基于等级保护的云计算安全评估模型

第4 O卷

第8期

计

算

机

科

学

Vo 1 . 4 O No . 8Aug .2 01 3

2 0 1 3年 8月

Co mp u t e r S c i e n c e

基于等级保护的云计算安全评估模型姜政伟 L 赵文瑞L 刘宇。刘宝旭

(中国科学院研究生院 北京 1 0 0 0 4 9 ) (中国科学院高能物理研究所计算中心 北京 1 O O 0 4 9 )。摘要云计算应用与发展中最受关注的问题之一是安全。针对云计算服务安全水平量化的需求，以我国等级保护

测评要求为基础，借鉴欧美相关机构的云计算风险控制与安全评估框架，通过德尔菲法构建云计算安全评估指标体

系，使用层次化分析法计算出各指标项的权重。根据设计的指标体系，将模糊综合评判引入对云计算实例的分析。实际应用表明模型能为云平台安全提供有效的量化和与评估。

关键词

云计算，安全评估，等级保护，层次分析法，模糊综合评价T P 3 9 3 文献标识码 A

中图法分类号

Mo de l f o r Cl o u d Co mp ut i ng S e c u r i t y As s e s s me n t Ba s e d o n Cl ss a i ie f d Pr o t ct e i o n J L￣NG Z h e n g - we i ,。 ZHAO We n - r u i , LI U Yl】 1, LI U B a o - x u z( Gr a d u a t e Un i v e r s i t y, C h i n e s e Ac a d e my o f S c i e n c e s, B e i j i n g 1 0 0 0 4 9, Ch i n a )( C o mp u t i n g Ce n t e r o f I n s t i t u t e o f Hi g h E n e r g y P h y s i c s, C h i n e s e Ac a d e my o f ci S e n c e s, B e i j i n g 1 0 0 0 4 9, Ch i n a )

Ab s t r a c t Th e s e c u r i t y t o p i c i n a p p l i c a t i o n a n d d e v e l o p me n t o f c l o u d c o mp u t i n g i s o n e o f t h e g r e a t e s t c o n c e r n s . Ai mi n g a t t h e r e

q u i r e me n t o f s e c u r i t y l e v e 1 q u a nt i f i c a t i o n i n c l o u d c o mp u t i n g s e r v i c e, b a s e d o n c l a s s i f i e d p r o t e c t i o n i n o u r c o u n -t r y a n d l e a ne r d f r o m t h e c l o u d c o mp u t i n g r i s k c o n t r o l a n d s e c u r i t y a s s e s s me n t f r a me wo r k s d e s i g n e d b y E u r o p e a n a n d

Ame r i c a n i n s t i t u t i o n s, a c l o u d c o mp u t i g n s e c u r i t y a s s e s s me n t i n d e x e s s y s t e m wa s b u i l t u p t h r o u g h De l p h i me t h o d, nd a t h e we i g h t o f e a c h i n d e x wa s c a l c u l a t e d wi t h a n a l y t i c h i e r a r c h y p oc r e s s . Ac c o r d i g n o t t h i s i n d e x e s s y s t e m, f u z z y c o mp r e— h e n s i v e a n a l y s i s me t h o d wa s i n t r o d u c e d t O t h e e v a l u a t i o n o f a c l o u d c o mp u t i n g i n s t a n c e . Th e c a s e s t u d y s h o ws t h a t t hi s mo d e 1 c a n e f f e c t i v e l y q u nt a i f y a n d a s s e s s t h e s e c u r i t y l e v e l o f c l o u d p l a t f o眦 Ke y wo r d s Cl o u d c o mp u t i n g, S e c u r i t y a s s e s s me n t, Cl a s s i f i e d p r o t e c t i o n, An a l y t i c h i e r a r c h y p r o c e s s, Fu z z y c o mp

r e h e n -s i v e e v a h mt i o n

1 引言云计算作为一种对基于网络的、可配置的共享计算资源池进行方便、随需访问的服务模式，具有诸多优点，如能获得规模化的效益，实现快速、智能的资源扩展。目前，云计算得到了广泛的应用，国内外已有不少较为成熟的云计算平台，基础设施即服务如亚马逊公司的弹性计算云，平台即服务如谷歌的 Ap p E n g i n e、微软的 A z u r e,软件即服务如 S a l e s f o r c e公

研究、设计适合云计算平台的安全评估指标体系，使之既为云服务商的安全建设提供重要参考，也有利于第三方机构的评估与审计。根据指标体系进行科学的量化评估，能合理地评价平台的安全服务水平，为云用户提供直观的平台选择依据。 本文基于( ( G B/ T 2 2 2 3 9— 2 0 0 8信息安全等级保护基本要求》 _ l 2]的指标体系，借鉴欧美信息安全或标准化机构对云计算风险控制与安全评估的框架设计，使用德尔菲法构建适用于云平台的安全评估指标体系，通过层次化分析法确定各指标

司的 S a l e s C l o u d等；国内也有些公司在提供商业化的云计算服务，如盛大云、阿里云、新浪云等。 云计算的发展与应用存在众多挑战，而安全一直是首当其冲的问题。近年来，亚马逊、谷歌、微软等大型云服务商发生了各种安全事故，更增加了人们的疑虑。因此，要大规模地应用云计算技术，必须解决云计算的安全问题。

项的权重，最后以模糊综合评价法计算云计算实例的安全指数，验证提出的评估模型的有效性。

2相关研究文献 E 3, 4]讨论了基于等级保护的风险评估方法，但缺乏实例分析。类似于文献[ 5 3的一些学位论文研究了信息安全等级保护体系及其应用，但对指标体系的裁剪与思考较少。 文献[ 6, 7]将层次分析与模糊综合评价应用于信息安全的量

云计算面临的安全挑战之一是建立以安全目标验证、安全服务等级测评为核心的云计算安全标准及其测评体系_ _ 1]。

到稿日期： 2 0 1 2— 1 0— 2 5返修日期： 2 0 1 3— 0 3— 0 1 ￣ 2 0 1 2 3 1 4 2 4号)资助。

本文受国家科技支撑计划项目( 2 0

1 2 B A H1 4 B 0 2 ),国家发改委信息安全专项项目(发改办高技

姜政伟( 1 9 8 5一),男，博士生，主要研究方向为云计算安全与风险评估， E - m a i l: j i a n g z w@i h e p . a c, c n;赵文瑞( 1 9 8 8一),女，硕士生，主要研究方向 为云计算；刘息安全。

宇( 1 9 8 4一),男，博士生，主要研究方向为信息安全；刘宝旭 ( 1 9 7 2一),男，研究员，博士生导师，主要研究方向为计算机网络与信

1 5 1

本文来源：https://www.bwwdw.com/article/1i64.html