通过！华为云Stack获得商用密码应用安全性评估认证

近日，华为云Stack顺利通过云产品商用密码应用安全性评估(以下简称密评)三级资格认证。本次测评由国家密码局授权的权威评估机构——国家信息技术安全研究中心，依据国标GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等要求，对华为云Stack云平台进行综合测评。测评范围涵盖密码技术应用、密钥管理和安全管理制度等多个方面，最终结果满足标准第3级测评要求。

2021年3月，国家市场监督管理总局、国家标准化管理委员会正式发布《信息安全技术 信息系统密码应用基本要求》（GB/T 39786—2021），自2021年10月1日起实施。密评对象包括关键信息基础设施、网络安全等级保护第三级及以上的信息系统、国家政务信息系统。政企单位陆续开始展开商用密码应用安全性评估和整改工作，云平台满足密评要求成为政企上云刚需。

华为云Stack基于自研密码模块及认证合格的密码硬件设备，对OS、中间件、云服务、云管平台等服务组件进行多方面商密改造，落地敏感数据存储加密、链路传输加密、OS/服务等口令保护、敏感数据完整性保护、基于数字证书的用户身份鉴别、统一密钥管理及证书管理等功能，构建完善的商用密码防护体系，在云平台原生安全能力上做到 “商密inside”，保障重点行业客户的云平台安全与合规，提升云平台自身内生安全防护，实现机密性、完整性、真实性、不可否认等安全目标。

云平台底层涵盖大量组件，对上提供众多云服务，云平台的整体密码改造难度不是单个组件和单个服务的数量乘积，而是需要端到端设计出从全局视角统一规划，将各云服务、云管系统、远程运维、公共组件、密码设备紧密结合互相协同的精密架构。本次测评通过技术方案评审、机房现场流量抓包、加密算法分析等技术手段进行了重复验证，对密评标准在云平台落地应用具有示范意义。

本次国密改造测评的顺利通过，加强了华为云Stack云平台及云服务的数据安全防护能力，满足业务系统上云对数据机密性和完整性的合规要求。结合17+丰富的安全云服务和全栈全场景灾备，华为云Stack将为广大政企客户密评合规改造和等保三级提供有力支撑和保障。