云计（jì）算的本（běn）质是服务（wù），如果不能（néng）将计算资源规模化/大范围的进行（háng）共享，如（rú）果不能（néng）真正以服（fú）务的形式提（tí）供（gòng），就根本算不上云计（jì）算（suàn）。

等（děng）级保（bǎo）护定级流程

定（dìng）级是开展（zhǎn）网络安（ān）全等级保护（hù）工作的 “基本出发点”，虚拟化技术（shù）使得传（chuán）统的（de）网络边界变得模糊，使得使（shǐ）用云计算技术的（de）平台/系统在定（dìng）级时如何合（hé）理进行边界（jiè）拆（chāi）分（fèn）显得困难。

云计（jì）算等级（jí）保护对象（xiàng）的合理定级（jí）对云计算系统/平台（tái）责任方（fāng）在落实等（děng）级（jí）保护制（zhì）度（dù）时有着决定性（xìng）的作（zuò）用。网络安（ān）全（quán）等级保护（hù）2.0基本（běn）的定级流（liú）程如下图：

网络安全等级保护（hù）2.0在定（dìng）级（jí）过程中网络安全运营者自（zì）主定级（jí），然后（hòu）组织安全专（zhuān）家和业务（wù）专家对（duì）定级结果的合（hé）理性（xìng）进行评审，提供专家评审意见。

大致的（de）专家评审流程如下：

• 由等（děng）级保（bǎo）护对象责（zé）任（rèn）主体(网络安全运营者)，阐述定级对象;
• 向（xiàng）评（píng）审专家（jiā）汇报等级保护对（duì）象的定（dìng）级情况（kuàng），分（fèn）别（bié）从定级依据、自主定级过程、初（chū）步确（què）定等级概述（shù）、各信息（xī）系统的系（xì）统描述、风险着眼点、业（yè）务信息安全和系（xì）统服务安全等方面进行阐述;
• 专家听取等级保护对象拟（nǐ）定级情况汇报后（hòu），讨论（lùn）和质询，最终对定级级别形成了意见评（píng）审表，现场打印（yìn）由专（zhuān）家签（qiān）字，专（zhuān）家评审工作完成。

在开展等级（jí）保护对（duì）象定级时，网络运（yùn）营者应基于系统业务情况、服务对象和（hé）自（zì）身（shēn）信（xìn）息系统建设实际情况进行合理的（de）定级。为保证定级的合理性，系统责任方首先需明确等级保护对象（xiàng）和安（ān）全保护级别。

云计算（suàn）等（děng）级保（bǎo）护对象

在云计算（suàn）环境下（xià），等（děng）级保护对象可（kě）分为三类：

(1) 云（yún）计算平台

云服务商提（tí）供的（de）云（yún）基础设施及其（qí）上的（de）服务（wù）层（céng）软件的组合。云（yún）服务商可根（gēn）据不同的云计算服务模式（shì）将（jiāng）云计算（suàn）平台划（huá）分为不同的定（dìng）级对象，如：云计算基础服务（wù）平台(IaaS平台)、 云计算数据和开发平（píng）台(PaaS平台)以及云计（jì）算应用服务平台(SaaS平台（tái）)。

在明确等级保护对象是否（fǒu）适用（yòng）等级保护中的云扩（kuò）展要求时，首先需保证云计算平台类对象必须具备（bèi）下列特征，否（fǒu）则不应作为云计算平台类等级保护对象：

(2) 云服务客户业务应用系统（tǒng）

云服务客户（hù）业务应用系（xì）统包括（kuò）云服（fú）务客户部署在云计算平台上（shàng）的业务应用和云服（fú）务 商为（wéi）云服务客户通过（guò）网络提供的应用服务。

云服务（wù）客户业务应用系统单（dān）独作为定级对（duì）象。

(3) 云（yún）计算技术构建的（de）业务应用系统（tǒng）

业务应用和为（wéi）此（cǐ）业务应用独立提供底（dǐ）层云计算服务、硬件资源的（de）组合，此类系统（tǒng）中（zhōng）无云服务（wù）客户。

云计算技术构建的业务应用系统单独作为定（dìng）级（jí）对象。

在云（yún）计算环境中（zhōng），对云计算系（xì）统/平台（tái）的（de）定级大致可（kě）以分为下（xià）列几类：

安全保护级别（bié）

网络安（ān）全等级（jí）保护一共分（fèn）为五个级别：第（dì）一级、第（dì）二（èr）级、第三级、第四级、第五级。 安全（quán）保（bǎo）护等级（jí）两要素决（jué）定：等级（jí）保护（hù）对象受到破坏时所侵害的客体（tǐ）和对客体造成侵害的程度。

安全保护等级的确（què）定具有一（yī）定的“客（kè）观（guān）性”，由其自身所处（chù）理的业务数（shù）据（jù）和（hé）服务（wù）对象的（de）重要程（chéng）度决定。即：

• 受侵害的客体;
• 对（duì）客体的侵害（hài）程（chéng）度（dù）。

定级（jí）对象的（de）安（ān）全主要包括业（yè）务信息安全和系统服（fú）务安全,与之相（xiàng）关的受侵害客体和（hé）对客体的侵害程度（dù）可能（néng）不（bú）同，因此，安（ān）全（quán）保护（hù）等级也应由业务信息（xī）安全(S)和系统服务安（ān）全(A)两方面确（què）定。根（gēn）据业务信息（xī）的重要性和（hé）受到破坏后的危害性确定业务信息安全等级;根据系统服务的重要性和受到破坏后的（de）危害性确定（dìng）系统服（fú）务安（ān）全等级（jí）;具体确定方法依据（jù）下（xià）列矩阵进行判断：

在分别确定业务信（xìn）息安全的（de）安（ān）全等级（jí）和系统服务的安全等级（jí）后，由二者中较高级（jí）别确定等级保护对象的安全级别（bié），如：

• 业（yè）务信息安全：第（dì）二级（jí），系统服务：第三（sān）级，最终等（děng）级保护级别为：第三级;
• 业务信息安全：第四级，系统服务：第三（sān）级，最终等级保护级别为：第（dì）四级;
• 业务信息安全：第（dì）三级，系（xì）统服务（wù）：第三级，最（zuì）终等级保护级别为：第三级。

常见的（de）云计算定级场（chǎng）景：

• A云服务（wù）商为云服务客户B提供基础设施服务(计算（suàn）/网络/存储)，常见的（de）A为阿里云、华为（wéi）云、电信云等公有云厂商。
• 集团或大型企业为B，在购买了公有云服（fú）务商A的基（jī）础资源后（hòu），利用A提供的IaaS服务为用户C提供SaaS服务（wù）。SaaS化应用系（xì）统的（de）安全责任（rèn）主体为B。
• C可能为个人用户，也可（kě）能为B的分支机构或（huò）服务个体。

此（cǐ）场（chǎng）景中（zhōng）：

• A 云服务商的（de）IaaS平台为等级（jí）保护对象;
• B 面向用户提供SaaS服务（wù），定级为云服（fú）务客户业务（wù）系统B;
• C 根据（jù）用户场景进（jìn）行定级。若为B的分支机构或其他企业用户，数据安（ān）全责任主体为C，此时，C需对业务应用进行定级，且级（jí）别不（bú）得高（gāo）于B对业务系统确定的安（ān）全等级。

注意：在（zài）实际（jì）关于云计算平台（tái）/系统的（de）定级时，要合理区分SaaS云计（jì）算（suàn）平台和SaaS云服务客（kè）户系统（tǒng）。