《云安全》在线系列讲座之一 --- 云安全基本概念

ioton

对这个云一直不放心，把自己的数据都交给别人管
         谁知道会出什么问题。。。

血魔鸳薏

这个讲座看得我很辛苦

nkspark

血魔鸳薏 发表于 2011-3-18 13:42
这个讲座看得我很辛苦

我写的也蛮辛苦

nkspark

3、云安全是否更有效；

首先第一个问题，现实网络中的病毒情况真的像媒体和反病毒厂商说得那么严重吗？每天成千上万个病毒被创造出来？防毒厂商疲于奔命，用户天天生活在恐惧中？

我们知道，国际测评机构评价一个反病毒产品是否合格，最常采用的是ITW（当前流行病毒），能够查杀ITW样本的反病毒产品就为合格。那么这个月的ITW新增样本数量是多少？说出来吓死你：2月份ITW样本个数为114个。即，平均1天不超过4个。这才是真相。

查理弗朗西斯

新增病毒很少的，多得是变种，特征码恰恰对变种很无力...

nkspark

基本上，以特征提取为主要技术的传统防病毒系统可以完全应付当前的病毒，而且10几年来，反病毒技术和系统架构基本上没有什么变化，也一直能满足用户的需求。实际上，即使有新的技术和方法，反病毒厂商也懒得去尝试和采用。为什么？市场决定的。当革新技术不能产生新的利润来源的时候，反病毒厂商是一点儿动力也没有的。

同样，“云安全”概念的出现，并不是用户有了新的需求，而是反病毒厂商找到了新的利润来源。“羊毛出在羊身上”，这个新的利润来源当然就是用户自身。对用户来说，当被人卖掉还在帮着数钱的时候，也不是一点儿正面的东西也没有。当有利润作为驱动的时候，新的技术和新的架构自然会应运而生。而这些新的技术和架构，如果应用得当，也确实有比传统反病毒系统更先进的地方，能更好的保护用户的安全。

nkspark

查理弗朗西斯 发表于 2011-3-18 14:09
新增病毒很少的，多得是变种，特征码恰恰对变种很无力...

都是以讹传讹。
1、新增的病毒基本都是变种，全新的病毒很少的，估计1个月也没几个。
2、特征码只是一个统称，具体到每个反病毒产品，特征码的提取方式可能都不一样。一个特征码杀掉某个病毒的所有变种，是很常见的。

nkspark

第二个问题，用户在反病毒系统里扮演什么角色？好多年前的事了，我觉得身体不舒服去校医院看病，校医院的水平啥样大家都懂的。这位医生听完我的各种情况后，伸出5根手指说，你的病可能是这个1、这个2、这个3、这个4、这个5，你自己说可能是那个吧。我当时看着他的5根手指，想一口咬下去的心都有。我自己要能判定，要医生干吗？如果用户能够判定一个程序是不是病毒，要反病毒产品干吗？这就是我想说的。每当看到反病毒产品的提示：“此程序有可能是恶意木马，是否继续运行？”，或者类似的话语，都会让我想起那在我眼前晃来晃去的5根手指。用户是没有能力判定一个程序是不是恶意木马的。用户需要反病毒厂商很明确地告诉他，这个程序是病毒，不是病毒。

描述这个问题，我的本意是，所谓主防，所谓QVM，只要你是基于概率的，只要你把最后的判定责任交给用户，那就都是浮云。如果说，弹个提示框警告用户然后让用户自己选择，这样就算一款反病毒产品的话，那这个反病毒产品实在没有存在的必要。因为微软已经做了，在Windows 7里，你执行任何一个程序，系统都会弹框告诉你，可能危险，你自己要拿主意，继续运行还是不运行。不过这样的提示，除了让使用者更麻烦以外，还有什么意义呢？

nkspark

第三个问题，用户在反病毒系统里的权利是什么？最基本的权利，用户应该知道反病毒产品在自己的机器上做了什么。进一步的权利，用户应该有权决定反病毒产品在自己的机上可以做什么。对应的，防病毒厂商有义务告诉用户自己的产品做了什么，有义务向用户提供选择清单。

说的更直白一点，用户应该知道反病毒程序是不是把自己机器上的财务报表、个人银行数字证书上传给了反病毒厂商，用户应该有权中止反病毒程序上传自己的敏感信息。

nkspark

进度有点儿快了，还回到云安全架构下的反病毒系统相对于传统反病毒系统有哪些优势上来吧。

传统的防病毒系统简单架构如下：


要完成病毒的查杀，需要用户获取最新的特征库，在用户本地完成特征比对。这时有两个问题，一个是特征库版本的一致性问题，如果有用户没有及时更新特征库，不同用户使用的就是不同版本的特征库。第二个问题就是实时性问题，厂商的特征库与用户的特征库更新是不同步的，很可能反病毒厂商能查杀的最新的病毒，用户还会感染到。

云安全架构下的防病毒系统示意图如下：


由于直接使用反病毒厂商的特征库，一致性和实时性都得到了保证。