安全資訊

伴隨著(zhù)《網(wǎng)絡(luò )安全法》出臺，等級保護制度上升到法律層面。在此背景下孕育出來(lái)等保2.0相比之前的等保要求，在等級保護的對象、保護的內容、保護的體系都大不相同。

當然，云等保不是新鮮的事物，而是在原等?？蚣芟碌臄U展要求。云等保的各環(huán)節與傳統等保相同，包括定級、備案、建設整改、測評、監督檢查等，因此只需要對原有等級保護相關(guān)工作的具體內容進(jìn)行擴充并統一。

傳統信息系統的網(wǎng)絡(luò )架構伴隨業(yè)務(wù)變化而變化，系統各組件功能與硬件緊耦合，在安全防護上強調分區域和縱深防御。直觀(guān)上來(lái)說(shuō)，就像鐵路局各管一段，信息系統通常以物理網(wǎng)絡(luò )或者安全設備為邊界進(jìn)行劃分。 

但是，云計算系統網(wǎng)絡(luò )架構是扁平化的，業(yè)務(wù)應用系統與硬件平臺松耦合，猶如航空運輸。如果信息系統的劃分，單純的以物理網(wǎng)絡(luò )或安全設備為邊界進(jìn)行劃分，將無(wú)法體現出業(yè)務(wù)應用系統的邏輯關(guān)系，更無(wú)法保證業(yè)務(wù)信息的安全和系統服務(wù)的安全，這就猶如以機場(chǎng)劃分各航空公司一樣不適用。

云計算系統邊界劃分

云計算系統邊界劃分基本場(chǎng)景包括兩個(gè)類(lèi)型：

第一類(lèi)場(chǎng)景：存在業(yè)務(wù)應用不獨占硬件物理資源或硬件物理資源上運行的基礎服務(wù)系統是所有業(yè)務(wù)應用公用的情況，這時(shí)定級系統的邊界應劃在虛擬邊界處，這個(gè)虛擬邊界就是運行業(yè)務(wù)應用所用到的最底層獨占虛擬資源，通常是虛擬機。
在上圖場(chǎng)景中有3個(gè)業(yè)務(wù)應用，通過(guò)對業(yè)務(wù)應用的梳理，業(yè)務(wù)應用1單獨成為一個(gè)定級系統，業(yè)務(wù)應用2和業(yè)務(wù)應用3組成另一個(gè)定級系統。這兩個(gè)定級系統共用底層服務(wù)，因此我們把底層服務(wù)連同硬件一起作為一個(gè)定級系統C，即云計算平臺。定級系統A和定級系統B就是云平臺上承載的業(yè)務(wù)應用系統。

第二類(lèi)場(chǎng)景：業(yè)務(wù)應用對應的系統模塊存在相對獨立的底層服務(wù)和硬件資源，因此可以將整個(gè)系統邊界劃分到硬件物理設備，從而確定兩個(gè)定級系統，如下圖所示。如果這個(gè)場(chǎng)景對應的是對外提供服務(wù)的云計算系統，那么定級系統A就是一個(gè)使用了云計算技術(shù)的應用系統，而頂級系統B是另一個(gè)使用了云計算技術(shù)的應用系統。同理，我們依然可以在定級系統B上嵌套場(chǎng)景1，此時(shí)定級系統B這個(gè)云計算平臺就會(huì )承載更多的業(yè)務(wù)應用系統。

云等保責任共擔與定級

在對云計算系統進(jìn)行測評時(shí)應同時(shí)滿(mǎn)足安全通用要求和云計算安全擴展要求部分的相關(guān)要求。在這個(gè)過(guò)程中根據云上系統的責任分擔不同，要對安全通用要求和云計算安全擴展要求做拆分，云服務(wù)商和云服務(wù)客戶(hù)針對應要求采取對應安全保護措施。

這時(shí)我們要考慮幾方面因素，首先要確定被測系統是云計算平臺還是業(yè)務(wù)應用系統。其次，確定被測系統使用哪種服務(wù)模式，以此來(lái)確定保護責任。

在確定了服務(wù)商和客戶(hù)各自保護責任之后，在定級過(guò)程中需要注意以下4點(diǎn)：

1、云計算平臺安全保護等級，原則上不低于其承載的業(yè)務(wù)系統的安全保護等級。

2、國家關(guān)鍵信息基礎設施（重要云計算平臺）的安全保護等級應不低于第三極。

3、在云計算環(huán)境中，應將云資源平臺作為單獨定級對象，云租戶(hù)側的等級保護對象也應作為單獨的定級對象定級。

4、對于大型云計算平臺，應將云計算基礎設施和有關(guān)輔助服務(wù)系統劃分為不同的定級對象。

云等保的備案方法

傳統企業(yè)IT基礎設施、運維地點(diǎn)、工商注冊地基本一致，備案地明確。但是，云計算系統基礎設施通常遍布多地，與運維地點(diǎn)和工商注冊地不完全一致，存在備案地點(diǎn)不明確的問(wèn)題。

云服務(wù)提供商負責將云計算平臺的定級結果向所轄公安機關(guān)進(jìn)行備案，備案地應為運維管理端所在地。云租戶(hù)負責對云平臺上承載的租戶(hù)信息系統進(jìn)行定級備案，備案地為工商注冊或實(shí)際經(jīng)營(yíng)所在地。

云等保的建設整改

云等保的建設整改/測評對象與傳統信息系統建設整改/測評對象大不相同，如下表所示。云計算系統保護對象中增加了虛擬化、云管理平臺、鏡像文件等云計算獨有內容。

云平臺在安全建設中，強調安全能力集成，包括統一身份認證、統一用戶(hù)授權、統一賬戶(hù)管理、統一安全審計等。在平臺內部強調通訊加密與認證、動(dòng)態(tài)監測預警、快速應急響應能力建設、安全產(chǎn)品合規等。

云計算系統測評打分

在對云計算系統測評打分時(shí)，業(yè)務(wù)系統打分是不需要與云計算平臺的得分結果共同計算，只需將業(yè)務(wù)系統可測評項進(jìn)行打分后計算即可，不可測項做“N/A”處理。

那么是否完全不考慮云平臺的得分結果呢？顯然不是，在做業(yè)務(wù)系統測評前首要看的就是云計算平臺是否完成等級測評，然后索要云平臺測評報告結論蓋章頁(yè)。在出具云服務(wù)客戶(hù)業(yè)務(wù)應用系統報告時(shí)，將云平臺測評得分一并放在最終得分一欄。如：云服務(wù)客戶(hù)業(yè)務(wù)應用系統測評得分為85分，云計算平臺得分為90分，則云服務(wù)客戶(hù)業(yè)務(wù)應用系統等級測評報告得分欄填寫(xiě)“（85,90）”。

此外，需要特別注意：

1、在對云租戶(hù)測評時(shí)，如果云平臺本身未測評，則無(wú)法對云租戶(hù)系統進(jìn)行測評。

2、對云租戶(hù)系統測評打分時(shí)，不但要考慮云租戶(hù)系統自身得分，還應關(guān)注云平臺得分，云平臺得分高低將影響租戶(hù)系統得分。

靈狐科技專(zhuān)業(yè)一站式等級保護解決方案，幫您快速過(guò)等保。