云計算模式下的網(wǎng)絡安全研究*

洪家軍

?

云計算模式下的網(wǎng)絡安全研究*

洪家軍

莆田學院電子信息工程系

云計算是繼網(wǎng)格計算后又一項正在興起的技術，云安全是云計算理念的發(fā)展和應用，是在網(wǎng)絡安全領域中的一次重大革新。該文首先介紹了云計算的概念、工作原理和三種主要的應用模式；然后介紹了云安全及其工作原理，分析和對比了現(xiàn)行的瑞星和趨勢科技兩種不同的典型云安全實現(xiàn)模式；最后指出了這兩種模式各自的優(yōu)缺點，并提出了改進方案。

云計算 云安全 網(wǎng)絡安全

0 引言

隨著Internet應用技術的發(fā)展和普及，尤其是更加自由和靈活的Web2.0 時代的到來，高速增長的網(wǎng)絡用戶和網(wǎng)絡數(shù)據(jù)量對計算機的處理能力提出了更高的要求；此外，網(wǎng)絡資源的需求和利用出現(xiàn)了失衡狀態(tài)，某些應用需要大量的網(wǎng)絡資源，而大量的其它的網(wǎng)絡資源又沒有得到充分利用[1]。因此，必須對網(wǎng)絡資源進行整合和優(yōu)化，在這種背景下，云計算(Cloud Computing)應運而生。

面臨目前日益增多的安全威脅，特別是木馬和惡意程序，傳統(tǒng)的安全防護措施已無法有效解決問題。網(wǎng)絡安全廠商利用云計算的理念推出了一種全新的安全服務，這就是云安全[2]（Cloud Secure）。

1 云計算

1.1 云計算的概念

云計算是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網(wǎng)格計算(Grid Computing)的發(fā)展，是一種基于因特網(wǎng)的超級計算模式，在遠程的數(shù)據(jù)中心里，成千上萬臺計算機和服務器連接成一片計算機云?！霸啤敝械馁Y源在用戶看來是可以無限擴展的，并且可以隨時獲取，按需使用，隨時擴展，按使用付費。用戶可以通過計算機和手機等方式接入數(shù)據(jù)中心，按自己的需求進行運算[3]。

判斷一個系統(tǒng)是不是云計算，有以下三條標準[4]：

（1）用戶使用的資源不在客戶端而在網(wǎng)絡中。這是云計算的根本理念所在，即通過網(wǎng)絡給用戶提供所需的計算力、存儲空間、軟件功能和信息服務等。

（2）服務能力具有分鐘級甚至秒級的伸縮能力。這要求在用戶使用高峰期，當云計算資源節(jié)點的服務能力不夠時，能在數(shù)分鐘甚至數(shù)秒內(nèi)增加服務節(jié)點應對網(wǎng)絡的尖峰流量，而且這些服務節(jié)點還能隨著流量的減少而減少。

（3）具有較之傳統(tǒng)模式5倍以上的性能價格比優(yōu)勢。在云計算理念下，通過將數(shù)量龐大的廉價計算機放進資源池中，用軟件容錯來降低硬件成本；通過將云計算設施部署在寒冷和電力資源豐富的地區(qū)來節(jié)省電力成本；通過規(guī)?；墓蚕硎褂脕硖岣哔Y源利用率。國外代表性云計算平臺提供商達到了驚人的10～40倍的性能價格比提升。國內(nèi)由于技術、規(guī)模和統(tǒng)一電價等問題，暫時難以達到同等的性能價格比，但中國移動研究院的云計算平臺已經(jīng)達到了5～7倍的性能價格比提升，其性能價格比隨著規(guī)模和利用率的提升還有提升空間。

1.2 云計算的工作原理

云計算的思想就是把力量聯(lián)合起來，然后給其中的每一個成員使用。其基本原理是通過使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務器中。這使得企業(yè)能夠?qū)①Y源切換到需要的應用上，根據(jù)需求訪問計算機和存儲系統(tǒng)。這也意味著計算能力就像我們現(xiàn)在使用水和電一樣，取用方便，費用低廉。對于用戶來說，只需要一臺計算機或者一部手機，就可以通過網(wǎng)絡服務來實現(xiàn)需要的一切，甚至包括超級計算和存儲能力。

1.3 云計算的主要應用模式

目前，云計算呈現(xiàn)給用戶的應用模式主要包括軟件即服務（SaaS）、平臺即服務（PaaS）和基礎設施即服務（IaaS）三種應用模式[5]。

（1）SaaS( Software as a Service，軟件即服務) ：這是一種通過Internet提供軟件的模式，在這種模式下，用戶將不再需要購買軟件，而是直接從云中租用基于Web的軟件。Google的Google Docs就是典型實例之一。

（2）PaaS( Platform as a Service，平臺即服務) : 這種模式是指將軟件研發(fā)的平臺作為一種服務，以SaaS的模式提交給用戶?；赑aaS平臺，用戶可以快速開發(fā)自己所需要的應用和產(chǎn)品。Force.com和Google App Engine是典型實例之一。

（3）IaaS (Infrastructure as a Service，基礎設施即服務)：在這種模式下，用戶通過Internet可以從完善的計算機基礎設施獲得服務，例如處理機、存儲、網(wǎng)絡和其它基本的計算資源，以供用戶部署或運行自己任意的軟件，包括操作系統(tǒng)或應用。例如The New York Times 處理 TB 級的文檔數(shù)據(jù)原來需要數(shù)天甚至數(shù)月，而使用Amazon EC2（虛擬計算機）在36小時內(nèi)就可以完成[6]，極大提高了數(shù)據(jù)處理的速度和效率。

2 云安全

2.1 云安全的定義

所謂云安全，主要包含兩個方面的含義。一是云上的安全，也稱為云計算安全，就是云計算自身存在的安全隱患。二是云計算技術在信息安全領域的具體應用，也稱為安全云計算。這里說的云安全是指后者。

云安全是通過將大量客戶端和安全廠商技術平臺通過網(wǎng)絡緊密相聯(lián)，組成一個用于監(jiān)測和查殺用戶計算機中的軟件異常行為、木馬和惡意程序及代碼的龐大網(wǎng)絡系統(tǒng)，并能動態(tài)地對用戶訪問的信息進行安全評估，在威脅入侵用戶網(wǎng)絡之前，在源端直接將其阻止，并將這一解決方案分發(fā)到每一個客戶端，從而達到零接觸、零感染的目標。在這個系統(tǒng)中，每個用戶都為“云安全”貢獻一份力量，同時分享其他所有用戶的安全成果。其最終結(jié)果是將整個互聯(lián)網(wǎng)變成一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯(lián)網(wǎng)就更安全。

建立一個云安全系統(tǒng)，需要滿足以下四個方面的條件[7]：

（1）海量的網(wǎng)絡用戶參與。這些網(wǎng)絡用戶的計算機將扮演云安全探針的角色，云安全探針用于實時探測用戶計算機面臨的安全威脅。

（2）專業(yè)的反病毒技術和經(jīng)驗。這需要有專業(yè)的安全廠商參與進來。

（3）大量的資金和技術投入。這需要有實力雄厚的IT企業(yè)加入，甚至是政府的大力支持。

（4）必須是開放的系統(tǒng)，允許大量合作伙伴的加入。這要求系統(tǒng)能兼容多種軟硬件環(huán)境，從而保證有更多的用戶和合作伙伴可以輕松地加入這一系統(tǒng)。

2.2 云安全的工作原理

與傳統(tǒng)的被動的特征對比和解毒反病毒技術不同，云安全是主動防御方式，在病毒、木馬和惡意程序及代碼侵入用戶系統(tǒng)之前就能予以攔截。

在云安全模式下，大多數(shù)病毒特征碼文件保存到云數(shù)據(jù)庫中供云中所有用戶使用，用戶計算機僅保存少量必要的文件。在查殺毒病時，如果有未知的病毒或可疑文件，云安全探針將會自動將該新病毒文件或可疑文件提交到云中，由云提供商專業(yè)的安全技術團隊予以分析和確認，然后將解決方案分發(fā)給云中的每個用戶計算機；同時云中的安全探針還可以實時動態(tài)監(jiān)測軟件的異常行為，能有效攔截并記錄木馬和惡意程序，阻止盜號和用戶信息外泄等惡意事件的發(fā)生。

2.3 兩種模式的“云安全”技術分析

趨勢科技、瑞星、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛(wèi)士等都推出了云安全解決方案。這些云安全解決方案可以歸結(jié)為以瑞星和趨勢科技為代表的兩大陣營。

趨勢科技提出的“Secure Cloud”的云安全模式以以下三項核心技術作為基礎架構的云客戶端安全架構[8]：

（1）Web信譽服務。按惡意軟件行為分析網(wǎng)站網(wǎng)頁并動態(tài)指定信譽分數(shù)，從而追蹤網(wǎng)頁的可信度。當用戶訪問信譽分值較低的網(wǎng)頁時就能得到及時的提醒或阻止。

（2）電子郵件信譽服務。對電子郵件的發(fā)送源地址和發(fā)件人進行信譽評估，這樣惡意電子郵件在云中就能予以攔截，從而防止僵尸或僵尸網(wǎng)絡等Web威脅到達網(wǎng)絡或用戶計算機。

（3）文件信譽服務。利用黑名單和白名單以及病毒特征碼技術，對每個文件進行信譽評分。這樣就可以有效防御病毒、木馬和惡意程序?qū)τ脩粝到y(tǒng)的入侵。

與趨勢科技的服務器群“云”不同，瑞星的“云”建立在廣大的互聯(lián)網(wǎng)用戶上，所有加入瑞星“云安全”計劃的用戶客戶端都將是瑞星云安全探針，它們負責監(jiān)控網(wǎng)絡中軟件行為的異常，將發(fā)現(xiàn)的疑似木馬、惡意程序等最新信息推送到瑞星的服務器進行自動分析和處理，然后把病毒和木馬的解決方案分發(fā)到每一個客戶端。

對比這兩種完全不一樣的云安全模式，趨勢科技的主要優(yōu)勢是能夠有效阻止外來的網(wǎng)絡威脅，依賴的基礎是龐大的服務器群，不足之處就是未能充分利用大量的廉價的客戶端的計算能力來收集客戶端本身的未知威脅信息；而瑞星的優(yōu)勢就是能夠感知客戶端計算機本身已存在的未知病毒和其它安全威脅，依賴的基礎是海量的云用戶客戶端，不足之處就是不能在未知威脅進入到用戶計算機前進行攔截，也就是說必須至少有一個受害者的犧牲才能換取其他云用戶的安全。可以說是“事后諸葛”[7]。

趨勢科技和瑞星的云安全模式都已經(jīng)推出了自己的產(chǎn)品，并逐步在企業(yè)界和普通大眾等領域得以推廣和應用。但各自存在的不足使得云計算的理念和云安全的優(yōu)勢未能充分體現(xiàn)，一種可行的改進方案就是將趨勢科技的云安全模式與瑞星的云安全模式相結(jié)合，以趨勢科技的云安全技術為基礎，開發(fā)類似瑞星的全開放的云安全探針，充分利用所有網(wǎng)絡用戶計算機的計算能力來收集客戶端本身的未知威脅信息，從而達到網(wǎng)內(nèi)與網(wǎng)外的全方位安全防御。同時需要建立數(shù)以萬計甚至更多的服務器群，并利用成熟的并行處理技術應付日益復雜的安全威脅和事務處理。

3 小結(jié)

云計算是一種可以推動世界前進的偉大創(chuàng)意，是未來IT 互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的趨勢，雖然目前還存在很多問題需要解決，但是隨著社會信息化的推進，這種成本低廉、性能超群的云計算終究會普及到各個領域。云安全作為云計算的一種具體應用，趨勢科技、瑞星等網(wǎng)絡安全企業(yè)的“云安全”產(chǎn)品已經(jīng)開始展顯了“云計算”的獨特優(yōu)勢和實力。但必須清楚地認識到，云安全并不能一勞永逸地解決信息安全領域中的所有安全問題，比如云本身的安全，存儲在云中的用戶數(shù)據(jù)安全等問題有待進一步探索和研究。

[1] 陳丹偉,黃秀麗,任勛益. 云計算及安全分析[J]. 計算機技術與發(fā)展,2010, 20(2):99-102.

[2] 薄明霞,陳軍,王渭清.云計算安全體系架構研究[J].技術研究,2011 (8):79-81.

[3] 中國云計算網(wǎng). 什么是云計算？[EB/OL]. http://www.cloudcomputing- china.cn/Article/ShowArticle.asp?ArticleID=1, 2010-07-06/2012-03-20.

[4] 劉鵬. 云計算發(fā)展的現(xiàn)狀與趨勢[EB/OL]. http://www.chinacloud.cn/ LiuPeng_CloudTrend.ppt, 2011-06-21/2012-03-20.

[5] 百度百科.云安全[EB/OL]. http://baike.baidu. com/view/1725454.htm, 2012- 02-07/2012-03-20.

[6] 百度百科.IaaS[EB/OL]. http://baike.baidu.com/view/2482595.htm, 2011-12- 13/2012-03-20.

[7] 孫紅. 論“云安全”在殺毒軟件中的應用[J].信息安全與通信保密,2009(8): 36-38.

[8] 趙鵬,齊文泉,時長江.下一代計算機病毒防范技術“云安全”架構與原理[J]. 網(wǎng)絡與通信信息技術與信息化,2009(6):67-70.

福建省科技廳重大項目（2010H6019）；福建省莆田市科技計劃項目（2010G09）。