云安全技术初探

    从2008年开始，“云计算”（Cloud Computing）就成为IT领域的一个热门话题。媒体高度关注，各大厂商也纷纷跟进，推出相关服务，比如Amzon的AWS（Amzon Web Services）、IBM的蓝云（Blue Cloud）、Google的GAE（Google App Engine）、Sun的Network.com、Microsoft的Red Dog等。

    虽然各大厂商都围绕着“云计算”推出了相关的服务，但至今为止，还没有人准确地给“云计算”下个定义。

    目前，业内多数人认为云计算是分布处理（Distributed Computing）、并行处理（Parallel Computing）和网格计算（Grid Computing）的发展和商业化的实现。

    在IBM的技术白皮书“Cloud Computing”中，可以看到如下的定义：“云计算”一词同时用来描述一个系统平台或者一种类型的应用程序。一个云计算的平台可按需进行动态的供给（Provision）、配置（Configuration）、重新配置（Reconfigure）以及取消服务（Deprovision）等。

    笔者认为“云计算”是对互联网的应用模式的再一次深入和挖掘，是互联网整体变革的方向，而不是一个单纯的技术概念。

    随着“云计算”的到来，互联网的基础设施、应用和服务模式的再一次变革也慢慢拉开了序幕，各大安全厂商纷纷在安全领域尝试新的思路和技术，也出现了新名词——“云安全”。

    安全厂商可谓“八仙过海，各显其能”，纷纷争取着在这一领域的优势。但因为“云计算”本身的概念就比较模糊，而各个厂商对于“云计算”理解不同，自身实力也有差异，因此在云安全方面的进展也各不相同：有的是在积极推进，有的则在完善原有功能的基础上，向“云安全”靠拢。

    本文将为您简单介绍一下国外知名厂商的“云安全”技术的理念和相关产品。

熊猫公司（Panda）

    熊猫公司（Panda）早在2007年便提出了“云安全”的概念，在产品中使用了双向升级的概念。

    熊猫公司双向升级的技术原理很容易理解，即每个熊猫杀毒软件会自动提取用户端发现的可疑程序，上传到云服务器端，由安全厂商在云服务器端对其进行分析处理，然后把处理结果实时推送到全部用户中。这样，每台安装了熊猫软件的PC在享受着“云安全”保护的同时，也成为了熊猫公司“云安全”体系的一部分。

    与此同时，熊猫公司还专门推出了一款免费的云安全产品Panda Cloud Antivirus（Beat 2）。

    该产品的设置窗口（用来设置网络连接）如图1所示，扫描窗口如图2所示，报告窗口如图3所示。

初步感受：

    这款“云安全”产品，其客户端十分小巧简单，重点突出了后端云安全服务器的作用。其“双向升级技术”不仅可以保护PC的安全，也把用户的PC变成了其云安全网络的一部分。这个思路很好，能够降低用户资源占用，以强大的云安全网络来提高保护质量。

    美中不足的是，这款产品对中国的一些小工具软件有时存在误报的现象。

McAfee

    McAfee在“云安全”发力较晚，2009年7月20日透露了其SaaS安全服务计划。

    McAfee所提供的SaaS在线安全服务包括整合所有保护功能的McAfee Total Protection Service、锁定电子邮件保护的McAfee Total Protection Service Extended、提供网络保护的McAfee Web Protection Service以及针对网络应用程序及网络漏洞分析的McAfee Vulnerability Assessment等。同时McAfee还更新了McAfee Total Protection Service（MTPS）。

    McAfee曾在2008年9月推出了McAfee Artemis技术，其技术原理与熊猫的双向升级类似，如图4所示。

    同时，McAfee在自己的新品中使用了SiteAdvisor保护功能，通过大量计算机对网站进行“下载、电子邮件活动、浏览器漏洞、网络钓鱼站点、电子商务漏洞、网站干扰、链接（在线关联）”等项目的测试，来对网站做出一个等级评价。

    当用户浏览网页或搜索所需要的信息时，如果所输入的URL指向恶意站点，则SiteAdvisor会使用以颜色标记的安全评级系统在员工点击该URL前发出警告。

    用户也可以通过http://www.siteadvisor.com/howitworks/index.html网站来查看相关网站的评级标准，可能得到如图5所示的结果。其中各种图标所代表的含义如图6所示。

    McAfee在自己的网络版VirusScan Enterprise 8.7.0i中实现了McAfee Artemis技术的功能“可疑文件进行启发式网络检查”，如图7所示。

    用户可以根据自己的需求来设置检测和上报的可疑文件敏感程度。默认情况下，这个功能是关闭的。该功能会在发现可疑文件后，向McAfee Avert Labs托管的中心数据库服务器发送DNS请求，这是Artemis技术在网络版中的具体实现。

    与此同时，在网络版中还增加了配合SiteAdvisor技术使用的防钓鱼功能和利用防火墙实现的个人信息防护功能。

初步感受：

    McAfee Artemis技术也充分利用了云计算的趋势，来完善恶意文件的采集功能，缩短对安全威胁的相应时间。其SiteAdvisor技术确实在Web威胁防护上真正下了功夫，充分利用网络和用户的力量实现Web站点等级防护，是对云安全非常好的一个应用。

卡巴斯基

    卡巴斯基最近新推出的2010版中也重点强调了“云安全”。其中利用“云安全”采集恶意代码技术的功能，叫做“卡巴斯基安全网络”，可以把可疑文件和病毒报告传回卡巴斯基实验室，缩短对安全威胁相应的时间。

产品中增加了“安全免疫区”保护程序运行安全，如图8、图9所示。

初步感受：

“卡巴斯基安全网络”这个功能完善了云安全环境下的恶意代码采集工作，可以有效地缩短对安全威胁的相应时间。“安全免疫区”更像是介于行为监控技术和云安全技术之间的一个功能，对用户应用程序使用的保障可以发挥很大的作用。

趋势科技

    趋势科技也是较早提出“云安全”概念的公司之一。早在2008年，趋势科技就推出了“云安全 1.0”，使用类似Google机器人的方式对全球网址和邮件服务器以及文件进行信誉评估，并采用了与其他安全厂商相似的可疑文件自动上报功能，实现了文件信誉技术（FRT）与Web信誉技术(WRT)、邮件信誉技术(ERT)等技术，可以从网关上阻止Web威胁。

    2009年7月24日，趋势科技推出了云安全2.0多层次终端安全解决方案以及相关的两款核心产品，分别为部署在网络层的趋势科技威胁发现系统（Threat Discovery Suite，简称TDS）和部署在终端的趋势科技防毒墙网络版10（TrendMicro OfficeScan Corporate Edition）。

    云安全2.0增加了文件信誉技术和多协议关联分析技术的应用，让文件信誉技术（FRT）与Web信誉技术（WRT）、邮件信誉技术（ERT）实现关联互动，完成了从网关到终端的综合防护系统，其原理如图10所示。

趋势科技多协议关联的技术原理如图11所示。

提示：这三种信誉服务之间可以相互交流信息。例如发现钓鱼邮件时，该邮件中链接网址的信息将被传送到Web信誉数据库。如果被判定为恶意网页的话，会被记录在Web信誉数据库中。若在此网页中发现恶意文件，此信息将会传送到文件信誉数据库。

    如此一来，一旦发现恶意内容，就能立刻将相关来源或文件记录在数据库中。通过这种方式可达到前所未有的高速运作，迅速地将各种网络威胁的信息记录在数据库中。在用户实际遭受网络威胁之前，就为系统部署了安全防护策略。

趋势科技“云安全”整体防护架构如图12所示。

    目前为止，趋势科技是所有防病毒厂商中，惟一把云技术同时应用在个人版和企业版中的厂商。

    在OfficeScan 10.0_1138的安装过程中就会提示是否加入趋势“全球病毒实时监控计划”，这是“云安全”中恶意软件的终端采集方式之一。

    进入趋势防毒墙的控制界面，可以看到云安全扫描的功能，使用云安全扫描功能时，软件首先在本地扫描安全风险。如果客户端在扫描期间无法确定文件的风险，它将连接到云安全服务器，由云安全服务器实时判断文件是否为恶意软件（目前其他厂商还做不到）。

    同时，云服务器又有两种类型，内部客户端连接到本地云安全服务器，外部客户端连接到Internet云安全服务器，这样可以有效分解用户请求的网络流量，优化服务效果。

    而文件信誉功能和多协议关联分析，也是通过“云安全扫描”这个功能来具体完成的，如图13所示。

    趋势科技网络版中还集成Web信誉功能：趋势科技的Web信誉功能不止可以依靠Web安全数据库来检查用户尝试访问的Web站点的信誉，还允许企业网管和个人用户自己添加信任的网站。

初步感受：

    趋势科技采用“云安全1.0”的技术来完成云计算时代的恶意代码采集工作，“云安全1.0”技术不仅利用客户端的趋势科技产品，还利用自身开发的代理对整个互联网进行恶意代码搜集工作，其工作效率和有效性要高于只利用客户端进行恶意代码的采集技术。

    而针对日益增长的Web威胁，趋势科技推出的“云安全2.0”技术，则利用文件信誉技术（FRT）与Web信誉技术（WRT）、邮件信誉技术（ERT）和多协议关联技术，完成了从终端对Web威胁的整体防护，也使得趋势科技实现了从网关到终端的整体防护。

综合点评

    通过了解上述四个国外安全厂商的云技术概念和集成在产品中的“云安全”功能，我们发现，目前“云安全”技术的实现主要体现在两个方面：

    第一方面是在面对网络时代海量的恶意文件时，如何缩短恶意文件的采集工作，缩短对安全威胁的响应时间。

    国外的主流厂商都不约而同地采用了云端自动恶意文件采集的功能。虽然技术名称各不相同，但其原理都很类似。

    但这个技术实现后，能否真正发挥作用，关键要看厂商对云服务器端的投入，所以我们也不能忽略这些厂商在中国的技术投入。

    另一方面则是面对日益增加的来自Web的威胁，如恶意网站、网络钓鱼、恶意的下载文件等。

    在这个方面，趋势科技和McAfee做得相对较好。

    尤其是趋势科技，已经真正进入到云安全2.0阶段，并把这些功能融入到自己的企业级产品中，利用自己产品线完整的优势，形成了从网关到终端的整体云安全防护体系。

               图1 Panda Cloud Antivirus设置窗口

                    图2 Panda Cloud Antivirus扫描窗口

             图3 Panda Cloud Antivirus报告窗口

                    图4 McAfee Artemis技术原理

                     图5 SiteAdvisor检测结果

                      图6 SiteAdvisor提示图标含义

                   图7 VirusScan Enterprise 8.7.0i

                        图8 卡巴斯基安全网络

                        图9 卡巴斯基安全中心

                     图10 趋势科技云安全2.0原理

                       图11 多协议关联技术原理

                      图12 趋势科技“云安全”架构

                       图13 趋势科技的云安全扫描