洪家軍

?

云計(jì)算模式下的網(wǎng)絡(luò)安全研究*

洪家軍

莆田學(xué)院電子信息工程系

云計(jì)算是繼網(wǎng)格計(jì)算后又一項(xiàng)正在興起的技術(shù)，云安全是云計(jì)算理念的發(fā)展和應(yīng)用，是在網(wǎng)絡(luò)安全領(lǐng)域中的一次重大革新。該文首先介紹了云計(jì)算的概念、工作原理和三種主要的應(yīng)用模式；然后介紹了云安全及其工作原理，分析和對(duì)比了現(xiàn)行的瑞星和趨勢(shì)科技兩種不同的典型云安全實(shí)現(xiàn)模式；最后指出了這兩種模式各自的優(yōu)缺點(diǎn)，并提出了改進(jìn)方案。

云計(jì)算 云安全 網(wǎng)絡(luò)安全

0 引言

隨著Internet應(yīng)用技術(shù)的發(fā)展和普及，尤其是更加自由和靈活的Web2.0 時(shí)代的到來(lái)，高速增長(zhǎng)的網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)數(shù)據(jù)量對(duì)計(jì)算機(jī)的處理能力提出了更高的要求；此外，網(wǎng)絡(luò)資源的需求和利用出現(xiàn)了失衡狀態(tài)，某些應(yīng)用需要大量的網(wǎng)絡(luò)資源，而大量的其它的網(wǎng)絡(luò)資源又沒(méi)有得到充分利用[1]。因此，必須對(duì)網(wǎng)絡(luò)資源進(jìn)行整合和優(yōu)化，在這種背景下，云計(jì)算(Cloud Computing)應(yīng)運(yùn)而生。

面臨目前日益增多的安全威脅，特別是木馬和惡意程序，傳統(tǒng)的安全防護(hù)措施已無(wú)法有效解決問(wèn)題。網(wǎng)絡(luò)安全廠商利用云計(jì)算的理念推出了一種全新的安全服務(wù)，這就是云安全[2]（Cloud Secure）。

1 云計(jì)算

1.1 云計(jì)算的概念

云計(jì)算是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網(wǎng)格計(jì)算(Grid Computing)的發(fā)展，是一種基于因特網(wǎng)的超級(jí)計(jì)算模式，在遠(yuǎn)程的數(shù)據(jù)中心里，成千上萬(wàn)臺(tái)計(jì)算機(jī)和服務(wù)器連接成一片計(jì)算機(jī)云?！霸啤敝械馁Y源在用戶看來(lái)是可以無(wú)限擴(kuò)展的，并且可以隨時(shí)獲取，按需使用，隨時(shí)擴(kuò)展，按使用付費(fèi)。用戶可以通過(guò)計(jì)算機(jī)和手機(jī)等方式接入數(shù)據(jù)中心，按自己的需求進(jìn)行運(yùn)算[3]。

判斷一個(gè)系統(tǒng)是不是云計(jì)算，有以下三條標(biāo)準(zhǔn)[4]：

（1）用戶使用的資源不在客戶端而在網(wǎng)絡(luò)中。這是云計(jì)算的根本理念所在，即通過(guò)網(wǎng)絡(luò)給用戶提供所需的計(jì)算力、存儲(chǔ)空間、軟件功能和信息服務(wù)等。

（2）服務(wù)能力具有分鐘級(jí)甚至秒級(jí)的伸縮能力。這要求在用戶使用高峰期，當(dāng)云計(jì)算資源節(jié)點(diǎn)的服務(wù)能力不夠時(shí)，能在數(shù)分鐘甚至數(shù)秒內(nèi)增加服務(wù)節(jié)點(diǎn)應(yīng)對(duì)網(wǎng)絡(luò)的尖峰流量，而且這些服務(wù)節(jié)點(diǎn)還能隨著流量的減少而減少。

（3）具有較之傳統(tǒng)模式5倍以上的性能價(jià)格比優(yōu)勢(shì)。在云計(jì)算理念下，通過(guò)將數(shù)量龐大的廉價(jià)計(jì)算機(jī)放進(jìn)資源池中，用軟件容錯(cuò)來(lái)降低硬件成本；通過(guò)將云計(jì)算設(shè)施部署在寒冷和電力資源豐富的地區(qū)來(lái)節(jié)省電力成本；通過(guò)規(guī)?；墓蚕硎褂脕?lái)提高資源利用率。國(guó)外代表性云計(jì)算平臺(tái)提供商達(dá)到了驚人的10～40倍的性能價(jià)格比提升。國(guó)內(nèi)由于技術(shù)、規(guī)模和統(tǒng)一電價(jià)等問(wèn)題，暫時(shí)難以達(dá)到同等的性能價(jià)格比，但中國(guó)移動(dòng)研究院的云計(jì)算平臺(tái)已經(jīng)達(dá)到了5～7倍的性能價(jià)格比提升，其性能價(jià)格比隨著規(guī)模和利用率的提升還有提升空間。

1.2 云計(jì)算的工作原理

云計(jì)算的思想就是把力量聯(lián)合起來(lái)，然后給其中的每一個(gè)成員使用。其基本原理是通過(guò)使計(jì)算分布在大量的分布式計(jì)算機(jī)上，而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上，根據(jù)需求訪問(wèn)計(jì)算機(jī)和存儲(chǔ)系統(tǒng)。這也意味著計(jì)算能力就像我們現(xiàn)在使用水和電一樣，取用方便，費(fèi)用低廉。對(duì)于用戶來(lái)說(shuō)，只需要一臺(tái)計(jì)算機(jī)或者一部手機(jī)，就可以通過(guò)網(wǎng)絡(luò)服務(wù)來(lái)實(shí)現(xiàn)需要的一切，甚至包括超級(jí)計(jì)算和存儲(chǔ)能力。

1.3 云計(jì)算的主要應(yīng)用模式

目前，云計(jì)算呈現(xiàn)給用戶的應(yīng)用模式主要包括軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）和基礎(chǔ)設(shè)施即服務(wù)（IaaS）三種應(yīng)用模式[5]。

（1）SaaS( Software as a Service，軟件即服務(wù)) ：這是一種通過(guò)Internet提供軟件的模式，在這種模式下，用戶將不再需要購(gòu)買(mǎi)軟件，而是直接從云中租用基于Web的軟件。Google的Google Docs就是典型實(shí)例之一。

（2）PaaS( Platform as a Service，平臺(tái)即服務(wù)) : 這種模式是指將軟件研發(fā)的平臺(tái)作為一種服務(wù)，以SaaS的模式提交給用戶?；赑aaS平臺(tái)，用戶可以快速開(kāi)發(fā)自己所需要的應(yīng)用和產(chǎn)品。Force.com和Google App Engine是典型實(shí)例之一。

（3）IaaS (Infrastructure as a Service，基礎(chǔ)設(shè)施即服務(wù))：在這種模式下，用戶通過(guò)Internet可以從完善的計(jì)算機(jī)基礎(chǔ)設(shè)施獲得服務(wù)，例如處理機(jī)、存儲(chǔ)、網(wǎng)絡(luò)和其它基本的計(jì)算資源，以供用戶部署或運(yùn)行自己任意的軟件，包括操作系統(tǒng)或應(yīng)用。例如The New York Times 處理 TB 級(jí)的文檔數(shù)據(jù)原來(lái)需要數(shù)天甚至數(shù)月，而使用Amazon EC2（虛擬計(jì)算機(jī)）在36小時(shí)內(nèi)就可以完成[6]，極大提高了數(shù)據(jù)處理的速度和效率。

2 云安全

2.1 云安全的定義

所謂云安全，主要包含兩個(gè)方面的含義。一是云上的安全，也稱為云計(jì)算安全，就是云計(jì)算自身存在的安全隱患。二是云計(jì)算技術(shù)在信息安全領(lǐng)域的具體應(yīng)用，也稱為安全云計(jì)算。這里說(shuō)的云安全是指后者。

云安全是通過(guò)將大量客戶端和安全廠商技術(shù)平臺(tái)通過(guò)網(wǎng)絡(luò)緊密相聯(lián)，組成一個(gè)用于監(jiān)測(cè)和查殺用戶計(jì)算機(jī)中的軟件異常行為、木馬和惡意程序及代碼的龐大網(wǎng)絡(luò)系統(tǒng)，并能動(dòng)態(tài)地對(duì)用戶訪問(wèn)的信息進(jìn)行安全評(píng)估，在威脅入侵用戶網(wǎng)絡(luò)之前，在源端直接將其阻止，并將這一解決方案分發(fā)到每一個(gè)客戶端，從而達(dá)到零接觸、零感染的目標(biāo)。在這個(gè)系統(tǒng)中，每個(gè)用戶都為“云安全”貢獻(xiàn)一份力量，同時(shí)分享其他所有用戶的安全成果。其最終結(jié)果是將整個(gè)互聯(lián)網(wǎng)變成一個(gè)巨大的“殺毒軟件”，參與者越多，每個(gè)參與者就越安全，整個(gè)互聯(lián)網(wǎng)就更安全。

建立一個(gè)云安全系統(tǒng)，需要滿足以下四個(gè)方面的條件[7]：

（1）海量的網(wǎng)絡(luò)用戶參與。這些網(wǎng)絡(luò)用戶的計(jì)算機(jī)將扮演云安全探針的角色，云安全探針用于實(shí)時(shí)探測(cè)用戶計(jì)算機(jī)面臨的安全威脅。

（2）專業(yè)的反病毒技術(shù)和經(jīng)驗(yàn)。這需要有專業(yè)的安全廠商參與進(jìn)來(lái)。

（3）大量的資金和技術(shù)投入。這需要有實(shí)力雄厚的IT企業(yè)加入，甚至是政府的大力支持。

（4）必須是開(kāi)放的系統(tǒng)，允許大量合作伙伴的加入。這要求系統(tǒng)能兼容多種軟硬件環(huán)境，從而保證有更多的用戶和合作伙伴可以輕松地加入這一系統(tǒng)。

2.2 云安全的工作原理

與傳統(tǒng)的被動(dòng)的特征對(duì)比和解毒反病毒技術(shù)不同，云安全是主動(dòng)防御方式，在病毒、木馬和惡意程序及代碼侵入用戶系統(tǒng)之前就能予以攔截。

在云安全模式下，大多數(shù)病毒特征碼文件保存到云數(shù)據(jù)庫(kù)中供云中所有用戶使用，用戶計(jì)算機(jī)僅保存少量必要的文件。在查殺毒病時(shí)，如果有未知的病毒或可疑文件，云安全探針將會(huì)自動(dòng)將該新病毒文件或可疑文件提交到云中，由云提供商專業(yè)的安全技術(shù)團(tuán)隊(duì)予以分析和確認(rèn)，然后將解決方案分發(fā)給云中的每個(gè)用戶計(jì)算機(jī)；同時(shí)云中的安全探針還可以實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)軟件的異常行為，能有效攔截并記錄木馬和惡意程序，阻止盜號(hào)和用戶信息外泄等惡意事件的發(fā)生。

2.3 兩種模式的“云安全”技術(shù)分析

趨勢(shì)科技、瑞星、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛(wèi)士等都推出了云安全解決方案。這些云安全解決方案可以歸結(jié)為以瑞星和趨勢(shì)科技為代表的兩大陣營(yíng)。

趨勢(shì)科技提出的“Secure Cloud”的云安全模式以以下三項(xiàng)核心技術(shù)作為基礎(chǔ)架構(gòu)的云客戶端安全架構(gòu)[8]：

（1）Web信譽(yù)服務(wù)。按惡意軟件行為分析網(wǎng)站網(wǎng)頁(yè)并動(dòng)態(tài)指定信譽(yù)分?jǐn)?shù)，從而追蹤網(wǎng)頁(yè)的可信度。當(dāng)用戶訪問(wèn)信譽(yù)分值較低的網(wǎng)頁(yè)時(shí)就能得到及時(shí)的提醒或阻止。

（2）電子郵件信譽(yù)服務(wù)。對(duì)電子郵件的發(fā)送源地址和發(fā)件人進(jìn)行信譽(yù)評(píng)估，這樣惡意電子郵件在云中就能予以攔截，從而防止僵尸或僵尸網(wǎng)絡(luò)等Web威脅到達(dá)網(wǎng)絡(luò)或用戶計(jì)算機(jī)。

（3）文件信譽(yù)服務(wù)。利用黑名單和白名單以及病毒特征碼技術(shù)，對(duì)每個(gè)文件進(jìn)行信譽(yù)評(píng)分。這樣就可以有效防御病毒、木馬和惡意程序?qū)τ脩粝到y(tǒng)的入侵。

與趨勢(shì)科技的服務(wù)器群“云”不同，瑞星的“云”建立在廣大的互聯(lián)網(wǎng)用戶上，所有加入瑞星“云安全”計(jì)劃的用戶客戶端都將是瑞星云安全探針，它們負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)中軟件行為的異常，將發(fā)現(xiàn)的疑似木馬、惡意程序等最新信息推送到瑞星的服務(wù)器進(jìn)行自動(dòng)分析和處理，然后把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。

對(duì)比這兩種完全不一樣的云安全模式，趨勢(shì)科技的主要優(yōu)勢(shì)是能夠有效阻止外來(lái)的網(wǎng)絡(luò)威脅，依賴的基礎(chǔ)是龐大的服務(wù)器群，不足之處就是未能充分利用大量的廉價(jià)的客戶端的計(jì)算能力來(lái)收集客戶端本身的未知威脅信息；而瑞星的優(yōu)勢(shì)就是能夠感知客戶端計(jì)算機(jī)本身已存在的未知病毒和其它安全威脅，依賴的基礎(chǔ)是海量的云用戶客戶端，不足之處就是不能在未知威脅進(jìn)入到用戶計(jì)算機(jī)前進(jìn)行攔截，也就是說(shuō)必須至少有一個(gè)受害者的犧牲才能換取其他云用戶的安全?？梢哉f(shuō)是“事后諸葛”[7]。

趨勢(shì)科技和瑞星的云安全模式都已經(jīng)推出了自己的產(chǎn)品，并逐步在企業(yè)界和普通大眾等領(lǐng)域得以推廣和應(yīng)用。但各自存在的不足使得云計(jì)算的理念和云安全的優(yōu)勢(shì)未能充分體現(xiàn)，一種可行的改進(jìn)方案就是將趨勢(shì)科技的云安全模式與瑞星的云安全模式相結(jié)合，以趨勢(shì)科技的云安全技術(shù)為基礎(chǔ)，開(kāi)發(fā)類似瑞星的全開(kāi)放的云安全探針，充分利用所有網(wǎng)絡(luò)用戶計(jì)算機(jī)的計(jì)算能力來(lái)收集客戶端本身的未知威脅信息，從而達(dá)到網(wǎng)內(nèi)與網(wǎng)外的全方位安全防御。同時(shí)需要建立數(shù)以萬(wàn)計(jì)甚至更多的服務(wù)器群，并利用成熟的并行處理技術(shù)應(yīng)付日益復(fù)雜的安全威脅和事務(wù)處理。

3 小結(jié)

云計(jì)算是一種可以推動(dòng)世界前進(jìn)的偉大創(chuàng)意，是未來(lái)IT 互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的趨勢(shì)，雖然目前還存在很多問(wèn)題需要解決，但是隨著社會(huì)信息化的推進(jìn)，這種成本低廉、性能超群的云計(jì)算終究會(huì)普及到各個(gè)領(lǐng)域。云安全作為云計(jì)算的一種具體應(yīng)用，趨勢(shì)科技、瑞星等網(wǎng)絡(luò)安全企業(yè)的“云安全”產(chǎn)品已經(jīng)開(kāi)始展顯了“云計(jì)算”的獨(dú)特優(yōu)勢(shì)和實(shí)力。但必須清楚地認(rèn)識(shí)到，云安全并不能一勞永逸地解決信息安全領(lǐng)域中的所有安全問(wèn)題，比如云本身的安全，存儲(chǔ)在云中的用戶數(shù)據(jù)安全等問(wèn)題有待進(jìn)一步探索和研究。

[1] 陳丹偉,黃秀麗,任勛益. 云計(jì)算及安全分析[J]. 計(jì)算機(jī)技術(shù)與發(fā)展,2010, 20(2):99-102.

[2] 薄明霞,陳軍,王渭清.云計(jì)算安全體系架構(gòu)研究[J].技術(shù)研究,2011 (8):79-81.

[3] 中國(guó)云計(jì)算網(wǎng). 什么是云計(jì)算？[EB/OL]. http://www.cloudcomputing- china.cn/Article/ShowArticle.asp?ArticleID=1, 2010-07-06/2012-03-20.

[4] 劉鵬. 云計(jì)算發(fā)展的現(xiàn)狀與趨勢(shì)[EB/OL]. http://www.chinacloud.cn/ LiuPeng_CloudTrend.ppt, 2011-06-21/2012-03-20.

[5] 百度百科.云安全[EB/OL]. http://baike.baidu. com/view/1725454.htm, 2012- 02-07/2012-03-20.

[6] 百度百科.IaaS[EB/OL]. http://baike.baidu.com/view/2482595.htm, 2011-12- 13/2012-03-20.

[7] 孫紅. 論“云安全”在殺毒軟件中的應(yīng)用[J].信息安全與通信保密,2009(8): 36-38.

[8] 趙鵬,齊文泉,時(shí)長(zhǎng)江.下一代計(jì)算機(jī)病毒防范技術(shù)“云安全”架構(gòu)與原理[J]. 網(wǎng)絡(luò)與通信信息技術(shù)與信息化,2009(6):67-70.

福建省科技廳重大項(xiàng)目（2010H6019）；福建省莆田市科技計(jì)劃項(xiàng)目（2010G09）。