警惕“山寨版”云安全 病毒或是定时炸弹

[chyb]

最近有朋友问我“云安全”到底是怎么回事，因为一些安全厂商对客户推出基于“云安全”的解决方案。我以为一个相对简单的判断方式就是：和安全相关的计算资源（威胁信息汇总、特征码分析）和服务是否大量放置在网络数据中心中，数据中心是否够大够牛。另外，希望以下文字能促进大家对“云计算”有一个大致印象。


　　 在IBM、微软、google等众多巨头热捧“云计算”时，趋势科技、瑞星科技等安全厂商也相继推出“云安全”。

　　“云计算”的模式是将计算资源放置在网络中，供许多终端设备来使用。同理，“云安全”是将和安全相关的计算资源（威胁信息汇总、特征码分析）和服务放置在网络中，为许多设备终端提供安全防护。

　　我以为，这不是简单地跟风，而是现实所逼迫。

　　最近几年来，不断有安全专家发出警告，如果任由病毒和垃圾邮件迅猛增加，而不主动去遏制这些不利情况，互联网迟早有一天会因不堪重负而崩溃。这真的不是危言耸听。自2005年开始有“Web威胁”一说开始，短短的两年间，Web威胁已经增长了1564%，全球病毒已经超过了1100万个。

　　病毒在呈几何级的增长，而我们采用的技术模式却是，用户必须通过定期升级病毒特征码数据库，并将其保存在自己的计算机上，在2005年，一天只有大约50种特征码被添加到数据库中，而2008年，该数字增加到了5,000。

　　对于我们用户而言，最直接的感受是，计算里没装太多东西，运行起来速度越来越慢，慢到快让你崩溃。其中，有一个原因就是，那些这在呈指数级增长的特征码在消耗你的计算机和网络的内存。当然，也包括那些还未发作过的病毒程序。

　　因此，“云安全”第一个最直接的好处就是，最大可能地释放了用户端网络终端的存储空间。据趋势科技技术人员介绍，他们的“云安全”是尽可能地降低客户端的征码文件数量，而将绝大多数特征码文件保存到互联网云数据库中。为此，趋势科技云安全已经在全球建立了5大数据中心，布置了34000台在线服务器。平均每天55亿条点击查询，每天收集分析2.5亿个样本，资料库第一次命中率就可以达到99%。

　　“云安全”更为重要的意义还在于，颠覆了传统的病毒防范模式。多年来，杀毒软件一直被诟病为“过期药”，杀毒厂商永远是跟在病毒后面，就算你以最快速度截获病毒，损失依然不可避免。

　　传统代码比对技术的通常做法是：在已知病毒样本中，抽取特征代码，打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，再断定，被查文件中患有何种病毒。这意味着，用户中毒并反馈后，杀毒企业才能解码防护。

　　而“云安全”基本上颠覆了这一模式，在Web威胁、电子邮件威胁和文件威胁到达最终用户或公司网络之前对其予以拦截。譬如，通过推出在云中的快速实时安全状态的“检测”，降低对端点上下载传统特征码文件的依赖性，用多层、多组件的灵活的可适应技术在“云”中进行安全防范。

　　据了解，趋势科技目前已经实现了对Web威胁、电子邮件威胁的防御，对文件威胁的防御将在2009年实现。而相应的可适应技术产品包括有：网关安全设备IWSA、客户端产品OfficeScan 、中小企业产品Worry Free5.0以及个人消费类产品网络安全专家（TIS）等。

　　由此可见，“云安全”看上去很美，但门槛却不低。其一，安全厂商要有足够的钱建立数据中心，几千台上万台服务器只是“毛毛雨”，入门线至少是3、5万台。其二，安全厂商要有足够技术实力，采用云计算技术构架，软件编程的方式也会有所不同。

　　所以，笔者提醒大家，当有人提供“云安全”解决方案时，一定要判断清楚了，否则会被“山寨版”的“云安全”蒙一把，毕竟安全方案的选择不同于手机选择那样简单。