本次測評由國家密碼局授權(quán)的權(quán)威評估機構(gòu)——國家信息技術(shù)安全研究中心，依據(jù)國標GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》、《信息系統(tǒng)密碼應(yīng)用高風險判定指引》、《商用密碼應(yīng)用安全性評估量化評估規(guī)則》等要求，對華為云Stack云平臺進行綜合測評。測評范圍涵蓋密碼技術(shù)應(yīng)用、密鑰管理和安全管理制度等多個方面，最終結(jié)果滿足標準第3級測評要求。

　　2021年3月，國家市場監(jiān)督管理總局、國家標準化管理委員會正式發(fā)布《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786—2021），自2021年10月1日起實施。密評對象包括關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級及以上的信息系統(tǒng)、國家政務(wù)信息系統(tǒng)。政企單位陸續(xù)開始展開商用密碼應(yīng)用安全性評估和整改工作，云平臺滿足密評要求成為政企上云剛需。

　　華為云Stack基于自研密碼模塊及認證合格的密碼硬件設(shè)備，對OS、中間件、云服務(wù)、云管平臺等服務(wù)組件進行多方面商密改造，落地敏感數(shù)據(jù)存儲加密、鏈路傳輸加密、OS/服務(wù)等口令保護、敏感數(shù)據(jù)完整性保護、基于數(shù)字證書的用戶身份鑒別、統(tǒng)一密鑰管理及證書管理等功能，構(gòu)建完善的商用密碼防護體系，在云平臺原生安全能力上做到 “商密inside”，保障重點行業(yè)客戶的云平臺安全與合規(guī)，提升云平臺自身內(nèi)生安全防護，實現(xiàn)機密性、完整性、真實性、不可否認等安全目標。

　　云平臺底層涵蓋大量組件，對上提供眾多云服務(wù)，云平臺的整體密碼改造難度不是單個組件和單個服務(wù)的數(shù)量乘積，而是需要端到端設(shè)計出從全局視角統(tǒng)一規(guī)劃，將各云服務(wù)、云管系統(tǒng)、遠程運維、公共組件、密碼設(shè)備緊密結(jié)合互相協(xié)同的精密架構(gòu)。

　　本次測評通過技術(shù)方案評審、機房現(xiàn)場流量抓包、加密算法分析等技術(shù)手段進行了重復(fù)驗證，對密評標準在云平臺落地應(yīng)用具有示范意義。

　　國密改造測評的順利通過，加強了華為云Stack云平臺及云服務(wù)的數(shù)據(jù)安全防護能力，滿足業(yè)務(wù)系統(tǒng)上云對數(shù)據(jù)機密性和完整性的合規(guī)要求。結(jié)合17+豐富的安全云服務(wù)和全棧全場景災(zāi)備，華為云Stack將為廣大政企客戶密評合規(guī)改造和等保三級提供有力支撐和保障。