云计（jì）算（suàn）的本质是服（fú）务，如果不能将计算（suàn）资源规（guī）模化/大范（fàn）围的（de）进行共享，如果（guǒ）不能真正以（yǐ）服务的（de）形（xíng）式提供（gòng），就根（gēn）本（běn）算不上云计算。

等（děng）级保护定级（jí）流程

定级是开（kāi）展网络安全等级保（bǎo）护工作的 “基本出发点”，虚（xū）拟化技术（shù）使（shǐ）得传统的（de）网（wǎng）络（luò）边界变得模糊，使得（dé）使（shǐ）用云（yún）计算（suàn）技术的（de）平台/系统在定（dìng）级时如何合理（lǐ）进行边界拆分显得困难。

云计算等级保护对象的（de）合（hé）理定级对云计（jì）算（suàn）系统/平台责任方在落实等级（jí）保护制度时（shí）有着（zhe）决定性的作用。网络安全等级保护2.0基本的定级流程如下图（tú）：

网络安全等级保护（hù）2.0在（zài）定级（jí）过（guò）程中网络（luò）安全运营者自主定级，然（rán）后组织安全专家和（hé）业务专家对（duì）定级结果的（de）合理性进行评（píng）审，提（tí）供专（zhuān）家评审（shěn）意见。

大（dà）致的专家评审流程如下：

• 由（yóu）等级保护对象（xiàng）责任（rèn）主（zhǔ）体(网络安全（quán）运营者)，阐（chǎn）述定级（jí）对（duì）象;
• 向评（píng）审专家汇报等级保护对（duì）象的定级情况，分别从定级依（yī）据（jù）、自主（zhǔ）定级（jí）过程、初步确（què）定等（děng）级概（gài）述、各信（xìn）息系（xì）统的系统描述（shù）、风险着眼点、业（yè）务信息安（ān）全和系（xì）统（tǒng）服务安全等方面（miàn）进行（háng）阐述;
• 专家听取等（děng）级保护对象拟（nǐ）定（dìng）级情况汇报后，讨论和质询，最终对定级级（jí）别形（xíng）成了意见评审表，现场打（dǎ）印由专家签字，专家评审工（gōng）作完成。

在开展等级保护对（duì）象定级时（shí），网（wǎng）络运（yùn）营者应基于系统业务（wù）情况、服务对象和自身信（xìn）息（xī）系统建设实际（jì）情况进行合理的定级（jí）。为（wéi）保证定级的合理性，系统责任方（fāng）首先需明确等级保护对象和（hé）安（ān）全保护级（jí）别（bié）。

云计算（suàn）等级保护对象（xiàng）

在云计算环（huán）境下，等级保（bǎo）护对（duì）象可分为（wéi）三类：

(1) 云计算平台

云（yún）服务商提供的云（yún）基础（chǔ）设施及其上的服务层软件的组合。云服务商（shāng）可根据不同的云（yún）计（jì）算服务模式将云计算平台划分（fèn）为不同的定级对象（xiàng），如：云计算（suàn）基础（chǔ）服务平台（tái）(IaaS平台)、 云（yún）计（jì）算数据和开发（fā）平台(PaaS平（píng）台)以及云计算应用服（fú）务平台(SaaS平台（tái）)。

在明确（què）等（děng）级保（bǎo）护对象（xiàng）是否适用等级保护中的（de）云扩（kuò）展要（yào）求时，首（shǒu）先需保证云（yún）计算平台类对象（xiàng）必须具备下列特征，否（fǒu）则不应作为云计算平台类（lèi）等级保护对象：

(2) 云服务客（kè）户（hù）业务（wù）应用系统

云服务客户业务应用系统包括云服务（wù）客户部署在云计算平台上的业务应用和云服务 商为云服务客户通过网络提供的应用服务。

云（yún）服（fú）务客户业（yè）务应用系统单（dān）独作（zuò）为（wéi）定级对象。

(3) 云计算技术（shù）构（gòu）建（jiàn）的（de）业务应用系统（tǒng）

业务应用（yòng）和为此业务应（yīng）用（yòng）独立（lì）提（tí）供底层云（yún）计算（suàn）服务（wù）、硬件资源（yuán）的组（zǔ）合，此类系统（tǒng）中无云（yún）服务客户。

云（yún）计算技术构（gòu）建的业（yè）务（wù）应用系统单（dān）独作为定级（jí）对象。

在云（yún）计算环境中，对云（yún）计（jì）算（suàn）系统（tǒng）/平台（tái）的定级大（dà）致可以（yǐ）分（fèn）为下列几类：

安全保护级别

网络安全等（děng）级保护一共（gòng）分为五（wǔ）个级（jí）别：第一（yī）级、第二级、第三级、第（dì）四级、第五级。 安全保护等（děng）级两要素（sù）决定：等级保护对象（xiàng）受到破坏（huài）时所侵（qīn）害的客（kè）体和对客体造成侵害的程度。

安全保（bǎo）护等级的确定（dìng）具（jù）有一定的“客观性”，由其自身所（suǒ）处理的业务数（shù）据（jù）和服务对象的重要程度决（jué）定。即（jí）：

• 受侵害的客体（tǐ）;
• 对客（kè）体的侵害程度。

定级对（duì）象的安全主要（yào）包括业务信息安全和系统服务（wù）安全,与之相关（guān）的受侵害客体和对（duì）客体（tǐ）的侵害程度（dù）可（kě）能不同（tóng），因此，安全保护等级也应由业务信息安（ān）全(S)和系统服务（wù）安全(A)两方面确定。根（gēn）据业务信息的重要性和受到破坏（huài）后的危害性（xìng）确定业务信息（xī）安全等级;根据系统服务的重要性和受到破坏后的危（wēi）害（hài）性确（què）定系统服务安全等级;具（jù）体确定方法依据下列矩（jǔ）阵进行判断：

在（zài）分别（bié）确定业务（wù）信息安全的安全（quán）等级和系统服务的安全等级后，由二者中较高级别（bié）确定等级（jí）保护对象的安全级别，如（rú）：

• 业务信（xìn）息安全：第（dì）二级，系统服务：第三级，最（zuì）终等级保护级别为：第三级;
• 业务信（xìn）息安（ān）全：第四级（jí），系统服务：第三级，最终（zhōng）等级保护级别为：第（dì）四级;
• 业（yè）务信息（xī）安（ān）全：第三级（jí），系统（tǒng）服务：第三（sān）级，最终等级保护级别为：第三级。

常见的云计算定级场景（jǐng）：

• A云服务商为云服务（wù）客户B提供（gòng）基（jī）础（chǔ）设施服务(计算/网络/存储)，常见的A为（wéi）阿里云、华为（wéi）云（yún）、电（diàn）信云等公有云厂（chǎng）商。
• 集（jí）团或大型（xíng）企业为B，在（zài）购买了公有（yǒu）云服务商A的基础（chǔ）资源后，利用A提供的IaaS服（fú）务为用（yòng）户C提供SaaS服务。SaaS化应用系统的安全责任主体为B。
• C可能为个人用户，也可能为B的分（fèn）支机构或（huò）服务个体。

此场（chǎng）景中：

• A 云服（fú）务商的（de）IaaS平台为等级（jí）保护对象;
• B 面向用户提（tí）供（gòng）SaaS服务，定（dìng）级为云服务客户（hù）业务（wù）系统B;
• C 根据用（yòng）户场景（jǐng）进行（háng）定级（jí）。若为B的分支机构或其他企业用户（hù），数据安全责（zé）任主（zhǔ）体（tǐ）为C，此（cǐ）时，C需对业务应用进行定级，且级别不得高于（yú）B对业务（wù）系统确定（dìng）的安全等（děng）级。

注意：在实际关于云计算平台/系统（tǒng）的定（dìng）级时，要合理区分SaaS云计算（suàn）平台和SaaS云服务客（kè）户系统（tǒng）。