2017年6月1日《網絡安全法》正式實施，網絡安全等級保護進入有法可依的2.0時代，網絡安全等級保護制度規定於《網絡安全法》的第二十一條，要求網絡運營者應當按照網絡安全等級保護制度，履行相應安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

網絡安全等級保護系列標準於2018年12月，2019年5月陸續發佈，《GB/T 22239-2019信息安全技術 網絡安全等級保護基本要求》（下稱“基本要求”）已於12月1日起正式實施。業務應用系統逐步“雲上”部署或遷移“上雲”，作爲雲上業務系統的運營者該如何落實等級保護制度，如何開展網絡安全等級保護工作？本篇對此簡要分析，助力雲服務客戶快速、高效地落實網絡安全等級保護制度。網絡安全等級保護制度中兩個關鍵動作“定級”、“測評”，關於雲服務客戶如何順利開展這兩項關鍵動作，需明確：面向“對象”和麪向“責任”。

面向對象——等級保護對象，測評對象 1 等級保護對象

基於雲計算特性，在不同的雲計算保護形態下，對於公有云，等級保護對象可分爲“雲計算平臺”、“雲服務客戶業務系統”，基於雲計算服務模式的不同，雲計算平臺這一保護對象可以分爲“雲計算基礎服務平臺（IaaS類）、雲計算數據開發平臺（PaaS類）、雲計算應用服務平臺（SaaS類）”。對於雲服務客戶而言，其部署在不同雲計算服務模式下的業務應用系統，應作爲等級保護對象，等級保護對象爲雲服務客戶業務系統。

2測評對象

雲服務客戶在明確等級保護對象爲雲服務客戶業務應用系統時，在開展等級保護測評工作，明確測評對象前首先需瞭解安全責任。在明確安全責任的情況下，對測評對象進行合適的選取，如在IaaS服務模式下，測評對象類有：

面向“責任”——安全責任，基本要求責任 1 安全責任

“因爲信任，所以選擇”，雲服務客戶選擇將業務系統部署在雲上，在應用雲服務商提供的便捷、高效的雲服務同時，應與雲服務商”劃”清安全責任邊界，瞭解清楚業務系統“上雲”後需面對的安全責任，而不是對安全責任進行“甩鍋”。關於雲計算安全責任，在不同的雲計算服務模式下，雲服務客戶分擔的責任也有所不同。

在基礎設施即服務（IaaS）模式下，雲服務客戶需對其部署在雲上的各類可控的資源進行安全配置：對虛擬網絡資源安全防護，對其雲資源賬戶進行安全策略配置，對運維人員實施權限管理及職責分離，並對雲產品合理的安全策略配置。此外，對於雲服務客戶自行部署在雲上的業務應用、數據庫及中間件等均需雲服務客戶進行安全管理；

在平臺即服務（PaaS）模式下，雲服務客戶需保證其部署在雲平臺上的業務應用和數據的安全性，並對雲產品進行安全配置，雲資源賬戶安全管理；

在軟件即服務（SaaS）模式下，雲服務客戶僅需對其選用的應用進行安全配置，並對自身業務數據做好安全防護工作。

無論哪種雲服務模式，雲服務客戶對其業務數據擁有所有權和控制權，需負責各項具體的數據安全配置。

2 基本要求責任

網絡安全等級保護基本要求包括通用要求和擴展要求，對於雲服務客戶而言，無論是通用要求還是擴展要求，均需滿足，但考慮到部分條款的特殊性與針對性，部分基本要求條款可能在雲服務客戶側不適用。如部署在公有云平臺（IaaS）上的雲服務客戶業務系統，安全通信網絡、安全區域邊界及安全管理中心這幾個安全類主要針對虛擬網絡、虛擬網絡架構、虛擬網絡邊界，而不應將其安全責任歸屬於雲平臺。

雲計算擴張要求是針對雲計算特性提出的要求，雲服務客戶將業務應用系統部署在公有云平臺上，自然雲平臺需爲雲服務客戶承擔部分安全責任（如物理環境安全），但是絕不是全部責任。

終極一問：部署在公有云上的業務系統如何開展等級保護工作？

01 雲服務客戶明確等級保護對象爲雲服務客戶業務系統，明確業務系統在雲上的部署模式，劃清自己業務系統的定級邊界、合理定級、備案。

02 雲服務客戶明確業務系統部署雲平臺落實等級保護制度的情況，需向雲服務商側獲取下列內容：

雲平臺等級測評報告編號；

雲平臺等級測評結論擴展表（雲計算安全）；

雲平臺等級測評總體評價；

雲平臺主要安全問題及整改建議；

雲服務商主要安全問題整改情況。

基於雲平臺安全合規狀況，依據等級保護相關要求合理進行安全建設。

03、正確開展等級測評工作，有效、正確的開展等級測評需明確兩部分內容：測評對象、測評指標。

測，測的是安全措施到位與否；

評，評的是安全能力是否能匹配指標；

所謂對象，應是等級保護對象，即，而非單一設備；

所謂指標，是網絡安全等級保護基本要求測評項，是評估系統安全能力是否匹配等級保護基本要求的評價集。

測評對象：

關於雲計算測評對象的選擇，其實是對雲計算安全等級保護對象的識別，明確所面對平臺/系統要保護或是應保護的對象，隨着雲大物移等新技術的迅速崛起，等級保護2.0基於“一箇中心，三重防護”的縱深防禦體系，着重於全方位的主動防禦、動態防禦、精準防護、整體防控和羣防羣治的安全防護體系。

在雲計算環境中，通信網絡、區域邊界、計算環境聯合的三重防護共同構築了網絡安全的基礎環境：通信網絡側的安全保護對象應爲整個系統/平臺的網絡架構、網絡通信環境及所有網絡設備，區域邊界側的安全防護對象應爲整個網絡邊界架構及所有邊界安全設備；因此，通信網絡、區域邊界的保護對象是整個的系統/平臺(全局性)，而不應將其分別映射到某一單獨對象。

儘管，通信網絡和區域邊界兩個安全類的任一測評項可能會映射到某一個（類）或某幾個（類）設備，但是基於全局考慮的結果，而不是單個設備累積而成的。

計算環境側的保護對象應爲整個計算環境的各計算節點，包括網絡/安全設備，服務器（操作系統、數據庫管理系統、中間件）、業務應用、系統管理軟件及數據。服務器是一個類的**，包括了操作系統、數據庫管理系統、中間件，因此服務器應爲保護對象，而非單獨的操作系統、數據庫、中間件。

安全管理中心、安全管理類（安全管理制度、 安全管理機構、 安全管理人員、 安全建設管理、 安全運維管理）均應爲全局類保護對象。

評指標選取：

在網絡安全等級保護中，雲計算等級保護測評指標包括網絡安全等級保護通用要求和雲計算擴展要求。關於雲計算擴展要求的指標，很鬱悶爲何有人會認爲雲擴展指標要對應到某一設備？網絡安全等級保護擴展要求，所謂擴展要求，是針對雲計算環境，在基本要求的基礎上，基於雲計算環境的特殊性，而對整個雲計算環境而提出的要求，而非某單一設備。基於雲計算安全責任分擔模型，雲擴展指標可分別映射到雲服務客戶側和雲計算平臺側。

在通用要求側，無論是雲服務商雲計算平臺側，還是雲服務客戶系統側，都需從整個架構考慮其安全性，從整體的物理基礎設施、網絡架構、區域邊界的防護架構，及整個安全計算環境和安全管理中心（包括各安全類所有指標），計算環境側保護對象涉及多類設備，可以將計算環境側指標抽象爲設備類、數據類及業務應用類，數據類指標包括數據加密性、數據完整性及數據備份和恢復，考慮到雲計算指標的唯一性，數據備份恢復測評項c：應提供重要數據處理系統的熱冗餘，保證系統的高可用性；應主要針對計算設備、業務應用及系統管理軟件，而網絡設備、邊界設備的冗餘性要求則在通信網絡側要求。

關於雲計算環境擴展要求的指標， 是針對整個雲計算環境的全局性指標，在區分各指標是對雲服務商的安全能力需求，還是雲服務客戶安全能力的要求，可基於下列規則進行識別（選取）：

網絡安全等級保護雲計算擴展指標選取原則：

a雲平臺應爲雲服務客戶提供的服務或雲服務商自身需滿足的安全能力，安全責任由雲服務商承擔；

b 雲服務商爲雲服務客戶提供的服務，但需雲服務客戶進行配置，安全責任由雲服務商和雲服務客戶分擔；

c 雲服務商和雲服務客戶同時需對各自的保護對象進行安全防護的，此類安全責任由雲服務商和雲服務客戶各自承擔各側的安全責任；雲服務商和雲服務客戶對同一保護對象共同進行安全防護，此類安全責任由雲服務商和雲服務客戶各自承擔各側的安全責任。

d 雲服務商的選擇權在雲服務客戶，安全責任由雲服務客戶承擔。在雲服務客戶側，通用要求已經覆蓋的，擴展要求側安全責任不在要求。

從網絡安全等保護2.0的核心防護思想、網絡安全防護體系及戰略目標來看，網絡安全等級保護2.0始終是從整個系統架構提出的安全性要求，因此，無論是測評對象的選取還是測評指標的選擇，均應從安全防護架構的角度考慮。

04、雲服務客戶業務系統等級測評結論

雲服務客戶業務系統部署在雲平臺上，其等級測評結論必然與雲計算平臺有一定的關係。

*本文作者：艾爾等保之道，轉載請註明來自FreeBuf.COM

相關文章