邁向云安全2.0時代

█ 文/付江

雪災、地震、奧運、神七，剛剛過去的2008年注定了不會平凡。而在中國信息安全領域也正在經歷一場革命性變革，作為網絡安全從桌面推向互聯網的一步關鍵之棋，“云安全”也將成為2009年各大安全廠商的重要戰略步驟。

根據某權威信息安全廠商的年度報告，在2008年互聯網上共出現了多達1300萬種病毒，新病毒數量是去年同期10倍以上，其中木馬病毒和后門程序占總體病毒數80%以上。而事實也證明，借助于病毒木馬牟利的黑色產業鏈已經形成，憑著機械化生產加速變種，利用大量出現的系統和第三方應用程序漏洞，都為病毒木馬傳播提供了更廣泛的途徑。為了應對日益猖獗的病毒威脅，2009年各大信息安全廠商有何應對之招？領域內最值得期待的技術是什么？今年工作重點將會放在什么地方？如何看待中國市場？帶著一系列用戶感興趣的話題，《程序員》雜志編輯采訪了國內多家信息安全廠商，就上面的話題與讀者分享他們的觀點。

邁向云安全2.0時代

所謂云安全，其實就是從過去傳統的單機殺毒模式，轉換成網絡化的主動防毒。殺毒軟件利用互聯網強大的網絡支持，通過互聯網實時監控用戶主機，在用戶即將訪問有害網頁或病毒程序前提醒用戶。新模式與傳統殺毒方式的最大轉變正在于，從過去由用戶受到攻擊之后再殺毒到現在的側重于防毒。云安全中的很多技術其實早已應用到企業安全領域，而過去受市場環境限制，這項技術并未向個人用戶推廣。但隨著近幾年家庭和個人互聯網用戶數量的不斷增加，對信息安全要求越來越高，云安全開始走進普通大眾視野。在去年各大廠商做足概念后，今年云安全將進入全面產品化和推廣階段。

對此，趨勢科技（中國）市場總監張怡青告訴記者，趨勢科技在2009年研發重心仍然在云安全相關領域。在過去的三年中，趨勢科技已投入了3億美金用于云安全，其中三分之二用于人力成本，另外三分之一則購置了設備、帶寬和相應的產品升級。到目前趨勢科技已經有3萬多臺服務器用于云安全。

隨著互聯網的飛速發展，產品網絡化幾乎已成為各大 IT 公司的共識，只是時間早晚和開放程度的問題。而對于廣大信息安全廠商，在新舊規則交替之時，誰搶先贏得了戰場，誰就贏得了未來規則的決定權。

兩種云安全模式

當前已經出現的云安全實現原理大概可以分為兩種：一種是由趨勢科技提出的“Secure Cloud”，以Web信譽服務（WRS） 、郵件信譽服務（ERS） 和文件信譽服務（FRS）為基礎架構的云客戶端安全架構，把病毒特征碼文件保存到互聯網云數據庫中，令其在端點處保持最低數量用于驗證。其核心在于兩點：（1）對復合式攻擊的攔截。通過對疑似病毒組件各部分外延屬性進行檢查，判斷威脅程度；（2）瘦客戶端。大量的病毒特征碼保存在云數據庫中。簡言之，趨勢科技云安全技術基于其擁有龐大的服務器群和并行處理能力，構架了一個龐大的黑白名單服務器群，用于客戶端查詢，在 Web 威脅到達最終用戶或公司網絡之前即對其予以攔截。

另一種就是由國內安全廠商瑞星提出，與趨勢科技服務器群“云”不同，瑞星的“云”則建立在廣大的互聯網用戶上。通過在用戶客戶端安裝軟件監控網絡中軟件行為的異常，將發現的疑似木馬、惡意程序最新信息推送到瑞星的服務器進行自動分析和處理，然后再把病毒和木馬的解決方案分發到每一個客戶端。

根據專家分析，以上兩種云安全概念采用的是兩種完全不同的模式。趨勢科技強調的是阻止外來威脅，基礎是龐大的服務器群；瑞星強調的則是對用戶計算機上業已存在的未知威脅進行感知，基礎是必須擁有大量的客戶端用戶。兩者雖模式不同，但都存在一定缺陷。趨勢科技忽略了對本機威脅的收集，而瑞星的云安全則只能被動防守，不能在未知威脅進入到電腦前進行攔截。另一方面，現在的信息安全公司還沒有建成 Google 那樣數以萬計的服務器群和非常成熟的并行處理技術，還需加強對基礎硬件的投入和升級，或者加大與第三方云計算服務提供商的合作。

就云安全對傳統殺毒模式的影響，北京卡巴斯基公司產品經理高袆瑋認為，這種改變不會在一朝一夕就能完成。因為，就目前為止，雖然傳統的病毒防范模式具有一定局限性，但是優點也很突出，就是準確度和處理質量都很高。對于局限性，目前很多安全廠商也已通過添加其他的安全模塊，如：啟發式分析、主動防御、IDP 系統（Intrusion Detection & PreventionSystem，入侵偵測防御系統） 等進行了有效的提升。因此，就目前來看，" 云安全" 仍然不足以也沒有必要使安全產品完全脫離傳統模式，因為傳統模式也在不斷演化以適應用戶不斷增長的需求。

云安全帶來的另一個影響在于廠商對人才的投入，趨勢科技（中國）云安全專家徐學龍告訴《程序員》記者，由于云安全更關注服務器集群的并行計算、協同作業、精準計算、海量計算，傳統做分析病毒代碼的人員未來在整個研發團隊中的比重會逐步降低。取而代之的是招聘更多掌握分布式計算基本原理和開發方法，有能力掌握用于分布式計算的協議和語言，開發出可以運行在幾百臺、幾千臺甚至幾萬臺計算機上的應用程序，并用該程序管理分布在海量存儲設備里的人才。

“危”“機”并重的2009年

徐學龍告訴記者，在2009年，病毒木馬會變得更加隱蔽，不像過去那樣會讓用戶電腦雞飛狗跳或完全癱瘓，更多的是駐留在用戶后臺，秘密竊取信息，比如銀行賬號信息、游戲卡、游戲幣以及個人信息。

而卡巴斯基實驗室的專家預測用戶可能在2009年遭遇的幾大 IT 類威脅分別為（1）通過移動存儲媒體如 USB 閃存、CD 以及DVD感染計算機；（2）因網上沖浪遭遇威脅；（3）惡意程序越來越多的利用那些知名的，受廣大用戶信任的網站進行傳播，預計在2009年將有超過一半的惡意程序會通過這些網站進行傳播；（4）互聯網詐騙如釣魚網站和銀行卡數據竊取等犯罪將越來越猖獗；（5）更多的惡意軟件利用新技術對抗反病毒軟件的檢測和清除，同時預計專門用來繞過某些特定類別過濾器的惡意程序數量會大幅增長；（6）針對其他操作系統如MacOS以及Linux 系統的惡意程序數量會逐漸增多。

在應對措施上，一方面殺毒軟件廠商需要大力推進云安全技術，使用最新的基于主動防御的保護技術，采取例如對中央數據庫的在線訪問申請，下載軟件時限制訪問權限，安全更新管理系統以及可信任程序列表等措施，這些方法都能有效地加強傳統的基于簽名方式的反病毒保護效果。

而在另一方面，大多數用戶還未充分意識到當前 Web 安全威脅和風險對信息安全的巨大影響，有很多用戶在不知不覺中容忍著各種間諜軟件、傀儡程序、鍵盤記錄軟件、廣告軟件在主機中運行，給個人電腦和企業信息安全帶來巨大的安全風險。尤其對于企業來說，加強終端安全防護和網關建設，以及提高內部數據安全管理的工作已經刻不容緩。

就金融危機對信息安全公司的影響，張怡青表示目前對趨勢科技來說還相對比較平穩。一方面近年來隨著企業對數據資產保護意識的增強，很多時候信息安全產品已經成為企業在進行 IT 資產配置時必須考慮的剛性需求。另一方面中國市場目前對趨勢科技全球營銷的貢獻所占比例不到2%，考慮到中國目前在世界范圍內的增長速度，信息化進程來得很快，未來的增長潛力會很大。近期來看，國內受危機影響相對較大的是一些制造企業，尤其是南方沿海的中小型企業，他們的需求可能會暫時減少一些，但對于其他行業，包括趨勢科技擅長的金融領域，以及政府持續加大投資的領域，如教育業等行業，仍存在廣大機會。在應對策略方面，首先將會對全行業的進行一次重新考量和分配，在保持過去優勢領域的基礎上，采取廣撒網的方式，在制造業上減少的一部分業績，完全有可能通過在其他行業的增長覆蓋掉。另外，對于IT預算出現大幅收緊的企業，則會主推一些高性價比安全防護產品。綜合來看，2009年全年收益比去年同期增長30%的目標是完全有希望實現的。█