業(yè)界領(lǐng)先，華為云公有云全體系通過(guò)最新商用密碼應(yīng)用安全性評(píng)估

近日，華為云公有云平臺(tái)全體系（包括IaaS、PaaS、SaaS、運(yùn)營(yíng)系統(tǒng)、運(yùn)維系統(tǒng)等）順利通過(guò)最新標(biāo)準(zhǔn)的商用密碼應(yīng)用安全性評(píng)估（以下簡(jiǎn)稱“密評(píng)”），符合密評(píng)標(biāo)準(zhǔn)第三級(jí)要求。

本次測(cè)評(píng)由國(guó)家密碼局授權(quán)的權(quán)威評(píng)估機(jī)構(gòu)——信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心，對(duì)華為云公有云平臺(tái)烏蘭、廣州等Region進(jìn)行綜合測(cè)評(píng)，依據(jù)了國(guó)標(biāo)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》、GB/T 43206-2023《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》、《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2023版）》等要求，測(cè)評(píng)范圍涵蓋技術(shù)（物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全）和管理（管理制度、人員管理、建設(shè)運(yùn)營(yíng)、應(yīng)急處置）多個(gè)層面。

密碼是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，是解決網(wǎng)絡(luò)與信息安全問(wèn)題最有效、最可靠、最經(jīng)濟(jì)的手段。密碼如同網(wǎng)絡(luò)空間的安全DNA,可完整實(shí)現(xiàn)面向主體的身份認(rèn)證及防抵賴、面向客體的機(jī)密性及完整保護(hù),依此構(gòu)筑起信息系統(tǒng)的安全基石。

近年來(lái)國(guó)家陸續(xù)出臺(tái)了《網(wǎng)絡(luò)安全法》、《密碼法》、《商用密碼管理?xiàng)l例》等一系列法律法規(guī)，保障規(guī)范自主的商用密碼在關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)等應(yīng)用落地，切實(shí)守護(hù)網(wǎng)絡(luò)空間身份和數(shù)據(jù)安全、數(shù)字主權(quán)。本次評(píng)估旨在衡量采用商用密碼技術(shù)、產(chǎn)品的華為云公有云平臺(tái)在密碼應(yīng)用方面的合規(guī)性、正確性和有效性。

華為云公有云平臺(tái)基于軟件密碼模塊及認(rèn)證合格的密碼硬件設(shè)備，對(duì)機(jī)房、OS、中間件、IaaS/PaaS/DaaS/SaaS各類云服務(wù)、云運(yùn)營(yíng)系統(tǒng)、云運(yùn)維系統(tǒng)等進(jìn)行多方面商密建設(shè)，落地敏感數(shù)據(jù)存儲(chǔ)加密、鏈路傳輸加密、OS/服務(wù)等口令保護(hù)、敏感數(shù)據(jù)完整性保護(hù)、基于數(shù)字證書(shū)的用戶身份鑒別、統(tǒng)一密鑰管理及證書(shū)管理等功能，構(gòu)建完善的商用密碼防護(hù)體系，在云平臺(tái)原生安全能力上做到“商密inside”，保障重點(diǎn)行業(yè)客戶的云平臺(tái)安全與合規(guī)，提升云平臺(tái)自身內(nèi)生安全防護(hù)，實(shí)現(xiàn)機(jī)密性、完整性、真實(shí)性、不可否認(rèn)等安全目標(biāo)。

同時(shí)華為云各類云服務(wù)基于內(nèi)生密碼模塊及深度融合的密碼設(shè)備，在面向租戶服務(wù)的云服務(wù)數(shù)據(jù)面默認(rèn)支持商密算法和各類密碼功能，為租戶提供“開(kāi)箱即用”的存儲(chǔ)加密、傳輸加密、身份認(rèn)證、專屬密碼服務(wù)能力，如云上各類存儲(chǔ)默認(rèn)支持高性能的商密算法加密（包含塊存儲(chǔ)、對(duì)象存儲(chǔ)、文件存儲(chǔ)、數(shù)據(jù)庫(kù)存儲(chǔ)、大數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)倉(cāng)庫(kù)存儲(chǔ)等），使租戶應(yīng)用部署華為云平臺(tái)時(shí)，可以免改造或輕改造，快速具備商密能力，滿足自身數(shù)據(jù)安全以及國(guó)家要求。

公有云平臺(tái)涵蓋大量組件，提供眾多云服務(wù)，云平臺(tái)的整體密碼改造不是單個(gè)組件和單個(gè)服務(wù)的數(shù)量乘積，需要從全局視角端到端統(tǒng)一規(guī)劃、設(shè)計(jì)，將各云服務(wù)、云運(yùn)營(yíng)系統(tǒng)、云運(yùn)維系統(tǒng)、公共組件、密碼設(shè)備緊密結(jié)合組合成互相協(xié)同的精密架構(gòu)。

華為云平臺(tái)經(jīng)過(guò)深入分析、設(shè)計(jì)、開(kāi)發(fā)、驗(yàn)證完成了密碼改造，通過(guò)了技術(shù)方案評(píng)審、機(jī)房檢查、流量抓包、加密算法分析等測(cè)評(píng)驗(yàn)證，符合了公有云平臺(tái)第三級(jí)密評(píng)標(biāo)準(zhǔn)要求，對(duì)商密在公有云平臺(tái)落地具有廣泛的示范意義。

本次華為云公有云平臺(tái)密評(píng)的順利通過(guò)并達(dá)到第三級(jí)密評(píng)標(biāo)準(zhǔn)要求，表明了華為云公有云平臺(tái)具備強(qiáng)密碼防護(hù)能力，可更好滿足業(yè)務(wù)系統(tǒng)上云后業(yè)務(wù)安全及合規(guī)要求。結(jié)合豐富的安全和各類云服務(wù)，華為云公有云將為廣大政企客戶的業(yè)務(wù)安全和合規(guī)建設(shè)提供強(qiáng)有力支撐和保障。