面向采用云計算技術(shù)的等級保護對象的個性化保護需求，《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019）以云計算安全擴展要求的形式針對云計算特征要素提出安全要求。限于篇幅和描述方式，標(biāo)準(zhǔn)條款并未明確區(qū)分云計算平臺和云服務(wù)客戶業(yè)務(wù)系統(tǒng)，以及服務(wù)模式，實際測評工作中通常需要在作業(yè)指導(dǎo)書中加以識別。本文將以提供IaaS服務(wù)模式的第四級公有云為例，探討和分析云計算安全擴展要求指標(biāo)對云計算平臺和其承載的云服務(wù)客戶業(yè)務(wù)系統(tǒng)的不同適用性。

1. 區(qū)分原則

綜合考慮云計算安全擴展要求關(guān)注的安全目標(biāo)和實現(xiàn)方式，提出以下四個區(qū)分原則：

原則一：僅關(guān)注云計算平臺自身安全防護（如基礎(chǔ)設(shè)施位置的要求條款），或云計算平臺向云服務(wù)客戶提供的基礎(chǔ)安全服務(wù)相關(guān)的安全要求（如不同云服務(wù)客戶虛擬網(wǎng)絡(luò)隔離的要求條款），只適用于云計算平臺。

原則二：關(guān)注云計算平臺為云服務(wù)客戶提供且需要客戶“自操作”的安全服務(wù)相關(guān)的安全要求（如確保云服務(wù)商對云服務(wù)客戶的操作可審計的安全條款），同時適用于云計算平臺和云服務(wù)客戶業(yè)務(wù)系統(tǒng)。

原則三：分別關(guān)注云計算平臺和云服務(wù)客戶業(yè)務(wù)系統(tǒng)各自安全防護需求的安全要求（如虛擬網(wǎng)絡(luò)邊界訪問控制的要求條款），同時適用于云計算平臺和云服務(wù)客戶業(yè)務(wù)系統(tǒng)。

原則四：僅關(guān)注云服務(wù)客戶安全需求的安全要求（如“云服務(wù)商選擇”控制點中安全要求），只適用于云服務(wù)客戶業(yè)務(wù)系統(tǒng)。

2. 適用性結(jié)果

根據(jù)以上分析原則，以第四級測評指標(biāo)為例，針對提供IaaS服務(wù)的公有云平臺和云服務(wù)客戶業(yè)務(wù)系統(tǒng)的指標(biāo)適用性如下表。

 表1 云計算安全擴展要求測評指標(biāo)適用性（IaaS）