云服务器网络安全等级如何划分

云服务器网络安全等级划分
一 等级体系与适用场景

• 我国实行网络安全等级保护制度（等保2.0），将保护对象的安全保护等级划分为五级（一级至五级），破坏后影响的客体与程度逐级加重：从仅影响公民、法人合法权益（一级、二级），到影响社会秩序与公共利益（三级、四级），直至影响国家安全（四级、五级）。云计算环境中的等级划分遵循同一体系，用于指导云平台与云上业务系统的定级、建设与测评。

二 云计算环境下的定级对象与责任

• 定级对象需分别确定：一是云服务商侧的云计算平台（含IaaS/PaaS/SaaS服务层与底层资源），二是云租户侧的业务应用系统。其中，云平台的安全保护等级应不低于其承载的租户系统的等级；公有云通常要求先完成云平台定级测评再对外提供服务，私有云通常先定级云平台再迁移应用。
• 责任边界随服务模式而变（示例）：
• IaaS：服务商负责硬件、虚拟化层（Hypervisor）；租户负责操作系统、中间件、应用与数据。
• PaaS：服务商负责硬件、虚拟化层、操作系统、中间件；租户负责应用与数据。
• SaaS：服务商负责硬件、虚拟化层、操作系统、中间件、应用；租户负责部分应用配置、用户使用与账户安全。
• 上述划分直接影响“云平台定几级、能承载几级系统”的合规边界与测评范围。

三 云服务器定级方法与流程

• 定级原则：围绕业务信息安全（S）与系统服务安全（A）两个维度综合判定，取二者中较高等级作为最终等级（如S=2、A=3，则最终为三级）。
• 基本流程：

1) 自主定级：由系统责任主体结合业务重要性、服务对象与数据敏感度确定初评等级；
2) 专家评审：组织业务与安全专家对定级材料进行质询与论证，形成书面意见；
3) 备案：在运维团队所在地公安机关网安部门办理备案（便于属地监管）；
4) 建设整改：按等保要求与云扩展要求落实“一个中心三重防护”，重点覆盖基础设施位置、虚拟化安全、镜像与快照保护、供应链管理、云环境管理等；
5) 等级测评：云平台先行测评（常见为三级或以上），租户系统随后测评；
6) 监督检查：向备案机关提交测评报告，接受监督检查与复测。
四 云上系统常见定级参考

• 多数行业系统常见为二级或三级；承载大量重要数据与关键业务的系统通常定为三级或以上。云平台作为底座一般需达到三级后再承载相应等级租户系统。
• 典型场景示例：公有云IaaS上由企业自建并对外提供SaaS服务时，云平台作为定级对象单独定级；面向用户的SaaS业务系统由SaaS提供方作为定级对象单独定级；若SaaS面向外部客户，客户侧如构成独立系统，也需按自身情况进行定级（且不得高于平台承载级别）。