云计算的本质是服务，如果不能将（jiāng）计算（suàn）资源规（guī）模化/大（dà）范围的进行共（gòng）享，如果不能真正（zhèng）以服（fú）务的形式（shì）提（tí）供，就根本（běn）算不上云（yún）计算。

等级保护定（dìng）级流程

定级是开展网（wǎng）络安全等级（jí）保护工作的 “基（jī）本出发（fā）点”，虚拟（nǐ）化技术（shù）使（shǐ）得传统的网络边（biān）界变得（dé）模糊，使（shǐ）得使用云计算技术的（de）平台/系统在定级时如何合理进行边（biān）界拆分（fèn）显得困难。

云计算等级保（bǎo）护对象的合理定（dìng）级对云计算系统/平台（tái）责任方在落实等级保护制度时（shí）有（yǒu）着决（jué）定性的（de）作用（yòng）。网络安（ān）全（quán）等级保护2.0基本的定级流（liú）程如下图：

网（wǎng）络安全等级保护2.0在定级过（guò）程中网络安全运（yùn）营者自主定级（jí），然后组织安全专（zhuān）家（jiā）和业务专家对定级结果（guǒ）的合理性进行评审，提供（gòng）专家评审意见。

大致的专家评审流程如下（xià）：

• 由等级保（bǎo）护对象责任主体(网络（luò）安全运营者)，阐（chǎn）述定级对象;
• 向（xiàng）评审（shěn）专家汇报等级保（bǎo）护对象的定级情况，分别从定级依（yī）据、自主定（dìng）级过（guò）程（chéng）、初步确（què）定等（děng）级概述、各（gè）信息（xī）系统的系统（tǒng）描述、风险着眼点、业务信息安全和系（xì）统服务安全等方面进行（háng）阐（chǎn）述;
• 专家听取等级保护对象（xiàng）拟定（dìng）级情况汇（huì）报后，讨论和质询，最终（zhōng）对定级级别形（xíng）成了意见评审表，现场（chǎng）打印由专家（jiā）签（qiān）字（zì），专家评审工作完成。

在开展等级保（bǎo）护对象定级时，网络（luò）运营者应基于（yú）系统业务情况、服（fú）务对象（xiàng）和（hé）自（zì）身信（xìn）息系统（tǒng）建设（shè）实（shí）际情况进（jìn）行合理（lǐ）的（de）定级。为保证定级的合理性，系统责（zé）任（rèn）方首（shǒu）先需明确等级保护对象和安全保（bǎo）护级别。

云计算等级保护对象

在云（yún）计算环境下（xià），等级保（bǎo）护对象可分为三（sān）类：

(1) 云计算平台

云服（fú）务商提供的云（yún）基（jī）础（chǔ）设施及其上的服务层软件的组合。云服（fú）务商可根据不同（tóng）的（de）云计算服务（wù）模式将云计算平台划分为不同的定级对（duì）象，如：云计（jì）算基础服（fú）务平台(IaaS平台（tái）)、 云计算数（shù）据（jù）和（hé）开发（fā）平台(PaaS平台（tái）)以及（jí）云计算（suàn）应用服务（wù）平（píng）台(SaaS平台)。

在明确等级保（bǎo）护（hù）对象是否适用等级保（bǎo）护中（zhōng）的云扩（kuò）展要求时（shí），首先（xiān）需保证云计算平（píng）台类（lèi）对象（xiàng）必须（xū）具备下列（liè）特征，否则不应（yīng）作为云计算平台类等（děng）级（jí）保护对（duì）象：

(2) 云服务客户业务应用系统（tǒng）

云服务客户业务（wù）应用（yòng）系统（tǒng）包括云服务客（kè）户部署在（zài）云计算平台上（shàng）的业（yè）务应用和云服务 商为云服务客户通过网络提供的应用服务。

云服务（wù）客（kè）户（hù）业务应用系（xì）统单独作为定级对（duì）象（xiàng）。

(3) 云计（jì）算技（jì）术构（gòu）建的业务（wù）应用系（xì）统

业（yè）务应用和（hé）为此业务应用（yòng）独立（lì）提供底层云计（jì）算服务、硬件资源的组合，此类系统中无云服务客户。

云计（jì）算技术构建的业务应用系统单独作为定级（jí）对象。

在（zài）云计算环（huán）境中，对云计算系统（tǒng）/平台的定级大致可以分（fèn）为下列几类：

安（ān）全保护（hù）级别

网络安全等级保护一共分为（wéi）五个（gè）级别：第一级、第（dì）二级（jí）、第三级、第四级、第（dì）五级。 安（ān）全（quán）保护等级两要素决定：等级保护对象（xiàng）受到破坏（huài）时所（suǒ）侵害（hài）的客体和对客体造成侵害的程度。

安全保护等（děng）级的确（què）定具有一定的“客观性”，由其（qí）自身所处理（lǐ）的业务数（shù）据和服务对（duì）象的重要程度决定。即：

• 受侵害的（de）客（kè）体（tǐ）;
• 对客体的侵害程度。

定级对象的安（ān）全主要包括业务信息安全和系统服务安全,与之相关的（de）受侵害客体和对客体的侵害（hài）程度可能不同，因此，安全保护（hù）等级也应由业务信息安全（quán）(S)和系统服务安全(A)两方面确定。根据业务信息的重要性和受到破坏后的（de）危害性确定业（yè）务信息安全等级;根（gēn）据系统服务的重要（yào）性和（hé）受到破坏后的危害性确定系（xì）统（tǒng）服务安（ān）全等级;具体确定方法（fǎ）依据下列（liè）矩阵进行判（pàn）断：

在分别确定业务信息安全的安全等级和系（xì）统服务的安（ān）全等（děng）级后（hòu），由二者中较高级别确定等（děng）级（jí）保（bǎo）护对象（xiàng）的安全级别，如：

• 业（yè）务信（xìn）息安全：第二级，系统服务：第三级，最终等级保护级别为：第三级;
• 业务（wù）信息安全：第四级，系统服务：第三级，最终等级保（bǎo）护级别为：第四（sì）级;
• 业务信息安（ān）全：第三级，系统（tǒng）服（fú）务：第三级，最（zuì）终等级保护级别为（wéi）：第（dì）三级（jí）。

常见的云（yún）计算定级场景：

• A云服务商为（wéi）云服务客户（hù）B提供基础设施服务(计算/网络/存储)，常见的（de）A为阿里云、华为（wéi）云、电信云等公有云厂商。
• 集团或大型（xíng）企业为B，在购买了公有云服务商A的（de）基础资源后，利用（yòng）A提供的IaaS服务为用户C提供SaaS服务。SaaS化应用系统（tǒng）的安全（quán）责任主体为B。
• C可能为（wéi）个人用户，也可能为B的分支机构或（huò）服务个体。

此场景中：

• A 云服务商的IaaS平台为等级（jí）保护对（duì）象（xiàng）;
• B 面向用户提供SaaS服务，定级为云服务客户业务系统B;
• C 根（gēn）据用户（hù）场（chǎng）景进行定级（jí）。若为B的分（fèn）支机构或其（qí）他企业用户，数据安（ān）全责任主体为C，此时，C需对业务应用进行（háng）定级（jí），且级别不得高于B对（duì）业务系统确（què）定的安全等级。

注意：在（zài）实际关于云（yún）计算平台/系统的定级（jí）时，要合理区分SaaS云计算（suàn）平（píng）台和SaaS云服务客户系统。