云計算的本質(zhì)是服務,如果不能將計算資源規(guī)?�;蠓秶倪M行共享����,如果不能真正以服務的形式提供�����,就根本算不上云計算��。
云計算的本質(zhì)是服務�����,如果不能將計算資源規(guī)?;?大范圍的進行共享��,如果不能真正以服務的形式提供,就根本算不上云計算�。
等級保護定級流程
定級是開展網(wǎng)絡安全等級保護工作的“基本出發(fā)點”,虛擬化技術使得傳統(tǒng)的網(wǎng)絡邊界變得模糊���,使得使用云計算技術的平臺/系統(tǒng)在定級時如何合理進行邊界拆分顯得困難��。
云計算等級保護對象的合理定級對云計算系統(tǒng)/平臺責任方在落實等級保護制度時有著決定性的作用����。網(wǎng)絡安全等級保護2.0基本的定級流程如下圖:
網(wǎng)絡安全等級保護2.0在定級過程中網(wǎng)絡安全運營者自主定級��,然后組織安全專家和業(yè)務專家對定級結果的合理性進行評審��,提供專家評審意見�。
大致的專家評審流程如下:
由等級保護對象責任主體(網(wǎng)絡安全運營者),闡述定級對象;
向評審專家匯報等級保護對象的定級情況�,分別從定級依據(jù)、自主定級過程��、初步確定等級概述�����、各信息系統(tǒng)的系統(tǒng)描述�、風險著眼點���、業(yè)務信息安全和系統(tǒng)服務安全等方面進行闡述;
專家聽取等級保護對象擬定級情況匯報后,討論和質(zhì)詢�,最終對定級級別形成了意見評審表,現(xiàn)場打印由專家簽字�����,專家評審工作完成���。
在開展等級保護對象定級時����,網(wǎng)絡運營者應基于系統(tǒng)業(yè)務情況����、服務對象和自身信息系統(tǒng)建設實際情況進行合理的定級。為保證定級的合理性��,系統(tǒng)責任方首先需明確等級保護對象和安全保護級別��。
云計算等級保護對象
在云計算環(huán)境下����,等級保護對象可分為三類:
(1)云計算平臺
云服務商提供的云基礎設施及其上的服務層軟件的組合。云服務商可根據(jù)不同的云計算服務模式將云計算平臺劃分為不同的定級對象�����,如:云計算基礎服務平臺(IaaS平臺)���、云計算數(shù)據(jù)和開發(fā)平臺(PaaS平臺)以及云計算應用服務平臺(SaaS平臺)���。
在明確等級保護對象是否適用等級保護中的云擴展要求時,首先需保證云計算平臺類對象必須具備下列特征�����,否則不應作為云計算平臺類等級保護對象:
(2)云服務客戶業(yè)務應用系統(tǒng)
云服務客戶業(yè)務應用系統(tǒng)包括云服務客戶部署在云計算平臺上的業(yè)務應用和云服務商為云服務客戶通過網(wǎng)絡提供的應用服務��。
云服務客戶業(yè)務應用系統(tǒng)單獨作為定級對象���。
(3)云計算技術構建的業(yè)務應用系統(tǒng)
業(yè)務應用和為此業(yè)務應用獨立提供底層云計算服務��、硬件資源的組合��,此類系統(tǒng)中無云服務客戶��。
云計算技術構建的業(yè)務應用系統(tǒng)單獨作為定級對象��。
在云計算環(huán)境中�,對云計算系統(tǒng)/平臺的定級大致可以分為下列幾類:
安全保護級別
網(wǎng)絡安全等級保護一共分為五個級別:第一級、第二級��、第三級�����、第四級����、第五級。安全保護等級兩要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度�����。
安全保護等級的確定具有一定的“客觀性”����,由其自身所處理的業(yè)務數(shù)據(jù)和服務對象的重要程度決定。即:
受侵害的客體;
對客體的侵害程度����。
定級對象的安全主要包括業(yè)務信息安全和系統(tǒng)服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此��,安全保護等級也應由業(yè)務信息安全(S)和系統(tǒng)服務安全(A)兩方面確定。根據(jù)業(yè)務信息的重要性和受到破壞后的危害性確定業(yè)務信息安全等級;根據(jù)系統(tǒng)服務的重要性和受到破壞后的危害性確定系統(tǒng)服務安全等級;具體確定方法依據(jù)下列矩陣進行判斷:
在分別確定業(yè)務信息安全的安全等級和系統(tǒng)服務的安全等級后����,由二者中較高級別確定等級保護對象的安全級別����,如:
業(yè)務信息安全:第二級,系統(tǒng)服務:第三級�����,最終等級保護級別為:第三級;
業(yè)務信息安全:第四級��,系統(tǒng)服務:第三級��,最終等級保護級別為:第四級;
業(yè)務信息安全:第三級��,系統(tǒng)服務:第三級����,最終等級保護級別為:第三級。
常見的云計算定級場景:
A云服務商為云服務客戶B提供基礎設施服務(計算/網(wǎng)絡/存儲)�����,常見的A為阿里云、華為云�、電信云等公有云廠商。
集團或大型企業(yè)為B����,在購買了公有云服務商A的基礎資源后,利用A提供的IaaS服務為用戶C提供SaaS服務��。SaaS化應用系統(tǒng)的安全責任主體為B�。
C可能為個人用戶,也可能為B的分支機構或服務個體�����。
此場景中:
A云服務商的IaaS平臺為等級保護對象;
B面向用戶提供SaaS服務��,定級為云服務客戶業(yè)務系統(tǒng)B;
C根據(jù)用戶場景進行定級���。若為B的分支機構或其他企業(yè)用戶��,數(shù)據(jù)安全責任主體為C���,此時,C需對業(yè)務應用進行定級,且級別不得高于B對業(yè)務系統(tǒng)確定的安全等級���。
注意:在實際關于云計算平臺/系統(tǒng)的定級時�����,要合理區(qū)分SaaS云計算平臺和SaaS云服務客戶系統(tǒng)�。
閩公網(wǎng)安備 35010202001226號
