信息安全技术课程论文――云安全

关于“云安全”的学习与研究摘要随着技术的发展,我们已经进入云计算时代,而云安全则是为云计算保驾护航的重要技术。传统的电脑杀毒都是客户端查杀,上传病毒样本也是手动的。进入云计算时代后,恶意程序日益增多,来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,传统的杀毒软件已经难以胜任这个庞大且艰难的任务。因此对云安全以及云安全技术能否得到保障的合理探讨,就显得尤为重要。在这片论文中，我将针对目前“云安全”的概念、优势及其在信息安全领域中的广泛应用进行浅析，对“云安全”在计算机病毒防护应用中面临的困难进行论述，最后提出“云安全”技术发展展望。关键词：云安全信息安全病毒防范1.绪论在写作这篇论文之前，我进行了广泛的资料查阅和搜集工作。发现“云安全”是当今信息安全领域较为热门的一项技术。因而，我将“云安全”作为我学习和研究的一个核心问题，阅览了大量中外专家学者有关“云安全”的学术刊文，以此作为我写作论文的基石与依据。1.1“云安全”的定义“云安全”是“云计算”技术的重要分支，在反病毒领域当中已经获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。整个互联网，变成了一个超级大的杀毒软件，这就是云安全计划的宏伟目标。[1]1.2“云安全”的发展最早提出“云安全”这一概念的是趋势科技，2008年5月，趋势科技在美国正式推出了“云安全”技术。[2]“云安全”的概念在早期曾经引起过不小争议，已经被普遍接受。值得一提的是，中国网络安全企业在“云安全”的技术应用上走到了世界前列。随后，云安全的发展就像一阵风似的兴起了。瑞星、趋势、卡巴斯基、SYMANTEC、江民科技、PANDA、金山、360安全卫士、卡卡上网安全助手等都推出了云安全解决方案。[3]瑞星基于云安全策略开发的2009新品,每天拦截数百万次木马攻击,势科技云安全已经在全球建立了5大数据中心,几万部在线服务器。云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全,趋势科技现在每天阻断的病毒感染最高达1000万次。[4]1.3“云安全”的技术原理“云安全（CloudSecurity）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。[5]2．“云安全”相较于传统杀毒软件的优势2．1节约资源，方便用户用户在使用电脑的过程中，通常会碰到这样的情况：被病毒攻击导致硬盘中的数据丢失或硬盘损坏，游戏帐号或银行卡信息被黑客窃取等等。尽管当前90%的用户都会安装了杀毒软件，但是，大多数用户都会遇到这样类似的情况，即由于杀毒软件在运行和开启防护时，会消耗过多系统资源，影响到整体运行速度和性能，这是用户在安全软件上最为头疼的问题了。[6]而在出现了“云安全”的概念之后，通过“云安全”技术可以有效避免这样的问题。比如可以把数据保存在网络服务上，再也不用担心数据的丢失或损坏。在杀毒方面，用户也会明显感觉到计算机杀毒软件不再侵占过多的内存空间，计算机的整体也不用因为杀毒而出现运行速度下降的状况。[7]2．2随时查杀病毒，在威胁到达之前阻挡当前杀毒软件的病毒检测率备受关注，检测率的好坏也决定着杀毒软件的性能。之前的杀毒软件都是病毒来了以后安全软件再进行查杀，这样不仅浪费了时间，还可能造成安全隐患。现在有了云安全，在云端就能给铲除了，病毒根本就来不及危害电脑。与传统相比，“云安全”将病毒定义和特征库置于服务端(云端)，使得用户仅在本地调用引擎和特征库的情况下，随时访问和借助几千万的病毒特征库来识别对应威胁。通过已被多次验证的，对病毒木马样本高达99%的检测率，证实了“云安全”的绝对优势。[8]2．3资源共享，有效抵御病毒侵扰有了“云安全”之后，第一个用户会受到病毒的攻击，而其他所有用户将幸免于难。“云安全”充分利用网络的支持，实现病毒库的即时搜集。云端的数据通过实时的更新，只有第一个用户会成为受害者，之后的成千上万用户都不会受到同一个病毒的侵扰。而且针对第一个受害者，利用“云安全”技术的产品也可以在第一时间内解决威胁。这样，用户越多，网络的分布范围越广，“云端”的数据就越庞大，更新速度就越快。这样可以让所有的用户享受到越来越卓越的服务。[9]3.“云安全”技术核心实现云安全有六大核心技术。[10]①Web信誉服务。借助全信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。②文件信誉服务。文件信誉服务技术,它可以检查位于端点、服务器或网关处的每个文件的信誉,检查的依据包括已知的良性文件清单和已知的恶性文件清单。③行为关联分析技术。通过行为分析的“相关性技术”可以把威胁活动综合联系起来,确定其是否属于恶意行为。④自动反馈机制。云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。⑤威胁信息总汇。安全公司综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路。通过趋势云安全中的恶意软件数据库、服务和支持中心对威胁数据进行分析。过7×24小时的全天候威胁监控和攻击防御，以探测、预防并清除攻击。⑥白名单技术。作为一种核心技术,白名单与黑名单(病毒特征码技术实际上采用的是黑名单技术思路)并无多大区别,区别仅在于规模不同。现在的白名单主要被用于降低误报率。4.建立“云安全”的困难之处想要建立“云安全”系统,需要解决四大问题。其一是需要大量的客户端,也就是云安全探针,拥有大量的探针才能具有最灵敏的病毒感知能力。其二是需要专业的反病毒技术和经验,发现的恶意程序被探测到,应当在很短的时间内被分析,这需要安全厂商具有过硬的技术,否则容易造成样本的堆积,使云安全快速侦测的结果大打折扣。[11]再者是需要有大量资金和技术的投入,“云安全”系统在服务器、带宽等硬件需要很大的投入,同时要求厂商具有相应的顶尖技术团队和大量的研究经费。最后云安全系统应当是一个开放的系统,其探针能与其他软件兼容,即使用户使用不同的杀毒软件,也可以享受“云安全”系统带来的成果。[12]5.“云安全”厂商及其“云安全”解决方案5.1瑞星的“云安全”系统瑞星的“云安全”系统主要包括3个部分：超过一亿的客户端、智能型“云安全”服务器、数百家互联网重量级公司。瑞星2009、瑞星卡卡6.0安全助手等软件中集成了“云安全探针”，用户电脑安装这些软件后就成为“云安全”的客户端。随着“云安全”的发展，包括迅雷、快车、电驴等一批重量级厂商加入瑞星“云安全”计划，他们旗下的软件中也加入了“云安全探针”功能，成为客户端。用户安装的“云安全探针”能够感知电脑上的安全信息，如异常的木马文件开始运行、木马对系统注册表换件位置的修改、用户访问的网页带有病毒等。“探针”会把这些信息上传到“云安全”服务器，进行深入分析。服务器进行分析后，把分析结果加入“云安全”系统，使“云安全”的所有客户端能够立刻防御这些威胁。[13]5.2趋势科技的“云安全”系统趋势科技推出的“云安全”技术架构策略和瑞星公司的有所不同，他们构建的“云”服务器群自动对整个互联网的信息（如URL、邮件服务器、文件）进行动态分析，如分析一个URL就会采集这个URL的50多种属性以进行综合分析，同时会加入时间的统计分析，这样使得任何恶意风险在刚出现的时候，就能被“云”服务器群快速分析，在它入侵网络前，在源端就被直接阻止，从而达到零接触、零感染的防护价值。[14]这种方法的最大好处在于，它降低了从端点下载传统病毒特征码文件的依赖性，减少了与在公司范围内部署特征码有关的成本和管理费用。此外，“云安全”将有效降低客户网络和端点的带宽消耗，提供更快更全面的及时保护。借助Web威胁保护战略，趋势科技率先界定了一种主张：单靠传统的代码比对安全解决方案，将不再能够针对当前Web威胁提供有效保护。现在，新推出的“云安全”技术可以有效解决传统防护技术的问题，并让每个人在使用安全产品的过程中，都成为识别安全威胁的贡献者，同时分享其他所有用户的安全成果。[15]趋势科技通过对动态对被访问信息的安全等级进行评估，在恶意信息入侵网络之前，在源端直接将其阻止，从而达到零接触、零感染的防护价值。5.3金山的“云安全”系统金山公司的“云安全”是为了解决木马商业化之后的互联网严峻的安全形势应运而生的一种全网防御的安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。“云安全”是现有反病毒技术基础上的强化与补充，最终目的是为了汤互联网时代的用户都能得到更快更全面的安全保护。[16]第一：稳定高效的智能客户端。它可以是独立的安全产品，也可以最为其他产品集成的安全组件。比如金山毒霸2012和百度安全中心等，它为整个“云安全”体系提供了样本收集与维系处理的基础功能。第二：服务端的支持。它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术，同时它和客户端协作，为用户提供“云安全”服务。第三：“云安全”以一个开放性的安全服务平台作为基础，它为第三方安全合作伙伴提供了与病毒对抗的平台支持。金山毒霸“云安全”既为第三方安全合作伙伴用户提供安全服务，又靠和第三方安全合作伙伴合作来建立全网防御体系，使得每个用户都参与到全网防御体系中来，遇到病毒也将不再是孤军奋战。5.4卡巴斯基的“云安全”系统卡巴斯基的“云安全”体统旨在为互联网信息搭建一个无缝透明的安全体系：针对互联网环境中类型多样的信息安全威胁，卡巴斯基“云安全”系统以反恶意程序引擎为核心，以技术集成为基础，实现了信息安全软件的功能平台化。系统安全、在线安全、内容过滤和反恶意程序等核心功能可以在全功能安全软件的平台上实现统一、有序和立体的安全防御，而不是不同类型和功能的产品的杂凑。[17]在强大的后台技术分析能力和在线透明交互模式的支持下，卡巴斯基全功能安全软件可以在用户“知情并同意”的情况下在线收集、分析用户计算机中可疑的病毒和木马等恶意程序样本，并且通过平均每小时更新1次的全球反病毒数据库进行用户分发。从而实现病毒及木马等恶意程序的在线收集、即时分析及解决方案在线分发的“卡巴斯基安全网络”。[18]卡巴斯基全功能安全软件通过“卡巴斯基安全网络”，将“云安全”技术透明地应用于广大计算机用户，使得全球的卡巴斯基用户组成了一个具有超高智能的安全防御网，能够在第一时间对新的威胁产生免疫力，杜绝安全威胁的侵害。[19]5.5江民科技的“云安全”系统江民科技的“云安全”系统强调的是“沙盒”核心技术，而把防毒系统排在后面，其原因是以“云”方式构建的大规模特征库并不足以应对安全威胁的迅速增长，国内外杀毒厂商需要在核心杀毒技术上下足功夫，例如虚拟机、启发式、沙盒、智能主动防御等未知病毒防范技术都需要加强和发展，多数杀毒软件本身的自我保护能力也需要加强。病毒增长的再快，只是量的变化，而现实当中，造成巨大损失的，却往往是极少数应用了新病毒技术的恶性病毒。[20]“沙盒”是一种更深层的系统内核级技术，它会接管病毒调用接口或函数的行为，并会在确认为病毒行为后实行回滚机制，让系统复原。目前，反病毒面临的最主要问题是驱动型病毒对杀毒软件的技术挑战。因此，目前反病毒的首要任务是进一步提升反病毒核心技术，在确保反病毒技术的前提下，江民科技充分借助“云安全”防毒系统的快迅响应机制，打造“沙盒”加“云安全”的双重安全保障体系。[21]5.6360的“云安全”系统对于360云安全系统，应该说360是内部在应用云计算。和依赖本地特征库的杀毒引擎不同，360公