陳希暉（副教授/博士） 侯良格（南京審計大學(xué)政府審計學(xué)院 江蘇南京 211815）

一、引言

審計人員與信息安全人員對“云審計”的看法各有不同，審計人員將云審計理解為借助云計算、大數(shù)據(jù)等技術(shù)提高審計取證的效率與質(zhì)量，信息安全人員則認為云審計是指對“云”中利益相關(guān)者交互關(guān)系的審計。從技術(shù)上看，將“審計技術(shù)”搭載在云端的模式早已能夠?qū)崿F(xiàn)，但困擾云審計發(fā)展的還是安全問題。云審計不僅僅是利用“云”進行審計工作，更需要將“審計思維”——監(jiān)督機制，運用在云計算安全問題上，實現(xiàn)對云數(shù)據(jù)存儲、隱私安全、操作過程及基礎(chǔ)設(shè)施合規(guī)性的審計驗證。

云存儲作為云計算不可或缺的一部分，以多租戶的服務(wù)模式為個人和組織提供大規(guī)模、分布式的存儲服務(wù)。公有云存儲憑借規(guī)模效應(yīng)、彈性可擴展、經(jīng)濟高效的優(yōu)勢吸引著云用戶將數(shù)據(jù)外包給云供應(yīng)商管理。但當我們只關(guān)注數(shù)據(jù)安全性時不難發(fā)現(xiàn)，數(shù)據(jù)外包雖然減輕了數(shù)據(jù)所有者（云用戶）本地存儲和維護的負擔(dān)，但同時也弱化了云用戶對數(shù)據(jù)的物理控制。由于數(shù)據(jù)異地存儲的特性，云服務(wù)器上的數(shù)據(jù)時刻面臨著內(nèi)部和外部的攻擊，數(shù)據(jù)的完整性、機密性、可用性可能遭受嚴重的損害，傳統(tǒng)的本地數(shù)據(jù)安全保護措施已不可直接使用。

云安全審計模式分為私有審計和第三方審計。兩種審計模式的區(qū)別在于，私有審計是云用戶自己檢驗數(shù)據(jù)的完整性，只涉及云服務(wù)用戶和云服務(wù)供應(yīng)商兩類實體。第三方審計主要涉及云用戶、云服務(wù)供應(yīng)商以及可信的第三方審計機構(gòu)（TPA）三類實體。由于私有審計對用戶端計算能力要求極高且通信開銷十分巨大，現(xiàn)實可行性較低；第三方審計則憑借獨立客觀、高效專業(yè)、經(jīng)濟便捷的優(yōu)勢廣受青睞。TPA是受云用戶和云供應(yīng)商信任的第三方機構(gòu)，面對海量數(shù)據(jù)擁有用戶所不具備的計算能力，云用戶將數(shù)據(jù)完整性審計需求委托給TPA，TPA接受審計委托后，代表云用戶對云數(shù)據(jù)、云供應(yīng)商進行審計驗證。第三方審計過程可以大致描述為，云用戶預(yù)處理數(shù)據(jù)并生成數(shù)據(jù)標簽后上傳數(shù)據(jù)到云端服務(wù)器中，TPA獲取用戶授權(quán)后從云服務(wù)器獲取待測數(shù)據(jù)并對該數(shù)據(jù)進行完整性檢驗，最后將檢驗結(jié)果發(fā)送給云用戶。

國內(nèi)外學(xué)者就如何審計云存儲安全問題進行了大量的研究。本文將從數(shù)據(jù)、云用戶、云供應(yīng)商三方面對現(xiàn)有云安全審計方案進行歸納分析，并以審計對事件的干預(yù)進程為視角，對云安全審計的未來研究進行展望。

二、云安全風(fēng)險及審計需求分析

（一）云安全事故。Cybersecurity Insiders發(fā)布的全球《2020年云安全報告》稱，隨著公有云業(yè)務(wù)的不斷擴大，云服務(wù)的安全性是企業(yè)或個人采用云存儲的首要考慮因素，然而由于相關(guān)安全措施的滯后，導(dǎo)致云安全事故頻發(fā)，大多數(shù)（69%）組織和用戶對云安全狀況完全沒有信心或僅有中度信心。表1為2020年云安全聯(lián)盟CSA發(fā)布的《云計算的11類頂級威脅》 （中文版）提出的11類云安全主要威脅。表2列舉了近年云供應(yīng)商安全事故。

表1 云安全聯(lián)盟列舉的11類云計算安全威脅

表2 云供應(yīng)商安全事故

（二）云安全風(fēng)險及審計需求分析。云安全主要是指數(shù)據(jù)存儲、加密、傳輸、訪問安全，即保證數(shù)據(jù)的完整性、機密性、可用性。第三方審計機構(gòu)開展云安全審計時，必須依據(jù)風(fēng)險導(dǎo)向?qū)徲嫷脑?，從這三個方面認真分析云安全風(fēng)險，明確審計需求并制定相應(yīng)的審計方案。

首先，對云數(shù)據(jù)的安全審計需重點關(guān)注完整性與機密性。云存儲服務(wù)中數(shù)據(jù)所有權(quán)和管理權(quán)分離，使得云端數(shù)據(jù)安全面臨極大的威脅。一方面，軟件硬件故障、外來黑客侵入、內(nèi)部人員篡改、刪除數(shù)據(jù)等破壞行為會嚴重損害數(shù)據(jù)的完整性；另一方面，用戶加密意識薄弱，云供應(yīng)商可能為求牟利出賣用戶隱私信息，嚴重損害云用戶信息的機密性。

其次，對云用戶的安全審計需重點關(guān)注機密性。云存儲采用多租戶技術(shù)（多個租戶共用同一塊存儲介質(zhì)），盡管云供應(yīng)商會提供一些數(shù)據(jù)隔離技術(shù)（如身份授權(quán)訪問控制）來防止不同用戶間非授權(quán)交互訪問，但非授權(quán)的訪問仍可能利用系統(tǒng)漏洞實現(xiàn)。因此，為保證機密性還需對用戶實施身份訪問控制、日志審計和身份追溯性審計。

再次，對云供應(yīng)商的審計主要目標需重點關(guān)注可用性、機密性和隱私性。由于云用戶和云供應(yīng)商之間存在信任博弈，審計人員需對云供應(yīng)商進行安全評估及合規(guī)性審計，評價云供應(yīng)商的服務(wù)是否達到安全標準，能夠保證信息資產(chǎn)的持續(xù)可用性，以證實云供應(yīng)商聲稱的安全措施是否可靠。另外，需關(guān)注客戶機密信息（含個人信息）的收集、使用、保留、披露和銷毀是否受到所承諾或預(yù)設(shè)的系統(tǒng)保護，并符合隱私聲明中的承諾以及相關(guān)行業(yè)組織（如AICPA/CICA）發(fā)布的通用隱私原則中規(guī)定的標準。

三、云安全審計研究現(xiàn)狀

根據(jù)風(fēng)險導(dǎo)向?qū)徲嫷脑瓌t，第三方審計機構(gòu)需針對云的關(guān)鍵風(fēng)險領(lǐng)域開展云安全審計。完整性審計主要以數(shù)據(jù)為研究對象，機密性審計需兼顧數(shù)據(jù)安全和用戶身份隔離，因此以數(shù)據(jù)和用戶為研究對象；可用性審計則以供應(yīng)商為主要研究對象。因此本文選取數(shù)據(jù)、云用戶、云供應(yīng)商作為研究對象，對現(xiàn)有云安全審計研究進行述評。

（一）數(shù)據(jù)安全審計。云審計最早的研究是對云數(shù)據(jù)的完整性進行遠程檢驗，審計人員或用戶通過某種協(xié)議或算法驗證服務(wù)器中的數(shù)據(jù)完整性，即數(shù)據(jù)是否被篡改、刪除或丟失。特別地，由于網(wǎng)絡(luò)傳輸?shù)某杀臼职嘿F，將云中所有數(shù)據(jù)下載并審計驗證并不是經(jīng)濟可行的審計方案。理想的第三方審計方案應(yīng)具有以下功能特性：

1.數(shù)據(jù)批處理。數(shù)據(jù)批處理是指支持同一時間處理多個審計請求。Wang（2010）［1］［2］提出了支持數(shù)據(jù)批處理的完整性審計方案。該方案的優(yōu)點在于無需獲取數(shù)據(jù)本身、利用雙線性聚合簽名技術(shù)支持批量審計，但卻沒有較好地解決云用戶隱私保護問題。Wang（2011）［3］基于哈希樹提出支持動態(tài)數(shù)據(jù)更新、數(shù)據(jù)批處理的完整性審計方案，但只適合存儲中小型文件，文件越大，該方案的審計開銷越大。在此基礎(chǔ)上，秦志光（2015）［4］通過引入分層索引結(jié)構(gòu)優(yōu)化哈希樹，成功節(jié)省了審計人員的通信開銷。

2.數(shù)據(jù)動態(tài)更新。對于數(shù)據(jù)動態(tài)更新的支持方面，秦志光（2015）［4］發(fā)現(xiàn)通過降低哈希樹的高度，可以實現(xiàn)多粒度的動態(tài)操作。但隨著數(shù)據(jù)增多，哈希樹結(jié)構(gòu)越趨復(fù)雜，審計效率也隨之降低。周堅等（2019）［5］認為，由多審計實體組成的區(qū)塊鏈審計網(wǎng)絡(luò)能夠解決單點失效和計算瓶頸問題。采用變色龍哈希算法和嵌套MHT結(jié)構(gòu)，能實現(xiàn)云數(shù)據(jù)標簽在區(qū)塊鏈上的動態(tài)操作，并支持追溯錯誤數(shù)據(jù)。Li等（2020）［6］提出一種支持數(shù)據(jù)動態(tài)的安全可審計的云存儲方案，輕量級的信息加密操作使得數(shù)據(jù)外包速度提升了一個數(shù)量級并且在檢查數(shù)據(jù)完整性方面快了兩倍，彌補了傳統(tǒng)云存儲審計方案只審計數(shù)據(jù)完整性但不支持數(shù)據(jù)動態(tài)功能的缺陷。

3.數(shù)據(jù)機密性與隱私保護。數(shù)據(jù)機密性與用戶隱私安全涉及到加密技術(shù)、用戶身份授權(quán)與驗證，加密技術(shù)包括加密算法和密鑰兩大元素。Li（2016）［7］設(shè)計了兩個云安全審計系統(tǒng)，即SecureCloud和SecureCloud+。SecureCloud側(cè)重審計云數(shù)據(jù)的完整性，SecureCloud+則更關(guān)注保護數(shù)據(jù)的機密性和隱私數(shù)據(jù)。Anbuchelian等（2019）［8］對文件加密方法進行創(chuàng)新，使用改進的RSA加密算法（稱為MRSAC算法）生成密鑰。云用戶上傳數(shù)據(jù)后，將獲得一個私鑰和公鑰以便于安全地檢索數(shù)據(jù)文件。TPA采用多級哈希樹算法對云數(shù)據(jù)信息的完整性進行審計驗證?？紤]到公有云存儲審計過程中如果TPA是惡意或假裝的，可能在未經(jīng)許可的情況下威脅數(shù)據(jù)的隱私安全，Shen（2017）［9］提出了一種新型云存儲審計方案，引入第三方媒介（TPM）替代TPA角色，TPM為用戶生成身份驗證器并代表用戶驗證數(shù)據(jù)完整性?？紤]到數(shù)據(jù)隱私保護的需求，在數(shù)據(jù)上傳和數(shù)據(jù)審計階段使用簡單的操作將敏感信息進行盲化。如此一來只需要確保使用的TPM在有效期內(nèi)且獲得用戶授權(quán)，即可在保證隱私性的前提下進行數(shù)據(jù)的完整性審計，既可以解決云用戶隱私問題，又可以規(guī)避耗時且計算復(fù)雜的加密、解密操作。

綜上所述，現(xiàn)有的云安全審計方案及工具在性能上均未能實現(xiàn)理想的輕量級狀態(tài)；功能實現(xiàn)方面各有側(cè)重，例如有些審計方案支持數(shù)據(jù)動態(tài)更新但不支持批量處理，支持批量處理后又無法節(jié)約計算開銷等；從應(yīng)用角度看，復(fù)雜場景的綜合云審計尚有研究空間，如跨云審計、分布式協(xié)同審計等。

（二）云用戶安全審計。云計算提供的是租賃共享式的數(shù)據(jù)集中存儲服務(wù)，“共享”特性體現(xiàn)在云用戶是以一個組的形式共享數(shù)據(jù)塊，作為組內(nèi)成員，云用戶可以訪問、修改這些共享數(shù)據(jù)。因此必須實施云用戶之間的安全隔離，即除所有者和授權(quán)用戶外的任何人不能訪問、修改數(shù)據(jù)。保證云用戶間的安全隔離，最基礎(chǔ)的方法包括訪問控制和身份認證機制，例如云中的單點登錄（SSO）、基于角色的訪問控制（RBAC）、基于屬性的訪問控制（ABAC）。Majumdar（2018）［10］利用OpenStack中的攔截檢查方法，審計各種身份驗證和授權(quán)插件的正確部署。除了訪問控制、身份授權(quán)等事中保護措施之外，對云用戶實施事后審計也很重要。TPA主要從以下兩方面對云用戶實施事后審計：

1.日志審計。云日志記錄了云用戶所有操作活動的過程，是安全事件追溯、取證和責(zé)任界定的重要依據(jù)。Shetty（2014）［11］等提出了一種審計惡意云租戶的技術(shù)，通過IP定位和路由器IP分析技術(shù)，根據(jù)網(wǎng)絡(luò)度量和社會特征等因素確定云租戶真實地理位置，但該方案也忽視了對租戶關(guān)鍵隱私信息的保護。趙春曄等（2017）［12］基于用戶行為提出日志分析的審計解決方案，利用改進后的關(guān)聯(lián)規(guī)則挖掘算法實現(xiàn)了云安全審計中隱私數(shù)據(jù)泄露的追蹤與取證。郭濤敏（2019）［13］進一步利用關(guān)聯(lián)規(guī)則Apriori算法對比挖掘安全日志和用戶行為異常信息，結(jié)合典型惡意入侵行為建立預(yù)測模型，以高水平的置信策略有效識別云安全事故類型。上述日志審計方法都能夠較為有效地幫助審計人員追蹤或預(yù)測惡意租戶信息流的傳播過程。總的來說，日志審計就是集數(shù)據(jù)采集與存儲為一體，便于審計人員根據(jù)日志記錄監(jiān)控云上的異常行為，及時進行安全分析、行為預(yù)測、資源跟蹤、身份追溯等工作。

2.身份追溯性審計。為保護云用戶的隱私安全，目前云存儲共享數(shù)據(jù)的審計方案都很好地隱藏了組成員的身份，但身份的匿名性也造成同一組的云用戶能夠惡意篡改共享數(shù)據(jù)而不被發(fā)現(xiàn)。一旦數(shù)據(jù)被篡改，那么能否實現(xiàn)“竊取者”身份追溯就成為審計的關(guān)鍵。Wang（2012）［14］提出靈活的分布式存儲完整性審計機制，采用糾刪碼和冗余存儲技術(shù)保證數(shù)據(jù)的正確性和可恢復(fù)性。該審計機制適用于有大量數(shù)據(jù)和任何需要容錯的云存儲系統(tǒng)，驗證數(shù)據(jù)存儲正確性的同時也能快速追溯錯誤數(shù)據(jù)塊的具體位置。但該審計機制的不足在于：計算量大、通信成本高；審計次數(shù)有限且需預(yù)設(shè)。金瑜等（2017）［15］提出支持用戶追溯的審計方案，該方案的優(yōu)點是利用安全中介者代替用戶簽名，支持共享數(shù)據(jù)塊身份的可追溯，并利用新的數(shù)據(jù)塊致盲技術(shù)，減少用戶端計算量。Tian（2018）［16］提出了不同的解決方案，將數(shù)據(jù)塊上的身份簽名轉(zhuǎn)換為組管理員的簽名；采用了隨機屏蔽技術(shù)將用戶身份信息適當盲化，保護云用戶的隱私；設(shè)計了一個修改記錄表來記錄操作信息，支持身份的可追溯性；擴展動態(tài)哈希表以支持數(shù)據(jù)動態(tài)操作，并提出了一種批處理審計策略。該方案集成了數(shù)據(jù)動態(tài)更新、批處理、身份可追溯、隱私保護等多項功能更具實用性。

綜上所述，根據(jù)審計方案對事件的干預(yù)進程，對云用戶開展的審計主要以事中審計（訪問控制、身份驗證）和事后審計（日志審計、身份追溯）為主。

（三）云供應(yīng)商安全審計。越來越多的個人和企業(yè)正考慮使用云計算服務(wù)降低成本提高效率，但由于雙方信息不對稱，不僅云用戶難以確定云供應(yīng)商提供的服務(wù)是否安全合規(guī)，而且云服務(wù)供應(yīng)商得不到權(quán)威的審計和認證也會流失大量潛在的客戶。因此可信的第三方審計機構(gòu)能夠代表云用戶對云供應(yīng)商實施安全合規(guī)審計，驗證云服務(wù)的可用性以增強預(yù)期使用者對云的信任。

1.事后審計。Ismail（2020）［17］提出了一個基于證據(jù)的云安全審計框架，利用審計工具自動收集證據(jù)并評估云供應(yīng)商的服務(wù)是否符合預(yù)先設(shè)定的標準，支持識別缺陷、收集證據(jù)、糾正措施的跟蹤等一套全面的審計流程以確保云服務(wù)的透明度（信息的可訪問性）。由于云計算運營模式不成熟，當前云租戶和云供應(yīng)商之間的責(zé)任界定不清晰，雙方權(quán)限沖突時就面臨責(zé)任認定和問責(zé)問題。Mei（2014）［18］將可信的計算技術(shù)與可信的第三方審計結(jié)合，既支持事后審計對云服務(wù)提供商的問責(zé)，又能保護云用戶的利益。

2.事前審計。（1）合規(guī)審計。Shetty（2014）［19］提出云審計的兩種關(guān)鍵技術(shù)——云數(shù)據(jù)地理定位技術(shù)和云網(wǎng)絡(luò)風(fēng)險評估技術(shù)，第三方審計機構(gòu)對云數(shù)據(jù)中心內(nèi)部和外部的安全級別進行評估，以幫助用戶了解云數(shù)據(jù)與云網(wǎng)絡(luò)的安全性能。Rizvi等（2015）［20］開發(fā)了一種審計工具，并將云計算安全的影響因素及其子因素量化成安全指數(shù)，審計人員能據(jù)此安全指數(shù)來驗證云供應(yīng)商的安全狀態(tài)。Ismail等（2016）［21］用一種基于博弈論的審計方法來驗證云供應(yīng)商對數(shù)據(jù)備份的合規(guī)性。Rizvi（2018）［22］提出一種用于云安全審計的安全評估框架，能夠根據(jù)云服務(wù)用戶的安全偏好評估云服務(wù)供應(yīng)商的安全強度。（2）主動安全審計。Majumdar（2020）［23］提出一個基于學(xué)習(xí)的主動云安全審計系統(tǒng)（LeaPS），引入預(yù)測模型將安全審計工具（無論原始性質(zhì)如何，例如事后審計和事中審計）轉(zhuǎn)化為主動審計解決方案，該模型可以從云日志中自動學(xué)習(xí)云事件之間的依賴關(guān)系并有助于預(yù)測未來事件。從對事件的干預(yù)進程看，LeaPS屬于事前審計，但與傳統(tǒng)事前審計側(cè)重合規(guī)性不同，LeaPS預(yù)先為關(guān)鍵事件（即可能違反安全屬性的事件）做好準備并在事件發(fā)生時強制攔截。LeaPS的優(yōu)點在于審計結(jié)果更具客觀性，即不完全依賴云供應(yīng)商提供的數(shù)據(jù)進行審計，而是主動參與目標協(xié)議來驗證安全屬性。LeaPS也存在兩大局限性，一是不適用對非結(jié)構(gòu)化數(shù)據(jù)的審計，二是依賴人工提取事件之間的依賴關(guān)系。

綜上所述，根據(jù)審計方案對事件的干預(yù)進程，對云供應(yīng)商開展的審計大致分為事后審計與事前審計?，F(xiàn)有關(guān)于云供應(yīng)商的審計研究大多以事前審計（對云供應(yīng)商安全狀態(tài)的檢驗與評估）與事后審計（取證問責(zé)云供應(yīng)商）為主，事中審計研究相對較少。區(qū)別于傳統(tǒng)事前審計，LeaPS更像是“預(yù)警儀”+“過濾器”，在關(guān)鍵事件發(fā)生前就做好應(yīng)對準備，極大地節(jié)省了審計響應(yīng)時間，有助于及時阻止惡性事件的擴大與傳播。

四、研究總結(jié)與展望

云安全事故頻發(fā)，如何利用審計保證云服務(wù)的安全是云計算面臨的難題。本文首先列舉了云服務(wù)面臨的主要威脅，具體分析云安全風(fēng)險及審計需求。其次，根據(jù)風(fēng)險導(dǎo)向?qū)徲嬙瓌t，將云數(shù)據(jù)存儲、云用戶、云供應(yīng)商作為審計對象，對現(xiàn)有的云安全審計研究歸類總結(jié)。最后，按照審計方案（工具）對事件的干預(yù)進程，可將云安全審計分為事后審計、事中審計、事前審計。

具體而言，云安全事后審計旨在界定責(zé)任、實施問責(zé)，比如審計人員通過調(diào)取云日志對云用戶、云供應(yīng)商操作過程的合規(guī)性進行審計追蹤與取證，而事后審計的局限性也恰恰在于審計工作不能阻止關(guān)鍵事件的發(fā)生。云安全事中審計旨在驗證事件的同時保證關(guān)鍵事件被阻止，例如云用戶企圖訪問他人數(shù)據(jù)時，驗證訪問者身份以及是否獲得授權(quán)，但以攔截檢查審計為代表的事中審計存在嚴重的延遲現(xiàn)象。區(qū)別于事后審計和事中審計，云安全事前審計的理論與實踐近年來都得到了長足的發(fā)展。近十年，傳統(tǒng)的云安全事前審計都是以合規(guī)性審計為基礎(chǔ)，評估云供應(yīng)商的安全狀態(tài)。合規(guī)性審計雖然穩(wěn)定性極強但主動性不足。2020年以來云安全事前審計有了新發(fā)展，以LeaPS為代表的主動云安全審計方案能夠從日志中捕獲異常行為，建立關(guān)聯(lián)模型提取概率依賴關(guān)系，通過學(xué)習(xí)關(guān)聯(lián)模型預(yù)先為關(guān)鍵事件做好準備，以防止安全違規(guī)事件的發(fā)生。綜上所述，以LeaPS為代表的主動安全審計能夠克服事后審計、事中審計的局限，是更加具有前瞻性的研究領(lǐng)域。

當然，上述研究還存在若干問題值得進一步研究：首先，云計算任務(wù)和環(huán)境是多變的，這就要求云安全審計方案更加靈活，兼顧數(shù)據(jù)批處理、數(shù)據(jù)塊追溯、數(shù)據(jù)動態(tài)更新等多種需求。其次，復(fù)雜的云環(huán)境存在多個層次的審計需求，如基礎(chǔ)設(shè)施服務(wù)（IaaS）、平臺服務(wù)（PaaS）和軟件服務(wù)（SaaS），單一的審計解決方案并不能滿足云用戶的實際需求，能夠集成多個層次的審計解決方案將成為未來主要研究方向。最后，實踐中云安全審計可能面臨在多個云管理平臺調(diào)取數(shù)據(jù)、跨云審計、分布式協(xié)同審計等需求，因此還需考慮云安全審計方案的兼容性和可擴展性，能夠在諸如OpenStack，Google GCP，Amazon EC2和 Microsoft Azure等主流云管理平臺上運行。