近日,華為雲Stack順利透過雲產品商用密碼應用安全性評估(以下簡稱密評)三級資格認證。本次測評由國家密碼局授權的權威評估機構——國家資訊科技安全研究中心,依據國標GB/T 39786-2021《資訊保安技術資訊系統密碼應用基本要求》、《資訊系統密碼應用高風險判定指引》、《商用密碼應用安全性評估量化評估規則》等要求,對華為雲Stack雲平臺進行綜合測評。測評範圍涵蓋密碼技術應用、金鑰管理和安全管理制度等多個方面,最終結果滿足標準第3級測評要求。
2021年3月,國家市場監督管理總局、國家標準化管理委員會正式釋出《資訊保安技術 資訊系統密碼應用基本要求》(GB/T 39786—2021),自2021年10月1日起實施。密評物件包括關鍵資訊基礎設施、網路安全等級保護第三級及以上的資訊系統、國家政務資訊系統。政企單位陸續開始展開商用密碼應用安全性評估和整改工作,雲平臺滿足密評要求成為政企上雲剛需。
華為雲Stack基於自研密碼模組及認證合格的密碼硬體裝置,對OS、中介軟體、雲服務、雲管平臺等服務元件進行多方面商密改造,落地敏感資料儲存加密、鏈路傳輸加密、OS/服務等口令保護、敏感資料完整性保護、基於數字證書的使用者身份鑑別、統一金鑰管理及證書管理等功能,構建完善的商用密碼防護體系,在雲平臺原生安全能力上做到 “商密inside”,保障重點行業客戶的雲平臺安全與合規,提升雲平臺自身內生安全防護,實現機密性、完整性、真實性、不可否認等安全目標。
雲平臺底層涵蓋大量元件,對上提供眾多雲服務,雲平臺的整體密碼改造難度不是單個元件和單個服務的數量乘積,而是需要端到端設計出從全域性視角統一規劃,將各雲服務、雲管系統、遠端運維、公共元件、密碼裝置緊密結合互相協同的精密架構。本次測評透過技術方案評審、機房現場流量抓包、加密演算法分析等技術手段進行了重複驗證,對密評標準在雲平臺落地應用具有示範意義。
本次國密改造測評的順利透過,加強了華為雲Stack雲平臺及雲服務的資料安全防護能力,滿足業務系統上雲對資料機密性和完整性的合規要求。結合17+豐富的安全雲服務和全棧全場景災備,華為雲Stack將為廣大政企客戶密評合規改造和等保三級提供有力支撐和保障。
