伴随着《网络安全法》的出台,层级保护体系上升到法律层面。与以往对MLPS的要求相比,MLPS2.0就是在这样的背景下产生的,在分级保护的对象、保护内容、保护体系等方面都有很大的不同。当然,云保护并不是什么新鲜事物,而是原有框架下的一种扩展需求。云等级保护的各个环节与传统等级保护相同,包括定级、备案、施工整改、评估、监督检查等,因此只需对原有等级保护相关的具体内容进行扩充和统一工作。传统信息系统的网络架构随着业务的变化而变化,系统各组成部分的功能与硬件紧密耦合,在安全防护上强调区域防御和纵深防御。直观来说,就像铁路局管理一个路段一样,信息系统通常以物理网络或安全设备的边界来划分。然而,云计算系统的网络架构是扁平的,业务应用系统与硬件平台松耦合,就像航空运输一样。如果简单地以物理网络或安全设备为边界划分信息系统,将无法体现业务应用系统的逻辑关系,无法保证业务信息和系统的安全服务。航空公司也不行。云计算系统边界划分云计算系统边界划分的基本场景包括两类:第一类:存在业务应用不独占硬件物理资源或者硬件物理资源上运行的基础服务系统为所有业务应用共享的情况.评级系统的边界应绘制在虚拟边界处。这个虚拟边界是第一层用来运行业务应用的专属虚拟资源,通常是虚拟机。如下图所示:上图场景中有3个业务应用。通过对业务应用的梳理,业务应用1单独成为一个评分系统,业务应用2和业务应用3形成另一个评分系统。这两个评级系统共享底层服务,所以我们把底层服务和硬件一起看成一个评级系统C,即云计算平台。评级系统A和评级系统B是承载在云平台上的业务应用系统。第二种场景:业务应用对应的系统模块,底层服务和硬件资源相对独立,因此可以将整个系统边界划分为硬件物理设备,确定两个评级体系,如下图所示。如果这个场景对应一个对外提供服务的云计算系统,那么评级系统A就是一个使用云计算技术的应用系统,系统B就是另一个使用云计算技术的应用系统。同样的,我们仍然可以将场景1嵌套在评级系统B上,此时评级系统B的云计算平台将承载更多的业务应用系统。云保障的分担责任和分级在评估云计算系统时,应同时满足通用安全要求和云计算安全扩展要求的相关要求。在这个过程中,根据云上系统的不同责任分担,需要拆分云计算的通用安全需求和安全扩展需求,云服务提供商和云服务客户根据需求采取相应的安全防护措施。要求。这个时候,我们要考虑几个因素。首先要判断被测系统是云计算平台还是业务应用系统。其次,确定被测系统使用哪种服务模型,确定保护责任。在确定了服务商和客户各自的保护责任后,在评级过程中需要注意以下四点:云计算平台的安全保护等级不应低于其业务系统的安全保护等级原则上携带。国家关键信息基础设施(重要云计算平台)安全防护等级不低于三级。在云计算环境中,云资源平台应作为单独的评级对象,云租户侧的等级保护对象也应作为单独的评级对象进行评级。对于大型云计算平台,云计算基础设施及相关辅助服务系统应划分为不同的评级对象。云保护备案方式与传统企业IT基础设施、运维所在地、工商登记地基本一致,备案地点明确。但云计算系统基础设施通常分布在多地,与运维所在地、工商注册所在地不完全一致,存在备案地点不明确的问题。云服务提供者负责将云计算平台分级结果向辖区公安机关备案,备案地点为运维管理终端所在地。云租户负责对云平台承载的租户信息系统进行分级备案,备案地点为工商登记或实际经营所在地。云保险建设整改云保险建设整改/评估对象与传统信息系统建设整改/评估对象有较大区别,如下表所示。云计算系统保护对象增加了虚拟化、云管理平台、镜像文件等云计算特有的内容。在云平台的安全建设中,强调安全能力的融合,包括统一身份认证、统一用户授权、统一账户管理、统一安全审计。平台侧重于通信加密认证、动态监控预警、快速应急能力建设、安全产品合规等。云计算系统的评估打分在对云计算系统进行评估打分时,业务系统得分不需要与云计算平台的打分结果一起计算。只需对业务系统的可衡量项进行评分后计算,不可衡量项为“N/A”处理。那么云平台的评分结果是不是完全忽略了呢?显然不是,做业务系统评估前首先要看云计算平台是否完成等级评估,然后索要云平台评估报告结论盖章页。在出具云服务客户业务应用系统报告时,云平台评价得分将计入最终得分栏。例如,云服务客户的业务应用系统评价得分为85分,云计算平台得分为90分,则云服务客户的业务应用系统等级评价报告得分栏填写“(85,90)””。另外需要特别注意的是:在评估云租户时,如果不评估云平台本身,就无法评估云租户系统。在对云租户系统进行评估打分时,不仅要考虑云租户系统本身的得分,还要考虑云平台的得分。云平台的评分会影响租户系统的评分。
