云安全簡介

時間：2022-02-27 07:20:01 | 來源：信息時代

時間：2022-02-27 07:20:01 來源：信息時代

“云安全”(Cloud Security)是網(wǎng)絡時代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。

云計算中的安全控制其主要部分與其它IT環(huán)境中的安全控制并沒有什么不同，然而，基于采用的云服務模型、運行模式以及提供云服務的技術(shù)，與傳統(tǒng)IT解決方案相比云計算可能面臨不同的風險。

即使有些運行責任落在某些第三方伙伴身上，云計算的一個獨特點就是能夠在適度地失去控制的同時又能保持可糾責性(acc?untability)。

一個機構(gòu)的安全態(tài)勢的特征取決于成熟度、有效性以及實現(xiàn)基于風險調(diào)節(jié)的安全控制的完全程度，這些安全控制可以在一層或多層上實現(xiàn)，包括設(shè)備(物理安全)、網(wǎng)絡基礎(chǔ)設(shè)施(網(wǎng)絡安全)、IT系統(tǒng)(系統(tǒng)安全)，一直到信息和應用(應用安全)，更多的控制還包括人員和過程層面的，職責分離和變更的管理等。

在不同云服務模型中，提供商和用戶的安全職責有很大的不同。例如，Amaz?n的 AWS EC2架構(gòu)作為服務包括了一直到hypervis?r安全的供應商的安全責任，也就是說它們只能解決物理安全、環(huán)境安全和虛擬化安全這些安全控制，而用戶則負責與IT系統(tǒng)(事件)相關(guān)的安全控制，包括操作系統(tǒng)、應用和數(shù)據(jù)。

Salesf?rce.c?m的客戶資源管理CRM SaaS提供的正好相反，因為整個“棧”都由Salesf?rce.c?m提供，提供商不僅負責物理和環(huán)境安全還必須解決基礎(chǔ)設(shè)施、應用和數(shù)據(jù)相關(guān)的安全控制，這減輕了用戶的許多運行責任。

云計算的吸引力之一在于由經(jīng)濟上的可擴展性、重用和標準化提供的成本效率，為了支撐這種成本效率，云提供商提供的服務必須足夠靈活，以服務最大可能的用戶數(shù)、最大化他們的市場，不幸的是，將安全集成到這些服務方案中常被認為使得方案變得僵化。

這種僵化常與傳統(tǒng)IT相比，表現(xiàn)在云環(huán)境不能部署同等的安全控制，這主要是由于基礎(chǔ)設(shè)施的抽象化、缺少可視化、缺少集成多種熟悉的安全控制手段的能力，特別是在網(wǎng)絡層上。



安全是如何集成的

上圖表明了這些問題：在SaaS環(huán)境中，安全控制及其范圍在服務合同中進行協(xié)商;服務等級、隱私和符合性等也都在合同中關(guān)系到。在IaaS中，低層基礎(chǔ)設(shè)施和抽象層的安全保護屬于提供商職責，其它職責則屬于客戶。PaaS則居于兩者之間，提供商為平臺自身提供安全保護，平臺上應用的安全性及如何安全地開發(fā)這些應用則為客戶的職責。

中國企業(yè)的“云安全”概念

中國企業(yè)的 “云安全”，在國際云計算領(lǐng)域獨樹一幟。中國企業(yè)云安全通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。整個互聯(lián)網(wǎng)，變成了一個超級大的殺毒軟件，這就是云安全計劃的宏偉目標。

發(fā)展趨勢

未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬，在這樣的情況下，采用的特征庫判別法顯然已經(jīng)過時。云安全技術(shù)應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡服務，實時進行采集、分析以及處理。整個互聯(lián)網(wǎng)就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯(lián)網(wǎng)就會更安全。

云安全的概念提出后，曾引起了廣泛的爭議，許多人認為它是偽命題。但事實勝于雄辯，云安全的發(fā)展像一陣風[1]，瑞星、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛(wèi)士等都推出了云安全解決方案。瑞星基于云安全策略開發(fā)的2009新品，每天攔截數(shù)百萬次木馬攻擊，其中1月8日更是達到了765萬余次。趨勢科技云安全已經(jīng)在全球建立了5大數(shù)據(jù)中心，幾萬部在線服務器。據(jù)悉，云安全可以支持平均每天55億條點擊查詢，每天收集分析2.5億個樣本，資料庫第一次命中率就可以達到99%。借助云安全，趨勢科技現(xiàn)在每天阻斷的病毒感染最高達1000萬次。

思想來源

云安全技術(shù)是P2P技術(shù)、網(wǎng)格技術(shù)、云計算技術(shù)等分布式計算技術(shù)混合發(fā)展、自然演化的結(jié)果。

云安全的過程值得一提的是，云安全的核心思想，與劉鵬早在2003年就提出的反垃圾郵件網(wǎng)格非常接近。劉鵬當時認為，垃圾郵件泛濫而無法用技術(shù)手段很好地自動過濾，是因為所依賴的人工智能方法不是成熟技術(shù)。垃圾郵件的最大的特征是：它會將相同的內(nèi)容發(fā)送給數(shù)以百萬計的接收者。

為此，可以建立一個分布式統(tǒng)計和學習平臺，以大規(guī)模用戶的協(xié)同計算來過濾垃圾郵件：

首先，用戶安裝客戶端，為收到的每一封郵件計算出一個唯一的“指紋”，通過比對“指紋”可以統(tǒng)計相似郵件的副本數(shù)，當副本數(shù)達到一定數(shù)量，就可以判定郵件是垃圾郵件;

其次，由于互聯(lián)網(wǎng)上多臺計算機比一臺計算機掌握的信息更多，因而可以采用分布式貝葉斯學習算法，在成百上千的客戶端機器上實現(xiàn)協(xié)同學習過程，收集、分析并共享最新的信息。

反垃圾郵件網(wǎng)格體現(xiàn)了真正的網(wǎng)格思想，每個加入系統(tǒng)的用戶既是服務的對象，也是完成分布式統(tǒng)計功能的一個信息節(jié)點，隨著系統(tǒng)規(guī)模的不斷擴大，系統(tǒng)過濾垃圾郵件的準確性也會隨之提高。用大規(guī)模統(tǒng)計方法來過濾垃圾郵件的做法比用人工智能的方法更成熟，不容易出現(xiàn)誤判假陽性的情況，實用性很強。反垃圾郵件網(wǎng)格就是利用分布互聯(lián)網(wǎng)里的千百萬臺主機的協(xié)同工作，來構(gòu)建一道攔截垃圾郵件的“天網(wǎng)”。

反垃圾郵件網(wǎng)格思想提出后，被IEEE Cluster 2003國際會議選為杰出網(wǎng)格項目在香港作了現(xiàn)場演示，在2004年網(wǎng)格計算國際研討會上作了專題報告和現(xiàn)場演示，引起較為廣泛的關(guān)注，受到了中國最大郵件服務提供商網(wǎng)易公司創(chuàng)辦人丁磊等的重視。既然垃圾郵件可以如此處理，病毒、木馬等亦然，這與云安全的思想就相去不遠了。

策略構(gòu)想

云安全的策略構(gòu)想是使用者越多，每個使用者就越安全，因為如此龐大的用戶群，足以覆蓋互聯(lián)網(wǎng)的每個角落，只要某個網(wǎng)站被掛馬或某個新木馬病毒出現(xiàn)，就會立刻被截獲。

技術(shù)由來

云安全的核心思想，與劉鵬早在2003年就提出的反垃圾郵件網(wǎng)格非常接近，劉鵬當時認為，垃圾郵件泛濫而無法用技術(shù)手段很好地自動過濾，是因為所依賴的人工智能方法不是成熟技術(shù)。垃圾郵件的最大的特征是：它會將相同的內(nèi)容發(fā)送給數(shù)以百萬計的接收者。為此可以建立一個分布式統(tǒng)計和學習平臺，以大規(guī)模用戶的協(xié)同計算來過濾垃圾郵件：首先，用戶安裝客戶端，為收到的每一封郵件計算出一個唯一的“指紋”，通過比對“指紋”可以統(tǒng)計相似郵件的副本數(shù)，當副本數(shù)達到一定數(shù)量，就可以判定郵件是垃圾郵件。

由于互聯(lián)網(wǎng)上多臺計算機比一臺計算機掌握的信息更多，因而可以采用分布式貝葉斯學習算法，在成百上千的客戶端機器上實現(xiàn)協(xié)同學習過程，收集、分析并共享最新的信息。反垃圾郵件網(wǎng)格體現(xiàn)了真正的網(wǎng)格思想，每個加入系統(tǒng)的用戶既是服務的對象，也是完成分布式統(tǒng)計功能的一個信息節(jié)點，隨著系統(tǒng)規(guī)模的不斷擴大，系統(tǒng)過濾垃圾郵件的準確性也會隨之提高。用大規(guī)模統(tǒng)計方法來過濾垃圾郵件的做法比用人工智能的方法更成熟，不容易出現(xiàn)誤判假陽性的情況，實用性很強。反垃圾郵件網(wǎng)格就是利用分布互聯(lián)網(wǎng)里的千百萬臺主機的協(xié)同工作，來構(gòu)建一道攔截垃圾郵件的“天網(wǎng)”。反垃圾郵件網(wǎng)格思想提出后，被IEEE Cluster 2003國際會議選為杰出網(wǎng)格項目在香港作了現(xiàn)場演示，在2004年網(wǎng)格計算國際研討會上作了專題報告和現(xiàn)場演示，引起較為廣泛的關(guān)注，受到了中國最大郵件服務提供商網(wǎng)易公司創(chuàng)辦人丁磊等的重視。既然垃圾郵件可以如此處理，病毒、木馬等亦然，這與云安全的思想就相去不遠了。

名稱設(shè)計

“云安全”這個名字是馬剛起的，本打算叫“安全云”，被大家鄙視，以為土氣。其實這個概念早就有了，只不過瑞星動的比較快?！霸朴嬎恪敝?，有個很熱的概念叫做“網(wǎng)格計算”，就是把大家的計算機聯(lián)合起來，貢獻出一些空閑的計算能力，供大家隨時取用。google是“網(wǎng)格計算”最早的利用者之一，他的服務器都是用廉價的PC機聯(lián)合起來，用來取代昂貴的服務器，以提供大容量搜索要求的計算能力。其中的技術(shù)難點，就在于并行計算、服務器通訊這些技術(shù)。

由瑞星服務器、數(shù)千萬卡卡用戶就可以組成虛擬的網(wǎng)絡，簡稱為“云”。病毒針對“云”的攻擊，都會被服務器截獲、記錄并反擊。被病毒感染的節(jié)點可以在最短時間內(nèi)，獲取服務器的解決措施，查殺病毒恢復正常。這樣的“云”，理論上的安全程度是可以無限改善的?！霸啤弊顝姶蟮牡胤?，就是拋開了單純的“客戶端”防護的概念。傳統(tǒng)客戶端被感染，殺毒完畢之后就完了，沒有進一步的信息跟蹤和分享。而“云”的所有節(jié)點，是與服務器共享信息的。你中毒了，服務器就會記錄，在幫助你處理的同時，也把信息分享給其它用戶，他們就不會被重復感染。于是這個“云”籠罩下的用戶越多，“云”記錄和分享的安全信息也就越多，整體的用戶也就越強大。這才是網(wǎng)絡的真諦，也是所謂“云安全”的精華之所在。

難點問題

要想建立“云安全”系統(tǒng)，并使之正常運行，需要解決四大問題：第一，需要海量的客戶端(云安全探針);第二，需要專業(yè)的反病毒技術(shù)和經(jīng)驗;第三，需要大量的資金和技術(shù)投入;第四，必須是開放的系統(tǒng)，而且需要大量合作伙伴的加入。

第一、 需要海量的客戶端(云安全探針)。只有擁有海量的客戶端，才能對互聯(lián)網(wǎng)上出現(xiàn)的病毒、木馬、掛馬網(wǎng)站有最靈敏的感知能力。目前瑞星有超過一億的自有客戶端，如果加上迅雷、久游等合作伙伴的客戶端，則能夠完全覆蓋國內(nèi)的所有網(wǎng)民，無論哪個網(wǎng)民中毒、訪問掛馬網(wǎng)頁，都能在第一時間做出反應。

第二、 需要專業(yè)的反病毒技術(shù)和經(jīng)驗。瑞星擁有將近20年的反病毒技術(shù)積累，有數(shù)百名工程師組成的研發(fā)隊伍，近年來連續(xù)獲得國際級技術(shù)認證，技術(shù)實力穩(wěn)居世界前列。這些都使瑞星“云安全”系統(tǒng)的技術(shù)水平國內(nèi)首創(chuàng)，國際領(lǐng)先。大量專利技術(shù)、虛擬機、智能主動防御、大規(guī)模并行運算等技術(shù)的綜合運用，使得瑞星的“云安全”系統(tǒng)能夠及時處理海量的上報信息，將處理結(jié)果共享給“云安全”系統(tǒng)的每個成員。

第三、 需要大量的資金和技術(shù)投入。目前瑞星“云安全”系統(tǒng)單單在服務器、帶寬等硬件上的投入已經(jīng)超過1億元，而相應的頂尖技術(shù)團隊、未來數(shù)年持續(xù)的研究花費將數(shù)倍于硬件投資，這樣的投入規(guī)模是非專業(yè)廠商無法做到的。

第四、 必須是開放的系統(tǒng)，而且需要大量合作伙伴的加入。瑞星“云安全”是個開放性的系統(tǒng)，其“探針”與所有軟件完全兼容，即使用戶使用其他殺毒軟件，也可以安裝瑞星卡卡助手等帶有“探針”功能的軟件，享受“云安全”系統(tǒng)帶來的成果。而久游、迅雷等數(shù)百家重量級廠商的加入，也大大加強了“云安全”系統(tǒng)的覆蓋能力。