仲 琴，孙树垒，吴士亮

(1.江苏大学 理学院，江苏 镇江 212013；2.南京财经大学 管理科学与工程学院，南京 210046)

0 引 言

软件即服务(Software as a Service，SaaS)是一种基于云计算的新型业务模式[1-2]。该模式下，应用软件被安装在服务提供商(以下简称厂商)的IT基础设施上，厂商负责软件运行、维护及升级；客户通过订阅取得对应用软件的在线使用权，通常按使用情况向厂商付费。从厂商视角，所有订阅客户共享一套应用软件，有利于降低支持成本及加速技术创新；从客户视角，由于不需安装及维护应用软件，可根据业务需要及时调整订阅方案，有利于降低信息化建设成本，有利于专注发展自身业务。然而，SaaS模式也存在大量不确定性，如：厂商在IT装备、服务运营、应用研发及伙伴关系管理中存在的不确定性关系到订阅客户服务体验及业务持续性；订阅客户数据大集中增加了客户数据泄露、滥用及完整性损害的可能；客户面临网络可用性风险等。能否针对SaaS模式中客观存在的大量不确定性进行全面识别及科学评估，直接关系到SaaS模式的应用成败。

与本文相关的早期研究主要针对信息安全风险，评估模型、要素提取、评估方法一直是国内外关注重点。冯登国等[3]在信息安全风险评估研究综述中梳理了评估体系模型、评估标准、评估方法、评估过程、测评体系等；针对评估方法的已有研究大多考虑了评估中的主观性、模糊性特点，涉及的相关理论包括模糊集[4-5]、熵权[4-5]、Dempster-Shafer[6]、本体[7]等。近年来，随着SaaS模式普及及应用深化，SaaS风险问题引起业界及学界关注，取得了一些研究成果，其中：Brender等[8]针对云计算风险与控制问题开展经验研究，关注云计算的6个风险主题(包括信息安全、用户访问、规制符合性及数据位置、审计支持、服务可用性及灾难恢复、厂商锁定)；BENLIAN等[9]从IT管理者视角分析SaaS模式带给采纳企业的机遇及风险，给出机遇-风险模型并采集调查数据对模型进行分析；胡斌和吴满琳[10]分析了中小企业应用SaaS面临的风险并给出相关策略；王伟[11]从供应商、应用企业和政策法规等方面分析了SaaS风险及影响因素；严建援等[12]研究SaaS供应链面临的市场需求风险问题，基于SaaS厂商视角，针对SaaS厂商与软件开发商组成的两阶段供应链建立数学模型对双方需求风险的分担及协调进行分析；吴士亮等[13]基于SaaS采纳企业视角，采用文献研究得到43项SaaS风险因素，进而把风险因素融合到COBIT框架中，为SaaS采纳企业全程管理SaaS风险提供借鉴。综上知，一方面，已有成果主要针对一般意义上的信息安全风险问题，且成果已较丰富(如文献[3-7])；另一方面，针对SaaS风险问题的成果主要是对风险因素的识别及梳理(如文献[8-11，13])。就目前掌握的资料，尚未见到专门针对SaaS模式风险评估问题的研究成果。

本文针对SaaS风险评估问题进行研究，在充分考虑SaaS模式特点基础上，借鉴已有信息安全风险评估标准规范[14]，提炼出适于SaaS模式的风险评估原理，识别各评估要素关键内容；进而选择一种综合了模糊集与熵权的计算SaaS风险的方法。

1 SaaS风险评估的内容

1.1 风险要素及风险评估原理

SaaS风险评估就是针对SaaS这一具体业务模式，评估主体对相关资产价值、存在脆弱性、安全事件发生可能性及其影响进行系统全面评估的过程，主要包括5个要素：

(1) 风险：即威胁主体利用SaaS资产脆弱性对组织造成影响的可能性。

(2) 资产：即对组织有价值的资源，是保护的对象。

(3) 威胁：指对组织资产构成潜在威胁的因素，包括人为因素(如黑客攻击)和环境因素(如自然灾害)。

(4) 脆弱性：SaaS组织资产弱点的总称。资产的脆弱性是客观存在的，既有技术方面的原因，也有管理、制度及人员方面的原因。

(5) 安全事件：指组织资产的一种可识别状态的发生(如：数据被黑客窃取)，发生安全事件是威胁演变的结果。

这5个要素间的关系是：资产具有价值和脆弱性，资产脆弱性能暴露资产价值；当脆弱性被威胁利用时对资产造成危害；资产越脆弱，面临威胁越多，安全事件发生的可能性越大；资产价值越大、越脆弱，安全事件发生的频率对资产的潜在影响严重。

基于如上分析，给出SaaS风险评估原理，见图1。

图1SaaS风险评估原理
Fig.1PrincipleofSaaSriskassessment

定义π为资产价值；d为资产脆弱性严重程度；f为威胁出现频率；P为安全事件发生可能性；L为安全事件发生后可能造成的损失；R为风险，则R=R(P，L)，P=P(d，f)，F=L(π，d)。因此，以SaaS资产为对象，评估每项资产的价值π、各脆弱点严重程度d、与资产各脆弱点相关的威胁出现频率f，进而把π、d合成为P，把d、f合成为L，最后综合各资产的P、L合成为最终风险值R。

1.2 识别SaaS资产及其价值

1.2.1 识别SaaS资产

本文把SaaS资产分为如下3类：

客体资产，包括与采纳企业及厂商这两类主体相关的资产。前者资产主要包括2类：可远程访问的应用软件、采纳企业的各类数据。另外，采纳企业也建立及维护必要的IT基础设施，但通常不是评估重点。后者资产主要包括3类：IT基础设施、在线应用、数据资产(尤其是来自订阅客户的各类数据)。

主体资产，指开发、运行、使用、维护客体资产的各类“人”，包括采纳企业和各类服务提供方。前者指订阅客户，是服务使用方；后者指应用服务提供方。

运行环境，指主体和客体资产的内外部环境要素，包括物理空间(如机房)、逻辑空间(影响区域)和运行保障(如动力系统)。Internet是运行环境，作为价值交付的关键载体，具有开放性、不可控性，是很多威胁的滋生场所，在评估SaaS风险时应予重视。

1.2.2 识别SaaS资产的价值

识别各项SaaS资产价值时不能仅关注其经济价值，可基于3类重要属性(保密性、完整性、可用性)上未达有关标准或遭到破坏后所造成的影响来综合评定。可针对各资产在3类重要属性上的影响情况进行主观打分，经加权计算得出价值取值。

1.3 识别脆弱性

资产脆弱性考虑技术和管理两个方面，技术脆弱性包括设计脆弱性、实现脆弱性和配置脆弱性，管理脆弱性指管理政策或实践中导致未授权行为的弱点。表1给出了关于SaaS脆弱性的关键内容。

表1 SaaS资产脆弱性识别的内容Table 1 Content of vulnerability identification of SaaS assets

1.4 识别威胁

识别威胁就是梳理出各种可能利用SaaS资产弱点的潜在威胁，评估其发生可能性。典型威胁有：数据资产被蓄意收集、破坏及滥用等；客户访问被监听、篡改、钓鱼及服务失效等；订阅客户在数据所有权、应用可审计性、电子取证及合规性等面临潜在威胁。

2 SaaS风险评估方法

鉴于对SaaS资产价值、脆弱性严重程度、威胁发生可能性的赋值均具有主观性、模糊性，本文给出一种基于模糊集和熵权的SaaS风险评估方法。

2.1 基本概念

2.1.1 模糊集

假设待评价指标X={x1，x2，…，xn}，评语组为Y={y1，y2，…，ym}，评语等级数m，F(Y)表示Y上的模糊集全体。专家针对X中各指标，参照Y中评语等级评分，构造模糊映射f：=X→F(Y)，f(xi)=(pi1，pi2，…，pim)∈F(Y)。f表示xi对Y中各等级的支持程度，Pi指Xi对Y的隶属向量，Pi=(pi1，pi2，…，pim)，i=1，2…，n，隶属度矩阵P为

2.1.2 熵权

(1)

计算指标xi的差异性系数gi：给定i，若pij差异性越小，则ei越大；若pij全部相等，则ei=1，说明指标xi对于评语等级比较没有影响；各等级指标值相差越大，ei越小，该指标对评语等级比较所起的作用越大。定义差异性系数：gi=1-ei，显然gi越大指标越重要。

确定指标xi的权重Øi。对差异性系数gi归一化计算权重，得相应于指标xi的权重Øi：

(2)

2.2 基于模糊集与熵权的SaaS风险评估

2.2.1 评估资产价值

(3)

所有资产价值估值为

ΠA=(π1，π2，…，πn)

(4)

2.2.2 评估安全事件造成的损失

对于资产ai的某个弱点vij∈V，若被威胁利用演变为安全事件，价值损失为Lij可表示为

Lij=πi⊗dij

(5)

其中，πi表示ai的价值，dij为vij的脆弱性严重程度，⊗表示合成运算。

(6)

资产ai的脆弱点集Vi上的损失表示为

Li=(Li1，Li2，…，Liτ)

(7)

2.2.3 评估安全事件发生的可能性

对于资产ai的弱点vij∈V，利用该弱点的某个威胁为tijk∈T，该威胁演变为安全事件的可能性Pijk取决于vij的严重程度dij和威胁tijk出现频率(用fijk表示)，则：

Pijk=dij⊗fijk

(8)

Pij=max {Pij1，Pij2，…，Pijτ}

(9)

相应于ai的安全事件可能性表示为

Pi=(Pi1，Pi2，…，Piτ)

(10)

2.2.4 合成风险值

(11)

基于如上思路，遍历各项资产，可得风险值向量R=(R1，R2，…，Rn)。进一步对各Ri值做归一化(归一化后记为R′i)，以ai的价值权重为权对R′i合成，可得针对所有资产的综合风险R：

(12)

2.2.5 风险结果判定

风险结果判定就是对风险计算结果做等级化处理，并设定各等级风险值范围，其目的是让SaaS企业在风险控制与管理过程中对不同风险进行直观比较，以便采取恰当安全措施控制风险，在实际应用中，还应考虑风险控制成本与风险影响。对某些资产，如果风险评估值在可接受范围内，可认为是可接受风险，应保持已有安全措施，如果超出可接受范围，需要采取安全措施。

3 评估算例

3.1 背景介绍

案例原型取自某集团公司，该公司主营各类健康产品的生产、销售与服务，在全国有20多家分公司，近300家子公司。该集团长期以来一直非常重视客户关系建立、维持与发展。信息化建设小组基于广泛调研与论证，决定采纳SaaS型CRM，成立选型小组对5家候选SaaS CRM供应商的风险进行评估。评估时考虑3类SaaS资产(客体资源、主体资源和运行环境)，系统识别各资产可能弱点，各弱点存在的威胁，评估中涉及的资产及脆弱点总体情况见图2。

客体资源包括IT基础设施和CRM在线软件两部分，其中：

(1) IT基础设施指支撑CRM在线软件的各类计算资源。识别其脆弱点时从技术和管理两方面进行，技术相关弱点主要包括物理环境、网络结构、系统软件等存在的弱点，管理相关弱点主要包括业务持续性计划、组织保障、人员、法规符合性等存在的弱点等。

(2) CRM在线软件部分主要识别应用中间件弱点(如接口机制、开放性等方面缺陷)、应用系统弱点(如访问控制策略、数据完整性、程序等缺陷)以及管理相关弱点(如应用管理制度、维护人员配置等弱点)。这里以SaaS客体资源为例说明评估过程。客体资源A=(a1，a2，…，a6)，分别表示应用服务器、存储设备、备份设备、互联设备、系统软件、CRM在线应用。

图2SaaS资产及脆弱点
Fig.2SaaSassetsandtheirvulnerabilities

3.2 评语等级

表2 资产价值等级定义Table 2 Asset value levels

表3 脆弱性严重程度等级定义Table 3 Vulnerability severity level

表4 威胁发生频度等级定义Table 4 Threat occurrence frequency level

3.3 计算过程

3.3.1 计算资产价值

专家针对各客体资源，参照资产价值评语组Yπ中价值描述进行打分，得隶属度矩阵Eπ：

由式(1)及式(2)可得相应于客体资源A的权向量：WA=(0.124，0.108，0.245，0.191，0.121，0.211)。由式(3)及式(4)，得客体资源价值估值：ΠA=(0.429，0.382，0.784，0.726，0.466，0.833)。

3.3.2 评估安全事件造成的损失

由式(1)及式(2)可得相应于这5个脆弱点的权向量Wv1= (0.143，0.196，0.181，0.165，0.315)。由式(5)及式(6)，可得脆弱点V1的损失估值L1=(0.485，0.59，0.56，0.522，0.776)。

表5 隶属度矩阵Ed2—Ed6值Table 5 Membership matrixEd2-Ed6

经计算得：Wv2=(0.320，0.680)，L2=(0.651，0.987)，Wv3=(0.286，0.713)，L3=(0.889，1.533)，Wv4=(0.586，0.414)，L4=(1.368，1.110)，Wv5=(0.663，0.337)，L5=(1.148，0.777)，Wv6=(0.587，0.413)，L6=(1.484，1.216)。

3.3.3 评估安全事件发生的可能性

P1=(1.076，1.401，1.199，1.166，1.798)

P2=(1.908，1.229)

P3=(1.123，1.688)

P4= (2.204，1.453)

P5=(2.474，0.895)

P6=(1.829，1.289)

3.3.4 风险值合成及风险结果判定

由式(11)，计算得R=( 2.006，1.567，1.498，2.152，1.880，2.069)。由式(12)，得综合风险值R=0.169。根据选型小组选择的SaaS 风险判定表(见表6)，认为SaaS 资产风险等级为1，整体看SaaS客体资源的风险很低，安全事件一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。

3.3.5 选择目标厂商

采用如上评估方法，就待评估的SaaS资源，分别对各候选厂商的风险进行评估，选取综合风险值最小的厂商作为目标签约对象。

表6 风险等级划分Table 6 Classification of risk levels

4 结束语

较全面地探讨SaaS模式风险评估问题，与现有研究成果相比，本文主要贡献包括两个方面：一是给出SaaS风险评估框架及评估关键内容，包括SaaS资产价值、脆弱性与威胁要素识别与赋值；二是给出一种基于模糊集与熵权理论的SaaS风险评估方法。另外，通过评估算例表明本文的评估框架及评估方法具有可行性。本文对于SaaS服务提供商、SaaS采纳企业和其他利益相关者评估SaaS风险具有指导意义。