行业资讯

最新动态、技术干货,汇聚前沿的云计算技术

云等保定级

唯一小编 发布时间:2020-12-30 返回

这几年来对云等保级保护的强调重点和要求,以及出台相关的政策来看,等级保护已不是仅仅属于网络运营者以及关键信息技术设施运营者们的事,而是上升到法律层面受相关律法的制约,其重要性不言而喻。等级保护制度的实施和落地,不仅有助于中国数字化的进一步发展,同时也带来了网络空间安全的新时代。

云等保定级

云等保是唯一网络自主研发的一套融合多种安全组件、云化接入、零成本学习、分钟级部署,适用部署与IDC、阿里云、腾讯云、华为云、AWS等多种计算环境的信息系统,满足企业二级、三级等保合规要求。

云等保定级流程

定级是开展网络安全等级保护工作的 “基本出发点”,虚拟化技术使得传统的网络边界变得模糊,使得使用云计算技术的平台/系统在定级时如何合理进行边界拆分显得困难。

云计算等级保护对象的合理定级对云计算系统/平台责任方在落实等级保护制度时有着决定性的作用。网络安全等级保护2.0基本的定级流程如下图:

云等保定级
  网络安全等级保护2.0在定级过程中网络安全运营者自主定级,然后组织安全专家和业务专家对定级结果的合理性进行评审,提供专家评审意见。

大致的专家评审流程如下:

由等级保护对象责任主体(网络安全运营者),阐述定级对象;

向评审专家汇报等级保护对象的定级情况,分别从定级依据、自主定级过程、初步确定等级概述、各信息系统的系统描述、风险着眼点、业务信息安全和系统服务安全等方面进行阐述;

专家听取等级保护对象拟定级情况汇报后,讨论和质询,最终对定级级别形成了意见评审表,现场打印由专家签字,专家评审工作完成。

在开展等级保护对象定级时,网络运营者应基于系统业务情况、服务对象和自身信息系统建设实际情况进行合理的定级。为保证定级的合理性,系统责任方首先需明确等级保护对象和安全保护级别。

云计算形态

在确定云计算定级对象时,首先需明确定级的等级保护对象的形态为云计算形态,否则不应该当做云计算系统/平台来定级。

根据GB/T 31167—2014《信息安全技术 云计算服务安全指南》对云计算的定义:“以按需自助获取、管理资源的方式,通过网络访问可扩展的、灵活的物理或虚拟共享资源池的模式。”因此,在判断是否为云计算形态时,可根据是否同时满足下列五大特征:

云计算特征 描  述
按需自助 无需人工干预,客户能根据需要获得所需计算资源,如自主确定资源占用时间和数量等。
泛在网络访问 无处不在的网络接入、从任何UF接入,云计算的泛在接入特征使客户可以在不同的环境下访问服务,增加了服务的可用性。
资源池化 集中化的设备,对资源进行集中池化后,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。
快速弹性 动态的业务性能弹性,客户可以根据需要快速、灵活、方便地获取和释放计算资源,能够在任何时候获得所需资源量。
可度量的服务 云提供商提供控制和监控资源,指导资源配置优化、容量规划和访问控制等任务,同时可以监视、控制、报告资源的使用情况。

此外,需注意云计算的本质是服务,如果不能将计算资源规模化/大范围的进行共享,如果不能真正以服务的形式提供,就根本算不上云计算。

在针对云计算系统/平台作为定级对象时,需注意:

云服务商侧的云计算平台/系统作为定级对象时,首先需满足云计算形态,能够为云服务客户提供云计算服务;

云服务客户侧的等级保护对象作为定级对象时,需使用了云计算平台提供的服务。

注意:云计算涉及多类角色,在等级保护2.0中仅包括云服务商和云服务客户,其中云服务商指提供云计算服务的参与方,云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。

云服务客户,即云服务消费者(云租户),消费云计算平台提供的服务。

云计算架构及安全责任划分

根据定级指南对云计算系统/平台的定级规定,在确定云计算定级对象时,需根据不同服务模式将云计算平台/系统划分为不同的定级对象。因此,如何进行合理的划分,必须明确云服务客户与云服务商的安全责任边界,了解云平台架构,确定云服务商和云服务客户各自需保护的对象。

1) 云计算架构

云计算架构可分为服务类和管理类,其中服务类基于云平台提供的云服务分为基础设施资源层(IaaS服务)、数据和开发平台层(Pass服务)以及应用服务层(SaaS服务),管理类包括云服务运维控制和云服务运营管理。

在服务类方面,PaaS基于IaaS实现,SaaS的服务层次又在PaaS之上,三者分别面对不同的需求。从用户角度而言,这三层服务间的关系相互独立(提供的服务完全不同,且面对的用户也不尽相同)。但从技术角度而言,云服务这三层之间的关系并不是独立的,存在一定依赖关系,比如一个SaaS层的产品和服务不仅需要使用到SaaS层本身的技术,而且还依赖PaaS层所提供的开发和部署平台或者直接部署于IaaS层所提供的计算资源上,还有,PaaS层的产品和服务也很有可能构建于IaaS层服务之上。

云计算总体架构可描述为下图。

云等保定级

  2) 云安全责任划分

不同的云计算服务模式(IaaS、PaaS、SaaS)下,云服务商和云服务客户安全责任存在一定差异,云服务商在不同的服务模式下承担的安全责任如下图:

云等保定级

  在基础设施即服务(IaaS)模式下,云服务商基础设施包括支撑云服务的物理环境、云服务商自研的软硬件以及运维运营包括计算、存储、数据库以及虚拟机镜像等各项云服务的系统设施,同时云服务商还需负责底层基础设施和虚拟化技术,并与云服务客户共同分担网络访问控制策略的防护;

在平台即服务(PaaS)模式下,云服务商除防护底层基础设施安全外,还需对其提供的虚拟机、云应用开发平台及网络访问控制等进行安全防护,并对其提供的数据库、中间件进行基础的安全加固;

在软件即服务(SaaS)模式下,云服务商需对整个云计算环境提供安全防护责任。

云计算定级对象

在云计算环境下,基于云计算形态、云安全责任边界以及云计算的架构,云计算等级保护对象有:

1) 云计算平台 ,即云服务商提供的云基础设施及其上的服务层软件的组合;

考虑到云计算的本质是服务,不同的云平台为云服务客户提供不同的云服务,所以云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象。有云计算基础服务平台(IaaS平台)、 云计算数据和开发平台(PaaS平台)以及云计算应用服务平台(SaaS平台)。

云等保定级

  2) 云服务客户业务应用系统

云服务客户侧的等级保护对象,利用云计算平台提供的云计算服务,根据其部署的云计算平台模式,确定定级对象边界。通常情况云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。

3)云计算技术构建的业务应用系统

存在一类系统为云计算形态,但无租户概念,对于此类系统应将业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合打包定级。

此外,对于大型的云平台(公有云)可将辅助服务系统(如CDN系统、运维、运营系统)进行单独的定级,该类系统可能为传统信息系统,也可能为云服务客户业务应用系统。

综上,在云计算环境中,对云计算系统/平台的定级大致可以分为下列几类:

云等保定级

  表中A、D类系统,大致情形如下:

假设某云服务商L的云平台为云服务客户提供基础设施服务(或数据和开发服务),此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,T单位将业务系统部署在云服务商L提供的基础设施服务上,T单位的业务应用系统为A类云客户应用系统;

假设某云服务商L的云平台为云服务客户提供数据和开发服务,此时可确定其定级对象为云计算数据和开发平台(PaaS平台),T单位利用云服务商L提供的数据和开发服务,部署其业务系统,此时T单位的业务应用系统为A类云客户应用系统;

假设某云服务商L的云平台为云服务客户提供应用服务,此时可确定其定级对象为云计算应用服务平台(SaaS平台),T单位使用云服务商L提供的应用,拥有业务和数据管理权限,此时T单位的业务应用系统为D类云客户应用系统;

表中的B、C、D三类系统,大致情形如下:

假设某云服务商L的云平台为云服务客户提供基础设施服务,此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,X单位和G单位分别利用云服务商L提供的基础设施,搭建云平台,并为客户M提供PaaS、SaaS服务。

注意该情形中:

① 对于云服务商L来讲,X单位和G单位为其云服务客户;

② 对于客户M来讲,此时X单位和G单位的角色变为云服务商。

X单位的系统定级类型为表中的B类系统,而G单位的系统定级类型为表中的C类系统。

客户M的系统可能为表中的A类系统或D类系统。D类系统是客户N直接使用云服务商云平台提供的SaaS服务,该类系统是否作为定级对象,需根据使用场景进行判定,若客户N仅使用该SaaS服务,无管理权限、未对数据进行处理,则无需定级,该类系统定级情形可参见邮件系统。

表中云计算技术构建的业务应用系统,情形如下:

P单位自建或购买第三方云计算技术,自行搭建云计算平台,单独为其业务系统提供服务,此时P单位的定级对象为云计算技术构建的业务应用系统。

典型案列

常见的云计算定级场景:A云服务商为云服务客户B提供基础设施服务(计算/网络/存储),常见的A为阿里云、华为云、电信云等公有云厂商。

集团或大型企业为B,在购买了公有云服务商A的基础资源后,利用A提供的IaaS服务为客户C提供SaaS服务。SaaS化应用系统的安全责任主体为B。

C可能为个人用户,也可能为B的分支机构或服务个体。云等保定级

云等保定级

  此场景中:

A类:云服务商的IaaS平台为定级对象;

B类:面向用户提供SaaS服务,定级为云服务客户业务系统B;

C类:根据用户场景进行定级。若C为B的分支机构或其他企业用户,数据安全责任主体为C,此时,C需对业务应用进行定级,且级别不得高于B对业务系统确定的安全等级,否则C无需定级。

注意:在实际关于云计算平台/系统的定级时,要合理区分SaaS云计算平台和SaaS云服务客户系统。

  • 热门标签

  • 相关产品 >

    福建云服务器

    适合个人入门

    福建云服务器

    适合中小企业

    广东云服务器

    适合个人入门

    北京云服务器

    适合个人入门

    香港云服务器

    适合个人入门

    美国云服务器

    适合个人入门

云等保定级

唯一小编 发布时间:2020-12-30 返回

这几年来对云等保级保护的强调重点和要求,以及出台相关的政策来看,等级保护已不是仅仅属于网络运营者以及关键信息技术设施运营者们的事,而是上升到法律层面受相关律法的制约,其重要性不言而喻。等级保护制度的实施和落地,不仅有助于中国数字化的进一步发展,同时也带来了网络空间安全的新时代。

云等保定级

云等保是唯一网络自主研发的一套融合多种安全组件、云化接入、零成本学习、分钟级部署,适用部署与IDC、阿里云、腾讯云、华为云、AWS等多种计算环境的信息系统,满足企业二级、三级等保合规要求。

云等保定级流程

定级是开展网络安全等级保护工作的 “基本出发点”,虚拟化技术使得传统的网络边界变得模糊,使得使用云计算技术的平台/系统在定级时如何合理进行边界拆分显得困难。

云计算等级保护对象的合理定级对云计算系统/平台责任方在落实等级保护制度时有着决定性的作用。网络安全等级保护2.0基本的定级流程如下图:

云等保定级
  网络安全等级保护2.0在定级过程中网络安全运营者自主定级,然后组织安全专家和业务专家对定级结果的合理性进行评审,提供专家评审意见。

大致的专家评审流程如下:

由等级保护对象责任主体(网络安全运营者),阐述定级对象;

向评审专家汇报等级保护对象的定级情况,分别从定级依据、自主定级过程、初步确定等级概述、各信息系统的系统描述、风险着眼点、业务信息安全和系统服务安全等方面进行阐述;

专家听取等级保护对象拟定级情况汇报后,讨论和质询,最终对定级级别形成了意见评审表,现场打印由专家签字,专家评审工作完成。

在开展等级保护对象定级时,网络运营者应基于系统业务情况、服务对象和自身信息系统建设实际情况进行合理的定级。为保证定级的合理性,系统责任方首先需明确等级保护对象和安全保护级别。

云计算形态

在确定云计算定级对象时,首先需明确定级的等级保护对象的形态为云计算形态,否则不应该当做云计算系统/平台来定级。

根据GB/T 31167—2014《信息安全技术 云计算服务安全指南》对云计算的定义:“以按需自助获取、管理资源的方式,通过网络访问可扩展的、灵活的物理或虚拟共享资源池的模式。”因此,在判断是否为云计算形态时,可根据是否同时满足下列五大特征:

云计算特征 描  述
按需自助 无需人工干预,客户能根据需要获得所需计算资源,如自主确定资源占用时间和数量等。
泛在网络访问 无处不在的网络接入、从任何UF接入,云计算的泛在接入特征使客户可以在不同的环境下访问服务,增加了服务的可用性。
资源池化 集中化的设备,对资源进行集中池化后,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。
快速弹性 动态的业务性能弹性,客户可以根据需要快速、灵活、方便地获取和释放计算资源,能够在任何时候获得所需资源量。
可度量的服务 云提供商提供控制和监控资源,指导资源配置优化、容量规划和访问控制等任务,同时可以监视、控制、报告资源的使用情况。

此外,需注意云计算的本质是服务,如果不能将计算资源规模化/大范围的进行共享,如果不能真正以服务的形式提供,就根本算不上云计算。

在针对云计算系统/平台作为定级对象时,需注意:

云服务商侧的云计算平台/系统作为定级对象时,首先需满足云计算形态,能够为云服务客户提供云计算服务;

云服务客户侧的等级保护对象作为定级对象时,需使用了云计算平台提供的服务。

注意:云计算涉及多类角色,在等级保护2.0中仅包括云服务商和云服务客户,其中云服务商指提供云计算服务的参与方,云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。

云服务客户,即云服务消费者(云租户),消费云计算平台提供的服务。

云计算架构及安全责任划分

根据定级指南对云计算系统/平台的定级规定,在确定云计算定级对象时,需根据不同服务模式将云计算平台/系统划分为不同的定级对象。因此,如何进行合理的划分,必须明确云服务客户与云服务商的安全责任边界,了解云平台架构,确定云服务商和云服务客户各自需保护的对象。

1) 云计算架构

云计算架构可分为服务类和管理类,其中服务类基于云平台提供的云服务分为基础设施资源层(IaaS服务)、数据和开发平台层(Pass服务)以及应用服务层(SaaS服务),管理类包括云服务运维控制和云服务运营管理。

在服务类方面,PaaS基于IaaS实现,SaaS的服务层次又在PaaS之上,三者分别面对不同的需求。从用户角度而言,这三层服务间的关系相互独立(提供的服务完全不同,且面对的用户也不尽相同)。但从技术角度而言,云服务这三层之间的关系并不是独立的,存在一定依赖关系,比如一个SaaS层的产品和服务不仅需要使用到SaaS层本身的技术,而且还依赖PaaS层所提供的开发和部署平台或者直接部署于IaaS层所提供的计算资源上,还有,PaaS层的产品和服务也很有可能构建于IaaS层服务之上。

云计算总体架构可描述为下图。

云等保定级

  2) 云安全责任划分

不同的云计算服务模式(IaaS、PaaS、SaaS)下,云服务商和云服务客户安全责任存在一定差异,云服务商在不同的服务模式下承担的安全责任如下图:

云等保定级

  在基础设施即服务(IaaS)模式下,云服务商基础设施包括支撑云服务的物理环境、云服务商自研的软硬件以及运维运营包括计算、存储、数据库以及虚拟机镜像等各项云服务的系统设施,同时云服务商还需负责底层基础设施和虚拟化技术,并与云服务客户共同分担网络访问控制策略的防护;

在平台即服务(PaaS)模式下,云服务商除防护底层基础设施安全外,还需对其提供的虚拟机、云应用开发平台及网络访问控制等进行安全防护,并对其提供的数据库、中间件进行基础的安全加固;

在软件即服务(SaaS)模式下,云服务商需对整个云计算环境提供安全防护责任。

云计算定级对象

在云计算环境下,基于云计算形态、云安全责任边界以及云计算的架构,云计算等级保护对象有:

1) 云计算平台 ,即云服务商提供的云基础设施及其上的服务层软件的组合;

考虑到云计算的本质是服务,不同的云平台为云服务客户提供不同的云服务,所以云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象。有云计算基础服务平台(IaaS平台)、 云计算数据和开发平台(PaaS平台)以及云计算应用服务平台(SaaS平台)。

云等保定级

  2) 云服务客户业务应用系统

云服务客户侧的等级保护对象,利用云计算平台提供的云计算服务,根据其部署的云计算平台模式,确定定级对象边界。通常情况云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。

3)云计算技术构建的业务应用系统

存在一类系统为云计算形态,但无租户概念,对于此类系统应将业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合打包定级。

此外,对于大型的云平台(公有云)可将辅助服务系统(如CDN系统、运维、运营系统)进行单独的定级,该类系统可能为传统信息系统,也可能为云服务客户业务应用系统。

综上,在云计算环境中,对云计算系统/平台的定级大致可以分为下列几类:

云等保定级

  表中A、D类系统,大致情形如下:

假设某云服务商L的云平台为云服务客户提供基础设施服务(或数据和开发服务),此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,T单位将业务系统部署在云服务商L提供的基础设施服务上,T单位的业务应用系统为A类云客户应用系统;

假设某云服务商L的云平台为云服务客户提供数据和开发服务,此时可确定其定级对象为云计算数据和开发平台(PaaS平台),T单位利用云服务商L提供的数据和开发服务,部署其业务系统,此时T单位的业务应用系统为A类云客户应用系统;

假设某云服务商L的云平台为云服务客户提供应用服务,此时可确定其定级对象为云计算应用服务平台(SaaS平台),T单位使用云服务商L提供的应用,拥有业务和数据管理权限,此时T单位的业务应用系统为D类云客户应用系统;

表中的B、C、D三类系统,大致情形如下:

假设某云服务商L的云平台为云服务客户提供基础设施服务,此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,X单位和G单位分别利用云服务商L提供的基础设施,搭建云平台,并为客户M提供PaaS、SaaS服务。

注意该情形中:

① 对于云服务商L来讲,X单位和G单位为其云服务客户;

② 对于客户M来讲,此时X单位和G单位的角色变为云服务商。

X单位的系统定级类型为表中的B类系统,而G单位的系统定级类型为表中的C类系统。

客户M的系统可能为表中的A类系统或D类系统。D类系统是客户N直接使用云服务商云平台提供的SaaS服务,该类系统是否作为定级对象,需根据使用场景进行判定,若客户N仅使用该SaaS服务,无管理权限、未对数据进行处理,则无需定级,该类系统定级情形可参见邮件系统。

表中云计算技术构建的业务应用系统,情形如下:

P单位自建或购买第三方云计算技术,自行搭建云计算平台,单独为其业务系统提供服务,此时P单位的定级对象为云计算技术构建的业务应用系统。

典型案列

常见的云计算定级场景:A云服务商为云服务客户B提供基础设施服务(计算/网络/存储),常见的A为阿里云、华为云、电信云等公有云厂商。

集团或大型企业为B,在购买了公有云服务商A的基础资源后,利用A提供的IaaS服务为客户C提供SaaS服务。SaaS化应用系统的安全责任主体为B。

C可能为个人用户,也可能为B的分支机构或服务个体。云等保定级

云等保定级

  此场景中:

A类:云服务商的IaaS平台为定级对象;

B类:面向用户提供SaaS服务,定级为云服务客户业务系统B;

C类:根据用户场景进行定级。若C为B的分支机构或其他企业用户,数据安全责任主体为C,此时,C需对业务应用进行定级,且级别不得高于B对业务系统确定的安全等级,否则C无需定级。

注意:在实际关于云计算平台/系统的定级时,要合理区分SaaS云计算平台和SaaS云服务客户系统。

©2016-2021 www.wcloud.cn All rights reserved.
唯一网络-云服务综合解决方案提供商©版权所有

免费预约

客户免费预约阿里云/唯云架构师上门服务。免费服务内容:云数据中心、网络安全、云专线、云等保、公有云、混合云和其它云协助迁移。

请保持电话畅通,我们将在工作时间与您电话联系。

立即预约