云計算技術安全風險評估研究*

姜 茸，馬自飛，李 彤，張秋瑾

（1.云南財經大學 信息學院，云南 昆明650221；2.云南大學 軟件學院，云南 昆明650091）

云計算技術安全風險評估研究*

姜 茸1，2，馬自飛2，李 彤2，張秋瑾2

（1.云南財經大學 信息學院，云南 昆明650221；2.云南大學 軟件學院，云南 昆明650091）

云計算基于開放的互聯網，使得其面臨眾多安全風險問題，為使風險控制在可接受范圍，評估是十分必要的。云計算風險因素復雜多樣，用德爾菲法建立云計算技術安全風險評估指標體系，凝練了云計算環境下技術風險的主要因素，并用模糊集與熵權理論對其進行評估。通過實例分析，驗證了該方法是可行的、有效的。

云計算；德爾菲；模糊集；熵權；技術風險評估

0 引言

隨著云計算應用的擴展，其顯現出了前所未有的開放性和復雜性，這使得它面臨的安全風險日趨嚴重。由此看來，為了降低云服務為用戶帶來的安全風險，從用戶的角度梳理出技術安全風險因素，然后對其進行安全風險評估勢在必行。自 1985年美國國防部[1]首次發布《Trusted Computer System Evaluation Criteria》以來，業界紛紛開始針對信息系統安全評估展開研究。文獻[2-6]分別使用貝葉斯、模糊理論、BP神經網絡、灰色模糊理論、FAHP方法構建了信息系統安全評估模型，并驗證了模型的有效性。時至今日，雖然在信息系統安全評估方面取得了突破，但是對于新崛起的云計算，這些研究成果具有一定的參考價值，將傳統的信息系統評估方法運用到云計算安全評估領域的研究也有不少。文獻[7-13]針對云計算構建不同的指標體系，然后運用貝葉斯等方法和理論對其進行評估。本文認為現有研究最為欠缺的一方面是，在梳理出的眾多安全風險因素中，并未涉及到云服務風險的技術因素。

鑒于此，本文將從云計算用戶的角度出發，全面分析關系云服務風險的技術因素，并構建云計算技術安全風險評估指標體系，建立評估方法，然后引入實例對評估方法進行驗證。但是由于指標體系中各風險因素對資產、威脅頻度以及脆弱性三個方面的估計具有一定的模糊性，故本文選擇模糊集合與熵權理論作為評估方法，通過嚴格計算得到云計算系統的技術安全風險值，最后確定安全風險等級。

1 建立云計算技術安全風險評估指標體系

本文采用德爾菲法（Delphi Method）來構建一個正確且全面的指標體系，具體步驟如圖1所示。其中，在歸納、整理意見這個環節中，本文將專家的意見與CSA、ENISA、Gartner機構發布的研究報告[14-16]中所提到的風險進行對比，若篇幅較長的專家意見與研究報告中的某些風險意義一致，則采用研究報告中的風險名稱，進而做到高度的總結和歸納而不失本意。最終，可以得出云計算技術安全風險評估指標體系，如圖2所示。

圖1 構建指標體系步驟

圖2 云計算技術安全風險評估指標體系

云計算技術安全風險評估指標體系所涉及的各風險因素的含義解釋如下：“數據傳輸”指保障數據安全傳輸的技術，能夠降低用戶數據丟失的風險；“數據隔離”指不同用戶數據之間的隔離措施；“數據加密”指用某種加密算法對用戶的數據進行加密，降低數據泄露等風險；“數據備份與恢復”指平時對保存在云端的數據進行備份的技術，以及當遭遇突發情況時，對用戶數據進行及時恢復的技術，降低數據不可用等風險；“數據移植”指保障用戶數據在不同的云平臺之間能夠進行遷移的技術；“數據銷毀”指當用戶能夠徹底銷毀數據，降低數據泄露等風險；“數據切分”指對用戶的數據進行切分，存儲到不同的服務器，以保證用戶數據安全的技術；“用戶身份認證”指確認用戶身份并確保合法的用戶享用合法資源，降低數據被非法訪問等風險；“訪問控制”指按用戶身份及其權限來限制用戶對信息資源的訪問或限制對某些控制功能的使用的技術；“端口安全保護”指用于保護端口不受攻擊的措施；“網絡入侵防范”指防范非法攻擊，保障網絡安全的技術；“網絡安全審計”指檢查、審查和檢驗操作事件的環境及活動并記錄信息，同時審查評估系統安全風險并采取相應措施的一種安全策略；“應用資源控制”指能夠及時、動態地為用戶分配應用資源并進行實時管理的技術；“接口和 API保護”指保護應用程序編程接口以及其他接口安全的技術；“病毒防護”指實時的進行病毒掃描、查殺或者隔離的技術，保障系統的安全；“硬件配置”指配置正確的硬件環境的方法和技術，以保障系統穩定地運行；“監控保護”指對系統運行環境或者硬件設備進行實時監控的方法或者技術，以降低系統所處的環境遭到惡意破壞的風險。

2 基于模糊集與熵權理論的評估方法

關于模糊熵權評估，目前已有很多研究，如文獻[17]，但尚未發現用該方法評估云計算安全風險的報導。本文研究用該方法評估云計算技術安全風險問題。

2.1 模糊集合與隸屬度矩陣

云計算系統是一個復雜的系統，其所涉及的各技術安全風險因素中，對資產的影響、威脅頻度和脆弱性嚴重程度三個方面的估計均具有一定的不確定性，所以這里借助模糊集合理論對各因素進行分析。

(1)建立云計算技術安全風險因素集。設 A={u1，u2，u3，…，un}，其中 n為因素的個數。

(2)構造評判集

云計算安全風險R=g（c，t，f），其中c為資產影響，t為對系統的威脅頻度，f為脆弱性嚴重程度。因此，將 c、t、f作為云計算安全風險的三要素。文獻[18]將資產影響、威脅頻度、脆弱性嚴重程度均定義為5個等級，如表1所示。對這三個要素分別設立不同的評判集 Bc、Bt、Bf：Bc={bc1，bc2，bc3，…，bcn}，Bt={bt1，bt2，bt3，…，btn}，Bf={bf1，bf2，bf3，…，bfn}，其中，n、m、i均為正數，分別表示評判集 Bc、Bt、Bf中元素的個數。

表1 資產重要度、威脅頻率、脆弱性嚴重程度賦值表

(3)構造隸屬度矩陣

參照評判集對因素集合A中的各因素進行評價并給出評語，構造出模糊映射f:A→F(B)，F(B)是B上的模糊集全體，ui→f(ui)={pi1，pi2，pi3，…，pin}∈F(B)。其中，映射f表示云計算技術安全風險因素ui對評判集中各評語的支持程度，設風險因素ui對評判集B的隸屬向量為pi=(pi1，pi2，pi3，…，pin)，i=1，2，3，…，n?？傻玫诫`屬度矩陣p，所以即可得云計算各技術安全風險因素相對于資產影響等級的隸屬度矩陣pc為：

同理，可以得到 Pt和 Pf。

2.2 計算各因素的熵權系數

1948年，香農在Bell System Technical Journal上發表了《通信的數學原理》（A Mathematical Theory of Communication）一文，將熵的概念第一次引入信息論中，用來度量事物的不確定性，即信息量越大，不確定性就越小，熵也越??；反之，信息量越小，不確定性就越大，熵也越大。

信息熵可以表示云計算系統的有序程度，風險因素ui的重要性可以用熵來度量：

其中，pij(i=1，2，…，n；j=1，2，…，m)表示因素對評價集中各指標支持度，pij越接近相等，熵值就越大，評估不確定性也就越大；pij取值相等時熵最大，為Hmax=lnm。用Hmax對式(4)進行歸一化處理，得衡量因素的相對重要性熵值為：

當 pij(j=1，2，…，m)取值相等時，ei為最大值 1，即ei滿足 0≤ei≤1。當熵值最大時,風險因素對系統風險評估的貢獻最小，此時可用1-ei來度量云計算技術安全風險因素的權，對其歸一化得到風險因素的權值φi為：

2.3 確定各指標的權向量

對評判集中各指標賦予相應權重，得到指標權向量V=(V1，V2，…，Vn1)，其中 n1為評判集中各指標的個數。

2.4 計算安全風險值

計算安全風險值表達式可寫為：

故資產影響、威脅頻度和脆弱性嚴重程度的安全風險值分別為：

2.5 安全風險等級確定

(1)對于單模塊構成的系統

其中，k1、k2、k3分別表示三個要素的相對重要程度，并且滿足k1+k2+k3=1。安全風險值R確定之后，結合表 2安全風險隸屬等級來確定云計算技術安全風險等級。

(2)對于由多個模塊構成的復雜系統

用式(11)分別計算出每個模塊對應的 R值：R1，R2，R3，…，Rn，再確定系統的安全值的公式為：

其中，d1，d2，d3，…，dn分別代表模塊之間的相對重要程度，并且滿足d1+d2+d3+…+dn=1。系統安全風險值R確定之后，結合表2安全風險隸屬等級來確定云計算技術安全風險等級。

表2 安全風險隸屬等級

3 實例分析

為了確保本文所構建指標體系以及評估方法的正確性與可行性，故選擇某沿海城市A云服務商進行實例分析。

3.1 建立風險因素集與評判集

如圖2所示，將影響云計算技術安全風險的因素分為 5組，即：S={S1，S2，S3，S4，S5}={數據安全，權限控制，網絡安全，軟件應用安全，硬件安全}，這 5組風險分別由以下風險因素組成：S1={S11，S12，S13，S14，S15，S16，S17}= {數據傳輸，數據隔離，數據加密，數據備份與恢復，數據移植，數據銷毀，數據切分}；S2={S21，S22}={用戶身份驗證，訪問控制}；S3={S31，S32，S33}={端口安全保護，網絡入侵防范，網絡安全審計}；S4={S41，S42，S43}={應用資源控制，接口和 API保護，病毒掃描查殺}；S5={S51，S52}={硬件配置，監控保護}。

本文以“數據安全（S1）”為例進行分析，風險因素集A={u1，u2，u3，u4，u5，u6，u7}，其中 ai(i=1，2，3，4，5，6，7)，分別表示“數據傳輸”，“數據隔離”，“數據加密”，“數據備份與恢復”，“數據移植”，“數據銷毀”，“數據切分”這7類安全風險因素。因此，構造風險因素集A的評判集：BC={bc1，bc2，bc3，bc4，bc5}，Bt={bt1，bt2，bt3，bt4，bt5}，Bf={bf1，bf2，bf3，bf4，bf5}。

3.2 構造隸屬度矩陣

本文以構建“資產”隸屬度矩陣為例，邀請了 15名專家對S1中各風險因素對資產的影響程度給出評定意見并進行投票，然后進行整理并計算各風險因素隸屬于各指標的概率，得到“資產”隸屬度矩陣Pc，如表3所示。

表3 資產影響程度投票結果和隸屬度矩陣PC

同理，可以計算出“威脅”隸屬度矩陣Pt和“脆弱性”隸屬度矩陣Pf，分別如表4所示。

表4 “威脅”隸屬度矩陣Pt和“脆弱性”隸屬度矩陣Pf

3.3 計算各因素的熵權系數

綜上可得：φc={0.082，0.219，0.143，0.203，0.131，0.203，0.019}，φt={0.224，0.087，0.087，0.087，0.224，0.273，0.019}，φf={0.202，0.131，0.219，0.105，0.095，0.131，0.117}。3.4確定各指標的權向量

對于“資產”隸屬度矩陣，確定標準 V1、V2、…、V5的權重分別為1/15、2/15、3/15、4/15、5/15。則該評價集中各項指標的權重為：VC=(1/15，2/15，3/15，4/15，5/15)，Vt=(1/15，2/15，3/15，4/15，5/15)，Vf=(1/15，2/15，3/15，4/15，5/15)。

3.5 計算安全風險值

依據式(8)求得S1的資產影響的安全風險值為：Rc= φc·Pc·Vc=0.131。同理，依據式（9）和式（5）可求得：Rt= 0.182，Rf=0.138。

3.6 安全風險等級確定

由于考慮到資產、威脅、脆弱性各要素同等重要,故可取 k1=k2=k3=1/3,則根據式(11)得：R1=k1Rc+k2Rt+k3Rf= (0.131+0.182+0.138)/3=0.150。同理，可以得出“權限控制(S2)”、“網絡安全(S3)”、“軟件應用安全(S4)”、“硬件安全(S5)”的安全風險值分別為：R2=0.138，R3=0.146，R4= 0.121，R5=0.167。

結合系統綜合評價的思想,充分考慮系統中各模塊的相對重要度，假定各模塊對整個系統的重要性相同,則取 d1=d2=d3=d4=d5=1/5，那么根據式（12）可得到云計算系統的技術安全風險值為：R=d1R1+d2R2+d3R3+d4R4+ d5R5=0.144。對照表 2可知云計算技術安全風險的等級為低，即該系統是安全可靠的。

4 結語

本文重點針對云計算的安全問題，采用德爾菲法凝練云服務風險的技術因素，運用模糊集理論分別從資產影響、威脅頻度、脆弱性嚴重程度三個方面對各風險因素進行分析并構造了評判集和隸屬度矩陣，然后采用熵權系數法確定權重，最終得到安全風險值和風險等級。通過實例驗證了基于模糊集和熵權理論的評估方法能夠對云計算系統進行安全風險評估，為云計算環境下的安全風險度量和評估提供了可行的方法和途徑。

[1]QIU L，ZHANG Y，WANG F，et al.Trusted computer system evaluation criteria[C].Proceedings of the National Computer Security Center，F，1985.

[2]趙俊閣，張琪，付鈺.貝葉斯網絡推理在信息系統安全風險評估中的應用[J].海軍工程大學學報，2007，19(6)：67-70.

[3]付鈺，吳曉平，宋業新.模糊推理與多重結構神經網絡在信息系統安全風險評估中的應用[J].海軍工程大學學報，2011，23(1)：10-15.

[4]申時凱，佘玉梅.模糊神經網絡在信息安全風險評估中的應用[J].計算機仿真，2011，28(10)：91-95.

[5]付沙，楊波，李博.基于灰色模糊理論的信息系統安全風險評估研究[J].現代情報，2013，33(7)：34-37.

[6]龔軍，張菊玲，吳向前，等.信息系統安全風險評估在校園網中的應用[J].計算機應用與軟件，2011，28(3)：285-288.

[7]龔德忠.云計算安全風險評估的模型分析[J].湖北警官學院學報，2011(6)：85-86.

[8]汪兆成.基于云計算模式的信息安全風險評估研究[J].信息網絡安全，2011(9)：56-60.

[9]周紫熙，葉建偉.云計算環境中的數據安全評估技術量化研究[J].智能計算機與應用，2012，2(4)：40-43.

[10]韓起云.基于云環境的信息系統風險評估模型應用研究[J].計算機測量與控制，2012，20(9)：2473-2476.

[11]KALISKI JR B S，PAULEY W.Toward risk assessment as a service in cloud environments[C].Proceedings of the 2nd USENIX Conference on Hot Topics in Cloud Computing，F，2010.

[12]CHOU Y，OETTING J.Risk assessment for cloud-based IT systems[J].International Journal of Grid and High Performance Computing(IJGHPC)，2011，3(2)：1-13.

[13]CHHABRA B，TANEJA B.Cloud computing：Towards risk assessment[M].High Performance Architecture and Grid Computing，Springer，2011：84-91.

[14]HEISER J，NICOLETT M.Assessing the security risks of cloud computing[R].Stanford，USA：Gartner Group Research Report，2008.

[15]ENISA.Cloud computing：benefits，risks and recommendations for information security[R].ENISA，December 2012.

[16]CSA.The notorious nine：Cloud computing top threats in 2013[R].CSA，2013.

[17]吳曉平，付鈺.信息系統安全風險評估理論與方法[M].北京：科學出版社，2010.

[18]GB20984—2007信息安全風險評估指南[S].2007.

圖4 文中算法仿真結果

表2 仿真邊緣點對比

4 結論

本文提出的波束中心確定算法，利用衛星旋轉角度和斜視角度，通過簡單的幾何關系，最終確定衛星波束中心和地球的交點，從而確定衛星覆蓋區域。這種算法簡單，計算速度快、準確度高。因為波束形狀的不同和波束中心點確定無關，所以此算法不僅僅適用于求解點波束的波束中心點，也適用于多種形狀波束的波束中心點計算。

參考文獻

[1]徐慨，鮑凱，何愛林.衛星通信點波束覆蓋算法研究[J].艦船電子對抗，2013，36(2)：66-68.

[2]李德治，宴朝陣，呂波.衛星點波束覆蓋區域算法研究[J].載人航天，2009，15(4).

[3]樊鵬山，熊偉，李智.載荷側擺情況下衛星覆蓋區域計算方法研究[C].2009系統仿真技術及其應用學術會議論文集，2009.

[4]袁孝康.星載合成孔徑雷達導論[M].北京：國防工業出版社，2003：42-44.

[5]白萌，李大林，陳夢云.衛星對地覆蓋區域的融合算法研究[C].第二十三屆全國空間探測學術交流會論文摘要集，2010.

[6]郭福成，樊昀，周一宇，等.空間電子偵察定位原理[M].北京：國防工業出版社，2012：33-40.

[7]翁慧慧.遙感衛星對地覆蓋分析與仿真[D].鄭州：信息工程大學，2006.

[8]劉偉，孟新，胡鈦.衛星對地覆蓋的若干問題討論[C].中國空間科學學會空間探測專業委員會第十八次學術會議論文集(下冊)，2005：370-372.

[9]丁溯泉.STK在航天任務仿真分析中的應用[M].北京：國防工業出版社，2011.

[10]楊穎，王琦.STK在計算機仿真中的應用[M].北京：國防工業出版社，2005.

（收稿日期：2014-12-20）

作者簡介：

薛永嬌（1990-），女，碩士研究生，主要研究方向：電子偵察信號處理、雷達信號處理。

Study on security risk assessment for technology of cloud computing

Jiang Rong1，2，Ma Zifei2，Li Tong2，Zhang Qiujin2
(1.School of Information,Yunnan University of Finance and Economics，Kunming 650221，China；2.School of Software，Yunnan University，Kunming 650091，China)

Based on the open Internet,cloud computing faces many problems about security risk.In order to keep the risk within an acceptable range,it is very necessary to assess it.This paper uses Delphi method to establish a risk assessment indexes system for cloud computing technology security as well as condenses the main technical risk factors in cloud computing environment, and uses fuzzy set and entropy weight theory to evaluate the risk.The case analysis proves the feasibility and effectiveness of this method.

cloud computing；Delphi；fuzzy set；entropy weight；technology risk assessment

TP393.08

：A

：0258-7998(2015)03-0111-05

10.16157/j.issn.0258-7998.2015.03.029

2014-11-10)

姜茸(1978-)，男，博士(后)，副教授，主要研究方向：云計算安全、軟件工程等。

馬自飛(1990-)，男，碩士研究生，主要研究方向：云計算安全。

李彤(1963-)，男，博士，教授，主要研究方向：軟件工程、信息安全等。

國家自然科學基金項目(61263022,61303234,61379032)；中國博士后科學基金(2012M521722)；國家社會科學基金項目(12XTQ012)；教育部人文社會科學研究青年基金項目(11YJCZH073)