（一）云计算服务模式

1、软件即服务（SaaS）：云服务商为客户提供基于云计算基础设施之上的应用软件，如电子邮件系统等。可对应用软件进行有限的配置。

2、平台即服务（PaaS）：云服务商为客户提供运行在云计算基础设施之上的软件开发和运行平台，如标准语言、通用接口等。可对应用的运行环境进行配置，控制自己可部署的应用。

3、基础设施即服务（IaaS）：云服务商为客户提供虚拟计算机、存储、网络等计算资源，提供访问云计算基础的服务接口，客户在这些资源上部署操作系统等。可控制自己部署的操作系统、存储和应用，部分控制使用的网络组件等。

（二）部署模式

1、私有云

2、公有云

3、社区云：云计算平台限定给特定的客户群体使用

4、混合云：上述两种或两种以上部署模式的组合

云计算

1、SaaS模式：应用软件层的安全措施有云服务商和客户分担，其他安全措施由云服务商实施。

2、PaaS模式：软件平台层的安全措施由云服务商和客户分担，客户负责自己开发和部署的应用及运行环境的安全，其他安全措施由云服务商负责。

3、IaaS模式：虚拟化计算资源层的安全措施由客户和云服务商分担，客户负责自己部署的操作系统、运行环境和应用的安全，云服务商负责虚拟机监视器及底层资源的安全。

云计算

1、系统开发与供应链安全

在开发云计算平台时，对信息系统、组件和服务的开发商提出相应要求，为云计算平台配置足够的资源，并充分考虑安全需求，确保其下级供应商采取了必要的安全措施；为用户提供有关安全措施的文档和信息，配合客户完成对信息系统和业务的管理。

2、系统与通信保护

云服务商应在云计算平台的外部边界和内部关键边界监视、控制和保护网络通信，并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。

3、访问控制

云服务商应严格保护云计算平台的客户数据，在允许人员、进程、设备访问云计算平台前，应对其进行身份识别及鉴别，并限制其可执行的操作和使用的功能。

4、配置管理

云服务商应对云计算平台进行配置管理，在系统生命周期内建立和维护云计算平台（包括硬件、软件、文档等）的基线配置和详细清单，并设置和实现云计算平台中各类产品得到安全配置参数。

5、维护

云服务商应维护好云计算平台设施和软件系统，并对维护所使用的工具、技术、机制以及维护人员进行有效控制，且做好相关记录。

6、应急响应与灾备

云服务商应为云计算平台制定应急响应计划，并定期演练，确保在紧急情况下，重要信息资源的可用性。云服务商应具备容灾恢复能力，建立必要的备份与恢复设施和机制，确保客户业务可持续。

7、审计

云服务商应根据安全需求和客户要求，制定可审计事件清单，明确审计记录内容，实施审计并妥善保存审计记录，对审计记录进行定期分析和审查，还应防范对审计记录的非授权访问、修改和删除行为。

8、风险评估与持续监控

云服务商应定期或在威胁环境发生变化时，对云计算平台进行风险评估，确保云计算平台的安全风险处于可接受状态，在监控目标发生异常和非授权情况时发出警报。

9、安全组织与人员

云服务商应确保能够接触客户信息或业务的各类人员上岗时具备履行其安全责任的素质和能力，还应授予相关人员访问权限前对其进行审查并定期复查，在人员调动或离职时履行安全程序，对于违反安全规定的人员进行处罚。

10、物理与环境保护

云服务商应保证机房位于中国境内，选址、设计、供电、消防、温湿度控制等服务相关标准要求。云服务商应对机房进行监控。