0 引言
    隨著云計(jì)算應(yīng)用的擴(kuò)展，其顯現(xiàn)出了前所未有的開放性和復(fù)雜性，這使得它面臨的安全風(fēng)險(xiǎn)日趨嚴(yán)重。由此看來，為了降低云服務(wù)為用戶帶來的安全風(fēng)險(xiǎn)，從用戶的角度梳理出技術(shù)安全風(fēng)險(xiǎn)因素，然后對(duì)其進(jìn)行安全風(fēng)險(xiǎn)評(píng)估勢(shì)在必行。自1985年美國(guó)國(guó)防部[1]首次發(fā)布《Trusted Computer System Evaluation Criteria》以來，業(yè)界紛紛開始針對(duì)信息系統(tǒng)安全評(píng)估展開研究。文獻(xiàn)[2-6]分別使用貝葉斯、模糊理論、BP神經(jīng)網(wǎng)絡(luò)、灰色模糊理論、FAHP方法構(gòu)建了信息系統(tǒng)安全評(píng)估模型，并驗(yàn)證了模型的有效性。時(shí)至今日，雖然在信息系統(tǒng)安全評(píng)估方面取得了突破，但是對(duì)于新崛起的云計(jì)算，這些研究成果具有一定的參考價(jià)值，將傳統(tǒng)的信息系統(tǒng)評(píng)估方法運(yùn)用到云計(jì)算安全評(píng)估領(lǐng)域的研究也有不少。文獻(xiàn)[7-13]針對(duì)云計(jì)算構(gòu)建不同的指標(biāo)體系，然后運(yùn)用貝葉斯等方法和理論對(duì)其進(jìn)行評(píng)估。本文認(rèn)為現(xiàn)有研究最為欠缺的一方面是，在梳理出的眾多安全風(fēng)險(xiǎn)因素中，并未涉及到云服務(wù)風(fēng)險(xiǎn)的技術(shù)因素。
    鑒于此，本文將從云計(jì)算用戶的角度出發(fā)，全面分析關(guān)系云服務(wù)風(fēng)險(xiǎn)的技術(shù)因素，并構(gòu)建云計(jì)算技術(shù)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，建立評(píng)估方法，然后引入實(shí)例對(duì)評(píng)估方法進(jìn)行驗(yàn)證。但是由于指標(biāo)體系中各風(fēng)險(xiǎn)因素對(duì)資產(chǎn)、威脅頻度以及脆弱性三個(gè)方面的估計(jì)具有一定的模糊性，故本文選擇模糊集合與熵權(quán)理論作為評(píng)估方法，通過嚴(yán)格計(jì)算得到云計(jì)算系統(tǒng)的技術(shù)安全風(fēng)險(xiǎn)值，最后確定安全風(fēng)險(xiǎn)等級(jí)。
1 建立云計(jì)算技術(shù)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系
    本文采用德爾菲法（Delphi Method）來構(gòu)建一個(gè)正確且全面的指標(biāo)體系，具體步驟如圖1所示。其中，在歸納、整理意見這個(gè)環(huán)節(jié)中，本文將專家的意見與CSA、ENISA、Gartner機(jī)構(gòu)發(fā)布的研究報(bào)告[14-16]中所提到的風(fēng)險(xiǎn)進(jìn)行對(duì)比，若篇幅較長(zhǎng)的專家意見與研究報(bào)告中的某些風(fēng)險(xiǎn)意義一致，則采用研究報(bào)告中的風(fēng)險(xiǎn)名稱，進(jìn)而做到高度的總結(jié)和歸納而不失本意。最終，可以得出云計(jì)算技術(shù)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，如圖2所示。

圖1  構(gòu)建指標(biāo)體系步驟

圖2  云計(jì)算技術(shù)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系

    云計(jì)算技術(shù)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系所涉及的各風(fēng)險(xiǎn)因素的含義解釋如下：“數(shù)據(jù)傳輸”指保障數(shù)據(jù)安全傳輸?shù)募夹g(shù)，能夠降低用戶數(shù)據(jù)丟失的風(fēng)險(xiǎn)；“數(shù)據(jù)隔離”指不同用戶數(shù)據(jù)之間的隔離措施；“數(shù)據(jù)加密”指用某種加密算法對(duì)用戶的數(shù)據(jù)進(jìn)行加密，降低數(shù)據(jù)泄露等風(fēng)險(xiǎn)；“數(shù)據(jù)備份與恢復(fù)”指平時(shí)對(duì)保存在云端的數(shù)據(jù)進(jìn)行備份的技術(shù)，以及當(dāng)遭遇突發(fā)情況時(shí)，對(duì)用戶數(shù)據(jù)進(jìn)行及時(shí)恢復(fù)的技術(shù)，降低數(shù)據(jù)不可用等風(fēng)險(xiǎn)；“數(shù)據(jù)移植”指保障用戶數(shù)據(jù)在不同的云平臺(tái)之間能夠進(jìn)行遷移的技術(shù)；“數(shù)據(jù)銷毀”指當(dāng)用戶能夠徹底銷毀數(shù)據(jù)，降低數(shù)據(jù)泄露等風(fēng)險(xiǎn)；“數(shù)據(jù)切分”指對(duì)用戶的數(shù)據(jù)進(jìn)行切分，存儲(chǔ)到不同的服務(wù)器，以保證用戶數(shù)據(jù)安全的技術(shù)；“用戶身份認(rèn)證”指確認(rèn)用戶身份并確保合法的用戶享用合法資源，降低數(shù)據(jù)被非法訪問等風(fēng)險(xiǎn)；“訪問控制”指按用戶身份及其權(quán)限來限制用戶對(duì)信息資源的訪問或限制對(duì)某些控制功能的使用的技術(shù)；“端口安全保護(hù)”指用于保護(hù)端口不受攻擊的措施；“網(wǎng)絡(luò)入侵防范”指防范非法攻擊，保障網(wǎng)絡(luò)安全的技術(shù)；“網(wǎng)絡(luò)安全審計(jì)”指檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)并記錄信息，同時(shí)審查評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)并采取相應(yīng)措施的一種安全策略；“應(yīng)用資源控制”指能夠及時(shí)、動(dòng)態(tài)地為用戶分配應(yīng)用資源并進(jìn)行實(shí)時(shí)管理的技術(shù)；“接口和API保護(hù)”指保護(hù)應(yīng)用程序編程接口以及其他接口安全的技術(shù)；“病毒防護(hù)”指實(shí)時(shí)的進(jìn)行病毒掃描、查殺或者隔離的技術(shù)，保障系統(tǒng)的安全；“硬件配置”指配置正確的硬件環(huán)境的方法和技術(shù)，以保障系統(tǒng)穩(wěn)定地運(yùn)行；“監(jiān)控保護(hù)”指對(duì)系統(tǒng)運(yùn)行環(huán)境或者硬件設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控的方法或者技術(shù)，以降低系統(tǒng)所處的環(huán)境遭到惡意破壞的風(fēng)險(xiǎn)。

2 基于模糊集與熵權(quán)理論的評(píng)估方法
    關(guān)于模糊熵權(quán)評(píng)估，目前已有很多研究，如文獻(xiàn)[17]，但尚未發(fā)現(xiàn)用該方法評(píng)估云計(jì)算安全風(fēng)險(xiǎn)的報(bào)導(dǎo)。本文研究用該方法評(píng)估云計(jì)算技術(shù)安全風(fēng)險(xiǎn)問題。
2.1 模糊集合與隸屬度矩陣
    云計(jì)算系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)，其所涉及的各技術(shù)安全風(fēng)險(xiǎn)因素中，對(duì)資產(chǎn)的影響、威脅頻度和脆弱性嚴(yán)重程度三個(gè)方面的估計(jì)均具有一定的不確定性，所以這里借助模糊集合理論對(duì)各因素進(jìn)行分析。
    (1)建立云計(jì)算技術(shù)安全風(fēng)險(xiǎn)因素集。設(shè)A={u₁，u₂，u₃，…，u_n}，其中n為因素的個(gè)數(shù)。
    (2)構(gòu)造評(píng)判集
    云計(jì)算安全風(fēng)險(xiǎn)R=g（c，t，f），其中c為資產(chǎn)影響，t為對(duì)系統(tǒng)的威脅頻度，f為脆弱性嚴(yán)重程度。因此，將c、t、f作為云計(jì)算安全風(fēng)險(xiǎn)的三要素。文獻(xiàn)[18]將資產(chǎn)影響、威脅頻度、脆弱性嚴(yán)重程度均定義為5個(gè)等級(jí)，如表1所示。對(duì)這三個(gè)要素分別設(shè)立不同的評(píng)判集B_c、B_t、B_f：B_c={b_c1，b_c2，b_c3，…，b_cn}，B_t={b_t1，b_t2，b_t3，…，b_tn}，B_f={b_f1，b_f2，b_f3，…，b_fn}，其中，n、m、i均為正數(shù)，分別表示評(píng)判集B_c、B_t、B_f中元素的個(gè)數(shù)。
    (3)構(gòu)造隸屬度矩陣
    參照評(píng)判集對(duì)因素集合A中的各因素進(jìn)行評(píng)價(jià)并給出評(píng)語，構(gòu)造出模糊映射f:A→F(B)，F(xiàn)(B)是B上的模糊集全體，u_i→f(u_i)={p_i1，p_i2，p_i3，…，p_in}∈F(B)。其中，映射f表示云計(jì)算技術(shù)安全風(fēng)險(xiǎn)因素ui對(duì)評(píng)判集中各評(píng)語的支持程度，設(shè)風(fēng)險(xiǎn)因素u_i對(duì)評(píng)判集B的隸屬向量為p_i=(p_i1，p_i2，p_i3，…，p_in)，i=1，2，3，…，n?？傻玫诫`屬度矩陣p，所以即可得云計(jì)算各技術(shù)安全風(fēng)險(xiǎn)因素相對(duì)于資產(chǎn)影響等級(jí)的隸屬度矩陣pc為：
   

同理，可以得到Pt和Pf。
2.2 計(jì)算各因素的熵權(quán)系數(shù)
    1948年，香農(nóng)在Bell System Technical Journal上發(fā)表了《通信的數(shù)學(xué)原理》（A Mathematical Theory of Communication）一文，將熵的概念第一次引入信息論中，用來度量事物的不確定性，即信息量越大，不確定性就越小，熵也越??；反之，信息量越小，不確定性就越大，熵也越大。

2.3 確定各指標(biāo)的權(quán)向量
    對(duì)評(píng)判集中各指標(biāo)賦予相應(yīng)權(quán)重，得到指標(biāo)權(quán)向量V=(V₁，V₂，…，V_n1)，其中n1為評(píng)判集中各指標(biāo)的個(gè)數(shù)。

2.4 計(jì)算安全風(fēng)險(xiǎn)值
    計(jì)算安全風(fēng)險(xiǎn)值表達(dá)式可寫為：
   

    故資產(chǎn)影響、威脅頻度和脆弱性嚴(yán)重程度的安全風(fēng)險(xiǎn)值分別為：

2.5 安全風(fēng)險(xiǎn)等級(jí)確定

3 實(shí)例分析
    為了確保本文所構(gòu)建指標(biāo)體系以及評(píng)估方法的正確性與可行性，故選擇某沿海城市A云服務(wù)商進(jìn)行實(shí)例分析。
3.1 建立風(fēng)險(xiǎn)因素集與評(píng)判集
    如圖2所示，將影響云計(jì)算技術(shù)安全風(fēng)險(xiǎn)的因素分為5組，即：S={S₁，S₂，S₃，S₄，S₅}={數(shù)據(jù)安全，權(quán)限控制，網(wǎng)絡(luò)安全，軟件應(yīng)用安全，硬件安全}，這5組風(fēng)險(xiǎn)分別由以下風(fēng)險(xiǎn)因素組成：S₁={S₁₁，S₁₂，S₁₃，S₁₄，S₁₅，S₁₆，S₁₇}={數(shù)據(jù)傳輸，數(shù)據(jù)隔離，數(shù)據(jù)加密，數(shù)據(jù)備份與恢復(fù)，數(shù)據(jù)移植，數(shù)據(jù)銷毀，數(shù)據(jù)切分}；S₂={S₂₁，S₂₂}={用戶身份驗(yàn)證，訪問控制}；S₃={S₃₁，S₃₂，S₃₃}={端口安全保護(hù)，網(wǎng)絡(luò)入侵防范，網(wǎng)絡(luò)安全審計(jì)}；S₄={S₄₁，S₄₂，S₄₃}={應(yīng)用資源控制，接口和API保護(hù)，病毒掃描查殺}；S₅={S₅₁，S₅₂}={硬件配置，監(jiān)控保護(hù)}。
    本文以“數(shù)據(jù)安全（S₁）”為例進(jìn)行分析，風(fēng)險(xiǎn)因素集A={u₁，u₂，u₃，u₄，u₅，u₆，u₇}，其中a_i(i=1，2，3，4，5，6，7)，分別表示“數(shù)據(jù)傳輸”，“數(shù)據(jù)隔離”，“數(shù)據(jù)加密”，“數(shù)據(jù)備份與恢復(fù)”，“數(shù)據(jù)移植”，“數(shù)據(jù)銷毀”，“數(shù)據(jù)切分”這7類安全風(fēng)險(xiǎn)因素。因此，構(gòu)造風(fēng)險(xiǎn)因素集A的評(píng)判集：B_C={b_c1，b_c2，b_c3，b_c4，b_c5}，B_t={b_t1，b_t2，b_t3，b_t4，b_t5}，B_f={b_f1，b_f2，b_f3，b_f4，b_f5}。
3.2 構(gòu)造隸屬度矩陣
    本文以構(gòu)建“資產(chǎn)”隸屬度矩陣為例，邀請(qǐng)了15名專家對(duì)S1中各風(fēng)險(xiǎn)因素對(duì)資產(chǎn)的影響程度給出評(píng)定意見并進(jìn)行投票，然后進(jìn)行整理并計(jì)算各風(fēng)險(xiǎn)因素隸屬于各指標(biāo)的概率，得到“資產(chǎn)”隸屬度矩陣Pc，如表3所示。

    同理，可以計(jì)算出“威脅”隸屬度矩陣Pt和“脆弱性”隸屬度矩陣Pf，分別如表4所示。

3.3 計(jì)算各因素的熵權(quán)系數(shù)

3.4 確定各指標(biāo)的權(quán)向量
    對(duì)于“資產(chǎn)”隸屬度矩陣，確定標(biāo)準(zhǔn)V₁、V₂、…、V₅的權(quán)重分別為1/15、2/15、3/15、4/15、5/15。則該評(píng)價(jià)集中各項(xiàng)指標(biāo)的權(quán)重為：V_C=(1/15，2/15，3/15，4/15，5/15)，V_t=(1/15，2/15，3/15，4/15，5/15)，Vf=(1/15，2/15，3/15，
4/15，5/15)。
3.5 計(jì)算安全風(fēng)險(xiǎn)值

3.6 安全風(fēng)險(xiǎn)等級(jí)確定
    由于考慮到資產(chǎn)、威脅、脆弱性各要素同等重要,故可取k₁=k₂=k₃=1/3, 則根據(jù)式(11)得：R₁=k₁Rc+k₂R_t+k₃R_f=(0.131+0.182+0.138)/3=0.150。同理，可以得出“權(quán)限控制(S₂)”、“網(wǎng)絡(luò)安全(S₃)”、“軟件應(yīng)用安全(S₄)”、“硬件安全(S₅)”的安全風(fēng)險(xiǎn)值分別為：R₂=0.138，R₃=0.146，R₄=0.121，R₅=0.167。
    結(jié)合系統(tǒng)綜合評(píng)價(jià)的思想, 充分考慮系統(tǒng)中各模塊的相對(duì)重要度，假定各模塊對(duì)整個(gè)系統(tǒng)的重要性相同, 則取d₁=d₂=d₃=d₄=d₅=1/5，那么根據(jù)式（12）可得到云計(jì)算系統(tǒng)的技術(shù)安全風(fēng)險(xiǎn)值為：R=d₁R₁+d₂R₂+d₃R₃+d₄R₄+d₅R₅=0.144。對(duì)照表2可知云計(jì)算技術(shù)安全風(fēng)險(xiǎn)的等級(jí)為低，即該系統(tǒng)是安全可靠的。
4 結(jié)語
    本文重點(diǎn)針對(duì)云計(jì)算的安全問題，采用德爾菲法凝練云服務(wù)風(fēng)險(xiǎn)的技術(shù)因素，運(yùn)用模糊集理論分別從資產(chǎn)影響、威脅頻度、脆弱性嚴(yán)重程度三個(gè)方面對(duì)各風(fēng)險(xiǎn)因素進(jìn)行分析并構(gòu)造了評(píng)判集和隸屬度矩陣，然后采用熵權(quán)系數(shù)法確定權(quán)重，最終得到安全風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)。通過實(shí)例驗(yàn)證了基于模糊集和熵權(quán)理論的評(píng)估方法能夠?qū)υ朴?jì)算系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，為云計(jì)算環(huán)境下的安全風(fēng)險(xiǎn)度量和評(píng)估提供了可行的方法和途徑。
參考文獻(xiàn)
[1] QIU L，ZHANG Y，WANG F，et al.Trusted computer sys-tem evaluation criteria[C].Proceedings of the National Com-puter Security Center，F(xiàn)，1985.
[2] 趙俊閣，張琪，付鈺.貝葉斯網(wǎng)絡(luò)推理在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[J].海軍工程大學(xué)學(xué)報(bào)，2007，19(6)：67-70.
[3] 付鈺，吳曉平，宋業(yè)新.模糊推理與多重結(jié)構(gòu)神經(jīng)網(wǎng)絡(luò)在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[J].海軍工程大學(xué)學(xué)報(bào)，2011，23(1)：10-15.
[4] 申時(shí)凱，佘玉梅.模糊神經(jīng)網(wǎng)絡(luò)在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[J].計(jì)算機(jī)仿真，2011，28(10)：91-95.
[5] 付沙，楊波，李博.基于灰色模糊理論的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[J].現(xiàn)代情報(bào)，2013，33(7)：34-37.
[6] 龔軍，張菊玲，吳向前，等.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估在校園網(wǎng)中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件，2011，28(3)：285-288.
[7] 龔德忠.云計(jì)算安全風(fēng)險(xiǎn)評(píng)估的模型分析[J].湖北警官學(xué)院學(xué)報(bào)，2011(6)：85-86.
[8] 汪兆成.基于云計(jì)算模式的信息安全風(fēng)險(xiǎn)評(píng)估研究[J].信息網(wǎng)絡(luò)安全，2011(9)：56-60.
[9] 周紫熙，葉建偉.云計(jì)算環(huán)境中的數(shù)據(jù)安全評(píng)估技術(shù)量化研究[J].智能計(jì)算機(jī)與應(yīng)用，2012，2(4)：40-43.
[10] 韓起云.基于云環(huán)境的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型應(yīng)用研究[J].計(jì)算機(jī)測(cè)量與控制，2012，20(9)：2473-2476.
[11] KALISKI JR B S，PAULEY W.Toward risk assessment as a service in cloud environments[C].Proceedings of the 2nd USENIX Conference on Hot Topics in Cloud Com-puting，F(xiàn)，2010.
[12] CHOU Y，OETTING J.Risk assessment for cloud-based IT systems[J].International Journal of Grid and High Per-formance Computing(IJGHPC)，2011，3(2)：1-13.
[13] CHHABRA B，TANEJA B.Cloud computing：Towards risk assessment[M].High Performance Architecture and Grid Computing，Springer，2011：84-91.
[14] HEISER J，NICOLETT M.Assessing the security risks of cloud computing[R].Stanford，USA：Gartner Group Research Report，2008.
[15] ENISA.Cloud computing：benefits，risks and recommenda-tions for information security[R].ENISA，December 2012.
[16] CSA.The notorious nine：Cloud computing top threats in 2013[R].CSA，2013.
[17] 吳曉平，付鈺.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估理論與方法[M].北京：科學(xué)出版社，2010.
[18] GB20984—2007信息安全風(fēng)險(xiǎn)評(píng)估指南[S].2007.