云计算能够提供企业正在寻求的业务和IT方面的功能和需求。根据本文提出的云安全风险考量模型(CⅢ)可以了解到,在各企业采用云服务的过程中信息安全风险被认为是非常重大并且是很独特的隐患。将企业的敏感数据转移到云服务提供商的手中在较大程度上扩展和复杂化了企业的运作风险。本文重点介绍了基于系统化和结构化方法来选择可信赖云服务供应商以达到企业所需的信息安全保障水平的意义和方法。本文提出了一种系统并且客观的F-G-I安全评估框架,其主要包括安全功能(Function)、可治理性(Governability)和互操作性(Interoperability)三个模块。本文同时也提出了基于风险特征分析(Risk Profile Analysis)模型以及相应的算法来帮助企业确定在其特定的云计算环境中需要哪些信息安全控制措施。在F-G-I框架的基础上,本文提出了一种综合信息安全信任模型(IISTM)来帮助用户(Cloud Service Consumer)对可选的云安全服务商(Cloud Service Provider)进行信息安全的信任评估。本文所提出的综合信息安全信任模型主要涵盖了 Hard Trust评估和Soft Trust评估两个大领域。Hard Trust是指客观的、可以验证的和有确定性的信任关系。Hard Trust主要是基于信息安全组件属性验证的机制。Soft Trust是指主观的、基于满意度、信心和信誉的信任关系。Hard Trust和Soft Trust在综合信息安全信任模型中互为补充。为评估Hard Trust,本文使用一种基于ALOPA的逻辑语言来描述信息安全组件之间的关系,以及属性之间的依赖关系。同时本文提出一种基于Hard Trust模糊验证模型(HTFVM)的方法论来评估云服务提供商的Hard Trust值。为评估Soft Trust,根据置信率的设置以及是否有直接体验的情况不同,本文提出了三种Soft Trust评估的方法,即直接体验Soft Trust模型(DESTM)、间接体验Soft Trust模型(IESTM)和置信推理Soft Trust模型(CISTM)。另外,本文还研究了 Hard Trust对Soft Trust的比值问题,并根据实际经验提出了黄金比例模型。通过一个地区教育局的案例阐述了如何使用本文提出的基于风险分析的F-G-I模型来选择和确定所需要的信息安全属性和控制措施,并在此基础上利用本文提出的综合信息安全信任模型来对多个可选云服务提供商进行系统性信息安全信任评估的过程。