0531-67800866
0531-67800866
一、云计算形态
在确定云计算定级对象时,首先需明确定级的等级保护对象的形态为云计算形态,否则不应该当做云计算系统/平台来定级。
根据GB/T 31167—2014《信息安全技术 云计算服务安全指南》对云计算的定义:“以按需自助获取、管理资源的方式,通过网络访问可扩展的、灵活的物理或虚拟共享资源池的模式。”因此,在判断是否为云计算形态时,可根据是否同时满足下列五大特征:
此外,需注意云计算的本质是服务,如果不能将计算资源规模化/大范围的进行共享,如果不能真正以服务的形式提供,就根本算不上云计算。
在针对云计算系统/平台作为定级对象时,需注意:
○ 云服务商侧的云计算平台/系统作为定级对象时,首先需满足云计算形态,能够为云服务客户提供云计算服务;
○ 云服务客户侧的等级保护对象作为定级对象时,需使用了云计算平台提供的服务。
注意:云计算涉及多类角色,在等级保护2.0中仅包括云服务商和云服务客户,其中云服务商指提供云计算服务的参与方,云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。云服务客户,即云服务消费者(云租户),消费云计算平台提供的服务。
二、云计算定级对象
在云计算环境下,基于云计算形态、云安全责任边界以及云计算的架构,云计算等级保护对象有:
1) 云计算平台 ,即云服务商提供的云基础设施及其上的服务层软件的组合;
考虑到云计算的本质是服务,不同的云平台为云服务客户提供不同的云服务,所以云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象。有云计算基础服务平台(IaaS平台)、 云计算数据和开发平台(PaaS平台)以及云计算应用服务平台(SaaS平台)。
2) 云服务客户业务应用系统
云服务客户侧的等级保护对象,利用云计算平台提供的云计算服务,根据其部署的云计算平台模式,确定定级对象边界。通常情况云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。
3)云计算技术构建的业务应用系统
存在一类系统为云计算形态,但无租户概念,对于此类系统应将业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合打包定级。
此外,对于大型的云平台(公有云)可将辅助服务系统(如CDN系统、运维、运营系统)进行单独的定级,该类系统可能为传统信息系统,也可能为云服务客户业务应用系统。
综上,在云计算环境中,对云计算系统/平台的定级大致可以分为下列几类:
表中A、D类系统,大致情形如下:
假设某云服务商L的云平台为云服务客户提供基础设施服务(或数据和开发服务),此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,T单位将业务系统部署在云服务商L提供的基础设施服务上,T单位的业务应用系统为A类云客户应用系统;
假设某云服务商L的云平台为云服务客户提供数据和开发服务,此时可确定其定级对象为云计算数据和开发平台(PaaS平台),T单位利用云服务商L提供的数据和开发服务,部署其业务系统,此时T单位的业务应用系统为A类云客户应用系统;
假设某云服务商L的云平台为云服务客户提供应用服务,此时可确定其定级对象为云计算应用服务平台(SaaS平台),T单位使用云服务商L提供的应用,拥有业务和数据管理权限,此时T单位的业务应用系统为D类云客户应用系统;
表中的B、C、D三类系统,大致情形如下:
假设某云服务商L的云平台为云服务客户提供基础设施服务,此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,X单位和G单位分别利用云服务商L提供的基础设施,搭建云平台,并为客户M提供PaaS、SaaS服务。
注意该情形中:
① 对于云服务商L来讲,X单位和G单位为其云服务客户;② 对于客户M来讲,此时X单位和G单位的角色变为云服务商。
X单位的系统定级类型为表中的B类系统,而G单位的系统定级类型为表中的C类系统。
客户M的系统可能为表中的A类系统或D类系统。D类系统是客户N直接使用云服务商云平台提供的SaaS服务,该类系统是否作为定级对象,需根据使用场景进行判定,若客户N仅使用该SaaS服务,无管理权限、未对数据进行处理,则无需定级,该类系统定级情形可参见邮件系统。
表中云计算技术构建的业务应用系统,情形如下:
P单位自建或购买第三方云计算技术,自行搭建云计算平台,单独为其业务系统提供服务,此时P单位的定级对象为云计算技术构建的业务应用系统。