云安全不僅是一種反病毒的技術(shù)，也是一種反病毒的理念，一種安全互聯(lián)網(wǎng)化的思路，一個(gè)互聯(lián)網(wǎng)化的安全防御體系。

人們的日常工作越來越依賴于Web應(yīng)用，然而最近幾年里，來自Web的安全威脅也越來越多，各種黑客工具、間諜軟件和病毒都可能導(dǎo)致用戶信息泄露和信息資產(chǎn)損失。電子政務(wù)外網(wǎng)作為政府部門的工作網(wǎng)，也同樣面臨此類威脅，并亟待解決。

防病毒需突破

根據(jù)AV-Test.org的最新統(tǒng)計(jì)數(shù)據(jù)顯示，全球惡意程序已超過1100萬個(gè)，每幾秒鐘就會(huì)產(chǎn)生一個(gè)新病毒。而病毒發(fā)展的渠道、傳播形式以及生命周期也發(fā)生了質(zhì)的改變，當(dāng)前的病毒絕大多數(shù)來自網(wǎng)絡(luò)，通過網(wǎng)絡(luò)傳播、自動(dòng)下載新病毒或自動(dòng)更新變種，不斷成長。網(wǎng)絡(luò)釣魚、木馬、間諜軟件、Botnet僵尸網(wǎng)絡(luò)，往往潛伏在看似正常的Web頁面中，一旦被點(diǎn)擊就會(huì)下載到用戶的機(jī)器中運(yùn)行。另外，來自Web的威脅具有混合型、定向攻擊和區(qū)域性爆發(fā)等特點(diǎn)，普通瀏覽網(wǎng)頁都變成了一件帶有極大安全風(fēng)險(xiǎn)的事情。

傳統(tǒng)的防病毒軟件應(yīng)付這些惡意程序，需要先從客戶端獲得病毒樣本，然后研制出相應(yīng)的病毒碼，再通過測試，最終還需把新病毒碼下載到用戶計(jì)算機(jī)上才能對病毒進(jìn)行查殺。不斷更新的病毒特征庫，不僅使病毒碼文件越變越大，而且也無法趕上新病毒產(chǎn)生的速度?，F(xiàn)在平均每隔幾秒種就有一個(gè)新病毒誕生，而在幾秒內(nèi)，我們可以做出病毒特征碼并分發(fā)到各個(gè)終端嗎?這顯然是不現(xiàn)實(shí)的。而且按當(dāng)前的病毒更新速度，每周將會(huì)增加大約3MB的病毒碼，如果病毒增長速度繼續(xù)加快的話，要不了多久，病毒碼就會(huì)達(dá)到1GB以上，這樣不僅增加了用戶計(jì)算機(jī)的負(fù)擔(dān)，還將導(dǎo)致查殺病毒的有效性急劇下降，因此，防病毒措施必須尋找新的技術(shù)突破。

云計(jì)算助安全

與網(wǎng)絡(luò)上流竄的病毒對抗，能不能以其人之道還治其人之身，對從網(wǎng)絡(luò)中來的病毒，就直接在網(wǎng)絡(luò)端解決，使反病毒響應(yīng)時(shí)間與病毒生成的時(shí)間相匹配?

伴隨著云計(jì)算技術(shù)的發(fā)展，這種想法成為了現(xiàn)實(shí)。利用云計(jì)算技術(shù)，在云端構(gòu)建龐大的病毒威脅庫，進(jìn)行7×24小時(shí)的實(shí)時(shí)計(jì)算，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常進(jìn)行監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到Server端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端，這種方式能夠很大程度上提升安全防護(hù)效能，人們稱之為“云安全”技術(shù)。

云安全技術(shù)將手工制作特征碼的方式轉(zhuǎn)變?yōu)樵品?wù)器群動(dòng)態(tài)計(jì)算的方式，相同的分析工作，傳統(tǒng)的人工分析需要2小時(shí)，而云安全技術(shù)只需要幾秒鐘，從而達(dá)到了與病毒產(chǎn)生速度匹配的效果。云安全技術(shù)將病毒本地掃描防護(hù)的機(jī)制轉(zhuǎn)變?yōu)榱薈lient—Cloud(客戶端-云端)的安全防護(hù)架構(gòu)，這樣用戶就能夠隨時(shí)獲得最新的安全防護(hù)。

云安全的工作模式

目前的云安全技術(shù)主要分為兩類:一類是把特征庫或類特征庫放在云端儲(chǔ)存與共享;另一類就是作為最新的惡意代碼、垃圾郵件或釣魚網(wǎng)址等的快速收集、匯總和響應(yīng)處理的系統(tǒng)。

第一類方式就目前來看，并沒有很好地發(fā)揮出云計(jì)算的優(yōu)勢，因?yàn)楫?dāng)前的信息安全產(chǎn)品還是具有很強(qiáng)的終端特性，僅僅將特征庫放在云端，并沒有太大的優(yōu)勢。因?yàn)樵谀壳暗木W(wǎng)絡(luò)環(huán)境中，下載下來也只是一瞬間的事，而且在本地存放特征庫還會(huì)大大增加因?yàn)榫W(wǎng)絡(luò)故障帶來的響應(yīng)失敗問題。

第二種方式能夠很好地對新的威脅進(jìn)行快速響應(yīng)，最大限度地發(fā)揮了群眾的力量，應(yīng)該說是一種較好的方式。隨著惡意程序的爆炸式增長，用戶更為迫切地需要能夠在第一時(shí)間就對新的惡意程序及其產(chǎn)生的不良影響進(jìn)行防御，甚至在新的惡意威脅出現(xiàn)之前就具備對其進(jìn)行防御的能力。

在上述云安全技術(shù)理念的指導(dǎo)下，當(dāng)前有三種典型的云安全技術(shù)模式:WRS(Web信譽(yù)服務(wù))、郵件信譽(yù)判定的 ERS(郵件信譽(yù)服務(wù))和文件信譽(yù)判定的FRS(文件信譽(yù)服務(wù))技術(shù)。其中，Web信譽(yù)服務(wù)是按照惡意軟件行為分析所發(fā)現(xiàn)的網(wǎng)站頁面、歷史位置變化和可疑活動(dòng)跡象等因素來指定信譽(yù)分?jǐn)?shù)，從而追蹤網(wǎng)頁的可信度;然后通過該技術(shù)繼續(xù)掃描網(wǎng)站并防止用戶訪問被感染的網(wǎng)站，并對惡意軟件行為進(jìn)行進(jìn)一步評估。Web信譽(yù)服務(wù)為網(wǎng)站的特定網(wǎng)頁或鏈接指定了信譽(yù)分值，而不是對整個(gè)網(wǎng)站進(jìn)行分類或攔截。通過Web信譽(yù)服務(wù)，可以防范惡意程序源頭。由于對零日攻擊的防范是基于網(wǎng)站的可信程度而不是真正的內(nèi)容，因此能有效預(yù)防惡意軟件的初始下載，在用戶進(jìn)入網(wǎng)絡(luò)前就能夠獲得防護(hù)能力。 文件信譽(yù)服務(wù)技術(shù)，可以檢查位于端點(diǎn)、服務(wù)器或網(wǎng)關(guān)處的每個(gè)文件的信譽(yù)。檢查的依據(jù)包括已知的良性文件清單和惡性文件清單，即現(xiàn)在所謂的防病毒特征碼。高性能的內(nèi)容分發(fā)網(wǎng)絡(luò)和本地緩沖服務(wù)器將確保在檢查過程中延遲時(shí)間降到最低。和占用端點(diǎn)空間的傳統(tǒng)防病毒特征碼文件下載相比，這種方法降低了端點(diǎn)內(nèi)存和系統(tǒng)消耗。行為關(guān)聯(lián)分析技術(shù)是云安全的重要技術(shù)手段之一。利用行為分析的“相關(guān)性技術(shù)”把威脅活動(dòng)綜合聯(lián)系起來，確定其是否屬于惡意行為。Web威脅的單一活動(dòng)似乎沒有什么害處，但是如果同時(shí)進(jìn)行多項(xiàng)活動(dòng)，那么就可能會(huì)導(dǎo)致惡意結(jié)果。把威脅的不同部分關(guān)聯(lián)起來，并不斷更新其威脅數(shù)據(jù)庫，就能夠?qū)崟r(shí)作出響應(yīng)，針對電子郵件和Web威脅提供及時(shí)、自動(dòng)的保護(hù)。

云安全不僅是一種反病毒的技術(shù)，也是一種反病毒的理念，一種安全互聯(lián)網(wǎng)化的思路，一個(gè)互聯(lián)網(wǎng)化的安全防御體系。云安全這種全新的防病毒模式與傳統(tǒng)代碼對比的殺毒方式相比，具有許多顯而易見的優(yōu)勢:

1. 利用云安全方式不占用內(nèi)存，節(jié)省資源。當(dāng)前用戶在安全軟件上最頭疼的問題就是內(nèi)存和CPU資源占用太多，安全軟件占用大量系統(tǒng)資源，導(dǎo)致其他正常應(yīng)用受到影響?，F(xiàn)在通過云安全技術(shù)就避免了這樣的問題。

2. 在威脅到達(dá)用戶計(jì)算機(jī)之前阻擋。以前的模式都是病毒進(jìn)入了系統(tǒng)以后再根據(jù)病毒碼進(jìn)行查殺，現(xiàn)在有了云安全，在云端就能直接阻止了，病毒根本就來不及危害電腦。

3. 有了云安全，云端的數(shù)據(jù)會(huì)實(shí)時(shí)更新，只有第一個(gè)受害者，之后的成千上萬用戶都不會(huì)受到這個(gè)病毒的侵?jǐn)_。而且針對第一個(gè)受害者，防病毒產(chǎn)品也可以在第一時(shí)間內(nèi)解決威脅。

4. 用戶越多，云端的數(shù)據(jù)就越龐大、越精確，更新速度就越快，用戶的安全就能得到更好的保障。

電子政務(wù)外網(wǎng)

巧用云安全

在云安全中，防御手段不但是主動(dòng)的，而且是立體的。云安全技術(shù)通過不斷更新的威脅數(shù)據(jù)庫，確保用戶可以立即自動(dòng)獲得針對最新威脅的防護(hù)，并對文件、電子郵件和URL進(jìn)行檢查，在Web威脅到達(dá)計(jì)算機(jī)之前予以攔截，從而降低了對系統(tǒng)資源的要求，帶來更強(qiáng)大的保護(hù)，同時(shí)減少對耗時(shí)的簽名下載的依賴性，為終端提供更加安全有效的防護(hù)盾牌，推動(dòng)網(wǎng)絡(luò)安全防護(hù)步入云端服務(wù)時(shí)代。

以某市電子政務(wù)外網(wǎng)為例，過去，該網(wǎng)絡(luò)分為幾個(gè)區(qū)域，各個(gè)區(qū)域之間通過同一個(gè)網(wǎng)關(guān)連接因特網(wǎng)，各區(qū)域之間用防火墻隔離，整個(gè)網(wǎng)絡(luò)有5000個(gè)左右用戶。該電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)連接在一起，互聯(lián)網(wǎng)基于開放的平臺，十分不安全，即便互聯(lián)網(wǎng)出口部署了防火墻，當(dāng)前流行的安全威脅常常以HTTP/FTP方式直接穿過防火墻，植入到網(wǎng)絡(luò)內(nèi)部，也會(huì)給用戶造成很大的安全隱患。

另外，由于網(wǎng)絡(luò)中用戶很多，用戶安全防護(hù)管理水平不一，某一個(gè)單位病毒爆發(fā)，瞬間就會(huì)擴(kuò)散到全網(wǎng)，將導(dǎo)致網(wǎng)絡(luò)中幾乎每隔一段時(shí)間都會(huì)有一次大規(guī)模的病毒爆發(fā)，ARP類型病毒和蠕蟲、木馬交叉感染對網(wǎng)絡(luò)整體安全運(yùn)行會(huì)造成很大影響。

現(xiàn)在，該市電子政務(wù)外網(wǎng)采用全方位、多層次的防病毒模式，部署多層次病毒防線，對用戶客戶機(jī)進(jìn)行防護(hù)，具體來說就是:在網(wǎng)關(guān)部署云安全硬件產(chǎn)品，實(shí)現(xiàn)對Http、FTP等協(xié)議的過濾，針對Web上網(wǎng)瀏覽和下載進(jìn)行全面的安全過濾;對于整個(gè)網(wǎng)絡(luò)中的計(jì)算機(jī)操作系統(tǒng)病毒和間諜軟件安全防護(hù)(包括服務(wù)器和客戶機(jī))，采用帶云安全模式的防毒墻網(wǎng)絡(luò)版客戶端。并通過上述產(chǎn)品帶的云安全功能對用戶的安全威脅進(jìn)行有效地過濾。

多層次的安全防護(hù)系統(tǒng)讓該電子政務(wù)外網(wǎng)完全擺脫了先前被動(dòng)式的防護(hù)，最大程度減少了電子政務(wù)網(wǎng)防病毒系統(tǒng)維護(hù)所需的人力資源、去終端查殺病毒等繁瑣工作，提升了電子政務(wù)網(wǎng)信息中心的人均生產(chǎn)力，也提升了所有終端用戶的人均生產(chǎn)力。