劉垚磊　陳興蜀　李想　王啟旭

摘? ?要：針對云計算服務供應鏈中存在的安全問題，提出了一種安全評估模型。首先，將供應鏈風險識別方法與云計算服務場景相結合，識別出了云計算服務供應鏈的主要風險目標及其風險來源事件集，并以國標《云計算服務安全能力要求》為基礎，構建了安全指標體系;其次，考慮到云計算服務供應鏈的動態(tài)開放、復雜多變以及大多安全指標無法量化的特點，設計了基于德爾菲方法的風險來源度量流程和權重賦值流程，并提出了基于模糊綜合評價的安全評估流程，以實現(xiàn)風險來源的風險等級度量結果的一致性;最后，通過一個應用實例驗證了安全評估模型的有效性和可行性。

關鍵詞：云計算服務;供應鏈安全評估;德爾菲法;層次分析法;模糊綜合評價

中圖分類號：TP399? ? ? ? ? 文獻標識碼：A

A security assessment model for cloud computing service supply chain

Liu Yaolei1，3， Chen Xingshu2，3， Li Xiang1，3，Wang QiXu2，3

（1.College of Computer Science，Sichuan University， SichuanChengdu 610065;

2. College of Cybersecurity， Sichuan University， SichuanChengdu 610065;

3. Cybersecurity Research Institute， Sichuan University， SichuanChengdu 610065）

Abstract： A security evaluation model was proposed to solve the security problems in the supply chain of cloud computing services. Firstly， combining the supply chain risk identification method with the cloud computing service scenario， the main risk objectives and risk source event sets of the cloud computing service supply chain were identified， and the security index system was constructed based on the cloud computing service security capability requirements which is national standard. Secondly， considering the dynamic open， complex and changeable characteristics of cloud computing service supply chain， and most security indicators can not be quantified， the risk source measurement process and weight assignment process based on Delphi method were designed， and a safety assessment process based on fuzzy comprehensive evaluation was proposed to achieve the consistency of risk level measurement results of risk sources. Finally， an application example verified the validity and feasibility of the security evaluation model.

Key words： cloud computing services; supply chain security assessment; Delphi; analytic hierarchy process; fuzzy comprehensive evaluation

1 引言

隨著云計算的快速發(fā)展，安全問題已成為影響其進一步發(fā)展的主要障礙[1]。供應鏈安全作為云計算安全的關鍵環(huán)節(jié)，一旦出現(xiàn)問題，能夠直接影響云計算服務的質量，甚至導致云計算服務的中斷。因此，有必要通過對云計算服務供應鏈安全評估的研究，及時了解其安全狀態(tài)。

當前，針對云服務安全能力評估的研究通常是針對云服務商選擇的場景，構建安全指標體系或利用現(xiàn)有的安全指標，提出安全評估方法，對云服務商的安全能力進行評估[3-5]。供應鏈安全評估的研究以通用供應鏈為基礎：一方面是對供應鏈中的潛在風險進行識別，并在此基礎上提出風險評估與管理方法[6，7];另一方面是針對供應商選擇的場景，構建安全指標體系并提出安全評估方法，對供應商的安全能力進行評估[8，9]。

然而，上述研究通常只提供一些通用的風險評估模型和方法，缺乏對云計算服務供應鏈深入的分析與研究。因此，從安全評估的角度來說，當前僅針對云服務安全或供應鏈安全的研究并不能完全滿足云計算服務供應鏈的實際場景需求。

針對上述問題，本文在對云計算服務供應鏈深入分析的基礎上，結合國家標準GB/T31168-2014《云計算服務安全能力要求》[2]的內容，提出了面向云計算服務供應鏈的安全評估模型，用以評估其不同指標層次的風險等級，獲得一個全方位的風險狀態(tài)視圖，并通過應用實例驗證了安全評估模型的有效性及可行性。

2 相關研究

由于目前缺少針對云計算服務供應鏈安全評估的研究，因此本文從云服務安全評估和供應鏈安全評估兩個方面來闡述其研究現(xiàn)狀。

在云服務安全評估方面，已有許多學者進行了大量的研究。Jiang等人在服務水平協(xié)議SLA（the Service Level Agreement）的基礎上，利用目標問題度量GQM（Goal Question Metric）構建了指標集[3]，并通過計算每個云服務商與“最好”的距離、與“最差”的距離以及與“客戶需求”的距離得到其安全能力得分。Li等人直接使用云控制矩陣CCM（Cloud Control Matrix）中的安全指標，通過TOPSIS（Technique for Ordering Preference by Similarity to Idea Solution）計算候選云服務商的安全能力得分[4]。Liu等人在客觀方面，采用來自于QoS（Quality of Service）屬性的監(jiān)測值，主觀方面參考的是用戶的信任偏好，利用TOPSIS方法對主客觀信息進行處理進而得到云服務商的安全能力得分[5]。

在供應鏈安全評估方面。一方面，有不少學者從供應鏈整體出發(fā)，研究風險評估與管理的方法。Rao將供應鏈風險管理分為五個步驟，分別是風險識別、風險度量、風險評估、風險評價以及確定風險接受度[6]。Abroon等人使用貝葉斯網(wǎng)絡和故障分析樹方法對供應鏈進行風險識別，并利用期望效用理論評估風險因素對績效指標的影響[7]。另一方面，很多學者針對供應商選擇的場景開展研究。Tobias等人討論了一家美國制造公司為兩條主要產(chǎn)品線尋找新供應商的問題，一共有5個備選方案需要考慮。他們首先確定了17個風險因素，然后將其分為主要目標和次要目標，用層次分析法評估每個風險因素的重要性，并確定最佳方案[8]。Shanmugam等人討論了在中斷風險下供應商的最優(yōu)選擇和訂單數(shù)量分配問題。他們利用多目標粒子群優(yōu)化方法，給出了供應商選擇和訂單分配的一組帕累托最優(yōu)解[9]。

3 安全評估模型

本文在對云計算服務供應鏈深入分析的基礎上，提出了面向云計算服務供應鏈的安全評估模型，具體分為四個部分，如圖1所示。

（1） 構建安全指標體系。本文構建了用于云計算服務供應鏈安全評估的指標體系及其交付件列表。安全指標體系用于評估云計算服務供應鏈不同指標層次的風險等級;交付件列表用于收集安全指標相關信息。

（2） 權重賦值。在本文的安全評估模型中，需要對安全指標體系中的一級指標和二級指標賦予權值。

（3） 風險來源度量。風險來源是安全指標體系中的二級指標，它的風險等級度量是對云計算服務供應鏈進行安全評估的基礎。

（4） 安全評估。評估云計算服務供應鏈不同指標層次的風險等級。

本節(jié)將會對這四個部分進行詳細描述。

3.1 安全指標體系

本文首先將“價值聚焦的供應鏈風險識別方法”[10]應用到云計算服務供應鏈場景中，識別出了云計算服務供應鏈的的主要風險目標及其風險來源事件集;然后將風險來源事件集和國家標準GB/T_31168-2014《云計算服務安全能力要求》中的內容相結合，制定了風險來源事件的下級指標，并設計了交付件列表，用于收集安全指標相關信息。風險目標、風險來源事件集及其下級指標分別作為一級、二級和三級指標構成了云計算服務供應鏈安全評估的安全指標體系，如圖2所示。一級指標的內容如圖3所示。

3.2 風險來源度量

本文采用的是Neil等人在1986年提出的風險等級分類方法[11]。他們根據(jù)后果嚴重程度將風險等級分為四類，下文中分別將其記作B、C、D、E。其中，E對應大的風險，D對應中等的風險，C對應小的風險，B對應微不足道的風險。為了更加符合風險評估的實際情況，本文增加一個新的等級A，A等級代表云服務商的安全控制措施非常完善，不存在任何風險。

在云計算服務供應鏈安全評估的場景中，大多安全指標無法量化，且難以獲取歷史信息。因此，在利用交付件列表獲取三級指標相關信息后，本文采用德爾菲方法[12]對每個風險來源進行風險等級度量。

需要注意的是，對于同一個風險來源，盡管每個專家只能給出一個風險等級評估結果。然而，由于專家知識經(jīng)驗的差異性，對于同一個風險來源，不同的專家給出的風險等級存在不一致性。因此，同一個風險來源的風險等級度量結果可能是A、B、C、D、E中的幾種，但這并不會影響后續(xù)的安全評估工作。

3.3 權重賦值

在本文的安全評估模型中，需要為一級指標和二級指標賦權。如圖4所示，權重賦值分為確定初步權重和確定最終權重兩步。

（1） 確定初步權重

針對云計算服務供應鏈的動態(tài)開放、不確定因素多等特點，本文通過德爾菲方法獲取安全指標的初步權重。這里規(guī)定同一域指標的相對重要度用數(shù)字1～9表示，數(shù)字越大表示指標越重要。同一域指的是同一個一級指標下所有的二級指標或所有的一級指標。具體分為幾個步驟。

1） 組建專家小組和監(jiān)督小組。選取云計算、供應鏈、風險評估、社會管理等領域的專家若干，組建專家小組和監(jiān)督小組。專家小組應由若干個小組構成，每個小組中包含每個領域的專家至少一名;監(jiān)督小組應包含每個領域的專家至少一名。

2） 設計調查問卷。監(jiān)督小組依據(jù)一級、二級指標及其它相關材料設計調查問卷，調查問卷中應包含其所掌握的所有有助于確定指標權重的信息。

3） 專家小組評估權值。專家小組在接收到調查問卷后，其中的每個小組應獨立地依據(jù)調查問卷對指標權重值進行評估。

4） 回收結果。監(jiān)督小組在收到專家小組的反饋后，對反饋結果進行總結并修改調查問卷為下一輪的評估做準備。重復步驟2～4，直至專家小組的反饋結果趨于一致。

5） 在完成以上步驟后，監(jiān)督小組需要找出每個指標權重評估結果的眾數(shù)，將其作為指標的初步權重值。

（2） 確定最終權重

經(jīng)過確定初步權重環(huán)節(jié)后，每個指標都有一個初步權重值，用1～9表示，如表2所示。

通過AHP[13]方法對一級指標和二級指標的初步權重值做進一步的處理，可得到它們的最終權重值。在計算最終權重時，需要多次使用AHP方法。每次AHP方法的作用范圍都是同一域內的指標，同時計算出同一域內所有指標的最終權重值。本文以第一個一級指標下所有二級指標為例，計算它們的最終權重值。首先建立決策矩陣如公式（1）所示。

（1）

假如第一個一級指標下有個二級指標，則這個二級指標的決策矩陣大小為。Ai，j的計算方法如公式（2）所示。

（2）

其中，M1，i是該一級指標下第i個二級指標的初步權重值，M1，j是該一級指標下第j個二級指標的初步權重值。對得到的決策矩陣求解最大特征值及其對應的特征向量，并使用公式（3）對決策矩陣做一致性檢驗。

（3）

CI的計算方法如公式（4）所示，RI的值可通過查表獲得。

（4）

其中，λmax是決策矩陣的最大特征值，n是該一級指標下二級指標的數(shù)量。

當n的值大于12時，可通過文獻[14]中介紹的方法計算RI的值。一般情況下，當CR的值小于0.1時，認為決策矩陣符合一致性檢驗;否則，需要對決策矩陣調整后重新進行以上步驟。假設最大特征值對應的特征向量為η，如公式（5）所示。

（5）

對特征向量中的元素值進行歸一化即可得到該一級指標下所有二級指標的最終權重值，如公式（6）所示。

（6）

至此，第一個一級指標下所有二級指標的最終權重值已經(jīng)計算完畢。使用以上步驟可計算出其它一級指標下二級指標的最終權重值和所有一級指標的最終權重值。

3.4 安全評估

由于專家知識經(jīng)驗的差異性，風險來源的風險等級度量結果存在不一致性。針對這種情況，本文采用基于模糊綜合評價法的安全評估流程評估云計算服務供應鏈的風險等級，如圖5所示。

（1） 建立模糊集

設={S1，S2，…，Sn}表示云計算服務供應鏈一級指標的集合，其中，n是一級指標的個數(shù);i={Si，1，Si，2，…，Si，m}表示第i個一級指標下二級指標的集合，m為第i個一級目標下的二級指標個數(shù);P={A， B， C， D， E}表示風險等級集，A， B， C， D， E分別代表不同的風險等級。

（2） 計算二級指標隸屬度

可通過公式（7）計算指標Si，j對第s個風險等級的隸屬度。其中，rs表示在風險來源度量結果中，有rs份調查問卷對指標Si，j的評估結果是第s個風險等級。s是風險等級集的下標。

（7）

（3） 各級指標權重

指標的權重值可參考3.3章節(jié)的方法得到，這里只描述如何表示各級指標權重值。

令W=（w1，w2，… ，wn）表示一級指標的權重向量，其中n是一級指標的數(shù)量;Wi=（wi，1，wi，2，… ，wi，m）表示第i個一級指標下二級指標的權重向量，其中m是第i個一級指標下二級指標的數(shù)量。

（4） 計算二級指標風險等級

設二級指標Si，j的隸屬度向量如公式（8）所示。

（8）

其中，θi，j，1是二級指標Si，j對第一個風險等級的隸屬度，即對風險等級A的隸屬度，其它以此類推。利用最大隸屬原則計算二級指標Si，j的風險等級。

（9）

其中，max（）函數(shù)代表取隸屬度最大的風險等級。同理，使用以上步驟可計算出其它二級指標的風險等級。

（5） 構建二級指標評估矩陣

利用一級指標Si下所有二級指標的隸屬度向量可構建出一級指標Si下二級指標的評判矩陣。評判矩陣中的每一行都是Si下一個二級指標的隸屬度向量。

（10）

（6） 計算一級指標隸屬度

利用公式（11）計算第i個一級指標的隸屬度向量。其中，Wi是第i個一級指標下二級指標的權重值向量，θi.1是第i個一級指標對第一個風險等級的隸屬度，即對風險等級A的隸屬度，其它以此類推。

（11）

（7） 計算一級指標風險等級

第i個一級指標的風險等級可用公式（12）計算。其中，max（）函數(shù)代表取隸屬度最大的風險等級。同理，使用以上步驟可計算出其它一級指標的風險等級。

（12）

（8） 構建一級指標評估矩陣

利用所有一級指標的隸屬度向量可構建一級指標的評判矩陣。其中，評判矩陣中的每一行都是一個一級指標的隸屬度向量。

（13）

（9） 計算整體隸屬度

通過一級指標的權重向量和評判矩陣計算整體隸屬度。其中，θ1是云計算服務供應鏈整體對第一個風險等級的隸屬度，即對風險等級A的隸屬度，其它以此類推。

（14）

（10） 計算整體風險等級

同理，可利用最大隸屬原則對云計算服務供應鏈的整體風險等級進行認定。V即是云計算服務供應鏈整體的風險等級。

（15）

4 可行性分析

本節(jié)將通過一個應用實例驗證本文所提出的安全評估模型的有效性和可行性。實驗所使用的風險來源度量結果、指標的初步權重值均由隨機數(shù)產(chǎn)生。由于本文對專家小組針對風險來源的度量結果以及指標的初步權重值進行了規(guī)范化，實際環(huán)境中數(shù)據(jù)的格式和實驗數(shù)據(jù)是一樣。因此，本節(jié)采用隨機數(shù)進行的實驗仍能夠有效地驗證安全評估模型的有效性和可行性。

（1） 權重賦值

這部分內容直接從初步權重值入手，利用AHP方法對初步權重值作進一步處理得到最終權重值。首先計算第一個一級指標下所有二級指標的最終權重。假設這些二級指標的初步權重向量如下所示。

可建立決策矩陣如下。

運用求和法可解得該決策矩陣的最大特征值及其對應的特征向量。

對決策矩陣進行一致性檢驗，首先計算CI的值。

查表可知，n=11時，RI的值為1.52。經(jīng)計算，CR的值小于0.1，該決策矩陣符合一致性要求。由于向量η中的各個元素值已經(jīng)滿足歸一化要求，因此，它的元素值可直接作為第一個一級指標下二級指標的最終權重值。同理，可計算出其它二級指標的最終權重值和所有一級指標的最終權重值。其中，第一個一級指標下二級指標的權重向量和一級指標的權重向量如下所示。

（2） 安全評估

1） 建立模糊集

設={S1， S2， …， S11}代表一級指標的集合;i={Si，1， Si，2， …， Si，m}代表第i個一級指標下的二級指標集合，m是第i個一級指標下二級指標的數(shù)量;P ={A， B， C， D， E}代表風險等級集。

2） 計算二級指標隸屬度

第一個一級指標（最小化技術風險）下所有的二級指標如圖6所示。以第一個一級指標下的二級指標（風險來源）為例，假設參與風險度量工作的專家小組有10個小組，度量結果如表4所示。表格中風險來源列的數(shù)字表示該一級指標下第幾個風險來源，如2代表風險來源“缺少系統(tǒng)性的評估制度”。表格中其它列的數(shù)字表示有多少個專家小組對該風險來源給出了對應的風險等級。如第一個風險來源這一行與A等級這一列相交處是1，代表有一個專家小組對該風險來源的風險度量結果是等級A。

由此，可計算出第一個風險來源對應各個風險等級的隸屬度向量。

同理，可計算出其它二級指標對應各個風險等級的隸屬度向量。

3） 各級指標權重

前文已經(jīng)計算出各級指標權重，這里只描述如何表示。令W=（w1， w2， … ，wn）表示一級指標的權重向量，其中n=11;Wi=（wi，1， wi，2， … ， wi，m）表示第i個一級指標下二級指標的權重向量，其中m是第i個一級指標下二級指標的數(shù)量。

4） 計算二級指標風險等級

利用最大隸屬原則計算二級指標的風險等級。

因此，第一個一級指標下第一個二級指標的風險等級為B。通過以上步驟可計算出第一個一級指標下其它二級指標的風險等級以及其它一級指標下二級指標的風險等級。

5） 構建二級指標評判矩陣

利用第二步計算出的第一個一級指標下所有二級指標的隸屬度向量，可構建出第一個一級指標下二級指標的評判矩陣。

6） 計算一級指標隸屬度

第一個一級指標的隸屬度向量如下。

其中，W1是該一級指標下二級指標的權重值向量。同理，可計算出其它一級指標的隸屬度向量。

7） 計算一級指標風險等級

同樣地，通過最大隸屬原則計算一級指標的風險等級，以第一個一級指標為例。

因此，第一個一級指標的風險等級為B。

8） 構建一級指標評判矩陣

同樣地，利用所有一級指標的隸屬度向量可構建一級指標評判矩陣。

9） 計算整體隸屬度

其中，W是一級指標的權重值向量。

10） 計算整體風險等級

因此，云計算服務供應鏈的整體風險等級為C。至此，云計算服務供應鏈的安全評估工作已全部完成，可以得到整體、一級指標和二級指標的風險等級，如圖7所示，全方位了解云計算服務供應鏈的安全狀態(tài)。

5 結束語

隨著云計算產(chǎn)業(yè)的發(fā)展，云計算服務供應鏈網(wǎng)絡日益復雜，也帶來了許多安全問題。因此，有必要開展對云計算服務供應鏈的安全評估工作，及時了解其安全狀態(tài)。本文針對這種情況，提出了面向云計算服務供應鏈的安全評估模型，通過對云計算服務供應鏈的風險分析與識別，結合國家標準的要求，構建了安全指標體系及其交付件列表;通過基于德爾菲方法的風險來源度量方法和權重賦值方法可以獲取二級指標的風險來源度量結果及一級、二級指標的權重值;通過基于模糊綜合評價方法的安全評估流程解決風險來源的風險度量結果可能存在不一致性的問題，并評估云計算服務供應鏈不同指標層次的風險等級。通過一個實例分析，驗證了本文提出的安全評估模型的有效性和可行性。

基金項目：

1.國家自然科學基金資助項目（項目編號：61802270，61802271）;

2.中央高?；A研究經(jīng)費（項目編號：SCU2018D018，SCU2018 D022）。

參考文獻

[1] Basu S， Bardhan A， Gupta K， et al. Cloud computing security challenges & solution-a survey [C]//2018 IEEE 8th Annual Computing and Communication Workshop and Conference （CC-WC）. IEEE， 2018： 347-356.

[2] 陳興蜀，左曉棟. GB/T 31168-2014，信息安全技術 云計算服務安全能力要求[S].北京：中國標準出版社，2014.

[3] Zhengwei J， Ran D， Zhigang L， et al. A meta-synthesis approach for cloud service provider selection based on secsla[C]//Computational and Information Sciences （ICCIS）， 2013 Fifth International Conference on， 2013：1356-1360.

[4] Li X ， Jin X ， Wang Q ， et al. SCCAF： A Secure and Compliant Continuous Assessment Fra- mework in Cloud-Based IoT Context[J]. Wireless Communicatio-ns and Mobile Computing， 2018， 2018：1-18.

[5] Lu L， Yuan Y. A novel TOPSIS evaluation scheme for cloud service trustworthiness combining objective and subjective aspects[J]. Journal of Systems and Software， 2018：71-86.

[6] Tummala R， Schoenherr T. Assessing and managing risks using the Supply Chain Risk Mana- gement Process （SCRMP）[J]. Supply Chain Managem-ent， 2011，16（6）：474-483.

[7] Qazi A， Dickson A， Quigley J， et al. Supply chain risk network management： A Bayesian belief? network and expected utility based approach for managing supply chain risks[J]. International Journal of Production Economics， 2018，196： 22-42.

[8] Schoenherr T， Tummala V M R， Harrison T P. Assessing supply chain risks with the analytic hierarchy process： Providing decision support for the offshoring decision by a US manufacturing company[J]. Journal of Purchasing and Supply Management， 2008， 14（2）：100-111.

[9] Prasannavenkatesan S， Goh M. Multi-objective supplier selection and order allocation under disruption risk[J]. Transportation Research Part E： Logistics and Transportation Review， 2016， 95：124-142.

[10] Neiger D， Rotaru K， Churilov L. Supply chain risk identification with value-focused process engineering [J]. Journal of Operations Management， 2009， 27 （2）： 154-168.

[11] Crockford N. An Introduction to Risk Manageme-nt . Woodhead-Faulkner[R].1986.

[12] Mahajan R B V. The Delphi Method： Techniques and Applicationsby Harold A. Linstone; Murray Turoff [J]. Journal of Marketing Research，1976，13（3）：317-318.

[13] Saaty T L. Modeling unstructured decision problems – the theory of analytical hierarchies[J]. Mathematics & Computers in Simulation，1978， 20（3）：147-158.

[14] 洪志國，李焱，范植華，等.層次分析法中高階平均隨機一致性指標（RI）的計算[J].計算機工程與應用， 2002， 38（12）：45-47.