基於私有雲安全平臺的網路安全部署與實施

1、雲技術的背景以及現狀

我國的反病毒技術起源自20 世紀90 年代，以各種基於特徵碼的惡意程式碼檢測方法和基於檔資料、程式列為的啟發式檢測為主。 隨著雲計算技術的發展，各個廠商陸續提出了自己的雲安全技術理念及相應的產品。 但這些產品多數的本質並沒有脫離特徵檢測這一方法，只是特徵的提取與匹配計算方式有所變化。

首先是病毒碼碼從用戶端採集向雲端採集的遷移。 為了解決檔資料不斷膨脹，惡意程式碼不斷增加給使用者帶來的記憶體、硬碟、IO 等負擔，雲安全技術首先利用雲計算實現了特徵存儲在雲端，使用者需要檢測的時候在本地提取特徵送往雲端檢測，進一步在雲端取得相關的處置方法。 應用此類技術的軟體可以被稱作雲安全軟體。

其次雲安全引入了更加豐富的樣本採集手段。 從傳統的使用者上報、廠商主動獲取(下載網站、爬蟲、光碟採購等)，轉向了由所有使用者共同組成的一個網路在這個網路的基礎上進行採集，而採集的樣本變得異常豐富：

1)可以通過數位簽章進行可信檔和非可信檔採集。 對於授信證書簽署的檔可以對其進行採集，配合後端分析減少惡意程式碼特徵的誤報。

2)可以通過檔的分佈資訊進行基於分佈的流行檔採集，對發現流行惡意程式碼、傳播迅速的惡意程式碼可以更快地發現。

3)可以通過檔的來源可信程度進行採集，對於易被感染的電腦終端(或傳播惡意程式碼的網站)，新發現的檔可疑程度也就更高，及時的採集則可以更快地發現惡意程式。

4)通過API監控技術和沙箱技術進行特定行為觸發的採集。 此方式對於帳號資訊盜取，敏感資訊竊取的木馬類採集異常有效。 而雲技術則可以對敏感位置和敏感性資料提供時時更新。

再者雲安全技術引入了新的惡意程式碼分析方式。 惡意程式可以基於檔的分佈廣度、檔的數位簽章、檔在電腦終端的實際行為進行分析檢測。 雲將這種檢測由原來的後置分析變成了在使用者現場進行的實際環境的採集和記錄，對於雲端來說需要的是對這些採集獲取的資料進行更多的計算和分析，來判別檔的黑白。 而無論是採取虛擬機器、沙箱、API監控還是網路資料抓取等任意技術為雲安全提供資料的終端設備，都可以被稱作是雲安全設備。

最後雲安全設備提供了按需採集資料的能力，這些資料構成了分析提取惡意程式碼特徵的基礎。 雲安全軟體提供了按特徵進行惡意程式碼檢測和處置的能力。 雲安全設備和雲安全軟體為廠商提供了使用者需求，廠商可以為使用者提供定制的安全服務，而廠商需要採集哪些惡意程式樣本並安裝用戶端需經使用者允許才可進行。 這兩種按需提供的安全服務構成了現有的雲安全技術體系。 但這個圍繞著發現惡意程式碼建立的安全體系在面對新安全威脅時存在著明顯的弱點。

2、私有雲安全平臺建立的意義

隨著企業管理資訊化、政府政務資訊化等各行業資訊化全面的發展，對於企業、政府機關、組織機構和特定的封閉環境對安全都有新的要求。 要滿足在封閉環境可用又有廣泛的適用性，就必須改變基於惡意程式碼特徵檢測的安全防禦方式，改變安全廠商完全封閉且使用者幾乎不可定義的安全防禦模型。

隨著「等級保護 」、「分級保護 」、「企業內控 」等相關法規與政策的相繼頒佈， 特別是與國計民生息息相關的大型國有企業與各級政府機關， 對於實施智慧財產權和涉密資訊保護的需求十分迫切。 打破傳統網路運維和安全防護的界限， 構建自主可控的智慧資訊終端安全運維體系， 實施業務網路完整的「發現、評估、處置、審計」威脅監控流程， 是新形勢下確保關鍵資訊系統安全穩定運營的重要前提。 以完整的「監測、發現、清除、恢復、審計」威脅監控流程為基礎，綜合利用雲安全設備與雲安全軟體的高度開放平臺即私有雲安全平臺來應對未來安全的威脅是必要的。

3、私有雲安全的定義

私有雲安全平臺是為應對以APT 為代表的下一代安全威脅而研發的，綜合利用雲安全軟體與雲安全設備，結合完整的威脅「發現、評估、處置、審計」流程，同時提供使用者對流程按需參與的下一代安全服務技術。 該技術通過雲安全軟體的監控能力來發現潛在安全威脅、依靠定制使用者可參與的多級分析鑒定系統對威脅進行評估、提供使用者完全可控的安全性原則處置方案、並且保證上述的所有操作都可以通過審計來事後追查。

4、私有雲安全的特點

私有雲安全平臺具有以下特點：

1)能提供不依賴黑名單的威脅防禦能力，以企業內部基本穩定的軟體生態系統為基礎形成可分級的自訂的安全基線。 利用安全基線，可以將原來單一依靠黑名單防護的「泛安全邏輯」轉換為「精確安全邏輯」。

2)改進的雲安全軟體監控，即時發現網內新產生的程式、軟體或資料。

3)多級多維檔分析鑒定系統，綜合多種靜態、動態檔鑒定系統提供對檔辨別是否安全可信的綜合依據。

4)即時的威脅風險評估，通過各種雲安全設備(用戶端終端軟體、基於雲安全技術的網路檢測設備、移動檢測設備等)，對網內威脅風險進行即時的變化回饋。

5)多級安全防禦、威脅處置策略，根據威脅評估的結果和使用者對資產價值的評估結果，將安全防禦與威脅處置策略的制定權力與建議方案提供給使用者。 減少使用者對非核心價值資產的關注所導致人力物力投入的分散與浪費。 處理流程如圖1 所示。

6)多層次無庫惡意程式碼檢測，從本地特徵庫到內網雲特徵庫，再到上級特徵庫和公網特徵庫，多個層次特徵庫可以實現對難以處置的惡意程式和新發現惡意程式的第一時間感知，進一步降低威脅發現的延遲。

7)威脅來源、分佈的追溯能力，依靠對全網檔的追溯能力，在發現(潛在)威脅的第一時間對其來源進行追溯，對其分佈影響以及可能引發的後果進行評估。 為管理員進行安全應急回應決策制定提供有力的支援。

8)綜合審計能力，對所有的操作提供全面的審計支援，為由于人為導致的安全事故提供後續封堵和追責的參考。

9)高度開放的使用者自訂介面，所有潛在威脅發現、檔與資料的鑒定、安全性原則的制定與實施、審計內容的定義都是使用者可通過開放介面進行參與的，以適應不同場景使用者個人化的需求。