網絡安全等級保護基本要求
云計算安全擴展要求
   
    等級保護對象形態(tài)的不同，面臨的威脅與風險也不同，安全防護需求也存在一定的差異。便于對等級保護對象共性和個性化的保護，網絡安全等級保護基本要求分為通用要求和擴展要求。
    云計算擴展要求覆蓋安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心以及云計算安全管理方面。

01
安全物理環(huán)境

基礎設施位置
應保證云計算基礎設施位于中國境內。
    云服務商為云服務客戶提供的云計算基礎設施服務所涉及的硬件設備、數據中心均位于中國境內。

02
安全通信網絡
網絡架構
a)應保證云計算平臺不承載高于其安全保護等級的業(yè)務應用系統(tǒng)；    
b)應實現不同云服務客戶虛擬網絡之間的隔離；    
c)應具有根據云服務客戶業(yè)務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力；  d)應具有根據云服務客戶業(yè)務需求自主設置安全策略的能力，包括定義訪問路徑、選擇安全組件、配置安全策略；    
e)應提供開放接口或開放性安全服務，允許云服務客戶接入第三方安全產品或在云計算平臺選擇第三方安全服務；  
    云服務商對云計算平臺確定安全防護等級，在明確云計算平臺安全防護等級的情況下，不允許在云平臺上部署高于其安全保護等級的業(yè)務應用系統(tǒng)，如云平臺安全保護等級為第三級，此時云平臺只能承載3級及3級以下系統(tǒng)，不能承載4級及以上系統(tǒng)。
    云上部署眾多的業(yè)務系統(tǒng)，為保證業(yè)務系統(tǒng)的安全性，首先確保不同用戶間的網絡是隔離的，如常見的專有網絡VPC；為保證云上業(yè)務應用系統(tǒng)的安全、有效的運行，云平臺在為云服務客戶提供基礎服務（網絡、計算、存儲）的同時，需為云服務客戶提供網絡通信服務和安全防護手段，如云防火墻、流量監(jiān)控、入侵檢測、防病毒等，且允許用戶根據業(yè)務需求自主設置訪問控制策略，保證用戶的自主選擇性；為進一步提升云上業(yè)務系統(tǒng)的安全性，云服務商應支持云服務客戶根據需求選擇第三方安全產品的接入，以提升業(yè)務系統(tǒng)的安全防護措施。
03
安全區(qū)域邊界
訪問控制
a)應在虛擬化網絡邊界部署訪問控制機制，并設置訪問控制規(guī)則；   
b)應在不同等級的網絡區(qū)域邊界部署訪問控制機制，設置訪問控制規(guī)則。
    虛擬化是云計算的一大特性，網絡虛擬化在幫助用戶節(jié)省資源利用的同時，應保證不同用戶虛擬網絡的安全，如虛擬網邊界安全防護，在虛擬網絡邊界配置恰當的訪問控制策略，有效避免非法訪問，越權訪問；基于傳統(tǒng)系統(tǒng)的分區(qū)分域的安全防護思想，在虛擬網絡中劃分不同的安全防護區(qū)域，并在不同的區(qū)域邊界配置訪問控制規(guī)則，如在VPC中，基于ACL規(guī)則劃分邏輯區(qū)域，并制定恰當的訪問控制規(guī)則。

入侵防范 
a)應能檢測到云服務客戶發(fā)起的網絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；   
b)應能檢測到對虛擬網絡節(jié)點的網絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；   
c)應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量；   
d)應在檢測到網絡攻擊行為、異常流量情況時進行告警。
    通用的安全邊界防護只能有效的解決南北向流量安全防護，而云計算環(huán)境下，虛擬網絡的“無邊界化”，使得虛擬網中的東西向流量呈快速增長勢態(tài)，東西向流量的“不可視化”使得安全防護變得尤為困難。為有效保證虛擬網絡中流量安全，可對全網流量進行集中監(jiān)測及流量牽引監(jiān)測、清洗等方式進行安全防護。從網絡安全等級保護的角度出發(fā)，云服務商應能檢測到云服務客戶的非法攻擊，并進行攻擊行為收集、異常行為告警等。

安全審計    
a)應對云服務商和云服務客戶在遠程管理時執(zhí)行的特權命令進行審計，至少包括虛擬機刪除、虛擬機重啟；   
b)應保證云服務商對云服務客戶系統(tǒng)和數據的操作可被云服務客戶審計。
    安全審計有助于系統(tǒng)運維方對安全事故的審查和恢復能力，在執(zhí)行一些重要的操作時，必須進行安全審計，以便出現安全事故時進行恢復和問題追溯。云服務商原則上絕不允許觸碰云服務客戶數據，但在一些特殊情形下，又不得不幫助用戶處理一些疑難問題，為確保云服務商對云服務客戶數據操作的安全性，云服務商應向云服務客戶提供相關的操作審計記錄。
04
安全計算環(huán)境

   
身份鑒別
當遠程管理云計算平臺中設備時，管理終端和云計算平臺之間應建立雙向身份驗證機制。  
     在進行遠程管理時，需進行雙向認證，保證接入云平臺的管理終端的有效性、合法性。


訪問控制 
a)應保證當虛擬機遷移時，訪問控制策略隨其遷移；   
b)應允許云服務客戶設置不同虛擬機之間的訪問控制策略。 
    虛擬資源的動態(tài)擴展，在虛擬機遷移時，訪問控制策略應進行同步遷移，云服務商應支持云服務客戶在不同的虛擬機間基于業(yè)務需求配置訪問控制策略。


入侵防范  
a)應能檢測虛擬機之間的資源隔離失效，并進行告警；   
b)應能檢測非授權新建虛擬機或者重新啟用虛擬機，并進行告