“云安全”(Cloud Security)是網絡時代信息安全的最新體現，它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。

云計算中的安全控制其主要部分與其它IT環境中的安全控制并沒有什么不同，然而，基于采用的云服務模型、運行模式以及提供云服務的技術，與傳統IT解決方案相比云計算可能面臨不同的風險。

即使有些運行責任落在某些第三方伙伴身上，云計算的一個獨特點就是能夠在適度地失去控制的同時又能保持可糾責性(acc•untability)。

一個機構的安全態勢的特征取決于成熟度、有效性以及實現基于風險調節的安全控制的完全程度，這些安全控制可以在一層或多層上實現，包括設備(物理安全)、網絡基礎設施(網絡安全)、IT系統(系統安全)，一直到信息和應用(應用安全)，更多的控制還包括人員和過程層面的，職責分離和變更的管理等。

在不同云服務模型中，提供商和用戶的安全職責有很大的不同。例如，Amaz•n的 AWS EC2架構作為服務包括了一直到hypervis•r安全的供應商的安全責任，也就是說它們只能解決物理安全、環境安全和虛擬化安全這些安全控制，而用戶則負責與IT系統(事件)相關的安全控制，包括操作系統、應用和數據。

Salesf•rce.c•m的客戶資源管理CRM SaaS提供的正好相反，因為整個“棧”都由Salesf•rce.c•m提供，提供商不僅負責物理和環境安全還必須解決基礎設施、應用和數據相關的安全控制，這減輕了用戶的許多運行責任。

云計算的吸引力之一在于由經濟上的可擴展性、重用和標準化提供的成本效率，為了支撐這種成本效率，云提供商提供的服務必須足夠靈活，以服務最大可能的用戶數、最大化他們的市場，不幸的是，將安全集成到這些服務方案中常被認為使得方案變得僵化。

這種僵化常與傳統IT相比，表現在云環境不能部署同等的安全控制，這主要是由于基礎設施的抽象化、缺少可視化、缺少集成多種熟悉的安全控制手段的能力，特別是在網絡層上。

安全是如何集成的

上圖表明了這些問題：在SaaS環境中，安全控制及其范圍在服務合同中進行協商;服務等級、隱私和符合性等也都在合同中關系到。在IaaS中，低層基礎設施和抽象層的安全保護屬于提供商職責，其它職責則屬于客戶。PaaS則居于兩者之間，提供商為平臺自身提供安全保護，平臺上應用的安全性及如何安全地開發這些應用則為客戶的職責。

中國企業的“云安全”概念

中國企業的 “云安全”，在國際云計算領域獨樹一幟。中國企業云安全通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。整個互聯網，變成了一個超級大的殺毒軟件，這就是云安全計劃的宏偉目標。#p#副標題#e#

發展趨勢

未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬，在這樣的情況下，采用的特征庫判別法顯然已經過時。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行采集、分析以及處理。整個互聯網就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯網就會更安全。

云安全的概念提出后，曾引起了廣泛的爭議，許多人認為它是偽命題。但事實勝于雄辯，云安全的發展像一陣風[1]，瑞星、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛士等都推出了云安全解決方案。瑞星基于云安全策略開發的2009新品，每天攔截數百萬次木馬攻擊，其中1月8日更是達到了765萬余次。趨勢科技云安全已經在全球建立了5大數據中心，幾萬部在線服務器。據悉，云安全可以支持平均每天55億條點擊查詢，每天收集分析2.5億個樣本，資料庫第一次命中率就可以達到99%。借助云安全，趨勢科技現在每天阻斷的病毒感染最高達1000萬次。

思想來源

云安全技術是P2P技術、網格技術、云計算技術等分布式計算技術混合發展、自然演化的結果。

云安全的過程值得一提的是，云安全的核心思想，與劉鵬早在2003年就提出的反垃圾郵件網格非常接近。劉鵬當時認為，垃圾郵件泛濫而無法用技術手段很好地自動過濾，是因為所依賴的人工智能方法不是成熟技術。垃圾郵件的最大的特征是：它會將相同的內容發送給數以百萬計的接收者。

為此，可以建立一個分布式統計和學習平臺，以大規模用戶的協同計算來過濾垃圾郵件：

首先，用戶安裝客戶端，為收到的每一封郵件計算出一個唯一的“指紋”，通過比對“指紋”可以統計相似郵件的副本數，當副本數達到一定數量，就可以判定郵件是垃圾郵件;

其次，由于互聯網上多臺計算機比一臺計算機掌握的信息更多，因而可以采用分布式貝葉斯學習算法，在成百上千的客戶端機器上實現協同學習過程，收集、分析并共享最新的信息。

反垃圾郵件網格體現了真正的網格思想，每個加入系統的用戶既是服務的對象，也是完成分布式統計功能的一個信息節點，隨著系統規模的不斷擴大，系統過濾垃圾郵件的準確性也會隨之提高。用大規模統計方法來過濾垃圾郵件的做法比用人工智能的方法更成熟，不容易出現誤判假陽性的情況，實用性很強。反垃圾郵件網格就是利用分布互聯網里的千百萬臺主機的協同工作，來構建一道攔截垃圾郵件的“天網”。

反垃圾郵件網格思想提出后，被IEEE Cluster 2003國際會議選為杰出網格項目在香港作了現場演示，在2004年網格計算國際研討會上作了專題報告和現場演示，引起較為廣泛的關注，受到了中國最大郵件服務提供商網易公司創辦人丁磊等的重視。既然垃圾郵件可以如此處理，病毒、木馬等亦然，這與云安全的思想就相去不遠了。

策略構想

云安全的策略構想是使用者越多，每個使用者就越安全，因為如此龐大的用戶群，足以覆蓋互聯網的每個角落，只要某個網站被掛馬或某個新木馬病毒出現，就會立刻被截獲。

技術由來

云安全的核心思想，與劉鵬早在2003年就提出的反垃圾郵件網格非常接近，劉鵬當時認為，垃圾郵件泛濫而無法用技術手段很好地自動過濾，是因為所依賴的人工智能方法不是成熟技術。垃圾郵件的最大的特征是：它會將相同的內容發送給數以百萬計的接收者。為此可以建立一個分布式統計和學習平臺，以大規模用戶的協同計算來過濾垃圾郵件：首先，用戶安裝客戶端，為收到的每一封郵件計算出一個唯一的“指紋”，通過比對“指紋”可以統計相似郵件的副本數，當副本數達到一定數量，就可以判定郵件是垃圾郵件。

由于互聯網上多臺計算機比一臺計算機掌握的信息更多，因而可以采用分布式貝葉斯學習算法，在成百上千的客戶端機器上實現協同學習過程，收集、分析并共享最新的信息。反垃圾郵件網格體現了真正的網格思想，每個加入系統的用戶既是服務的對象，也是完成分布式統計功能的一個信息節點，隨著系統規模的不斷擴大，系統過濾垃圾郵件的準確性也會隨之提高。用大規模統計方法來過濾垃圾郵件的做法比用人工智能的方法更成熟，不容易出現誤判假陽性的情況，實用性很強。反垃圾郵件網格就是利用分布互聯網里的千百萬臺主機的協同工作，來構建一道攔截垃圾郵件的“天網”。反垃圾郵件網格思想提出后，被IEEE Cluster 2003國際會議選為杰出網格項目在香港作了現場演示，在2004年網格計算國際研討會上作了專題報告和現場演示，引起較為廣泛的關注，受到了中國最大郵件服務提供商網易公司創辦人丁磊等的重視。既然垃圾郵件可以如此處理，病毒、木馬等亦然，這與云安全的思想就相去不遠了。

名稱設計

“云安全”這個名字是馬剛起的，本打算叫“安全云”，被大家鄙視，以為土氣。其實這個概念早就有了，只不過瑞星動的比較快。“云計算”之前，有個很熱的概念叫做“網格計算”，就是把大家的計算機聯合起來，貢獻出一些空閑的計算能力，供大家隨時取用。google是“網格計算”最早的利用者之一，他的服務器都是用廉價的PC機聯合起來，用來取代昂貴的服務器，以提供大容量搜索要求的計算能力。其中的技術難點，就在于并行計算、服務器通訊這些技術。

由瑞星服務器、數千萬卡卡用戶就可以組成虛擬的網絡，簡稱為“云”。病毒針對“云”的攻擊，都會被服務器截獲、記錄并反擊。被病毒感染的節點可以在最短時間內，獲取服務器的解決措施，查殺病毒恢復正常。這樣的“云”，理論上的安全程度是可以無限改善的。“云”最強大的地方，就是拋開了單純的“客戶端”防護的概念。傳統客戶端被感染，殺毒完畢之后就完了，沒有進一步的信息跟蹤和分享。而“云”的所有節點，是與服務器共享信息的。你中毒了，服務器就會記錄，在幫助你處理的同時，也把信息分享給其它用戶，他們就不會被重復感染。于是這個“云”籠罩下的用戶越多，“云”記錄和分享的安全信息也就越多，整體的用戶也就越強大。這才是網絡的真諦，也是所謂“云安全”的精華之所在。

難點問題

要想建立“云安全”系統，并使之正常運行，需要解決四大問題：第一，需要海量的客戶端(云安全探針);第二，需要專業的反病毒技術和經驗;第三，需要大量的資金和技術投入;第四，必須是開放的系統，而且需要大量合作伙伴的加入。

第一、 需要海量的客戶端(云安全探針)。只有擁有海量的客戶端，才能對互聯網上出現的病毒、木馬、掛馬網站有最靈敏的感知能力。目前瑞星有超過一億的自有客戶端，如果加上迅雷、久游等合作伙伴的客戶端，則能夠完全覆蓋國內的所有網民，無論哪個網民中毒、訪問掛馬網頁，都能在第一時間做出反應。

第二、 需要專業的反病毒技術和經驗。瑞星擁有將近20年的反病毒技術積累，有數百名工程師組成的研發隊伍，近年來連續獲得國際級技術認證，技術實力穩居世界前列。這些都使瑞星“云安全”系統的技術水平國內首創，國際領先。大量專利技術、虛擬機、智能主動防御、大規模并行運算等技術的綜合運用，使得瑞星的“云安全”系統能夠及時處理海量的上報信息，將處理結果共享給“云安全”系統的每個成員。

第三、 需要大量的資金和技術投入。目前瑞星“云安全”系統單單在服務器、帶寬等硬件上的投入已經超過1億元，而相應的頂尖技術團隊、未來數年持續的研究花費將數倍于硬件投資，這樣的投入規模是非專業廠商無法做到的。

第四、 必須是開放的系統，而且需要大量合作伙伴的加入。瑞星“云安全”是個開放性的系統，其“探針”與所有軟件完全兼容，即使用戶使用其他殺毒軟件，也可以安裝瑞星卡卡助手等帶有“探針”功能的軟件，享受“云安全”系統帶來的成果。而久游、迅雷等數百家重量級廠商的加入，也大大加強了“云安全”系統的覆蓋能力。