等级保护2.0云计算拓展要求

等级保护 安全扩展要求的内容

安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。《GB/T 22239-2019》提出的安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

云计算安全扩展要求

采用了云计算技术的信息系统通常称为云计算平台。云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。云计算平台中通常有云服务商和云服务客户/云租户两种角色。根据云服务商所提供服务的类型, 云计算平台有软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）3种基本的云计算服务模式。在不同的服务模式中, 云服务商和云服务客户对资源拥有不同的控制范围, 控制范围决定了安全责任的边界。

云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。云计算安全扩展要求涉及的控制点包括基础设施位置、网络架构、网络边界的访问控制、网络边界的入侵防范、网络边界的安全审计、集中管控、计算环境的身份鉴别、计算环境的访问控制、计算环境的入侵防范、镜像和快照保护、数据安全性、数据备份恢复、剩余信息保护、云服务商选择、供应链管理和云计算环境管理。