淺析云安全技術(shù)及實(shí)現(xiàn)

摘要： 云計(jì)算具有巨大商機(jī)，但同時(shí)也面臨著潛在的巨大風(fēng)險(xiǎn)，云安全問題是云計(jì)算發(fā)展的重要障礙。應(yīng)用云安全技術(shù)識(shí)別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實(shí)時(shí)采集、分析和處理。文章著重從查殺病毒和木馬的角度來闡述有關(guān)云安全的技術(shù)以及實(shí)現(xiàn)，探討了云安全問題的概念和所涉及到的技術(shù)問題，研究了資源池的建立及殺毒產(chǎn)品對(duì)云安全策略的各種解決方案。

關(guān)鍵詞： 云安全； 云計(jì)算； 資源池； 病毒庫

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228(2012)10-04-03

0 引言

眾所周知，云計(jì)算有著巨大商機(jī)，與此同時(shí)，也存在著巨大的安全風(fēng)險(xiǎn)。云計(jì)算發(fā)展中存在著隔離失敗風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)、管理界面損害風(fēng)險(xiǎn)、數(shù)據(jù)刪除不徹底風(fēng)險(xiǎn)、內(nèi)部威脅風(fēng)險(xiǎn)等眾多運(yùn)營和使用風(fēng)險(xiǎn)，但這些都只是一般性風(fēng)險(xiǎn)，而不是主要風(fēng)險(xiǎn)。云計(jì)算當(dāng)前最重要、最核心的風(fēng)險(xiǎn)是國家安全風(fēng)險(xiǎn)和企業(yè)經(jīng)濟(jì)信息失控風(fēng)險(xiǎn)。就國家安全風(fēng)險(xiǎn)而言，前哥倫比亞電視臺(tái)新聞?lì)l道總裁在其撰寫的報(bào)告中已明確指出：“隨著世界的變化，美國的未來也需重新定位，不過云計(jì)算是美國可以重申其全球經(jīng)濟(jì)和技術(shù)帶頭人地位的重要領(lǐng)域”。應(yīng)該說，“云計(jì)算”的提出和快速發(fā)展，正好為美國提供了新的機(jī)會(huì)。就經(jīng)濟(jì)信息安全而言，發(fā)展云計(jì)算以后，企業(yè)和行業(yè)的大量經(jīng)濟(jì)信息，競(jìng)爭(zhēng)信息將進(jìn)入信息運(yùn)營商的資源池中，其“海涵”的大型數(shù)據(jù)中心和強(qiáng)勁服務(wù)器，擔(dān)當(dāng)著軟件開發(fā)的信息“調(diào)度師”和流程“監(jiān)控員”。

在當(dāng)前全球經(jīng)濟(jì)一體化的背景下，企業(yè)只有掌握競(jìng)爭(zhēng)情報(bào)，并注意保護(hù)好自已的商業(yè)秘密，才能在激烈的市場(chǎng)競(jìng)爭(zhēng)中處于主動(dòng)地位。

本文將著重從查殺病毒和木馬的角度來闡述有關(guān)云安全的問題。

1 云安全

1.1 云安全產(chǎn)生

云安全(C1oud Security)緊隨云計(jì)算之后出現(xiàn)，它是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，并發(fā)送到服務(wù)器端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬，在這樣的情況下，原有的特征庫判別法顯然已經(jīng)過時(shí)。云安全技術(shù)應(yīng)用后，識(shí)別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實(shí)時(shí)進(jìn)行采集、分析以及處理。

最早提出云安全這一概念的是趨勢(shì)科技，2008年5月，趨勢(shì)科技在美國正式推出了云安全技術(shù)。云安全的概念早期曾經(jīng)引起過不小爭(zhēng)議，現(xiàn)在已經(jīng)被普遍接受。值得一提的是，中國網(wǎng)絡(luò)安全企業(yè)在云安全的技術(shù)應(yīng)用上走到了世界前列。

云安全的策略構(gòu)想是：整個(gè)互聯(lián)網(wǎng)就是一個(gè)巨大的“殺毒軟件”，參與者越多，每個(gè)參與者就越安全，整個(gè)互聯(lián)網(wǎng)就會(huì)更安全。因?yàn)槿绱她嫶蟮挠脩羧?，足以覆蓋互聯(lián)網(wǎng)的每個(gè)角落，只要某個(gè)網(wǎng)站被掛馬或某個(gè)新木馬病毒出現(xiàn)，就會(huì)立刻被截獲。

1.2 云安全概念

云安全（Cloud security），《著云臺(tái)》的分析師團(tuán)隊(duì)結(jié)合云發(fā)展的理論總結(jié)認(rèn)為，是指基于云計(jì)算商業(yè)模式應(yīng)用的安全軟件，硬件，用戶，機(jī)構(gòu)，安全云平臺(tái)的總稱。

1.3 云安全技術(shù)

云安全是云計(jì)算技術(shù)的重要分支，已經(jīng)在反病毒領(lǐng)域當(dāng)中獲得了廣泛應(yīng)用。云安全通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到服務(wù)端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。整個(gè)互聯(lián)網(wǎng)，變成了一個(gè)超級(jí)大的殺毒軟件，這就是云安全計(jì)劃的宏偉目標(biāo)。未來本地殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬，在這樣的情況下，采用的特征庫判別法顯然已經(jīng)過時(shí)。云安全技術(shù)應(yīng)用后，識(shí)別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實(shí)時(shí)進(jìn)行采集、分析以及處理。

2 云安全技術(shù)應(yīng)用

2.1 資源池的建立

構(gòu)建一個(gè)合理的資源池，是實(shí)現(xiàn)從傳統(tǒng)的“煙囪式IT”邁向云計(jì)算基礎(chǔ)架構(gòu)的第一步。在傳統(tǒng)的“煙囪式IT”基礎(chǔ)架構(gòu)中，應(yīng)用和專門的資源捆綁在一起，為了應(yīng)對(duì)少量的峰值負(fù)載，往往會(huì)過度配置計(jì)算資源，導(dǎo)致資源利用率低下，據(jù)統(tǒng)計(jì)，在傳統(tǒng)的數(shù)據(jù)中心里，IT資源的平均利用率不到20%。

構(gòu)建資源池也就是通過虛擬化的方式將服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等資源全面形成一個(gè)巨大的資源池。云計(jì)算就是基于這樣的資源池，通過分布式的算法進(jìn)行資源的分配，從而消除物理邊界，提升資源利用率，統(tǒng)一資源池分配。作為云計(jì)算的第一步，資源池的構(gòu)建在實(shí)現(xiàn)云計(jì)算基礎(chǔ)架構(gòu)的過程中顯得尤為重要，只有構(gòu)建合理的資源池，才能實(shí)現(xiàn)云計(jì)算的最終目的——按需動(dòng)態(tài)分配資源。要搭建虛擬資源池，首先需要具備物理的資源，然后通過虛擬化的方式形成資源池。一個(gè)物理服務(wù)器可以虛擬出幾個(gè)甚至是幾十個(gè)虛擬的服務(wù)器，每一個(gè)虛擬機(jī)都可以運(yùn)行不同的應(yīng)用和任務(wù)。資源池應(yīng)能提供對(duì)不同平臺(tái)工作負(fù)載的兼容，企業(yè)應(yīng)用類型多樣化要求系統(tǒng)平臺(tái)的多樣化，一個(gè)企業(yè)可能既有基于Linux的應(yīng)用，又有基于Windows的應(yīng)用，甚至是基于Unix的應(yīng)用，如何使得原有的應(yīng)用都能夠在資源池上運(yùn)行，而不需要對(duì)應(yīng)用進(jìn)行重新編寫。隨著企業(yè)業(yè)務(wù)的增長，應(yīng)用所需要的IT資源不斷增加，應(yīng)用的類型也不斷增多，這就要求現(xiàn)有的資源池需要有充分的擴(kuò)展能力，并根據(jù)應(yīng)用的需求動(dòng)態(tài)添加應(yīng)用所需要的資源。同時(shí)，當(dāng)現(xiàn)有的資源不足以支撐當(dāng)前的業(yè)務(wù)時(shí)，資源池需要能夠具有充分?jǐn)U展能力，隨時(shí)進(jìn)行IT資源的擴(kuò)容。

在云資源池中，應(yīng)確保其客戶的保密/敏感數(shù)據(jù)不能在使用、儲(chǔ)存、傳輸過程中，或在沒有任何補(bǔ)償控制的情況下與其他客戶數(shù)據(jù)混合或被他人獲取。其云數(shù)據(jù)備份和云恢復(fù)計(jì)劃，必須落實(shí)到位，以防止數(shù)據(jù)丟失和意外破壞。

2.2 現(xiàn)階段云安全解決方案

金山毒霸云安全是為了解決木馬商業(yè)化之后的互聯(lián)網(wǎng)嚴(yán)峻的安全形勢(shì)應(yīng)運(yùn)而生的一種全網(wǎng)防御的安全體系結(jié)構(gòu)。它包括智能化客戶端、集群式服務(wù)端和開放的平臺(tái)三個(gè)層次。金山毒霸2011采用的“可信云安全平臺(tái)”里的三項(xiàng)核心技術(shù)為：①可信云安全——云端人工智能自動(dòng)鑒定，一分鐘識(shí)別95%未知樣本。金山倡導(dǎo)的可信云安全體系包含互聯(lián)網(wǎng)可信認(rèn)證；人工智能自動(dòng)分析；樣本的極速匹配算法；在客戶端每天上億次查詢請(qǐng)求時(shí)，能夠瞬間響應(yīng)。金山毒霸2011的“可信云安全平臺(tái)”，是由一系列收集、鑒定、發(fā)布等技術(shù)體系組成。②藍(lán)芯II云引擎—實(shí)現(xiàn)精準(zhǔn)快速查殺。藍(lán)芯II云引擎，是將金山毒霸藍(lán)芯II引擎和云安全緊密結(jié)合的版本。在引入可信云安全技術(shù)之后，將客戶端非正常文件的微特征發(fā)送到云安全服務(wù)器查詢，服務(wù)器瞬間返回查詢結(jié)果（響應(yīng)時(shí)間以毫秒計(jì)）。采用藍(lán)芯II云引擎技術(shù)，能大大提升病毒掃描的性能。據(jù)網(wǎng)友實(shí)際測(cè)試，聯(lián)網(wǎng)時(shí)進(jìn)行病毒掃描的速度大約是斷網(wǎng)掃描的兩倍。③白名單優(yōu)先技術(shù)—傳統(tǒng)殺毒軟件都是以識(shí)別文件是不是病毒為出發(fā)點(diǎn)，這種傳統(tǒng)的病毒識(shí)別方法難免會(huì)出現(xiàn)誤報(bào)（將正常文件報(bào)告為病毒）和漏報(bào)。識(shí)別正常文件，因?yàn)閷?duì)一個(gè)普通的電腦用戶來說，系統(tǒng)一旦配置好，再安裝新軟件的機(jī)會(huì)并不是很多，99%用戶電腦上的正常文件是可以被完全收集到的，只有正常文件之外的其他程序才會(huì)真的對(duì)系統(tǒng)有威脅。簡單的邏輯分析可以得出一個(gè)結(jié)論，這種白名單優(yōu)先的鑒定方法可以將危險(xiǎn)程序100%排除。

趨勢(shì)科技云安全利用行為分析的“相關(guān)性技術(shù)”把威脅活動(dòng)綜合聯(lián)系起來，確定其是否屬于惡意行為。Web威脅的單一活動(dòng)似乎沒有什么害處，但是如果同時(shí)進(jìn)行多項(xiàng)活動(dòng)，那么就可能會(huì)導(dǎo)致惡意結(jié)果。因此需要按照啟發(fā)式觀點(diǎn)來判斷是否實(shí)際存在威脅，可以檢查潛在威脅不同組件之間的相互關(guān)系。通過把威脅的不同部分關(guān)聯(lián)起來并不斷更新其威脅數(shù)據(jù)庫，使得趨勢(shì)科技獲得了突出的優(yōu)勢(shì)，即能夠?qū)崟r(shí)做出響應(yīng)，針對(duì)電子郵件和Web威脅提供及時(shí)、自動(dòng)的保護(hù)。趨勢(shì)科技廣泛的全球自動(dòng)反饋機(jī)制的功能很像現(xiàn)在很多社區(qū)采用的“鄰里監(jiān)督”方式，實(shí)現(xiàn)實(shí)時(shí)探測(cè)和及時(shí)的“共同智能”保護(hù)，將有助于確立全面的最新威脅指數(shù)。

卡巴斯基的全功能安全防護(hù)旨在為互聯(lián)網(wǎng)信息搭建一個(gè)無縫透明的安全體系，針對(duì)互聯(lián)網(wǎng)環(huán)境中類型多樣的信息安全威脅，卡巴斯基實(shí)驗(yàn)室以反惡意程序引擎為核心，以技術(shù)集成為基礎(chǔ)，實(shí)現(xiàn)了信息安全軟件的功能平臺(tái)化。系統(tǒng)安全、在線安全、內(nèi)容過濾和反惡意程序等核心功能可以在全功能安全軟件的平臺(tái)上實(shí)現(xiàn)統(tǒng)一、有序和立體的安全防御。

瑞星云安全計(jì)劃：將用戶和瑞星技術(shù)平臺(tái)通過互聯(lián)網(wǎng)緊密相連，組成一個(gè)龐大的木馬/惡意軟件監(jiān)測(cè)、查殺網(wǎng)絡(luò)，每個(gè)“瑞星卡卡6.0”用戶都為云安全計(jì)劃貢獻(xiàn)一份力量，同時(shí)分享其他所有用戶的安全成果。 “瑞星卡卡6.0”的“自動(dòng)在線診斷”模塊，是云安全計(jì)劃的核心之一，每當(dāng)用戶啟動(dòng)電腦，該模塊都會(huì)自動(dòng)檢測(cè)并提取電腦中的可疑木馬樣本，并上傳到瑞星“木馬/惡意軟件自動(dòng)分析系統(tǒng)”(簡稱RsAMA)，整個(gè)過程只需要幾秒鐘。隨后RsAMA將把分析結(jié)果反饋給用戶，查殺木馬病毒，并通過“瑞星安全資料庫”(簡稱RsSD)，分享給其他所有“瑞星卡卡6.0”用戶。由于此過程全部通過互聯(lián)網(wǎng)并經(jīng)程序自動(dòng)控制，可以在最大程度上提高用戶對(duì)木馬和病毒的防范能力。理想狀態(tài)下，從一個(gè)盜號(hào)木馬從攻擊某臺(tái)電腦，到整個(gè)云安全網(wǎng)絡(luò)對(duì)其擁有免疫、查殺能力，僅需幾秒的時(shí)間。

2.3 尚待解決問題

云安全聯(lián)盟與惠普公司共同列出了云計(jì)算的七宗罪，主要是基于對(duì)29家企業(yè)、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果而得出的結(jié)論。

⑴ 數(shù)據(jù)丟失/泄漏。云計(jì)算中對(duì)數(shù)據(jù)的安全控制力度并不是十分理想，API訪問權(quán)限控制以及密鑰生成、存儲(chǔ)和管理方面的不足都可能造成數(shù)據(jù)泄漏，并且還可能缺乏必要的數(shù)據(jù)銷毀政策。

⑵ 共享技術(shù)漏洞。在云計(jì)算中，簡單的錯(cuò)誤配置都可能造成嚴(yán)重影響，因?yàn)樵朴?jì)算環(huán)境中的很多虛擬服務(wù)器共享著相同的配置，所以必須為網(wǎng)絡(luò)和服務(wù)器配置執(zhí)行服務(wù)水平協(xié)議(SLA)，以確保及時(shí)安裝修復(fù)程序，以及實(shí)施最佳處理。

⑶ 內(nèi)奸。云計(jì)算服務(wù)供應(yīng)商對(duì)工作人員的背景調(diào)查力度可能與企業(yè)數(shù)據(jù)訪問權(quán)限的控制力度有所不同，很多供應(yīng)商在這方面做得還不錯(cuò)，但并不夠，企業(yè)需要對(duì)供應(yīng)商進(jìn)行評(píng)估并提出如何篩選員工的方案。

⑷ 帳戶、服務(wù)和通信劫持。很多數(shù)據(jù)、應(yīng)用程序和資源都集中在云計(jì)算中，而云計(jì)算的身份驗(yàn)證機(jī)制如果很薄弱的話，入侵者就可以輕松獲取用戶帳號(hào)并登錄客戶的虛擬機(jī)，因此建議主動(dòng)監(jiān)控這種威脅，并采用雙因素身份驗(yàn)證機(jī)制。

⑸ 不安全的應(yīng)用程序接口。在開發(fā)應(yīng)用程序方面，企業(yè)必須將云計(jì)算看作是新的平臺(tái)，而不是外包。在應(yīng)用程序的生命周期中，必須部署嚴(yán)格的審核過程，開發(fā)者可以運(yùn)用某些準(zhǔn)則來處理身份驗(yàn)證、訪問權(quán)限控制和加密。

⑹ 沒有正確運(yùn)用云計(jì)算。在運(yùn)用技術(shù)方面，黑客可能比技術(shù)人員進(jìn)步更快，黑客通常能夠迅速部署新的攻擊技術(shù)而在云計(jì)算中自由穿行。

⑺ 未知的風(fēng)險(xiǎn)。透明度問題一直困擾著云服務(wù)供應(yīng)商，帳戶用戶僅使用前端界面，他們不知道他們的供應(yīng)商使用的是哪種平臺(tái)及他們的修復(fù)水平。

3 結(jié)束語

云安全并不是一種純粹的反病毒技術(shù)，我們可以將其理解為一種反病毒理念，一種安全互聯(lián)網(wǎng)化的思路，一個(gè)互聯(lián)網(wǎng)化的安全防御體系，也就是殺毒軟件的互聯(lián)網(wǎng)化。利用云安全體系，殺毒軟件能夠更快地收集病毒樣本，更快地對(duì)病毒進(jìn)行處理，并能在網(wǎng)絡(luò)威脅到達(dá)用戶計(jì)算機(jī)前就對(duì)其進(jìn)行阻止，反病毒的效率大大提升，而且將更為智能化，帶來更完善的用戶體驗(yàn)，最終達(dá)到讓互聯(lián)網(wǎng)時(shí)代的用戶都能得到更快、更全面的安全保護(hù)的目的。

參考文獻(xiàn)：

[1] 余娟娟.淺析“云安全”技術(shù)[J].計(jì)算機(jī)安全，2011.9.

[2] 方杰.淺談云安全[J].信息系統(tǒng)工程，2009.8.

[3] 藍(lán)調(diào).構(gòu)建云計(jì)算資源池必須考慮五個(gè)問題，http://www.cnw.com.cn/cloud-computing/htm2012/20120615_248781.shtml.

[4] 王汝林.發(fā)展“云計(jì)算”必須高度重視“云安全”[J].中國信息界，2011.1.

[5] 歐陽中輝.“云安全”在計(jì)算機(jī)防病毒應(yīng)用中的問題研究[J].計(jì)算機(jī)與現(xiàn)代化，2010.12.