1、雲技術(shù)的(de)背景以及現狀

    我國的(de)反病毒技術(shù)起源自20 世紀90 年代，以各種基于特征碼的(de)惡意代碼檢測方法和(hé)基于文(wén)件(jiàn)數據、程序行(xíng)爲的(de)啓發式檢測爲主。随著(zhe)雲計(jì)算技術(shù)的(de)發展，各個(gè)廠(chǎng)商陸續提出了自己的(de)雲安全技術(shù)理(lǐ)念及相(xiàng)應的(de)産品。但(dàn)這些産品多數的(de)本質并沒有(yǒu)脫離(lí)特征檢測這一方法，隻是特征的(de)提取與匹配計(jì)算方式有(yǒu)所變化。

    首先是病毒特征碼從客戶端采集向雲端采集的(de)遷移。爲了解決文(wén)件(jiàn)數據不斷膨脹，惡意代碼不斷增加給用(yòng)戶帶來的(de)内存、硬盤、IO 等負擔，雲安全技術(shù)首先利用(yòng)雲計(jì)算實現了特征存儲在雲端，用(yòng)戶需要檢測的(de)時候在本地(dì)提取特征送往雲端檢測，進一步在雲端取得相(xiàng)關的(de)處置方法。應用(yòng)此類技術(shù)的(de)軟件(jiàn)可(kě)以被稱作雲安全軟件(jiàn)。

    其次雲安全引入了更加豐富的(de)樣本采集手段。從傳統的(de)用(yòng)戶上(shàng)報、廠(chǎng)商主動獲取（下載站點、爬蟲、光(guāng)盤采購(gòu)等），轉向了由所有(yǒu)用(yòng)戶共同組成的(de)一個(gè)網絡在這個(gè)網絡的(de)基礎上(shàng)進行(xíng)采集，而采集的(de)樣本變得異常豐富：

    1）可(kě)以通過數字簽名進行(xíng)可(kě)信文(wén)件(jiàn)和(hé)非可(kě)信文(wén)件(jiàn)采集。對于授信證書(shū)簽署的(de)文(wén)件(jiàn)可(kě)以對其進行(xíng)采集，配合後端分(fēn)析減少(shǎo)惡意代碼特征的(de)誤報。

    2）可(kě)以通過文(wén)件(jiàn)的(de)分(fēn)布信息進行(xíng)基于分(fēn)布的(de)流行(xíng)文(wén)件(jiàn)采集，對發現流行(xíng)惡意代碼、傳播迅速的(de)惡意代碼可(kě)以更快地(dì)發現。

    3）可(kě)以通過文(wén)件(jiàn)的(de)來源可(kě)信程度進行(xíng)采集，對于易被感染的(de)計(jì)算機終端（或傳播惡意代碼的(de)站點），新發現的(de)文(wén)件(jiàn)可(kě)疑程度也(yě)就更高(gāo)，及時的(de)采集則可(kě)以更快地(dì)發現惡意程序。

    4）通過API監控技術(shù)和(hé)沙箱技術(shù)進行(xíng)特定行(xíng)爲觸發的(de)采集。此方式對于賬号信息盜取，敏感信息竊取的(de)木馬類采集異常有(yǒu)效。而雲技術(shù)則可(kě)以對敏感位置和(hé)敏感數據提供時時更新。

    再者雲安全技術(shù)引入了新的(de)惡意代碼分(fēn)析方式。惡意程序可(kě)以基于文(wén)件(jiàn)的(de)分(fēn)布廣度、文(wén)件(jiàn)的(de)數字簽名、文(wén)件(jiàn)在計(jì)算機終端的(de)實際行(xíng)爲進行(xíng)分(fēn)析檢測。雲将這種檢測由原來的(de)後置分(fēn)析變成了在用(yòng)戶現場(chǎng)進行(xíng)的(de)實際環境的(de)采集和(hé)記錄，對于雲端來說需要的(de)是對這些采集獲取的(de)數據進行(xíng)更多的(de)計(jì)算和(hé)分(fēn)析，來判别文(wén)件(jiàn)的(de)黑(hēi)白。而無論是采取虛拟機、沙箱、API監控還是網絡數據抓取等任意技術(shù)爲雲安全提供數據的(de)終端設備，都(dōu)可(kě)以被稱作是雲安全設備。

    最後雲安全設備提供了按需采集數據的(de)能(néng)力，這些數據構成了分(fēn)析提取惡意代碼特征的(de)基礎。雲安全軟件(jiàn)提供了按特征進行(xíng)惡意代碼檢測和(hé)處置的(de)能(néng)力。雲安全設備和(hé)雲安全軟件(jiàn)爲廠(chǎng)商提供了用(yòng)戶需求，廠(chǎng)商可(kě)以爲用(yòng)戶提供定制(zhì)的(de)安全服務，而廠(chǎng)商需要采集哪些惡意程序樣本并安裝客戶端需經用(yòng)戶允許才可(kě)進行(xíng)。這兩種按需提供的(de)安全服務構成了現有(yǒu)的(de)雲安全技術(shù)體系。但(dàn)這個(gè)圍繞著(zhe)發現惡意代碼建立的(de)安全體系在面對新安全威脅時存在著(zhe)明(míng)顯的(de)弱點。

    2、私有(yǒu)雲安全平台建立的(de)意義

    随著(zhe)企業(yè)管理(lǐ)信息化、政府政務信息化等各行(xíng)業(yè)信息化全面的(de)發展，對于企業(yè)、政府機關、組織機構和(hé)特定的(de)封閉環境對安全都(dōu)有(yǒu)新的(de)要求。要滿足在封閉環境可(kě)用(yòng)又(yòu)有(yǒu)廣泛的(de)适用(yòng)性，就必須改變基于惡意代碼特征檢測的(de)安全防禦方式，改變安全廠(chǎng)商完全封閉且用(yòng)戶幾乎不可(kě)定義的(de)安全防禦模型。

    随著(zhe)“等級保護 ”、“分(fēn)級保護 ”、“企業(yè)内控 ”等相(xiàng)關法規與政策的(de)相(xiàng)繼頒布， 特别是與國計(jì)民(mín)生息息相(xiàng)關的(de)大(dà)型國有(yǒu)企業(yè)與各級政府機關， 對于實施知識産權和(hé)涉密信息保護的(de)需求十分(fēn)迫切。打破傳統網絡運維和(hé)安全防護的(de)界限， 構建自主可(kě)控的(de)智能(néng)信息終端安全運維體系， 實施業(yè)務網絡完整的(de)“發現、評估、處置、審計(jì)”威脅監控流程， 是新形勢下确保關鍵信息系統安全穩定運營的(de)重要前提。以完整的(de)“監測、發現、清除、恢複、審計(jì)”威脅監控流程爲基礎，綜合利用(yòng)雲安全設備與雲安全軟件(jiàn)的(de)高(gāo)度開(kāi)放(fàng)平台即私有(yǒu)雲安全平台來應對未來安全的(de)威脅是必要的(de)。

    3、私有(yǒu)雲安全的(de)定義

    私有(yǒu)雲安全平台是爲應對以APT 爲代表的(de)下一代安全威脅而研發的(de)，綜合利用(yòng)雲安全軟件(jiàn)與雲安全設備，結合完整的(de)威脅“發現、評估、處置、審計(jì)”流程，同時提供用(yòng)戶對流程按需參與的(de)下一代安全服務技術(shù)。該技術(shù)通過雲安全軟件(jiàn)的(de)監控能(néng)力來發現潛在安全威脅、依靠定制(zhì)用(yòng)戶可(kě)參與的(de)多級分(fēn)析鑒定系統對威脅進行(xíng)評估、提供用(yòng)戶完全可(kě)控的(de)安全策略處置方案、并且保證上(shàng)述的(de)所有(yǒu)操作都(dōu)可(kě)以通過審計(jì)來事後追查。

    4、私有(yǒu)雲安全的(de)特點

    私有(yǒu)雲安全平台具有(yǒu)以下特點：

    1）能(néng)提供不依賴黑(hēi)名單的(de)威脅防禦能(néng)力，以企業(yè)内部基本穩定的(de)軟件(jiàn)生态系統爲基礎形成可(kě)分(fēn)級的(de)自定義的(de)安全基線。利用(yòng)安全基線，可(kě)以将原來單一依靠黑(hēi)名單防護的(de)“泛安全邏輯”轉換爲“精确安全邏輯”。

    2）改進的(de)雲安全軟件(jiàn)監控，實時發現網内新産生的(de)程序、軟件(jiàn)或數據。

    3）多級多維文(wén)件(jiàn)分(fēn)析鑒定系統，綜合多種靜态、動态文(wén)件(jiàn)鑒定系統提供對文(wén)件(jiàn)辨别是否安全可(kě)信的(de)綜合依據。

    4）實時的(de)威脅風險評估，通過各種雲安全設備（客戶端終端軟件(jiàn)、基于雲安全技術(shù)的(de)網絡檢測設備、移動檢測設備等），對網内威脅風險進行(xíng)實時的(de)變化反饋。

    5）多級安全防禦、威脅處置策略，根據威脅評估的(de)結果和(hé)用(yòng)戶對資産價值的(de)評估結果，将安全防禦與威脅處置策略的(de)制(zhì)定權力與建議方案提供給用(yòng)戶。減少(shǎo)用(yòng)戶對非核心價值資産的(de)關注所導緻人(rén)力物(wù)力投入的(de)分(fēn)散與浪費。

    6）多層次無庫惡意代碼檢測，從本地(dì)特征庫到(dào)内網雲特征庫，再到(dào)上(shàng)級特征庫和(hé)公網特征庫，多個(gè)層次特征庫可(kě)以實現對難以處置的(de)惡意程序和(hé)新發現惡意程序的(de)第一時間感知，進一步降低威脅發現的(de)延遲。

    7）威脅來源、分(fēn)布的(de)追溯能(néng)力，依靠對全網文(wén)件(jiàn)的(de)追溯能(néng)力，在發現（潛在）威脅的(de)第一時間對其來源進行(xíng)追溯，對其分(fēn)布影響以及可(kě)能(néng)引發的(de)後果進行(xíng)評估。爲管理(lǐ)員進行(xíng)安全應急響應決策制(zhì)定提供有(yǒu)力的(de)支持。

    8）綜合審計(jì)能(néng)力，對所有(yǒu)的(de)操作提供全面的(de)審計(jì)支持，爲由于人(rén)爲導緻的(de)安全事故提供後續封堵和(hé)追責的(de)參考。

    9）高(gāo)度開(kāi)放(fàng)的(de)用(yòng)戶自定義接口，所有(yǒu)潛在威脅發現、文(wén)件(jiàn)與數據的(de)鑒定、安全策略的(de)制(zhì)定與實施、審計(jì)内容的(de)定義都(dōu)是用(yòng)戶可(kě)通過開(kāi)放(fàng)接口進行(xíng)參與的(de)，以适應不同場(chǎng)景用(yòng)戶個(gè)性化的(de)需求。