領(lǐng)跑企業(yè)級安全 阿里云專有云通過國內(nèi)首個商用密碼應(yīng)用安全性評估

5月17日消息,記者獲悉國內(nèi)首個針對云平臺的商用密碼應(yīng)用安全性評估(以下簡稱密評)結(jié)果出爐。阿里云憑借自研飛天云操作系統(tǒng)的全方位安全能力,成為國內(nèi)首家通過云平臺密評的云廠商,這意味著客戶在阿里云上能享受到更安全、合規(guī)的云服務(wù)。

據(jù)悉,本次評估依據(jù)國標(biāo)GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行,由國家密碼局授權(quán)的評估機(jī)構(gòu)(智慧云測)從密碼技術(shù)應(yīng)用、密鑰管理和安全管理制度等多個維度對阿里云專有云平臺進(jìn)行綜合測評,最終結(jié)果為滿足標(biāo)準(zhǔn)的第3級要求。

密碼是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐。隨著云計算的引入,很多信息系統(tǒng)遷移到云上,由此帶來了新的密碼應(yīng)用需求。

相較于單個應(yīng)用,云上客戶系統(tǒng)所依賴的云平臺涉及的產(chǎn)品和服務(wù)眾多,底層組件改造復(fù)雜,云平臺的整體密碼支撐能力不是單個產(chǎn)品或服務(wù)能力的簡單疊加,而是需要依賴全局架構(gòu)的精巧設(shè)計,在多個云服務(wù)層面完成數(shù)據(jù)全鏈路的機(jī)密性和完整性保護(hù)。因此,此次平臺級測評對整體架構(gòu)提出了更高的要求,對密評標(biāo)準(zhǔn)在云平臺落地應(yīng)用具有示范意義。

此次測評依據(jù)標(biāo)準(zhǔn)對阿里云專有云平臺密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行了全面的量化評估,通過流量抓包、加密算法分析等技術(shù)手段進(jìn)行了驗(yàn)證。

據(jù)悉,阿里云專有云全面支持國密算法,提供了平臺密鑰管理、平臺證書管理、平臺接入認(rèn)證管理三大系統(tǒng),用于云上密鑰的體系化管理及全生命周期管理,為用戶提供數(shù)據(jù)全鏈路加密、基于密碼技術(shù)的身份認(rèn)證等全方位的密碼能力支撐,有力保障政企數(shù)據(jù)安全。

作為支撐政企數(shù)字化轉(zhuǎn)型的技術(shù)基礎(chǔ)設(shè)施,阿里云專有云Apsara Stack已助力近700個客戶進(jìn)行數(shù)字化轉(zhuǎn)型,遍布政務(wù)、金融、能源、制造、交通等重要行業(yè)。中保車服就基于阿里云專有云構(gòu)建了保險行業(yè)災(zāi)備云服務(wù),實(shí)現(xiàn)RPO<30分鐘,RTO≤ 1小時,達(dá)到災(zāi)備5級建設(shè)標(biāo)準(zhǔn)和信息安全等保3級的安全標(biāo)準(zhǔn)。

通過本次評估,阿里云提升了專有云平臺及其云產(chǎn)品的合規(guī)能力,加強(qiáng)了云平臺的安全性,進(jìn)一步保障了云上業(yè)務(wù)系統(tǒng)的數(shù)據(jù)機(jī)密性和完整性,能夠?yàn)閺V大政企、金融客戶密評合規(guī)改造提供有力保障。

“阿里云一直重視密碼標(biāo)準(zhǔn)工作,密切關(guān)注密碼領(lǐng)域相關(guān)技術(shù)標(biāo)準(zhǔn)要求,并按照密評標(biāo)準(zhǔn)要求對云平臺進(jìn)行了持續(xù)、徹底的改造,使云平臺在底座架構(gòu)的關(guān)鍵數(shù)據(jù)鏈路上能夠符合密評標(biāo)準(zhǔn)要求。”阿里云專有云負(fù)責(zé)人謝寧表示。