近日,華爲雲公有雲平台全體(tǐ)系(包括IaaS、PaaS、SaaS、運營系統、運維系統等)順利通過最新标準的商(shāng)用密碼應用安全性評估(以下(xià)簡稱“密評”),符合密評标準第三級要求。
本次測評由國家密碼局授權的權威評估機構——信息産業信息安全測評中(zhōng)心,對華爲雲公有雲平台烏蘭、廣州等Region進行綜合測評,依據了國标GB/T39786-2021《信息安全技術 信息系統密碼應用基本要求》、GB/T 43206-2023《信息安全技術 信息系統密碼應用測評要求》、《商(shāng)用密碼應用安全性評估量化評估規則(2023版)》等要求,測評範圍涵蓋技術(物(wù)理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全)和管理(管理制度、人員(yuán)管理、建設運營、應急處置)多個層面。
密碼是保障網絡與信息安全的核心技術和基礎支撐,是解決網絡與信息安全問題最有效、最可靠、最經濟的手段。密碼如同網絡空間的安全DNA,可完整實現面向主體(tǐ)的身份認證及防抵賴、面向客體(tǐ)的機密性及完整保護,依此構築起信息系統的安全基石。
近年來國家陸續出台了《網絡安全法》、《密碼法》、《商(shāng)用密碼管理條例》等一(yī)系列法律法規,保障規範自主的商(shāng)用密碼在關鍵信息基礎設施、重要信息系統等應用落地,切實守護網絡空間身份和數據安全、數字主權。本次評估旨在衡量采用商(shāng)用密碼技術、産品的華爲雲公有雲平台在密碼應用方面的合規性、正确性和有效性。
華爲雲公有雲平台基于軟件密碼模塊及認證合格的密碼硬件設備,對機房、OS、中(zhōng)間件、IaaS/PaaS/DaaS/SaaS各類雲服務、雲運營系統、雲運維系統等進行多方面商(shāng)密建設,落地敏感數據存儲加密、鏈路傳輸加密、OS/服務等口令保護、敏感數據完整性保護、基于數字證書(shū)的用戶身份鑒别、統一(yī)密鑰管理及證書(shū)管理等功能,構建完善的商(shāng)用密碼防護體(tǐ)系,在雲平台原生(shēng)安全能力上做到“商(shāng)密inside”,保障重點行業客戶的雲平台安全與合規,提升雲平台自身内生(shēng)安全防護,實現機密性、完整性、真實性、不可否認等安全目标。
同時華爲雲各類雲服務基于内生(shēng)密碼模塊及深度融合的密碼設備,在面向租戶服務的雲服務數據面默認支持商(shāng)密算法和各類密碼功能,爲租戶提供“開(kāi)箱即用”的存儲加密、傳輸加密、身份認證、專屬密碼服務能力,如雲上各類存儲默認支持高性能的商(shāng)密算法加密(包含塊存儲、對象存儲、文件存儲、數據庫存儲、大(dà)數據存儲、數據倉庫存儲等),使租戶應用部署華爲雲平台時,可以免改造或輕改造,快速具備商(shāng)密能力,滿足自身數據安全以及國家要求。
公有雲平台涵蓋大(dà)量組件,提供衆多雲服務,雲平台的整體(tǐ)密碼改造不是單個組件和單個服務的數量乘積,需要從全局視角端到端統一(yī)規劃、設計,将各雲服務、雲運營系統、雲運維系統、公共組件、密碼設備緊密結合組合成互相協同的精密架構。
華爲雲平台經過深入分(fēn)析、設計、開(kāi)發、驗證完成了密碼改造,通過了技術方案評審、機房檢查、流量抓包、加密算法分(fēn)析等測評驗證,符合了公有雲平台第三級密評标準要求,對商(shāng)密在公有雲平台落地具有廣泛的示範意義。
本次華爲雲公有雲平台密評的順利通過并達到第三級密評标準要求,表明了華爲雲公有雲平台具備強密碼防護能力,可更好滿足業務系統上雲後業務安全及合規要求。結合豐富的安全和各類雲服務,華爲雲公有雲将爲廣大(dà)政企客戶的業務安全和合規建設提供強有力支撐和保障。
