《云安全》在线系列讲座之一 --- 云安全基本概念

nkspark

看到很多人在问“什么是云安全”，但一直也没有看到很全面深入的解答。包括很多在做云安全产品的技术人员，也对云安全不甚了了。本首席觉得有责任有义务做一下云安全的科普，把多年来对云安全从排斥到接受，从推崇到反思的一些心得，和大家交流一下。

“糜不有初，鲜克有终”。很难说能写到什么程度，而且也在心血来潮和敝帚自珍中纠结。所以采用这样一种形式，在线补充修改，写到哪里算哪里。秉承“你的就是我的，我的还是我的”宗旨，本文内容皆为原创，文责不负。读者自行去粗取精、去伪存真，欢迎抄袭转载。

第一讲  云安全基本概念
1、“云安全”一词的起源；
2、对云安全的不同理解；
3、云安全是否更有效；
4、如何判断一款云安全产品是可信任的；
5、云安全的定义；

1、“云安全”一词的起源；

当初我第一次看到“云安全”一词的时候，是很好奇的，习惯性的在网上搜索，但发现无论是"Cloud Security"还是"Security Cloud"，都没有任何返回结果。

你猜得没错，“云安全”这个词是中国人创造的。大家都在争论国内谁最先提出这个概念，莫衷一是。但我一直确信，发明这个词的是一个记者，当时我能找到的最早的资料，是一个记者写的文字，大部分内容忘了，一条比较重要的还记得，就是以后反病毒厂商的门槛提高了，要有几万台服务器在云端。

所以可以这么说，在“云安全”这个概念上，中国是世界领先的，老外当初看到国内各病毒厂商搞得风生水起，也是莫名其妙的。当然中国人崇洋媚外的劣性是根深蒂固的，所以现在可以看到国内的云安全产品要反过来搞洋认证，还沾沾自喜。其实老外根本还没搞清中国人搞得是啥，当然你交钱还请我去中国旅游，我还是很开心的。

2、对云安全的不同理解；

不得不说，当初提出云安全的人也根本不知道什么是云安全。但“云计算”这个概念很火，带出了“云存储”，那么提出“云安全”自然顺理成章。可是提出“云安全”这个概念后，怎么往“云计算”上靠，就成了大问题。可以说，刚开始的时候，是完全靠不上的。

不深入谈“云计算”了，只简单的总结“云”的几个特点：
* 用户透明；
* 无处不在；
* 随着云节点的增加处理能力增强；
* 云服务由厂商提供；

那么，云安全在容纳原有杀毒模式的情况下，如何同“云”扯上关系呢？

“云”原来是不包含用户节点在内的。所以云安全概念发展的第一个阶段，就是把用户计算机算作云节点（你在我就在）。那么就出来一个搞笑的错位，到底是厂商给用户提供服务呢？还是用户给厂商提供服务？这个不管啦，总之，云安全现在有了立脚点。

让我们来粗略的看看几个数字：
* 病毒样本数量：每天新增5000，就算1万，一年300万；10年的样本量3000万；从有病毒的那天算起，到现在所有病毒样本加起来也超不过这个数。
* 病毒文件大小：以平均5000个样本1G来算，3000万样本需要60T。实际上只有几个T的样子。
* 特征库大小：如果以32字节MD5+20字节描述，或者满打满算100字节，100*3000万=3G。

好了，3000万，3G，60T，这几个数字加起来就是“云”了？一台服务器+一个个人用数据库（保存特征库，是的，我的个人单机数据库文件已经40G了，处理3G小case）+一个磁盘阵列（保存病毒样本），这个云也太小了吧。

所以，防病毒厂商在云端的潜力，已经没有发挥的余地了。用户计算机才是真正的宝藏。

在云安全的第一阶段，用户计算机主要被当作样本采集点，把以前的样本上传功能改头换面，贴个云安全的标签，就OK了。当然如果仅限于此的话，这时的云安全与传统病毒查杀系统并无明显区别，这也是对云安全争论最多的时候，一个结论，“噱头”。

但事情的发展从来没有“仅限于此”这回事。防病毒厂商对用户端计算机已经觊觎已久了，以前搜集用户信息都是偷偷摸摸，尽量不搜集敏感信息。现在好了，精明的反病毒厂商发现，“云安全”居然是最好的幌子，哪里还管什么敏感不敏感，用户计算机上的所有文件，统统拿来。而且还告诉你，我在保护你哦，将来你文件坏了，我还能帮你恢复呢，我不要你钱哦。至于你的数据我是用来分析，还是用来卖钱，这个就不是你关心的事情了。

于是现在到了云安全的第二阶段，“云抢劫”。对，是抢劫，因为我是明目张胆，大摇大摆拿走你的所有数据。

看到这里你应该明白，为啥“云安全”最早在中国提出，并在中国一步步发扬光大了吧？“不做恶”说说容易，做起来太难了，面对满眼的钱，能忍住不伸手太难了。尤其是在缺乏法律法规约束、缺乏商业自律的神奇国度。

国外的安全厂商是不敢向用户计算机伸手的，因为代价太大。当然国外的用户也是花了钱去买安全的。国内的用户没有花钱买安全，也没有花钱买任何软件的习惯，但请记住这句话：“天下没有免费的午餐”。我免费请你泡温泉吃大餐，五星级服务，一分钱不要，哦，网上有你的裸照？那是我们的安保录像，录下来是为了保证你的安全的。大致如此。

所以目前国外反病毒厂商的云安全只局限在特征信息实时提取、服务端实时反馈的在线查杀。

这段想写不同时期对云安全的不同理解以及中外对云安全的不同理解，可说的还挺多，但大致也就如此了。

3、云安全是否更有效；

首先第一个问题，现实网络中的病毒情况真的像媒体和反病毒厂商说得那么严重吗？每天成千上万个病毒被创造出来？防毒厂商疲于奔命，用户天天生活在恐惧中？

我们知道，国际测评机构评价一个反病毒产品是否合格，最常采用的是ITW（当前流行病毒），能够查杀ITW样本的反病毒产品就为合格。那么这个月的ITW新增样本数量是多少？说出来吓死你：2月份ITW样本个数为114个。即，平均1天不超过4个。这才是真相。

基本上，以特征提取为主要技术的传统防病毒系统可以完全应付当前的病毒，而且10几年来，反病毒技术和系统架构基本上没有什么变化，也一直能满足用户的需求。实际上，即使有新的技术和方法，反病毒厂商也懒得去尝试和采用。为什么？市场决定的。当革新技术不能产生新的利润来源的时候，反病毒厂商是一点儿动力也没有的。

同样，“云安全”概念的出现，并不是用户有了新的需求，而是反病毒厂商找到了新的利润来源。“羊毛出在羊身上”，这个新的利润来源当然就是用户自身。对用户来说，当被人卖掉还在帮着数钱的时候，也不是一点儿正面的东西也没有。当有利润作为驱动的时候，新的技术和新的架构自然会应运而生。而这些新的技术和架构，如果应用得当，也确实有比传统反病毒系统更先进的地方，能更好的保护用户的安全。

第二个问题，用户在反病毒系统里扮演什么角色？好多年前的事了，我觉得身体不舒服去校医院看病，校医院的水平啥样大家都懂的。这位医生听完我的各种情况后，伸出5根手指说，你的病可能是这个1、这个2、这个3、这个4、这个5，你自己说可能是那个吧。我当时看着他的5根手指，想一口咬下去的心都有。我自己要能判定，要医生干吗？如果用户能够判定一个程序是不是病毒，要反病毒产品干吗？这就是我想说的。每当看到反病毒产品的提示：“此程序有可能是恶意木马，是否继续运行？”，或者类似的话语，都会让我想起那在我眼前晃来晃去的5根手指。用户是没有能力判定一个程序是不是恶意木马的。用户需要反病毒厂商很明确地告诉他，这个程序是病毒，不是病毒。

描述这个问题，我的本意是，所谓主防，所谓QVM，只要你是基于概率的，只要你把最后的判定责任交给用户，那就都是浮云。如果说，弹个提示框警告用户然后让用户自己选择，这样就算一款反病毒产品的话，那这个反病毒产品实在没有存在的必要。因为微软已经做了，在Windows 7里，你执行任何一个程序，系统都会弹框告诉你，可能危险，你自己要拿主意，继续运行还是不运行。不过这样的提示，除了让使用者更麻烦以外，还有什么意义呢？

第三个问题，用户在反病毒系统里的权利是什么？最基本的权利，用户应该知道反病毒产品在自己的机器上做了什么。进一步的权利，用户应该有权决定反病毒产品在自己的机上可以做什么。对应的，防病毒厂商有义务告诉用户自己的产品做了什么，有义务向用户提供选择清单。

说的更直白一点，用户应该知道反病毒程序是不是把自己机器上的财务报表、个人银行数字证书上传给了反病毒厂商，用户应该有权中止反病毒程序上传自己的敏感信息。

进度有点儿快了，还回到云安全架构下的反病毒系统相对于传统反病毒系统有哪些优势上来吧。

传统的防病毒系统简单架构如下：


要完成病毒的查杀，需要用户获取最新的特征库，在用户本地完成特征比对。这时有两个问题，一个是特征库版本的一致性问题，如果有用户没有及时更新特征库，不同用户使用的就是不同版本的特征库。第二个问题就是实时性问题，厂商的特征库与用户的特征库更新是不同步的，很可能反病毒厂商能查杀的最新的病毒，用户还会感染到。

云安全架构下的防病毒系统示意图如下：


由于直接使用反病毒厂商的特征库，一致性和实时性都得到了保证。

上面两张图我已经非常简化了，但主要意思都在这里了。云安全架构给用户带来的好处是显而易见的，一个移去的特征库就已经释放出用户计算机上宝贵的内存资源了，何况这个在云端的特征库可以做到覆盖历史上所有的病毒，还有其他很多很多好处，三天三夜也说不完。

但是且慢，再仔细看看这两张图，最重要的改变是什么？数据流向！！！！！（咆哮体）

在传统的反病毒系统架构下，反病毒厂商提供数据，也就是病毒特征库，数据从反病毒厂商流向用户，用户来决定我是不是要升级特征库、何时升级特征库。当然，有的用户也想要反病毒厂商提供产品的源代码数据，但他们一般不给。

在云安全架构下，用户提供数据，目前这个数据可能是用户计算机上的任何东西，数据从用户流向反病毒厂商。反病毒厂商决定用户提供什么数据，正常情况下，也许一个文件的MD5值就足够了，但也许有的反病毒厂商认为用户有必要提供整个文件，还有的反病毒厂商认为用户有必要提供整个计算机上的所有文件，这完全取决于反病毒厂商的贪婪程度。是有这样的医生的，你去看牙，他让你脱掉所有的衣服，包括内裤。这样的医生我们一般称之为流氓医生。同理，有的反病毒厂商我们也可以称之为流氓厂商。

4、如何判断一款云安全产品是可信任的；
现阶段，很多反病毒厂商，借云安全之名，大肆搜集用户的隐私敏感信息。第一不应该搜集，第二搜集后要保护好，不要动不动就被搜索引擎都给找到。

作为一个具备商业道德的防病毒厂商，对于用户的隐私敏感信息必须给与足够的重视和保护。
第一、做出上传动作之前，要征得用户同意；用户同意才能上传，而不能偷偷摸摸地就传了。这个征求同意的动作，应该由用户选定，是同意一次就可以以后随时上传，还是每次上传都要用户确认。就象现在微软“软件更新”提供的选项一样。用户也可以要求自己自行上传。

第二、上传的文件类型、所在路径、文件大小、文件创建时间等属性条件，应该由用户自行设定。反病毒厂商不能想搜集什么文件就搜集什么文件。用户的银行数字证书、游戏账号等敏感信息文件，不得搜集。看到有的不良厂商连用户银行的账号密码都上传，真的让人毛骨悚然。

第三、在上传用户文件时，必须留下完整上传记录日志文件，并向用户提供日志检查功能，让用户对防病毒软件做了什么一清二楚。

第四、对于上传后的文件，要对用户有足够反馈信息。是否是恶意文件，还是正常文件。如果是正常文件，是用户私有文件还是公用文件。如果是用户私有文件，反病毒厂商采取了哪些后继处理动作？是仅仅保留了特征码后删除，还是保留了完整文件。并向用户提供反馈信息检查功能。

目前国家还缺乏保护“用户端”计算机不受盗取侵害的法律法规，用户的保护主要还是靠反病毒厂商的商业自律。不过从国内防病毒厂商的一贯表现来看，用户的安全状况堪忧。

对“上传文件”这一功能来说，不能完全满足本首席给出四条标准的云安全产品，都是不可信任的。

5、云安全的定义；

大家在讨论云安全的时候，往往混淆了云安全含义的界定，最后的结果就是鸡同鸭讲。

当我们说云安全的时候，至少有三种可能的内在含义：
1、云的安全问题。这里的云可能指的是云计算、云存储之类。按照汉语的习惯，“云的安全”缩略为云安全。这是一个非常广泛的领域，几乎涉及到所有计算机安全问题；
2、云技术在安全领域的应用。例如象DNA之类的分布式破解；可探讨之处也颇多。
3、特指反病毒厂商专有概念。也就是本首席系列讲座的主要内容。

反病毒厂商往往故意混淆特指的云安全概念，和1、2两点混为一谈，从而达到拉大旗作虎皮的效果。而媒体没有对以上3个概念的区分能力，在连篇累牍的宣传中，不可避免地给用户带来误导。


传统防病毒体系与云安全体系区分的标准问题:
1、正如本首席上文分析的，数据流向可以作为划分传统模式和云安全模式的重要标准；
2、很多人把“自动分析”作为云安全的主要特征，这个观点是错误的。传统防病毒体系，分析病毒样本一样是人工分析和自动分析相结合。所以是否具备海量样本处理能力，不能作为传统防病毒体系与云安全架构防病毒体系的区分标准。
3、各种查杀方法也是同样的道理，可以用在客户端，也可以用在云端。所以采用了何种技术手段（特征码，主防，统计）作为查杀方法，也不能作为传统防病毒体系与云安全架构防病毒体系的区分标准。

(未完待续...)


（注：1楼内容只包含本贴主题的主要部分，更多讨论，敬请爬楼。相信我，爬楼时一定会有意外收获。）

威尔士王子

楼主慢慢写，我慢慢看

nkspark

1、“云安全”一词的起源；

当初我第一次看到“云安全”一词的时候，是很好奇的，习惯性的在网上搜索，但发现无论是"Cloud Security"还是"Security Cloud"，都没有任何返回结果。

你猜得没错，“云安全”这个词是中国人创造的。大家都在争论国内谁最先提出这个概念，莫衷一是。但我一直确信，发明这个词的是一个记者，当时我能找到的最早的资料，是一个记者写的文字，大部分内容忘了，一条比较重要的还记得，就是以后反病毒厂商的门槛提高了，要有几万台服务器在云端。

所以可以这么说，在“云安全”这个概念上，中国是世界领先的，老外当初看到国内各病毒厂商搞得风生水起，也是莫名其妙的。当然中国人崇洋媚外的劣性是根深蒂固的，所以现在可以看到国内的云安全产品要反过来搞洋认证，还沾沾自喜。其实老外根本还没搞清中国人搞得是啥，当然你交钱还请我去中国旅游，我还是很开心的。

aiyooo

前排听课

derrick_goi

前来听课的，要写多点哦

lychina2008

文采内容兼备，期待继续

qianyuqx

云安全一词最早是不是瑞星提出来的，我记得当时还引起很大的争论呢

nkspark

2、对云安全的不同理解；

不得不说，当初提出云安全的人也根本不知道什么是云安全。但“云计算”这个概念很火，带出了“云存储”，那么提出“云安全”自然顺理成章。可是提出“云安全”这个概念后，怎么往“云计算”上靠，就成了大问题。可以说，刚开始的时候，是完全靠不上的。

不深入谈“云计算”了，只简单的总结“云”的几个特点：
* 用户透明；
* 无处不在；
* 随着云节点的增加处理能力增强；
* 云服务由厂商提供；

那么，云安全在容纳原有杀毒模式的情况下，如何同“云”扯上关系呢？

“云”原来是不包含用户节点在内的。所以云安全概念发展的第一个阶段，就是把用户计算机算作云节点（你在我就在）。那么就出来一个搞笑的错位，到底是厂商给用户提供服务呢？还是用户给厂商提供服务？这个不管啦，总之，云安全现在有了立脚点。

david_ten

还没有写完吧

狂妄之龙

系列.......讲座...........