云计算的本质是服务,如果不能将计算资源规模化/大范围的进行共享,如果不能真正以服务的形式提供,就根本算不上云计算。
等级保护定级流程
定级是开展网络安全等级保护工作的 “基本出发点”,虚拟化技术使得传统的网络边界变得模糊,使得使用云计算技术的平台/系统在定级时如何合理进行边界拆分显得困难。
云计算等级保护对象的合理定级对云计算系统/平台责任方在落实等级保护制度时有着决定性的作用。网络安全等级保护2.0基本的定级流程如下图:
网络安全等级保护2.0在定级过程中网络安全运营者自主定级,然后组织安全专家和业务专家对定级结果的合理性进行评审,提供专家评审意见。
大致的专家评审流程如下:
- 由等级保护对象责任主体(网络安全运营者),阐述定级对象;
- 向评审专家汇报等级保护对象的定级情况,分别从定级依据、自主定级过程、初步确定等级概述、各信息系统的系统描述、风险着眼点、业务信息安全和系统服务安全等方面进行阐述;
- 专家听取等级保护对象拟定级情况汇报后,讨论和质询,最终对定级级别形成了意见评审表,现场打印由专家签字,专家评审工作完成。
云计算等级保护对象
在云计算环境下,等级保护对象可分为三类:
(1) 云计算平台
云服务商提供的云基础设施及其上的服务层软件的组合。云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象,如:云计算基础服务平台(IaaS平台)、 云计算数据和开发平台(PaaS平台)以及云计算应用服务平台(SaaS平台)。
在明确等级保护对象是否适用等级保护中的云扩展要求时,首先需保证云计算平台类对象必须具备下列特征,否则不应作为云计算平台类等级保护对象:
(2) 云服务客户业务应用系统
云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务 商为云服务客户通过网络提供的应用服务。
云服务客户业务应用系统单独作为定级对象。
(3) 云计算技术构建的业务应用系统
业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合,此类系统中无云服务客户。
云计算技术构建的业务应用系统单独作为定级对象。
在云计算环境中,对云计算系统/平台的定级大致可以分为下列几类:
安全保护级别
网络安全等级保护一共分为五个级别:第一级、第二级、第三级、第四级、第五级。 安全保护等级两要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
安全保护等级的确定具有一定的“客观性”,由其自身所处理的业务数据和服务对象的重要程度决定。即:
- 受侵害的客体;
- 对客体的侵害程度。
在分别确定业务信息安全的安全等级和系统服务的安全等级后,由二者中较高级别确定等级保护对象的安全级别,如:
- 业务信息安全:第二级,系统服务:第三级,最终等级保护级别为:第三级;
- 业务信息安全:第四级,系统服务:第三级,最终等级保护级别为:第四级;
- 业务信息安全:第三级,系统服务:第三级,最终等级保护级别为:第三级。
- A云服务商为云服务客户B提供基础设施服务(计算/网络/存储),常见的A为阿里云、华为云、电信云等公有云厂商。
- 集团或大型企业为B,在购买了公有云服务商A的基础资源后,利用A提供的IaaS服务为用户C提供SaaS服务。SaaS化应用系统的安全责任主体为B。
- C可能为个人用户,也可能为B的分支机构或服务个体。
此场景中:
- A 云服务商的IaaS平台为等级保护对象;
- B 面向用户提供SaaS服务,定级为云服务客户业务系统B;
- C 根据用户场景进行定级。若为B的分支机构或其他企业用户,数据安全责任主体为C,此时,C需对业务应用进行定级,且级别不得高于B对业务系统确定的安全等级。