证公共安全”。通过分级管理，设置管理层次，分配管理责任；通过权限管理，区分人员类 型，保证出入口安全；通过身份管理，规范身份管理制度，简化工作流程等。 人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术，它的唯一性和不易被复制的良好特性为身份 鉴别提供了必要的前提。而人脸识别系统就是把人脸识别技术与应用系统相结合，通过对人脸的识别作为开启的钥匙， 同时也作为出入 的接触性传染，既卫生，又安 全 唯一性 自然性好 易用性 非接触性 AI 智能 + 人脸识别系统应用整体解决方案 将人脸识别技术广泛应用于安防场景身份识别系统中，将 大大提高场所管控的安全性和可靠性，最大程度上降低通过身份 冒充而进入办公楼、公寓、社区等进行不法犯罪活动的可能性， 极大减少了安全系统中现存及潜在的技术漏洞、隐患和风险。同 时人脸的唯一性特征，从根源上杜绝了代打卡行为，规范了企业

全国 XX 身份认证与访问控制管理系统(PKI/PMI 系统) 作为 XX 信息化中重要的安全 基 础设施之一，解决了信息网警员用户管理、身份认证、应用授权和责任认定等方面长 期存 在的不安全、不统一、不便管理等问题， 突破了“信息孤岛”的壁垒， 实现了跨地区、 跨部门 的信息共享，促进了 XX 信息资源的高效应用，在保障 XX 信息化安全方面发挥了重 要作用。 按照《全国 XX 身份认证与访 2.1.2 用户安全准入 用户访问应用、云平台和云桌面必须经过身份管理中心认证，用户必须在身份管理中 心 中注册并形成数字化身份，数字证书是重要的身份属性， 身份管理基础设施要充分利用 现有 的 XX PKI 基础设施和信任根， 为每个用户签发数字证书，该数字证书能够唯一标识一个合 法用户身份。 证书验证根据不同的身份对象有所差异，人员证书的验证发生在用户登录过程， 由身 份 管理中心完成， 管理中心完成， 证书验证需验证证书的合法性和有效性。 信息网用户准入，用户以持有 USB-KEY 的方式代表其拥有合法身份，用户认证的时 候， 需要将该 USB-KEY 插入 PC 终端的 USB 端口， 并由身份管理中心完成用户的准入认证。 2.1.3 终端安全准入 信息网中存在大量的终端设备(PC 终端、哑终端等) ，这些终端的安全状况，直接 影响 了信息网的整体安全状况。比如哑终端设备，

中国移动通信集团设计院有限公司规划所副所长 杨 林 中关村安信网络身份认证产业联盟副理事长兼秘 书长 姚辉亚 深圳前海微众银行股份有限公司数字金融发展部 负责人 成员： 国家信息中心：马潮江、王丹丹、陈栩、戴彧、涂菲菲、 徐凌验、张岳 中国移动通信集团设计院有限公司：郎晓夫、尚茹南、洪 子鸣 北京红枣科技有限公司：刘国栋、马晓军 中关村安信网络身份认证产业联盟：郝久月、国伟、蔡国 城、李頔、吴瑶 产 和居民生活提供公共数据流通利用服务，属于数据基础设施范 畴。 “可信”是可信数据空间的关键特征，分别体现为用户身份可 信、数据流通可信、收益机制可信。 “用户身份可信”是整个体系的基石，通过严格的身份验证与 信用评估机制，确保参与可信数据空间活动的用户身份真实、 行为合规，营造安全可靠的数据交互环境，让用户放心参与数 据的共享与协作。 “数据流通可信”是数据在可信数据空间内安全有序流通的根 一是作为数据流通交互平台。不同机构之间的数据资源往 往存在差异，且由于数据安全、隐私保护等原因，机构之间的 数据共享、交互、交易面临诸多困难。可信数据空间通过区块 链等技术手段，建立一套共识规则和安全可靠的身份认证、访 问控制机制，确保数据的真实性、完整性和不可篡改性，同时 明确数据的持有权和使用权，为数据资源的交互双方提供了一 个安全、可靠的环境，实现不同主体之间数据的安全、便捷共 享和交互。

安全体系设计思路 设计思路说明 以基础信息网络与承载的信息系统、数据为保护对象； 以一个中心、三重防护的要求，构建满足等级保护 2.0 要求的技术能力； 以体系化设计思路，按照基础架构安全、动态身份安全、 纵深防御体系、全生命周期防护等实际安全需求，进行 安全技术体系规划设计； 以自适应的安全架构为目标，构建持续改进的安全运营 体系，在安全运营过程中实现安全技术体系的持续优化 完善； 防水和防潮 温湿度控制 电力供应 物理位置选择 防静电 电磁防护 通信传输 可信验证 网络架构 边界防护 可信验证 访问控制 安全审计 入侵防范 恶意代码和垃圾邮件 防范 入侵防范 数据完整性 身份鉴别 恶意代码防范 数据备份恢复 可信验证 访问控制 个人信息保护 剩余信息保护 安全审计 数据保密性 系统管理 审计管理 安全管理 集中管控 安全策略 制定和发布 评审和修订 岗位设置 板 原始数据 消息中心 第三方日志 接入 设备日志 19 BG 即领域 基 础 设 施 安 全 层 IT 系统（办公网络） 环境 身份安全 事业部 大数据 安全层 场景 业务 安全层 数据安全 子公司 网络探针事业部 身份安全业务部 13. 区 块链安 全 14.AI 安全 1 终 端 安 全 B G 天擎事业部 终端国产化事业部 准入合规事业部 移动安全事业部

安全信息通报中心通报：淮南职业技术学院系统存在高危漏洞，系统存储的 4000 余名学生身份信息已经造成泄露。经查，确认淮南职业技术学院招生信息管理系统 存在越权漏洞，后台登录密码弱口令，学院未落实网络安全管理制度，未建立网络 安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和 加密措施，致使系统存储的 4353 名学生的身份信息泄露。 2017 年 10 月 12 日 , 安徽省淮 安徽省淮南市网警巡查执法官方微博发布通报称，关于淮 南职业技术学院未落实网络安全等级保护制度，导致 4000 余名学生身份信息泄露 一事，淮南市公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。 执法机构：淮南市公安局网安支队 处罚行为：淮南职业技术学院招生信息管理系统存在越权漏洞，后台登录密码弱口 令，未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于 六个月，未 电力供应 电磁防护 安全通信网络 网络架构 通信传输 可信验证 安全区域边 界 边界防护 访问控制 入侵防范 恶意代码和垃圾 邮件防范 安全审计 可信验证 安全计算环境 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息安全 安全管理中 心 系统管理 审计管理 安全管理

备、系统管理软件、 主机操作系统、数据库管理系统、业务应用系统、数据资源、管理制 度】等具体对象实施了测评。通过测评发现，在安全技术方面具备【网 络结构冗余、区域边界隔离、边界访问控制、双因子身份鉴别、账户权 限控制、操作日志审计、入侵检测、恶意代码查杀、设备冗余部署、数 据定期备份】等安全技术措施。在安全管理方面【制定了信息安全管理 体系及相关制度和流程，具备实施记录，组建了安全运维团队】。 患 XX 项，截止报告发布日期，已完成整改 XX 项，剩余 XX 项未整改。本次测评过 程中发现的重大风险隐患及整改建议如下： （1）存在空口令、弱口令、通用口令或无身份鉴别措施，导致非授权人员可直 接访问系统，造成身份冒用、恶意篡改或窃取重要数据等严重后果。 整改建议：为每个可登录的账户设置符合要求的口令，禁用或删除弱口令账户； 设置的口令长度应不低于 8 位，并由大小写字母、特殊字符和数字无规律排列 【2025 版】 3.4.3 服务器和终端 3.4.3.1 已有安全控制措施汇总分析 【参考示例】 在服务器和终端方面采取了以下安全措施： 在身份鉴别方面，采用用户名和口令的方式登录操作系统，对登录的用户进行 身份标识和鉴别，身份标识为用户名，具有唯一性。口令信息每 90 天更换一次， 由大小写字母、数字和特殊符号组成。启用登录失败处理功能，采用加密通信 技术。 在访问控制方面

全管理平台、网络型流量控制产品、负载均衡产品、抗拒绝服务攻击产品、终端接入控制产品、 USB 移动存储介质管理系统、文件加密产品、数据泄露防护产品、安全配置检查产品、运维安 全管理产品、日志分析产品、身份鉴别产品、终端安全监测产品、电子文档安全管理产品等 19 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 中国网络安全产业联盟 ..............................................................................................494 身份鉴别产品 北京数字认证股份有限公司................................................................................. 抗拒绝服务攻击产品 用于识别和拦截拒绝服务攻击、保障系统可用性的产品。 24 终端接入控制产品 提供对接入网络的终端进行访问控制功能的产品。 25 USB 移动存储介质管理 系统 对移动存储设备采取身份认证、访问控制、审计机制等管理手段 , 实现 移动存储设备与主机设备之间可信访问的产品。 26 文件加密产品 用于防御攻击者窃取以文件等形式存储的数据、保障存储数据安全的 产品。 27 数据泄露防护产品