1.1.2 云計算系統

作為一種新型的信息系統架構，云計算系統可以為企業和組織提供SaaS、PaaS、IaaS三個不同層次的計算服務，其核心是由云服務提供方分別提供軟件應用、平臺應用和基礎設施層面的訪問服務，如圖1-1所示。使用云服務的網絡與信息系統，其邊界超出了企業組織的范圍，延伸至云端。信息系統的運維由企業組織和云服務方共同承擔。云系統的安全包括兩部分，即云平臺自身的安全和云租戶的安全。相對于前兩種信息系統架構而言，云計算系統在帶來便利的同時也引入了新的安全問題。

圖1-1 云計算服務模式

一方面，信息系統的擁有方可以從煩瑣的基礎設施的運維任務中解脫出來，將其交給云服務方承擔。另一方面，云端新技術的應用也帶了新的安全隱患。在云平臺自身的安全層面，虛擬化作為其核心技術，帶來了新的安全威脅和安全弱點。例如，在云虛擬化管理和實施層面，出現虛擬機跳躍、虛擬機逃逸等新的安全威脅。云端企業和組織的數據隱私安全也是新的安全問題。

因此，云系統的安全評估需要在通用安全要求基礎上加以拓展，從而覆蓋這些新的安全需求。