久久99国产精品久久99_日韩在线第二页_日韩人妻无码一区二区三区久久_久久亚洲私人国产精品

云計(jì)算的本質(zhì)是服務(wù)，如果不能將計(jì)算資源規(guī)?；?大范圍的進(jìn)行共享，如果不能真正以服務(wù)的形式提供，就根本算不上云計(jì)算。

等級保護(hù)定級流程

定級是開展網(wǎng)絡(luò)安全等級保護(hù)工作的 “基本出發(fā)點(diǎn)”，虛擬化技術(shù)使得傳統(tǒng)的網(wǎng)絡(luò)邊界變得模糊，使得使用云計(jì)算技術(shù)的平臺/系統(tǒng)在定級時(shí)如何合理進(jìn)行邊界拆分顯得困難。

云計(jì)算等級保護(hù)對象的合理定級對云計(jì)算系統(tǒng)/平臺責(zé)任方在落實(shí)等級保護(hù)制度時(shí)有著決定性的作用。網(wǎng)絡(luò)安全等級保護(hù)2.0基本的定級流程如下圖：

網(wǎng)絡(luò)安全等級保護(hù)2.0在定級過程中網(wǎng)絡(luò)安全運(yùn)營者自主定級，然后組織安全專家和業(yè)務(wù)專家對定級結(jié)果的合理性進(jìn)行評審，提供專家評審意見。

大致的專家評審流程如下：

• 由等級保護(hù)對象責(zé)任主體(網(wǎng)絡(luò)安全運(yùn)營者)，闡述定級對象;
• 向評審專家匯報(bào)等級保護(hù)對象的定級情況，分別從定級依據(jù)、自主定級過程、初步確定等級概述、各信息系統(tǒng)的系統(tǒng)描述、風(fēng)險(xiǎn)著眼點(diǎn)、業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全等方面進(jìn)行闡述;
• 專家聽取等級保護(hù)對象擬定級情況匯報(bào)后，討論和質(zhì)詢，最終對定級級別形成了意見評審表，現(xiàn)場打印由專家簽字，專家評審工作完成。

在開展等級保護(hù)對象定級時(shí)，網(wǎng)絡(luò)運(yùn)營者應(yīng)基于系統(tǒng)業(yè)務(wù)情況、服務(wù)對象和自身信息系統(tǒng)建設(shè)實(shí)際情況進(jìn)行合理的定級。為保證定級的合理性，系統(tǒng)責(zé)任方首先需明確等級保護(hù)對象和安全保護(hù)級別。

云計(jì)算等級保護(hù)對象

在云計(jì)算環(huán)境下，等級保護(hù)對象可分為三類：

(1) 云計(jì)算平臺

云服務(wù)商提供的云基礎(chǔ)設(shè)施及其上的服務(wù)層軟件的組合。云服務(wù)商可根據(jù)不同的云計(jì)算服務(wù)模式將云計(jì)算平臺劃分為不同的定級對象，如：云計(jì)算基礎(chǔ)服務(wù)平臺(IaaS平臺)、 云計(jì)算數(shù)據(jù)和開發(fā)平臺(PaaS平臺)以及云計(jì)算應(yīng)用服務(wù)平臺(SaaS平臺)。

在明確等級保護(hù)對象是否適用等級保護(hù)中的云擴(kuò)展要求時(shí)，首先需保證云計(jì)算平臺類對象必須具備下列特征，否則不應(yīng)作為云計(jì)算平臺類等級保護(hù)對象：

(2) 云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)

云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)包括云服務(wù)客戶部署在云計(jì)算平臺上的業(yè)務(wù)應(yīng)用和云服務(wù) 商為云服務(wù)客戶通過網(wǎng)絡(luò)提供的應(yīng)用服務(wù)。

云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)單獨(dú)作為定級對象。

(3) 云計(jì)算技術(shù)構(gòu)建的業(yè)務(wù)應(yīng)用系統(tǒng)

業(yè)務(wù)應(yīng)用和為此業(yè)務(wù)應(yīng)用獨(dú)立提供底層云計(jì)算服務(wù)、硬件資源的組合，此類系統(tǒng)中無云服務(wù)客戶。

云計(jì)算技術(shù)構(gòu)建的業(yè)務(wù)應(yīng)用系統(tǒng)單獨(dú)作為定級對象。

在云計(jì)算環(huán)境中，對云計(jì)算系統(tǒng)/平臺的定級大致可以分為下列幾類：

安全保護(hù)級別

網(wǎng)絡(luò)安全等級保護(hù)一共分為五個(gè)級別：第一級、第二級、第三級、第四級、第五級。 安全保護(hù)等級兩要素決定：等級保護(hù)對象受到破壞時(shí)所侵害的客體和對客體造成侵害的程度。

安全保護(hù)等級的確定具有一定的“客觀性”，由其自身所處理的業(yè)務(wù)數(shù)據(jù)和服務(wù)對象的重要程度決定。即：

• 受侵害的客體;
• 對客體的侵害程度。

定級對象的安全主要包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，安全保護(hù)等級也應(yīng)由業(yè)務(wù)信息安全(S)和系統(tǒng)服務(wù)安全(A)兩方面確定。根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級;根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)服務(wù)安全等級;具體確定方法依據(jù)下列矩陣進(jìn)行判斷：

在分別確定業(yè)務(wù)信息安全的安全等級和系統(tǒng)服務(wù)的安全等級后，由二者中較高級別確定等級保護(hù)對象的安全級別，如：

• 業(yè)務(wù)信息安全：第二級，系統(tǒng)服務(wù)：第三級，最終等級保護(hù)級別為：第三級;
• 業(yè)務(wù)信息安全：第四級，系統(tǒng)服務(wù)：第三級，最終等級保護(hù)級別為：第四級;
• 業(yè)務(wù)信息安全：第三級，系統(tǒng)服務(wù)：第三級，最終等級保護(hù)級別為：第三級。

常見的云計(jì)算定級場景：

• A云服務(wù)商為云服務(wù)客戶B提供基礎(chǔ)設(shè)施服務(wù)(計(jì)算/網(wǎng)絡(luò)/存儲)，常見的A為阿里云、華為云、電信云等公有云廠商。
• 集團(tuán)或大型企業(yè)為B，在購買了公有云服務(wù)商A的基礎(chǔ)資源后，利用A提供的IaaS服務(wù)為用戶C提供SaaS服務(wù)。SaaS化應(yīng)用系統(tǒng)的安全責(zé)任主體為B。
• C可能為個(gè)人用戶，也可能為B的分支機(jī)構(gòu)或服務(wù)個(gè)體。

此場景中：

• A 云服務(wù)商的IaaS平臺為等級保護(hù)對象;
• B 面向用戶提供SaaS服務(wù)，定級為云服務(wù)客戶業(yè)務(wù)系統(tǒng)B;
• C 根據(jù)用戶場景進(jìn)行定級。若為B的分支機(jī)構(gòu)或其他企業(yè)用戶，數(shù)據(jù)安全責(zé)任主體為C，此時(shí)，C需對業(yè)務(wù)應(yīng)用進(jìn)行定級，且級別不得高于B對業(yè)務(wù)系統(tǒng)確定的安全等級。

注意：在實(shí)際關(guān)于云計(jì)算平臺/系統(tǒng)的定級時(shí)，要合理區(qū)分SaaS云計(jì)算平臺和SaaS云服務(wù)客戶系統(tǒng)。