1.中国科学院 研究生院，北京 100049

2.中国科学院 高能物理研究所 计算中心，北京 100049

1.中国科学院 研究生院，北京 100049

2.中国科学院 高能物理研究所 计算中心，北京 100049

云计算作为一种对基于网络的、可配置的共享计算资源池进行方便、随需访问的服务模式[1]，已得到不少应用，然而，云计算将资源的所有权、管理权及使用权分离，并导致大量数据集中，若产生故障，影响范围广，后果严重。特别是近年来，一些大型云供应商爆发的安全事故更增添了用户的疑虑，根据IDC[2]及国内的调查[3]，安全是云计算中最受关注的问题之一，被调查者表示出于“对安全性方面的担忧”阻碍其迁移到云计算平台。这种情况的解决方案之一是研究适用于云计算的安全建设标准与测评框架[4]，供应商能以之为参照，进行安全建设，用户则可从测评结果了解平台服务水平与自己需求间的贴近程度。

另一方面，客户需要从云计算市场中找到合适的供应商。但已有的云供应商选择方案绝大多数只比较价格、兼容性与可用性，较少涉及上文提到的安全因素。所以，这需要以权威的框架为依据，研究出一个较为全面的供应商选取决策方法。

本文简介了对云平台安全进行评估与比较的相关研究，基于业内很有影响力的云计算安全联盟CSA的项目，设计了云计算共识评估扩展指标框架，提出了云供应商的DCGVE综合集成选择方法，通过定义的综合最适贴近度，为云供应商的选择提供依据。

1 相关研究

文献[5]定义了对云服务进行比较与评级的13个度量指标，使用层次分析法进行了实例分析，但未强调安全因素。文献[6]提出一种利用机器学习算法找出不同供应商的服务水平协议的语义相似点，以实现云计算中最佳供应商的自动选择，但度量参数只考虑了可用性、价格与合规性，且未使用实际的云供应商信息做验证。文献[7]基于服务水平协议的效能模型，使用改进的多准则决策ELECTRE方法，提出满足客户需求的最佳服务选择方案，但未指出具体的评估准则，且权重都是人为设定的。

以安全为重点，针对云平台进行量化对比的研究还较少。文献[8]根据参照评价方法（Reference Evaluation Methodology）提出一种计算云供应商安全水平的方案，但计算中未考虑各评估项的权重，仅是简单的加总。文献[9]提出将服务水平映射到策略树以进行量化的方法，并对CSA提供的实际供应商的报告进行案例研究。

2 CAI与综合集成思想

2.1节介绍了CSA的CAI项目，阐述了为解决其不足而进行的CAI扩展设计；2.2节概述了云平台选择的DCGVE综合集成过程，并特别说明了其中对2.1节设计的CAIX进行主、客观综合集成赋权的计算过程，之后提出了DCGVE量化结果使用的综合最适贴近度概念。

2.1 CAI及其扩展设计

CAI（Consensus Assessments Initiative）共识评估计划[10]，是CSA为解决云计算安全控制透明度不够的问题而提出的，它使用行业内普遍接受的框架呈现了各类云平台中应该提供的安全措施。目前，CAI已得到云供应商的广泛认可，并正在成为云计算安全评估的一种较为规范的工具，具有了较高的权威性。CAI还是CSA STAR（Security，Trust& Assurance Registry）[11]项目的评估依据，STAR提供了一些云供应商使用CAI对自身平台审查的公开报告。目前，STAR上已有17份报告，包括Amazon AWS，Microsoft Windows Azure，Symantec Cloud等平台，并在持续的增加中。

CAI虽然覆盖面很广，但评测结论只有简单的“是”与“否”，难以反映云平台的一些可以量化的评估信息。为解决此问题，并做出适合我国云平台情况的调整，进行了CAI扩展指标体系的设计。

在综合分析STAR[11]中17份报告的数据后，借鉴文献[12-15]，按照系统性、层次性、独立性、可比性[16]的指标设计原则，整理出第一轮CAI扩展指标体系调查表，收集风险评估、分布式与云计算研究、社会管理等领域的专家认为影响云平台安全的可量化因素，如平台建设遵守的知名规范数量，数据导出的格式，质量测试的次数等。回收调查表后汇总制定第二轮设计表，重复进行了四轮的信息收集与框架修改，这样通过德尔菲法最后构建了云计算共识评估扩展指标框架CAIX。

CAIX基于最新版本的CAI，是一个层次化的结构，它将CAI原有的11类调整成了6大类。这分别是合规性，即云平台的建设、操作与相应的法律、规范的遵循程度，具体包括各种审计规划、对知名信息系统规范的映射、保密工作、对平台的分销商合规性的监控，客户与供应商签订的合同兑现程度等；数据治理，即数据在云平台中的生命周期管理，体现在对数据实行分级保护，对数据的备份与恢复能力，对数据的访问认证机制，对数据进行隔离，以及数据在不同平台间迁移的能力；设施与人力安全，这是云平台的基础设施与人员的安全，包括了物理环境的管理，资产管理，设备的区域性与离线授权，用户对设备的访问控制，岗位的设置与审核，对招聘员工的背景调查与培训情况等；信息系统安全，这主要针对云平台的信息系统，包括平台的内部策略审查与增强，密钥分发管理，漏洞扫描与补丁安装情况，反恶意代码软件安装与更新情况，对事故的处理与应对能力，对开发的软件质量测试，对外包开发的监测情况等；运营管理，这是对平台运行过程中的资源动态管理，包括了各类操作规程的文档化，资源配置与优化，设备维护与盘点，网络运行监控，系统安全管理，数据快照处理等；风险与弹性能力管理，这体现了平台应对风险及遭遇灾难后的恢复能力，包括了风险评估与预测，应用变更策略前进行影响分析，业务连续的能力，电力或电信服务被中断后的恢复处理等。图1展示了CAIX的三层结构。

图1 云计算共识评估扩展指标体系（CAIX）

CAIX的最底层有224个指标项，限于篇幅，此处以表1来呈现其中的5个扩展项的代表，这些是可以直接量化的底层指标，为方便对STAR中的原始报告进行数据规范化处理，扩展项都设计为效益型，即评估级别越高越好，这样与原有指标项的评估结果是同趋势的。以OP-04.2E2项为例，供应商报告中未提及数据快照保存时间的为0分，保存时间为1星期的为1分，2星期的为2分，依次递增，直到1个月及以上为5分。

表1 云计算共识评估扩展项示例

由上可知，CAIX覆盖了云计算的可用性、兼容性、安全性、合规性等方面，还充分利用了CSA STAR报告中的可量化信息。

2.2 综合集成与量化计算

2.2.1 综合集成思想

从定性到定量综合集成方法[17]，将专家群体、数据等多种信息与计算机相结合，把各种学科的理论与人的经验知识整合，发挥它们的整体优势和综合优势。

云计算平台安全评估与选择过程具有模糊性、多维化、多目标和多机构的特点，综合集成思想对解决因为这些特点导致的难题有较大的借鉴意义。受文献[18]的启发，通过分析当前典型的信息系统安全评估方法优缺点，考虑云平台的特点，形成了云供应商的DCGVE综合集成选择方法。

DCGVE是在云供应商选择的不同阶段，将Delphi法、云安全共识评估框架CAI、G1赋权与变异系数赋权Variation coefficient、欧氏距离Euclidean distance的优点按实际情况综合集成而得的方法集合。其具体过程是，首先使用专家群决策的Delphi法进行多轮的匿名讨论与统计，设计出适用于云计算的CAI扩展指标体系，之后将G1主观赋权与变异系数客观赋权相结合，计算出CAIX各指标的权重，再运用Delphi法对STAR中的报告进行规范化，引入基于欧氏距离的云平台综合最适贴近度概念，为供应商的选择提供量化的参考依据。

2.2.2 主、客观综合集成赋权

决策过程中，由于被评价对象各指标重要程度不同，必须进行合理的权重分配。赋权分为主观判断法与客观分析法。前者一般是通过专家评分对评判结果进行数学转换，所需信息较少，可以提高综合评价的权威性和可行性，但存在随意性大、一致性差、精确度低的缺陷，代表有AHP层次分析法；后者是通过对因素数据本身所包含的客观信息提取分析，找出统计学规律，受人为因素影响很少，缺点是过分依赖样本数据，鲁棒性低，代表有熵值法。

为克服主、客观赋权的缺点，充分利用二者优点，出现了主、客观综合集成的赋权法，如G1熵法[19]。CAIX指标体系结构复杂，层次较多，评判依据有的模糊，有的精确，为减少误差，给决策提供相对重要程度的主观评价与客观反映的综合度量，本文使用由G1法与变异系数法综合集成的赋权方法，用于确定各指标项的权重。

以下假设指标体系中最底层项目分别记为x1,x2,…，xm，xk(1≤k≤m)表示第k个指标。

首先是主观赋权法，由于AHP法主要用于权重排序，并不保证计算出的权重准确性，加上AHP的特征值与一致性检验的计算量较大，所以主观赋权选用G1[20]法，它对AHP进行了改进，并且无需进行一致性检验。其主要计算过程如下：

（1）确定序关系。为避免主观赋权法因个人评价标准差异产生的不稳定性，使用Delphi法对同层的所有指标排序如下：

（2）给出xk-1与xk之间的相对重要程度的比较判断。设专家群体对评价指标xk-1与xk的重要程度之比为rk：

表2 rk赋值参考表

（3）计算权重系数wm：

（4）重复（1）～（3），计算出各层指标的权重，再自顶向下，计算出最底层各指标项的G1主观权重wbottom：

式中，n为指标体系总层数。

其次，客观赋权中选取变异系数法，因为它根据数据离散程度来赋权，方法简单，无过多的检验。主要计算过程如下：

（1）根据标准差与均值计算第k个指标的变异系数vk：

其中σk，分别为第k个指标的样本标准差与平均值。（2）由变异系数计算第k个指标的权重系数wk：

假设对最底层指标项xk，分别使用G1主观赋权法与变异系数法生成的权重为：，则同时体现主、客观信息特征的权重系数可通过乘法原理综合集成为wk：

至此，完成了G1主观评判与变异系数客观分析的综合集成赋权过程。

2.2.3 综合最适贴近度

客户选择最合适的云供应商应该考虑三个方面，即供应商的服务水平分别与最佳水平的距离，与最差水平的距离，与客户需求的距离。综合最适贴近度是综合了以上三个数据的，反映云供应商提供的服务水平合适程度的关键参数，是客户做出目标选择的量化依据。以下定义中的云平台评估指标即2.1节构建的CAIX指标体系。

定义1设云平台评估指标共有m项，则其评测结果表示为集合E：

定义2设云供应商自评报告的可信度为α(0≤α≤1)，则修正后的云供应商评测结果表示为集合E*：

其中α可按文献[21]的方法获取。

定义3云平台评估指标中各项取最大值时，所表示的集合为最佳服务水平Ebest：

定义4云平台评估指标中各项取最小值时，所表示的集合为最差服务水平Eworst：

定义5云平台评估指标各项取客户所需值时，所表示的集合为客户需求水平Eclient：

定义6令云平台评估指标体系的通过主、客观综合集成赋权的权重为集合W={w1，w2，…，wm}，则云平台实际服务水平评测结果E与最佳服务水平Ebest，与最差服务水平Eworst，与客户需求水平 Eclient之间的加权距离分别为

定义7综合最适贴近度COAD（Comprehensive Optimum Approach Degree）由下式给出：

3 实例计算与分析

根据以下原则选取CSA STAR[11]中9家云供应商的报告进行处理：

（1）报告使用最新版CAI进行审查。

（2）审查完成时间距现在120天以内。

（3）报告对CAI中每个评估项都有回复。

为提高评判效率，保证数据精确性，使用Matlab进行编程计算。

3.1 数据规范化

根据CSA STAR对报告使用的匿名化要求，将9份报告的供应商依次命名为 CSP1，CSP2，CSP3，CSP4，CSP5，CSP6，CSP7，CSP8，CSP9。把报告中回答为“是”与“否”的评测值转换为“1”与“0”，类似于表1的评估项则根据表1中的说明进行量化评级。由于在对CAI扩展时做了同趋势设计，所以不用再做一致化处理。

以CSP4为例，处理后的供应商服务水平的评测结果集合ECSP4为：

由于有224个指标项，限于篇幅，只摘录其中的10个数据，下同。

3.2 指标项综合集成权重计算

3.2.1 G1主观权重计算

以Compliance下的Third Party Audits为例，Third Party Audits三个子指标的重要性排序为：

对其重要程度予以赋值，结果如表3。

表3 Third Party Audits子评估项的赋值

根据式（2）计算权重系数wCO-03.1：

类似地，计算出同层其他指标项的权重系数，得到Third Party Audits三个子指标评估项的权重向量为：

逐层向上，计算出各层指标相对于其父指标的权重向量，再按式（3）计算出224个评估项的G1主观权重wG1：

3.2.2 变异系数客观权重计算

对指标项CO-03.1使用式（4）计算其变异系数vCO-03.1：

求出所有224个评估项的变异系数，然后使用式（5）计算出224个评估项的变异系数权重：

3.2.3 主、客观权重综合集成

根据式（6），计算指标项CO-03.1的综合集成权重：

同理，计算出所有224个评估项的综合集成权重向量：

3.3 综合最适贴近度计算

由于缺乏历史数据，故令各评测报告的可信度α=1[21]。根据定义，依次得到最佳服务水平 Ebest，最差服务水平Eworst的集合向量为：

现在有客户需求水平Eclient集合向量为：

以CSP4的数据为例，按照式（7）～（10），可得到：

最终得到CSP1，CSP2，CSP3，CSP4，CSP5，CSP6，CSP7，CSP8，CSP9的综合最适贴近度依次为：0.251 4，0.113 2，0.358 5，0.219 7，0.208 1，0.139 6，0.107 9，0.228 4，0.156 6。

3.4 分析

结合原始报告，发现9家供应商对CAI问卷的回答为“是”的选项数量从大到小依次为：

即简单地回答评测结果为“是”的数量与综合最适贴近度之间不是正相关的。CSP3提供的审计信息最详细，而综合最适贴近度较小的供应商提交的报告内容相对简略。

综上可知，提出的DCGVE方法以较清晰的数据区分了不同供应商对客户的合适程度，并可以修正某些供应商夸大自评水平的影响，也启示供应商应向CSA STAR提供CAI各评估项的详细信息特别是可以量化的数据。

总结整个决策过程，提出的DCGVE综合集成选择方法的优势有：

（1）与文献[5-7]安全因素考虑不足的情况相比，本文基于业界广泛认可的CSA CAI框架，借鉴其他权威组织的安全评估规范，构建了CAIX指标体系，该体系基本上覆盖了云平台选择的常见要素[5-9]：服务可用性、合规性、安全性、兼容性等。

（2）与文献[8-9]忽略评估项权重计算的处理相比，主、客观综合集成赋权的做法既发挥了专家群体的经验优势，又充分利用了评测数据的统计信息，反映了不同评估项重要性不同的事实。对CAIX各指标项的赋权操作虽然增加了计算的工作量，但能通过Matlab编程高效完成。

（3）充分利用了CSA STAR中报告的信息，为对这些报告进行量化的比较提供了一种思路，扩展了CAI的用途。

4 结语

在供应商众多的云计算市场中，客户希望有较全面、权威的平台选择方案。CSA提供的云计算共识评估CAI问卷得到较多供应商的采用，并有部分厂商提供该问卷的审查报告，但很少有针对这些报告进行评估、比较的云平台选择方法，本文扩展了CAI指标体系，提出综合了多种算法与理论的云平台选择决策方法，对实际报告的处理与分析验证了方法的有效性。

下一步工作是实现云平台综合集成选择过程的自动化，研究CAI自评报告的可信度。

[1]Mell P，Grance T.The NIST definition of cloud computing[R]. [S.l.]：National Institute of Standards and Technology，2011.

[2]Gens F.New IDC IT cloud services survey：top benefits and challenges[R].[S.l.]：IDC，2009.

[3]CCID Consulting.中国云计算产业发展白皮书2011[R].[S.l.]：赛迪顾问，2011.

[4]冯登国，张敏，张妍，等.云计算安全研究[J].软件学报，2011，22（1）：71-83.

[5]Garg S K，Versteeg S，Buyya R.SMICloud：a framework for comparing and ranking cloud services[C]//4th International Conference on Utility and Cloud Computing，2011：210-218.

[6]Redl C，Breskovic I，Brandic I，et al.Automatic SLA matching and provider selection in grid and cloud computing markets[C]// 13th InternationalConferenceon Grid Computing，2012：85-93.

[7]Ke C K，Lin Z H，Wu M Y，et al.An optimal selection approach for a multi-tenancy service based on a SLA utility[C]//International Symposium on Computer，Consumer and Control，2012：410-413.

[8]Luna J，Ghani H，Vateva T，et al.Quantitative assessment of cloud security level agreements-a case study[C]//Proceedings of Security and Cryptography，2012：64-73.

[9]Luna J，Langenberg R，Suri N.Benchmarking cloud security level agreements using quantitative policy trees[C]//Proceedings of the 2012 ACM Workshop on Cloud Computing Security Workshop，2012：103-112.

[10]Consensus assessments initiative[EB/OL].[2012-11-27].https：// cloudsecurityalliance.org/research/cai/.

[11]CSA security，trust&assurance resources[EB/OL].[2012-11-27]. https：//cloudsecurityalliance.org/star/.

[12]Putri N R，Mganga M C.Enhancing information security in cloud computing services using SLA based metrics[D]. Karlskrona，Sweden：Blekinge Institute of Technology，2011.

[13]Hogben G，Dekker M.A guide to monitoring of security service levels in cloud contracts，TR-2012-04-02[R].[S.l.]：ENISA，2012.

[14]The CIS security metrics，v1.0.0[R].[S.l.]：The Center for Internet Security，2009.

[15]GB/T 22239-2008信息安全等级保护基本要求[S].2008.

[16]陈晓剑，梁梁.系统评价及应用[M].合肥：中国科学技术大学出版社，1993：24-25.

[17]钱学森，于景元，戴汝为.一个科学新领域-开放的复杂巨系统及其方法论[J].自然杂志，1990，13（1）：3-10.

[18]徐维祥，张全寿.一种基于灰色理论和模糊数学的综合集成算法[J].系统工程理论与实践，2001（4）：114-119.

[19]李莉，雷宇，葛旭波，等.电网企业可持续发展的指标体系及评价方法[J].电力学报，2007，22（1）：1-4.

[20]郭亚军.综合评价理论、方法及应用[M].北京：科学出版社，2007.

[21]高云璐，沈备军，孔华锋.基于SLA与用户评价的云计算信任模型[J].计算机工程，2012，38（7）：28-30.

基于CAI与综合集成思想的云平台选择方法

姜政伟1，2，刘 宇1，2，刘宝旭2

JIANG Zhengwei1，2,LIU Yu1，2,LIU Baoxu2

1.Graduate University,Chinese Academy of Sciences,Beijing 100049,China
2.Computing Center,Institute of High Energy Physics,Chinese Academy of Sciences,Beijing 100049,China

Security issues in cloud computing and situation of too many cloud service providers in market require a effective and all-sided approach for vendor choosing which is based on authoritative frameworks.This paper proposes a meta-synthesis cloud-oriented selection method called DCGVE,builds an extended indexes system founded on consensus assessment initiative, grants combination weight for each index through G1 objective technique and coefficient of variation subjective technique,defines comprehensive optimal approach degree for cloud through Euclidean distance.Calculation and analysis of normalized reports from CSA STAR shows that the suggested method has comprehensive selection criteria as well as clear process with high discrimination.

cloud computing;cloud security alliance;consensus assessment initiative;security assessment;meta-synthesis;G1 method

云计算的安全问题及市场中云供应商众多的现状，要求有基于权威框架的、有效而较全面的供应商选择方案。提出面向云计算的综合集成DCGVE选择方法：使用德尔菲法构建云计算共识评估的扩展指标体系，利用G1法与变异系数法对各指标进行主、客观综合集成赋权，引入欧氏距离来定义云平台综合最适贴近度。对CSA STAR中的报告规范化后的计算与分析表明提出的方法使用的选择准则全面，过程清晰，结果区分度较高。

云计算；云安全联盟；共识评估计划；安全评估；综合集成；G1法

A

TP393.08

10.3778/j.issn.1002-8331.1211-0361

JIANG Zhengwei,LIU Yu,LIU Baoxu.Selection method for cloud platform based on CAI and meta-synthesis.Computer Engineering and Applications,2013,49（11）：1-5.

国家科技支撑计划项目（No.2012BAH14B02）；国家发改委信息安全专项项目（发改办高技[2012]1424号）。

姜政伟（1985—），男，博士研究生，主要研究方向：云计算安全评估与审计；刘宇（1984—），男，博士研究生，主要研究方向：云计算与网络安全态势；刘宝旭（1972—），男，研究员，主要研究方向：信息安全与云计算。E-mail：jiangzw@ihep.ac.cn

2012-11-29

2013-02-25

1002-8331（2013）11-0001-05

CNKI出版日期：2013-03-15 http://www.cnki.net/kcms/detail/11.2127.TP.20130315.1146.004.html