云（yún）计（jì）算（suàn）的本质是服务，如果不能将计算资源规模化/大（dà）范围的进（jìn）行共享（xiǎng），如果不能真（zhēn）正以服务的形式提供，就根本算不上云计（jì）算。

等级保护定（dìng）级流程

定级（jí）是（shì）开（kāi）展网络安全等级保护工作的 “基（jī）本出发点”，虚拟化技术使得（dé）传统（tǒng）的网（wǎng）络边（biān）界变（biàn）得模糊，使（shǐ）得使用云计算技术的平台/系统在定（dìng）级时如何合理进行（háng）边（biān）界拆分显得困难。

云计算等级（jí）保（bǎo）护对象的合理定级对云（yún）计（jì）算系统/平台责任方在落（luò）实等级保护制度时有着决定性的作用。网（wǎng）络（luò）安全等级保（bǎo）护2.0基本的定级流（liú）程（chéng）如下图：

网络安全等级保护（hù）2.0在定（dìng）级过（guò）程中网（wǎng）络安全运营（yíng）者自（zì）主定级，然后组织安全专（zhuān）家和（hé）业务专家对（duì）定级结果的合理（lǐ）性进行评审，提供专家评审意见。

大致的专（zhuān）家评审流程如（rú）下：

• 由（yóu）等级保护（hù）对象（xiàng）责任主（zhǔ）体(网络安全运营者)，阐（chǎn）述定级对象（xiàng）;
• 向评审专家汇报等级保护对象的定级情况（kuàng），分（fèn）别从定级依据、自主定级过程、初（chū）步确（què）定等级概述、各信息系统的（de）系统描（miáo）述、风险（xiǎn）着眼（yǎn）点、业（yè）务信（xìn）息安全（quán）和系统服务安全等方面进行阐述（shù）;
• 专家听取等（děng）级保护对象拟定级（jí）情况汇报（bào）后（hòu），讨论和质询，最（zuì）终对定级级别形成了意见（jiàn）评审表，现（xiàn）场打印由专（zhuān）家签字（zì），专家评审（shěn）工作（zuò）完成。

在（zài）开展等级保护对（duì）象定级时，网络运营者应基于系统业（yè）务情况、服务对象和自身信息（xī）系统建设实（shí）际情况进（jìn）行合（hé）理的定级。为保证定级的合理（lǐ）性（xìng），系统（tǒng）责任方首先（xiān）需（xū）明确等级保护对象和安全保护级别（bié）。

云计（jì）算等级保护对象（xiàng）

在云计算（suàn）环境下，等（děng）级保护（hù）对象可分为（wéi）三（sān）类：

(1) 云计算平台

云服务商提供（gòng）的云基础设施及其上的服（fú）务层软件的（de）组合。云服务商可根（gēn）据不同的云计算服务模式将云计（jì）算平台划分（fèn）为不同的（de）定（dìng）级对象（xiàng），如（rú）：云计算基础服（fú）务（wù）平台（tái）(IaaS平台（tái）)、 云计算（suàn）数据（jù）和（hé）开发平台(PaaS平台)以（yǐ）及（jí）云计（jì）算应用服务（wù）平台(SaaS平台（tái）)。

在明确（què）等级保护对象是否适用等级（jí）保护中（zhōng）的云扩（kuò）展（zhǎn）要求时，首先需保（bǎo）证云计算（suàn）平台类（lèi）对象必须具备下列特征，否则不应作为云计算平（píng）台类等级（jí）保护对象：

(2) 云服务客户业务应用系统（tǒng）

云服务客户业务应用系统（tǒng）包括云服务客户（hù）部署在云计算平台上的业务应（yīng）用和云服务 商（shāng）为云服务客户通（tōng）过网络提（tí）供（gòng）的应用服务。

云服务客户业务应（yīng）用（yòng）系统单独（dú）作为定（dìng）级对象。

(3) 云计算技术构建的业（yè）务应用系统

业务应（yīng）用和为（wéi）此业（yè）务应用独立提供底层（céng）云计算服（fú）务、硬件资源的组合，此类系统中无云服务客户。

云计算技术构建的业务应用（yòng）系统单独作（zuò）为定级对（duì）象。

在云计算环（huán）境中，对（duì）云计算系统/平台的定级大致（zhì）可（kě）以分为下列几类：

安全（quán）保护级（jí）别

网络安全等级保护一共分为五个级别：第（dì）一（yī）级、第二级、第三级、第四级（jí）、第（dì）五级。 安全保护等级两（liǎng）要素决定：等级（jí）保护对象受（shòu）到破坏（huài）时所侵害的客体（tǐ）和对客体造成侵害的程度。

安（ān）全保护等级的确定具有一（yī）定的“客观性”，由其自身所处理（lǐ）的业务数据（jù）和服务（wù）对象的重要程度（dù）决定（dìng）。即：

• 受侵害的客体;
• 对（duì）客体的侵害程度。

定级对象的（de）安全主（zhǔ）要包括业（yè）务信息安全和系统（tǒng）服务（wù）安全,与之相关的受侵害客体和对客体的侵害程（chéng）度可能不同（tóng），因此，安全保护等（děng）级也应由业务信息安全(S)和系统（tǒng）服务安全(A)两方面确定。根据业务（wù）信息的重要性和受（shòu）到破坏后的（de）危（wēi）害性确定（dìng）业务信息安全等级（jí）;根据系统服务的重要性（xìng）和受到（dào）破坏后的危害性确定系统服务安（ān）全等级;具体确定（dìng）方法依据（jù）下列矩阵进行判（pàn）断：

在分别确（què）定业务信息安全的安全等级和（hé）系统服务的安全等级后，由二者中较高级别（bié）确定等级保护对（duì）象的安全级别，如：

• 业务信息（xī）安全：第二级，系（xì）统服务：第三级，最终等级保（bǎo）护级别为：第三级;
• 业务信息安全：第四级，系统服务：第三级，最（zuì）终（zhōng）等（děng）级保（bǎo）护级别为：第（dì）四级;
• 业务信息安全：第三级，系统服务：第三级，最终等级保护级（jí）别为（wéi）：第（dì）三级。

常见的云（yún）计（jì）算定（dìng）级场景（jǐng）：

• A云（yún）服务商为云服务（wù）客（kè）户B提供基础设施（shī）服务（wù）(计算（suàn）/网（wǎng）络/存储)，常（cháng）见的A为阿（ā）里（lǐ）云、华为云（yún）、电信云等公有云厂商。
• 集团或大（dà）型企业（yè）为B，在购买了公（gōng）有云服务商A的基（jī）础资源后（hòu），利用（yòng）A提供的IaaS服（fú）务为用户C提供SaaS服务。SaaS化应用系统的安全责任主（zhǔ）体为B。
• C可能为（wéi）个人用户，也可能为B的分支机构或服务个体。

此场景中：

• A 云服务商的（de）IaaS平（píng）台为等级保护对（duì）象;
• B 面向用户提供SaaS服务，定级为云服务客户业务系统B;
• C 根据用户场景（jǐng）进行定级。若为B的分（fèn）支机构（gòu）或其他企业用户，数据安全责（zé）任主体为C，此时，C需对（duì）业务应用进行定级，且级别不得高于B对业（yè）务（wù）系统确（què）定（dìng）的安全等级。

注意（yì）：在实际（jì）关于云计算平台（tái）/系统的定级时，要合理区分SaaS云计算平台和SaaS云（yún）服务客（kè）户系统。