陳希暉（副教授/博士） 侯良格（南京審計(jì)大學(xué)政府審計(jì)學(xué)院 江蘇南京 211815）

一、引言

審計(jì)人員與信息安全人員對(duì)“云審計(jì)”的看法各有不同，審計(jì)人員將云審計(jì)理解為借助云計(jì)算、大數(shù)據(jù)等技術(shù)提高審計(jì)取證的效率與質(zhì)量，信息安全人員則認(rèn)為云審計(jì)是指對(duì)“云”中利益相關(guān)者交互關(guān)系的審計(jì)。從技術(shù)上看，將“審計(jì)技術(shù)”搭載在云端的模式早已能夠?qū)崿F(xiàn)，但困擾云審計(jì)發(fā)展的還是安全問(wèn)題。云審計(jì)不僅僅是利用“云”進(jìn)行審計(jì)工作，更需要將“審計(jì)思維”——監(jiān)督機(jī)制，運(yùn)用在云計(jì)算安全問(wèn)題上，實(shí)現(xiàn)對(duì)云數(shù)據(jù)存儲(chǔ)、隱私安全、操作過(guò)程及基礎(chǔ)設(shè)施合規(guī)性的審計(jì)驗(yàn)證。

云存儲(chǔ)作為云計(jì)算不可或缺的一部分，以多租戶(hù)的服務(wù)模式為個(gè)人和組織提供大規(guī)模、分布式的存儲(chǔ)服務(wù)。公有云存儲(chǔ)憑借規(guī)模效應(yīng)、彈性可擴(kuò)展、經(jīng)濟(jì)高效的優(yōu)勢(shì)吸引著云用戶(hù)將數(shù)據(jù)外包給云供應(yīng)商管理。但當(dāng)我們只關(guān)注數(shù)據(jù)安全性時(shí)不難發(fā)現(xiàn)，數(shù)據(jù)外包雖然減輕了數(shù)據(jù)所有者（云用戶(hù)）本地存儲(chǔ)和維護(hù)的負(fù)擔(dān)，但同時(shí)也弱化了云用戶(hù)對(duì)數(shù)據(jù)的物理控制。由于數(shù)據(jù)異地存儲(chǔ)的特性，云服務(wù)器上的數(shù)據(jù)時(shí)刻面臨著內(nèi)部和外部的攻擊，數(shù)據(jù)的完整性、機(jī)密性、可用性可能遭受?chē)?yán)重的損害，傳統(tǒng)的本地?cái)?shù)據(jù)安全保護(hù)措施已不可直接使用。

云安全審計(jì)模式分為私有審計(jì)和第三方審計(jì)。兩種審計(jì)模式的區(qū)別在于，私有審計(jì)是云用戶(hù)自己檢驗(yàn)數(shù)據(jù)的完整性，只涉及云服務(wù)用戶(hù)和云服務(wù)供應(yīng)商兩類(lèi)實(shí)體。第三方審計(jì)主要涉及云用戶(hù)、云服務(wù)供應(yīng)商以及可信的第三方審計(jì)機(jī)構(gòu)（TPA）三類(lèi)實(shí)體。由于私有審計(jì)對(duì)用戶(hù)端計(jì)算能力要求極高且通信開(kāi)銷(xiāo)十分巨大，現(xiàn)實(shí)可行性較低；第三方審計(jì)則憑借獨(dú)立客觀、高效專(zhuān)業(yè)、經(jīng)濟(jì)便捷的優(yōu)勢(shì)廣受青睞。TPA是受云用戶(hù)和云供應(yīng)商信任的第三方機(jī)構(gòu)，面對(duì)海量數(shù)據(jù)擁有用戶(hù)所不具備的計(jì)算能力，云用戶(hù)將數(shù)據(jù)完整性審計(jì)需求委托給TPA，TPA接受審計(jì)委托后，代表云用戶(hù)對(duì)云數(shù)據(jù)、云供應(yīng)商進(jìn)行審計(jì)驗(yàn)證。第三方審計(jì)過(guò)程可以大致描述為，云用戶(hù)預(yù)處理數(shù)據(jù)并生成數(shù)據(jù)標(biāo)簽后上傳數(shù)據(jù)到云端服務(wù)器中，TPA獲取用戶(hù)授權(quán)后從云服務(wù)器獲取待測(cè)數(shù)據(jù)并對(duì)該數(shù)據(jù)進(jìn)行完整性檢驗(yàn)，最后將檢驗(yàn)結(jié)果發(fā)送給云用戶(hù)。

國(guó)內(nèi)外學(xué)者就如何審計(jì)云存儲(chǔ)安全問(wèn)題進(jìn)行了大量的研究。本文將從數(shù)據(jù)、云用戶(hù)、云供應(yīng)商三方面對(duì)現(xiàn)有云安全審計(jì)方案進(jìn)行歸納分析，并以審計(jì)對(duì)事件的干預(yù)進(jìn)程為視角，對(duì)云安全審計(jì)的未來(lái)研究進(jìn)行展望。

二、云安全風(fēng)險(xiǎn)及審計(jì)需求分析

（一）云安全事故。Cybersecurity Insiders發(fā)布的全球《2020年云安全報(bào)告》稱(chēng)，隨著公有云業(yè)務(wù)的不斷擴(kuò)大，云服務(wù)的安全性是企業(yè)或個(gè)人采用云存儲(chǔ)的首要考慮因素，然而由于相關(guān)安全措施的滯后，導(dǎo)致云安全事故頻發(fā)，大多數(shù)（69%）組織和用戶(hù)對(duì)云安全狀況完全沒(méi)有信心或僅有中度信心。表1為2020年云安全聯(lián)盟CSA發(fā)布的《云計(jì)算的11類(lèi)頂級(jí)威脅》 （中文版）提出的11類(lèi)云安全主要威脅。表2列舉了近年云供應(yīng)商安全事故。

表1 云安全聯(lián)盟列舉的11類(lèi)云計(jì)算安全威脅

表2 云供應(yīng)商安全事故

（二）云安全風(fēng)險(xiǎn)及審計(jì)需求分析。云安全主要是指數(shù)據(jù)存儲(chǔ)、加密、傳輸、訪問(wèn)安全，即保證數(shù)據(jù)的完整性、機(jī)密性、可用性。第三方審計(jì)機(jī)構(gòu)開(kāi)展云安全審計(jì)時(shí)，必須依據(jù)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的原理，從這三個(gè)方面認(rèn)真分析云安全風(fēng)險(xiǎn)，明確審計(jì)需求并制定相應(yīng)的審計(jì)方案。

首先，對(duì)云數(shù)據(jù)的安全審計(jì)需重點(diǎn)關(guān)注完整性與機(jī)密性。云存儲(chǔ)服務(wù)中數(shù)據(jù)所有權(quán)和管理權(quán)分離，使得云端數(shù)據(jù)安全面臨極大的威脅。一方面，軟件硬件故障、外來(lái)黑客侵入、內(nèi)部人員篡改、刪除數(shù)據(jù)等破壞行為會(huì)嚴(yán)重?fù)p害數(shù)據(jù)的完整性；另一方面，用戶(hù)加密意識(shí)薄弱，云供應(yīng)商可能為求牟利出賣(mài)用戶(hù)隱私信息，嚴(yán)重?fù)p害云用戶(hù)信息的機(jī)密性。

其次，對(duì)云用戶(hù)的安全審計(jì)需重點(diǎn)關(guān)注機(jī)密性。云存儲(chǔ)采用多租戶(hù)技術(shù)（多個(gè)租戶(hù)共用同一塊存儲(chǔ)介質(zhì)），盡管云供應(yīng)商會(huì)提供一些數(shù)據(jù)隔離技術(shù)（如身份授權(quán)訪問(wèn)控制）來(lái)防止不同用戶(hù)間非授權(quán)交互訪問(wèn)，但非授權(quán)的訪問(wèn)仍可能利用系統(tǒng)漏洞實(shí)現(xiàn)。因此，為保證機(jī)密性還需對(duì)用戶(hù)實(shí)施身份訪問(wèn)控制、日志審計(jì)和身份追溯性審計(jì)。

再次，對(duì)云供應(yīng)商的審計(jì)主要目標(biāo)需重點(diǎn)關(guān)注可用性、機(jī)密性和隱私性。由于云用戶(hù)和云供應(yīng)商之間存在信任博弈，審計(jì)人員需對(duì)云供應(yīng)商進(jìn)行安全評(píng)估及合規(guī)性審計(jì)，評(píng)價(jià)云供應(yīng)商的服務(wù)是否達(dá)到安全標(biāo)準(zhǔn)，能夠保證信息資產(chǎn)的持續(xù)可用性，以證實(shí)云供應(yīng)商聲稱(chēng)的安全措施是否可靠。另外，需關(guān)注客戶(hù)機(jī)密信息（含個(gè)人信息）的收集、使用、保留、披露和銷(xiāo)毀是否受到所承諾或預(yù)設(shè)的系統(tǒng)保護(hù)，并符合隱私聲明中的承諾以及相關(guān)行業(yè)組織（如AICPA/CICA）發(fā)布的通用隱私原則中規(guī)定的標(biāo)準(zhǔn)。

三、云安全審計(jì)研究現(xiàn)狀

根據(jù)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的原則，第三方審計(jì)機(jī)構(gòu)需針對(duì)云的關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域開(kāi)展云安全審計(jì)。完整性審計(jì)主要以數(shù)據(jù)為研究對(duì)象，機(jī)密性審計(jì)需兼顧數(shù)據(jù)安全和用戶(hù)身份隔離，因此以數(shù)據(jù)和用戶(hù)為研究對(duì)象；可用性審計(jì)則以供應(yīng)商為主要研究對(duì)象。因此本文選取數(shù)據(jù)、云用戶(hù)、云供應(yīng)商作為研究對(duì)象，對(duì)現(xiàn)有云安全審計(jì)研究進(jìn)行述評(píng)。

（一）數(shù)據(jù)安全審計(jì)。云審計(jì)最早的研究是對(duì)云數(shù)據(jù)的完整性進(jìn)行遠(yuǎn)程檢驗(yàn)，審計(jì)人員或用戶(hù)通過(guò)某種協(xié)議或算法驗(yàn)證服務(wù)器中的數(shù)據(jù)完整性，即數(shù)據(jù)是否被篡改、刪除或丟失。特別地，由于網(wǎng)絡(luò)傳輸?shù)某杀臼职嘿F，將云中所有數(shù)據(jù)下載并審計(jì)驗(yàn)證并不是經(jīng)濟(jì)可行的審計(jì)方案。理想的第三方審計(jì)方案應(yīng)具有以下功能特性：

1.數(shù)據(jù)批處理。數(shù)據(jù)批處理是指支持同一時(shí)間處理多個(gè)審計(jì)請(qǐng)求。Wang（2010）［1］［2］提出了支持?jǐn)?shù)據(jù)批處理的完整性審計(jì)方案。該方案的優(yōu)點(diǎn)在于無(wú)需獲取數(shù)據(jù)本身、利用雙線性聚合簽名技術(shù)支持批量審計(jì)，但卻沒(méi)有較好地解決云用戶(hù)隱私保護(hù)問(wèn)題。Wang（2011）［3］基于哈希樹(shù)提出支持動(dòng)態(tài)數(shù)據(jù)更新、數(shù)據(jù)批處理的完整性審計(jì)方案，但只適合存儲(chǔ)中小型文件，文件越大，該方案的審計(jì)開(kāi)銷(xiāo)越大。在此基礎(chǔ)上，秦志光（2015）［4］通過(guò)引入分層索引結(jié)構(gòu)優(yōu)化哈希樹(shù)，成功節(jié)省了審計(jì)人員的通信開(kāi)銷(xiāo)。

2.數(shù)據(jù)動(dòng)態(tài)更新。對(duì)于數(shù)據(jù)動(dòng)態(tài)更新的支持方面，秦志光（2015）［4］發(fā)現(xiàn)通過(guò)降低哈希樹(shù)的高度，可以實(shí)現(xiàn)多粒度的動(dòng)態(tài)操作。但隨著數(shù)據(jù)增多，哈希樹(shù)結(jié)構(gòu)越趨復(fù)雜，審計(jì)效率也隨之降低。周堅(jiān)等（2019）［5］認(rèn)為，由多審計(jì)實(shí)體組成的區(qū)塊鏈審計(jì)網(wǎng)絡(luò)能夠解決單點(diǎn)失效和計(jì)算瓶頸問(wèn)題。采用變色龍哈希算法和嵌套MHT結(jié)構(gòu)，能實(shí)現(xiàn)云數(shù)據(jù)標(biāo)簽在區(qū)塊鏈上的動(dòng)態(tài)操作，并支持追溯錯(cuò)誤數(shù)據(jù)。Li等（2020）［6］提出一種支持?jǐn)?shù)據(jù)動(dòng)態(tài)的安全可審計(jì)的云存儲(chǔ)方案，輕量級(jí)的信息加密操作使得數(shù)據(jù)外包速度提升了一個(gè)數(shù)量級(jí)并且在檢查數(shù)據(jù)完整性方面快了兩倍，彌補(bǔ)了傳統(tǒng)云存儲(chǔ)審計(jì)方案只審計(jì)數(shù)據(jù)完整性但不支持?jǐn)?shù)據(jù)動(dòng)態(tài)功能的缺陷。

3.數(shù)據(jù)機(jī)密性與隱私保護(hù)。數(shù)據(jù)機(jī)密性與用戶(hù)隱私安全涉及到加密技術(shù)、用戶(hù)身份授權(quán)與驗(yàn)證，加密技術(shù)包括加密算法和密鑰兩大元素。Li（2016）［7］設(shè)計(jì)了兩個(gè)云安全審計(jì)系統(tǒng)，即SecureCloud和SecureCloud+。SecureCloud側(cè)重審計(jì)云數(shù)據(jù)的完整性，SecureCloud+則更關(guān)注保護(hù)數(shù)據(jù)的機(jī)密性和隱私數(shù)據(jù)。Anbuchelian等（2019）［8］對(duì)文件加密方法進(jìn)行創(chuàng)新，使用改進(jìn)的RSA加密算法（稱(chēng)為MRSAC算法）生成密鑰。云用戶(hù)上傳數(shù)據(jù)后，將獲得一個(gè)私鑰和公鑰以便于安全地檢索數(shù)據(jù)文件。TPA采用多級(jí)哈希樹(shù)算法對(duì)云數(shù)據(jù)信息的完整性進(jìn)行審計(jì)驗(yàn)證?？紤]到公有云存儲(chǔ)審計(jì)過(guò)程中如果TPA是惡意或假裝的，可能在未經(jīng)許可的情況下威脅數(shù)據(jù)的隱私安全，Shen（2017）［9］提出了一種新型云存儲(chǔ)審計(jì)方案，引入第三方媒介（TPM）替代TPA角色，TPM為用戶(hù)生成身份驗(yàn)證器并代表用戶(hù)驗(yàn)證數(shù)據(jù)完整性?？紤]到數(shù)據(jù)隱私保護(hù)的需求，在數(shù)據(jù)上傳和數(shù)據(jù)審計(jì)階段使用簡(jiǎn)單的操作將敏感信息進(jìn)行盲化。如此一來(lái)只需要確保使用的TPM在有效期內(nèi)且獲得用戶(hù)授權(quán)，即可在保證隱私性的前提下進(jìn)行數(shù)據(jù)的完整性審計(jì)，既可以解決云用戶(hù)隱私問(wèn)題，又可以規(guī)避耗時(shí)且計(jì)算復(fù)雜的加密、解密操作。

綜上所述，現(xiàn)有的云安全審計(jì)方案及工具在性能上均未能實(shí)現(xiàn)理想的輕量級(jí)狀態(tài)；功能實(shí)現(xiàn)方面各有側(cè)重，例如有些審計(jì)方案支持?jǐn)?shù)據(jù)動(dòng)態(tài)更新但不支持批量處理，支持批量處理后又無(wú)法節(jié)約計(jì)算開(kāi)銷(xiāo)等；從應(yīng)用角度看，復(fù)雜場(chǎng)景的綜合云審計(jì)尚有研究空間，如跨云審計(jì)、分布式協(xié)同審計(jì)等。

（二）云用戶(hù)安全審計(jì)。云計(jì)算提供的是租賃共享式的數(shù)據(jù)集中存儲(chǔ)服務(wù)，“共享”特性體現(xiàn)在云用戶(hù)是以一個(gè)組的形式共享數(shù)據(jù)塊，作為組內(nèi)成員，云用戶(hù)可以訪問(wèn)、修改這些共享數(shù)據(jù)。因此必須實(shí)施云用戶(hù)之間的安全隔離，即除所有者和授權(quán)用戶(hù)外的任何人不能訪問(wèn)、修改數(shù)據(jù)。保證云用戶(hù)間的安全隔離，最基礎(chǔ)的方法包括訪問(wèn)控制和身份認(rèn)證機(jī)制，例如云中的單點(diǎn)登錄（SSO）、基于角色的訪問(wèn)控制（RBAC）、基于屬性的訪問(wèn)控制（ABAC）。Majumdar（2018）［10］利用OpenStack中的攔截檢查方法，審計(jì)各種身份驗(yàn)證和授權(quán)插件的正確部署。除了訪問(wèn)控制、身份授權(quán)等事中保護(hù)措施之外，對(duì)云用戶(hù)實(shí)施事后審計(jì)也很重要。TPA主要從以下兩方面對(duì)云用戶(hù)實(shí)施事后審計(jì)：

1.日志審計(jì)。云日志記錄了云用戶(hù)所有操作活動(dòng)的過(guò)程，是安全事件追溯、取證和責(zé)任界定的重要依據(jù)。Shetty（2014）［11］等提出了一種審計(jì)惡意云租戶(hù)的技術(shù)，通過(guò)IP定位和路由器IP分析技術(shù)，根據(jù)網(wǎng)絡(luò)度量和社會(huì)特征等因素確定云租戶(hù)真實(shí)地理位置，但該方案也忽視了對(duì)租戶(hù)關(guān)鍵隱私信息的保護(hù)。趙春曄等（2017）［12］基于用戶(hù)行為提出日志分析的審計(jì)解決方案，利用改進(jìn)后的關(guān)聯(lián)規(guī)則挖掘算法實(shí)現(xiàn)了云安全審計(jì)中隱私數(shù)據(jù)泄露的追蹤與取證。郭濤敏（2019）［13］進(jìn)一步利用關(guān)聯(lián)規(guī)則Apriori算法對(duì)比挖掘安全日志和用戶(hù)行為異常信息，結(jié)合典型惡意入侵行為建立預(yù)測(cè)模型，以高水平的置信策略有效識(shí)別云安全事故類(lèi)型。上述日志審計(jì)方法都能夠較為有效地幫助審計(jì)人員追蹤或預(yù)測(cè)惡意租戶(hù)信息流的傳播過(guò)程?？偟膩?lái)說(shuō)，日志審計(jì)就是集數(shù)據(jù)采集與存儲(chǔ)為一體，便于審計(jì)人員根據(jù)日志記錄監(jiān)控云上的異常行為，及時(shí)進(jìn)行安全分析、行為預(yù)測(cè)、資源跟蹤、身份追溯等工作。

2.身份追溯性審計(jì)。為保護(hù)云用戶(hù)的隱私安全，目前云存儲(chǔ)共享數(shù)據(jù)的審計(jì)方案都很好地隱藏了組成員的身份，但身份的匿名性也造成同一組的云用戶(hù)能夠惡意篡改共享數(shù)據(jù)而不被發(fā)現(xiàn)。一旦數(shù)據(jù)被篡改，那么能否實(shí)現(xiàn)“竊取者”身份追溯就成為審計(jì)的關(guān)鍵。Wang（2012）［14］提出靈活的分布式存儲(chǔ)完整性審計(jì)機(jī)制，采用糾刪碼和冗余存儲(chǔ)技術(shù)保證數(shù)據(jù)的正確性和可恢復(fù)性。該審計(jì)機(jī)制適用于有大量數(shù)據(jù)和任何需要容錯(cuò)的云存儲(chǔ)系統(tǒng)，驗(yàn)證數(shù)據(jù)存儲(chǔ)正確性的同時(shí)也能快速追溯錯(cuò)誤數(shù)據(jù)塊的具體位置。但該審計(jì)機(jī)制的不足在于：計(jì)算量大、通信成本高；審計(jì)次數(shù)有限且需預(yù)設(shè)。金瑜等（2017）［15］提出支持用戶(hù)追溯的審計(jì)方案，該方案的優(yōu)點(diǎn)是利用安全中介者代替用戶(hù)簽名，支持共享數(shù)據(jù)塊身份的可追溯，并利用新的數(shù)據(jù)塊致盲技術(shù)，減少用戶(hù)端計(jì)算量。Tian（2018）［16］提出了不同的解決方案，將數(shù)據(jù)塊上的身份簽名轉(zhuǎn)換為組管理員的簽名；采用了隨機(jī)屏蔽技術(shù)將用戶(hù)身份信息適當(dāng)盲化，保護(hù)云用戶(hù)的隱私；設(shè)計(jì)了一個(gè)修改記錄表來(lái)記錄操作信息，支持身份的可追溯性；擴(kuò)展動(dòng)態(tài)哈希表以支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作，并提出了一種批處理審計(jì)策略。該方案集成了數(shù)據(jù)動(dòng)態(tài)更新、批處理、身份可追溯、隱私保護(hù)等多項(xiàng)功能更具實(shí)用性。

綜上所述，根據(jù)審計(jì)方案對(duì)事件的干預(yù)進(jìn)程，對(duì)云用戶(hù)開(kāi)展的審計(jì)主要以事中審計(jì)（訪問(wèn)控制、身份驗(yàn)證）和事后審計(jì)（日志審計(jì)、身份追溯）為主。

（三）云供應(yīng)商安全審計(jì)。越來(lái)越多的個(gè)人和企業(yè)正考慮使用云計(jì)算服務(wù)降低成本提高效率，但由于雙方信息不對(duì)稱(chēng)，不僅云用戶(hù)難以確定云供應(yīng)商提供的服務(wù)是否安全合規(guī)，而且云服務(wù)供應(yīng)商得不到權(quán)威的審計(jì)和認(rèn)證也會(huì)流失大量潛在的客戶(hù)。因此可信的第三方審計(jì)機(jī)構(gòu)能夠代表云用戶(hù)對(duì)云供應(yīng)商實(shí)施安全合規(guī)審計(jì)，驗(yàn)證云服務(wù)的可用性以增強(qiáng)預(yù)期使用者對(duì)云的信任。

1.事后審計(jì)。Ismail（2020）［17］提出了一個(gè)基于證據(jù)的云安全審計(jì)框架，利用審計(jì)工具自動(dòng)收集證據(jù)并評(píng)估云供應(yīng)商的服務(wù)是否符合預(yù)先設(shè)定的標(biāo)準(zhǔn)，支持識(shí)別缺陷、收集證據(jù)、糾正措施的跟蹤等一套全面的審計(jì)流程以確保云服務(wù)的透明度（信息的可訪問(wèn)性）。由于云計(jì)算運(yùn)營(yíng)模式不成熟，當(dāng)前云租戶(hù)和云供應(yīng)商之間的責(zé)任界定不清晰，雙方權(quán)限沖突時(shí)就面臨責(zé)任認(rèn)定和問(wèn)責(zé)問(wèn)題。Mei（2014）［18］將可信的計(jì)算技術(shù)與可信的第三方審計(jì)結(jié)合，既支持事后審計(jì)對(duì)云服務(wù)提供商的問(wèn)責(zé)，又能保護(hù)云用戶(hù)的利益。

2.事前審計(jì)。（1）合規(guī)審計(jì)。Shetty（2014）［19］提出云審計(jì)的兩種關(guān)鍵技術(shù)——云數(shù)據(jù)地理定位技術(shù)和云網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估技術(shù)，第三方審計(jì)機(jī)構(gòu)對(duì)云數(shù)據(jù)中心內(nèi)部和外部的安全級(jí)別進(jìn)行評(píng)估，以幫助用戶(hù)了解云數(shù)據(jù)與云網(wǎng)絡(luò)的安全性能。Rizvi等（2015）［20］開(kāi)發(fā)了一種審計(jì)工具，并將云計(jì)算安全的影響因素及其子因素量化成安全指數(shù)，審計(jì)人員能據(jù)此安全指數(shù)來(lái)驗(yàn)證云供應(yīng)商的安全狀態(tài)。Ismail等（2016）［21］用一種基于博弈論的審計(jì)方法來(lái)驗(yàn)證云供應(yīng)商對(duì)數(shù)據(jù)備份的合規(guī)性。Rizvi（2018）［22］提出一種用于云安全審計(jì)的安全評(píng)估框架，能夠根據(jù)云服務(wù)用戶(hù)的安全偏好評(píng)估云服務(wù)供應(yīng)商的安全強(qiáng)度。（2）主動(dòng)安全審計(jì)。Majumdar（2020）［23］提出一個(gè)基于學(xué)習(xí)的主動(dòng)云安全審計(jì)系統(tǒng)（LeaPS），引入預(yù)測(cè)模型將安全審計(jì)工具（無(wú)論原始性質(zhì)如何，例如事后審計(jì)和事中審計(jì)）轉(zhuǎn)化為主動(dòng)審計(jì)解決方案，該模型可以從云日志中自動(dòng)學(xué)習(xí)云事件之間的依賴(lài)關(guān)系并有助于預(yù)測(cè)未來(lái)事件。從對(duì)事件的干預(yù)進(jìn)程看，LeaPS屬于事前審計(jì)，但與傳統(tǒng)事前審計(jì)側(cè)重合規(guī)性不同，LeaPS預(yù)先為關(guān)鍵事件（即可能違反安全屬性的事件）做好準(zhǔn)備并在事件發(fā)生時(shí)強(qiáng)制攔截。LeaPS的優(yōu)點(diǎn)在于審計(jì)結(jié)果更具客觀性，即不完全依賴(lài)云供應(yīng)商提供的數(shù)據(jù)進(jìn)行審計(jì)，而是主動(dòng)參與目標(biāo)協(xié)議來(lái)驗(yàn)證安全屬性。LeaPS也存在兩大局限性，一是不適用對(duì)非結(jié)構(gòu)化數(shù)據(jù)的審計(jì)，二是依賴(lài)人工提取事件之間的依賴(lài)關(guān)系。

綜上所述，根據(jù)審計(jì)方案對(duì)事件的干預(yù)進(jìn)程，對(duì)云供應(yīng)商開(kāi)展的審計(jì)大致分為事后審計(jì)與事前審計(jì)?，F(xiàn)有關(guān)于云供應(yīng)商的審計(jì)研究大多以事前審計(jì)（對(duì)云供應(yīng)商安全狀態(tài)的檢驗(yàn)與評(píng)估）與事后審計(jì)（取證問(wèn)責(zé)云供應(yīng)商）為主，事中審計(jì)研究相對(duì)較少。區(qū)別于傳統(tǒng)事前審計(jì)，LeaPS更像是“預(yù)警儀”+“過(guò)濾器”，在關(guān)鍵事件發(fā)生前就做好應(yīng)對(duì)準(zhǔn)備，極大地節(jié)省了審計(jì)響應(yīng)時(shí)間，有助于及時(shí)阻止惡性事件的擴(kuò)大與傳播。

四、研究總結(jié)與展望

云安全事故頻發(fā)，如何利用審計(jì)保證云服務(wù)的安全是云計(jì)算面臨的難題。本文首先列舉了云服務(wù)面臨的主要威脅，具體分析云安全風(fēng)險(xiǎn)及審計(jì)需求。其次，根據(jù)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)原則，將云數(shù)據(jù)存儲(chǔ)、云用戶(hù)、云供應(yīng)商作為審計(jì)對(duì)象，對(duì)現(xiàn)有的云安全審計(jì)研究歸類(lèi)總結(jié)。最后，按照審計(jì)方案（工具）對(duì)事件的干預(yù)進(jìn)程，可將云安全審計(jì)分為事后審計(jì)、事中審計(jì)、事前審計(jì)。

具體而言，云安全事后審計(jì)旨在界定責(zé)任、實(shí)施問(wèn)責(zé)，比如審計(jì)人員通過(guò)調(diào)取云日志對(duì)云用戶(hù)、云供應(yīng)商操作過(guò)程的合規(guī)性進(jìn)行審計(jì)追蹤與取證，而事后審計(jì)的局限性也恰恰在于審計(jì)工作不能阻止關(guān)鍵事件的發(fā)生。云安全事中審計(jì)旨在驗(yàn)證事件的同時(shí)保證關(guān)鍵事件被阻止，例如云用戶(hù)企圖訪問(wèn)他人數(shù)據(jù)時(shí)，驗(yàn)證訪問(wèn)者身份以及是否獲得授權(quán)，但以攔截檢查審計(jì)為代表的事中審計(jì)存在嚴(yán)重的延遲現(xiàn)象。區(qū)別于事后審計(jì)和事中審計(jì)，云安全事前審計(jì)的理論與實(shí)踐近年來(lái)都得到了長(zhǎng)足的發(fā)展。近十年，傳統(tǒng)的云安全事前審計(jì)都是以合規(guī)性審計(jì)為基礎(chǔ)，評(píng)估云供應(yīng)商的安全狀態(tài)。合規(guī)性審計(jì)雖然穩(wěn)定性極強(qiáng)但主動(dòng)性不足。2020年以來(lái)云安全事前審計(jì)有了新發(fā)展，以LeaPS為代表的主動(dòng)云安全審計(jì)方案能夠從日志中捕獲異常行為，建立關(guān)聯(lián)模型提取概率依賴(lài)關(guān)系，通過(guò)學(xué)習(xí)關(guān)聯(lián)模型預(yù)先為關(guān)鍵事件做好準(zhǔn)備，以防止安全違規(guī)事件的發(fā)生。綜上所述，以LeaPS為代表的主動(dòng)安全審計(jì)能夠克服事后審計(jì)、事中審計(jì)的局限，是更加具有前瞻性的研究領(lǐng)域。

當(dāng)然，上述研究還存在若干問(wèn)題值得進(jìn)一步研究：首先，云計(jì)算任務(wù)和環(huán)境是多變的，這就要求云安全審計(jì)方案更加靈活，兼顧數(shù)據(jù)批處理、數(shù)據(jù)塊追溯、數(shù)據(jù)動(dòng)態(tài)更新等多種需求。其次，復(fù)雜的云環(huán)境存在多個(gè)層次的審計(jì)需求，如基礎(chǔ)設(shè)施服務(wù)（IaaS）、平臺(tái)服務(wù)（PaaS）和軟件服務(wù)（SaaS），單一的審計(jì)解決方案并不能滿(mǎn)足云用戶(hù)的實(shí)際需求，能夠集成多個(gè)層次的審計(jì)解決方案將成為未來(lái)主要研究方向。最后，實(shí)踐中云安全審計(jì)可能面臨在多個(gè)云管理平臺(tái)調(diào)取數(shù)據(jù)、跨云審計(jì)、分布式協(xié)同審計(jì)等需求，因此還需考慮云安全審計(jì)方案的兼容性和可擴(kuò)展性，能夠在諸如OpenStack，Google GCP，Amazon EC2和 Microsoft Azure等主流云管理平臺(tái)上運(yùn)行。