巧用云安全
发布时间: 2010-8-4 10:10:18     上传者: zxy     访问数: 1661
巧用云安全
 
云安全不仅是一种反病毒的技术,也是一种反病毒的理念,一种安全互联网化的思路,一个互联网化的安全防御体系。
 
■ 贵阳市政府信息中心 胡滨 吕磊
 
人们的日常工作越来越依赖于Web应用,然而最近几年里,来自Web的安全威胁也越来越多,各种黑客工具、间谍软件和病毒都可能导致用户信息泄露和信息资产损失。电子政务外网作为政府部门的工作网,也同样面临此类威胁,并亟待解决。
 
防病毒需突破
 
根据AV-Test.org的最新统计数据显示,全球恶意程序已超过1100万个,每几秒钟就会产生一个新病毒。而病毒发展的渠道、传播形式以及生命周期也发生了质的改变,当前的病毒绝大多数来自网络,通过网络传播、自动下载新病毒或自动更新变种,不断成长。网络钓鱼、木马、间谍软件、Botnet僵尸网络,往往潜伏在看似正常的Web页面中,一旦被点击就会下载到用户的机器中运行。另外,来自Web的威胁具有混合型、定向攻击和区域性爆发等特点,普通浏览网页都变成了一件带有极大安全风险的事情。
 
传统的防病毒软件应付这些恶意程序,需要先从客户端获得病毒样本,然后研制出相应的病毒码,再通过测试,最终还需把新病毒码下载到用户计算机上才能对病毒进行查杀。不断更新的病毒特征库,不仅使病毒码文件越变越大,而且也无法赶上新病毒产生的速度。现在平均每隔几秒种就有一个新病毒诞生,而在几秒内,我们可以做出病毒特征码并分发到各个终端吗?这显然是不现实的。而且按当前的病毒更新速度,每周将会增加大约3MB的病毒码,如果病毒增长速度继续加快的话,要不了多久,病毒码就会达到1GB以上,这样不仅增加了用户计算机的负担,还将导致查杀病毒的有效性急剧下降,因此,防病毒措施必须寻找新的技术突破。
 
云计算助安全
 
与网络上流窜的病毒对抗,能不能以其人之道还治其人之身,对从网络中来的病毒,就直接在网络端解决,使反病毒响应时间与病毒生成的时间相匹配?
 
伴随着云计算技术的发展,这种想法成为了现实。利用云计算技术,在云端构建庞大的病毒威胁库,进行7×24小时的实时计算,通过网状的大量客户端对网络中软件行为的异常进行监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,这种方式能够很大程度上提升安全防护效能,人们称之为“云安全”技术。
 
云安全技术将手工制作特征码的方式转变为云服务器群动态计算的方式,相同的分析工作,传统的人工分析需要2小时,而云安全技术只需要几秒钟,从而达到了与病毒产生速度匹配的效果。云安全技术将病毒本地扫描防护的机制转变为了Client—Cloud(客户端-云端)的安全防护架构,这样用户就能够随时获得最新的安全防护。
 
云安全的工作模式
 
目前的云安全技术主要分为两类:一类是把特征库或类特征库放在云端储存与共享;另一类就是作为最新的恶意代码、垃圾邮件或钓鱼网址等的快速收集、汇总和响应处理的系统。
 
第一类方式就目前来看,并没有很好地发挥出云计算的优势,因为当前的信息安全产品还是具有很强的终端特性,仅仅将特征库放在云端,并没有太大的优势。因为在目前的网络环境中,下载下来也只是一瞬间的事,而且在本地存放特征库还会大大增加因为网络故障带来的响应失败问题。
 
第二种方式能够很好地对新的威胁进行快速响应,最大限度地发挥了群众的力量,应该说是一种较好的方式。随着恶意程序的爆炸式增长,用户更为迫切地需要能够在第一时间就对新的恶意程序及其产生的不良影响进行防御,甚至在新的恶意威胁出现之前就具备对其进行防御的能力。
 
在上述云安全技术理念的指导下,当前有三种典型的云安全技术模式:WRS(Web信誉服务)、邮件信誉判定的 ERS(邮件信誉服务)和文件信誉判定的FRS(文件信誉服务)技术。其中,Web信誉服务是按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度;然后通过该技术继续扫描网站并防止用户访问被感染的网站,并对恶意软件行为进行进一步评估。Web信誉服务为网站的特定网页或链接指定了信誉分值,而不是对整个网站进行分类或拦截。通过Web信誉服务,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容,因此能有效预防恶意软件的初始下载,在用户进入网络前就能够获得防护能力。 文件信誉服务技术,可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和恶性文件清单,即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中延迟时间降到最低。和占用端点空间的传统防病毒特征码文件下载相比,这种方法降低了端点内存和系统消耗。行为关联分析技术是云安全的重要技术手段之一。利用行为分析的“相关性技术”把威胁活动综合联系起来,确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处,但是如果同时进行多项活动,那么就可能会导致恶意结果。把威胁的不同部分关联起来,并不断更新其威胁数据库,就能够实时作出响应,针对电子邮件和Web威胁提供及时、自动的保护。
 
云安全不仅是一种反病毒的技术,也是一种反病毒的理念,一种安全互联网化的思路,一个互联网化的安全防御体系。云安全这种全新的防病毒模式与传统代码对比的杀毒方式相比,具有许多显而易见的优势:
 
1. 利用云安全方式不占用内存,节省资源。当前用户在安全软件上最头疼的问题就是内存和CPU资源占用太多,安全软件占用大量系统资源,导致其他正常应用受到影响。现在通过云安全技术就避免了这样的问题。
 
2. 在威胁到达用户计算机之前阻挡。以前的模式都是病毒进入了系统以后再根据病毒码进行查杀,现在有了云安全,在云端就能直接阻止了,病毒根本就来不及危害电脑。
 
3. 有了云安全,云端的数据会实时更新,只有第一个受害者,之后的成千上万用户都不会受到这个病毒的侵扰。而且针对第一个受害者,防病毒产品也可以在第一时间内解决威胁。
 
4. 用户越多,云端的数据就越庞大、越精确,更新速度就越快,用户的安全就能得到更好的保障。
 
在云安全中,防御手段不但是主动的,而且是立体的。云安全技术通过不断更新的威胁数据库,确保用户可以立即自动获得针对最新威胁的防护,并对文件、电子邮件和URL进行检查,在Web威胁到达计算机之前予以拦截,从而降低了对系统资源的要求,带来更强大的保护,同时减少对耗时的签名下载的依赖性,为终端提供更加安全有效的防护盾牌,推动网络安全防护步入云端服务时代。
 
以某市电子政务外网为例,过去,该网络分为几个区域,各个区域之间通过同一个网关连接因特网,各区域之间用防火墙隔离,整个网络有5000个左右用户。该电子政务外网与互联网连接在一起,互联网基于开放的平台,十分不安全,即便互联网出口部署了防火墙,当前流行的安全威胁常常以HTTP/FTP方式直接穿过防火墙,植入到网络内部,也会给用户造成很大的安全隐患。
 
另外,由于网络中用户很多,用户安全防护管理水平不一,某一个单位病毒爆发,瞬间就会扩散到全网,将导致网络中几乎每隔一段时间都会有一次大规模的病毒爆发,ARP类型病毒和蠕虫、木马交叉感染对网络整体安全运行会造成很大影响。
 
现在,该市电子政务外网采用全方位、多层次的防病毒模式,部署多层次病毒防线,对用户客户机进行防护,具体来说就是:在网关部署云安全硬件产品,实现对Http、FTP等协议的过滤,针对Web上网浏览和下载进行全面的安全过滤;对于整个网络中的计算机操作系统病毒和间谍软件安全防护(包括服务器和客户机),采用带云安全模式的防毒墙网络版客户端。并通过上述产品带的云安全功能对用户的安全威胁进行有效地过滤。
 
多层次的安全防护系统让该电子政务外网完全摆脱了先前被动式的防护,最大程度减少了电子政务网防病毒系统维护所需的人力资源、去终端查杀病毒等繁琐工作,提升了电子政务网信息中心的人均生产力,也提升了所有终端用户的人均生产力。
 
 
 
作者:胡滨 吕磊 来源:计算机世界
转载自:http://www.ccw.com.cn/weekly/tech/cso/htm2010/20100802_879074.shtml
[关闭窗口]