云计算的本质是服务，如（rú）果不能将计（jì）算（suàn）资（zī）源规模化/大范围的进行共享，如果不能真正以服务的（de）形式提供，就根本算不上云计（jì）算。

等级保（bǎo）护定级流程

定（dìng）级是开展网（wǎng）络（luò）安全等级保护（hù）工作的 “基本出发（fā）点”，虚拟（nǐ）化技术（shù）使得传（chuán）统的网络（luò）边界变得模糊（hú），使得使用云计算技术（shù）的平台/系统在定级时如（rú）何合理进行边界拆分显得（dé）困（kùn）难（nán）。

云计算等级保护对象的合（hé）理定级（jí）对云（yún）计（jì）算（suàn）系统/平台责任方在落实（shí）等级保护制度（dù）时有着决（jué）定性（xìng）的作用。网络安全等级（jí）保护2.0基本的定级（jí）流程如下图：

网络安全等级保护2.0在定级过（guò）程中网（wǎng）络（luò）安全运营者自主定级，然后组织（zhī）安全专家和业务专家对（duì）定级结果的（de）合理性进行评审，提供（gòng）专（zhuān）家评审（shěn）意见。

大致的专家评审流程如下：

• 由等（děng）级保护对象（xiàng）责任主体(网（wǎng）络安全运营者)，阐述定级对（duì）象;
• 向评审专家（jiā）汇报（bào）等级保护对象（xiàng）的定级情（qíng）况，分别从定级（jí）依据（jù）、自（zì）主定级过（guò）程、初步确定等（děng）级（jí）概述、各（gè）信（xìn）息系统的系统描述、风险着眼（yǎn）点、业务（wù）信息安全和系统服务安全等方面进（jìn）行阐（chǎn）述;
• 专家（jiā）听取等级保护对象拟定级情况汇报后，讨论和质询，最终对定级级别形（xíng）成（chéng）了意见评审表，现场打印由专家签字，专家评审工作完成。

在开（kāi）展（zhǎn）等级保（bǎo）护（hù）对象（xiàng）定级时（shí），网络运营者应基于系统业务（wù）情况、服务对象和（hé）自身信息系统建设实际情（qíng）况（kuàng）进（jìn）行（háng）合理的定（dìng）级。为（wéi）保证定级的合理（lǐ）性，系统责任方首先（xiān）需明（míng）确等（děng）级保护对（duì）象和（hé）安全保（bǎo）护级别。

云计算等（děng）级保护对象

在云计算环境下，等（děng）级保护（hù）对象可分为三（sān）类：

(1) 云计算平台

云服务商提供的云基础设施及其上的服务（wù）层软件的组合。云服务商可根据不（bú）同的（de）云（yún）计算服（fú）务模式（shì）将云计算（suàn）平台划分为（wéi）不（bú）同的（de）定（dìng）级对（duì）象，如：云计算基础服务（wù）平台(IaaS平台)、 云（yún）计算数据和（hé）开发平台(PaaS平台)以及云计算应用服务平台(SaaS平（píng）台)。

在明确（què）等级保（bǎo）护对象（xiàng）是否适用（yòng）等（děng）级保护中（zhōng）的云扩展要求时（shí），首先需保（bǎo）证云计算平（píng）台类（lèi）对（duì）象必须具备下列特征，否则不应作为（wéi）云计算平（píng）台类（lèi）等级保护对（duì）象（xiàng）：

(2) 云服务客户业务应用系统

云服务客户（hù）业务（wù）应（yīng）用（yòng）系统包括云服务客户部署在（zài）云（yún）计算平台上（shàng）的业务应用和云服务 商（shāng）为云（yún）服（fú）务客户通过网络提供（gòng）的应（yīng）用服务（wù）。

云服务客户（hù）业务应用系（xì）统（tǒng）单独作（zuò）为定级（jí）对象。

(3) 云计算技术构建的业务（wù）应用系统

业务应（yīng）用和为此业务应用独立（lì）提供（gòng）底层云（yún）计算（suàn）服务、硬件资源（yuán）的（de）组合，此类系（xì）统（tǒng）中（zhōng）无云服务（wù）客（kè）户。

云计算（suàn）技术构建的（de）业务应用系统单独作为定级对（duì）象。

在云计算环（huán）境中，对云计算系统/平台的定级（jí）大致（zhì）可（kě）以分为下（xià）列几类：

安（ān）全保护（hù）级别（bié）

网络安全（quán）等（děng）级保护一共分为五（wǔ）个级别：第一（yī）级、第二级、第（dì）三级、第四级、第五级。 安（ān）全保护等（děng）级两要（yào）素决定（dìng）：等级保护对象受到破坏时（shí）所（suǒ）侵害的客体和对（duì）客体造成侵（qīn）害的程度。

安全保护等级的（de）确（què）定具有一定的“客观性”，由其（qí）自身所处理的业务数据和服务对象的重要程度决定（dìng）。即（jí）：

• 受侵害的客体;
• 对客体的侵害程度（dù）。

定级（jí）对象的安全主要包括业务信息安全和系（xì）统服务安全,与之相关的受侵（qīn）害客体和对客（kè）体的（de）侵（qīn）害（hài）程（chéng）度可能（néng）不同，因此，安全保护等级也（yě）应由（yóu）业务（wù）信息（xī）安全（quán）(S)和系统服务安全(A)两方面确定。根（gēn）据业（yè）务信息的重要性和（hé）受到（dào）破坏（huài）后的危（wēi）害性确定业务信息安全等级;根（gēn）据系统服务的重要性和受到破坏后的危害性确（què）定系统服务安全等级;具体（tǐ）确（què）定方法依据下列矩阵进行判断：

在（zài）分（fèn）别（bié）确定业（yè）务信息安（ān）全的安全（quán）等级和系（xì）统服（fú）务的安（ān）全等级后，由二者中较高级别（bié）确定等级保护对（duì）象的安全（quán）级别，如：

• 业务信息安全：第二（èr）级，系统服务：第三（sān）级（jí），最终等（děng）级（jí）保护级别为：第（dì）三级;
• 业务信息安全：第四级，系统服（fú）务（wù）：第三级，最终（zhōng）等（děng）级保护级别（bié）为（wéi）：第四级;
• 业务信息（xī）安（ān）全：第三（sān）级（jí），系统服务：第三级（jí），最终等（děng）级保护（hù）级别为：第三级。

常见的（de）云计算（suàn）定级场景：

• A云服务（wù）商为云服务客（kè）户B提供基础设施服务(计算/网络/存储)，常见的A为阿（ā）里云、华为云（yún）、电信云等公有云厂商。
• 集（jí）团或大（dà）型企（qǐ）业为（wéi）B，在（zài）购买了公有云（yún）服（fú）务商（shāng）A的基础资源后，利用A提供的IaaS服务为用户C提供（gòng）SaaS服（fú）务。SaaS化应用系统（tǒng）的安全责任主体为B。
• C可能（néng）为（wéi）个人用户，也可能为B的分支机构或服（fú）务个体。

此场景中：

• A 云服务商的IaaS平台为等（děng）级保护对（duì）象;
• B 面（miàn）向用户提（tí）供SaaS服务，定（dìng）级为云（yún）服务客户业务（wù）系统（tǒng）B;
• C 根据用户场景进（jìn）行定（dìng）级。若为B的分支机构（gòu）或其他企业（yè）用户，数据安全责任主体为（wéi）C，此（cǐ）时（shí），C需对业务应用进行定级，且（qiě）级（jí）别不（bú）得高于B对业（yè）务系统确定的安（ān）全等级。

注意：在实际关于云计算平台/系（xì）统的定（dìng）级时，要合理（lǐ）区分SaaS云计算平台和SaaS云服务客户系（xì）统。