淺析云安全技術及實現

摘要： 云計算具有巨大商機，但同時也面臨著潛在的巨大風險，云安全問題是云計算發展的重要障礙。應用云安全技術識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時采集、分析和處理。文章著重從查殺病毒和木馬的角度來闡述有關云安全的技術以及實現，探討了云安全問題的概念和所涉及到的技術問題，研究了資源池的建立及殺毒產品對云安全策略的各種解決方案。

關鍵詞： 云安全； 云計算； 資源池； 病毒庫

中圖分類號：TP391 文獻標志碼：A 文章編號：1006-8228(2012)10-04-03

0 引言

眾所周知，云計算有著巨大商機，與此同時，也存在著巨大的安全風險。云計算發展中存在著隔離失敗風險、合規風險、管理界面損害風險、數據刪除不徹底風險、內部威脅風險等眾多運營和使用風險，但這些都只是一般性風險，而不是主要風險。云計算當前最重要、最核心的風險是國家安全風險和企業經濟信息失控風險。就國家安全風險而言，前哥倫比亞電視臺新聞頻道總裁在其撰寫的報告中已明確指出：“隨著世界的變化，美國的未來也需重新定位，不過云計算是美國可以重申其全球經濟和技術帶頭人地位的重要領域”。應該說，“云計算”的提出和快速發展，正好為美國提供了新的機會。就經濟信息安全而言，發展云計算以后，企業和行業的大量經濟信息，競爭信息將進入信息運營商的資源池中，其“海涵”的大型數據中心和強勁服務器，擔當著軟件開發的信息“調度師”和流程“監控員”。

在當前全球經濟一體化的背景下，企業只有掌握競爭情報，并注意保護好自已的商業秘密，才能在激烈的市場競爭中處于主動地位。

本文將著重從查殺病毒和木馬的角度來闡述有關云安全的問題。

1 云安全

1.1 云安全產生

云安全(C1oud Security)緊隨云計算之后出現，它是網絡時代信息安全的最新體現，它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，并發送到服務器端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬，在這樣的情況下，原有的特征庫判別法顯然已經過時。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行采集、分析以及處理。

最早提出云安全這一概念的是趨勢科技，2008年5月，趨勢科技在美國正式推出了云安全技術。云安全的概念早期曾經引起過不小爭議，現在已經被普遍接受。值得一提的是，中國網絡安全企業在云安全的技術應用上走到了世界前列。

云安全的策略構想是：整個互聯網就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯網就會更安全。因為如此龐大的用戶群，足以覆蓋互聯網的每個角落，只要某個網站被掛馬或某個新木馬病毒出現，就會立刻被截獲。

1.2 云安全概念

云安全（Cloud security），《著云臺》的分析師團隊結合云發展的理論總結認為，是指基于云計算商業模式應用的安全軟件，硬件，用戶，機構，安全云平臺的總稱。

1.3 云安全技術

云安全是云計算技術的重要分支，已經在反病毒領域當中獲得了廣泛應用。云安全通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。整個互聯網，變成了一個超級大的殺毒軟件，這就是云安全計劃的宏偉目標。未來本地殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬，在這樣的情況下，采用的特征庫判別法顯然已經過時。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行采集、分析以及處理。

2 云安全技術應用

2.1 資源池的建立

構建一個合理的資源池，是實現從傳統的“煙囪式IT”邁向云計算基礎架構的第一步。在傳統的“煙囪式IT”基礎架構中，應用和專門的資源捆綁在一起，為了應對少量的峰值負載，往往會過度配置計算資源，導致資源利用率低下，據統計，在傳統的數據中心里，IT資源的平均利用率不到20%。

構建資源池也就是通過虛擬化的方式將服務器、存儲、網絡等資源全面形成一個巨大的資源池。云計算就是基于這樣的資源池，通過分布式的算法進行資源的分配，從而消除物理邊界，提升資源利用率，統一資源池分配。作為云計算的第一步，資源池的構建在實現云計算基礎架構的過程中顯得尤為重要，只有構建合理的資源池，才能實現云計算的最終目的——按需動態分配資源。要搭建虛擬資源池，首先需要具備物理的資源，然后通過虛擬化的方式形成資源池。一個物理服務器可以虛擬出幾個甚至是幾十個虛擬的服務器，每一個虛擬機都可以運行不同的應用和任務。資源池應能提供對不同平臺工作負載的兼容，企業應用類型多樣化要求系統平臺的多樣化，一個企業可能既有基于Linux的應用，又有基于Windows的應用，甚至是基于Unix的應用，如何使得原有的應用都能夠在資源池上運行，而不需要對應用進行重新編寫。隨著企業業務的增長，應用所需要的IT資源不斷增加，應用的類型也不斷增多，這就要求現有的資源池需要有充分的擴展能力，并根據應用的需求動態添加應用所需要的資源。同時，當現有的資源不足以支撐當前的業務時，資源池需要能夠具有充分擴展能力，隨時進行IT資源的擴容。

在云資源池中，應確保其客戶的保密/敏感數據不能在使用、儲存、傳輸過程中，或在沒有任何補償控制的情況下與其他客戶數據混合或被他人獲取。其云數據備份和云恢復計劃，必須落實到位，以防止數據丟失和意外破壞。

2.2 現階段云安全解決方案

金山毒霸云安全是為了解決木馬商業化之后的互聯網嚴峻的安全形勢應運而生的一種全網防御的安全體系結構。它包括智能化客戶端、集群式服務端和開放的平臺三個層次。金山毒霸2011采用的“可信云安全平臺”里的三項核心技術為：①可信云安全——云端人工智能自動鑒定，一分鐘識別95%未知樣本。金山倡導的可信云安全體系包含互聯網可信認證；人工智能自動分析；樣本的極速匹配算法；在客戶端每天上億次查詢請求時，能夠瞬間響應。金山毒霸2011的“可信云安全平臺”，是由一系列收集、鑒定、發布等技術體系組成。②藍芯II云引擎—實現精準快速查殺。藍芯II云引擎，是將金山毒霸藍芯II引擎和云安全緊密結合的版本。在引入可信云安全技術之后，將客戶端非正常文件的微特征發送到云安全服務器查詢，服務器瞬間返回查詢結果（響應時間以毫秒計）。采用藍芯II云引擎技術，能大大提升病毒掃描的性能。據網友實際測試，聯網時進行病毒掃描的速度大約是斷網掃描的兩倍。③白名單優先技術—傳統殺毒軟件都是以識別文件是不是病毒為出發點，這種傳統的病毒識別方法難免會出現誤報（將正常文件報告為病毒）和漏報。識別正常文件，因為對一個普通的電腦用戶來說，系統一旦配置好，再安裝新軟件的機會并不是很多，99%用戶電腦上的正常文件是可以被完全收集到的，只有正常文件之外的其他程序才會真的對系統有威脅。簡單的邏輯分析可以得出一個結論，這種白名單優先的鑒定方法可以將危險程序100%排除。

趨勢科技云安全利用行為分析的“相關性技術”把威脅活動綜合聯系起來，確定其是否屬于惡意行為。Web威脅的單一活動似乎沒有什么害處，但是如果同時進行多項活動，那么就可能會導致惡意結果。因此需要按照啟發式觀點來判斷是否實際存在威脅，可以檢查潛在威脅不同組件之間的相互關系。通過把威脅的不同部分關聯起來并不斷更新其威脅數據庫，使得趨勢科技獲得了突出的優勢，即能夠實時做出響應，針對電子郵件和Web威脅提供及時、自動的保護。趨勢科技廣泛的全球自動反饋機制的功能很像現在很多社區采用的“鄰里監督”方式，實現實時探測和及時的“共同智能”保護，將有助于確立全面的最新威脅指數。

卡巴斯基的全功能安全防護旨在為互聯網信息搭建一個無縫透明的安全體系，針對互聯網環境中類型多樣的信息安全威脅，卡巴斯基實驗室以反惡意程序引擎為核心，以技術集成為基礎，實現了信息安全軟件的功能平臺化。系統安全、在線安全、內容過濾和反惡意程序等核心功能可以在全功能安全軟件的平臺上實現統一、有序和立體的安全防御。

瑞星云安全計劃：將用戶和瑞星技術平臺通過互聯網緊密相連，組成一個龐大的木馬/惡意軟件監測、查殺網絡，每個“瑞星卡卡6.0”用戶都為云安全計劃貢獻一份力量，同時分享其他所有用戶的安全成果。 “瑞星卡卡6.0”的“自動在線診斷”模塊，是云安全計劃的核心之一，每當用戶啟動電腦，該模塊都會自動檢測并提取電腦中的可疑木馬樣本，并上傳到瑞星“木馬/惡意軟件自動分析系統”(簡稱RsAMA)，整個過程只需要幾秒鐘。隨后RsAMA將把分析結果反饋給用戶，查殺木馬病毒，并通過“瑞星安全資料庫”(簡稱RsSD)，分享給其他所有“瑞星卡卡6.0”用戶。由于此過程全部通過互聯網并經程序自動控制，可以在最大程度上提高用戶對木馬和病毒的防范能力。理想狀態下，從一個盜號木馬從攻擊某臺電腦，到整個云安全網絡對其擁有免疫、查殺能力，僅需幾秒的時間。

2.3 尚待解決問題

云安全聯盟與惠普公司共同列出了云計算的七宗罪，主要是基于對29家企業、技術供應商和咨詢公司的調查結果而得出的結論。

⑴ 數據丟失/泄漏。云計算中對數據的安全控制力度并不是十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏，并且還可能缺乏必要的數據銷毀政策。

⑵ 共享技術漏洞。在云計算中，簡單的錯誤配置都可能造成嚴重影響，因為云計算環境中的很多虛擬服務器共享著相同的配置，所以必須為網絡和服務器配置執行服務水平協議(SLA)，以確保及時安裝修復程序，以及實施最佳處理。

⑶ 內奸。云計算服務供應商對工作人員的背景調查力度可能與企業數據訪問權限的控制力度有所不同，很多供應商在這方面做得還不錯，但并不夠，企業需要對供應商進行評估并提出如何篩選員工的方案。

⑷ 帳戶、服務和通信劫持。很多數據、應用程序和資源都集中在云計算中，而云計算的身份驗證機制如果很薄弱的話，入侵者就可以輕松獲取用戶帳號并登錄客戶的虛擬機，因此建議主動監控這種威脅，并采用雙因素身份驗證機制。

⑸ 不安全的應用程序接口。在開發應用程序方面，企業必須將云計算看作是新的平臺，而不是外包。在應用程序的生命周期中，必須部署嚴格的審核過程，開發者可以運用某些準則來處理身份驗證、訪問權限控制和加密。

⑹ 沒有正確運用云計算。在運用技術方面，黑客可能比技術人員進步更快，黑客通常能夠迅速部署新的攻擊技術而在云計算中自由穿行。

⑺ 未知的風險。透明度問題一直困擾著云服務供應商，帳戶用戶僅使用前端界面，他們不知道他們的供應商使用的是哪種平臺及他們的修復水平。

3 結束語

云安全并不是一種純粹的反病毒技術，我們可以將其理解為一種反病毒理念，一種安全互聯網化的思路，一個互聯網化的安全防御體系，也就是殺毒軟件的互聯網化。利用云安全體系，殺毒軟件能夠更快地收集病毒樣本，更快地對病毒進行處理，并能在網絡威脅到達用戶計算機前就對其進行阻止，反病毒的效率大大提升，而且將更為智能化，帶來更完善的用戶體驗，最終達到讓互聯網時代的用戶都能得到更快、更全面的安全保護的目的。

參考文獻：

[1] 余娟娟.淺析“云安全”技術[J].計算機安全，2011.9.

[2] 方杰.淺談云安全[J].信息系統工程，2009.8.

[3] 藍調.構建云計算資源池必須考慮五個問題，http://www.cnw.com.cn/cloud-computing/htm2012/20120615_248781.shtml.

[4] 王汝林.發展“云計算”必須高度重視“云安全”[J].中國信息界，2011.1.

[5] 歐陽中輝.“云安全”在計算機防病毒應用中的問題研究[J].計算機與現代化，2010.12.