层面	控制点	四级	三级	二级
安全 区域 边界	访问控制	应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；	应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；	应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；
		应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则；	应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则；	应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则；
	入侵防范	应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；	应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；	应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；
		应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；	应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；	应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；
		应在检测到网络攻击行为、异常流量时进行告警；	应在检测到网络攻击行为、异常流量时进行告警；
	安全审计	应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启；	应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启；	应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启；
		应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计；	应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计；	应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计；
安全 计算 环境	身份鉴别	当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制；	当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制；
	入侵防范	应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警；	应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警；
	数据 备份 恢复	云服务客户应在本地保存其业务数据的备份；	云服务客户应在本地保存其业务数据的备份；	云服务客户应在本地保存其业务数据的备份；
	数据完整性和保密性	应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；	应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；	应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；
安全 管理 中心	集中管控	应根据云服务商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计；	应根据云服务商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计；
		应根据云服务商和云服务客户的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测；	应根据云服务商和云服务客户的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测；
安全 建设 管理	云服务 商选择	应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；	应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；	应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；
		应在服务水平协议中规定云服务的各项服务内容和具体技术指标；	应在服务水平协议中规定云服务的各项服务内容和具体技术指标；	应在服务水平协议中规定云服务的各项服务内容和具体技术指标；
		应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；	应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；	应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；
		应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除；	应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除；	应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除；
		应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据；	应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据；