信息化觀察網(wǎng)

“云計算的本質(zhì)是服務(wù)，如果不能將計算資源規(guī)?；?大范圍的進(jìn)行共享，如果不能真正以服務(wù)的形式提供，就根本算不上云計算。”

等級保護(hù)定級流程

定級是開展網(wǎng)絡(luò)安全等級保護(hù)工作的 “基本出發(fā)點(diǎn)”，虛擬化技術(shù)使得傳統(tǒng)的網(wǎng)絡(luò)邊界變得模糊，使得使用云計算技術(shù)的平臺/系統(tǒng)在定級時如何合理進(jìn)行邊界拆分顯得困難。

云計算等級保護(hù)對象的合理定級對云計算系統(tǒng)/平臺責(zé)任方在落實等級保護(hù)制度時有著決定性的作用。網(wǎng)絡(luò)安全等級保護(hù)2.0基本的定級流程如下圖：

網(wǎng)絡(luò)安全等級保護(hù)在定級過程中系統(tǒng)責(zé)任方自主定級，然后組織安全專家和業(yè)務(wù)專家對定級結(jié)果的合理性進(jìn)行評審，提供專家評審意見。

因此系統(tǒng)責(zé)任方應(yīng)基于業(yè)務(wù)情況、服務(wù)對象和自身信息系統(tǒng)建設(shè)實際情況進(jìn)行合理的定級。為保證定級的合理性，系統(tǒng)責(zé)任方需明確等級保護(hù)對象和安全保護(hù)級別。

1

云計算等級保護(hù)對象

在云計算環(huán)境下，等級保護(hù)對象可分為三類：

1) 云計算平臺

云服務(wù)商提供的云基礎(chǔ)設(shè)施及其上的服務(wù)層軟件的集合。云服務(wù)商可根據(jù)不同的云計算服務(wù)模式將云計算平臺劃分為不同的定級對象，如：云計算基礎(chǔ)服務(wù)平臺（IaaS平臺）、 云計算數(shù)據(jù)和開發(fā)平臺（PaaS平臺）以及云計算應(yīng)用服務(wù)平臺（SaaS平臺）。

云計算平臺類對象必須具備下列特征，否則不應(yīng)作為云計算平臺類等級保護(hù)對象：

2) 云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)

云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)包括云服務(wù)客戶部署在云計算平臺上的業(yè)務(wù)應(yīng)用和云服務(wù) 商為云服務(wù)客戶通過網(wǎng)絡(luò)提供的應(yīng)用服務(wù)。

云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)單獨(dú)作為定級對象。

3) 云計算技術(shù)構(gòu)建的業(yè)務(wù)應(yīng)用系統(tǒng)

業(yè)務(wù)應(yīng)用和為此業(yè)務(wù)應(yīng)用獨(dú)立提供底層云計算服務(wù)、硬件資源的集合，此類系統(tǒng)中 無云服務(wù)客戶。

云計算技術(shù)構(gòu)建的業(yè)務(wù)應(yīng)用系統(tǒng)單獨(dú)作為定級對象。

在云計算環(huán)境中，對云計算系統(tǒng)/平臺的定級大致可以分為下列幾類：

2

安全保護(hù)級別

網(wǎng)絡(luò)安全等級保護(hù)一共分為五個級別：第一級、第二級、第三級、第四級、第五級。 安全保護(hù)等級兩要素決定：等級保護(hù)對象受到破壞時所侵害的客體和對客體造成侵害的程度。

安全保護(hù)等級的確定具有一定的“客觀性”，由其自身所處理的業(yè)務(wù)數(shù)據(jù)和服務(wù)對象的重要程度決定。

常見的云計算定級場景：

A云服務(wù)商為云服務(wù)客戶B提供基礎(chǔ)設(shè)施服務(wù)（計算/網(wǎng)絡(luò)/存儲），B利用A提供的IaaS服務(wù)為用戶C提供SaaS服務(wù)。

此場景中：

A 云服務(wù)商的IaaS平臺為等級保護(hù)對象；

B 面向用戶提供SaaS服務(wù)，定級為云服務(wù)客戶業(yè)務(wù)系統(tǒng)B；

C 根據(jù)用戶場景進(jìn)行定級。