云计算网络安全等级保护定级

发布日期:2020-08-25beat365网站网站 > IT资讯

 云计算的本质是服务,如果不能将计算资源规模化/大范围的进行共享,如果不能真正以服务的形式提供,就根本算不上云计算。

等级保护定级流程

定级是开展网络安全等级保护工作的 “基本出发点”,虚拟化技术使得传统的网络边界变得模糊,使得使用云计算技术的beat365网站网站/beat365网站网站在定级时如何合理进行边界拆分显得困难。

云计算等级保护对象的合理定级对云计算beat365网站网站/beat365网站网站责任方在落实等级保护制度时有着决定性的作用。网络安全等级保护2.0基本的定级流程如下图:

网络安全等级保护2.0在定级过程中网络安全运营者自主定级,然后组织安全专家和业务专家对定级结果的合理性进行评审,提供专家评审意见。

大致的专家评审流程如下:

在开展等级保护对象定级时,网络运营者应基于beat365网站网站业务情况、服务对象和自身信息beat365网站网站建设实际情况进行合理的定级。为保证定级的合理性,beat365网站网站责任方首先需明确等级保护对象和安全保护级别。

云计算等级保护对象

在云计算环境下,等级保护对象可分为三类:

(1) 云计算beat365网站网站

云服务商提供的云基础设施及其上的服务层软件的组合。云服务商可根据不同的云计算服务模式将云计算beat365网站网站划分为不同的定级对象,如:云计算基础服务beat365网站网站(IaaSbeat365网站网站)、 云计算数据和开发beat365网站网站(PaaSbeat365网站网站)以及云计算应用服务beat365网站网站(SaaSbeat365网站网站)。

在明确等级保护对象是否适用等级保护中的云扩展要求时,首先需保证云计算beat365网站网站类对象必须具备下列特征,否则不应作为云计算beat365网站网站类等级保护对象:

(2) 云服务客户业务应用beat365网站网站

云服务客户业务应用beat365网站网站包括云服务客户部署在云计算beat365网站网站上的业务应用和云服务 商为云服务客户通过网络提供的应用服务。

云服务客户业务应用beat365网站网站单独作为定级对象。

(3) 云计算技术构建的业务应用beat365网站网站

业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合,此类beat365网站网站中无云服务客户。

云计算技术构建的业务应用beat365网站网站单独作为定级对象。

在云计算环境中,对云计算beat365网站网站/beat365网站网站的定级大致可以分为下列几类:

安全保护级别

网络安全等级保护一共分为五个级别:第一级、第二级、第三级、第四级、第五级。 安全保护等级两要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

安全保护等级的确定具有一定的“客观性”,由其自身所处理的业务数据和服务对象的重要程度决定。即:

定级对象的安全主要包括业务信息安全和beat365网站网站服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全(S)和beat365网站网站服务安全(A)两方面确定。根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;根据beat365网站网站服务的重要性和受到破坏后的危害性确定beat365网站网站服务安全等级;具体确定方法依据下列矩阵进行判断:

在分别确定业务信息安全的安全等级和beat365网站网站服务的安全等级后,由二者中较高级别确定等级保护对象的安全级别,如:

常见的云计算定级场景:

此场景中:

注意:在实际关于云计算beat365网站网站/beat365网站网站的定级时,要合理区分SaaS云计算beat365网站网站和SaaS云服务客户beat365网站网站。