一、云計算形態(tài)
在確定云計算定級對象時�����,首先需明確定級的等級保護對象的形態(tài)為云計算形態(tài),否則不應(yīng)該當做云計算系統(tǒng)/平臺來定級�����。
根據(jù)GB/T 31167—2014《信息安全技術(shù) 云計算服務(wù)安全指南》對云計算的定義:“以按需自助獲取�、管理資源的方式,通過網(wǎng)絡(luò)訪問可擴展的����、靈活的物理或虛擬共享資源池的模式。”因此�����,在判斷是否為云計算形態(tài)時���,可根據(jù)是否同時滿足下列五大特征:
1����、按需自助:無需人工干預(yù)�����,客戶能根據(jù)需要獲得所需計算資源���,如自主確定資源占用時間和數(shù)量等。2��、泛在網(wǎng)絡(luò)訪問:無處不在的網(wǎng)絡(luò)接入�����、從任何UF接入��,云計算的泛在接入特征使客戶可以在不同的環(huán)境下訪問服務(wù),增加了服務(wù)的可用性�。3、資源池化:集中化的設(shè)備����,對資源進行集中池化后,這些物理的�、虛擬的資源根據(jù)客戶的需求進行動態(tài)分配或重新分配。4��、快速彈性:動態(tài)的業(yè)務(wù)性能彈性�,客戶可以根據(jù)需要快速、靈活�����、方便地獲取和釋放計算資源����,能夠在任何時候獲得所需資源量。 5���、可度量的服務(wù):云提供商提供控制和監(jiān)控資源���,指導(dǎo)資源配置優(yōu)化����、容量規(guī)劃和訪問控制等任務(wù)����,同時可以監(jiān)視、控制���、報告資源的使用情況���。此外,需注意云計算的本質(zhì)是服務(wù)�,如果不能將計算資源規(guī)模化/大范圍的進行共享�,如果不能真正以服務(wù)的形式提供,就根本算不上云計算���。
在針對云計算系統(tǒng)/平臺作為定級對象時,需注意:
○ 云服務(wù)商側(cè)的云計算平臺/系統(tǒng)作為定級對象時�,首先需滿足云計算形態(tài),能夠為云服務(wù)客戶提供云計算服務(wù)�;
○ 云服務(wù)客戶側(cè)的等級保護對象作為定級對象時,需使用了云計算平臺提供的服務(wù)����。
注意:云計算涉及多類角色�����,在等級保護2.0中僅包括云服務(wù)商和云服務(wù)客戶�����,其中云服務(wù)商指提供云計算服務(wù)的參與方�,云服務(wù)商管理��、運營�、支撐云計算的計算基礎(chǔ)設(shè)施及軟件,通過網(wǎng)絡(luò)交付云計算的資源��。云服務(wù)客戶���,即云服務(wù)消費者(云租戶)����,消費云計算平臺提供的服務(wù)��。
二�、云計算定級對象
在云計算環(huán)境下����,基于云計算形態(tài)��、云安全責任邊界以及云計算的架構(gòu)�,云計算等級保護對象有:
1) 云計算平臺 ,即云服務(wù)商提供的云基礎(chǔ)設(shè)施及其上的服務(wù)層軟件的組合�;
考慮到云計算的本質(zhì)是服務(wù),不同的云平臺為云服務(wù)客戶提供不同的云服務(wù)�����,所以云服務(wù)商可根據(jù)不同的云計算服務(wù)模式將云計算平臺劃分為不同的定級對象��。有云計算基礎(chǔ)服務(wù)平臺(IaaS平臺)���、 云計算數(shù)據(jù)和開發(fā)平臺(PaaS平臺)以及云計算應(yīng)用服務(wù)平臺(SaaS平臺)����。
2) 云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)
云服務(wù)客戶側(cè)的等級保護對象�����,利用云計算平臺提供的云計算服務(wù)��,根據(jù)其部署的云計算平臺模式����,確定定級對象邊界。通常情況云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)包括云服務(wù)客戶部署在云計算平臺上的業(yè)務(wù)應(yīng)用和云服務(wù)商為云服務(wù)客戶通過網(wǎng)絡(luò)提供的應(yīng)用服務(wù)����。
3)云計算技術(shù)構(gòu)建的業(yè)務(wù)應(yīng)用系統(tǒng)
存在一類系統(tǒng)為云計算形態(tài),但無租戶概念���,對于此類系統(tǒng)應(yīng)將業(yè)務(wù)應(yīng)用和為此業(yè)務(wù)應(yīng)用獨立提供底層云計算服務(wù)��、硬件資源的組合打包定級��。
此外���,對于大型的云平臺(公有云)可將輔助服務(wù)系統(tǒng)(如CDN系統(tǒng)、運維����、運營系統(tǒng))進行單獨的定級,該類系統(tǒng)可能為傳統(tǒng)信息系統(tǒng)��,也可能為云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)�����。
綜上,在云計算環(huán)境中����,對云計算系統(tǒng)/平臺的定級大致可以分為下列幾類:
表中A、D類系統(tǒng)�����,大致情形如下:
假設(shè)某云服務(wù)商L的云平臺為云服務(wù)客戶提供基礎(chǔ)設(shè)施服務(wù)(或數(shù)據(jù)和開發(fā)服務(wù))�,此時可確定其定級對象為云計算基礎(chǔ)服務(wù)平臺(IaaS)服務(wù)平臺,T單位將業(yè)務(wù)系統(tǒng)部署在云服務(wù)商L提供的基礎(chǔ)設(shè)施服務(wù)上���,T單位的業(yè)務(wù)應(yīng)用系統(tǒng)為A類云客戶應(yīng)用系統(tǒng)���;
假設(shè)某云服務(wù)商L的云平臺為云服務(wù)客戶提供數(shù)據(jù)和開發(fā)服務(wù),此時可確定其定級對象為云計算數(shù)據(jù)和開發(fā)平臺(PaaS平臺)�,T單位利用云服務(wù)商L提供的數(shù)據(jù)和開發(fā)服務(wù),部署其業(yè)務(wù)系統(tǒng)��,此時T單位的業(yè)務(wù)應(yīng)用系統(tǒng)為A類云客戶應(yīng)用系統(tǒng)����;
假設(shè)某云服務(wù)商L的云平臺為云服務(wù)客戶提供應(yīng)用服務(wù),此時可確定其定級對象為云計算應(yīng)用服務(wù)平臺(SaaS平臺)�,T單位使用云服務(wù)商L提供的應(yīng)用,擁有業(yè)務(wù)和數(shù)據(jù)管理權(quán)限�����,此時T單位的業(yè)務(wù)應(yīng)用系統(tǒng)為D類云客戶應(yīng)用系統(tǒng)���;
表中的B���、C、D三類系統(tǒng)��,大致情形如下:
假設(shè)某云服務(wù)商L的云平臺為云服務(wù)客戶提供基礎(chǔ)設(shè)施服務(wù)�,此時可確定其定級對象為云計算基礎(chǔ)服務(wù)平臺(IaaS)服務(wù)平臺,X單位和G單位分別利用云服務(wù)商L提供的基礎(chǔ)設(shè)施���,搭建云平臺�����,并為客戶M提供PaaS�����、SaaS服務(wù)��。
注意該情形中:
① 對于云服務(wù)商L來講�,X單位和G單位為其云服務(wù)客戶;② 對于客戶M來講�����,此時X單位和G單位的角色變?yōu)樵品?wù)商�。
X單位的系統(tǒng)定級類型為表中的B類系統(tǒng),而G單位的系統(tǒng)定級類型為表中的C類系統(tǒng)��。
客戶M的系統(tǒng)可能為表中的A類系統(tǒng)或D類系統(tǒng)����。D類系統(tǒng)是客戶N直接使用云服務(wù)商云平臺提供的SaaS服務(wù),該類系統(tǒng)是否作為定級對象�,需根據(jù)使用場景進行判定,若客戶N僅使用該SaaS服務(wù)�����,無管理權(quán)限����、未對數(shù)據(jù)進行處理��,則無需定級��,該類系統(tǒng)定級情形可參見郵件系統(tǒng)。
表中云計算技術(shù)構(gòu)建的業(yè)務(wù)應(yīng)用系統(tǒng)���,情形如下:
P單位自建或購買第三方云計算技術(shù)�����,自行搭建云計算平臺��,單獨為其業(yè)務(wù)系統(tǒng)提供服務(wù)����,此時P單位的定級對象為云計算技術(shù)構(gòu)建的業(yè)務(wù)應(yīng)用系統(tǒng)���。
0531-67800866