2017年6月1日，"网络安全法"正式实施，网络安全水平的保护进入了"等保2.0"的时代。根据网络安全级别保护的一般要求，扩展了基于云计算的网络安全级保护的特点，形成了云计算扩展的需求。由于云计算的复杂性和隐蔽性，如何应用云计算扩展的要求已成为目前各方面临的难题。在本文中，"3W1H"被用来揭示云扩展需求的使用，以帮助各方理解云扩展需求的应用方法。

　　在云计算培训方面：国家重要信息系统保护人员认证培训体系CIIPT面向云计算从业人员的专业认证培训方向，CIIP-A(云计算安全)的知识体系是以等级保护相关政策法规为指导，以重要信息系统保障为核心，基于等级保护相关岗位技能要求，以等级保护相关标准体系为主线，根据云计算安全岗位的工作任务特点而系统化的梳理而成。

　　云计算扩展的要求是什么?

　　基于云计算(虚拟化和服务交付)的特点，网络安全级别保护的基本要求增加了五个安全控制点：基础设施位置、镜像和快照保护、云服务提供商的选择、供应链管理和云计算环境管理，并补充和扩展了控制点的一些一般需求，形成了云计算扩展需求。

　　何时使用云计算扩展需求?(何时)

　　云计算扩展需求是云计算形式的层次保护对象在满足网络安全级别保护一般要求的基础上需要满足的要求，即当层次保护分级形式为云计算时，除了在安全建设整改或等级评估阶段考虑一般安全需求外，还应考虑云计算扩展需求。

　　分层保护对象的云计算形式大致分为三类：云计算平台、云计算服务客户业务系统和使用云计算技术的应用系统。在云计算环境中，云计算系统/平台的分级大致可分为以下几类：

　　当上表中的分级保护对象是某种类型的云计算形式的对象时，就会使用云计算扩展需求，否则就没有必要考虑它们。

　　云计算扩展需要谁?(谁)

　　云计算是一种共享的技术模型。云服务提供商和云服务客户将承担实现和管理不同安全级别的责任。云计算平台/系统在不同的服务模型和部署模型下，在云服务提供商和云服务客户之间负有不同的安全责任。

　　云服务提供商和云服务客户基于"一致的权限和责任"、"持续的安全管理责任和持续的数据所有权关系"的原则，需要根据各自的安全职责考虑相应的云扩展需求，并建立相应的安全保护能力，即云扩展不仅需要云计算平台，还需要云服务客户系统。

　　如何使用云计算扩展需求?(如何使用)

　　云计算扩展需求是针对云服务提供商和云服务客户的，那么如何确定云计算扩展需求术语对云服务提供商和云服务客户的适用性呢?本文在分析云计算扩展需求安全能力的基础上，总结出以下三个原则来解释云计算扩展需求的适用性。

扫码咨询二维码咨询相关问题：