業(yè)界領(lǐng)先，華為云公有云全體系通過最新商用密碼應(yīng)用安全性評估

近日，華為云公有云平臺全體系（包括IaaS、PaaS、SaaS、運營系統(tǒng)、運維系統(tǒng)等）順利通過最新標(biāo)準(zhǔn)的商用密碼應(yīng)用安全性評估（以下簡稱“密評”），符合密評標(biāo)準(zhǔn)第三級要求。

本次測評由國家密碼局授權(quán)的權(quán)威評估機(jī)構(gòu)——信息產(chǎn)業(yè)信息安全測評中心，對華為云公有云平臺烏蘭、廣州等Region進(jìn)行綜合測評，依據(jù)了國標(biāo)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》、GB/T 43206-2023《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用測評要求》、《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2023版）》等要求，測評范圍涵蓋技術(shù)（物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全）和管理（管理制度、人員管理、建設(shè)運營、應(yīng)急處置）多個層面。

密碼是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，是解決網(wǎng)絡(luò)與信息安全問題最有效、最可靠、最經(jīng)濟(jì)的手段。密碼如同網(wǎng)絡(luò)空間的安全DNA,可完整實現(xiàn)面向主體的身份認(rèn)證及防抵賴、面向客體的機(jī)密性及完整保護(hù),依此構(gòu)筑起信息系統(tǒng)的安全基石。

近年來國家陸續(xù)出臺了《網(wǎng)絡(luò)安全法》、《密碼法》、《商用密碼管理條例》等一系列法律法規(guī)，保障規(guī)范自主的商用密碼在關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)等應(yīng)用落地，切實守護(hù)網(wǎng)絡(luò)空間身份和數(shù)據(jù)安全、數(shù)字主權(quán)。本次評估旨在衡量采用商用密碼技術(shù)、產(chǎn)品的華為云公有云平臺在密碼應(yīng)用方面的合規(guī)性、正確性和有效性。

華為云公有云平臺基于軟件密碼模塊及認(rèn)證合格的密碼硬件設(shè)備，對機(jī)房、OS、中間件、IaaS/PaaS/DaaS/SaaS各類云服務(wù)、云運營系統(tǒng)、云運維系統(tǒng)等進(jìn)行多方面商密建設(shè)，落地敏感數(shù)據(jù)存儲加密、鏈路傳輸加密、OS/服務(wù)等口令保護(hù)、敏感數(shù)據(jù)完整性保護(hù)、基于數(shù)字證書的用戶身份鑒別、統(tǒng)一密鑰管理及證書管理等功能，構(gòu)建完善的商用密碼防護(hù)體系，在云平臺原生安全能力上做到“商密inside”，保障重點行業(yè)客戶的云平臺安全與合規(guī)，提升云平臺自身內(nèi)生安全防護(hù)，實現(xiàn)機(jī)密性、完整性、真實性、不可否認(rèn)等安全目標(biāo)。

同時華為云各類云服務(wù)基于內(nèi)生密碼模塊及深度融合的密碼設(shè)備，在面向租戶服務(wù)的云服務(wù)數(shù)據(jù)面默認(rèn)支持商密算法和各類密碼功能，為租戶提供“開箱即用”的存儲加密、傳輸加密、身份認(rèn)證、專屬密碼服務(wù)能力，如云上各類存儲默認(rèn)支持高性能的商密算法加密（包含塊存儲、對象存儲、文件存儲、數(shù)據(jù)庫存儲、大數(shù)據(jù)存儲、數(shù)據(jù)倉庫存儲等），使租戶應(yīng)用部署華為云平臺時，可以免改造或輕改造，快速具備商密能力，滿足自身數(shù)據(jù)安全以及國家要求。

公有云平臺涵蓋大量組件，提供眾多云服務(wù)，云平臺的整體密碼改造不是單個組件和單個服務(wù)的數(shù)量乘積，需要從全局視角端到端統(tǒng)一規(guī)劃、設(shè)計，將各云服務(wù)、云運營系統(tǒng)、云運維系統(tǒng)、公共組件、密碼設(shè)備緊密結(jié)合組合成互相協(xié)同的精密架構(gòu)。

華為云平臺經(jīng)過深入分析、設(shè)計、開發(fā)、驗證完成了密碼改造，通過了技術(shù)方案評審、機(jī)房檢查、流量抓包、加密算法分析等測評驗證，符合了公有云平臺第三級密評標(biāo)準(zhǔn)要求，對商密在公有云平臺落地具有廣泛的示范意義。

本次華為云公有云平臺密評的順利通過并達(dá)到第三級密評標(biāo)準(zhǔn)要求，表明了華為云公有云平臺具備強(qiáng)密碼防護(hù)能力，可更好滿足業(yè)務(wù)系統(tǒng)上云后業(yè)務(wù)安全及合規(guī)要求。結(jié)合豐富的安全和各類云服務(wù)，華為云公有云將為廣大政企客戶的業(yè)務(wù)安全和合規(guī)建設(shè)提供強(qiáng)有力支撐和保障。