實行網絡安全等級保護制度，保證云上業務系統的安全

　　目前云計算主要分為三種服務模式：IaaS（基礎設施即服務）、PaaS（平臺即服務）、SaaS（軟件即服務）。

　　IaaS模式提供服務器、網絡、磁盤存儲和數據中心等按需支付的計算資源。比如：Amazon Aws Ec2云主機，阿里云ECS服務器。

　　PaaS模式提供軟件和工具，讓開發人員更容易快速創建Web或移動應用。比如：Microsoft Azure、Sina App Engine。

　　SaaS模式提供的是應用軟件，SaaS云服務客戶通過網絡訪問、使用該軟件。比如：SaaS IM、Office 365。

　　SaaS模式下租戶能管理的只有業務應用系統跟業務數據，故SaaS模式下業務應用相關的安全配置、用戶訪問、用戶賬戶以及數據安全的防護、云服務安全策略配置由云租戶負責。其他部分由云平臺服務商提供等保測評報告等證據性材料進行佐證。

　　PaaS模式除了軟件開發平臺中間件以及應用和數據的安全防護、云服務安全策略配置由云租戶負責外，其他層面均由云平臺服務商負責，故Pass模式下云租戶方主要是關注系統開發、運維的安全，以及數據采集、傳輸、存儲等方面的安全。其他部分由云平臺服務商提供等保測評報告等證據性材料進行佐證。

　　當然目前大部分企業采用的是IaaS服務模式，即采購IaaS服務商提供的虛擬服務器、虛擬網絡、磁盤存儲，在此基礎上安裝數據庫、中間件、應用程序，構建本單位應用系統。IaaS服務模式下，虛擬機、數據庫、中間件、業務應用和數據的安全防護、云服務安全策略配置由部署在云平臺的系統責任單位（租戶）管理，故此部分安全責任由租戶方負責。IaaS服務模式的基礎架構層硬件、虛擬化以及云服務層由云服務提供商進行管理，故基礎設施層面的安全應由云服務提供商負責。

　　1.定級

　　在云計算環境中，應將云服務商側的云計算平臺作為定級對象定級，云服務租戶側的系統也需要作為等級保護對象單獨定級，同時云平臺定級應不低于其承載的等級保護對象的安全保護等級。比如：云平臺定為三級，云平臺上只能承載一級到三級系統。

　　2.備案

　　由于云平臺的實際物理地址往往和云租戶運營者不在同一地址，從方便屬地公安機關監管的角度出發，云租戶應在定級系統運維團隊所在地公安機關網安部門進行系統備案。

　　3.建設整改

　　云平臺需要按照等級保護基本要求跟云安全擴展要求進行建設，建立“一個中心三重防護”的理念。同時應關注“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“供應鏈管理”、“云計算環境管理”等云計算安全擴展要求。以IaaS服務模式租戶為例，不管是計算資源還是安全資源，都是按需分配。所以租戶方除了做好本身程序跟數據的安全配置，還需要部署云平臺提供的虛擬安全服務，或者部署第三方安全服務，以確保系統滿足等保安全要求。

　　4.等級測評

　　云平臺，特別是公有云平臺往往承載著各行各業的重要數據，大部分云平臺安全級別均為三級或者三級以上。云平臺在提供服務之前應先進行等級測評，確保系統滿足等級保護安全要求后，再承接租戶應用的部署。部署在云上的租戶應用，也應按照等級保護安全要求，開展測評工作。在開展測評工作過程中，云服務商需給云租戶提供必要的支撐，包括云服務商安全資質、通過測評的證明材料等。

　　5.監督檢查

　　測評完成后，被測評單位應將等級保護測評報告遞交到當初備案的公安機關網安部門。公安機關負責對備案系統的監督、檢查、指導工作。

　　不管哪一種模式的云服務，在落實等級保護安全要求過程中，均可以選擇專業的安全服務機構進行安全咨詢與測評。確保系統能滿足等保相關要求。

　　中國金融認證中心（CFCA）是一家以綜合網絡安全服務為核心的科技企業，擁有國家認可的“網絡安全等級測評與檢測評估機構服務認證證書”。多年來，服務客戶覆蓋金融、保險、證券、政府機關、教育等行業，通過開展等級保護咨詢與測評工作，助力云平臺服務商、云租戶滿足國家等級保護安全要求，全面提升網絡安全防護能力。