| 導讀 | 雲計算的本質是服務,如果不能将計算資源規模化/大範圍的進行共享,如果不能真正以服務的形式提供,就根本算不上雲計算。 |
等級保護定級流程
定級是開展網絡安全等級保護工作的 “基本出發點”,虛拟化技術使得傳統的網絡邊界變得模糊,使得使用雲計算技術的平台/系統在定級時如何合理進行邊界拆分顯得困難。
雲計算等級保護對象的合理定級對雲計算系統/平台責任方在落實等級保護制度時有着決定性的作用。網絡安全等級保護2.0基本的定級流程如下圖:
網絡安全等級保護2.0在定級過程中網絡安全營運者自主定級,然後組織安全專家和業務專家對定級結果的合理性進行評審,提供專家評審意見。
大緻的專家評審流程如下:
由等級保護對象責任主體(網絡安全營運者),闡述定級對象;
向評審專家彙報等級保護對象的定級情況,分别從定級依據、自主定級過程、初步确定等級概述、各資訊系統的系統描述、風險着眼點、業務資訊安全和系統服務安全等方面進行闡述;
專家聽取等級保護對象拟定級情況彙報後,讨論和質詢,最終對定級級别形成了意見評審表,現場列印由專家簽字,專家評審工作完成。
在開展等級保護對象定級時,網絡營運者應基于系統業務情況、服務對象和自身資訊系統建設實際情況進行合理的定級。為保證定級的合理性,系統責任方首先需明确等級保護對象和安全保護級别。
雲計算等級保護對象
在雲計算環境下,等級保護對象可分為三類:
雲計算平台
雲服務商提供的雲基礎設施及其上的服務層軟體的組合。雲服務商可根據不同的雲計算服務模式将雲計算平台劃分為不同的定級對象,如:雲計算基礎服務平台(IaaS平台)、 雲計算資料和開發平台(PaaS平台)以及雲計算應用服務平台(SaaS平台)。
在明确等級保護對象是否适用等級保護中的雲擴充要求時,首先需保證雲計算平台類對象必須具備下列特征,否則不應作為雲計算平台類等級保護對象:
雲服務客戶業務應用系統
雲服務客戶業務應用系統包括雲服務客戶部署在雲計算平台上的業務應用和雲服務 商為雲服務客戶通過網絡提供的應用服務。
雲服務客戶業務應用系統單獨作為定級對象。
雲計算技術建構的業務應用系統
業務應用和為此業務應用獨立提供底層雲計算服務、硬體資源的組合,此類系統中無雲服務客戶。
雲計算技術建構的業務應用系統單獨作為定級對象。
在雲計算環境中,對雲計算系統/平台的定級大緻可以分為下列幾類:
安全保護級别
網絡安全等級保護一共分為五個級别:第一級、第二級、第三級、第四級、第五級。 安全保護等級兩要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。
安全保護等級的确定具有一定的“客觀性”,由其自身所處理的業務資料和服務對象的重要程度決定。即:
受侵害的客體;
對客體的侵害程度。
定級對象的安全主要包括業務資訊安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,是以,安全保護等級也應由業務資訊安全(S)和系統服務安全(A)兩方面确定。根據業務資訊的重要性和受到破壞後的危害性确定業務資訊安全等級;根據系統服務的重要性和受到破壞後的危害性确定系統服務安全等級;具體确定方法依據下列矩陣進行判斷:
在分别确定業務資訊安全的安全等級和系統服務的安全等級後,由二者中較進階别确定等級保護對象的安全級别,如:
業務資訊安全:第二級,系統服務:第三級,最終等級保護級别為:第三級;
業務資訊安全:第四級,系統服務:第三級,最終等級保護級别為:第四級;
業務資訊安全:第三級,系統服務:第三級,最終等級保護級别為:第三級。
常見的雲計算定級場景:
A雲服務商為雲服務客戶B提供基礎設施服務(計算/網絡/存儲),常見的A為阿裡雲、華為雲、電信雲等公有雲廠商。
集團或大型企業為B,在購買了公有雲服務商A的基礎資源後,利用A提供的IaaS服務為使用者C提供SaaS服務。SaaS化應用系統的安全責任主體為B。
C可能為個人使用者,也可能為B的分支機構或服務個體。
此場景中:
A 雲服務商的IaaS平台為等級保護對象;
B 面向使用者提供SaaS服務,定級為雲服務客戶業務系統B;
C 根據使用者場景進行定級。若為B的分支機構或其他企業使用者,資料安全責任主體為C,此時,C需對業務應用進行定級,且級别不得高于B對業務系統确定的安全等級。
注意:在實際關于雲計算平台/系統的定級時,要合理區分SaaS雲計算平台和SaaS雲服務客戶系統。
原文來自:https://netsecurity.51cto.com/art/202007/622013.htm
本文位址:https://www.linuxprobe.com/classification-cloud-computing.html編輯:吳向平,稽核員:清蒸github
Linux指令大全:https://www.linuxcool.com/