让人云里雾里的云等保，其实不是新鲜事物，只是从基本要求扩展而来，根据云计算的特性衍生出一些新的变化。根据GB/T22239.2《网络安全等级保护基本要求第二部分：云计算扩展要求》，总结变化如下： 

 

变化一：责任主体一分为二

云定级对象至少包括两部分：

云平台本身，需要平台服务商独立定级备案、过等保测评；

云租户信息系统，此系统即便迁移到云平台，仍需要单独定级备案。

另外云上开发的业务系统也应该独立定级备案、过等保测评，当然涉及云平台端不需要重复测评，测评结论直接引用即可。

 

变化二：不同模式责任不同

IaaS模式下物理机房、物理服务器、物理网络和云平台软件的安全由云服务商负责，租户需要对业务系统安全、虚拟机OS安全、数据安全、虚拟网络安全等负责。说直白点IaaS就是毛胚房，不能直接拎包入住，一定要先装修再入住，所以系统上云属于IaaS模式，一定要先做好安全开发、安全部署、安全加固。

IaaS模式下云服务与云租户的责任划分

SaaS模式下，安全责任大多是云服务商，云租户的安全责任很小，仅需要对内容安全、账号安全负责。 

PaaS模式下，根据《安全通用要求》和《扩展要求》的规定，客户虚拟机保护、硬件及虚拟层保护由云服务方负责，应用及数据保护、中间件层保护由云租户负责。

 

变化三：等保级别必须匹配

云平台建成后上线运行1个月内必须向公安机关提交定级备案手续，同一云平台可以承载不同等级的信息系统，但云平台的安全保护等级不能低于所承载信息系统的安全保护等级，即云平台只能承载等保同级别或低级别的租户系统，安全保护等级为2级的云平台不能承载3级信息系统，3级平台不能承载4级系统，这是云等保的基本要求。

 

变化四：测评对象适当增加

除了基本要求的测评对象之外，扩展要求增加了云计算属性相关测评对象。

云计算平台及云租户业务应用系统

与传统信息系统保护对象差异

2018年，无论传统IT还是云计算，网络安全等级保护的相关要求对最终用户来说不会有任何弱化，面对新技术和新环境，我们应该多对新标准新要求做到充分解读，在这个云起云涌的时代，充分享受云计算带来的便利，又很好地保障自己的安全。

（以上内容来源于e安在线）

目前13000+人已关注加入我们

 
 
 
 
 
 
 

 
 
 
 
 
 
 

• 盘点清朝的美人坯子，与现在的女明星比较丝毫不差
• 盘点！广州15种网红零食测评新鲜出炉，最好吃的居然12元不到！
• 庄家做庄一只股票需要多少筹码，干货分享
• 琅琊榜：盘点梅长苏最重视的6人，最后2女子可谓龙之逆鳞触之必怒
• 朱海斌：中国如何应对全球货币政策变化？
• 盘点:最容易成为男人备胎的8类女人
• 在离地球43.5亿公里的这颗星球上，正进行着不可思议的变化
• 盘点十二星座那些让人烦的性格特质
• DNF:鬼剑士5大最霸气武器盘点，这把武器曾是所有老玩家的梦想!
• 盘点全球大到不能倒的9大保险公司