0 引言
    隨著云計算應用的擴展，其顯現出了前所未有的開放性和復雜性，這使得它面臨的安全風險日趨嚴重。由此看來，為了降低云服務為用戶帶來的安全風險，從用戶的角度梳理出技術安全風險因素，然后對其進行安全風險評估勢在必行。自1985年美國國防部[1]首次發布《Trusted Computer System Evaluation Criteria》以來，業界紛紛開始針對信息系統安全評估展開研究。文獻[2-6]分別使用貝葉斯、模糊理論、BP神經網絡、灰色模糊理論、FAHP方法構建了信息系統安全評估模型，并驗證了模型的有效性。時至今日，雖然在信息系統安全評估方面取得了突破，但是對于新崛起的云計算，這些研究成果具有一定的參考價值，將傳統的信息系統評估方法運用到云計算安全評估領域的研究也有不少。文獻[7-13]針對云計算構建不同的指標體系，然后運用貝葉斯等方法和理論對其進行評估。本文認為現有研究最為欠缺的一方面是，在梳理出的眾多安全風險因素中，并未涉及到云服務風險的技術因素。
    鑒于此，本文將從云計算用戶的角度出發，全面分析關系云服務風險的技術因素，并構建云計算技術安全風險評估指標體系，建立評估方法，然后引入實例對評估方法進行驗證。但是由于指標體系中各風險因素對資產、威脅頻度以及脆弱性三個方面的估計具有一定的模糊性，故本文選擇模糊集合與熵權理論作為評估方法，通過嚴格計算得到云計算系統的技術安全風險值，最后確定安全風險等級。
1 建立云計算技術安全風險評估指標體系
    本文采用德爾菲法（Delphi Method）來構建一個正確且全面的指標體系，具體步驟如圖1所示。其中，在歸納、整理意見這個環節中，本文將專家的意見與CSA、ENISA、Gartner機構發布的研究報告[14-16]中所提到的風險進行對比，若篇幅較長的專家意見與研究報告中的某些風險意義一致，則采用研究報告中的風險名稱，進而做到高度的總結和歸納而不失本意。最終，可以得出云計算技術安全風險評估指標體系，如圖2所示。

圖1  構建指標體系步驟

圖2  云計算技術安全風險評估指標體系

    云計算技術安全風險評估指標體系所涉及的各風險因素的含義解釋如下：“數據傳輸”指保障數據安全傳輸的技術，能夠降低用戶數據丟失的風險；“數據隔離”指不同用戶數據之間的隔離措施；“數據加密”指用某種加密算法對用戶的數據進行加密，降低數據泄露等風險；“數據備份與恢復”指平時對保存在云端的數據進行備份的技術，以及當遭遇突發情況時，對用戶數據進行及時恢復的技術，降低數據不可用等風險；“數據移植”指保障用戶數據在不同的云平臺之間能夠進行遷移的技術；“數據銷毀”指當用戶能夠徹底銷毀數據，降低數據泄露等風險；“數據切分”指對用戶的數據進行切分，存儲到不同的服務器，以保證用戶數據安全的技術；“用戶身份認證”指確認用戶身份并確保合法的用戶享用合法資源，降低數據被非法訪問等風險；“訪問控制”指按用戶身份及其權限來限制用戶對信息資源的訪問或限制對某些控制功能的使用的技術；“端口安全保護”指用于保護端口不受攻擊的措施；“網絡入侵防范”指防范非法攻擊，保障網絡安全的技術；“網絡安全審計”指檢查、審查和檢驗操作事件的環境及活動并記錄信息，同時審查評估系統安全風險并采取相應措施的一種安全策略；“應用資源控制”指能夠及時、動態地為用戶分配應用資源并進行實時管理的技術；“接口和API保護”指保護應用程序編程接口以及其他接口安全的技術；“病毒防護”指實時的進行病毒掃描、查殺或者隔離的技術，保障系統的安全；“硬件配置”指配置正確的硬件環境的方法和技術，以保障系統穩定地運行；“監控保護”指對系統運行環境或者硬件設備進行實時監控的方法或者技術，以降低系統所處的環境遭到惡意破壞的風險。

2 基于模糊集與熵權理論的評估方法
    關于模糊熵權評估，目前已有很多研究，如文獻[17]，但尚未發現用該方法評估云計算安全風險的報導。本文研究用該方法評估云計算技術安全風險問題。
2.1 模糊集合與隸屬度矩陣
    云計算系統是一個復雜的系統，其所涉及的各技術安全風險因素中，對資產的影響、威脅頻度和脆弱性嚴重程度三個方面的估計均具有一定的不確定性，所以這里借助模糊集合理論對各因素進行分析。
    (1)建立云計算技術安全風險因素集。設A={u₁，u₂，u₃，…，u_n}，其中n為因素的個數。
    (2)構造評判集
    云計算安全風險R=g（c，t，f），其中c為資產影響，t為對系統的威脅頻度，f為脆弱性嚴重程度。因此，將c、t、f作為云計算安全風險的三要素。文獻[18]將資產影響、威脅頻度、脆弱性嚴重程度均定義為5個等級，如表1所示。對這三個要素分別設立不同的評判集B_c、B_t、B_f：B_c={b_c1，b_c2，b_c3，…，b_cn}，B_t={b_t1，b_t2，b_t3，…，b_tn}，B_f={b_f1，b_f2，b_f3，…，b_fn}，其中，n、m、i均為正數，分別表示評判集B_c、B_t、B_f中元素的個數。
    (3)構造隸屬度矩陣
    參照評判集對因素集合A中的各因素進行評價并給出評語，構造出模糊映射f:A→F(B)，F(B)是B上的模糊集全體，u_i→f(u_i)={p_i1，p_i2，p_i3，…，p_in}∈F(B)。其中，映射f表示云計算技術安全風險因素ui對評判集中各評語的支持程度，設風險因素u_i對評判集B的隸屬向量為p_i=(p_i1，p_i2，p_i3，…，p_in)，i=1，2，3，…，n。可得到隸屬度矩陣p，所以即可得云計算各技術安全風險因素相對于資產影響等級的隸屬度矩陣pc為：
   

同理，可以得到Pt和Pf。
2.2 計算各因素的熵權系數
    1948年，香農在Bell System Technical Journal上發表了《通信的數學原理》（A Mathematical Theory of Communication）一文，將熵的概念第一次引入信息論中，用來度量事物的不確定性，即信息量越大，不確定性就越小，熵也越小；反之，信息量越小，不確定性就越大，熵也越大。

2.3 確定各指標的權向量
    對評判集中各指標賦予相應權重，得到指標權向量V=(V₁，V₂，…，V_n1)，其中n1為評判集中各指標的個數。

2.4 計算安全風險值
    計算安全風險值表達式可寫為：
   

    故資產影響、威脅頻度和脆弱性嚴重程度的安全風險值分別為：

2.5 安全風險等級確定

3 實例分析
    為了確保本文所構建指標體系以及評估方法的正確性與可行性，故選擇某沿海城市A云服務商進行實例分析。
3.1 建立風險因素集與評判集
    如圖2所示，將影響云計算技術安全風險的因素分為5組，即：S={S₁，S₂，S₃，S₄，S₅}={數據安全，權限控制，網絡安全，軟件應用安全，硬件安全}，這5組風險分別由以下風險因素組成：S₁={S₁₁，S₁₂，S₁₃，S₁₄，S₁₅，S₁₆，S₁₇}={數據傳輸，數據隔離，數據加密，數據備份與恢復，數據移植，數據銷毀，數據切分}；S₂={S₂₁，S₂₂}={用戶身份驗證，訪問控制}；S₃={S₃₁，S₃₂，S₃₃}={端口安全保護，網絡入侵防范，網絡安全審計}；S₄={S₄₁，S₄₂，S₄₃}={應用資源控制，接口和API保護，病毒掃描查殺}；S₅={S₅₁，S₅₂}={硬件配置，監控保護}。
    本文以“數據安全（S₁）”為例進行分析，風險因素集A={u₁，u₂，u₃，u₄，u₅，u₆，u₇}，其中a_i(i=1，2，3，4，5，6，7)，分別表示“數據傳輸”，“數據隔離”，“數據加密”，“數據備份與恢復”，“數據移植”，“數據銷毀”，“數據切分”這7類安全風險因素。因此，構造風險因素集A的評判集：B_C={b_c1，b_c2，b_c3，b_c4，b_c5}，B_t={b_t1，b_t2，b_t3，b_t4，b_t5}，B_f={b_f1，b_f2，b_f3，b_f4，b_f5}。
3.2 構造隸屬度矩陣
    本文以構建“資產”隸屬度矩陣為例，邀請了15名專家對S1中各風險因素對資產的影響程度給出評定意見并進行投票，然后進行整理并計算各風險因素隸屬于各指標的概率，得到“資產”隸屬度矩陣Pc，如表3所示。

    同理，可以計算出“威脅”隸屬度矩陣Pt和“脆弱性”隸屬度矩陣Pf，分別如表4所示。

3.3 計算各因素的熵權系數

3.4 確定各指標的權向量
    對于“資產”隸屬度矩陣，確定標準V₁、V₂、…、V₅的權重分別為1/15、2/15、3/15、4/15、5/15。則該評價集中各項指標的權重為：V_C=(1/15，2/15，3/15，4/15，5/15)，V_t=(1/15，2/15，3/15，4/15，5/15)，Vf=(1/15，2/15，3/15，
4/15，5/15)。
3.5 計算安全風險值

3.6 安全風險等級確定
    由于考慮到資產、威脅、脆弱性各要素同等重要,故可取k₁=k₂=k₃=1/3, 則根據式(11)得：R₁=k₁Rc+k₂R_t+k₃R_f=(0.131+0.182+0.138)/3=0.150。同理，可以得出“權限控制(S₂)”、“網絡安全(S₃)”、“軟件應用安全(S₄)”、“硬件安全(S₅)”的安全風險值分別為：R₂=0.138，R₃=0.146，R₄=0.121，R₅=0.167。
    結合系統綜合評價的思想, 充分考慮系統中各模塊的相對重要度，假定各模塊對整個系統的重要性相同, 則取d₁=d₂=d₃=d₄=d₅=1/5，那么根據式（12）可得到云計算系統的技術安全風險值為：R=d₁R₁+d₂R₂+d₃R₃+d₄R₄+d₅R₅=0.144。對照表2可知云計算技術安全風險的等級為低，即該系統是安全可靠的。
4 結語
    本文重點針對云計算的安全問題，采用德爾菲法凝練云服務風險的技術因素，運用模糊集理論分別從資產影響、威脅頻度、脆弱性嚴重程度三個方面對各風險因素進行分析并構造了評判集和隸屬度矩陣，然后采用熵權系數法確定權重，最終得到安全風險值和風險等級。通過實例驗證了基于模糊集和熵權理論的評估方法能夠對云計算系統進行安全風險評估，為云計算環境下的安全風險度量和評估提供了可行的方法和途徑。
參考文獻
[1] QIU L，ZHANG Y，WANG F，et al.Trusted computer sys-tem evaluation criteria[C].Proceedings of the National Com-puter Security Center，F，1985.
[2] 趙俊閣，張琪，付鈺.貝葉斯網絡推理在信息系統安全風險評估中的應用[J].海軍工程大學學報，2007，19(6)：67-70.
[3] 付鈺，吳曉平，宋業新.模糊推理與多重結構神經網絡在信息系統安全風險評估中的應用[J].海軍工程大學學報，2011，23(1)：10-15.
[4] 申時凱，佘玉梅.模糊神經網絡在信息安全風險評估中的應用[J].計算機仿真，2011，28(10)：91-95.
[5] 付沙，楊波，李博.基于灰色模糊理論的信息系統安全風險評估研究[J].現代情報，2013，33(7)：34-37.
[6] 龔軍，張菊玲，吳向前，等.信息系統安全風險評估在校園網中的應用[J].計算機應用與軟件，2011，28(3)：285-288.
[7] 龔德忠.云計算安全風險評估的模型分析[J].湖北警官學院學報，2011(6)：85-86.
[8] 汪兆成.基于云計算模式的信息安全風險評估研究[J].信息網絡安全，2011(9)：56-60.
[9] 周紫熙，葉建偉.云計算環境中的數據安全評估技術量化研究[J].智能計算機與應用，2012，2(4)：40-43.
[10] 韓起云.基于云環境的信息系統風險評估模型應用研究[J].計算機測量與控制，2012，20(9)：2473-2476.
[11] KALISKI JR B S，PAULEY W.Toward risk assessment as a service in cloud environments[C].Proceedings of the 2nd USENIX Conference on Hot Topics in Cloud Com-puting，F，2010.
[12] CHOU Y，OETTING J.Risk assessment for cloud-based IT systems[J].International Journal of Grid and High Per-formance Computing(IJGHPC)，2011，3(2)：1-13.
[13] CHHABRA B，TANEJA B.Cloud computing：Towards risk assessment[M].High Performance Architecture and Grid Computing，Springer，2011：84-91.
[14] HEISER J，NICOLETT M.Assessing the security risks of cloud computing[R].Stanford，USA：Gartner Group Research Report，2008.
[15] ENISA.Cloud computing：benefits，risks and recommenda-tions for information security[R].ENISA，December 2012.
[16] CSA.The notorious nine：Cloud computing top threats in 2013[R].CSA，2013.
[17] 吳曉平，付鈺.信息系統安全風險評估理論與方法[M].北京：科學出版社，2010.
[18] GB20984—2007信息安全風險評估指南[S].2007.