近日,华为云Stack顺利通过云产品商用密码应用安全性评估(以下简称密评)三级资格认证。本次测评由国家密码局授权的权威评估机构——国家信息技术安全研究中心,依据国标GB/T39786-2021《信息安全技术信息系统密码应用基本要求》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等要求,对华为云Stack云平台进行综合测评。测评范围涵盖密码技术应用、密钥管理和安全管理制度等多个方面,最终结果满足标准第3级测评要求。
2021年3月,国家市场监督管理总局、国家标准化管理委员会正式发布《信息安全技术信息系统密码应用基本要求》(GB/T39786—2021),自2021年10月1日起实施。密评对象包括关键信息基础设施、网络安全等级保护第三级及以上的信息系统、国家政务信息系统。政企单位陆续开始展开商用密码应用安全性评估和整改工作,云平台满足密评要求成为政企上云刚需。
华为云Stack基于自研密码模块及认证合格的密码硬件设备,对OS、中间件、云服务、云管平台等服务组件进行多方面商密改造,落地敏感数据存储加密、链路传输加密、OS/服务等口令保护、敏感数据完整性保护、基于数字证书的用户身份鉴别、统一密钥管理及证书管理等功能,构建完善的商用密码防护体系,在云平台原生安全能力上做到“商密inside”,保障重点行业客户的云平台安全与合规,提升云平台自身内生安全防护,实现机密性、完整性、真实性、不可否认等安全目标。
云平台底层涵盖大量组件,对上提供众多云服务,云平台的整体密码改造难度不是单个组件和单个服务的数量乘积,而是需要端到端设计出从全局视角统一规划,将各云服务、云管系统、远程运维、公共组件、密码设备紧密结合互相协同的精密架构。本次测评通过技术方案评审、机房现场流量抓包、加密算法分析等技术手段进行了重复验证,对密评标准在云平台落地应用具有示范意义。
本次国密改造测评的顺利通过,加强了华为云Stack云平台及云服务的数据安全防护能力,满足业务系统上云对数据机密性和完整性的合规要求。结合17+丰富的安全云服务和全栈全场景灾备,华为云Stack将为广大政企客户密评合规改造和等保三级提供有力支撑和保障。