云安全

信息时报讯 （记者 詹丽冬） 上周五，工信部和发改委联合通知，将北京、上海、深圳等五个城市，列为开展云计算服务的试点城市。受到此利好消息的推动，昨日相关云计算概念股风起云涌，多只个股涨停。不过，业内人士表示，目前国内云计算技术尚处于起步阶段，多数公司还只停留在概念炒作，短期可关注试点区域内具有国资背景的企业。
　　利好推动多个股涨停
　　上周五工信部和国家发改委联合发布通知，将在北京、上海、深圳、杭州、无锡等五个城市先行开展云计算服务创新发展试点示范工作。
　　昨日，作为“十二五”的战略性新兴产业，在实质利好的驱动下，云计算概念股表现抢眼，开盘后便有多股触及涨停，至收盘，云计算概念也领涨电子信息板块，华胜天成、浪潮信息、浪潮软件、信诺瑞得、卫士通、鹏博士等云计算概念股涨停。
　　市场有望3年破万亿
　　据业内人士预测，云计算市场将以28%的复合年增长率迅速扩张，云计算在中国的市场规模有望在3年内突破1万亿，到2012年，云计算技术将相当普及。
　　宏源证券研究员胡颖认为，云计算有望成为继大型计算机、个人计算机、互联网之后的第四次IT产业革命，其发展受到政府和企业的高度关注。美国硅谷目前已经约有150家涉及云计算的企业，公开宣布进入或支持云计算技术开发的业界巨头包括微软、谷歌、IBM、Amazon、Netsuite、NetApp、Adobe等。
　　尚处初级发展阶段
　　不过，在多数业内分析师看来，目前云计算的核心技术在国内尚未被掌握，受制于此，业务的发展将是一个渐进的过程，产业化的周期，可能要比资本市场预期更长。在大多数企业中，云计算业务占比也很低，对业绩的提升不大，目前，很多概念股的上涨也只是资金的炒作。短期来说，可关注处于五大云计算工程试点城市、推出大规模云计算计划区域的尤其是具有国资背景的上市公司。
　　如系统集成商“华胜天成”便被多名券商研究员提及。在今年9月初，华胜天成便发布公告，通过增发融资8亿元用于云计算信息融合服务平台的研发和市场推广。广发证券指出，华胜天成作为该领域的研发龙头，拥有部分核心技术，可以积极关注。另外，宏源证券分析师胡颖指出，一些公司在云计算的建设中，已经取得了一些实质性的订单，后续的发展也值得关注。系统集成方面的，有华胜天成、东华软件；做服务器的有浪潮信息；涉及安全建设的有卫士通、启明星辰；网宿科技和鹏博士，则是IDC及CDN业务提供商。
　　名词解释　云计算
　　云计算是一种能够方便、按需从网络访问共享的可配置计算资源（如，网络、服务器、存储、应用程序和服务）池的模型，且只需最少的管理或服务提供方交互即可快速供应和发布该模型。

云安全（Cloud Security）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

目录

概念

发展趋势

思想来源

策略构想

主要内容

技术由来

名称设计

难点问题

展开

编辑本段概念

　　 

  

云安全示意图

中国企业创造的“云安全”概念，在国际云计算领域独树一帜。云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。整个互联网，变成了一个超级大的杀毒软件，这就是云安全计划的宏伟目标。

编辑本段发展趋势

　　 

  

云安全架构

未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马，在这样的情况下，采用的特征库判别法显然已经过时。云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全。

　　云安全的概念提出后，曾引起了广泛的争议，许多人认为它是伪命题。但事实胜于雄辩，云安全的发展像一阵风[1]，瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全卫士等都推出了云安全解决方案。瑞星基于云安全策略开发的2009新品，每天拦截数百万次木马攻击，其中1月8日更是达到了765万余次。趋势科技云安全已经在全球建立了5大数据中心，几万部在线服务器。据悉，云安全可以支持平均每天55亿条点击查询，每天收集分析2.5亿个样本，资料库第一次命中率就可以达到99%。借助云安全，趋势科技现在每天阻断的病毒感染最高达1000万次。

编辑本段思想来源

　　 

  

云安全示意图

云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。

　　云安全的过程值得一提的是，云安全的核心思想，与刘鹏早在2003年就提出的反垃圾邮件网格非常接近。刘鹏当时认为，垃圾邮件泛滥而无法用技术手段很好地自动过滤，是因为所依赖的人工智能方法不是成熟技术。垃圾邮件的最大的特征是：它会将相同的内容发送给数以百万计的接收者。

　　为此，可以建立一个分布式统计和学习平台，以大规模用户的协同计算来过滤垃圾邮件：

　　首先，用户安装客户端，为收到的每一封邮件计算出一个唯一的“指纹”，通过比对“指纹”可以统计相似邮件的副本数，当副本数达到一定数量，就可以判定邮件是垃圾邮件；

　　其次，由于互联网上多台计算机比一台计算机掌握的信息更多，因而可以采用分布式贝叶斯学习算法，在成百上千的客户端机器上实现协同学习过程，收集、分析并共享最新的信息。

　　反垃圾邮件网格体现了真正的网格思想，每个加入系统的用户既是服务的对象，也是完成分布式统计功能的一个信息节点，随着系统规模的不断扩大，系统过滤垃圾邮件的准确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟，不容易出现误判假阳性的情况，实用性很强。反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作，来构建一道拦截垃圾邮件的“天网”。

　　反垃圾邮件网格思想提出后，被IEEE Cluster 2003国际会议选为杰出网格项目在香港作了现场演示，在2004年网格计算国际研讨会上作了专题报告和现场演示，引起较为广泛的关注，受到了中国最大邮件服务提供商网易公司创办人丁磊等的重视。既然垃圾邮件可以如此处理，病毒、木马等亦然，这与云安全的思想就相去不远了。

编辑本段策略构想

　　 

  

云安全时代会议

云安全的策略构想是使用者越多，每个使用者就越安全，因为如此庞大的用户群，足以覆盖互联网的每个角落，只要某个网站被挂马或某个新木马病毒出现，就会立刻被截获。

编辑本段主要内容

　　 

  

瑞星云安全计划杀毒软件

瑞星“云安全”计划的内容是，将用户和瑞星技术平台通过互联网紧密相连，组成一个庞大的木马/恶意软件监测、查杀网络，每个“瑞星卡卡6.0”用户都为“云安全”计划贡献一份力量，同时分享其他所有用户的安全成果。

　　“瑞星卡卡6.0”的“自动在线诊断”模块，是“云安全”计划的核心之一，每当用户启动电脑，该模块都会自动检测并提取电脑中的可疑木马样本，并上传到瑞星“木马/恶意软件自动分析系统”，整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户，查杀木马病毒，并通过瑞星安全资料库，分享给其他所有“瑞星卡卡6.0”用户。

　　瑞星卡卡6.0本身只是一个数兆大小的安全工具，但是它的背后是国内最大的信息安全专业团队，是瑞星“木马/恶意软件自动分析系统”（RsAMA）和“瑞星安全资料库”（RsSD），同时共享着数千万其他瑞星卡卡6.0用户的可疑文件监测成果。

编辑本段技术由来

　　 

  

云安全宣传图

云安全的核心思想，与刘鹏早在2003年就提出的反垃圾邮件网格非常接近，刘鹏当时认为，垃圾邮件泛滥而无法用技术手段很好地自动过滤，是因为所依赖的人工智能方法不是成熟技术。垃圾邮件的最大的特征是：它会将相同的内容发送给数以百万计的接收者。为此可以建立一个分布式统计和学习平台，以大规模用户的协同计算来过滤垃圾邮件：首先，用户安装客户端，为收到的每一封邮件计算出一个唯一的“指纹”，通过比对“指纹”可以统计相似邮件的副本数，当副本数达到一定数量，就可以判定邮件是垃圾邮件。

　　由于互联网上多台计算机比一台计算机掌握的信息更多，因而可以采用分布式贝叶斯学习算法，在成百上千的客户端机器上实现协同学习过程，收集、分析并共享最新的信息。反垃圾邮件网格体现了真正的网格思想，每个加入系统的用户既是服务的对象，也是完成分布式统计功能的一个信息节点，随着系统规模的不断扩大，系统过滤垃圾邮件的准确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟，不容易出现误判假阳性的情况，实用性很强。反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作，来构建一道拦截垃圾邮件的“天网”。反垃圾邮件网格思想提出后，被IEEE Cluster 2003国际会议选为杰出网格项目在香港作了现场演示，在2004年网格计算国际研讨会上作了专题报告和现场演示，引起较为广泛的关注，受到了中国最大邮件服务提供商网易公司创办人丁磊等的重视。既然垃圾邮件可以如此处理，病毒、木马等亦然，这与云安全的思想就相去不远了。

编辑本段名称设计

　　 

  

云安全讲座

“云安全”这个名字是马刚起的，本打算叫“安全云”，被大家鄙视，以为土气。其实这个概念早就有了，只不过瑞星动的比较快。“云计算”之前，有个很热的概念叫做“网格计算”，就是把大家的计算机联合起来，贡献出一些空闲的计算能力，供大家随时取用。google是“网格计算”最早的利用者之一，他的服务器都是用廉价的PC机联合起来，用来取代昂贵的服务器，以提供大容量搜索要求的计算能力。其中的技术难点，就在于并行计算、服务器通讯这些技术。

　　由瑞星服务器、数千万卡卡用户就可以组成虚拟的网络，简称为“云”。病毒针对“云”的攻击，都会被服务器截获、记录并反击。被病毒感染的节点可以在最短时间内，获取服务器的解决措施，查杀病毒恢复正常。这样的“云”，理论上的安全程度是可以无限改善的。“云”最强大的地方，就是抛开了单纯的“客户端”防护的概念。传统客户端被感染，杀毒完毕之后就完了，没有进一步的信息跟踪和分享。而“云”的所有节点，是与服务器共享信息的。你中毒了，服务器就会记录，在帮助你处理的同时，也把信息分享给其它用户，他们就不会被重复感染。于是这个“云”笼罩下的用户越多，“云”记录和分享的安全信息也就越多，整体的用户也就越强大。这才是网络的真谛，也是所谓“云安全”的精华之所在。

编辑本段难点问题

　　 

  

云安全示意图

要想建立“云安全”系统，并使之正常运行，需要解决四大问题：第一，需要海量的客户端（云安全探针）；第二，需要专业的反病毒技术和经验；第三，需要大量的资金和技术投入；第四，必须是开放的系统，而且需要大量合作伙伴的加入。

　　第一、 需要海量的客户端（云安全探针）。只有拥有海量的客户端，才能对互联网上出现的病毒、木马、挂马网站有最灵敏的感知能力。目前瑞星有超过一亿的自有客户端，如果加上迅雷、久游等合作伙伴的客户端，则能够完全覆盖国内的所有网民，无论哪个网民中毒、访问挂马网页，都能在第一时间做出反应。

　　第二、 需要专业的反病毒技术和经验。瑞星拥有将近20年的反病毒技术积累，有数百名工程师组成的研发队伍，近年来连续获得国际级技术认证，技术实力稳居世界前列。这些都使瑞星“云安全”系统的技术水平国内首创，国际领先。大量专利技术、虚拟机、智能主动防御、大规模并行运算等技术的综合运用，使得瑞星的“云安全”系统能够及时处理海量的上报信息，将处理结果共享给“云安全”系统的每个成员。

　　第三、 需要大量的资金和技术投入。目前瑞星“云安全”系统单单在服务器、带宽等硬件上的投入已经超过1亿元，而相应的顶尖技术团队、未来数年持续的研究花费将数倍于硬件投资，这样的投入规模是非专业厂商无法做到的。

　　第四、 必须是开放的系统，而且需要大量合作伙伴的加入。瑞星“云安全”是个开放性的系统，其“探针”与所有软件完全兼容，即使用户使用其他杀毒软件，也可以安装瑞星卡卡助手等带有“探针”功能的软件，享受“云安全”系统带来的成果。而久游、迅雷等数百家重量级厂商的加入，也大大加强了“云安全”系统的覆盖能力。

编辑本段新增功能

木马下载拦截

　　基于业界领先的反木马技术，拦截中毒电脑通过网络下载更多的病毒和盗号木马，截断木马进入用户电脑的通道，有效遏制“木马群”等恶性木马病毒的泛滥。

木马判断拦截

　　基于强大的“智能主动防御”技术，当木马和可疑程序启动、加载时，立刻对其行为进行拦截，阻断其盗号等破坏行为，在木马病毒运行时发现并清除，保护QQ、网游和网银的账号安全。

自动在线诊断

　　瑞星“云安全”（CloudSecurity）计划的核心功能。自动检测并提取电脑中的 

  

纽曼携手瑞星

可疑木马样本，并上传到瑞星“木马/恶意软件自动分析系统”（RsAutomatedMalwareAnalyzer，简称RsAMA），随后RsAMA将把分析结果反馈给用户，查杀木马病毒，并通过“瑞星安全资料库”（RisingSecurityDatabase，简称RsSD），分享给其他所有“瑞星卡卡6.0”用户。

编辑本段增强功能

漏洞扫描

　　应用全新开发的漏洞扫描引擎，智能检测Windows系统漏洞、第三方应用软件漏洞和相关安全设置，并帮助用户修复。用户也可以根据设置，实现上述漏洞的自动修复，简化了用户的操作，同时更加及时的帮助用户在第一时间弥补安全隐患。

强力修复

　　对于被病毒破坏的系统设置，如IE浏览器主页被改、经常跳转到广告网站等现象，卡卡助手会修复注册表、系统设置和host文件，使电脑恢复正常。

进启管理

　　帮助用户有效管理电脑中的驱动、开机自启动软件、浏览器插件等，可有效提高用户电脑的运行效率。

高级工具集

　　针对熟练电脑用户，卡卡上网安全助手6.0提供了全面的实用功能：垃圾文件清理、系统启动项管理、服务管理、联网程序管理、LSP修复、文件粉碎和专杀工具。

七大监控

　　卡卡上网安全助手6.0，具有自动在线诊断、U盘病毒免疫、自动修复系统漏洞、木马行为判断与拦截、不良网站防护、IE防漏墙和木马下载拦截7大监控体系。全面开启保护用户电脑安全。

编辑本段安全示例

ESET NOD32

　　来自于斯洛伐克的ESET NOD32早在2006年，就在其高级启发式引擎中采用了该项技术，称之为ThreatSense.Net预警系统，并申请了专利。用户计算机作为ESET 云中的一个节点，ESET可以通过ThreatSense.Net预警系统了解用户安装使用软件的情况。当杀毒引擎发现某个软件非常可疑，但又不足以认定它是病毒时，ThreatSense.Net就会收集软件的相关信息，并与中心服务器交换资料，中心服务器通过所有收集到的资料便能够迅速准确的作出反馈。

金山毒霸

　　金山毒霸“云安全”是为了解决木马商业化之后的互联网严峻的安全形势应运而生的一种全网防御的安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。“云安全”是现有反病毒技术基础上的强化与补充，最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。

　　首先稳定高效的智能客户端，它可以是独立的安全产品，也可以作为与其他产品集成的安全组件，比如金山毒霸2009和百度安全中心等，它为整个云安全体系提供了样本收集与威胁处理的基础功能;

　　其次服务端的支持，它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术，同时它和客户端协作，为用户提供云安全服务;

　　最后，云安全以一个开放性的安全服务平台作为基础，它为第三方安全合作伙伴提供了与病毒对抗的平台支持。金山毒霸云安全既为第三方安全合作伙伴用户提供安全服务，又靠和第三方安全合作伙伴合作来建立全网防御体系。使得每个用户都参与到全网防御体系中来，遇到病毒也将不再是孤军奋战。

　　1.可支撑海量样本存储及计算的水银平台

　　2.互联网可信认证服务

　　3.爬虫系统

趋势科技

　　趋势科技SecureCloud云安全6大杀手锏：

　　1.Web信誉服务

　　借助全球最大的域信誉数据库之一，趋势科技的Web信誉服务按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数，从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性、降低误报率，趋势科技Web信誉服务为网站的特定网页或链接指定了信誉分值，而不是对整个网站进行分类或拦截，因为通常合法网站只有一部分受到攻击，而信誉可以随时间而不断变化。

　　通过信誉分值的比对，就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时，就可以及时获得系统提醒或阻止，从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务，可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容，因此能有效预防恶意软件的初始下载，用户进入网络前就能够获得防护能力。

　　2.电子邮件信誉服务

　　趋势科技的电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址，同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对IP地址的“行为”、“活动范围”以及以前的历史进行不断的分析而加以细化。按照发送者的IP地址，恶意电子邮件在云中即被拦截，从而防止僵尸或僵尸网络等web威胁到达网络或用户的计算机。

　　3.文件信誉服务

　　现在的趋势科技云安全将包括文件信誉服务技术，它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单，即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在云中，因此可以立即到达网络中的所有用户。而且，和占用端点空间的传统防病毒特征码文件下载相比，这种方法降低了端点内存和系统消耗。

　　4.行为关联分析技术

　　趋势科技云安全利用行为分析的“相关性技术”把威胁活动综合联系起来，确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处，但是如果同时进行多项活动，那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁，可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库，使得趋势科技获得了突出的优势，即能够实时做出响应，针对电子邮件和Web威胁提供及时、自动的保护。

　　5.自动反馈机制

　　趋势科技云安全的另一个重要组件就是自动反馈机制，以双向更新流方式在趋势科技的产品及公司的全天候威胁研究中心和技术之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁，趋势科技广泛的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式，实现实时探测和及时的“共同智能”保护，将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库，防止以后的客户遇到已经发现的威胁。

　　6.威胁信息汇总

　　来自美国、菲律宾、日本、法国、德国和中国等地研究人员的研究将补充趋势科技的反馈和提交内容。在趋势科技防病毒研发暨技术支持中心TrendLabs，各种语言的员工将提供实时响应，24/7的全天候威胁监控和攻击防御，以探测、预防并清除攻击。

　　趋势科技综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路以及TrendLabs威胁研究——趋势科技能够获得关于最新威胁的各种情报。通过趋势科技云安全中的恶意软件数据库以及TrendLabs研究、服务和支持中心对威胁数据进行分析。

卡巴斯基

　　卡巴斯基的全功能安全防护旨在为互联网信息搭建一个无缝透明的安全体系：

　　1.针对互联网环境中类型多样的信息安全威胁，卡巴斯基实验室以反恶意程序引擎为核心，以技术集成为基础，实现了信息安全软件的功能平台化。系统安全、在线安全、内容过滤和反恶意程序等核心功能可以在全功能安全软件的平台上实现统一、有序和立体的安全防御，而不是不同类型和功能的产品的杂凑;

　　2.在强大的后台技术分析能力和在线透明交互模式的支持下，卡巴斯基全功能安全软件2009可以在用户“知情并同意(Awareness&Approval)”的情况下在线收集、分析(OnlineRealtimeCollecting&Analysing)用户计算机中可疑的病毒和木马等恶意程序样本，并且通过平均每小时更新1次的全球反病毒数据库进行用户分发(InstantSolutionDistribution)。从而实现病毒及木马等恶意程序的在线收集、即时分析及解决方案在线分发的“卡巴斯基安全网络”，即“云安全”技术。卡巴斯基全功能安全软件2009通过“卡巴斯基安全网络”，将“云安全”技术透明地应用于广大计算机用户，使得全球的卡巴斯基用户组成了一个具有超高智能的安全防御网，能够在第一时间对新的威胁产生免疫力，杜绝安全威胁的侵害。"卡巴斯基安全网络"经过了卡巴斯基实验室长期的研发和测试，具有极高的稳定性和成熟度。因此，才能够率先在全功能安全软件2009正式版的产品中直接为用户提供服务。

　　3.通过扁平化的服务体系实现用户与技术后台的零距离对接。卡巴斯基拥有全球领先的恶意程序样本中心及恶意程序分析平台，每小时更新的反病毒数据库能够保障用户计算机的安全防御能力与技术后台的零距离对接。在卡巴斯基的全功能安全的防御体系中，所有用户都是互联网安全的主动参与者和安全技术革新的即时受惠者。

McAfee

　　著名安全厂商McAfee宣布，将推出基于云计算的安全系统Artemis。该系统能够保护计算机免受病毒、木马或其他安全威胁的侵害。

　　McAfee旗下AvertLabs的研究人员表示，该系统能够缩短收集、检测恶意软件的时间，及配置整个解决方案的时间。

　　随着安全系统的发展，这一时间已经从以往的几天减少到数小时，目前又下降到"数毫秒"。

　　AvertLabs安全研究及通信主管DaveMarcus表示："Artemis系统管理一个窗口，企业用户的所有活动都在该窗口中进行，而该窗口将会持续分析有无恶意软件。Artemis的目的是为了使所用时间最小化。"

　　传统安全系统使用威胁签名数据库来管理恶意软件信息，而作为一款云计算服务，Artemis可以在签名文件尚未发布之前就对威胁作出反应。

　　Marcus表示，AvertLabs研究人员每周会发现上万个新的签名文件。如果用户电脑装有Artemis系统，那么一旦电脑被检测到存在可疑文件，那么会立刻与McAfee服务器联系，以确定可疑文件是否是恶意的。通过这一方式，McAfee还能利用所收集的数据为企业提供定制的安全解决方案。

　　专家表示，Artemis能够提供实时的安全保护。而在传统的基于签名的安全系统中，发现安全威胁和采取保护措施之间往往存在时间延迟。

　　IDC安全产品研究主管CharlesKolodgy表示：“传统的基于签名的恶意软件检测方式存在不足。随着用户行为的改变，安全威胁也在改变，恶意软件检测技术总体上来看没有保持同步发展。”

瑞星白皮书

　　“云安全”(CloudSecurity)计划：将用户和瑞星技术平台通过互联网紧密相连，组成一个庞大的木马/恶意软件监测、查杀网络，每个“瑞星卡卡6.0”用户都为“云安全”(CloudSecurity)计划贡献一份力量，同时分享其他所有用户的安全成果。

　　“瑞星卡卡6.0”的“自动在线诊断”模块，是“云安全”(CloudSecurity)计划的核心之一，每当用户启动电脑，该模块都会自动检测并提取电脑中的可疑木马样本，并上传到瑞星“木马/恶意软件自动分析系统”(RsAutomatedMalwareAnalyzer，简称RsAMA)，整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户，查杀木马病毒，并通过“瑞星安全资料库”(RisingSecurityDatabase，简称RsSD)，分享给其他所有“瑞星卡卡6.0”用户。

　　由于此过程全部通过互联网并经程序自动控制，可以在最大程度上提高用户对木马和病毒的防范能力。理想状态下，从一个盗号木马从攻击某台电脑，到整个“云安全”(CloudSecurity)网络对其拥有免疫、查杀能力，仅需几秒的时间。

　　“云安全”(CloudSecurity)计划：瑞星如何每天处理10万个新木马病毒

　　瑞星如何分析、处理每天收到的8-10万个新木马病毒样本的呢?光凭人力肯定是无法解决这个问题，“云安全”(CloudSecurity)计划的核心是瑞星“木马/恶意软件自动分析系统”(RsAutomatedMalwareAnalyzer，简称RsAMA)，该系统能够对大量病毒样本进行动分类与共性特征分析。借助该系统，能让病毒分析工程师的处理效率成倍提高。

　　虽然每天收集到的木马病毒样本有8~10万个，但是瑞星的自动分析系统能够根据木马病毒的变种群自动进行分类，并利用“变种病毒家族特征提取技术”分别将每个变种群的特征进行提取。这样，对数万个新木马病毒进行自动分析处理后，真正需要真正人工分析的新木马病毒样本只有数百个。

江民科技

　　以云方式构建的大规模特征库并不足以应对安全威胁的迅速增长，国内外杀毒厂商还需要在核心杀毒技术上下足功夫，例如虚拟机、启发式、沙盒、智能主动防御等未知病毒防范技术都需要加强和发展，多数杀毒软件本身的自我保护能力也需要加强。病毒增长的再快，只是量的变化，而现实当中，造成巨大损失的，却往往是极少数应用了新病毒技术的恶性病毒，。

　　“云安全”必然要建立在“内核级自我保护”“沙盒”“虚拟机”等核心技术的基础上才能显出威力，没有这些核心技术，杀毒软件在病毒面前就可能会出现“有心无力”的尴尬，现实中许多杀毒软件扫描发现了病毒，却无力清除，甚至反被病毒关闭的现象比比皆是。这也是为什么江民在推出KV2009时，首先强调的是“沙盒”“内核级自我保护”“智能主动防御”“虚拟机”等核心技术，而把“云安全”防毒系统排在后面的原因。杀毒和其它行业一样，首先是基础要足够强大，基础不扎实，楼建的再高也不牢靠。

　　“沙盒”是一种更深层的系统内核级技术，与“虚拟机”无论在技术原理还是在表现形式上都不尽相同，“沙盒”会接管病毒调用接口或函数的行为，并会在确认为病毒行为后实行回滚机制，让系统复原，而“虚拟机”并不具备回滚复原机制，在激发病毒后，虚拟机会根据病毒的行为特征判断为是某一类病毒，并调用引擎对该病毒进行清除，两者之间有着本质的区别。事实上，在对付新病毒入侵时，应用了“沙盒”的KV2009已经开始发挥了强大的效力。有用户在关闭江民KV2009杀毒软件各种实时监控，仅开启了“带沙盒技术的主动防御”模式，结果运行“扫荡波”新病毒后，病毒的所有行为被拦截并抹除，没有机会在系统中留下任何痕迹。

　　目前反病毒面临的最主要问题是驱动型病毒对杀毒软件的技术挑战。因此，目前反病毒的首要任务是进一步提升反病毒核心技术，在确保反病毒技术的前提下，充分借助“云安全”防毒系统的快迅响应机制，打造“云安全”加“沙盒”的双重安全保障体系。

四问“Web防御与云安全

一直以来，针对Web安全保护的技术层出不穷，当前此类技术流派已经分成两大类：第一类以新型的Web安全网关为基础，第二类以最新的云安全技术为基础，两种技术一度出现了互相渗透与融合的局面。对用户而言，无论采用哪种技术，最关键的还是安全效果的体验。

为了能够更加清晰地指导用户进行Web安全技术选型，本报特别邀请了Anchiva、Blue Coat、Palo alto、Hillstone、Secure Computing、Websense、Wedge Networks、趋势科技的安全技术专家，共同对当前热门的Web安全技术进行分析。

一问“定义与共识”

记者在筹备这次大型专题的过程中，最为兴奋的一件事情，就是当前业内主流安全厂商经过多年的反复争论，终于在Web安全上达成了共识，统一了Web安全的定义。这的确是一件不容易的事情，要知道不同的厂商侧重点不同----URL过滤的、Http过滤的、防病毒的、反垃圾邮件的、Proxy的、端口镜像的等等----大相径庭的方案很可能导致用户对整个Web安全领域的困惑，非常不利于整个产业的成长。

针对Web安全，当前业内的一致看法是，统一的定义不能从厂商的技术上去下，而是要与用户需求的紧迫程度挂钩。

从这个角度上分析，Web安全分成两类应用模式：一类是针对病毒、木马、间谍软件、恶意软件的威胁；另一类着眼于规范用户行为，比如用URL过滤某些站点、员工上班时间上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制、对企业内部的带宽管理等。

需要注意的是，两种应用模式并非孤立存在，彼此间是有交叉的。据Anchiva中国区总经理李松介绍，根据经验，一套完整的Web安全方案，至少需要两个部分：一台针对TCP/IP协议二、三、四层应用的安全防御设备（比如防火墙、入侵检测、UTM），之后串接一台针对七层内容的安全防御设备，以便解决病毒、IM、P2P、网络游戏、垃圾邮件、内容审计等应用。

持类似看法的，还有中国民用航空管理局的一位安全管理员。他说：“到目前为止，我所了解的不少同类用户对于Web安全仍然无法形成最优的配置或共识，但我们有一个最基本的思路，即一套完整的IPS系统+Web安全网关相配合，至少能够满足相当多的内部员工对于Web安全的需求。”

说到应用，Hillstone首席软件架构师王钟在接受本报独家专访时表示，针对企业的攻击总是跟随着应用而来，越来越多的企业应用构建在互联网之上，而用户在互联网上的活动也是越来越频繁和难以控制。无论是正常的企业应用还是企业员工的个人上网行为，都会成为Web攻击的对象。从目前来看，多年的积累，使得企业具备一定的网络攻击防御能力，而针对新出现的Web活动引发的安全威胁，企业需要根据自身的特点，增强相应的防范手段。

二问“Web安全形势”

之所以当前Web安全成为热门话题，关键还是因为国内外Web安全大环境不容乐观。根据趋势科技刚刚发布的《2008年上半年安全威胁报告》的统计，目前针对Web应用的威胁正以爆炸式的速度增长，全球范围内企业与终端用户面临的风险已经到了非常严重的地步。

对此，Wedge Networks全球CTO张鸿文博士介绍，无论是美国还是中国，随着“社会网络、Web2.0、SaaS”的兴起，网络本身已经成为社会生活的一部分。在这种环境下，与传统的病毒制造不同，当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。事实上，随着当前Web应用开发越来越复杂与迅速，攻击者可以很容易地通过各种漏洞实施诸如：注入攻击、跨站脚本攻击、以及不安全的直接对象关联攻击，从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。另外，通过木马、漏洞控制海量的普通用户主机组成僵尸网络，利用这些“肉鸡”，控制者可以通过多种方式获取利益，比如发起攻击、点击广告、增加流量等行为。

“从实际的经验看，在一个典型的Web服务架构中，很有可能发生某些攻击行为从Web层面渗透到企业的控制与数据层面，从而引起更大范围的灾难。其实不论是攻击Web站点还是Web服务，恶意Web站点总是能够快速建立起来，并在搜索引擎的推动下袭击无辜的用户。”

从Wedge Networks全球合作伙伴反馈的信息来看，美国、日本、韩国、英国的企业用户对于Web攻击以及Web应用的脆弱性都有较为充分的了解。在此基础上，那些国家中一些垂直行业与机构，比如公共安全、金融、医疗、交通、能源等企业，对于Web安全保护的技术关注与投入都非常高。

然而遗憾的是，记者在国内进行的统计结果并不乐观。从七月份开始，记者委托网界网（WWW.CNW.COM.CN）开展了“2008 中国Web安全调查”，结果显示超过70%的被调查用户不清楚Web安全的威胁形势与防御手段，其中将近六成用户都没有编列相关安全预算。令人担心的是，很多企业对此出现了认识误区，他们认为通过防火墙或者IDS/IPS设备就可以确保Web安全。更有甚者，在某些国内厂商的“误导”下，一些用户将Web安全等同于系统漏洞/脆弱性扫描。

实际情况是可悲的。根据趋势科技发布的统计数字，从今年二季度开始，国内就有超过1万个大型网站遭受“注入攻击”，这些攻击者的动机几乎都是恶意软件植入、名誉损害、以及数据窃取。

记者清楚的记得，有用户在网界网BBS上留言：“我们重视Web安全造成的损失，但是我不清楚，这部分预算究竟应该分配给谁：是分配给负责网络基础设施的管理团队，还是分配给管理Web服务器和数据库服务器的团队？”无疑，Web安全的挑战被演绎到了技术、应用与企业管理水平的层次上。

问题已经很清楚了，当前针对Web应用的威胁，企业用户当前的防范措施还远远不够。对此张鸿文博士曾一针见血地指出：“当前国内企业已有的大部分安全设备都是基于TCP/IP协议的三、四层防范，而针对Web应用的威胁是基于协议的七层攻击（应用层攻击），从技术角度来看，传统防火墙、IDS等设备针对应用层的攻击几乎是没有防御效果的。”

三问“新型Web安全网关”

由于发现了Web安全对于企业用户的重要性，同时也由于传统的安全技术对此束手无策，新型的Web安全网关被推到了当前安全话题的中央。

传统的Web安全网关诞生于2006年，经过两年的市场磨合，感觉存在四方面的不足：第一，性能跟不上；第二，功能与检测准确度不够；第三，部署比较复杂；第四，维护难度较高。为此，当前主流安全厂商在大量应用新技术的条件下，推出了“新一代”Web安全网关。细心的读者可能发现，参与本次专题的都是外资安全厂商。确实，在占领技术的制高点上，外资公司又走到了Web安全的“风口浪尖”。

对此，张鸿文博士对记者表示，目前恶意Web攻击在全球范围内呈指数形式增长，对抗类似威胁的有效方法之一，就是和每一个Web安全方面的领导厂商建立强有力的合作伙伴关系。以Wedge Networks为例，我们一直在推动NDP网络数据处理平台，并且在其中应用了Subsonic次声技术。这种技术目前在北美的大型企业网关、服务器池、以及IDC中心颇为流行，它可以让Web安全网关在一个高负载的网络中从容提供实时的七层深度内容检测。Subsonic技术在算法上取得了突破，不仅性能可以满足繁忙网络的需求，而且可以基于特征码和模式识别进行安全检测，配合NDP开放的服务总线架构与高级的网络协议堆栈，确保一个Web安全网关可以整合更多不同安全厂商（如更专业的反病毒、反恶意软件厂商）的技术与算法。

对于很多用户关心Web安全防御中的性能损耗问题，他说：“我同意并且理解这些用户担心什么。我们的渠道已经告诉我们在处理Web安全方面，维持一个可以接受的性能会有多么重要。事实上，自从2003年以来，随着单核CPU的时钟频率趋于稳定，每年网络带宽的需求都会增加四倍。作为企业的CTO，我发现任何架构想要跨越这个性能鸿沟都不得不采用多CPU和多核系统。幸运的是，Subsonic技术可以利用行为模式原理去管理大量并发会话，从而在多核环境中大量提高性能。”

另外，李松对于Web内容的深度检测也非常看重。他说：“当前防御来自HTTP的威胁已经成为安全网关的首要问题之一。而大量存在漏洞的Web服务器更是随时可能被攻击并被利用来传播或发布恶意软件。网站内容的可变性决定了只有进行内容检查才能得到最可靠的结果。而HTTP访问对于即时性有很高的要求，传统基于X86架构的安全设备在性能处理上存在瓶颈，面对应用层安全设备的高性能需求，利用ASIC芯片扫描技术可以对Web内容进行流畅的扫描。Anchiva目前采用ASIC芯片来进行病毒扫描，加上自主研发的性能优化操作系统，单台设备可以做到千兆级别的线速吞吐。”

在多核的应用上，王钟也非常积极，不过他对实时的内容检测技术有所担心。他说：“针对基于Web的安全威胁，我跟踪了相当长的时间，这方面国外厂商积累了较为资深的经验，从实践来看，效果还不错。针对网页内容引发的Web风险，我更青睐基于URL的网页过滤，以及基于应用协议分析的管控手段。因为安全检测到了内容级，都会消耗较多的系统资源。所以大家才会有这样一个共识，事先对Web内容做安全性检测，提供出对应的URL列表。但这种技术对相应的安全数据库有较高的要求，必须做到经常更新，确保控制的有效性。其实，任何安全防范手段都有其时效性的问题。考虑到开启深度内容检测功能带来的性能下降问题，多数厂商选择放弃，而只提供了入口级的控制手段。如果厂商能解决好处理性能问题，比如将多核处理器支持运用的如火纯青，会为用户提供更为稳固的安全防范手段。”

在功能的全面性与性能的平衡上，Secure Computing的做法比较独特。有意思的是，这家公司本月初刚刚被IDC认定为“全球Web安全产品和解决方案领域市场份额第一，居于市场领导者地位。”

Secure Computing中国区总裁蔡勇先生向记者表示，Web安全需要全方位的技术方案，包含了从防火墙、Web控制、邮件安全的各个层面。因此对于安全问题，并非某个独立的应用，而是需要在各种不同层次的安全设备中，提供对混合威胁（blended threat）的防护。

他说：“安全做到现在的阶段，我越来越感到安全本身的复杂与庞大。如果要做到全面的安全，单靠某一点的努力已经远远不够了。比如我们一直在推动全球最大和历史最久的信誉系统TrustedSource，目的就是希望通过对不同国家、多种应用的分析----包括对IP地址、域名、邮件、图片、URL等多种对象的数据关联分析，提供最全面、准确和实时的信誉评估，从而最大程度地保护用户的网络和应用。当然，这仅仅是基础，一个优秀的Web安全网关，还需要对SSL扫描进行支持，因为当前隐藏在SSL流量中的恶意软件不胜枚举----全面就不能忽视安全的细节。”

针对当前用户比较头疼的HTTP防御和Web服务器漏洞保护问题，他提出了五点建议：第一，HTTP防御中最困难和最复杂的是解决应用层面的攻击，例如SQL注入、特殊编码、恶意变换URL等；第二，Secure Computing的Sidewinder防火墙通过采用应用代理技术，可以从根本上确定安全防御的模型，确保应用协议的规范性，以及应用的可控性，从而为应用的安全控制提供了管理的可能；第三，利用高效IPS引擎对已经过规范性审核的HTTP流量进行特征检查，可以即时发现恶意攻击；第四，通过Sidewinder中的GeoLocator功能，可以针对不同地域来源的访问设定不通的安全防护级别，优化系统资源与效能；第五，TrustedSource信誉体系提供的信誉评估数据，可以使得安全设备识别出访问的意图，从网络的边缘拒绝掉恶意的僵尸主机攻击，提高正常访问的比率，在提高了安全性的同时节省了带宽。

另外，针对新型Web安全网关的部署模式问题，Websense中国区技术经理刘沛旻向记者透露，目前主流的Web安全防御方案，主要采用的是旁路监听方式和结合网关设备的方式。如果是采用旁路监听的方式，可以通过复制出口流量来进行内容分析，只有在发现异常数据时才会通过相关组件发送阻断指令，阻断不良、恶意连接，这样的方式是完全不会造成任何网络延迟的。结合网关设备的方式则利用网关设备和Web安全防御方案联动的方式进行，客户的请求将由网关设备转交给Web安全防御产品处理，再决定用户的请求是否被允许，这样的工作方式的确可能造成一定的互联网访问的延迟，但是因为目前主流的Web安全防御方案还是主要采用URL匹配的方式来发现恶意的网站，而不是本地分析整个网页的内容，因此，匹配过滤的速度还是相当快速的。

另外，他也建议，如果用户采用网关设备结合部署，可以采用Proxy设备及硬件缓存设备来进行结合，因为这类网关设备可提供本地的缓存能力，可以为用户提供更快速的内容缓存和页面内容过滤的缓存。

四问“云安全”

在本次采访中令人振奋的另一大热点，就是各家安全厂商都在或多或少地将最新的云计算模型引入到Web安全技术之中，并构建了完善的云安全方案。

在云安全方面投入力量最早的是趋势科技，他们早在两年前就开始针对云安全进行研究，并且在全球部署了34000台云端服务器，同时与顶级域名管理机构合作，在DNS中增加参数，进行全球域安全解析。无疑，所有的努力都是为了尽可能全面地应对Web安全的挑战。

趋势科技资深技术顾问徐学龙在接受本报独家专访时表示，云计算是一个数据处理的概念，在处理海量数据的时候的模型，大量集群服务器收集信息，给出结果。这种模式是一种模型，安全厂商利用这种模型推出来的服务，就是云安全方案。

他说：“云安全可以从整个互联网上收集源信息，判断用户的互联网搜索、访问、应用的对象是不是恶意信息。这种模式与病毒代码的比对不同，病毒代码是用特征码进行识别，而云安全根据信息的位置来判断，根据URL地址这一段的风险程度来判断。要知道，传统的病毒代码分析依靠大量人工，而云安全则利用历史的观点不停地对互联网进行分析，通过将URL划分为50多种属性，安全统计的准确性、动态性会非常好，第一次的安全事件命中率可以达到99%，只要全球范围内有1%的用户提交需求给云端服务器，15分钟之后全球的云安全库就会进行策略控制。目前云安全的分析方法是根据信息所在地址的多种属性来分析，通过长期跟踪，几乎没有误报。”

从长远来看，针对Web安全中比较头疼的病毒、木马、间谍软件、恶意软件与恶意站点攻击，采用云安全技术确实可以有效阻止此类威胁的蔓延。据统计，目前全球的病毒代码约为100万个，并且在不断增长，这就造成病毒代码比对的难度越来越高。在记者看来，云安全的出发点则是阻止整个互联网中的“威胁块”，这里说的“威胁块”不仅仅是指某个网站，有时候就是一个网页中的一小部分。

云安全是一个技术，不是单一的产品。云安全技术是第一道防线，用户可以选择对访问目标（下载的文件）进行病毒代码扫描，并且与云端服务器进行安全回馈。对企业用户来说，具体的回馈敏感度管理员可以根据使用情况来调整。

最后，徐学龙给记者列出了一套完整的云安全方案需要的组件：Web信誉服务、邮件信誉服务、文件信誉服务。

据中国工商银行总行的IT负责人介绍，他们近期已经为全行采购了趋势科技的Web安全网关IWSA，出发点就是看中了其中集成的相关信誉服务体系。随着Web病毒越来越多，Web信誉的价值越发明显。而文件信誉服务则是追踪整个互联网上文件的信誉，跟踪文件的生命周期。包括本地U盘拷贝等，通过MD5算出的32位值比对云端的恶意文件匹配，从而确保了文件安全与防泄漏。

另外，Blue Coat资深技术经理毛骏也向记者表示：“为了获得更加完整的安全效果，公司推出基于分层理念的Web安全防御体系。其中包括了云计算层和网关层两大部分。云计算层提供基于全球的网站分类、样本收集与策略分发，而网关层涵盖了基本内容过滤、Web防病毒、用户行为管理、数据防泄露四部分。两大部分相互结合，组成全面、准确、及时的Web安全方案。”

其实，相对于大而全的云安全方案，还有一些在Web安全网关中应用了云安全模型的技术值得关注。
比较有代表性一类包括Blue Coat的Web Pluse网络脉冲技术、Wedge Networks的Trusted Cloud Forest云信任森林技术，他们的共同之处都是将技术嵌入到自家的Web安全网关之中，并且利用在互联网上部署的上万台设备，采集上百万客户端的样本，并且由统一的中心进行分析，全球每天15亿次的各种请求最终形成自身的安全策略进行下发。

另一类则是以Secure Computing的TrustedSource和Websense的ThreatSeeker为代表的信誉体系技术。他们的共同点都是利用云计算的特征，在全球范围内部署设备收集信息，同时进行关联分析，甚至利用蜜罐、网格计算技术为安全规则库更新信息。这种精细化的策略，能够更精准的进行控制，并且减少设备管理上的负担

抵抗DDoS 防火墙更新换代步入云火墙

与那些优雅而精密的攻击手段相比，DDoS显得十分“粗线条”，甚至非常的不具有技术含量。然而，利用控制大面积的僵尸主机，现今的攻击者可以发起非常大规模的攻击，足以造成一些大规模网络设施的瘫痪。

DDoS成与无解的难题

2008年度大规模爆发的Conficker蠕虫所造成的影响至今仍历历在目，尽管该蠕虫利用的系统漏洞很快就被发现同时也发布了修补程序，但是在随后的一个季度里，Conficker和它的变种程序仍旧控制了超过150个国家的上千万台计算机。

与传统的、单纯的DDoS攻击不同，追求利益的黑客社团并非为了有趣而纠集如此数量众多的计算机。他们依赖出售所控制的计算机资源给最终发起攻击的人来谋取利益，或者对所控制的计算机施行网络钓鱼等欺诈性操作从而获得有经济价值的情报。

事实上，当全球的公司和组织仍旧将信息安全防护的中心指向互联网的时候，其内部网络中的计算机往往却成为危害互联网安全和其它组织安全的“帮凶”。

DDoS作为一种典型的互联网攻击手段，其名字当中所包含的“分布式”字样已经明确地表明了自己的本质所在。而其背后的僵尸网络体系，更是汇集了互联网安全领域的诸多问题。

事实上，当下流行的绝大多数安全问题，都表现出综合多种攻击方式、结合社交工程手段、有目的分阶段地展开动作等特征。互联网时代的安全问题，正在呈现出高度分布化的特征，传统的安全防护手段显得捉襟见肘也就不足为怪了。

与分布式攻击对应的，用户的防范措施不能停留在诸如网关防护这样的单点防御层面上，而也应该具有相适应的体系。各种不同防护措施的联动已经不能够完全满足需要，能够跨越组织边界的、彻底面向互联网的安全防护体系，才能够真正保障用户的信息安全性。

具有新时代特征的防火墙

传统防火墙基于三层和四层的包过滤，很容易造成单点突破问题，安全强度得不到保障。而随着应用层过滤的不断主流化，以及在UTM理念倡导下的功能整合化、规则统一化、平台灵活化，防火墙产品在防范互联网威胁方面已经取得了长足的进步。

然而，就目前的情况来看，这些进步还远没有达到令用户高枕无忧的程度。尽管防火墙类型的产品在性能和功能上乃至防护范围上都有了很大的提高，但是在应对高速变化、高速增长的互联网威胁方面，在灵活程度和适应能力方面仍旧有所欠缺。

UTM作为一个广受认可的理念和实践框架，已经在各个主流厂商的产品中有所体现。虽然很多专攻UTM产品市场的厂商都尽可能地突出UTM与防火墙的不同，但是不可忽视的一点在于，UTM产品在检测模式等基本工作原理上仍旧与防火墙如出一辙。

即便是性能达到万兆级别的多核UTM系统，其设计模型中也不可避免地充斥着防火墙技术的痕迹。所以说，UTM产品在很大程度上可以看作防火墙产品的发展和扩展，是全新一代的防火墙。

值得注意的是，目前有为数不少的主流厂商都在跟进X-UTM的概念，其中就包括了在UTM产品领域处于领先地位的Foreinet公司。具有充分灵活的架构以保证能根据不同需要集成安全功能是X-UTM架构的最重要特征，而这也延续了UTM架构的核心理念。而与最初的UTM产品相比，X-UTM产品在实现上更加彻底和高效。除了具备充足的运算性能以实现真正的UTM之外，X-UTM产品严格要求所集成的功能在管理层面上取得统一，并能够紧密配合。一个真正的X-UTM产品平台，可以灵活的插接安全功能，并实时根据当前的应用情景调配各个部分的性能配给，智能地保证产品随时都达到最大的综合功效。

与X-UTM相类似的还有被称为XTM的产品模式，这是由WatchGuard公司所推出的一种致力于提高安全设备扩展能力的架构，其X就取自英文的扩展一词。在实际功能方面，XTM产品在传统的防护功能基础上大力扩展针对Web安全威胁的保护功能以及对于应用层内容的过滤。

而由于要对更多的功能进行管理，要对更多的未知威胁进行预警，可管理性也是XTM产品的重要指标。可以说，面对每年都会有所变化的主流安全问题，可扩展的安全架构可以让硬件级安全设备也具有近似于软件安全产品的“升级”能力，具有相当的实用性。

套用软件行业近年来流行的一个词汇来说，“随需应变”正成为业务应用新的关注点。而作为另一个X字头的产品系列，天融信最新推出的X-Firewall则将主要着眼点放在了按需定制方面。本土厂商对于用户需求的深入了解，往往能形成强有力的产品优势。

X-Firewall在设计上更加强调一体化和模块化，以达成对安全策略的统一管理和调度。为了真正实现安全按需定制的目标，天融信自主研发的TOS安全操作系统成为该系统架构上的最大亮点之一。该操作系统不但实现了多种安全功能的融合，在统一策略管理方面也达到了相当的水准，打破了很多掌握在国外厂商手中的技术壁垒。

“云”火墙的生命力

在历数现有的很多先进的防火墙产品概念之后，往往会不由自主地思考哪种模式更具竞争力，以及更先进的防火墙模式是怎样的。时下正值云安全当道，业界普遍看好云计算技术在信息安全领域的推动力，而基于云技术的防火墙产品，有极大的可能会成为安全设备领域的真命天子。

事实上，时下流行的各种形式的安全产品，往往也都是对防火墙产品的发扬光大，与其说是防火墙的替代者，莫不如说是防火墙的传承者。这些理念、架构和产品，虽然在宣传上各有侧重，但是其核心都包含了一些相同的特质。

集成防护、按需防护、主动防护都是大家共同的追求，而可扩展性、更变更性、可管理性则也是无可争议的发展方向。“云”火墙在兼具这些优点的同时，在智能化和动态化方面可以提供本质上的提升，毕竟一个庞大云体系的威力要远远超过一些小规模的防护设备组合。

作为全球最大的安全威胁检测网络SensorBase的所有者，思科公司是云火墙技术最早的支持者和推动者。思科的云火墙体系除了能够基于其对全球网络安全威胁变化的了解来阻断来自互联网的攻击之外，也能够智能地利用这些情报识别内部网络中感染了僵尸木马的计算机，从而避免安全问题的蔓延。

对于云安全模式的充分应用，让云火墙有更大的可能性在僵尸网络危害到信息资产之前过滤掉其开展的攻击，同时为内部网络的各种防护机制有更多的时间识别和清除相关的恶意软件感染。

可以预见，基于云端信息所获得的动态响应能力，将使得基于云体系的防火墙产品，获得真正抗衡互联网上各种分布式袭击的能力。

链接：

DDoS大事件

DDoS全名是Distribution Denial of Service （分布式拒绝服务攻击），最直观地，很多不同的DoS攻击源同时攻击某个网络设施就构成了DDoS攻击。

DDoS 最早可追述到1996年初，2002年开始在中国频繁出现，到2003年时已经颇具规模。

大名鼎鼎的Conficker蠕虫最早于2008年11月20日被发现，截止至2009年初累计感染的计算机数量已达惊人的1500万台。

2009年，美国东部时间10月8日晚23时左右，Twitter网站宕机，许多用户至次日上午11时仍然不能正常登入Twitter。这是Twitter继8月后再次因DDoS攻击而发生大范围宕机，包括Facebook在内的其它着名社交网站也受到这波DDoS攻击的影响。
 

 

“云”防火墙时代 揭晓新功能新特点

 

云防火墙是一个最新的概念，最早由IT巨头思科提出，他们的做法是：把其防火墙升级到“云”火墙，实现动态防范、主动安全。

思科认为，云火墙的出现意味着第五代防火墙的诞生(前四代分别是：软件防火墙、硬件防火墙、ASIC防火墙、UTM)。云火墙的4大特征包括：防僵尸网络/木马，防止网络内部主机感染;云检测--全球IPS联动;云接入—SSL VPN;云监控--唯一支持Netflow的防火墙，实现了NOC和SOC 的二合一。

云火墙的“大脑”是SensorBase，SensorBase的前身是SenderBase。在思科以8.3亿美元收购IronPort之 后，思科得到了SenderBase，SenderBase是全球最大的邮件流量监控网络，提供全球安全威胁实时视图和电子邮件的“信用报告服务”。思科 将SenderBase改名为SensorBase，并在SensorBase中加入了僵尸网络主控数据库，使其能够敏感监控僵尸网络的动态。 SensorBase还增加了动态策略，如果某个互联网地址有问题就会被阻断。

思科安全专家表示，SensorBase是云火墙出现的前提。思科会争取做到每15分钟更新一次SensorBase的信息，并同步到所有云 火墙。各种安全信息不但可以从SensorBase传到云火墙，还可以从云火墙传到SensorBase，云火墙中的IPS可以在第一时间把攻击同步给 SensorBase，SensorBase再同步给其他云火墙。

云安全成功的关键是要有足够多的信息收集点和计算能力，而这些正是思科的优势。思科在全球有70多万个传感器，几乎所有的全球性互联网服务提 供商的网络中都有思科的传感器;有超过500家的第三方安全机构给思科提供及时的安全消息;思科监控着世界上超过30%的Email流量。

对于SensorBase，中国用户可能会有这样的疑虑：SensorBase是全球性的网络，但能够及时分析有地域特色的威胁吗?其实用户不用担心，因为SensorBase的地址库中有30%是国内地址，这是相当高的比例。

云火墙看上去是一个全新的产品，但实际上用户获得云火墙的方法很简单，只要把ASA防火墙的软件升级到8.2版本即可，硬件无须改变。SensorBase所产生的更新量也很小，每次只有70K。

为什么要激活云防火墙，本来对于企业来说，花钱购买防火墙是一种边界安全的思想和理念，但是有没有仔细想过，这里面有些文章。

因为防火墙都是默认信任内网，而怀疑外网，因此 防护墙的安全策略基本都是宽出严进的法则，这种默认的黄金法则有的时候是致命的。