云计算的（de）本质（zhì）是服务（wù），如果不能将计算资（zī）源规模化/大范围的进行（háng）共（gòng）享，如果不能（néng）真正以服务（wù）的形式提供，就根本算不上云计算。

等级保护定级流（liú）程

定级是（shì）开展网络安全等级保护工作的 “基（jī）本（běn）出发（fā）点”，虚拟化技术使得传统的网络边界（jiè）变得模糊，使（shǐ）得使用云（yún）计算技（jì）术的平台/系统在定级时如何合理进行（háng）边界拆分显得（dé）困难。

云计算等级保护对（duì）象的合理定级对（duì）云计算系统/平台责任方在落实等级保（bǎo）护制度时（shí）有着决定性（xìng）的（de）作（zuò）用。网络（luò）安全等级（jí）保护2.0基本的定（dìng）级流程如下图：

网络（luò）安（ān）全等级保护2.0在定（dìng）级过程中网络安全运（yùn）营者自主定级，然后（hòu）组织（zhī）安全（quán）专（zhuān）家和业务专家对定级结果的合（hé）理性（xìng）进行评审，提供（gòng）专（zhuān）家评审意（yì）见（jiàn）。

大（dà）致的（de）专家评审流程如下：

• 由等级保护对象责任主（zhǔ）体(网络安全运营（yíng）者)，阐（chǎn）述定级对象;
• 向评审专家汇报（bào）等（děng）级（jí）保（bǎo）护对象的定级情况，分（fèn）别（bié）从定（dìng）级依据、自主（zhǔ）定级过程、初步确定（dìng）等级概述、各信息（xī）系（xì）统（tǒng）的系统描述（shù）、风险着眼（yǎn）点、业务信息安全和系统服务安全等（děng）方面进行（háng）阐述;
• 专家听取等级（jí）保护对象拟定级情况汇报后（hòu），讨论和质询，最终对定级（jí）级别形成了意见评审表，现（xiàn）场打印由专家签字（zì），专家评审（shěn）工作完成。

在开展等（děng）级保护对象（xiàng）定级时，网络（luò）运（yùn）营者应基（jī）于（yú）系统业务情况、服务对象和自身（shēn）信息（xī）系统建设实际情（qíng）况进行合理的定级。为（wéi）保证定（dìng）级的合理性，系统责任方首先需（xū）明确等（děng）级（jí）保护对象和安（ān）全保（bǎo）护级（jí）别。

云计算等（děng）级保（bǎo）护对（duì）象（xiàng）

在云计算环（huán）境下，等级保护（hù）对象可分为三类：

(1) 云计算（suàn）平台（tái）

云服务商提供（gòng）的云基础设施（shī）及其上的服务层软（ruǎn）件的组（zǔ）合。云服务（wù）商可（kě）根据不同的云计算服务模式将云计算平台（tái）划分（fèn）为不同（tóng）的定级对象，如：云计算基础服务平台(IaaS平台)、 云计算数（shù）据和开（kāi）发（fā）平台（tái）(PaaS平（píng）台)以（yǐ）及云计算应用服务平（píng）台(SaaS平台)。

在明确等级保护对象是否适用等级保护（hù）中（zhōng）的云扩展要求时，首先需保证云计算平台类对（duì）象必须（xū）具备下列特征，否则不应（yīng）作为云计算平台类等级保（bǎo）护对（duì）象：

(2) 云服务（wù）客户业务应用系统

云服务客户业（yè）务应用系统包（bāo）括云服务客户部署在云计（jì）算平（píng）台上的业务应用和云服（fú）务 商为云服务客户通过网络提供的应用服务（wù）。

云服（fú）务客（kè）户业务应用系统单（dān）独作为定级（jí）对象。

(3) 云计算技（jì）术构建的业务（wù）应用系统

业（yè）务应用和为（wéi）此（cǐ）业务应用独立提供（gòng）底（dǐ）层云（yún）计算服务、硬件资源的组合，此类（lèi）系统中（zhōng）无云服务客户。

云计算技术构建的业务应用系统单独作为定级对象。

在云计算环境（jìng）中，对云计算（suàn）系统（tǒng）/平台（tái）的（de）定级大致可以分为（wéi）下列几类：

安（ān）全保护（hù）级别

网络安全等级保护一共（gòng）分为五个级别：第一级、第二（èr）级、第（dì）三（sān）级（jí）、第四级、第五（wǔ）级。 安全保护等级两要素决（jué）定：等级保护对（duì）象受到破坏时（shí）所侵害（hài）的客体（tǐ）和对（duì）客体造（zào）成侵害（hài）的程（chéng）度。

安全保护等（děng）级的确定具有一定（dìng）的（de）“客观性”，由其自身所处（chù）理的业务数据和服务（wù）对象的重要程度决定。即：

• 受侵（qīn）害（hài）的客体（tǐ）;
• 对客体的侵害程度。

定级对象的安全主要包括业务信息安全和系统服务安（ān）全,与之相（xiàng）关的（de）受侵（qīn）害客体和对客（kè）体的侵害（hài）程度可能不同，因此，安全保护等级也（yě）应由业务（wù）信息安全(S)和系统服务（wù）安全(A)两方（fāng）面确定。根据业务信息的重要性和受到破坏后（hòu）的危害性确定业务信息安全等级;根据系统服务的重要（yào）性和受到（dào）破坏（huài）后的危害性确定系统（tǒng）服务安全（quán）等级;具体（tǐ）确定方法（fǎ）依据下列矩阵进行（háng）判断：

在分别确定（dìng）业务信息安全（quán）的安全（quán）等级和系统服务的安（ān）全等级（jí）后，由二者中较高（gāo）级别（bié）确定等级保（bǎo）护对象（xiàng）的安全级别，如（rú）：

• 业务信息安全：第（dì）二级，系统服（fú）务：第三级（jí），最终等级保护级别为：第三级;
• 业务信息安全：第四级，系统服务（wù）：第三级，最（zuì）终等（děng）级保护级别为：第四级;
• 业务信息安全：第三级，系统服务：第三级（jí），最终等级保护（hù）级别为：第（dì）三级。

常见的云计算定级场景：

• A云服务商为云服务客户B提供基础设（shè）施（shī）服务(计（jì）算/网（wǎng）络/存储)，常（cháng）见（jiàn）的A为阿里云、华为（wéi）云（yún）、电信云等公有云（yún）厂（chǎng）商。
• 集团或大型企（qǐ）业为（wéi）B，在购买（mǎi）了公有云服务商A的基（jī）础资源后，利用A提（tí）供的（de）IaaS服务为用户C提供SaaS服务（wù）。SaaS化（huà）应用系（xì）统的安全责任（rèn）主（zhǔ）体为B。
• C可能为个人用户，也可能为B的分（fèn）支机构或服务个体（tǐ）。

此场景中：

• A 云服（fú）务商的IaaS平台为等级保护对象;
• B 面向用户提供SaaS服务，定（dìng）级为云（yún）服务（wù）客（kè）户业务（wù）系统B;
• C 根据用户场景进行定级（jí）。若为（wéi）B的分支机构或其他企业用户，数据（jù）安（ān）全责任（rèn）主体为（wéi）C，此时，C需对业（yè）务（wù）应（yīng）用进（jìn）行定级，且级（jí）别不得高于B对业务系统（tǒng）确定的安（ān）全等级。

注意：在实际关于云计算平台（tái）/系统的定级时，要合理区（qū）分（fèn）SaaS云（yún）计（jì）算平台和（hé）SaaS云服务客户系统。