云计算风险指标体系建立过程

（三）云计算风险指标体系建立过程
云计算风险指标的建立通过以下三个步骤：
第一步：从知网上检索2008年至2018年研究云计算的风险因素的论文、文献等资料，提取出影响云计算风险因素的关键词，形成一个云计算风险影响因素的集合，作为最初的理论依据。

第二步：对云计算影响因素的集合进行数理统计，列出各个不同的影响因素，并统计出现的频数。

选择出现频数较多的风险因素，剔除出现频数较低的风险因素。

第三步：最后把出现次数较多的风险因素列为影响云计算的风险指标。

（四）云计算风险因素分类
根据上面的方法，用知网输入关键词检索2008年至2018年关于云计算风险的论文，并择优选择了15篇，并对15篇论文里的风险因素进行归纳汇总，得出影响云计算的风险因素及对应的频数，设置筛选条件为大于等于5次，最终得到了22个风险因素。

为了便于后面的分析评估，根据风险因素的性质，把22个风险因素划分为4大类风险。

最后把影响云计算风险的因素分为4个一级指标22个二级指标。

分别是技术类风险、管理类风险、法律类风险、其他类风险。

其中技术类风险又包括数据加密风险、数据隔离风险、数据删除风险、虚拟化漏洞风险、网络监管风险、身份验证风险、访问控制风险、传输过程中数据保护风险、黑客攻击风险；管理类风险包括密钥管理风险、数据备份风险、审查支持风险、操作失误风险、内部人员风险、云服务被迫中止风险；法律类风险包括法律遵从风险、法律差异风险、法律责任风险、强迫披露风险；其它类风险包括云服务锁定风险、数据迁移风险、软件升级风险。

建立了风险指标体系如见图1:
图1云计算风险指标体系
三、云计算风险评估
（一）云计算风险因素指标打分模型
对于已经构建好的指标体系，如何通过评估指标来衡量云计算整体的风险大小，这需要一个量化的风险指标。

下面我们就构建一个打分模型来计算云计算真实的风险。

上面构建的指标体系一共分为4个一级指标和22个二级指标。

首先我们对每个一级指标从三个方面进行打分，分别是资产重要程度、对象的脆弱性和外部威胁等三个方面。

然后再对每个二级指标进行赋权值，使得22个指标的赋权值总和为100%。

需要说明的是，为什么把一级指标从资产重要性、对象脆弱性和外部威胁来进行打分。

这里是借鉴了王帧等人对信息系统分类的观点。

资产的重要程度我们不仅要从主体资产（应用项目负责人、应用系统的最终用户等），客体资产（硬件、软件、通信协议等）及运行环境（机房，灾难恢复等）等经济价值来考量，也要从三类资产重要属性的保密性、完整性、可用性来度量。

对象的脆弱性可以分为技术和管理两个方面。

技术脆弱性可以从环境、网络结构、系统软件、应用中间件和应用系统来度量，管理的脆弱性可以从技术管理（访问控制、业务连续性等）和组织管理（人员安全、安全策略等）来度量。

至于外部威胁，可以从软硬件故障、越权访问和滥用权限网络入侵等角度来度量。

总之，对于一级指标的打分对专家的要求非常高，因为专家的分数直接影响到结果的准确性，而专家的精准打分则取决于专家的专业程度，对于计算风险的认识程度。

（二）风险因素赋权
首先根据德尔斐法对每个二级指标进行赋权值M，此权值是变量，根据实际情况进
行调整，然后把一级指标包含的二级指标的权值相加得出一个一级指标的总权值N。

计算过程见表1：
表1：二级指标赋权表
（三）风险因素赋值
首先对每个一级指标从资产重要程度、对象的脆弱性和外部威胁等三个方面进行重要性评估，设资产重要程度用O表示，对象的脆弱性用P表示，外部威胁用Q表示。

然后再根据德尔斐法对每个一级指标进行资产重要程度、对象的脆弱性和外部威胁的打分。

最后一级指标的得风R取资产重要程度O、对象的脆弱性P和外部威胁Q得分的算数平均值。

打分规则说明：对一级指标的资产重要程度、对象的脆弱性和外部威胁的打分采用量化处理，分数采用十分制。

为了便于计算，分数需为0-10的整数，每两分表示一个风险等级。

分数越高说明风险越大。

计算过程见表2和风险等级见表3：
表2：一级指标赋值表
表3：风险值-风险等级参照表
风险等级说明：
一级风险：一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。

二级风险：一旦发生造成的影响程度较低，一般限于组织内部，通过一定手段能够解决。

三级风险：一旦发生造成一定的经济、社会的影响，但影响面积和程度不大。

四级风险：一旦发生将造成较大的经济和社会影响，在一定范围内给组织带来信誉损失。

五级风险：一旦发生将造成严重的经济和社会影响，严重影响组织经营，社会影响恶劣。

（四）计算风险值
最终云计算风险评估的结果S为一级指标的总赋权比例值和从资产重要程度、对象的脆弱性和外部威胁三个方面评估一级指标的总权值的加权平均数，即S=R1*N1+R2*N2+…R4*N4。

（五）云计算风险评估示例
下面对一家云计算服务商abc公司进行云计算风险评估。

假设经过专家评估，该公司云计算的技术类风险中数据加密风险M11为5%、数据隔离风险M12为4%、数据删除风险M13为5%、虚拟化漏洞风险M14为3%、网络监管风险M15为7%、身份验证风险M16为5%、访问控制风险M17为4%、传输过程中数据保护风险M18为3%、黑客攻击风险M19为4%；管理类风险中密钥管理风险M21为6%、数据备份风险M22为4%、审查支持风险M23为5%、操作失误风险M24为7%、内部人员风险M25为3%、云服务被迫中止风险M26
为5%；法律类风险中法律遵从风险M31为4%、法律差异风险M32为6%、法律责任风险M33为5%、强迫披露风险M34为5%；其它类风险中云服务锁定风险M41为3%、数据迁移风险M42为4%、软件升级风险M43为3%。

技术类风险中资产重要程度O1的得分为8，对象的脆弱性P1的得分为6，外部威胁Q1的得分为4；管理类风险中资产重要程度O2的得分为7，对象的脆弱性P2的得分为6，外部威胁Q2的得分为5；法律类风险中资产重要程度O3的得分为6，对象的脆弱性P3的得分为7，外部威胁Q3的得分为8；其他类风险中资产重要程度O4的得分为6，对象的脆弱性P4的得分为7，外部威胁Q4的得分为8。

则N1= M11+M12+…+M19=5%+4%+5%+3%+7%+5%+4%+3%+4%=40%
N2=M21+M22+…+M26=6%+4%+5%+7%+3%+5%=30%
N3=M31+M32+M33+M34=4%+6%+5%+5%=20%
N4=M41+M42+M43=3%+4%+3%=10%
R1= (O1+P1+Q1)/3=(8+6+4)/3=6
R2=(O2+P2+Q2)/3=(7+6+5)/3=6
R3=(O3+P3+Q3)/3=(6+7+8)/3=7
R4=(O4+P4+Q4)/3=(6+7+8)/3=7
S= R1*N1+R2*N2+…R4*N4=40%*6+30%*6+20%*7+10%*7=6.3
结果分析：计算出的该公司云计算的整体风险值是6.3，对照风险值-风险等级参照表处于四级风险，对应风险等级说明是一旦发生将造成较大的经济和社会影响，在一定范围内给组织带来信誉损失。

对于这样风险高的云服务提供商，站在云服务使用者的角度，强烈不建议选择这样的云服务商，这样的云服务商的风险过高，易给使用者带来经济损失。

站在云服务商的角度，建议组织专家交流会，分析风险的来源，并对具体的风险采取必要的解决方案来降低整体风险。

参考文献
[1]王鹏.云计算环境下数据保护法律问题研究[D];华中科技大学,2012.
[2]张文科,刘桂芬.云计算数据安全和隐私保护研究[J].信息安全与通信保密,2012:38-40.
[3]陈亮,潘惠勇.网络安全风险评估的云决策[J].计算机应用,2012,32(2):472-474,479.
[4]姜政伟,赵文瑞,刘宇,刘宝旭.基于等级保护的云计算安全评估模型[J]计算机科学,2013,40(8):151-156.
[5]蔡盈芳.基于云计算的信息系统安全风险评估模型[J].中国管理信化,2010,12:75-77.
[6]王标,胡勇,戴宗坤.风险评估要素关系模型的改进[J].四川大学学报(工程科学版),2005(03):110-114.
[7]GONZALEZ L M V, RODERO-MERINO L, CACERES J,LINDNER M A. A break in theclouds: towards a cloud definition [J]. ACM SIGCOMM Computer Communication Review,2009,39（39）:50-55.
[8] FRIEDMAN A A, WEST D M. Privacy and security in cloud computing [M]. Centerfor Technology Innovation at Brookings,2010.
[9]WANG H,LIU F, LIU H. A method of the cloud computing security management risk assessment [M]. Advances in Computer Science and Engineering.Springer,2012.
[10] GROUP T T W. The Notorious Nine: Cloud Computing Top Threats in 2013 [J].Cloud Security Alliance,2013:24-26.
[11]贾颖禾.信息安全风险评估[J].网络安全技术与应用,2004(07):16-17.
[12]邱芬，张炘.云计算环境下多来源数据最优选取模型仿真［J］.计算机仿真,2014,31(11):179-182.
[13]周紫熙，叶建伟.云计算环境中的数据安全评估技术量化研究[J].智能计算机与应用,2012,2(4):40-43.
[14]黎春兰,邓仲华.信息资源视角下云计算面临的挑战[J].图书与情报,2011(03):17-22.
[15]薛芊.创新与安全,云计算的两只跷跷板[J].信息安全与通信保密,2009(06):5-8.。