1.1.2 云计算系统

作为一种新型的信息系统架构，云计算系统可以为企业和组织提供SaaS、PaaS、IaaS三个不同层次的计算服务，其核心是由云服务提供方分别提供软件应用、平台应用和基础设施层面的访问服务，如图1-1所示。使用云服务的网络与信息系统，其边界超出了企业组织的范围，延伸至云端。信息系统的运维由企业组织和云服务方共同承担。云系统的安全包括两部分，即云平台自身的安全和云租户的安全。相对于前两种信息系统架构而言，云计算系统在带来便利的同时也引入了新的安全问题。

图1-1 云计算服务模式

一方面，信息系统的拥有方可以从烦琐的基础设施的运维任务中解脱出来，将其交给云服务方承担。另一方面，云端新技术的应用也带了新的安全隐患。在云平台自身的安全层面，虚拟化作为其核心技术，带来了新的安全威胁和安全弱点。例如，在云虚拟化管理和实施层面，出现虚拟机跳跃、虚拟机逃逸等新的安全威胁。云端企业和组织的数据隐私安全也是新的安全问题。

因此，云系统的安全评估需要在通用安全要求基础上加以拓展，从而覆盖这些新的安全需求。