本次測(cè)評(píng)由國家密碼局授權(quán)的權(quán)威評(píng)估機(jī)構(gòu)——國家信息技術(shù)安全研究中心，依據(jù)國標(biāo)GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》、《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》、《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》等要求，對(duì)華為云Stack云平臺(tái)進(jìn)行綜合測(cè)評(píng)。測(cè)評(píng)范圍涵蓋密碼技術(shù)應(yīng)用、密鑰管理和安全管理制度等多個(gè)方面，最終結(jié)果滿足標(biāo)準(zhǔn)第3級(jí)測(cè)評(píng)要求。

　　2021年3月，國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786—2021），自2021年10月1日起實(shí)施。密評(píng)對(duì)象包括關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上的信息系統(tǒng)、國家政務(wù)信息系統(tǒng)。政企單位陸續(xù)開始展開商用密碼應(yīng)用安全性評(píng)估和整改工作，云平臺(tái)滿足密評(píng)要求成為政企上云剛需。

　　華為云Stack基于自研密碼模塊及認(rèn)證合格的密碼硬件設(shè)備，對(duì)OS、中間件、云服務(wù)、云管平臺(tái)等服務(wù)組件進(jìn)行多方面商密改造，落地敏感數(shù)據(jù)存儲(chǔ)加密、鏈路傳輸加密、OS/服務(wù)等口令保護(hù)、敏感數(shù)據(jù)完整性保護(hù)、基于數(shù)字證書的用戶身份鑒別、統(tǒng)一密鑰管理及證書管理等功能，構(gòu)建完善的商用密碼防護(hù)體系，在云平臺(tái)原生安全能力上做到 “商密inside”，保障重點(diǎn)行業(yè)客戶的云平臺(tái)安全與合規(guī)，提升云平臺(tái)自身內(nèi)生安全防護(hù)，實(shí)現(xiàn)機(jī)密性、完整性、真實(shí)性、不可否認(rèn)等安全目標(biāo)。

　　云平臺(tái)底層涵蓋大量組件，對(duì)上提供眾多云服務(wù)，云平臺(tái)的整體密碼改造難度不是單個(gè)組件和單個(gè)服務(wù)的數(shù)量乘積，而是需要端到端設(shè)計(jì)出從全局視角統(tǒng)一規(guī)劃，將各云服務(wù)、云管系統(tǒng)、遠(yuǎn)程運(yùn)維、公共組件、密碼設(shè)備緊密結(jié)合互相協(xié)同的精密架構(gòu)。

　　本次測(cè)評(píng)通過技術(shù)方案評(píng)審、機(jī)房現(xiàn)場流量抓包、加密算法分析等技術(shù)手段進(jìn)行了重復(fù)驗(yàn)證，對(duì)密評(píng)標(biāo)準(zhǔn)在云平臺(tái)落地應(yīng)用具有示范意義。

　　國密改造測(cè)評(píng)的順利通過，加強(qiáng)了華為云Stack云平臺(tái)及云服務(wù)的數(shù)據(jù)安全防護(hù)能力，滿足業(yè)務(wù)系統(tǒng)上云對(duì)數(shù)據(jù)機(jī)密性和完整性的合規(guī)要求。結(jié)合17+豐富的安全云服務(wù)和全棧全場景災(zāi)備，華為云Stack將為廣大政企客戶密評(píng)合規(guī)改造和等保三級(jí)提供有力支撐和保障。