1��、云技術(shù)的背景以及現(xiàn)狀
我國的反病毒技術(shù)起源自20 世紀(jì)90 年代�,以各種基于特征碼的惡意代碼檢測方法和基于文件數(shù)據(jù)、程序行為的啟發(fā)式檢測為主��。隨著云計(jì)算技術(shù)的發(fā)展�����,各個(gè)廠商陸續(xù)提出了自己的云安全技術(shù)理念及相應(yīng)的產(chǎn)品��。但這些產(chǎn)品多數(shù)的本質(zhì)并沒有脫離特征檢測這一方法�,只是特征的提取與匹配計(jì)算方式有所變化��。
首先是病毒特征碼從客戶端采集向云端采集的遷移�����。為了解決文件數(shù)據(jù)不斷膨脹��,惡意代碼不斷增加給用戶帶來的內(nèi)存�����、硬盤、IO 等負(fù)擔(dān)���,云安全技術(shù)首先利用云計(jì)算實(shí)現(xiàn)了特征存儲(chǔ)在云端�����,用戶需要檢測的時(shí)候在本地提取特征送往云端檢測����,進(jìn)一步在云端取得相關(guān)的處置方法���。應(yīng)用此類技術(shù)的軟件可以被稱作云安全軟件�。
其次云安全引入了更加豐富的樣本采集手段。從傳統(tǒng)的用戶上報(bào)�、廠商主動(dòng)獲取(下載站點(diǎn)���、爬蟲����、光盤采購等)����,轉(zhuǎn)向了由所有用戶共同組成的一個(gè)網(wǎng)絡(luò)在這個(gè)網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行采集,而采集的樣本變得異常豐富:
1)可以通過數(shù)字簽名進(jìn)行可信文件和非可信文件采集����。對于授信證書簽署的文件可以對其進(jìn)行采集,配合后端分析減少惡意代碼特征的誤報(bào)��。
2)可以通過文件的分布信息進(jìn)行基于分布的流行文件采集���,對發(fā)現(xiàn)流行惡意代碼�、傳播迅速的惡意代碼可以更快地發(fā)現(xiàn)�����。
3)可以通過文件的來源可信程度進(jìn)行采集,對于易被感染的計(jì)算機(jī)終端(或傳播惡意代碼的站點(diǎn))�����,新發(fā)現(xiàn)的文件可疑程度也就更高����,及時(shí)的采集則可以更快地發(fā)現(xiàn)惡意程序。
4)通過API監(jiān)控技術(shù)和沙箱技術(shù)進(jìn)行特定行為觸發(fā)的采集���。此方式對于賬號(hào)信息盜取�,敏感信息竊取的木馬類采集異常有效�。而云技術(shù)則可以對敏感位置和敏感數(shù)據(jù)提供時(shí)時(shí)更新�。
再者云安全技術(shù)引入了新的惡意代碼分析方式。惡意程序可以基于文件的分布廣度�、文件的數(shù)字簽名、文件在計(jì)算機(jī)終端的實(shí)際行為進(jìn)行分析檢測���。云將這種檢測由原來的后置分析變成了在用戶現(xiàn)場進(jìn)行的實(shí)際環(huán)境的采集和記錄����,對于云端來說需要的是對這些采集獲取的數(shù)據(jù)進(jìn)行更多的計(jì)算和分析,來判別文件的黑白����。而無論是采取虛擬機(jī)、沙箱�����、API監(jiān)控還是網(wǎng)絡(luò)數(shù)據(jù)抓取等任意技術(shù)為云安全提供數(shù)據(jù)的終端設(shè)備��,都可以被稱作是云安全設(shè)備��。
最后云安全設(shè)備提供了按需采集數(shù)據(jù)的能力�����,這些數(shù)據(jù)構(gòu)成了分析提取惡意代碼特征的基礎(chǔ)���。云安全軟件提供了按特征進(jìn)行惡意代碼檢測和處置的能力��。云安全設(shè)備和云安全軟件為廠商提供了用戶需求�����,廠商可以為用戶提供定制的安全服務(wù)�,而廠商需要采集哪些惡意程序樣本并安裝客戶端需經(jīng)用戶允許才可進(jìn)行。這兩種按需提供的安全服務(wù)構(gòu)成了現(xiàn)有的云安全技術(shù)體系����。但這個(gè)圍繞著發(fā)現(xiàn)惡意代碼建立的安全體系在面對新安全威脅時(shí)存在著明顯的弱點(diǎn)。
2��、私有云安全平臺(tái)建立的意義
隨著企業(yè)管理信息化�、政府政務(wù)信息化等各行業(yè)信息化全面的發(fā)展,對于企業(yè)���、政府機(jī)關(guān)�����、組織機(jī)構(gòu)和特定的封閉環(huán)境對安全都有新的要求��。要滿足在封閉環(huán)境可用又有廣泛的適用性�����,就必須改變基于惡意代碼特征檢測的安全防御方式,改變安全廠商完全封閉且用戶幾乎不可定義的安全防御模型�。
隨著“等級保護(hù) ”、“分級保護(hù) ”��、“企業(yè)內(nèi)控 ”等相關(guān)法規(guī)與政策的相繼頒布, 特別是與國計(jì)民生息息相關(guān)的大型國有企業(yè)與各級政府機(jī)關(guān)��, 對于實(shí)施知識(shí)產(chǎn)權(quán)和涉密信息保護(hù)的需求十分迫切�。打破傳統(tǒng)網(wǎng)絡(luò)運(yùn)維和安全防護(hù)的界限, 構(gòu)建自主可控的智能信息終端安全運(yùn)維體系�, 實(shí)施業(yè)務(wù)網(wǎng)絡(luò)完整的“發(fā)現(xiàn)、評估�����、處置�����、審計(jì)”威脅監(jiān)控流程���, 是新形勢下確保關(guān)鍵信息系統(tǒng)安全穩(wěn)定運(yùn)營的重要前提�。以完整的“監(jiān)測��、發(fā)現(xiàn)����、清除、恢復(fù)��、審計(jì)”威脅監(jiān)控流程為基礎(chǔ),綜合利用云安全設(shè)備與云安全軟件的高度開放平臺(tái)即私有云安全平臺(tái)來應(yīng)對未來安全的威脅是必要的�。
3、私有云安全的定義
私有云安全平臺(tái)是為應(yīng)對以APT 為代表的下一代安全威脅而研發(fā)的�,綜合利用云安全軟件與云安全設(shè)備,結(jié)合完整的威脅“發(fā)現(xiàn)�����、評估��、處置����、審計(jì)”流程,同時(shí)提供用戶對流程按需參與的下一代安全服務(wù)技術(shù)�。該技術(shù)通過云安全軟件的監(jiān)控能力來發(fā)現(xiàn)潛在安全威脅、依靠定制用戶可參與的多級分析鑒定系統(tǒng)對威脅進(jìn)行評估���、提供用戶完全可控的安全策略處置方案����、并且保證上述的所有操作都可以通過審計(jì)來事后追查���。
4����、私有云安全的特點(diǎn)
私有云安全平臺(tái)具有以下特點(diǎn):
1)能提供不依賴黑名單的威脅防御能力�,以企業(yè)內(nèi)部基本穩(wěn)定的軟件生態(tài)系統(tǒng)為基礎(chǔ)形成可分級的自定義的安全基線。利用安全基線�,可以將原來單一依靠黑名單防護(hù)的“泛安全邏輯”轉(zhuǎn)換為“精確安全邏輯”。
2)改進(jìn)的云安全軟件監(jiān)控���,實(shí)時(shí)發(fā)現(xiàn)網(wǎng)內(nèi)新產(chǎn)生的程序�、軟件或數(shù)據(jù)�����。
3)多級多維文件分析鑒定系統(tǒng)��,綜合多種靜態(tài)���、動(dòng)態(tài)文件鑒定系統(tǒng)提供對文件辨別是否安全可信的綜合依據(jù)���。
4)實(shí)時(shí)的威脅風(fēng)險(xiǎn)評估,通過各種云安全設(shè)備(客戶端終端軟件�����、基于云安全技術(shù)的網(wǎng)絡(luò)檢測設(shè)備、移動(dòng)檢測設(shè)備等)�,對網(wǎng)內(nèi)威脅風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)的變化反饋。
5)多級安全防御��、威脅處置策略�����,根據(jù)威脅評估的結(jié)果和用戶對資產(chǎn)價(jià)值的評估結(jié)果�,將安全防御與威脅處置策略的制定權(quán)力與建議方案提供給用戶。減少用戶對非核心價(jià)值資產(chǎn)的關(guān)注所導(dǎo)致人力物力投入的分散與浪費(fèi)��。
6)多層次無庫惡意代碼檢測�,從本地特征庫到內(nèi)網(wǎng)云特征庫,再到上級特征庫和公網(wǎng)特征庫��,多個(gè)層次特征庫可以實(shí)現(xiàn)對難以處置的惡意程序和新發(fā)現(xiàn)惡意程序的第一時(shí)間感知����,進(jìn)一步降低威脅發(fā)現(xiàn)的延遲。
7)威脅來源��、分布的追溯能力�,依靠對全網(wǎng)文件的追溯能力,在發(fā)現(xiàn)(潛在)威脅的第一時(shí)間對其來源進(jìn)行追溯�����,對其分布影響以及可能引發(fā)的后果進(jìn)行評估��。為管理員進(jìn)行安全應(yīng)急響應(yīng)決策制定提供有力的支持�。
8)綜合審計(jì)能力,對所有的操作提供全面的審計(jì)支持�,為由于人為導(dǎo)致的安全事故提供后續(xù)封堵和追責(zé)的參考。
9)高度開放的用戶自定義接口��,所有潛在威脅發(fā)現(xiàn)��、文件與數(shù)據(jù)的鑒定�、安全策略的制定與實(shí)施、審計(jì)內(nèi)容的定義都是用戶可通過開放接口進(jìn)行參與的����,以適應(yīng)不同場景用戶個(gè)性化的需求。
