云计算通过虚拟化及网络通信技术，提供一种按需服务、弹性化的 IT 资源池服务平台

主要特征：

按照“端-管-云”的安全威胁分析方法

物理和环境安全

网络和通信安全

设备和计算安全

数据安全和应用安全

多租户安全隔离

虚拟资源安全

云服务安全合规

数据可信托管

安全运维及业务连续性保障

隐私保护

云端安全需求分析（端：身份鉴别与标识、资源访问控制、数据安全存储、设备及服务软件安全）

网络安全通信安全需求分析（管：身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务）

云计算平台安全需求分析（云：物理环境安全、主机服务器安全、操作系统、数据库安全、应用及数据安全、云操作系统安全、虚拟机安全、多租户安全隔离）

国外：云安全联盟（Cloud Security Alliance，CSA）4.0

国内：《云计算服务安全评估办法》《信息安全技术 云计算服务安全指南》（GB/T 31167-2014）《信息安全技术 云计算服务安全能力要求》（GB/T 31168-2014）

数据采集

数据传输

数据存储

数据使用

数据维护

数据安全事件处置

“一个中心，三重防护”：安全管理中心；安全计算环境、安全区域边界、安全通信网络防护

物理和环境安全：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应、电磁防护

网络和通信安全：网络架构、通信传输、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、集中管控

设备和计算安全：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护

应用和数据安全：身份鉴别、访问控制、安全审计、软件容错、资源控制、接口完全、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护

安全策略和管理制度：安全策略、管理制度制定和发布、评审和修改

安全管理机构和人员：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查、人员录用、安全培训、门禁

安全管理对象：系统定级和备案、安全方案设计、产品采购与使用、自行软件开发、外包软禁开发、工程实施、测试验收、系统交付、等级测评、供应商选择、供应链管理

云计算环境与资产运维管理：环境管理、资产管理、介质管理、数据管理

云计算系统安全漏洞检查与风险分析：安全漏洞监测、安全漏洞扫描、安全合规检查、安全风险分析

云计算系统安全设备及策略维护：网络和系统安全管理、恶意代码防范管理、密码管理、设备维护管理、配置管理、变更管理

云计算系统安全监管：云计算系统安全测评、外包运维管理

云计算系统安全监测与应急响应：监控和审计管理、应急预案管理、安全事件处置、备份与恢复管理