雲計算的本質是服務,如果不能将計算資(zī)源規模化/大(dà)範圍的進行共享,如果不能真正以服務的形式提供,就根本算不上雲計算。
等級保護定級流程
定級是開(kāi)展網絡安全等級保護工(gōng)作的 “基本出發點”,虛拟化技術使得傳統的網絡邊界變得模糊,使得使用雲計算技術的平台/系統在定級時如何合理進行邊界拆分(fēn)顯得困難。
雲計算等級保護對象的合理定級對雲計算系統/平台責任方在落實等級保護制度時有着決定性的作用。網絡安全等級保護2.0基本的定級流程如下(xià)圖:
網絡安全等級保護2.0在定級過程中(zhōng)網絡安全運營者自主定級,然後組織安全專家和業務專家對定級結果的合理性進行評審,提供專家評審意見。
大(dà)緻的專家評審流程如下(xià):
在開(kāi)展等級保護對象定級時,網絡運營者應基于系統業務情況、服務對象和自身信息系統建設實際情況進行合理的定級。爲保證定級的合理性,系統責任方首先需明确等級保護對象和安全保護級别。
雲計算等級保護對象
在雲計算環境下(xià),等級保護對象可分(fēn)爲三類:
(1) 雲計算平台
雲服務商(shāng)提供的雲基礎設施及其上的服務層軟件的組合。雲服務商(shāng)可根據不同的雲計算服務模式将雲計算平台劃分(fēn)爲不同的定級對象,如:雲計算基礎服務平台(IaaS平台)、 雲計算數據和開(kāi)發平台(PaaS平台)以及雲計算應用服務平台(SaaS平台)。
在明确等級保護對象是否适用等級保護中(zhōng)的雲擴展要求時,首先需保證雲計算平台類對象必須具備下(xià)列特征,否則不應作爲雲計算平台類等級保護對象:
(2) 雲服務客戶業務應用系統
雲服務客戶業務應用系統包括雲服務客戶部署在雲計算平台上的業務應用和雲服務 商(shāng)爲雲服務客戶通過網絡提供的應用服務。
雲服務客戶業務應用系統單獨作爲定級對象。
(3) 雲計算技術構建的業務應用系統
業務應用和爲此業務應用獨立提供底層雲計算服務、硬件資(zī)源的組合,此類系統中(zhōng)無雲服務客戶。
雲計算技術構建的業務應用系統單獨作爲定級對象。
在雲計算環境中(zhōng),對雲計算系統/平台的定級大(dà)緻可以分(fēn)爲下(xià)列幾類:
安全保護級别
網絡安全等級保護一(yī)共分(fēn)爲五個級别:第一(yī)級、第二級、第三級、第四級、第五級。 安全保護等級兩要素決定:等級保護對象受到破壞時所侵害的客體(tǐ)和對客體(tǐ)造成侵害的程度。
安全保護等級的确定具有一(yī)定的“客觀性”,由其自身所處理的業務數據和服務對象的重要程度決定。即:
定級對象的安全主要包括業務信息安全和系統服務安全,與之相關的受侵害客體(tǐ)和對客體(tǐ)的侵害程度可能不同,因此,安全保護等級也應由業務信息安全(S)和系統服務安全(A)兩方面确定。根據業務信息的重要性和受到破壞後的危害性确定業務信息安全等級;根據系統服務的重要性和受到破壞後的危害性确定系統服務安全等級;具體(tǐ)确定方法依據下(xià)列矩陣進行判斷:
在分(fēn)别确定業務信息安全的安全等級和系統服務的安全等級後,由二者中(zhōng)較高級别确定等級保護對象的安全級别,如:
常見的雲計算定級場景:
此場景中(zhōng):
注意:在實際關于雲計算平台/系統的定級時,要合理區分(fēn)SaaS雲計算平台和SaaS雲服務客戶系統。
上一(yī)篇:我(wǒ)在互聯網安全大(dà)會上,聽(tīng)了一(yī)場TED演講
下(xià)一(yī)篇:聯發科天玑 1000C 處理器仍無緣 5nm 工(gōng)藝