等保2.0云计算定级对象如何确定

2017年6月1日《网络安全法》正式实施，网络安全等级保护进入有法可依的“等保2.0”时代。网络安全等级保护2.0较1.0最大的特点是等级保护对象在原有的传统系统上增加了云计算、大数据、物联网等新技术的应用。云计算看不见、也摸不着，使得关于如何开展云计算等级保护工作成为当下面临的重要问题之一。
网络安全等级保护2.0时代，落实等级保护制度的五个规定基本动作：定级、备案、建设整改、等级测评、监督检查。
定级是开展网络安全等级保护工作的 “基本出发点”，虚拟化技术使得云计算环境的网络边界变得模糊，使得使用云计算系统在定级时如何合理进行边界拆分显得困难。那么等保2.0云计算定级对象究竟该如何确定？本文对其进行简要分析。

网络安全等级保护2.0时代，网络运营者在开展、落实网络安全等级保护工作时依据《GB/T 22240—2020信息安全技术 信息系统安全等级保护定级指南》（以下简称“定级指南”）对其运营的等级保护对象开展定级工作。定级指南关于云计算的定级对象给出云计算平台/系统，且规定：

○ 云计算环境中，云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级，并根据不同服务模式将云计算平台/系统划分为不同的定级对象。

○ 对于大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
网络安全等级保护2.0基本的定级流程如下图：

明确定级对象是开展定级工作的首要内容，针对云计算等级保护定级工作，确定云计算定级对象时，需明确云计算形态、云安全责任边界以及云计算的架构。

在确定云计算定级对象时，首先需明确定级的等级保护对象的形态为云计算形态，否则不应该当做云计算系统/平台来定级。
根据GB/T 31167—2014《信息安全技术 云计算服务安全指南》对云计算的定义：“以按需自助获取、管理资源的方式，通过网络访问可扩展的、灵活的物理或虚拟共享资源池的模式。”因此，在判断是否为云计算形态时，可根据是否同时满足下列五大特征：

此外，需注意云计算的本质是服务，如果不能将计算资源规模化/大范围的进行共享，如果不能真正以服务的形式提供，就根本算不上云计算。
在针对云计算系统/平台作为定级对象时，需注意：
○ 云服务商侧的云计算平台/系统作为定级对象时，首先需满足云计算形态，能够为云服务客户提供云计算服务；
○ 云服务客户侧的等级保护对象作为定级对象时，需使用了云计算平台提供的服务。
注意：云计算涉及多类角色，在等级保护2.0中仅包括云服务商和云服务客户，其中云服务商指提供云计算服务的参与方，云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络交付云计算的资源。云服务客户，即云服务消费者（云租户），消费云计算平台提供的服务。

根据定级指南对云计算系统/平台的定级规定，在确定云计算定级对象时，需根据不同服务模式将云计算平台/系统划分为不同的定级对象。因此，如何进行合理的划分，必须明确云服务客户与云服务商的安全责任边界，了解云平台架构，确定云服务商和云服务客户各自需保护的对象。

1) 云计算架构

云计算架构可分为服务类和管理类，其中服务类基于云平台提供的云服务分为基础设施资源层（IaaS服务）、数据和开发平台层（Pass服务）以及应用服务层（SaaS服务），管理类包括云服务运维控制和云服务运营管理。
在服务类方面，PaaS基于IaaS实现，SaaS的服务层次又在PaaS之上，三者分别面对不同的需求。从用户角度而言，这三层服务间的关系相互独立（提供的服务完全不同，且面对的用户也不尽相同）。但从技术角度而言，云服务这三层之间的关系并不是独立的，存在一定依赖关系，比如一个SaaS层的产品和服务不仅需要使用到SaaS层本身的技术，而且还依赖PaaS层所提供的开发和部署平台或者直接部署于IaaS层所提供的计算资源上，还有，PaaS层的产品和服务也很有可能构建于IaaS层服务之上。
云计算总体架构可描述为下图。

2) 云安全责任划分

不同的云计算服务模式（IaaS、PaaS、SaaS）下，云服务商和云服务客户安全责任存在一定差异，云服务商在不同的服务模式下承担的安全责任如下图：

在基础设施即服务（IaaS）模式下，云服务商基础设施包括支撑云服务的物理环境、云服务商自研的软硬件以及运维运营包括计算、存储、数据库以及虚拟机镜像等各项云服务的系统设施，同时云服务商还需负责底层基础设施和虚拟化技术，并与云服务客户共同分担网络访问控制策略的防护；
在平台即服务（PaaS）模式下，云服务商除防护底层基础设施安全外，还需对其提供的虚拟机、云应用开发平台及网络访问控制等进行安全防护，并对其提供的数据库、中间件进行基础的安全加固；
在软件即服务（SaaS）模式下，云服务商需对整个云计算环境提供安全防护责任。

在云计算环境下，基于云计算形态、云安全责任边界以及云计算的架构，云计算等级保护对象有：

1) 云计算平台 ，即云服务商提供的云基础设施及其上的服务层软件的组合；

考虑到云计算的本质是服务，不同的云平台为云服务客户提供不同的云服务，所以云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象。有云计算基础服务平台（IaaS平台）、 云计算数据和开发平台（PaaS平台）以及云计算应用服务平台（SaaS平台）。

2) 云服务客户业务应用系统 
云服务客户侧的等级保护对象，利用云计算平台提供的云计算服务，根据其部署的云计算平台模式，确定定级对象边界。通常情况云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。
3)云计算技术构建的业务应用系统
存在一类系统为云计算形态，但无租户概念，对于此类系统应将业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合打包定级。
此外，对于大型的云平台(公有云)可将辅助服务系统（如CDN系统、运维、运营系统）进行单独的定级，该类系统可能为传统信息系统，也可能为云服务客户业务应用系统。
综上，在云计算环境中，对云计算系统/平台的定级大致可以分为下列几类：

表中A、D类系统，大致情形如下：
假设某云服务商L的云平台为云服务客户提供基础设施服务（或数据和开发服务），此时可确定其定级对象为云计算基础服务平台（IaaS）服务平台，T单位将业务系统部署在云服务商L提供的基础设施服务上，T单位的业务应用系统为A类云客户应用系统；
假设某云服务商L的云平台为云服务客户提供数据和开发服务，此时可确定其定级对象为云计算数据和开发平台（PaaS平台），T单位利用云服务商L提供的数据和开发服务，部署其业务系统，此时T单位的业务应用系统为A类云客户应用系统；
假设某云服务商L的云平台为云服务客户提供应用服务，此时可确定其定级对象为云计算应用服务平台（SaaS平台），T单位使用云服务商L提供的应用，拥有业务和数据管理权限，此时T单位的业务应用系统为D类云客户应用系统；
表中的B、C、D三类系统，大致情形如下：
假设某云服务商L的云平台为云服务客户提供基础设施服务，此时可确定其定级对象为云计算基础服务平台（IaaS）服务平台，X单位和G单位分别利用云服务商L提供的基础设施，搭建云平台，并为客户M提供PaaS、SaaS服务。
注意该情形中：

①　对于云服务商L来讲，X单位和G单位为其云服务客户；②　对于客户M来讲，此时X单位和G单位的角色变为云服务商。
X单位的系统定级类型为表中的B类系统，而G单位的系统定级类型为表中的C类系统。
客户M的系统可能为表中的A类系统或D类系统。D类系统是客户N直接使用云服务商云平台提供的SaaS服务，该类系统是否作为定级对象，需根据使用场景进行判定，若客户N仅使用该SaaS服务，无管理权限、未对数据进行处理，则无需定级，该类系统定级情形可参见邮件系统。
表中云计算技术构建的业务应用系统，情形如下:
P单位自建或购买第三方云计算技术，自行搭建云计算平台，单独为其业务系统提供服务，此时P单位的定级对象为云计算技术构建的业务应用系统。

常见的云计算定级场景：A云服务商为云服务客户B提供基础设施服务（计算/网络/存储），常见的A为阿里云、华为云、电信云等公有云厂商。
集团或大型企业为B，在购买了公有云服务商A的基础资源后，利用A提供的IaaS服务为客户C提供SaaS服务。SaaS化应用系统的安全责任主体为B。
C可能为个人用户，也可能为B的分支机构或服务个体。

此场景中：

A 类：云服务商的IaaS平台为定级对象；

B类：面向用户提供SaaS服务，定级为云服务客户业务系统B；C 类：根据用户场景进行定级。若C为B的分支机构或其他企业用户，数据安全责任主体为C，此时，C需对业务应用进行定级，且级别不得高于B对业务系统确定的安全等级，否则C无需定级。
注意：在实际关于云计算平台/系统的定级时，要合理区分SaaS云计算平台和SaaS云服务客户系统。

来源：等级保护测评