日趋成熟的技术带领云安全跨越未来-CSDN博客

本文讲的是日趋成熟的技术带领云安全跨越未来，【IT168 资讯】与日俱增的安全风险不仅拖垮了防火墙，也拖垮了防病毒系统。IDC安全产品服务部门的研究总监Charles Kolodgy表示：“基于特征码的传统恶意程序检测方法已不能满足要求。
　　用户的行为在改变，威胁也在不断演变，然而恶意程序检测技术却没有跟上步伐。”安全厂商们急需一个新的思路解决这一问题，这时候被看做网络安全未来方向的云安全来了，与之对可以抗衡的Web安全网关也来了。二者的共性是能够抵挡来自互联网的风险，区别就在于：云安全的安全服务位置在“云”端并配以安全网关相互呼应，Web安全网关的安全服务位置在企业网络边界。这种面向“端”点的整合趋势已经逐渐清晰。
　　云安全到底有什么用？
　　首先，云安全是个什么样的概念呢？其实云安全很类似Web2.0的概念，由过去的少数人发布内容，大部分人阅读内容改为大家都同时是内容的发布者和阅读者，这样就丰富了信息的内容。说白了云安全就是一个将过去杀毒软件单向升级的过程变为由用户提供病毒样本，服务器自动判别+安全团队检测后，再将结果传送给其他用户的过程。
　　这样一来有两个好处，首先是软件在系统启动时自动检测运行的内容，直接将系统内运行的可疑程序与服务器里的资料比对，如果是恶意的程序，就会自动终止其启动。如果服务器上没有这个程序的资料，就会提到安全工程师那里，经人工检测，再返回用户的计算机。
　　听起来很复杂其实，是个很快速的过程。而且，只要所有用户中你不是第一个中这种木马的，杀毒软件就会有相应的处理方案。而且只要一个用户中了某种病毒，其他用户都会与这个用户一样得到相应的处理方案，这样就提高了杀毒软件的效率。
　　就拿很出名的熊猫烧香来说，如果当时有云安全，就不会有那么多用户同时感染了，而且最新的变种也会被安全软件公司的人所监控。
　　目前采用此项技术的杀软厂商包括瑞星、金山、趋势科技等。至于某些连自己的安全团队都没有的厂商就不要提什么云安全了，整个杀毒技术都是从别人那买的，就不要让他们出来丢人了。
　　云安全是否真的安全？
　　仿佛在一夜之间，几乎所有的杀软厂商都如雨后春笋般的推出了自己的“云安全”。大肆宣扬云安全为安全领域的救世主，它的出现大大提高了反病毒软件的能力。目前，各家都把自己的云安全描述的异常出众，虽然是各择烁词，但是稍微留意他们讲的就能发现描述的几乎都是一模一样的东西。下面，我给大家看看反病毒公司“云安全”出现前后的更新病毒库步骤的对比，大家就知道“云安全”到底是什么了。
　　云安全，顾名思义，是一个从“云计算”演变而来的新名词。通过GOOGLE搜索到的相关介绍了解到：“云安全(Cloud Security)”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。
　　云安全未出现之前：
　　用户上报病毒样本，通过病毒工程师的分析测试，如确定为病毒的，即对这个病毒样本提取特征值，加入到病毒库中，给予用户升级。
　　云安全出现以后：
　　客户端上安装了一种搜集器，一旦搜集器发现可疑文件，便自动将该可疑文件上传到服务器，然后病毒自动分析系统对该可疑文件进行自动分析并提取特征，加到病毒样本库里，并自动升级。
　　通过对比发现，算不算“云安全”，取决于是否“从用户机上发现可疑文件并自动上传”。且不论真正意义上的云安全需要的服务器数量有多么庞大，就单单“从用户机器上提取可疑文件”这点就让绝大部分的用户有抵触心理。试想一下，如果把你机器上的个人隐私、商业机密文件或程序当做“可疑文件”收集到服务器上，其后果可想而知。
　　事实是真的技术革命，还是又一次的概念炒作，相信大家都已经很明白了。联想起数年前，众安全厂商也是一夜之间都声称自己加入了“主动防御”功能，后经测试证明，这些跟风的厂商大都只是把HIPS的一部分功能改头换面之后美其名曰“主动防御”来炒作罢了。
　　慢慢的发现，现在的安全业界渐渐的都把精力放在了“娱乐”上，你今天出了“云计算”，我明天就出个“云安全”，你研究发现宇宙的“暗能量”，我研究发现操作系统的“暗安全”，好似什么都不甘落于人后，都饶有兴致的掺合一把。瑞星更是直接更名为：北京艺进娱辉科技投资股份有限公司，实在是让人哭笑不得。试问，我们还能信任杀毒软件吗?
　　云计算是未来安全领域的救世主，还是徒有其名的炒作，相信广大用户已经看得很明白了。诚信，是任何公司都应具备的基本素质，如果缺失了这点，再如何的偷换概念，其结果也只能如三鹿、百度之流失去民心。
　　云安全的成长历程
　　一直以来，针对Web安全保护的技术层出不穷，而网络安全一直是一个不能解决的顽症，而横空出世的云安全，就被寄予了厚望。什么是云安全呢，没有一个特定的概念，但是从技术和用户的角度分析，云安全大概经过了3阶段。
　　第一个阶段，称为0.0，这个阶段都是在炒概念，谁也不知道什么是云安全，谁都称自己为真正的云安全，有的强调web服务器集中处理，有的强调客户端，有的强调服务器和带宽。现在0.0时代的云安全已经很少见了，只剩下奇虎一家。
　　第二个阶段称为1.0，这个阶段都做出了产品。主要可以分为两类，一类是针对病毒、木马、间谍软件、恶意软件的威胁；另一类着眼于规范用户行为，比如用URL过滤某些站点、员工上班时间上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制、对企业内部的带宽管理等。瑞星云安全1.0和趋势科技的云安全属于1.0时代的代表。可以看出，1.0阶段的云安全在单方面做的很好，但是总体上还是存在缺陷。
　　第三个阶段就是现在的云安全2.0。这个阶段，将1.0中的两类优势结合，不仅能针对病毒、木马、间谍软件、恶意软件的威胁；而且还能用URL过滤某些站点、上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制等。跟瑞星2009版的杀毒软件绑定在一起的瑞星云安全是2.0阶段的代表。
　　云安全技术详解
　　现在各个杀毒软件厂商都在热炒“云安全”概念，其中炒的最响的是瑞星和趋势。找了趋势和瑞星的相关资料，把大概原理给大家总结下，就当先扔块砖头吧。
　　第一阵营：趋势科技
　　趋势科技的“云安全Secure Cloud”主要用于企业级产品当中，强调的是对复合式攻击的拦截和轻客户端策略，最终目的是让威胁在到达用户计算机或公司网络之前就对其予以拦截。
　　目前的病毒常常包含多个组件，而不是依靠单一的病毒体。对于用户来说，单一的组件可能不具备什么威胁，看似是无害的。但是多个组件组合在一起就形成了一个符合式的攻击。而趋势的云安全正是解决这一问题，在各个组成部分上进行检查，最终判断威胁。
　　其次，是轻客户端策略。在趋势官方的举例中，提到当用户收到一封含有网络链接的恶意电子邮件时先会在邮件信誉服务数据库中检查其发送源地址，然后会在Web信誉服务数据库中检查邮件中的链接，然后会将网页的组件和重定向网页进行分析，提取IP地址并且添加到交互式威胁数据库中。
　　可以看出，趋势的云安全可以概括为基于互联网数据库的轻客户端程序，也就是构架一个庞大的黑白名单服务器群，用于客户端的查询。在趋势的云安全概念中，趋势的服务器组成一个大“云”。因此，趋势云安全必须建立在大量服务器基础上。
　　第二阵营：瑞星
　　瑞星“云安全”官方给出的定义：通过网状的大量客户端对网络中软件行为的异常监测，截获互联网中的木马、恶意程序的最新信息，然后推送到服务器端进行自动分析和处理，然后再把病毒和木马的解决方案分发到每一个客户端。
　　上面那句话看着比较官方，不过注意看“通过网状的大量客户端对网络中软件行为的异常监测”这句话。可以看出，瑞星的“云安全”和趋势的“云安全”讲述的并不是同一个概念。趋势“云安全”中的“云”是趋势的服务器群，而瑞星的“云”则是大量用户。在瑞星的云安全当中，瑞星的服务器反倒成了一个Client端。
　　通过各个客户端对用户计算机进行扫描，然后提取可能是病毒的文件上报，经过瑞星的处理后，升级杀毒软件或卡卡再推送给用户。
　　瑞星的云安全的实质是一个样本收集处理机制。实现瑞星云安全需要有大量的客户端(卡卡6?)，才能组成真正意义上的云，另外需要有对病毒的快速分析处理能力。在瑞星云安全里，由于客户端才是云的组成部分，所以不需要架设那么多服务器。
　　第三阵营：奇虎360
　　国庆之前，奇虎对外宣布购买了2000台服务器，建成国内最大的云安全计算中心。
　　奇虎老总周鸿祎(周鸿祎博客,周鸿祎新闻,周鸿祎说吧)称，一家企业没有1000台以上的服务器，就不要妄谈‘云安全’。国内没有真正的“云安全”。
　　从奇虎的资料中可以看到，奇虎的云安全应该是从“云计算”衍生而来。云计算指的是将用户的一些东西拿到防火墙外面，放在一个共享的“服务器”当中。目前，云计算本身还是一个饱受争议的话题。
　　搜索了奇虎很多相关资料，都没有发现奇虎云安全到底是什么。只是提到了要大量的服务器和带宽，但并没有说明用这么多服务器和带宽做什么，也并没有看到奇虎有相关的产品推出。
　　总结
　　从上面的分析我们可以看出，趋势和瑞星都提出了“云安全”概念，但两者所指并不是同一个东西。趋势的云安全强调阻止外来威胁，需要大量的服务器(厂商)；瑞星的云安全则强调对用户计算机上已经存在的未知威胁进行感知，需要有大量的客户端(用户)。它们代表了两大阵营，许多厂商也都在迅速跟进。但两者目前都存在缺陷，趋势忽略了对本机未知威胁的感知、收集，而瑞星则只能被动防守，不能在未知威胁进入到电脑前进行拦截。
　　我们到底需要什么样的云安全？个人觉得，将两者应该结合起来，即能对目前通过挂马、优盘等渠道进入计算机的未知威胁进行拦截，也要对通过其它渠道(手段)已经进入到用户计算机中的未知威胁进行感知。