1.中國科學院 研究生院，北京 100049

2.中國科學院 高能物理研究所 計算中心，北京 100049

1.中國科學院 研究生院，北京 100049

2.中國科學院 高能物理研究所 計算中心，北京 100049

云計算作為一種對基于網(wǎng)絡的、可配置的共享計算資源池進行方便、隨需訪問的服務模式[1]，已得到不少應用，然而，云計算將資源的所有權、管理權及使用權分離，并導致大量數(shù)據(jù)集中，若產(chǎn)生故障，影響范圍廣，后果嚴重。特別是近年來，一些大型云供應商爆發(fā)的安全事故更增添了用戶的疑慮，根據(jù)IDC[2]及國內(nèi)的調(diào)查[3]，安全是云計算中最受關注的問題之一，被調(diào)查者表示出于“對安全性方面的擔憂”阻礙其遷移到云計算平臺。這種情況的解決方案之一是研究適用于云計算的安全建設標準與測評框架[4]，供應商能以之為參照，進行安全建設，用戶則可從測評結果了解平臺服務水平與自己需求間的貼近程度。

另一方面，客戶需要從云計算市場中找到合適的供應商。但已有的云供應商選擇方案絕大多數(shù)只比較價格、兼容性與可用性，較少涉及上文提到的安全因素。所以，這需要以權威的框架為依據(jù)，研究出一個較為全面的供應商選取決策方法。

本文簡介了對云平臺安全進行評估與比較的相關研究，基于業(yè)內(nèi)很有影響力的云計算安全聯(lián)盟CSA的項目，設計了云計算共識評估擴展指標框架，提出了云供應商的DCGVE綜合集成選擇方法，通過定義的綜合最適貼近度，為云供應商的選擇提供依據(jù)。

1 相關研究

文獻[5]定義了對云服務進行比較與評級的13個度量指標，使用層次分析法進行了實例分析，但未強調(diào)安全因素。文獻[6]提出一種利用機器學習算法找出不同供應商的服務水平協(xié)議的語義相似點，以實現(xiàn)云計算中最佳供應商的自動選擇，但度量參數(shù)只考慮了可用性、價格與合規(guī)性，且未使用實際的云供應商信息做驗證。文獻[7]基于服務水平協(xié)議的效能模型，使用改進的多準則決策ELECTRE方法，提出滿足客戶需求的最佳服務選擇方案，但未指出具體的評估準則，且權重都是人為設定的。

以安全為重點，針對云平臺進行量化對比的研究還較少。文獻[8]根據(jù)參照評價方法（Reference Evaluation Methodology）提出一種計算云供應商安全水平的方案，但計算中未考慮各評估項的權重，僅是簡單的加總。文獻[9]提出將服務水平映射到策略樹以進行量化的方法，并對CSA提供的實際供應商的報告進行案例研究。

2 CAI與綜合集成思想

2.1節(jié)介紹了CSA的CAI項目，闡述了為解決其不足而進行的CAI擴展設計；2.2節(jié)概述了云平臺選擇的DCGVE綜合集成過程，并特別說明了其中對2.1節(jié)設計的CAIX進行主、客觀綜合集成賦權的計算過程，之后提出了DCGVE量化結果使用的綜合最適貼近度概念。

2.1 CAI及其擴展設計

CAI（Consensus Assessments Initiative）共識評估計劃[10]，是CSA為解決云計算安全控制透明度不夠的問題而提出的，它使用行業(yè)內(nèi)普遍接受的框架呈現(xiàn)了各類云平臺中應該提供的安全措施。目前，CAI已得到云供應商的廣泛認可，并正在成為云計算安全評估的一種較為規(guī)范的工具，具有了較高的權威性。CAI還是CSA STAR（Security，Trust& Assurance Registry）[11]項目的評估依據(jù)，STAR提供了一些云供應商使用CAI對自身平臺審查的公開報告。目前，STAR上已有17份報告，包括Amazon AWS，Microsoft Windows Azure，Symantec Cloud等平臺，并在持續(xù)的增加中。

CAI雖然覆蓋面很廣，但評測結論只有簡單的“是”與“否”，難以反映云平臺的一些可以量化的評估信息。為解決此問題，并做出適合我國云平臺情況的調(diào)整，進行了CAI擴展指標體系的設計。

在綜合分析STAR[11]中17份報告的數(shù)據(jù)后，借鑒文獻[12-15]，按照系統(tǒng)性、層次性、獨立性、可比性[16]的指標設計原則，整理出第一輪CAI擴展指標體系調(diào)查表，收集風險評估、分布式與云計算研究、社會管理等領域的專家認為影響云平臺安全的可量化因素，如平臺建設遵守的知名規(guī)范數(shù)量，數(shù)據(jù)導出的格式，質量測試的次數(shù)等。回收調(diào)查表后匯總制定第二輪設計表，重復進行了四輪的信息收集與框架修改，這樣通過德爾菲法最后構建了云計算共識評估擴展指標框架CAIX。

CAIX基于最新版本的CAI，是一個層次化的結構，它將CAI原有的11類調(diào)整成了6大類。這分別是合規(guī)性，即云平臺的建設、操作與相應的法律、規(guī)范的遵循程度，具體包括各種審計規(guī)劃、對知名信息系統(tǒng)規(guī)范的映射、保密工作、對平臺的分銷商合規(guī)性的監(jiān)控，客戶與供應商簽訂的合同兌現(xiàn)程度等；數(shù)據(jù)治理，即數(shù)據(jù)在云平臺中的生命周期管理，體現(xiàn)在對數(shù)據(jù)實行分級保護，對數(shù)據(jù)的備份與恢復能力，對數(shù)據(jù)的訪問認證機制，對數(shù)據(jù)進行隔離，以及數(shù)據(jù)在不同平臺間遷移的能力；設施與人力安全，這是云平臺的基礎設施與人員的安全，包括了物理環(huán)境的管理，資產(chǎn)管理，設備的區(qū)域性與離線授權，用戶對設備的訪問控制，崗位的設置與審核，對招聘員工的背景調(diào)查與培訓情況等；信息系統(tǒng)安全，這主要針對云平臺的信息系統(tǒng)，包括平臺的內(nèi)部策略審查與增強，密鑰分發(fā)管理，漏洞掃描與補丁安裝情況，反惡意代碼軟件安裝與更新情況，對事故的處理與應對能力，對開發(fā)的軟件質量測試，對外包開發(fā)的監(jiān)測情況等；運營管理，這是對平臺運行過程中的資源動態(tài)管理，包括了各類操作規(guī)程的文檔化，資源配置與優(yōu)化，設備維護與盤點，網(wǎng)絡運行監(jiān)控，系統(tǒng)安全管理，數(shù)據(jù)快照處理等；風險與彈性能力管理，這體現(xiàn)了平臺應對風險及遭遇災難后的恢復能力，包括了風險評估與預測，應用變更策略前進行影響分析，業(yè)務連續(xù)的能力，電力或電信服務被中斷后的恢復處理等。圖1展示了CAIX的三層結構。

圖1 云計算共識評估擴展指標體系（CAIX）

CAIX的最底層有224個指標項，限于篇幅，此處以表1來呈現(xiàn)其中的5個擴展項的代表，這些是可以直接量化的底層指標，為方便對STAR中的原始報告進行數(shù)據(jù)規(guī)范化處理，擴展項都設計為效益型，即評估級別越高越好，這樣與原有指標項的評估結果是同趨勢的。以OP-04.2E2項為例，供應商報告中未提及數(shù)據(jù)快照保存時間的為0分，保存時間為1星期的為1分，2星期的為2分，依次遞增，直到1個月及以上為5分。

表1 云計算共識評估擴展項示例

由上可知，CAIX覆蓋了云計算的可用性、兼容性、安全性、合規(guī)性等方面，還充分利用了CSA STAR報告中的可量化信息。

2.2 綜合集成與量化計算

2.2.1 綜合集成思想

從定性到定量綜合集成方法[17]，將專家群體、數(shù)據(jù)等多種信息與計算機相結合，把各種學科的理論與人的經(jīng)驗知識整合，發(fā)揮它們的整體優(yōu)勢和綜合優(yōu)勢。

云計算平臺安全評估與選擇過程具有模糊性、多維化、多目標和多機構的特點，綜合集成思想對解決因為這些特點導致的難題有較大的借鑒意義。受文獻[18]的啟發(fā)，通過分析當前典型的信息系統(tǒng)安全評估方法優(yōu)缺點，考慮云平臺的特點，形成了云供應商的DCGVE綜合集成選擇方法。

DCGVE是在云供應商選擇的不同階段，將Delphi法、云安全共識評估框架CAI、G1賦權與變異系數(shù)賦權Variation coefficient、歐氏距離Euclidean distance的優(yōu)點按實際情況綜合集成而得的方法集合。其具體過程是，首先使用專家群決策的Delphi法進行多輪的匿名討論與統(tǒng)計，設計出適用于云計算的CAI擴展指標體系，之后將G1主觀賦權與變異系數(shù)客觀賦權相結合，計算出CAIX各指標的權重，再運用Delphi法對STAR中的報告進行規(guī)范化，引入基于歐氏距離的云平臺綜合最適貼近度概念，為供應商的選擇提供量化的參考依據(jù)。

2.2.2 主、客觀綜合集成賦權

決策過程中，由于被評價對象各指標重要程度不同，必須進行合理的權重分配。賦權分為主觀判斷法與客觀分析法。前者一般是通過專家評分對評判結果進行數(shù)學轉換，所需信息較少，可以提高綜合評價的權威性和可行性，但存在隨意性大、一致性差、精確度低的缺陷，代表有AHP層次分析法；后者是通過對因素數(shù)據(jù)本身所包含的客觀信息提取分析，找出統(tǒng)計學規(guī)律，受人為因素影響很少，缺點是過分依賴樣本數(shù)據(jù)，魯棒性低，代表有熵值法。

為克服主、客觀賦權的缺點，充分利用二者優(yōu)點，出現(xiàn)了主、客觀綜合集成的賦權法，如G1熵法[19]。CAIX指標體系結構復雜，層次較多，評判依據(jù)有的模糊，有的精確，為減少誤差，給決策提供相對重要程度的主觀評價與客觀反映的綜合度量，本文使用由G1法與變異系數(shù)法綜合集成的賦權方法，用于確定各指標項的權重。

以下假設指標體系中最底層項目分別記為x1,x2,…，xm，xk(1≤k≤m)表示第k個指標。

首先是主觀賦權法，由于AHP法主要用于權重排序，并不保證計算出的權重準確性，加上AHP的特征值與一致性檢驗的計算量較大，所以主觀賦權選用G1[20]法，它對AHP進行了改進，并且無需進行一致性檢驗。其主要計算過程如下：

（1）確定序關系。為避免主觀賦權法因個人評價標準差異產(chǎn)生的不穩(wěn)定性，使用Delphi法對同層的所有指標排序如下：

（2）給出xk-1與xk之間的相對重要程度的比較判斷。設專家群體對評價指標xk-1與xk的重要程度之比為rk：

表2 rk賦值參考表

（3）計算權重系數(shù)wm：

（4）重復（1）～（3），計算出各層指標的權重，再自頂向下，計算出最底層各指標項的G1主觀權重wbottom：

式中，n為指標體系總層數(shù)。

其次，客觀賦權中選取變異系數(shù)法，因為它根據(jù)數(shù)據(jù)離散程度來賦權，方法簡單，無過多的檢驗。主要計算過程如下：

（1）根據(jù)標準差與均值計算第k個指標的變異系數(shù)vk：

其中σk，分別為第k個指標的樣本標準差與平均值。（2）由變異系數(shù)計算第k個指標的權重系數(shù)wk：

假設對最底層指標項xk，分別使用G1主觀賦權法與變異系數(shù)法生成的權重為：，則同時體現(xiàn)主、客觀信息特征的權重系數(shù)可通過乘法原理綜合集成為wk：

至此，完成了G1主觀評判與變異系數(shù)客觀分析的綜合集成賦權過程。

2.2.3 綜合最適貼近度

客戶選擇最合適的云供應商應該考慮三個方面，即供應商的服務水平分別與最佳水平的距離，與最差水平的距離，與客戶需求的距離。綜合最適貼近度是綜合了以上三個數(shù)據(jù)的，反映云供應商提供的服務水平合適程度的關鍵參數(shù)，是客戶做出目標選擇的量化依據(jù)。以下定義中的云平臺評估指標即2.1節(jié)構建的CAIX指標體系。

定義1設云平臺評估指標共有m項，則其評測結果表示為集合E：

定義2設云供應商自評報告的可信度為α(0≤α≤1)，則修正后的云供應商評測結果表示為集合E*：

其中α可按文獻[21]的方法獲取。

定義3云平臺評估指標中各項取最大值時，所表示的集合為最佳服務水平Ebest：

定義4云平臺評估指標中各項取最小值時，所表示的集合為最差服務水平Eworst：

定義5云平臺評估指標各項取客戶所需值時，所表示的集合為客戶需求水平Eclient：

定義6令云平臺評估指標體系的通過主、客觀綜合集成賦權的權重為集合W={w1，w2，…，wm}，則云平臺實際服務水平評測結果E與最佳服務水平Ebest，與最差服務水平Eworst，與客戶需求水平 Eclient之間的加權距離分別為

定義7綜合最適貼近度COAD（Comprehensive Optimum Approach Degree）由下式給出：

3 實例計算與分析

根據(jù)以下原則選取CSA STAR[11]中9家云供應商的報告進行處理：

（1）報告使用最新版CAI進行審查。

（2）審查完成時間距現(xiàn)在120天以內(nèi)。

（3）報告對CAI中每個評估項都有回復。

為提高評判效率，保證數(shù)據(jù)精確性，使用Matlab進行編程計算。

3.1 數(shù)據(jù)規(guī)范化

根據(jù)CSA STAR對報告使用的匿名化要求，將9份報告的供應商依次命名為 CSP1，CSP2，CSP3，CSP4，CSP5，CSP6，CSP7，CSP8，CSP9。把報告中回答為“是”與“否”的評測值轉換為“1”與“0”，類似于表1的評估項則根據(jù)表1中的說明進行量化評級。由于在對CAI擴展時做了同趨勢設計，所以不用再做一致化處理。

以CSP4為例，處理后的供應商服務水平的評測結果集合ECSP4為：

由于有224個指標項，限于篇幅，只摘錄其中的10個數(shù)據(jù)，下同。

3.2 指標項綜合集成權重計算

3.2.1 G1主觀權重計算

以Compliance下的Third Party Audits為例，Third Party Audits三個子指標的重要性排序為：

對其重要程度予以賦值，結果如表3。

表3 Third Party Audits子評估項的賦值

根據(jù)式（2）計算權重系數(shù)wCO-03.1：

類似地，計算出同層其他指標項的權重系數(shù)，得到Third Party Audits三個子指標評估項的權重向量為：

逐層向上，計算出各層指標相對于其父指標的權重向量，再按式（3）計算出224個評估項的G1主觀權重wG1：

3.2.2 變異系數(shù)客觀權重計算

對指標項CO-03.1使用式（4）計算其變異系數(shù)vCO-03.1：

求出所有224個評估項的變異系數(shù)，然后使用式（5）計算出224個評估項的變異系數(shù)權重：

3.2.3 主、客觀權重綜合集成

根據(jù)式（6），計算指標項CO-03.1的綜合集成權重：

同理，計算出所有224個評估項的綜合集成權重向量：

3.3 綜合最適貼近度計算

由于缺乏歷史數(shù)據(jù)，故令各評測報告的可信度α=1[21]。根據(jù)定義，依次得到最佳服務水平 Ebest，最差服務水平Eworst的集合向量為：

現(xiàn)在有客戶需求水平Eclient集合向量為：

以CSP4的數(shù)據(jù)為例，按照式（7）～（10），可得到：

最終得到CSP1，CSP2，CSP3，CSP4，CSP5，CSP6，CSP7，CSP8，CSP9的綜合最適貼近度依次為：0.251 4，0.113 2，0.358 5，0.219 7，0.208 1，0.139 6，0.107 9，0.228 4，0.156 6。

3.4 分析

結合原始報告，發(fā)現(xiàn)9家供應商對CAI問卷的回答為“是”的選項數(shù)量從大到小依次為：

即簡單地回答評測結果為“是”的數(shù)量與綜合最適貼近度之間不是正相關的。CSP3提供的審計信息最詳細，而綜合最適貼近度較小的供應商提交的報告內(nèi)容相對簡略。

綜上可知，提出的DCGVE方法以較清晰的數(shù)據(jù)區(qū)分了不同供應商對客戶的合適程度，并可以修正某些供應商夸大自評水平的影響，也啟示供應商應向CSA STAR提供CAI各評估項的詳細信息特別是可以量化的數(shù)據(jù)。

總結整個決策過程，提出的DCGVE綜合集成選擇方法的優(yōu)勢有：

（1）與文獻[5-7]安全因素考慮不足的情況相比，本文基于業(yè)界廣泛認可的CSA CAI框架，借鑒其他權威組織的安全評估規(guī)范，構建了CAIX指標體系，該體系基本上覆蓋了云平臺選擇的常見要素[5-9]：服務可用性、合規(guī)性、安全性、兼容性等。

（2）與文獻[8-9]忽略評估項權重計算的處理相比，主、客觀綜合集成賦權的做法既發(fā)揮了專家群體的經(jīng)驗優(yōu)勢，又充分利用了評測數(shù)據(jù)的統(tǒng)計信息，反映了不同評估項重要性不同的事實。對CAIX各指標項的賦權操作雖然增加了計算的工作量，但能通過Matlab編程高效完成。

（3）充分利用了CSA STAR中報告的信息，為對這些報告進行量化的比較提供了一種思路，擴展了CAI的用途。

4 結語

在供應商眾多的云計算市場中，客戶希望有較全面、權威的平臺選擇方案。CSA提供的云計算共識評估CAI問卷得到較多供應商的采用，并有部分廠商提供該問卷的審查報告，但很少有針對這些報告進行評估、比較的云平臺選擇方法，本文擴展了CAI指標體系，提出綜合了多種算法與理論的云平臺選擇決策方法，對實際報告的處理與分析驗證了方法的有效性。

下一步工作是實現(xiàn)云平臺綜合集成選擇過程的自動化，研究CAI自評報告的可信度。

[1]Mell P，Grance T.The NIST definition of cloud computing[R]. [S.l.]：National Institute of Standards and Technology，2011.

[2]Gens F.New IDC IT cloud services survey：top benefits and challenges[R].[S.l.]：IDC，2009.

[3]CCID Consulting.中國云計算產(chǎn)業(yè)發(fā)展白皮書2011[R].[S.l.]：賽迪顧問，2011.

[4]馮登國，張敏，張妍，等.云計算安全研究[J].軟件學報，2011，22（1）：71-83.

[5]Garg S K，Versteeg S，Buyya R.SMICloud：a framework for comparing and ranking cloud services[C]//4th International Conference on Utility and Cloud Computing，2011：210-218.

[6]Redl C，Breskovic I，Brandic I，et al.Automatic SLA matching and provider selection in grid and cloud computing markets[C]// 13th InternationalConferenceon Grid Computing，2012：85-93.

[7]Ke C K，Lin Z H，Wu M Y，et al.An optimal selection approach for a multi-tenancy service based on a SLA utility[C]//International Symposium on Computer，Consumer and Control，2012：410-413.

[8]Luna J，Ghani H，Vateva T，et al.Quantitative assessment of cloud security level agreements-a case study[C]//Proceedings of Security and Cryptography，2012：64-73.

[9]Luna J，Langenberg R，Suri N.Benchmarking cloud security level agreements using quantitative policy trees[C]//Proceedings of the 2012 ACM Workshop on Cloud Computing Security Workshop，2012：103-112.

[10]Consensus assessments initiative[EB/OL].[2012-11-27].https：// cloudsecurityalliance.org/research/cai/.

[11]CSA security，trust&assurance resources[EB/OL].[2012-11-27]. https：//cloudsecurityalliance.org/star/.

[12]Putri N R，Mganga M C.Enhancing information security in cloud computing services using SLA based metrics[D]. Karlskrona，Sweden：Blekinge Institute of Technology，2011.

[13]Hogben G，Dekker M.A guide to monitoring of security service levels in cloud contracts，TR-2012-04-02[R].[S.l.]：ENISA，2012.

[14]The CIS security metrics，v1.0.0[R].[S.l.]：The Center for Internet Security，2009.

[15]GB/T 22239-2008信息安全等級保護基本要求[S].2008.

[16]陳曉劍，梁梁.系統(tǒng)評價及應用[M].合肥：中國科學技術大學出版社，1993：24-25.

[17]錢學森，于景元，戴汝為.一個科學新領域-開放的復雜巨系統(tǒng)及其方法論[J].自然雜志，1990，13（1）：3-10.

[18]徐維祥，張全壽.一種基于灰色理論和模糊數(shù)學的綜合集成算法[J].系統(tǒng)工程理論與實踐，2001（4）：114-119.

[19]李莉，雷宇，葛旭波，等.電網(wǎng)企業(yè)可持續(xù)發(fā)展的指標體系及評價方法[J].電力學報，2007，22（1）：1-4.

[20]郭亞軍.綜合評價理論、方法及應用[M].北京：科學出版社，2007.

[21]高云璐，沈備軍，孔華鋒.基于SLA與用戶評價的云計算信任模型[J].計算機工程，2012，38（7）：28-30.

基于CAI與綜合集成思想的云平臺選擇方法

姜政偉1，2，劉 宇1，2，劉寶旭2

JIANG Zhengwei1，2,LIU Yu1，2,LIU Baoxu2

1.Graduate University,Chinese Academy of Sciences,Beijing 100049,China
2.Computing Center,Institute of High Energy Physics,Chinese Academy of Sciences,Beijing 100049,China

Security issues in cloud computing and situation of too many cloud service providers in market require a effective and all-sided approach for vendor choosing which is based on authoritative frameworks.This paper proposes a meta-synthesis cloud-oriented selection method called DCGVE,builds an extended indexes system founded on consensus assessment initiative, grants combination weight for each index through G1 objective technique and coefficient of variation subjective technique,defines comprehensive optimal approach degree for cloud through Euclidean distance.Calculation and analysis of normalized reports from CSA STAR shows that the suggested method has comprehensive selection criteria as well as clear process with high discrimination.

cloud computing;cloud security alliance;consensus assessment initiative;security assessment;meta-synthesis;G1 method

云計算的安全問題及市場中云供應商眾多的現(xiàn)狀，要求有基于權威框架的、有效而較全面的供應商選擇方案。提出面向云計算的綜合集成DCGVE選擇方法：使用德爾菲法構建云計算共識評估的擴展指標體系，利用G1法與變異系數(shù)法對各指標進行主、客觀綜合集成賦權，引入歐氏距離來定義云平臺綜合最適貼近度。對CSA STAR中的報告規(guī)范化后的計算與分析表明提出的方法使用的選擇準則全面，過程清晰，結果區(qū)分度較高。

云計算；云安全聯(lián)盟；共識評估計劃；安全評估；綜合集成；G1法

A

TP393.08

10.3778/j.issn.1002-8331.1211-0361

JIANG Zhengwei,LIU Yu,LIU Baoxu.Selection method for cloud platform based on CAI and meta-synthesis.Computer Engineering and Applications,2013,49（11）：1-5.

國家科技支撐計劃項目（No.2012BAH14B02）；國家發(fā)改委信息安全專項項目（發(fā)改辦高技[2012]1424號）。

姜政偉（1985—），男，博士研究生，主要研究方向：云計算安全評估與審計；劉宇（1984—），男，博士研究生，主要研究方向：云計算與網(wǎng)絡安全態(tài)勢；劉寶旭（1972—），男，研究員，主要研究方向：信息安全與云計算。E-mail：jiangzw@ihep.ac.cn

2012-11-29

2013-02-25

1002-8331（2013）11-0001-05

CNKI出版日期：2013-03-15 http://www.cnki.net/kcms/detail/11.2127.TP.20130315.1146.004.html