云计算的本质是服务。如果计算资源不能大规模、大规模地共享,不能真正以服务的形式提供,那根本就不是云计算。分级保护分级过程分级是实施网络安全分级保护的“基本出发点”。虚拟化技术模糊了传统的网络边界,使得采用云计算技术的平台/系统在分级时难以合理拆解边界。点显得困难。云计算等级保护对象的合理分级对于云计算系统/平台责任方等级保护制度的落实具有决定性作用。网络安全分级防护2.0的基本定级流程如下图所示:网络安全分级防护2.0在定级过程中为网络安全运营商提供自主定级,并组织安全专家和业务专家对定级结果的合理性进行审核,并提供专家评审意见。一般的专家评审流程如下:分级保护对象的责任主体(网络安全运营商)对分级对象进行说明;分别从评级依据、独立评级过程、初步认定等向评审专家报告等级保护对象的评级情况等级概况、各信息系统的系统描述、风险重点、业务信息安全和系统服务安全等;在听取了等级保护对象拟定等级的汇报后,专家们进行了讨论和提问,最终形成了等级分级表的审查意见,现场打印并由专家签字,专家审查工作完成。网络运营者在对保护对象进行分级时,应当根据系统业务情况、服务对象和自身信息系统建设的实际情况,进行合理分级。为保证分级的合理性,系统责任方首先需要明确保护对象和安全保护级别。云计算等级保护对象在云计算环境中,等级保护对象可以分为三类:(1)云计算平台云服务提供商提供的云基础设施及其上的服务层软件的组合。云服务提供商可以根据不同的云计算服务模式将云计算平台划分为不同的分级对象,如:云计算基础服务平台(IaaS平台)、云计算数据与开发平台(PaaS平台)、云计算应用服务平台(SaaS平台)。在分级保护中明确分级保护对象是否适用云扩展要求时,首先要保证云计算平台类对象必须具备以下特征,否则不应视为云计算平台类类保护对象:(2)云服务客户业务应用系统云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务提供商为云服务客户提供的应用服务。通过网络。云服务客户业务应用系统单独作为评分对象。(三)利用云计算技术构建的业务应用系统业务应用以及为该业务应用独立提供的底层云计算服务和硬件资源的组合。此类系统中没有云服务客户。以云计算技术构建的业务应用系统单独作为评分对象。在云计算环境中,云计算系统/平台的分级大致可以分为以下几类:安全防护等级网络安全防护等级分为五个等级:一级、二级、三级、四级、五年级。安全保护的级别由两个要素决定:该级别的保护对象被破坏时所侵犯的对象和对该对象造成的侵犯程度。安全保护级别的确定具有一定的“客观性”,由其处理的业务数据和服务对象的重要性决定。即:侵权的对象;违反客体的程度。分级对象的安全主要包括业务信息安全和系统服务安全,相关的受害人和对对象的侵害程度可能不同。因此,安全防护等级还应由业务信息安全(S)和系统服务安全(A)两方面来确定。业务信息安全级别根据业务信息的重要性和破坏后的危害性确定;系统服务安全级别根据系统服务的重要性和被破坏后的危害性确定;具体判定方法根据以下矩阵判断:业务信息安全安全级别和系统服务安全级别后,两者中较高级别确定保护对象的安全级别,如:业务信息安全:第二级,系统服务:第三级,最后的保护级别为:Level3;业务信息安全:4级,系统服务:3级,最终防护等级:4级;企业信息安全:3级,系统服务:3级,最终防护等级为:第三级。常见的云计算定级场景:A云服务商为云服务客户B提供基础设施服务(计算/网络/存储),常见的A为阿里云、华为云、电信云等公有云厂商。集团或大型企业B,在购买公有云服务商A的基础资源后,使用A提供的IaaS服务为用户C提供SaaS服务,SaaS应用系统的安全责任主体为B。C可能是个人用户,或B的分支机构或服务个体。在该场景中:云服务提供商的IaaS平台为等级保护对象;B为用户提供SaaS服务,被评为云服务客户业务系统B;C根据用户场景进行分级。如果是B的分支机构或其他企业用户,数据安全的责任主体是C,此时C需要对业务应用进行评级,级别不得高于B为业务确定的安全级别系统。注:实际对云计算平台/系统进行分级时,需要合理区分SaaS云计算平台和SaaS云服务客户系统。
