近日,華為云公有云平臺全體系(包括IaaS、PaaS、SaaS、運營系統(tǒng)、運維系統(tǒng)等)順利通過最新標準的商用密碼應用安全性評估(以下簡稱“密評”),符合密評標準第三級要求。
本次測評由國家密碼局授權的權威評估機構——信息產業(yè)信息安全測評中心,對華為云公有云平臺烏蘭、廣州等Region進行綜合測評,依據了國標GB/T39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》、GB/T 43206-2023《信息安全技術信息系統(tǒng)密碼應用測評要求》、《商用密碼應用安全性評估量化評估規(guī)則(2023版)》等要求,測評范圍涵蓋技術(物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據安全)和管理(管理制度、人員管理、建設運營、應急處置)多個層面。
密碼是保障網絡與信息安全的核心技術和基礎支撐,是解決網絡與信息安全問題最有效、最可靠、最經濟的手段。密碼如同網絡空間的安全DNA,可完整實現(xiàn)面向主體的身份認證及防抵賴、面向客體的機密性及完整保護,依此構筑起信息系統(tǒng)的安全基石。
近年來國家陸續(xù)出臺了《網絡安全法》、《密碼法》、《商用密碼管理條例》等一系列法律法規(guī),保障規(guī)范自主的商用密碼在關鍵信息基礎設施、重要信息系統(tǒng)等應用落地,切實守護網絡空間身份和數(shù)據安全、數(shù)字主權。本次評估旨在衡量采用商用密碼技術、產品的華為云公有云平臺在密碼應用方面的合規(guī)性、正確性和有效性。
華為云公有云平臺基于軟件密碼模塊及認證合格的密碼硬件設備,對機房、OS、中間件、IaaS/PaaS/DaaS/SaaS各類云服務、云運營系統(tǒng)、云運維系統(tǒng)等進行多方面商密建設,落地敏感數(shù)據存儲加密、鏈路傳輸加密、OS/服務等口令保護、敏感數(shù)據完整性保護、基于數(shù)字證書的用戶身份鑒別、統(tǒng)一密鑰管理及證書管理等功能,構建完善的商用密碼防護體系,在云平臺原生安全能力上做到“商密inside”,保障重點行業(yè)客戶的云平臺安全與合規(guī),提升云平臺自身內生安全防護,實現(xiàn)機密性、完整性、真實性、不可否認等安全目標。
同時華為云各類云服務基于內生密碼模塊及深度融合的密碼設備,在面向租戶服務的云服務數(shù)據面默認支持商密算法和各類密碼功能,為租戶提供“開箱即用”的存儲加密、傳輸加密、身份認證、專屬密碼服務能力,如云上各類存儲默認支持高性能的商密算法加密(包含塊存儲、對象存儲、文件存儲、數(shù)據庫存儲、大數(shù)據存儲、數(shù)據倉庫存儲等),使租戶應用部署華為云平臺時,可以免改造或輕改造,快速具備商密能力,滿足自身數(shù)據安全以及國家要求。
公有云平臺涵蓋大量組件,提供眾多云服務,云平臺的整體密碼改造不是單個組件和單個服務的數(shù)量乘積,需要從全局視角端到端統(tǒng)一規(guī)劃、設計,將各云服務、云運營系統(tǒng)、云運維系統(tǒng)、公共組件、密碼設備緊密結合組合成互相協(xié)同的精密架構。
華為云平臺經過深入分析、設計、開發(fā)、驗證完成了密碼改造,通過了技術方案評審、機房檢查、流量抓包、加密算法分析等測評驗證,符合了公有云平臺第三級密評標準要求,對商密在公有云平臺落地具有廣泛的示范意義。
本次華為云公有云平臺密評的順利通過并達到第三級密評標準要求,表明了華為云公有云平臺具備強密碼防護能力,可更好滿足業(yè)務系統(tǒng)上云后業(yè)務安全及合規(guī)要求。結合豐富的安全和各類云服務,華為云公有云將為廣大政企客戶的業(yè)務安全和合規(guī)建設提供強有力支撐和保障。