1、云技術(shù)的背景以及現(xiàn)狀

　　我國的反病毒技術(shù)起源自20 世紀(jì)90 年代，以各種基于特征碼的惡意代碼檢測(cè)方法和基于文件數(shù)據(jù)、程序行為的啟發(fā)式檢測(cè)為主。隨著云計(jì)算技術(shù)的發(fā)展，各個(gè)廠商陸續(xù)提出了自己的云安全技術(shù)理念及相應(yīng)的產(chǎn)品。但這些產(chǎn)品多數(shù)的本質(zhì)并沒有脫離特征檢測(cè)這一方法，只是特征的提取與匹配計(jì)算方式有所變化。

　　首先是病毒特征碼從客戶端采集向云端采集的遷移。為了解決文件數(shù)據(jù)不斷膨脹，惡意代碼不斷增加給用戶帶來的內(nèi)存、硬盤、IO 等負(fù)擔(dān)，云安全技術(shù)首先利用云計(jì)算實(shí)現(xiàn)了特征存儲(chǔ)在云端，用戶需要檢測(cè)的時(shí)候在本地提取特征送往云端檢測(cè)，進(jìn)一步在云端取得相關(guān)的處置方法。應(yīng)用此類技術(shù)的軟件可以被稱作云安全軟件。

　　其次云安全引入了更加豐富的樣本采集手段。從傳統(tǒng)的用戶上報(bào)、廠商主動(dòng)獲取(下載站點(diǎn)、爬蟲、光盤采購等)，轉(zhuǎn)向了由所有用戶共同組成的一個(gè)網(wǎng)絡(luò)在這個(gè)網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行采集，而采集的樣本變得異常豐富：

　　1)可以通過數(shù)字簽名進(jìn)行可信文件和非可信文件采集。對(duì)于授信證書簽署的文件可以對(duì)其進(jìn)行采集，配合后端分析減少惡意代碼特征的誤報(bào)。

　　2)可以通過文件的分布信息進(jìn)行基于分布的流行文件采集，對(duì)發(fā)現(xiàn)流行惡意代碼、傳播迅速的惡意代碼可以更快地發(fā)現(xiàn)。

　　3)可以通過文件的來源可信程度進(jìn)行采集，對(duì)于易被感染的計(jì)算機(jī)終端(或傳播惡意代碼的站點(diǎn))，新發(fā)現(xiàn)的文件可疑程度也就更高，及時(shí)的采集則可以更快地發(fā)現(xiàn)惡意程序。

　　4)通過API監(jiān)控技術(shù)和沙箱技術(shù)進(jìn)行特定行為觸發(fā)的采集。此方式對(duì)于賬號(hào)信息盜取，敏感信息竊取的木馬類采集異常有效。而云技術(shù)則可以對(duì)敏感位置和敏感數(shù)據(jù)提供時(shí)時(shí)更新。

　　再者云安全技術(shù)引入了新的惡意代碼分析方式。惡意程序可以基于文件的分布廣度、文件的數(shù)字簽名、文件在計(jì)算機(jī)終端的實(shí)際行為進(jìn)行分析檢測(cè)。云將這種檢測(cè)由原來的后置分析變成了在用戶現(xiàn)場(chǎng)進(jìn)行的實(shí)際環(huán)境的采集和記錄，對(duì)于云端來說需要的是對(duì)這些采集獲取的數(shù)據(jù)進(jìn)行更多的計(jì)算和分析，來判別文件的黑白。而無論是采取虛擬機(jī)、沙箱、API監(jiān)控還是網(wǎng)絡(luò)數(shù)據(jù)抓取等任意技術(shù)為云安全提供數(shù)據(jù)的終端設(shè)備，都可以被稱作是云安全設(shè)備。

　　最后云安全設(shè)備提供了按需采集數(shù)據(jù)的能力，這些數(shù)據(jù)構(gòu)成了分析提取惡意代碼特征的基礎(chǔ)。云安全軟件提供了按特征進(jìn)行惡意代碼檢測(cè)和處置的能力。云安全設(shè)備和云安全軟件為廠商提供了用戶需求，廠商可以為用戶提供定制的安全服務(wù)，而廠商需要采集哪些惡意程序樣本并安裝客戶端需經(jīng)用戶允許才可進(jìn)行。這兩種按需提供的安全服務(wù)構(gòu)成了現(xiàn)有的云安全技術(shù)體系。但這個(gè)圍繞著發(fā)現(xiàn)惡意代碼建立的安全體系在面對(duì)新安全威脅時(shí)存在著明顯的弱點(diǎn)。

　　2、私有云安全平臺(tái)建立的意義

　　隨著企業(yè)管理信息化、政府政務(wù)信息化等各行業(yè)信息化全面的發(fā)展，對(duì)于企業(yè)、政府機(jī)關(guān)、組織機(jī)構(gòu)和特定的封閉環(huán)境對(duì)安全都有新的要求。要滿足在封閉環(huán)境可用又有廣泛的適用性，就必須改變基于惡意代碼特征檢測(cè)的安全防御方式，改變安全廠商完全封閉且用戶幾乎不可定義的安全防御模型。

　　隨著“等級(jí)保護(hù) ”、“分級(jí)保護(hù) ”、“企業(yè)內(nèi)控 ”等相關(guān)法規(guī)與政策的相繼頒布, 特別是與國計(jì)民生息息相關(guān)的大型國有企業(yè)與各級(jí)政府機(jī)關(guān), 對(duì)于實(shí)施知識(shí)產(chǎn)權(quán)和涉密信息保護(hù)的需求十分迫切。打破傳統(tǒng)網(wǎng)絡(luò)運(yùn)維和安全防護(hù)的界限, 構(gòu)建自主可控的智能信息終端安全運(yùn)維體系, 實(shí)施業(yè)務(wù)網(wǎng)絡(luò)完整的“發(fā)現(xiàn)、評(píng)估、處置、審計(jì)”威脅監(jiān)控流程, 是新形勢(shì)下確保關(guān)鍵信息系統(tǒng)安全穩(wěn)定運(yùn)營(yíng)的重要前提。以完整的“監(jiān)測(cè)、發(fā)現(xiàn)、清除、恢復(fù)、審計(jì)”威脅監(jiān)控流程為基礎(chǔ)，綜合利用云安全設(shè)備與云安全軟件的高度開放平臺(tái)即私有云安全平臺(tái)來應(yīng)對(duì)未來安全的威脅是必要的。

　　3、私有云安全的定義

　　私有云安全平臺(tái)是為應(yīng)對(duì)以APT 為代表的下一代安全威脅而研發(fā)的，綜合利用云安全軟件與云安全設(shè)備，結(jié)合完整的威脅“發(fā)現(xiàn)、評(píng)估、處置、審計(jì)”流程，同時(shí)提供用戶對(duì)流程按需參與的下一代安全服務(wù)技術(shù)。該技術(shù)通過云安全軟件的監(jiān)控能力來發(fā)現(xiàn)潛在安全威脅、依靠定制用戶可參與的多級(jí)分析鑒定系統(tǒng)對(duì)威脅進(jìn)行評(píng)估、提供用戶完全可控的安全策略處置方案、并且保證上述的所有操作都可以通過審計(jì)來事后追查。

　　4、私有云安全的特點(diǎn)

　　私有云安全平臺(tái)具有以下特點(diǎn)：

　　1)能提供不依賴黑名單的威脅防御能力，以企業(yè)內(nèi)部基本穩(wěn)定的軟件生態(tài)系統(tǒng)為基礎(chǔ)形成可分級(jí)的自定義的安全基線。利用安全基線，可以將原來單一依靠黑名單防護(hù)的“泛安全邏輯”轉(zhuǎn)換為“精確安全邏輯”。

　　2)改進(jìn)的云安全軟件監(jiān)控，實(shí)時(shí)發(fā)現(xiàn)網(wǎng)內(nèi)新產(chǎn)生的程序、軟件或數(shù)據(jù)。

　　3)多級(jí)多維文件分析鑒定系統(tǒng)，綜合多種靜態(tài)、動(dòng)態(tài)文件鑒定系統(tǒng)提供對(duì)文件辨別是否安全可信的綜合依據(jù)。

　　4)實(shí)時(shí)的威脅風(fēng)險(xiǎn)評(píng)估，通過各種云安全設(shè)備(客戶端終端軟件、基于云安全技術(shù)的網(wǎng)絡(luò)檢測(cè)設(shè)備、移動(dòng)檢測(cè)設(shè)備等)，對(duì)網(wǎng)內(nèi)威脅風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)的變化反饋。

　　5)多級(jí)安全防御、威脅處置策略，根據(jù)威脅評(píng)估的結(jié)果和用戶對(duì)資產(chǎn)價(jià)值的評(píng)估結(jié)果，將安全防御與威脅處置策略的制定權(quán)力與建議方案提供給用戶。減少用戶對(duì)非核心價(jià)值資產(chǎn)的關(guān)注所導(dǎo)致人力物力投入的分散與浪費(fèi)。處理流程如圖1 所示。
 

　　6)多層次無庫惡意代碼檢測(cè)，從本地特征庫到內(nèi)網(wǎng)云特征庫，再到上級(jí)特征庫和公網(wǎng)特征庫，多個(gè)層次特征庫可以實(shí)現(xiàn)對(duì)難以處置的惡意程序和新發(fā)現(xiàn)惡意程序的第一時(shí)間感知，進(jìn)一步降低威脅發(fā)現(xiàn)的延遲。

　　7)威脅來源、分布的追溯能力，依靠對(duì)全網(wǎng)文件的追溯能力，在發(fā)現(xiàn)(潛在)威脅的第一時(shí)間對(duì)其來源進(jìn)行追溯，對(duì)其分布影響以及可能引發(fā)的后果進(jìn)行評(píng)估。為管理員進(jìn)行安全應(yīng)急響應(yīng)決策制定提供有力的支持。

　　8)綜合審計(jì)能力，對(duì)所有的操作提供全面的審計(jì)支持，為由于人為導(dǎo)致的安全事故提供后續(xù)封堵和追責(zé)的參考。

　　9)高度開放的用戶自定義接口，所有潛在威脅發(fā)現(xiàn)、文件與數(shù)據(jù)的鑒定、安全策略的制定與實(shí)施、審計(jì)內(nèi)容的定義都是用戶可通過開放接口進(jìn)行參與的，以適應(yīng)不同場(chǎng)景用戶個(gè)性化的需求。

　　5、私有云安全平臺(tái)的組成

　　與所有云安全技術(shù)類似，私有云安全平臺(tái)也由終端和云端兩部分構(gòu)成。

　　5.1終端可以分為兩種角色

　　1)負(fù)責(zé)數(shù)據(jù)采集的云安全設(shè)備。

　　主要采用API 監(jiān)控結(jié)合沙箱技術(shù)提供多文件、程序行為、關(guān)聯(lián)數(shù)據(jù)的采集能力。例如：Windows 終端上通過API Hook技術(shù)對(duì)瀏覽器進(jìn)行監(jiān)控可以采集用戶下載的新可執(zhí)行文件、以及利用漏洞運(yùn)行的惡意代碼、用戶訪問過的URL 等信息，通過關(guān)聯(lián)分析就可以發(fā)現(xiàn)利用未知漏洞運(yùn)行程序，為后續(xù)制定防御策略和追溯威脅來源提供數(shù)據(jù)支持。

　　又如：云防火墻設(shè)備可以從根據(jù)非法IP 對(duì)指定設(shè)備的特定端口進(jìn)行訪問到被潛在威脅攻陷的計(jì)算機(jī)的IP、MAC 等信息的采集，這些信息與之前在該計(jì)算機(jī)上采集到的程序網(wǎng)絡(luò)訪問行為結(jié)合則可以直接定位到潛在威脅程序，為進(jìn)行應(yīng)急響應(yīng)、安全處置提供精準(zhǔn)的參考。

　　2)負(fù)責(zé)安全防御與威脅處置的云安全軟件。

　　主要利用云查殺技術(shù)和API 監(jiān)控等傳統(tǒng)監(jiān)控能力與云結(jié)合實(shí)現(xiàn)多層級(jí)多緯度的安全策略。例如，在云安全設(shè)備中的防火墻可，在管理員發(fā)現(xiàn)威脅后，通過私有云安全平臺(tái)將該潛在威脅直接標(biāo)為不可信，并進(jìn)行阻斷處置，同時(shí)禁止該程序在任何計(jì)算機(jī)上運(yùn)行來達(dá)到防御的目的。這些防御和處置手段都是通過云安全軟件來實(shí)現(xiàn)的。

　　在實(shí)際使用的過程中，經(jīng)常會(huì)有同一個(gè)終端充當(dāng)多個(gè)角色的情況。例如：部署在用戶計(jì)算機(jī)的客戶端軟件可以提供云安全軟件的安全防御能力、威脅處置能力同時(shí)又可以充當(dāng)云安全設(shè)備對(duì)用戶機(jī)器上新發(fā)現(xiàn)的程序進(jìn)行采集、上報(bào)；部署在網(wǎng)關(guān)處的防火墻設(shè)備則可以采集網(wǎng)絡(luò)流量信息(充當(dāng)云安全設(shè)備)、根據(jù)私有云安全平臺(tái)的策略對(duì)潛在威脅的數(shù)據(jù)連接和數(shù)據(jù)包進(jìn)行阻斷(充當(dāng)云安全軟件)。

　　5.2 云端分類

　　1)惡意代碼查殺云(也可稱為可信軟件查詢?cè)啤⑽募�信譽(yù)云)，負(fù)責(zé)為云安全軟件和下級(jí)惡意代碼查殺云提供惡意代碼和可信軟件程序的按需查詢服務(wù)。

　　2)安全基線云，負(fù)責(zé)為不同計(jì)算機(jī)提供不同的安全基線，位于基線內(nèi)的文件對(duì)于指定的計(jì)算機(jī)來說是可信的，不在基線內(nèi)則可以視為威脅。

　　3)程序、數(shù)據(jù)鑒定云，負(fù)責(zé)對(duì)云安全設(shè)備采集到的文件實(shí)體、數(shù)據(jù)進(jìn)行分析鑒定并給出分析報(bào)告或鑒定結(jié)果。

　　4)文件追溯云。提供對(duì)全網(wǎng)可執(zhí)行文件和關(guān)鍵文件的追溯能力，利用云安全設(shè)備充當(dāng)探頭，完成對(duì)全網(wǎng)文件狀態(tài)的全面追溯。

　　5)安全管理云，負(fù)責(zé)接收、管理用戶處采集到的文件、數(shù)據(jù)；負(fù)責(zé)管理惡意代碼查殺云的特征數(shù)據(jù)；負(fù)責(zé)管理安全基線；負(fù)責(zé)管理終端云安全設(shè)備的采集策略；負(fù)責(zé)管理云安全軟件的防御和處置策略；負(fù)責(zé)提供安全管理、應(yīng)急響應(yīng)建議。

　　6)安全審計(jì)云，負(fù)責(zé)對(duì)上述各種云在運(yùn)行中產(chǎn)生的關(guān)鍵行為和結(jié)果的記錄和審計(jì)，并提供審計(jì)報(bào)表。

　　除上述的云安全服務(wù)以外，還可以提供“URL 可信查詢?cè)?rdquo;、“系統(tǒng)文件修復(fù)云”等其他云安全服務(wù)。只要某種云安全服務(wù)符合安全管理云的API 接口，就可以被安全管理云管理。同時(shí)用戶也可以通過安全審計(jì)云提供的API 接口對(duì)審計(jì)數(shù)據(jù)進(jìn)行獲取。通常上述的多種云服務(wù)都通過云計(jì)算服務(wù)來實(shí)現(xiàn)。

　　6、私有云安全平臺(tái)的部署實(shí)施

　　由于私有云安全平臺(tái)自身的高度可定制性，其部署方案也是多種多樣的，下面列舉三種典型的部署方案。也通過這三種方案來看一下私有云安全平臺(tái)是否可行。
 

　　1)惡意代碼查殺方案。對(duì)于此類方案其主要目標(biāo)是用下一代威脅防御產(chǎn)品對(duì)既有產(chǎn)品進(jìn)行替代。如果對(duì)新的安全防御能力沒有要求則可以通過簡(jiǎn)單的部署私有云安全平臺(tái)客戶端軟件、惡意代碼查殺云、安全管理云的方式實(shí)現(xiàn)與傳統(tǒng)云安全反病毒軟件相同的防御能力。甚至在非封閉的網(wǎng)絡(luò)環(huán)境，就可以直接使用公有云的云查殺能力例如最簡(jiǎn)單的針對(duì)小型企業(yè)的安全解決方案是直接使用公有安全管理云和公有惡意代碼查殺云，這樣可以將部署的成本降到最低。

　　2)封閉環(huán)境鎖定方案。對(duì)于封閉網(wǎng)絡(luò)環(huán)境來說，由于隔絕于外部，所以在一定時(shí)間內(nèi)其內(nèi)部的文件數(shù)量級(jí)別保持恒定，通常采取建立安全基線的部署方式，部署的功能組件也會(huì)比較完整。同時(shí)除了上述的常規(guī)部署方案外，針對(duì)一些全封閉的特殊環(huán)境，可以采取嚴(yán)格的基線策略，除基線外的所有程序都禁止執(zhí)行，也就是說將終端設(shè)置為鎖定狀態(tài)，僅允許運(yùn)行安全基線內(nèi)的程序。當(dāng)發(fā)生違規(guī)操作時(shí)(即有一個(gè)未知或不允許運(yùn)行的程序運(yùn)行)，則可能發(fā)生入侵或攻擊行為，管理人員則可以根據(jù)情況依據(jù)安全管理云提供的建議進(jìn)行應(yīng)急響應(yīng)。

　　3)未知威脅防御方案。一種典型的未知威脅防御方案是針對(duì)APT的防御方案。APT的持續(xù)性決定了，必然存在持續(xù)的未知威脅才能保障達(dá)到攻擊目的。首先攻擊者通過種種手段突破防御的邊界進(jìn)從入系統(tǒng)內(nèi)部，然后在系統(tǒng)內(nèi)部低資產(chǎn)價(jià)值機(jī)器之間駐留、傳播以尋找到達(dá)高資產(chǎn)價(jià)值的攻擊目標(biāo)的機(jī)會(huì)，最終到達(dá)目標(biāo)后實(shí)施攻擊。而整個(gè)過程必須由一個(gè)或多個(gè)程序來完成，其特點(diǎn)是在特定的時(shí)間內(nèi)無法被傳統(tǒng)的反病毒軟件檢測(cè)到(要達(dá)成這個(gè)目的必須做到“免殺”或者偽裝成可信程序)。概括為三個(gè)階段：1)邊界突破；2)介質(zhì)潛伏；3)目標(biāo)破壞。
 

　　針對(duì)APT防御在完整部署私有云安全平臺(tái)后，可以依據(jù)以下的多級(jí)防御模型進(jìn)行實(shí)施。該模型將終端劃分為多個(gè)安全級(jí)別，每個(gè)安全級(jí)別的風(fēng)險(xiǎn)根據(jù)不同的數(shù)據(jù)進(jìn)行評(píng)估，下面以私有云安全平臺(tái)某版本內(nèi)置的四級(jí)安全模型為例。該模型將終端分為：開放終端、審計(jì)終端、重要終端、核心終端。開放終端僅處理惡意軟件；威脅評(píng)估依據(jù)是惡意軟件的存在數(shù)量和系統(tǒng)、軟件漏洞數(shù)量；審計(jì)終端則有相關(guān)的安全基線策略(但不嚴(yán)格，僅記錄不在基線的程序不阻止)，除開放終端的評(píng)估依據(jù)外增加違反安全策略的違規(guī)操作；重要終端則對(duì)不在基線內(nèi)的程序運(yùn)行時(shí)給予提示，詢問用戶是否允許，如果允許則記錄違規(guī)操作，增加風(fēng)險(xiǎn)值；最后是核心終端，是不允許運(yùn)行和存在基線外的任何文件，如果存在則也會(huì)增加風(fēng)險(xiǎn)，如圖3 所示。將四類終端各一個(gè)的風(fēng)險(xiǎn)值記為R0、R1、R2、R3。一個(gè)APT 由兩個(gè)未知程序程序構(gòu)成，記為A 和B。A 和B 均有傳播和駐留的功能，任何一個(gè)駐留成功后均會(huì)將另一個(gè)寫入被攻陷的終端。

　　1)APT 攻擊模擬

　　(1)B 突破開放終端邊界，通過漏洞將A上傳到審計(jì)終端，并添加A 為啟動(dòng)項(xiàng)，風(fēng)險(xiǎn)值不變。重啟后A 執(zhí)行，A 生成B，由B 負(fù)責(zé)繼續(xù)傳播。

　　(2)B 突破審計(jì)終端邊界，通過漏洞將A上傳到審計(jì)終端，并添加A 為啟動(dòng)項(xiàng)(違規(guī)操作, 風(fēng)險(xiǎn)值上升)。重啟后A 執(zhí)行，A 生成B，由B 負(fù)責(zé)繼續(xù)傳播。

　　(3)B 突破重要終端邊界，通過漏洞將A上傳到重要終端，并添加A 為啟動(dòng)項(xiàng)(違規(guī)操作, 風(fēng)險(xiǎn)值上升)。重啟后系統(tǒng)詢問是否允許執(zhí)行A ：

　　(4) 若允許A 執(zhí)行，則未知程序執(zhí)行，風(fēng)險(xiǎn)值上升。A生成B，由B 負(fù)責(zé)繼續(xù)傳播。

　　(5)若不允許A 執(zhí)行，則攻擊成功被阻攔，不會(huì)影響到核心終端。

　　(6)B 突破核心終端邊界，通過漏洞將A上傳到重要終端，并添加A為啟動(dòng)項(xiàng)( 違規(guī)操作, 風(fēng)險(xiǎn)值上升)。快速掃描發(fā)現(xiàn)A，即存在灰文件，風(fēng)險(xiǎn)值上升。由于核心終端不允許灰文件執(zhí)行，所以重啟后A 無法執(zhí)行被阻止。

　　(7)管理員發(fā)現(xiàn)未知文件A 試圖在核心終端執(zhí)行后，臨時(shí)將A 設(shè)置為黑文件。

　　2)此時(shí)外部攻擊仍在持續(xù)。

　　(1)B 突破開放終端邊界，通過漏洞將A上傳到審計(jì)終端，并添加A為啟動(dòng)項(xiàng)，風(fēng)險(xiǎn)值不變。重啟后A被監(jiān)控發(fā)現(xiàn)并阻止執(zhí)行。

　　(2)同時(shí)在重要終端上發(fā)現(xiàn)存在黑文件A 和未知文件B，終端風(fēng)險(xiǎn)上升。管理由發(fā)現(xiàn)除A 外仍然存在B 導(dǎo)致重要終端處于高風(fēng)險(xiǎn)狀態(tài)，將B 設(shè)置為黑文件。至此此次APT 被成功阻斷。

　　7、結(jié)束語

　　本文詳細(xì)敘述了云技術(shù)的背景以及現(xiàn)狀，闡明了私有云安全平臺(tái)建立的意義及必要性，給出了私有云安全的完整定義，分析了私有云安全的特點(diǎn)，私有云安全平臺(tái)由終端和云端組成，在此基礎(chǔ)上列舉了三種典型的私有云安全平臺(tái)的部署方案。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：基于私有云安全平臺(tái)的網(wǎng)絡(luò)安全部署與實(shí)施

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/10839513070.html