新闻动态

　　云计算平台开展等级保护工作

　　近几年随着云计算技术的快速发展，以及其广泛应用，云计算系统作为新拓展的保护对象已纳入等级保护工作范围，今天就基于云计算平台的信息系统如何开展等级保护工作的一些工作方法做下讨论及分享。

　　一. 云服务模式及安全责任主体阐析

　　云服务模式解析

　　云服务的服务模式包括基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)，具体如下：

　　基础设施即服务(IaaS)模式，云服务客户需对其部署在云上的各类可控的资源进行安全配置：对虚拟网络资源安全防护，对其云资源账户进行安全策略配置，对运维人员实施权限管理及职责分离，并对云产品合理的安全策略配置。此外，对于云服务客户自行部署在云上的业务应用、数据库及中间件等均需云服务客户进行安全管理;

　　平台即服务(PaaS)模式，云服务客户需保证其部署在云平台上的业务应用和数据的安全性，并对云产品进行安全配置，云资源账户安全管理;

　　软件即服务(SaaS)模式，云服务客户仅需对其选用的应用进行安全配置，并对自身业务数据做好安全防护工作。

　　云服务模式安全管理责任主体解析

　　云计算服务模式与控制范围的关系图

　　基础设施即服务(IaaS)

　　平台即服务 (PaaS)

　　软件即服务(SaaS)

　　二、基于“云”的信息系统开展等级保护测评工作

　　云服务方及云租户在分别对云计算平台和云租户信息系统开展等保测评工作时，应委托具有公安部认证资质的测评机构，并依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)中的通用要求和扩展要求开展等保测评工作。

　　云服务方在等保测评工作中，应对其提供云服务的云计算平台的物理基础设施、网络(含物理网络及虚拟网络)环境及设备(含网络通信及安全防护设备)、承载云服务的物理/虚拟主机、云管理应用业务平台、数据安全保护(含备份恢复)、安全策略及管理制度、安全管理机构及人员、安全建设管理、安全运维管理等方面开展等保测评获取相应的测评数据，并分析评估输出正式的《测评报告》。

　　云租户在等保测评工作中，应重点对其运行在云服务方提供的云计算平台上的信息系统的网络(主要是虚拟网络)环境及设备(含虚拟网络通信及虚拟安全防护设备资源)、承载业务应用的虚拟主机、云租户的应用系统及相关软件组件、安全策略及管理制度、安全管理机构及人员、安全建设管理、安全运维管理等方面开展等保测评获取相应的测评数据，并分析评估输出正式的《测评报告》。

　　在云租户开展等保测评工作中有涉及到需要获取云服务方的测评数据的，云租户应与云服务方协调并签署相应的《保密协议》后，再有云服务方将其相应的测评数据进行提供给云租户。

　　三. 总结

　　云服务方及云租户应严格遵从“谁使用谁负责，谁主管谁负责，谁运营谁负责”的原则，严格按照《中华人民共和国网络安全》、国家及行业的网络安全规范及标准开展等保工作，履行好相应的网络安全保护责任及义务，切实做好网络安全保护工作，保障系统的稳定运行。

　　同时，云服务方应切实认真做好云计算平台的基础安全保护，才能更好的向云租户提供优质安全的云服务;云租户不能因为自己的信息系统托管存放在云服务方的云计算平台上，就认为其所管理及使用的信息系统的安全责任全部归属云服务方全权负责;安全责任重于泰山，云服务方与云租户应合力共同做好网络安全保护的相关工作，为国家的网络安全工作贡献一份力，没有网络安全就没有国家安全。

【版权与免责声明】本文转自互联网，如发现内容存在版权问题，烦请提供相关信息发邮件至 zhangss@kkidc.com ，我们将及时沟通与处理，谢谢！