@Allure
2年前 提问
1个回答

等保 2.0 云计算定级对象如何确定

Andrew
2年前
官方采纳

定级是开展网络安全等级保护工作的 “基本出发点”,确定云计算定级对象时,需明确云计算形态、云安全责任边界以及云计算的架构:

  • 云计算形态

    在确定云计算定级对象时,首先需明确定级的等级保护对象的形态为云计算形态,否则不应该当做云计算系统/平台来定级。

    在针对云计算系统/平台作为定级对象时,需注意:

    • 云服务商侧的云计算平台/系统作为定级对象时,首先需满足云计算形态,能够为云服务客户提供云计算服务;

    • 云服务客户侧的等级保护对象作为定级对象时,需使用了云计算平台提供的服务。

  • 了解云计算架构

    云计算架构可分为服务类和管理类,其中服务类基于云平台提供的云服务分为基础设施资源层(IaaS服务)、数据和开发平台层(Pass服务)以及应用服务层(SaaS服务),管理类包括云服务运维控制和云服务运营管理。

    根据不同服务模式将云计算平台/系统划分为不同的定级对象。

  • 明确安全责任划分

    不同的云计算服务模式(IaaS、PaaS、SaaS)下,云服务商和云服务客户安全责任存在一定差异,云服务商在不同的服务模式下承担的安全责任也不同。

    云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象。

    云服务客户侧的等级保护对象,利用云计算平台提供的云计算服务,根据其部署的云计算平台模式,确定定级对象边界。

    存在一类系统为云计算形态,但无租户概念,对于此类系统应将业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合打包定级。