王敬勇 張高高 夏曉雪

【摘 要】 隨著云計(jì)算技術(shù)在各行業(yè)內(nèi)的廣泛運(yùn)用，安全問(wèn)題成為云計(jì)算應(yīng)用中的一大阻礙，眾多安全風(fēng)險(xiǎn)漏洞的存在對(duì)云安全風(fēng)險(xiǎn)管理提出更高的需求，加強(qiáng)云安全審計(jì)勢(shì)在必行。傳統(tǒng)的云安全審計(jì)管理研究多基于安全風(fēng)險(xiǎn)之間相互獨(dú)立的假設(shè)，缺少涉及多方利益相關(guān)主體的風(fēng)險(xiǎn)網(wǎng)絡(luò)關(guān)系研究?；诖?，文章以第三方審計(jì)視角識(shí)別云安全風(fēng)險(xiǎn)利益相關(guān)主體及風(fēng)險(xiǎn)類別，引入社會(huì)網(wǎng)絡(luò)分析方法構(gòu)建風(fēng)險(xiǎn)傳染網(wǎng)絡(luò)，分析利益相關(guān)主體間云安全的聯(lián)系和擴(kuò)散，識(shí)別關(guān)鍵傳導(dǎo)風(fēng)險(xiǎn)因素，提出對(duì)應(yīng)利益相關(guān)主體的云安全風(fēng)險(xiǎn)審計(jì)管控策略，旨在為多方利益相關(guān)主體參與下的云安全風(fēng)險(xiǎn)防范治理提供理論支撐，為我國(guó)云安全審計(jì)管理研究提供參考借鑒。

【關(guān)鍵詞】 云安全； 云安全審計(jì)； 社會(huì)網(wǎng)絡(luò)分析； 風(fēng)險(xiǎn)審計(jì)

【中圖分類號(hào)】 F239.4? 【文獻(xiàn)標(biāo)識(shí)碼】 A? 【文章編號(hào)】 1004-5937（2024）01-0014-09

云計(jì)算是結(jié)合分布式處理、虛擬化資源和網(wǎng)絡(luò)存儲(chǔ)和網(wǎng)絡(luò)協(xié)議等多項(xiàng)技術(shù)的新型商業(yè)計(jì)算服務(wù)模式。近年來(lái)國(guó)家出臺(tái)多項(xiàng)政策，保障云計(jì)算服務(wù)行業(yè)發(fā)展創(chuàng)新。2017年，工業(yè)和信息化部發(fā)布《云計(jì)算發(fā)展三年行動(dòng)計(jì)劃》，提出健全云計(jì)算產(chǎn)業(yè)相關(guān)標(biāo)準(zhǔn)體系，強(qiáng)化云計(jì)算服務(wù)應(yīng)用和云基礎(chǔ)設(shè)施建設(shè)，推動(dòng)重點(diǎn)領(lǐng)域企業(yè)上云。云計(jì)算作為數(shù)字經(jīng)濟(jì)的重點(diǎn)產(chǎn)業(yè)，擔(dān)負(fù)著加快數(shù)字化發(fā)展的重大責(zé)任。中國(guó)信通院《云計(jì)算白皮書(shū)（2023年）》指出，過(guò)去一年，我國(guó)云計(jì)算產(chǎn)業(yè)保持快速發(fā)展，市場(chǎng)規(guī)模達(dá)到4 550億元，預(yù)計(jì)2025年我國(guó)云計(jì)算整體市場(chǎng)規(guī)模超萬(wàn)億元，同時(shí)云安全問(wèn)題的重要性日益突出[1]。云承載了大量隱私信息數(shù)據(jù)的同時(shí)也產(chǎn)生了眾多安全風(fēng)險(xiǎn)問(wèn)題，計(jì)算機(jī)病毒、隱私泄露、數(shù)據(jù)濫用、外部攻擊、技術(shù)缺陷等安全漏洞阻礙云平臺(tái)的正常運(yùn)行。云安全涉及范圍較廣，需要從全局的視角進(jìn)行安全防護(hù)。

新時(shí)代審計(jì)事業(yè)高質(zhì)量發(fā)展為中國(guó)式現(xiàn)代化提供了審計(jì)保障。審計(jì)作為經(jīng)濟(jì)監(jiān)督部門有必要以現(xiàn)代信息技術(shù)為戰(zhàn)略支撐探索創(chuàng)新。發(fā)展云平臺(tái)審計(jì)是科技強(qiáng)審、推進(jìn)審計(jì)全覆蓋的必經(jīng)之路。云安全審計(jì)能有效迎合云平臺(tái)安全風(fēng)險(xiǎn)管控的需求，各相關(guān)利益方迫切需要將其引入云服務(wù)。云平臺(tái)建設(shè)參與主體和涉及部門眾多、關(guān)系復(fù)雜，對(duì)各利益相關(guān)方間需求溝通、差異協(xié)調(diào)的要求較高，進(jìn)行云安全審計(jì)時(shí)，審計(jì)主體面對(duì)的風(fēng)險(xiǎn)因素錯(cuò)綜復(fù)雜。本研究通過(guò)社會(huì)網(wǎng)絡(luò)分析法探究云安全風(fēng)險(xiǎn)因素在利益相關(guān)主體間的影響關(guān)系，在理論上拓寬現(xiàn)有云安全審計(jì)領(lǐng)域的研究視角，從實(shí)踐上輔助審計(jì)主體識(shí)別出云安全風(fēng)險(xiǎn)傳導(dǎo)的關(guān)鍵節(jié)點(diǎn)，實(shí)行有效的審計(jì)管控措施，旨在全面提升云安全審計(jì)治理能力，助力云審計(jì)賦能數(shù)字經(jīng)濟(jì)。

一、文獻(xiàn)回顧

（一）云安全風(fēng)險(xiǎn)及審計(jì)

云安全漏洞是當(dāng)前云計(jì)算應(yīng)用途中的一大阻礙。從相關(guān)研究進(jìn)展來(lái)看，學(xué)者主要從云計(jì)算環(huán)境下安全風(fēng)險(xiǎn)識(shí)別、評(píng)價(jià)與控制等方面展開(kāi)研究。目前針對(duì)云安全風(fēng)險(xiǎn)的文獻(xiàn)主要集中于：（1）云安全問(wèn)題。Malhotra et al.[2]研究發(fā)現(xiàn)云計(jì)算安全性是制約云服務(wù)發(fā)展的重要障礙，認(rèn)為應(yīng)用服務(wù)層和云終端層是云安全風(fēng)險(xiǎn)的兩大主要源頭。（2）云安全風(fēng)險(xiǎn)評(píng)價(jià)。阮樹(shù)驊等[3]以云計(jì)算相關(guān)的政策法規(guī)、技術(shù)領(lǐng)域和管理領(lǐng)域作為起點(diǎn)識(shí)別風(fēng)險(xiǎn)因素，構(gòu)建云安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系和風(fēng)險(xiǎn)評(píng)估計(jì)量模型，為云安全風(fēng)險(xiǎn)評(píng)估提供量化依據(jù)。（3）云安全控制技術(shù)。C Lee et al.[4]和張曉娟等[5]研究了國(guó)外云計(jì)算技術(shù)安全標(biāo)準(zhǔn)體系及框架建設(shè)，為政府云的建設(shè)管理提供理論支持。馮朝勝等[6]和王于丁等[7]基于已有云計(jì)算訪問(wèn)控制技術(shù)框架，分別探索云虛擬化以及云計(jì)算訪問(wèn)控制等方面的安全技術(shù)和方法。隨著電子政務(wù)云技術(shù)應(yīng)用逐漸興起，章謙驊等[8]規(guī)劃建設(shè)政務(wù)云安全體系方案，并設(shè)計(jì)政務(wù)云安全保障策略，旨在支持電子政務(wù)云高效穩(wěn)定運(yùn)營(yíng)。

安全審計(jì)是防范化解云安全風(fēng)險(xiǎn)的一種有效方式。云安全審計(jì)是基于現(xiàn)代審計(jì)理念，追蹤云用戶行為，評(píng)估云安全風(fēng)險(xiǎn)，揭示云應(yīng)用漏洞，提升云服務(wù)效益，從云平臺(tái)的建設(shè)、部署、應(yīng)用、運(yùn)維等環(huán)節(jié)開(kāi)展全過(guò)程監(jiān)督的活動(dòng)[9]。作為新興審計(jì)范式，當(dāng)前云安全審計(jì)研究主要集中于：（1）優(yōu)化云安全審計(jì)技術(shù)。孔丹等[10]在梳理傳統(tǒng)安全審計(jì)存在的缺陷以及結(jié)合現(xiàn)有改進(jìn)技術(shù)的基礎(chǔ)上，整合審計(jì)信息收集、存儲(chǔ)與分析三大功能子模塊，設(shè)計(jì)出一種基于改進(jìn)的Apriori算法的云安全審計(jì)系統(tǒng)，并證明該算法能大幅提升運(yùn)作效率和安全性能。陳康康[11]建立面向云存儲(chǔ)系統(tǒng)的身份認(rèn)證協(xié)議，并使用代理重加密技術(shù)設(shè)計(jì)安全可靠的云數(shù)據(jù)存儲(chǔ)加密協(xié)議及共享機(jī)制，且有效性已通過(guò)Hadoop平臺(tái)驗(yàn)證。（2）構(gòu)建云安全審計(jì)框架。劉國(guó)城[12]以“過(guò)程挖掘”作為核心技術(shù)，深入研究云安全審計(jì)過(guò)程運(yùn)行機(jī)制，創(chuàng)造性地設(shè)計(jì)出一種新的云安全審計(jì)模式，推進(jìn)電子政務(wù)云安全審計(jì)管理體系建設(shè)。

（二）社會(huì)網(wǎng)絡(luò)分析在風(fēng)險(xiǎn)管理中的應(yīng)用

社會(huì)網(wǎng)絡(luò)分析是一種用于研究個(gè)體或組織之間復(fù)雜關(guān)系的定量分析方法，近年來(lái)被引入于風(fēng)險(xiǎn)管理中，側(cè)重研究風(fēng)險(xiǎn)因素間的相互影響，具體有：（1）風(fēng)險(xiǎn)傳染機(jī)制研究。部分學(xué)者將其應(yīng)用到金融、工程項(xiàng)目領(lǐng)域風(fēng)險(xiǎn)的研究中[13]，如婁燕妮等[14]探究交通領(lǐng)域PPP項(xiàng)目建設(shè)過(guò)程中的風(fēng)險(xiǎn)傳導(dǎo)機(jī)制。部分學(xué)者的風(fēng)險(xiǎn)研究對(duì)象涉及社會(huì)穩(wěn)定領(lǐng)域，對(duì)基層腐敗網(wǎng)絡(luò)進(jìn)行結(jié)構(gòu)分析。（2）風(fēng)險(xiǎn)管控策略研究。社會(huì)網(wǎng)絡(luò)分析可以融合利益相關(guān)者理論，結(jié)合相關(guān)主體間的合作關(guān)系深層次發(fā)掘風(fēng)險(xiǎn)因素間的相互作用。趙國(guó)超等[15]基于社會(huì)網(wǎng)絡(luò)分析，識(shí)別智慧社區(qū)運(yùn)營(yíng)的利益相關(guān)主體，給出風(fēng)險(xiǎn)緩解策略并檢測(cè)風(fēng)險(xiǎn)控制效果，提出相應(yīng)協(xié)同發(fā)展建議。

（三）社會(huì)網(wǎng)絡(luò)分析在審計(jì)中的應(yīng)用

隨著大數(shù)據(jù)等新技術(shù)的快速發(fā)展，審計(jì)工作開(kāi)始智能化轉(zhuǎn)型。將審計(jì)對(duì)象間的各種社會(huì)屬性形式化，并用復(fù)雜網(wǎng)絡(luò)再現(xiàn)其特定社會(huì)關(guān)系，對(duì)于審計(jì)主體查找關(guān)鍵人物或團(tuán)體、進(jìn)一步追查審計(jì)線索有重要意義[16]。社會(huì)網(wǎng)絡(luò)分析在審計(jì)中的應(yīng)用研究集中于：（1）審計(jì)線索發(fā)掘。吳益兵等[17]基于社會(huì)網(wǎng)絡(luò)理論發(fā)現(xiàn)審計(jì)師和公司高管的社會(huì)網(wǎng)絡(luò)關(guān)系會(huì)影響審計(jì)師選擇、審計(jì)收費(fèi)以及審計(jì)質(zhì)量等一系列審計(jì)行為。結(jié)合具體案例，陳偉等[18]融合金融科技風(fēng)險(xiǎn)審計(jì)方法，以社會(huì)網(wǎng)絡(luò)分析技術(shù)為基礎(chǔ)設(shè)計(jì)一套金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)方法，有關(guān)結(jié)論為信息系統(tǒng)審計(jì)師提供參考思路。（2）審計(jì)社會(huì)網(wǎng)絡(luò)實(shí)踐路徑。目前審計(jì)社會(huì)網(wǎng)絡(luò)分析應(yīng)用實(shí)踐仍處于探索階段。呂天陽(yáng)等[19]在深入研究已公開(kāi)審計(jì)案例的基礎(chǔ)上，闡明審計(jì)社會(huì)網(wǎng)絡(luò)分析的數(shù)學(xué)基礎(chǔ)和基本方法，搭建審計(jì)社會(huì)網(wǎng)絡(luò)實(shí)踐框架。在關(guān)聯(lián)方交易審計(jì)案例中，楊超等[20]將交易作為節(jié)點(diǎn)引入社會(huì)網(wǎng)絡(luò)，通過(guò)建模呈現(xiàn)關(guān)聯(lián)方交易特有的閉環(huán)現(xiàn)象，并檢驗(yàn)該模型效果，說(shuō)明社會(huì)網(wǎng)絡(luò)分析有利于拓展大數(shù)據(jù)審計(jì)方法，降低第三方機(jī)構(gòu)承擔(dān)的審計(jì)風(fēng)險(xiǎn)。

（四）文獻(xiàn)述評(píng)

通過(guò)文獻(xiàn)梳理發(fā)現(xiàn)，國(guó)內(nèi)鮮有基于社會(huì)網(wǎng)絡(luò)分析結(jié)合云安全風(fēng)險(xiǎn)審計(jì)治理的研究。云安全利益主體對(duì)應(yīng)的安全風(fēng)險(xiǎn)不僅具有差異性，利益主體涉及的風(fēng)險(xiǎn)也存在相互作用關(guān)系。目前云安全風(fēng)險(xiǎn)研究多基于風(fēng)險(xiǎn)之間相互獨(dú)立的假設(shè)，缺少系統(tǒng)梳理云平臺(tái)利益相關(guān)主體和風(fēng)險(xiǎn)類型的定性研究，也缺乏云安全風(fēng)險(xiǎn)在利益相關(guān)主體間的傳導(dǎo)量化研究。事實(shí)上風(fēng)險(xiǎn)之間存在一定的聯(lián)系，分析風(fēng)險(xiǎn)間的擴(kuò)散與聯(lián)系，能使風(fēng)險(xiǎn)防范化解更為有效[21]。社會(huì)網(wǎng)絡(luò)分析可以超越風(fēng)險(xiǎn)獨(dú)立性分析帶來(lái)的局限，為云安全風(fēng)險(xiǎn)關(guān)聯(lián)性研究提供新思路和方法。本研究擬運(yùn)用社會(huì)網(wǎng)絡(luò)分析方法，建立利益相關(guān)主體風(fēng)險(xiǎn)關(guān)聯(lián)網(wǎng)絡(luò)，對(duì)多方利益主體涉及的云安全風(fēng)險(xiǎn)間的相互關(guān)系進(jìn)行定量分析，探究云中重要利益相關(guān)者和重點(diǎn)風(fēng)險(xiǎn)類型，以第三方審計(jì)主體的視角提出更加有效的審計(jì)管控策略，為我國(guó)云安全審計(jì)治理研究做出貢獻(xiàn)。

二、云安全利益相關(guān)主體及風(fēng)險(xiǎn)識(shí)別

（一）云安全利益相關(guān)主體識(shí)別

云安全風(fēng)險(xiǎn)與利益相關(guān)主體緊密結(jié)合，且安全風(fēng)險(xiǎn)會(huì)在利益主體間傳導(dǎo)與擴(kuò)散，系統(tǒng)梳理云安全風(fēng)險(xiǎn)利益相關(guān)主體是識(shí)別風(fēng)險(xiǎn)、對(duì)不同利益相關(guān)主體提出不同審計(jì)管理意見(jiàn)的首要環(huán)節(jié)。云平臺(tái)建設(shè)過(guò)程中涉及的利益相關(guān)主體眾多，可大致分為三類：云應(yīng)用開(kāi)發(fā)商、云服務(wù)提供商和云租戶。在云平臺(tái)建設(shè)過(guò)程中，云安全風(fēng)險(xiǎn)主要來(lái)源于云應(yīng)用開(kāi)發(fā)商和云服務(wù)提供商，隨風(fēng)險(xiǎn)鏈條傳播擴(kuò)散，最終由云租戶承擔(dān)。云應(yīng)用開(kāi)發(fā)商所需的云計(jì)算資源皆由云服務(wù)商提供，開(kāi)發(fā)者專注于設(shè)計(jì)創(chuàng)新用戶所需的基本服務(wù)單元應(yīng)用，然后發(fā)布到云服務(wù)提供商的服務(wù)庫(kù)中[22]。云服務(wù)供應(yīng)商為云租戶提供云計(jì)算服務(wù)，包括管理基礎(chǔ)物理設(shè)施、虛擬機(jī)、數(shù)據(jù)存儲(chǔ)資源、API接口和網(wǎng)絡(luò)設(shè)施等支撐云計(jì)算的必要設(shè)施，以及云計(jì)算所需運(yùn)營(yíng)維護(hù)與服務(wù)管理。云租戶是云服務(wù)的使用者，根據(jù)業(yè)務(wù)需求付費(fèi)“租用”云服務(wù)提供商的云計(jì)算資源。從專業(yè)分工角度可細(xì)分為云應(yīng)用開(kāi)發(fā)商、云服務(wù)提供商、云系統(tǒng)構(gòu)建商、云設(shè)備提供商、云服務(wù)銷售商、云服務(wù)部署交付商、云服務(wù)運(yùn)營(yíng)商和云租戶等。其中云服務(wù)提供商所提供的云平臺(tái)搭建、云資源運(yùn)維服務(wù)眾多，故在利益及風(fēng)險(xiǎn)承擔(dān)方面能夠涵蓋云系統(tǒng)構(gòu)建商、云設(shè)備提供商等較小利益主體的權(quán)責(zé)，因此本研究簡(jiǎn)化考慮模型，選取云應(yīng)用開(kāi)發(fā)商、云服務(wù)供應(yīng)商和云租戶三個(gè)最基本的云服務(wù)利益主體作為研究對(duì)象構(gòu)建網(wǎng)絡(luò)結(jié)構(gòu)，量化云安全風(fēng)險(xiǎn)在三大利益主體間的傳染關(guān)系，進(jìn)而提出更加有效的云安全審計(jì)治理策略。

（二）云安全風(fēng)險(xiǎn)類型識(shí)別

云安全風(fēng)險(xiǎn)具有多區(qū)域滲透性、隱蔽關(guān)聯(lián)性、復(fù)雜交叉性、對(duì)應(yīng)利益相關(guān)主體風(fēng)險(xiǎn)差異性以及整體風(fēng)險(xiǎn)龐雜等特性，對(duì)其展開(kāi)與利益相關(guān)主體結(jié)合的風(fēng)險(xiǎn)識(shí)別，后續(xù)審計(jì)管理必須綜合各種風(fēng)險(xiǎn)因素。結(jié)合以上特點(diǎn)，通過(guò)對(duì)云安全風(fēng)險(xiǎn)相關(guān)文獻(xiàn)梳理，總結(jié)出云安全風(fēng)險(xiǎn)類別主要分為云基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)、云數(shù)據(jù)安全風(fēng)險(xiǎn)、云應(yīng)用安全風(fēng)險(xiǎn)和云運(yùn)維安全風(fēng)險(xiǎn)四類。具體安全風(fēng)險(xiǎn)類型界定和風(fēng)險(xiǎn)涉及主體見(jiàn)表1。

三、云安全風(fēng)險(xiǎn)研究設(shè)計(jì)

本研究將云安全風(fēng)險(xiǎn)社會(huì)網(wǎng)絡(luò)分析步驟分為：（1）識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)節(jié)點(diǎn)，評(píng)估關(guān)系強(qiáng)度；（2）社會(huì)網(wǎng)絡(luò)可視化，量化風(fēng)險(xiǎn)在利益相關(guān)主體間的擴(kuò)散；（3）分析網(wǎng)絡(luò)指標(biāo)，找出關(guān)鍵風(fēng)險(xiǎn)因素；（4）得出分析結(jié)論并提出相應(yīng)風(fēng)險(xiǎn)管理對(duì)策。審計(jì)主體在審計(jì)管理流程中緊密結(jié)合社會(huì)網(wǎng)絡(luò)分析步驟，有助于深層次挖掘云安全風(fēng)險(xiǎn)產(chǎn)生的關(guān)鍵點(diǎn)，提出有效審計(jì)建議以降低風(fēng)險(xiǎn)發(fā)生概率，提升各利益相關(guān)主體應(yīng)對(duì)風(fēng)險(xiǎn)的能力。

（一）數(shù)據(jù)來(lái)源

本研究采用問(wèn)卷調(diào)查法和專家訪談形式采集相關(guān)數(shù)據(jù)，以此刻畫社會(huì)網(wǎng)絡(luò)模型。數(shù)據(jù)獲取分為兩步，第一步針對(duì)研究設(shè)計(jì)包含風(fēng)險(xiǎn)因素和利益相關(guān)主體的調(diào)查問(wèn)卷，通過(guò)電子郵件和電話訪談的方式向相關(guān)領(lǐng)域?qū)＜易稍?，確定云平臺(tái)各利益相關(guān)主體對(duì)應(yīng)承擔(dān)的風(fēng)險(xiǎn)共94種，確定為網(wǎng)絡(luò)節(jié)點(diǎn)。第二步請(qǐng)專家量化風(fēng)險(xiǎn)之間的影響強(qiáng)度和發(fā)生概率，將關(guān)聯(lián)強(qiáng)度等級(jí)劃分為強(qiáng)、較強(qiáng)、一般、較弱、弱，賦予5、4、3、2、1的定量數(shù)值。匯總結(jié)果共計(jì)2 049條影響關(guān)系，作為網(wǎng)絡(luò)的邊。經(jīng)過(guò)梳理確定云安全利益相關(guān)主體對(duì)應(yīng)包含的風(fēng)險(xiǎn)類型、節(jié)點(diǎn)之間關(guān)系及強(qiáng)度。

（二）社會(huì)網(wǎng)絡(luò)可視化

通過(guò)社會(huì)網(wǎng)絡(luò)分析軟件Ucinet6.0構(gòu)建可視化云安全風(fēng)險(xiǎn)傳染網(wǎng)絡(luò)G（94，2 043），包含94項(xiàng)關(guān)鍵節(jié)點(diǎn)以及2 049條代表關(guān)系的邊，如圖1所示。

四、風(fēng)險(xiǎn)網(wǎng)絡(luò)特征分析

本研究選取網(wǎng)絡(luò)密度、節(jié)點(diǎn)度數(shù)、中介度和結(jié)構(gòu)洞中間人等作為社會(huì)網(wǎng)絡(luò)分析指標(biāo)，探究云安全風(fēng)險(xiǎn)在利益相關(guān)主體間的傳染擴(kuò)散以及云安全風(fēng)險(xiǎn)中重點(diǎn)風(fēng)險(xiǎn)類型，由此審計(jì)主體能針對(duì)性地提供風(fēng)險(xiǎn)管控措施和審計(jì)管理意見(jiàn)。

（一）云安全風(fēng)險(xiǎn)整體網(wǎng)絡(luò)密度分析

網(wǎng)絡(luò)密度代表風(fēng)險(xiǎn)傳染網(wǎng)絡(luò)中各節(jié)點(diǎn)關(guān)系的密切程度。測(cè)算得出整體網(wǎng)絡(luò)密度為0.2337，表明網(wǎng)絡(luò)結(jié)構(gòu)略為分散。同時(shí)由圖1可得該網(wǎng)絡(luò)具備分層特征，分布靠近網(wǎng)絡(luò)中心的節(jié)點(diǎn)與其他節(jié)點(diǎn)關(guān)系密切，風(fēng)險(xiǎn)傳染程度強(qiáng)，處于網(wǎng)絡(luò)邊沿位置的節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)的影響較小，風(fēng)險(xiǎn)傳染程度弱。整體上該網(wǎng)絡(luò)中“云服務(wù)提供商”和“云租戶”是處于網(wǎng)絡(luò)中心的利益主體，風(fēng)險(xiǎn)關(guān)系最為集中，風(fēng)險(xiǎn)之間的影響作用明顯。

（二）云安全風(fēng)險(xiǎn)網(wǎng)絡(luò)因素的關(guān)聯(lián)性分析

節(jié)點(diǎn)度表示網(wǎng)絡(luò)中節(jié)點(diǎn)與其他節(jié)點(diǎn)的連線數(shù)量。節(jié)點(diǎn)出度是指該節(jié)點(diǎn)向其他節(jié)點(diǎn)發(fā)出的關(guān)系條數(shù)，代表該風(fēng)險(xiǎn)對(duì)其他風(fēng)險(xiǎn)的影響程度。節(jié)點(diǎn)入度是該節(jié)點(diǎn)接收的關(guān)系條數(shù)，反映該風(fēng)險(xiǎn)受其他風(fēng)險(xiǎn)影響的程度。綜合表2的測(cè)算結(jié)果，云應(yīng)用開(kāi)發(fā)商和云服務(wù)提供商兩個(gè)利益相關(guān)主體所對(duì)應(yīng)的風(fēng)險(xiǎn)類型出度較高，說(shuō)明風(fēng)險(xiǎn)網(wǎng)絡(luò)中云應(yīng)用開(kāi)發(fā)商和云服務(wù)供應(yīng)商是主要的風(fēng)險(xiǎn)源頭，充當(dāng)“風(fēng)險(xiǎn)傳播者”角色，而云租戶所對(duì)應(yīng)的風(fēng)險(xiǎn)類型入度較高，扮演更為被動(dòng)的“風(fēng)險(xiǎn)接收者”角色，在風(fēng)險(xiǎn)網(wǎng)絡(luò)中處于弱勢(shì)地位，所對(duì)應(yīng)的風(fēng)險(xiǎn)類型在其他利益主體涉及的風(fēng)險(xiǎn)變動(dòng)時(shí)會(huì)受到更大沖擊和影響，屬于風(fēng)險(xiǎn)事件的結(jié)果呈現(xiàn)。

節(jié)點(diǎn)出入度分析顯示云身份認(rèn)證與訪問(wèn)控制安全風(fēng)險(xiǎn)、云網(wǎng)絡(luò)安全設(shè)施服務(wù)的安全風(fēng)險(xiǎn)、云數(shù)據(jù)安全風(fēng)險(xiǎn)和云運(yùn)維安全風(fēng)險(xiǎn)在網(wǎng)絡(luò)中有較大的影響力，說(shuō)明云應(yīng)用開(kāi)發(fā)商與云服務(wù)提供商對(duì)應(yīng)的上述安全風(fēng)險(xiǎn)容易引起整體網(wǎng)絡(luò)中其他風(fēng)險(xiǎn)的產(chǎn)生，針對(duì)這兩類利益主體的風(fēng)險(xiǎn)管理是整體網(wǎng)絡(luò)控制風(fēng)險(xiǎn)傳染的關(guān)鍵。從風(fēng)險(xiǎn)傳播途徑來(lái)看，云應(yīng)用開(kāi)發(fā)商與云服務(wù)提供商涉及的安全風(fēng)險(xiǎn)處于傳播鏈條前端，對(duì)此類風(fēng)險(xiǎn)的管控應(yīng)該從源頭著手。審計(jì)主體需要強(qiáng)化對(duì)以上利益相關(guān)主體重點(diǎn)云安全風(fēng)險(xiǎn)類型的審計(jì)，發(fā)掘?qū)υ骗h(huán)境中的安全漏洞，對(duì)威脅云安全的行為獲取審計(jì)證據(jù)，評(píng)估安全保護(hù)機(jī)制的運(yùn)行效果，并針對(duì)安全風(fēng)險(xiǎn)采取相應(yīng)審計(jì)措施，由此提出更加全面的審計(jì)建議。

（三）云安全風(fēng)險(xiǎn)因素的控制地位分析

中介中心度呈現(xiàn)的是節(jié)點(diǎn)對(duì)通過(guò)它的關(guān)系路徑的控制權(quán)，處于中介地位的節(jié)點(diǎn)將其他節(jié)點(diǎn)之間的聯(lián)系路徑連接起來(lái)，中介中心度數(shù)值越大表明該節(jié)點(diǎn)越處于中介地位，對(duì)于通過(guò)它的關(guān)系控制力越強(qiáng)，是鏈接眾多風(fēng)險(xiǎn)發(fā)起者和接收者的關(guān)鍵紐帶。

表3呈現(xiàn)了重要風(fēng)險(xiǎn)因素的中介中心度，其中S2R41（云服務(wù)提供商-風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警）的中介中心度數(shù)值最大，表明云服務(wù)提供商對(duì)整個(gè)云的安全風(fēng)險(xiǎn)管理承擔(dān)主要責(zé)任。云租戶使用云服務(wù)后，將設(shè)備、網(wǎng)絡(luò)資源、應(yīng)用和數(shù)據(jù)的控制權(quán)全部或部分地轉(zhuǎn)交給云服務(wù)提供商，因此對(duì)云服務(wù)提供商的風(fēng)險(xiǎn)管理能力提出很高的要求。數(shù)據(jù)結(jié)果顯示重要中介風(fēng)險(xiǎn)因素基本上屬于云服務(wù)提供商承擔(dān)的風(fēng)險(xiǎn)，說(shuō)明云服務(wù)提供商在整個(gè)風(fēng)險(xiǎn)網(wǎng)絡(luò)中處于重要控制地位。中介中心度較高的節(jié)點(diǎn)主要是云服務(wù)提供商承擔(dān)的運(yùn)維安全、訪問(wèn)控制、云應(yīng)用接口和數(shù)據(jù)存儲(chǔ)等安全風(fēng)險(xiǎn)，在整個(gè)風(fēng)險(xiǎn)網(wǎng)絡(luò)中起到重要連接作用。在實(shí)踐中審計(jì)主體應(yīng)著重評(píng)估云服務(wù)提供商的風(fēng)險(xiǎn)管理能力，提出有針對(duì)性的審計(jì)建議，加強(qiáng)其對(duì)風(fēng)險(xiǎn)的承擔(dān)能力，可以有效控制安全風(fēng)險(xiǎn)的進(jìn)一步擴(kuò)散，縮短風(fēng)險(xiǎn)傳染鏈條并降低風(fēng)險(xiǎn)的波及范圍。

（四）云安全風(fēng)險(xiǎn)因素的代理能力分析

中間人角色占據(jù)網(wǎng)絡(luò)中信息聯(lián)絡(luò)的重要地位，起到連接各子網(wǎng)絡(luò)的“橋梁”作用。如果中間人拒絕做兩者間的媒介，則它連接的兩點(diǎn)或是兩個(gè)子網(wǎng)絡(luò)間的聯(lián)系就會(huì)“斷開(kāi)”。因此，中間人是信息交流、矛盾協(xié)調(diào)的重要參與部分，是參與風(fēng)險(xiǎn)傳導(dǎo)的關(guān)鍵角色。只要消除了處于關(guān)鍵節(jié)點(diǎn)上的風(fēng)險(xiǎn)類型，網(wǎng)絡(luò)中的大量關(guān)系被切斷，就能阻斷風(fēng)險(xiǎn)傳播，整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)隨之降低。中間人角色可以分為5類：協(xié)調(diào)人、守門人、代理人、顧問(wèn)以及聯(lián)絡(luò)人。據(jù)表4數(shù)據(jù)，可將云服務(wù)提供商確認(rèn)為最具代理特性的利益相關(guān)主體，涉及的風(fēng)險(xiǎn)類型包括云應(yīng)用訪問(wèn)控制、運(yùn)維能力、數(shù)據(jù)安全、虛擬資源安全等安全風(fēng)險(xiǎn)，說(shuō)明以上風(fēng)險(xiǎn)類型擔(dān)任重要中間人角色。其中S2R41（云服務(wù)提供商-風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警）最具代理性，它扮演了許多次協(xié)調(diào)人的角色，在風(fēng)險(xiǎn)網(wǎng)絡(luò)中與另外兩個(gè)利益相關(guān)主體涉及風(fēng)險(xiǎn)的聯(lián)絡(luò)較多，在協(xié)調(diào)與其他利益相關(guān)主體的矛盾時(shí)占據(jù)了優(yōu)勢(shì)地位，是風(fēng)險(xiǎn)控制的關(guān)鍵。

五、基于云安全風(fēng)險(xiǎn)傳染的審計(jì)治理策略

通過(guò)上述利益相關(guān)主體結(jié)合云安全風(fēng)險(xiǎn)社會(huì)網(wǎng)絡(luò)分析，審計(jì)主體可以在云安全風(fēng)險(xiǎn)項(xiàng)目中挖掘不同利益主體涉及風(fēng)險(xiǎn)之間的影響作用，并識(shí)別出影響其他風(fēng)險(xiǎn)的關(guān)鍵因素，有針對(duì)性地向被審單位提出審計(jì)治理策略，進(jìn)一步啟發(fā)利益相關(guān)主體對(duì)云安全風(fēng)險(xiǎn)的預(yù)防和控制。由于不同的主體識(shí)別出的關(guān)鍵風(fēng)險(xiǎn)具有差異性，審計(jì)主體應(yīng)對(duì)不同的利益相關(guān)主體提出具有針對(duì)性的審計(jì)治理建議，具體分析如下。

（一）云應(yīng)用開(kāi)發(fā)商

云應(yīng)用開(kāi)發(fā)商在風(fēng)險(xiǎn)傳染網(wǎng)絡(luò)中作為“風(fēng)險(xiǎn)傳播者”的角色之一，對(duì)云應(yīng)用開(kāi)發(fā)商的安全審計(jì)是為了從源頭上控制云服務(wù)安全風(fēng)險(xiǎn)。審計(jì)主體需要從以下內(nèi)容對(duì)云應(yīng)用開(kāi)發(fā)商重點(diǎn)實(shí)施審計(jì)管理工作。

1.身份認(rèn)證和訪問(wèn)控制。在多租戶的云計(jì)算環(huán)境中，用戶的身份認(rèn)證和訪問(wèn)控制是云安全的一大難題。云應(yīng)用開(kāi)發(fā)商在設(shè)計(jì)滿足用戶需求的應(yīng)用時(shí)應(yīng)合理分配不同用戶的訪問(wèn)權(quán)限，確保用戶能獲取所需資源，同時(shí)也要防止任意訪問(wèn)資源導(dǎo)致其他用戶信息的泄露篡改。審計(jì)主體應(yīng)審查云應(yīng)用系統(tǒng)能夠?qū)崿F(xiàn)統(tǒng)一身份認(rèn)證和單點(diǎn)登錄功能，能有效驗(yàn)證用戶提供的身份信息，如口令、密碼、智能卡、指紋和虹膜等認(rèn)證方式。在系統(tǒng)使用多種安全憑證身份認(rèn)證的情形下，審計(jì)主體應(yīng)審查安全憑證的API調(diào)用源鑒別情況和多因素認(rèn)證情況。審計(jì)主體應(yīng)審查云應(yīng)用開(kāi)發(fā)商是否提供訪問(wèn)控制功能以及使用恰當(dāng)?shù)脑L問(wèn)控制模型，對(duì)于云端訪問(wèn)控制相關(guān)信息要能夠保證定期更新以確保用戶信息和訪問(wèn)控制策略的同步性，實(shí)現(xiàn)信息遠(yuǎn)程同步。同時(shí)審計(jì)主體應(yīng)當(dāng)對(duì)應(yīng)用授權(quán)和分離功能進(jìn)行審查，需追蹤云應(yīng)用系統(tǒng)中用戶的訪問(wèn)行為，通過(guò)留存日志信息確立審計(jì)證據(jù)，進(jìn)而為訪問(wèn)控制機(jī)制的改進(jìn)提出審計(jì)策略。

2.應(yīng)用設(shè)計(jì)和應(yīng)用部署。審計(jì)主體應(yīng)檢查云應(yīng)用開(kāi)發(fā)商是否依照用戶需求，結(jié)合云服務(wù)提供商提供的資源進(jìn)行云應(yīng)用服務(wù)的規(guī)劃、設(shè)計(jì)和開(kāi)發(fā)，并配置相應(yīng)的功能實(shí)施工具，云應(yīng)用服務(wù)需采用成熟、可用的接口和技術(shù)，并支持協(xié)同其他應(yīng)用系統(tǒng)。審計(jì)主體應(yīng)審查云應(yīng)用開(kāi)發(fā)商在應(yīng)用設(shè)計(jì)時(shí)能明確應(yīng)用功能的類型和屬性、保密要求和使用者信息以及所需接口等內(nèi)容，將應(yīng)用系統(tǒng)模塊化，為應(yīng)用的遷移部署做好準(zhǔn)備。云應(yīng)用開(kāi)發(fā)商根據(jù)用戶申請(qǐng)的應(yīng)用功能內(nèi)容合理進(jìn)行應(yīng)用功能和部署服務(wù)的實(shí)施，提供技術(shù)手段布置應(yīng)用系統(tǒng)，支持修改應(yīng)用和服務(wù)包配置。在多租戶情況下，審計(jì)主體應(yīng)審查云應(yīng)用系統(tǒng)是否設(shè)計(jì)了通用、基礎(chǔ)性的業(yè)務(wù)應(yīng)用，在云平臺(tái)內(nèi)實(shí)現(xiàn)統(tǒng)一部署和分配用戶權(quán)限，同時(shí)審查云應(yīng)用開(kāi)發(fā)商的技術(shù)人員能否協(xié)助用戶進(jìn)行應(yīng)用的使用培訓(xùn)。

（二）云服務(wù)提供商

云服務(wù)提供商不僅是云安全風(fēng)險(xiǎn)的產(chǎn)生源頭之一，也扮演了大量風(fēng)險(xiǎn)傳播“中介者”的角色。對(duì)云服務(wù)提供商實(shí)施的安全審計(jì)是為了控制云在運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)。審計(jì)主體需要執(zhí)行以下重點(diǎn)審計(jì)內(nèi)容。

1.物理基礎(chǔ)設(shè)施。云物理基礎(chǔ)設(shè)施主要包含機(jī)房、服務(wù)器、電源、CPU、GPU、存儲(chǔ)介質(zhì)、通信傳輸電纜、網(wǎng)絡(luò)設(shè)備等硬件設(shè)施，是云運(yùn)行必不可少的實(shí)體資源。審計(jì)主體應(yīng)當(dāng)結(jié)合自然因素和人為因素兩方面檢查以上設(shè)施的安全性，如從自然因素考慮，審查云服務(wù)提供商在為機(jī)房選址時(shí)是否提供防雷擊、防水防火、防靜電、防電磁泄露等服務(wù)；從人為因素考慮，審查云服務(wù)提供商提供的機(jī)房物理環(huán)境是否滿足云運(yùn)行的需求，如機(jī)房?jī)?nèi)溫濕度、潔凈度等內(nèi)容，對(duì)物理設(shè)備是否進(jìn)行定期的維護(hù)和保養(yǎng)，做好設(shè)備防盜措施。

2.虛擬基礎(chǔ)資源。虛擬基礎(chǔ)資源包含宿主機(jī)、虛擬機(jī)、虛擬機(jī)監(jiān)控器等部分。審計(jì)主體需要以多角度多層次分析云服務(wù)提供商使用的虛擬化技術(shù)，審查其制定的安全措施，以第三方視角控制虛擬基礎(chǔ)資源面臨的安全風(fēng)險(xiǎn)。首先，由于通過(guò)入侵宿主機(jī)攻擊虛擬機(jī)會(huì)造成極大的安全風(fēng)險(xiǎn)，審計(jì)主體應(yīng)審查云服務(wù)提供商構(gòu)建的宿主機(jī)入侵檢測(cè)系統(tǒng)并對(duì)其進(jìn)行評(píng)估，判斷該系統(tǒng)能否有效識(shí)別和阻止針對(duì)宿主機(jī)的攻擊行為，能否對(duì)宿主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序等進(jìn)行監(jiān)控。其次，虛擬機(jī)面臨著竊取、篡改、跳躍、逃逸、VMBR攻擊、拒絕服務(wù)攻擊等各類安全威脅，因此審計(jì)主體應(yīng)當(dāng)審查云服務(wù)商提供的虛擬機(jī)操作系統(tǒng)的安全性，測(cè)試虛擬機(jī)隔離、監(jiān)控能力，審查服務(wù)商是否提供虛擬化安全接口，以及為提升安全性能云服務(wù)提供商有無(wú)及時(shí)提供虛擬化軟件補(bǔ)丁。審計(jì)主體需審查云服務(wù)提供商虛擬機(jī)的安全日志和安全審計(jì)情況并給出完善策略。最后，在虛擬化層中Hypervisor機(jī)制能保障監(jiān)視器的安全運(yùn)行，起到重要的作用，審計(jì)主體應(yīng)當(dāng)檢查Hypervisor機(jī)制的完整性，保證監(jiān)控器的全面覆蓋，是否交替綜合地使用虛擬與物理防火墻，避免遺漏來(lái)自虛擬網(wǎng)絡(luò)的安全威脅，同時(shí)通過(guò)判斷虛擬機(jī)用戶權(quán)限分配的合理性，減少非法訪問(wèn)，降低Hypervisor的安全隱患，完善監(jiān)控保護(hù)體系構(gòu)建安全防御措施。

3.數(shù)據(jù)安全和隱私保護(hù)。云數(shù)據(jù)安全是云環(huán)境下安全問(wèn)題的核心要素。大數(shù)據(jù)時(shí)代數(shù)據(jù)信息呈現(xiàn)幾何級(jí)數(shù)式增長(zhǎng)，使得數(shù)據(jù)安全風(fēng)險(xiǎn)更加復(fù)雜。如果缺乏有效的安全保護(hù)機(jī)制，就有可能面臨隱私泄露的問(wèn)題。云計(jì)算模式下由云服務(wù)提供商完成云數(shù)據(jù)的存儲(chǔ)計(jì)算任務(wù)，審計(jì)主體應(yīng)從數(shù)據(jù)存儲(chǔ)安全技術(shù)入手，檢查服務(wù)提供商使用的加密算法，評(píng)價(jià)對(duì)稱加密和非對(duì)稱加密兩種算法的合理性和安全性，審查如基于順序掃描、DAS數(shù)據(jù)檢索模型和XML數(shù)據(jù)的密文檢索方案，挖掘密鑰管理中的安全線索，固定全面的審計(jì)證據(jù)，從審計(jì)視角為數(shù)據(jù)安全管理提出更加全面的建議。同時(shí)審計(jì)主體應(yīng)當(dāng)關(guān)注云服務(wù)提供商對(duì)用戶數(shù)據(jù)隱私的管控，審查是否存在利用Cookie方法追蹤用戶訪問(wèn)習(xí)慣等諸多不當(dāng)行為。審計(jì)主體需審查云服務(wù)商提供的隱私保護(hù)協(xié)議和隱私保護(hù)流程，以此評(píng)判云數(shù)據(jù)隱私保護(hù)流程和狀況，避免服務(wù)商違規(guī)利用用戶個(gè)人信息。

4.云運(yùn)維安全能力。云運(yùn)維管理是云計(jì)算順利運(yùn)行的保障之一，因此云運(yùn)維安全在整個(gè)云安全問(wèn)題中起到重要的作用。審計(jì)主體應(yīng)審查云服務(wù)提供商是否按照合約對(duì)云的運(yùn)行過(guò)程展開(kāi)全方位的監(jiān)督和管理，通過(guò)資源的整合支撐向用戶提供成熟的運(yùn)行保障服務(wù)，包括云服務(wù)提供商的日常運(yùn)行保障服務(wù)、運(yùn)行相應(yīng)服務(wù)和對(duì)已有服務(wù)的升級(jí)優(yōu)化、補(bǔ)丁更新等。同時(shí)檢查云服務(wù)提供商是否能識(shí)別風(fēng)險(xiǎn)的可能性和影響并提供風(fēng)險(xiǎn)評(píng)估報(bào)告，以此實(shí)施恰當(dāng)?shù)娘L(fēng)險(xiǎn)管控措施。由于云計(jì)算環(huán)境容易受到外部攻擊，審計(jì)主體應(yīng)測(cè)試云服務(wù)提供商設(shè)置的監(jiān)測(cè)預(yù)警機(jī)制是否科學(xué)有效，如云服務(wù)提供商部署的防火墻、VPN、IDS/IPS 等網(wǎng)絡(luò)安全設(shè)備監(jiān)控云環(huán)境中的網(wǎng)絡(luò)資源，重點(diǎn)監(jiān)控 Hypervisor中是否存在非授權(quán)訪問(wèn)現(xiàn)象，是否存在Rootik、VM Escape攻擊等，并加強(qiáng)對(duì)虛擬環(huán)境的監(jiān)控。此外，當(dāng)安全事故發(fā)生后，云服務(wù)提供商要有完整的事故響應(yīng)管理流程，確保安全事故能夠得到及時(shí)有效的報(bào)告和處理。

（三）云租戶

云租戶在風(fēng)險(xiǎn)傳染網(wǎng)絡(luò)中主要作為“風(fēng)險(xiǎn)接收者”的角色。對(duì)云租戶實(shí)施的安全審計(jì)是為了保證云租戶在使用云服務(wù)時(shí)的安全。審計(jì)主體需要重點(diǎn)關(guān)注以下審計(jì)內(nèi)容。

1.服務(wù)內(nèi)容。審計(jì)主體應(yīng)當(dāng)關(guān)注云租戶使用云服務(wù)時(shí)是否選擇了較為安全可靠的云服務(wù)提供商，能否通過(guò)云服務(wù)提供商提供的服務(wù)狀態(tài)了解和掌握云資源的運(yùn)行情況，云租戶是否做好了云數(shù)據(jù)的備份，如虛擬機(jī)鏡像、業(yè)務(wù)系統(tǒng)數(shù)據(jù)、用戶數(shù)據(jù)等備份，避免云服務(wù)中斷丟失數(shù)據(jù)。審計(jì)主體應(yīng)評(píng)估云租戶建立的云應(yīng)用模式和安全管理制度是否科學(xué)、完整，是否與服務(wù)提供商簽署運(yùn)行服務(wù)協(xié)議并加強(qiáng)運(yùn)行技術(shù)培訓(xùn)指導(dǎo)，如云產(chǎn)品與服務(wù)功能的咨詢、對(duì)用戶的功能介紹、使用方法指導(dǎo)等，能否在云服務(wù)提供商升級(jí)云資源優(yōu)化措施時(shí)及時(shí)更新資源配置項(xiàng)，能否建立運(yùn)行故障響應(yīng)機(jī)制，在技術(shù)人員的指導(dǎo)下解決故障，并形成作業(yè)報(bào)告和流程圖。此外，為強(qiáng)化安全管理，審計(jì)主體應(yīng)審查云租戶能否定期自行檢測(cè)安全管理措施的有效性，或委托第三方專業(yè)機(jī)構(gòu)進(jìn)行測(cè)評(píng)和檢查安全漏洞。

2.運(yùn)行監(jiān)管。審計(jì)主體應(yīng)審查云租戶在使用云服務(wù)的過(guò)程中是否能對(duì)自身的行為進(jìn)行監(jiān)管，如向正常運(yùn)行的云平臺(tái)傳輸病毒程序?qū)е略破脚_(tái)的混亂，在云平臺(tái)上發(fā)布黃色或違法反動(dòng)內(nèi)容阻礙其正常運(yùn)行，對(duì)云平臺(tái)其他用戶進(jìn)行惡意攻擊，利用黑客技術(shù)竊取、篡改其他用戶的隱私機(jī)密數(shù)據(jù)，利用云平臺(tái)的技術(shù)漏洞攻擊云服務(wù)提供商、客戶乃至政府機(jī)構(gòu)，對(duì)其安全權(quán)益造成嚴(yán)重威脅等。此外，審計(jì)主體應(yīng)調(diào)查云租戶能否對(duì)自己負(fù)責(zé)的云環(huán)境安全措施進(jìn)行檢查監(jiān)督，如對(duì)云租戶的物理基礎(chǔ)設(shè)備進(jìn)行日常維護(hù)管理，對(duì)包括管理員在內(nèi)的所有自建賬號(hào)進(jìn)行安全監(jiān)控，發(fā)現(xiàn)非法訪問(wèn)賬號(hào)時(shí)及時(shí)阻攔處理，安裝正確的殺毒軟件并及時(shí)更新瀏覽器版本和插件，做好云客戶端的安全防護(hù)等，力求為云租戶安全管理提出更完善的審計(jì)意見(jiàn)。

六、結(jié)語(yǔ)

本研究在識(shí)別云安全利益相關(guān)主體和關(guān)鍵風(fēng)險(xiǎn)的基礎(chǔ)上，結(jié)合社會(huì)網(wǎng)絡(luò)分析法構(gòu)建云安全風(fēng)險(xiǎn)傳染網(wǎng)絡(luò)，幫助審計(jì)主體將不同利益相關(guān)主體和風(fēng)險(xiǎn)類別對(duì)應(yīng)起來(lái)，量化利益相關(guān)主體涉及云安全風(fēng)險(xiǎn)之間的相互作用關(guān)系，提出風(fēng)險(xiǎn)管理步驟，挖掘風(fēng)險(xiǎn)傳染過(guò)程中的關(guān)鍵節(jié)點(diǎn)，有助于審計(jì)主體針對(duì)性地提出風(fēng)險(xiǎn)治理策略，提升相關(guān)利益主體對(duì)云安全風(fēng)險(xiǎn)的預(yù)防和控制能力。該方法突破了當(dāng)前假設(shè)云安全風(fēng)險(xiǎn)之間相互獨(dú)立的局限性，在審計(jì)主體進(jìn)行云安全審計(jì)時(shí)將風(fēng)險(xiǎn)之間的擴(kuò)散與聯(lián)系考慮進(jìn)來(lái)，通過(guò)梳理利益相關(guān)主體之間的風(fēng)險(xiǎn)傳導(dǎo)，對(duì)提升云安全風(fēng)險(xiǎn)審計(jì)管理的針對(duì)性和有效性有積極的作用。但本研究仍然存在不足，一是研究中分析的利益相關(guān)主體較少，應(yīng)將利益相關(guān)主體分類細(xì)化，引入風(fēng)險(xiǎn)網(wǎng)絡(luò)展開(kāi)進(jìn)一步研究；二是在量化云安全風(fēng)險(xiǎn)傳染過(guò)程時(shí)主要依賴專家主觀打分，且設(shè)計(jì)的打分流程較為煩瑣；三是提出的關(guān)鍵風(fēng)險(xiǎn)審計(jì)管理策略有待后續(xù)研究進(jìn)一步深化。

【參考文獻(xiàn)】

［1］ 鄭祿鑫，張健.云安全面臨的威脅和未來(lái)發(fā)展趨勢(shì)［J］.信息網(wǎng)絡(luò)安全，2021，21（10）：17-24.

［2］ MALHOTRA S，DOJA M N，ALAM B，et al.Cloud database management system security challenges and solutions：an analysis［J］.CSI Transactions on ICT，2016，4：2-4.

［3］ 阮樹(shù)驊，甕俊昊，毛麾，等.云安全風(fēng)險(xiǎn)評(píng)估度量模型［J］.山東大學(xué)學(xué)報(bào)（理學(xué)版），2018，53（3）：71-76，81.

［4］ C LEE，S KIM，Y YEO，et al.Proposal of security requirements based on layers and roles for the srandardization of cloud computing security technology［J］.Journal of Security Engineering，2013，10（4）：473-488.

［5］ 張曉娟，郭娟.國(guó)外政府云計(jì)算安全標(biāo)準(zhǔn)建設(shè)及啟示［J］.電子政務(wù)，2016（4）：83-90.

［6］ 馮朝勝，秦志光，袁丁，等.云計(jì)算環(huán)境下訪問(wèn)控制關(guān)鍵技術(shù)［J］.電子學(xué)報(bào)，2015，43（2）：312-319.

［7］ 王于丁，楊家海.DACPCC：一種包含訪問(wèn)權(quán)限的云計(jì)算數(shù)據(jù)訪問(wèn)控制方案［J］.電子學(xué)報(bào)，2018，46（1）：236-244.

［8］ 章謙驊，章堅(jiān)武.基于云安全技術(shù)的智慧政務(wù)云解決方案［J］.電信科學(xué)，2017，33（3）：107-111.

［9］ 王會(huì)金，劉國(guó)城.大數(shù)據(jù)時(shí)代電子政務(wù)云安全審計(jì)策略構(gòu)建研究［J］.審計(jì)與經(jīng)濟(jì)研究，2021，36（4）：1-9.

［10］ 孔丹，馬兆豐，蔣銘.基于云平臺(tái)的安全審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［J］.信息安全與通信保密，2013（10）：66-70.

［11］ 陳康康.面向云存儲(chǔ)的身份認(rèn)證機(jī)制和數(shù)據(jù)共享方法的研究［D］.北京：北京郵電大學(xué)碩士學(xué)位論文，2015.

［12］ 劉國(guó)城.基于過(guò)程的電子政務(wù)云安全審計(jì)模式研究［J］.新疆大學(xué)學(xué)報(bào)（哲學(xué)·人文社會(huì)科學(xué)版），2016，44（1）：28-35.

［13］ GLICKMAN T S，KHAMOOSHI H.Using hazard networks to determine risk reduction strategies［J］.Journal of the Operational Research Society，2005，56（11）：1265-1272.

［14］ 婁燕妮，孫潔，李秀婷，等.基于SNA的交通領(lǐng)域PPP項(xiàng)目利益相關(guān)者風(fēng)險(xiǎn)傳染研究——以刺桐大橋?yàn)槔跩］.財(cái)政研究，2018（2）：52-63，120.

［15］ 趙國(guó)超，吳佩一，虞曉芬.智慧社區(qū)運(yùn)營(yíng)的主體識(shí)別與社會(huì)網(wǎng)絡(luò)分析［J］.浙江大學(xué)學(xué)報(bào)（理學(xué)版），2022，49（3）：384-390.

［16］ 趙琛.審計(jì)對(duì)象關(guān)系網(wǎng)絡(luò)構(gòu)建方法研究［J］.審計(jì)研究，2016（6）：36-41.

［17］ 吳益兵，廖義剛，林波.社會(huì)網(wǎng)絡(luò)關(guān)系與公司審計(jì)行為——基于社會(huì)網(wǎng)絡(luò)理論的研究［J］.廈門大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2018（5）：65-72.

［18］ 陳偉，詹明惠，陳文夏.基于社會(huì)網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)方法研究［J］.中國(guó)注冊(cè)會(huì)計(jì)師，2019（12）：74-78.

［19］ 呂天陽(yáng)，邱玉慧，殷鵬.審計(jì)社會(huì)網(wǎng)絡(luò)分析的理論、特征及實(shí)踐路徑［J］.財(cái)會(huì)月刊，2020（13）：103-111.

［20］ 楊超，朱靖翔，胡筱臻，等.基于社會(huì)網(wǎng)絡(luò)的審計(jì)對(duì)象關(guān)聯(lián)方關(guān)系發(fā)現(xiàn)［J］.財(cái)會(huì)月刊，2022（22）：110-115.

［21］ 張雅婷，蔡宗翰，姚艷.基于社會(huì)網(wǎng)絡(luò)分析的地方PPP項(xiàng)目風(fēng)險(xiǎn)管理研究［J/OL］.重慶大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2020.

［22］ 劉云浩，楊啟凡，李振華.云計(jì)算應(yīng)用服務(wù)開(kāi)發(fā)環(huán)境：從代碼邏輯到數(shù)據(jù)流圖［J］.中國(guó)科學(xué)（信息科學(xué)），2019，

49（9）：1119-1137.