1||| IT资源以服务的形式提供。满足用户按需使用、计量付费的要求。云计算常见的服务有基础设施即服务laas、平台即服务PaaS、软件即服务SaaS、数据即服务DaaS、存储即服务STaaS。

2||| 多租户共享IT资源。云平台给多人或多个组织租用。云计算系统应对租户间信息服务实现隔离，包括功能隔离、性能隔离和故障隔离。

3||| IT资源按需定制与按用付费。

4||| IT资源可伸缩性部署。通过对IT资源的有效调度，按时段未随时添加资源和移除资源，满足不同用户对资源的弹性要求。例如，一个人为完成某个计算任务，可以通过云计算平台申请上千台服务器。

1||| 私有云。为某个特定组织单独运营云服务

2||| 公有云。云服务商业化，对社会公众、组织提供服务

3||| 社区云。多个组织共享，用于支持某个特定的社区团体

4||| 混合云

核心思想：端（用户）-管（网络）-云（云服务商）

（1） 云“端”安全威胁

（2） 云“管”安全威胁

（3） 云计算平台安全威胁

云端的安全目标是确保云用户能够获取可信云服务。云端的安全需求主要涉及云用户的身份标识和鉴别、云用户资源访问控制、云用户数据安全存储以及云端设备及服务软件安全。

网络安全通信的安全目标是确保云用户及时访问云服务以及网上数据及信息的安全性。实现网络安全通信的技术包括身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务等。

云计算平台的安全目标是确保云服务的安全可信性和业务连续性。云计算平台的安全需求主要有物理环境安全、主机服务器安全、操作系统、数据库安全、应用及数据安全、云操作系统安全、虚拟机安全和多租户安全隔离等。

1||| 身份鉴别认证机制。解决云计算中各种身份标识及鉴别问题。

2||| 数据完整性机制。数字签名是保护云计算数据完整性的重要措施。

3||| 访问控制机制。云计算资源的使用要在一定的安全规则下经过授权才能保证安全使用。

4||| 入侵防范机制。使用IDS／IPS防范己知的漏洞攻击，或者采用沙箱系统检测零日漏洞

5||| 安全审计机制。对安全日志进行集中管理，以便于事后分析问题。

6||| 云操作系统安全增强机制。打补丁等。

1||| 云计算安全风险评估机制。

2||| 云计算内部安全防护机制。运维时身份强认证、安全操作审计等。

3||| 云计算网络安全监测机制。监测网络流量、系统日志、安全漏洞等数据。

4||| 云计算应急响应机制。

5||| 云计算容灾备份机制。工业界常采用“两地三中心”的容灾机制。其中，两地是指同城、异地；三中心是指生产中心、同城容灾中心、异地容灾中心。

1||| DDoS防护。

2||| 云防火墙。基于公有云环境的SaaS化防火墙，实现访问控制等。

3||| 网络入侵防护系统。一般采用旁路部署方式。

4||| 腾讯云样本智能分析平台。依靠深度沙箱中自研的动态分析模块、静态分析模块以及稳定高效的任务调度框架，实现自动化、智能化、可定制化的样本分析。---可以理解为网络“恶意代码分析”，不然很容易弄混

1||| 主机安全。为用户提供黑客入侵检测和漏洞风险预警等安全防护服务，主要包括密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能。

2||| 腾讯云反病毒引擎（Antivirus）。

3||| 腾讯终端安全管理系统。腾讯电脑管家等。

4||| 腾讯云零信任无边界访问控制系统（Zero Trust Access Control System，ZTAC）。依赖终端安全、身份安全、链路安全三大核心能力，实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。---这个是“终端安全”，好容易搞混

5||| 移动终端安全管理系统。

应用软件

腾讯云Web应用防火墙。

腾讯应用级智能网关。基于零信任策略，对企业应用和服务提供集中管控等。

漏洞扫描服务。用于监测网站漏洞的安全服务，提供7x24小时准确、全面的漏洞监测服务。

移动应用安全。如盗版监控、崩溃监测、安全组件等服务。

手游安全。如应对手游作弊、手游篡改破解等常见的游戏安全问题。

业务系统

1||| 天御借贷反欺诈。识别银行、证券、保险等金融行业的欺诈风险。

2||| 保险反欺诈。定位在申保、核保、理赔等业务环节中所遇到的欺诈威胁。

3||| 登录保护服务。实时检测是否存在盗号、撞库等恶意登录行为。---这个也容易搞混

4||| 腾讯云验证码。保护注册登录、活动秒杀、点赞发帖等各大场景下的业务安全。

5||| 腾讯云活动防刷。针对促销活动中遇到“羊毛党”恶意刷取优惠福利的行为。

6||| 注册保护服务。针对“恶意注册”“小号注册”“注册器注册”等恶意“行为。

7||| 营销风控服务。快速识别恶意请求，精准打击“羊毛党”。

8||| 文本内容安全服务。识别涉黄、涉政、涉恐等有害内容。---容易搞混

9||| 图片内容安全。能精准识别涉黄、涉恐、涉政等有害内容，支持配置图片黑名单，支持用户配置词库，打击自定义的违规文本。---容易搞混

10||| 营销号码安全。具备风险号码识别及恶意呼叫治理等多领域能力。

11||| 业务风险情报。提供全面、实时、精准的业务风险情报服务。

1||| 腾讯云堡垒机。为企业提供运维人员操作审计。

2||| 腾讯云数据安全审计。挖掘数据库运行过程中各类潜在风险和隐患。

3||| 数据安全治理中心。对企业云上敏感数据进行定位与分类分级等。

4||| 敏感数据处理（Data Mask，DMask）。提供敏感数据脱敏与水印标记工具服务，追溯。

5||| 云加密机。加密，保障业务数据隐私安全。

1||| 安全运营中心（Security Operation Center，SOC）。

2||| 密钥管理系统。让用户创建和管理密钥，保护密钥的保密性、完整性和可用性。

3||| 凭据管理系统。提供凭据的创建、检索、更新、删除等全生命周期的管理服务。

注意与（3）应用服务，对比看

1||| 专家服务。

2||| 公共互联网威胁量化评估。提供实时的、客观的网络安全风险晕化与风险评估的服务。

3||| 威胁情报云查服务。提供威胁情报(IoC) 查询服务、IP/Domain/文件等信誉查询服务。

4||| 网络资产风险监测系统。

（1） 数据存储安全

（2） 业务连续性保障

（3） 物理环境安全

（4） 隐私保护

（5） 合规性

（6） 基础结构安全

（7） 数据服务保障。提供有财务保障的最高达99.99％的月度服务级别协议以及最多6个数据备份。

云计算服务提供方的个人隐私保护措施

用户个人隐私保护措施

个人信息安全事件应急响应措施