国内首家云平台！阿里云专有云通过商用密码应用安全性评估

5月17日消息,记者获悉国内首个针对云平台的商用密码应用安全性评估(以下简称密评)结果出炉。阿里云凭借自研飞天云操作系统的全方位安全能力,成为国内首家通过云平台密评的云厂商,这意味着客户在阿里云上能享受到更安全、合规的云服务。

据悉,本次评估依据国标GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》进行,由国家密码局授权的评估机构(智慧云测)从密码技术应用、密钥管理和安全管理制度等多个维度对阿里云专有云平台进行综合测评,最终结果为满足标准的第3级要求。

密码是保障网络与信息安全的核心技术和基础支撑。随着云计算的引入,很多信息系统迁移到云上,由此带来了新的密码应用需求。

相较于单个应用,云上客户系统所依赖的云平台涉及的产品和服务众多,底层组件改造复杂,云平台的整体密码支撑能力不是单个产品或服务能力的简单叠加,而是需要依赖全局架构的精巧设计,在多个云服务层面完成数据全链路的机密性和完整性保护。因此,此次平台级测评对整体架构提出了更高的要求,对密评标准在云平台落地应用具有示范意义。

此次测评依据标准对阿里云专有云平台密码应用的合规性、正确性、有效性进行了全面的量化评估,通过流量抓包、加密算法分析等技术手段进行了验证。

据悉,阿里云专有云全面支持国密算法,提供了平台密钥管理、平台证书管理、平台接入认证管理三大系统,用于云上密钥的体系化管理及全生命周期管理,为用户提供数据全链路加密、基于密码技术的身份认证等全方位的密码能力支撑,有力保障政企数据安全。

作为支撑政企数字化转型的技术基础设施,阿里云专有云Apsara Stack已助力近700个客户进行数字化转型,遍布政务、金融、能源、制造、交通等重要行业。中保车服就基于阿里云专有云构建了保险行业灾备云服务,实现RPO<30分钟,RTO≤ 1小时,达到灾备5级建设标准和信息安全等保3级的安全标准。

通过本次评估,阿里云提升了专有云平台及其云产品的合规能力,加强了云平台的安全性,进一步保障了云上业务系统的数据机密性和完整性,能够为广大政企、金融客户密评合规改造提供有力保障。

“阿里云一直重视密码标准工作,密切关注密码领域相关技术标准要求,并按照密评标准要求对云平台进行了持续、彻底的改造,使云平台在底座架构的关键数据链路上能够符合密评标准要求。”阿里云专有云负责人谢宁表示。