随着云计算技术在国家关键信息基础设施领域的应用日益广泛,原有的信息安全等级保护标准体系的适用性也逐渐降低。因此,根据云计算环境中的新增安全威胁和主要防范手段,在《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求》进行了扩展,形成了云计算安全扩展要求(以下简称“云等保”)。
1、云等保的责任归属
在不同的云计算服务模式中,云服务方和云租户拥有不同的控制范围,控制范围则决定了安全责任的边界。
2、云等保的定级要求
①在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象作为单独的定级对象定级;
②对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象;
③同时,云计算平台不承载高于其安全保护等级的业务应用系统。
3、云等保的备案要求
云系统部署在各类云平台上面,而云平台的实际物理地址往往和云租户不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址。也因此,对于云租户来说,应当在云租户云环境系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。
4、云等保的建设流程
对于云服务商来说,一方面,其需要对自己的云平台进行定级、备案、建设整改、测评等一系列流程;另一方面,其还需要给云租户提供必要的支撑,包括云服务商安全资质、通过测评的证明材料等。
5、云等保的测评要求
①传统系统在进行等级保护测评时依据《安全通用要求》,云系统依据《安全通用要求》+《云计算安全扩展要求》;
②在测云服务方的云计算平台上的定级系统时,应选择全部《安全通用要求》+《云计算安全扩展要求》中适用于云计算平台的部分指标;
③在测云租户业务应用系统时,应选择全部《安全通用要求》+《云计算安全扩展要求》中适用于云租户业务系统的部分指标;
④机制鼓励云服务方努力加强云平台自身的安全防护,这也使得云租户在选择云平台的时候不能只考量经济成本,需尽量选择安全防护工作做得更好的云计算平台。
