杨瑞

（四川大学网络空间安全学院，成都610065）

0 引言

云计算作为一种新的资源供应模式，通过网络为用户实现弹性资源供应。用户不需要在购买基础设施和系统部署上投入时间和金钱，降低了用户的IT使用成本，将云用户从建设IT基础设施的任务中解放出来，使他们能够更加专注创新和为其服务创造业务价值，有效提升生产效率和服务能力。云计算凭借自身的技术优势和商业优势获得了众多用户的青睐，在市场上获得了巨大的成功，云计算采用率不断上升。

然而随着云计算的不断发展和成熟，云计算安全事故频发，云计算安全问题引起了人们的广泛关注，产业界和学术界针对云计算安全评估展开研究。CSA提出的CCM矩阵[1]是专门帮助云服务商提供更好的云服务，并帮助云用户评估云服务商的整体风险的安全控制框架。我国在2014年发布的GB/T 31167-2014《信息安全技术云计算服务安全指南》[2]针对云计算面临的安全风险提出了使用云计算服务时应具备的信息安全管理能力和技术要求。由左晓栋等人起草的《信息安全技术云计算服务安全能力要求》[3]针对云服务商为政府等部门云服务的场景提出了云服务商应具备的十项安全能力要求。以上研究以文本描述的方式阐述了对云计算安全能能力的要求，为云计算安全评估提供了一定的理论指导。

在云计算安全水平评估方面，Ahmed等人[4]和Luna等人[5]都提出使用云安全联盟（Cloud Security Alliance，CSA）提出的一致性评估问卷[6]（Consensus Assessment Initiative Questionnaire，CAIQ）问卷构建安全评估指标体系，并使用层次分析法（Analytic Hierarchy Process，AHP）[7]方法对多个云服务的安全等级进行评估和排序；陈卫卫等人[8]提出使用云计算服务水平协议（Service Level Agreement，SLA）和用户反馈构建云服务的服务质量评价体系，并使用AHP方法对云服务的安全能力进行综合评价；姜政伟等人[9]通过采用“目标-问题-度量”（Goal-Question-Metric，GQM）方法[10]构建云计算安全服务水平协议指标体系，并采用改进的ELECTRE方法对云计算服务安全能力进行排序和选择；Li等人[11]使用云控制矩阵（Cloud Control Matrix，CCM）提供的安全域和安全属性作为评价指标，用户根据自身安全偏好，使用AHP方法对安全指标分配权重，然后与TOPSIS方法[12]相结合，对云计算服务的安全能力进行评估。目前的安全评估主要集中在用户上云前的云服务商选择上，并且通常选择的指标范围比较小，使用场景受限。

本文选择使用国家发布的标准要求作为衡量云计算服务能力安全的指标，并提出一种基于模糊综合评价法的安全能力评估方法，在云服务使用中评估云服务商的安全能力，并将评估结果反馈给云服务商，以维护云计算的健康发展。

1 云计算安全能力评估模型

1.1 安全模型概述

云计算服务安全评估的目的是为了方便云用户在将业务迁移至云端时，选择符合自己安全需求的云服务商，降低使用云计算服务带来的安全风险，增强用户使用云计算服务的信心。为了有效应对云计算安全评估，本节提出一种云计算服务安全评估模型，如图1所示。

图1 云计算服务安全评估模型

云计算安全评估模型中主要包括两个角色，分别是云服务商和评估方。云服务商的主要责任是根据交付件列表向评估方提供云计算服务安全证据材料，评估方主要负责评估指标和交付件列表的设计，并根据云服务商提供的安全证据材料对云服务展开有效评估，并及时把评估结果反馈给云服务商。

1.2 安全指标体系和交付件设计

本小节将依据《云计算服务安全能力要求》，使用层次分析模型建立安全评估指标体系，该指标体系共分为三层，分别是安全目标层、安全准则层、交付件层。安全目标层就是云计算服务安全能力，是云计算服务安全能力的整体描述。安全准则层分为两层，分别是安全类和安全要求项，是对云计算安全能力的具体要求。交付件层是对安全策略和措施具体实施情况、未能满足的原因以及云服务商给用户的安全建议等具体内容描述。

1.3 安全评估方法

安全评估流程如图3所示，分为权重法分配和综合评估两部分。

图2 安全指标体系及其交付件列表

图3 安全评估流程

1.3.1 权重分配

在实际安全评估过程中存在较多无法量化的属性，无法使用客观权重分配法，但是主观权重分配法严重依赖专家的实践经验和个人偏好，缺乏科学性。针对这种情况，因此选择德尔菲法和层次分析法相结合的方法，为安全属性分配权重。

（1）确定初步权重

选取云计算、网络安全等领域的专家若干，分别组成专家组和监督组，监督组根据云计算安全指标体系和交付件内容设计第一轮调查问卷，专家组对调查问卷给出自己的回答。监督组设计调查问卷，交由各位专家组成员作答，每位成员需独立完成，以免专家的权威性影响权重分配的准确性。监督组回收完成的调查问卷，整理归纳将汇总的意见分享给专家组，专家组讨论后，调整自己的意见，然后再次填写调查问卷。如此反复迭代多次，直到专家的意见趋于集中，取最后一次问卷结果的加权平均值作为初步权重。

（2）确定最终权重

根据使用德尔菲法获得的初步权重，本小节将使用层次分析法对初步权重进行进一步处理，获得最终的权重。

①构建判断矩阵。根据上一节获得的初步权重构建判断矩阵A，如公式（1）所示。

其中n表示评价指标类的数量。

设上一小节获得的初步权重为W f={w1,w2,…,w n}，则判断矩阵的元素计算公式如（2）所示。

②判断矩阵归一化处理。使用公式（2）对判断矩阵按列进行归一化处理。

③层次单排序。使用公式（3）计算判断矩阵的最大特征向量W和最大特征值λmax。

④一致性检验。为了确保权重分配符合逻辑，使用最大特征根检验判断矩阵的一致性。CI是一致性检验指标，CI的计算方法如公式（5）所示。

其中，λmax是最大特征根，n是判断矩阵A的阶数。

然后使用公式（6）对判断矩阵进行一致性检验。

其中，CR是随机性一致性比率，RI为随机一致性指标，RI的取值如表1所示。

表1 随机一致性指标RI

当且仅当CR＜0.1时，判断矩阵符合一致性要求，获得的权重准确度较高。否则要不断调整决策矩阵，直到满足一致性要求为止。

⑤归一化最大特征向量。

设求得的最大特征向量是W={ }w1,w2,…,wn，使用公式（7）对最大特征向量归一化即可得到最终的权重向量。

1.3.2 综合评估

云计算服务安全评估是基于多个安全类对云服务项目进行综合评估的方式。基于上面取得的最终权重，并结合模糊综合评价法对云计算服务的安全进行综合评估。

（1）建立评估因素集

设U={u1,u2,…,u n}表示云计算服务安全评估的安全类。

（2）建立评语集

模糊集是模糊综合评价法的关键。本文将评语集分为5级，对应于安全测试项的满足程度，V={完全满足,基本满足,部分满足,计划满足,不满足}。评语集与分数的对照为(90,100),(70，90),(60,70),(30,60),(0,30)。

对应的评语集列向量为C=[9 5 80 65 45 15]。

（3）单因素评价矩阵

设有m个专家为安全能力的n个安全类的各安全项的满足程度进行评价，统计各等级的评价频数，归一化处理得到模糊综合矩阵R。

（4）多因素评价矩阵。上一小节的最终权重和单因素评价矩阵集合，使用公式（9）计算综合评价矩阵B：

其中W e是权重分配最后获得的权重向量。

（5）计算整体得分。根据公式（9）求得安全评估的综合得分。

其中，S即为整体评价得分。根据模糊评语集的描述，当S＞70时，安全要求的满足情况为基本满足，认为云计算服务通过安全评估，否则视为未通过评估。

1.3.3评估结果反馈

无论云服务项目是否通过安全评估，办公室项目负责人都要将评估结果反馈给云服务商。评估结果反馈应遵循快速、准确、及时的原则，方便云服务商根据评估结果及时进行整改，以减少安全控制措施不完善可能带来的损失。

评估结果反馈分为以下两种方式：

（1）电话以及邮件通知

在评估完成后，项目负责人应尽快通过打电话和发邮件的方式通知云服务商项目联络人。

（2）安全评估系统通知

在安全评估系统中发布评估结果。云服务商登录系统查看完成评估的项目，可以查询到详细的评估信息和专家给出的整改建议。

2 原型系统展示

根据图1的云计算服务安全评估模型，设计并实现了云计算服务安全评估的原型系统。云服务商的用户界面如图4所示，云服务商登录系统就可以按照流程创建安全评估项目申请并提交云计算服务安全相关的证据材料。

如图5所示，评估方登录系统可以查看云服务商提交的项目评估申请和安全证据材料，并对云计算服务进行安全评估和结果反馈。

3 结语

本文基于云计算服务安全能力提出的云计算服务安全评估模型覆盖了较多的安全指标，从一定程度上缓解了云计算服务安全评价指标覆盖范围小，使用场景有限的问题。考虑到云计算服务安全评估指标存在众多不易量化的属性，本文提出了一种基于模糊综合评价法的云服务安全评估方法，对云计算服务安全进行整体评估，并设计实现了一个云服务商和评估方交互的原型系统，有助于实现流程化的云计算服务安全评估。

图4 云服务商界面

图5 评估方系统界面

在下一步的研究工作中，将进一步尝试使用更加客观科学的权重赋值方法对云计算服务安全评估方法进行改进。