文章详细介绍了云技术的背景以及现状，阐明了私有云安全平台建立的意义及必要性，给出了私有云安全的完整定义，分析了私有云安全的特点，在此基础上列举了三种典型的私有云安全平台的部署方案。
　　1、云技术的背景以及现状

　　我国的反病毒技术起源自20 世纪90 年代，以各种基于特征码的恶意代码检测方法和基于文件数据、程序行为的启发式检测为主。随着云计算技术的发展，各个厂商陆续提出了自己的云安全技术理念及相应的产品。但这些产品多数的本质并没有脱离特征检测这一方法，只是特征的提取与匹配计算方式有所变化。

　　首先是病毒特征码从客户端采集向云端采集的迁移。为了解决文件数据不断膨胀，恶意代码不断增加给用户带来的内存、硬盘、IO 等负担，云安全技术首先利用云计算实现了特征存储在云端，用户需要检测的时候在本地提取特征送往云端检测，进一步在云端取得相关的处置方法。应用此类技术的软件可以被称作云安全软件。

　　其次云安全引入了更加丰富的样本采集手段。从传统的用户上报、厂商主动获取(下载站点、爬虫、光盘采购等)，转向了由所有用户共同组成的一个网络在这个网络的基础上进行采集，而采集的样本变得异常丰富：

　　1)可以通过数字签名进行可信文件和非可信文件采集。对于授信证书签署的文件可以对其进行采集，配合后端分析减少恶意代码特征的误报。

　　2)可以通过文件的分布信息进行基于分布的流行文件采集，对发现流行恶意代码、传播迅速的恶意代码可以更快地发现。

　　3)可以通过文件的来源可信程度进行采集，对于易被感染的计算机终端(或传播恶意代码的站点)，新发现的文件可疑程度也就更高，及时的采集则可以更快地发现恶意程序。

　　4)通过API监控技术和沙箱技术进行特定行为触发的采集。此方式对于账号信息盗取，敏感信息窃取的木马类采集异常有效。而云技术则可以对敏感位置和敏感数据提供时时更新。

　　再者云安全技术引入了新的恶意代码分析方式。恶意程序可以基于文件的分布广度、文件的数字签名、文件在计算机终端的实际行为进行分析检测。云将这种检测由原来的后置分析变成了在用户现场进行的实际环境的采集和记录，对于云端来说需要的是对这些采集获取的数据进行更多的计算和分析，来判别文件的黑白。而无论是采取虚拟机、沙箱、API监控还是网络数据抓取等任意技术为云安全提供数据的终端设备，都可以被称作是云安全设备。

　　最后云安全设备提供了按需采集数据的能力，这些数据构成了分析提取恶意代码特征的基础。云安全软件提供了按特征进行恶意代码检测和处置的能力。云安全设备和云安全软件为厂商提供了用户需求，厂商可以为用户提供定制的安全服务，而厂商需要采集哪些恶意程序样本并安装客户端需经用户允许才可进行。这两种按需提供的安全服务构成了现有的云安全技术体系。但这个围绕着发现恶意代码建立的安全体系在面对新安全威胁时存在着明显的弱点。

　　2、私有云安全平台建立的意义

　　随着企业管理信息化、政府政务信息化等各行业信息化全面的发展，对于企业、政府机关、组织机构和特定的封闭环境对安全都有新的要求。要满足在封闭环境可用又有广泛的适用性，就必须改变基于恶意代码特征检测的安全防御方式，改变安全厂商完全封闭且用户几乎不可定义的安全防御模型。

　　随着“等级保护 ”、“分级保护 ”、“企业内控 ”等相关法规与政策的相继颁布, 特别是与国计民生息息相关的大型国有企业与各级政府机关, 对于实施知识产权和涉密信息保护的需求十分迫切。打破传统网络运维和安全防护的界限, 构建自主可控的智能信息终端安全运维体系, 实施业务网络完整的“发现、评估、处置、审计”威胁监控流程, 是新形势下确保关键信息系统安全稳定运营的重要前提。以完整的“监测、发现、清除、恢复、审计”威胁监控流程为基础，综合利用云安全设备与云安全软件的高度开放平台即私有云安全平台来应对未来安全的威胁是必要的。

　　3、私有云安全的定义

　　私有云安全平台是为应对以APT 为代表的下一代安全威胁而研发的，综合利用云安全软件与云安全设备，结合完整的威胁“发现、评估、处置、审计”流程，同时提供用户对流程按需参与的下一代安全服务技术。该技术通过云安全软件的监控能力来发现潜在安全威胁、依靠定制用户可参与的多级分析鉴定系统对威胁进行评估、提供用户完全可控的安全策略处置方案、并且保证上述的所有操作都可以通过审计来事后追查。

　　4、私有云安全的特点

　　私有云安全平台具有以下特点：

　　1)能提供不依赖黑名单的威胁防御能力，以企业内部基本稳定的软件生态系统为基础形成可分级的自定义的安全基线。利用安全基线，可以将原来单一依靠黑名单防护的“泛安全逻辑”转换为“精确安全逻辑”。

　　2)改进的云安全软件监控，实时发现网内新产生的程序、软件或数据。

　　3)多级多维文件分析鉴定系统，综合多种静态、动态文件鉴定系统提供对文件辨别是否安全可信的综合依据。

　　4)实时的威胁风险评估，通过各种云安全设备(客户端终端软件、基于云安全技术的网络检测设备、移动检测设备等)，对网内威胁风险进行实时的变化反馈。

　　5)多级安全防御、威胁处置策略，根据威胁评估的结果和用户对资产价值的评估结果，将安全防御与威胁处置策略的制定权力与建议方案提供给用户。减少用户对非核心价值资产的关注所导致人力物力投入的分散与浪费。处理流程如图1 所示。

　　6)多层次无库恶意代码检测，从本地特征库到内网云特征库，再到上级特征库和公网特征库，多个层次特征库可以实现对难以处置的恶意程序和新发现恶意程序的第一时间感知，进一步降低威胁发现的延迟。

　　7)威胁来源、分布的追溯能力，依靠对全网文件的追溯能力，在发现(潜在)威胁的第一时间对其来源进行追溯，对其分布影响以及可能引发的后果进行评估。为管理员进行安全应急响应决策制定提供有力的支持。

　　8)综合审计能力，对所有的操作提供全面的审计支持，为由于人为导致的安全事故提供后续封堵和追责的参考。

　　9)高度开放的用户自定义接口，所有潜在威胁发现、文件与数据的鉴定、安全策略的制定与实施、审计内容的定义都是用户可通过开放接口进行参与的，以适应不同场景用户个性化的需求。

　　5、私有云安全平台的组成

　　与所有云安全技术类似，私有云安全平台也由终端和云端两部分构成。

　　5.1终端可以分为两种角色

　　1)负责数据采集的云安全设备。

　　主要采用API 监控结合沙箱技术提供多文件、程序行为、关联数据的采集能力。例如：Windows 终端上通过API Hook技术对浏览器进行监控可以采集用户下载的新可执行文件、以及利用漏洞运行的恶意代码、用户访问过的URL 等信息，通过关联分析就可以发现利用未知漏洞运行程序，为后续制定防御策略和追溯威胁来源提供数据支持。

　　又如：云防火墙设备可以从根据非法IP 对指定设备的特定端口进行访问到被潜在威胁攻陷的计算机的IP、MAC 等信息的采集，这些信息与之前在该计算机上采集到的程序网络访问行为结合则可以直接定位到潜在威胁程序，为进行应急响应、安全处置提供精准的参考。

　　2)负责安全防御与威胁处置的云安全软件。

　　主要利用云查杀技术和API 监控等传统监控能力与云结合实现多层级多纬度的安全策略。例如，在云安全设备中的防火墙可，在管理员发现威胁后，通过私有云安全平台将该潜在威胁直接标为不可信，并进行阻断处置，同时禁止该程序在任何计算机上运行来达到防御的目的。这些防御和处置手段都是通过云安全软件来实现的。

　　在实际使用的过程中，经常会有同一个终端充当多个角色的情况。例如：部署在用户计算机的客户端软件可以提供云安全软件的安全防御能力、威胁处置能力同时又可以充当云安全设备对用户机器上新发现的程序进行采集、上报；部署在网关处的防火墙设备则可以采集网络流量信息(充当云安全设备)、根据私有云安全平台的策略对潜在威胁的数据连接和数据包进行阻断(充当云安全软件)。

　　5.2 云端分类

　　1)恶意代码查杀云(也可称为可信软件查询云、文件信誉云)，负责为云安全软件和下级恶意代码查杀云提供恶意代码和可信软件程序的按需查询服务。

　　2)安全基线云，负责为不同计算机提供不同的安全基线，位于基线内的文件对于指定的计算机来说是可信的，不在基线内则可以视为威胁。

　　3)程序、数据鉴定云，负责对云安全设备采集到的文件实体、数据进行分析鉴定并给出分析报告或鉴定结果。

　　4)文件追溯云。提供对全网可执行文件和关键文件的追溯能力，利用云安全设备充当探头，完成对全网文件状态的全面追溯。

　　5)安全管理云，负责接收、管理用户处采集到的文件、数据；负责管理恶意代码查杀云的特征数据；负责管理安全基线；负责管理终端云安全设备的采集策略；负责管理云安全软件的防御和处置策略；负责提供安全管理、应急响应建议。

　　6)安全审计云，负责对上述各种云在运行中产生的关键行为和结果的记录和审计，并提供审计报表。

　　除上述的云安全服务以外，还可以提供“URL 可信查询云”、“系统文件修复云”等其他云安全服务。只要某种云安全服务符合安全管理云的API 接口，就可以被安全管理云管理。同时用户也可以通过安全审计云提供的API 接口对审计数据进行获取。通常上述的多种云服务都通过云计算服务来实现。

　　6、私有云安全平台的部署实施

　　由于私有云安全平台自身的高度可定制性，其部署方案也是多种多样的，下面列举三种典型的部署方案。也通过这三种方案来看一下私有云安全平台是否可行。

　　1)恶意代码查杀方案。对于此类方案其主要目标是用下一代威胁防御产品对既有产品进行替代。如果对新的安全防御能力没有要求则可以通过简单的部署私有云安全平台客户端软件、恶意代码查杀云、安全管理云的方式实现与传统云安全反病毒软件相同的防御能力。甚至在非封闭的网络环境，就可以直接使用公有云的云查杀能力例如最简单的针对小型企业的安全解决方案是直接使用公有安全管理云和公有恶意代码查杀云，这样可以将部署的成本降到最低。

　　2)封闭环境锁定方案。对于封闭网络环境来说，由于隔绝于外部，所以在一定时间内其内部的文件数量级别保持恒定，通常采取建立安全基线的部署方式，部署的功能组件也会比较完整。同时除了上述的常规部署方案外，针对一些全封闭的特殊环境，可以采取严格的基线策略，除基线外的所有程序都禁止执行，也就是说将终端设置为锁定状态，仅允许运行安全基线内的程序。当发生违规操作时(即有一个未知或不允许运行的程序运行)，则可能发生入侵或攻击行为，管理人员则可以根据情况依据安全管理云提供的建议进行应急响应。

　　3)未知威胁防御方案。一种典型的未知威胁防御方案是针对APT的防御方案。APT的持续性决定了，必然存在持续的未知威胁才能保障达到攻击目的。首先攻击者通过种种手段突破防御的边界进从入系统内部，然后在系统内部低资产价值机器之间驻留、传播以寻找到达高资产价值的攻击目标的机会，最终到达目标后实施攻击。而整个过程必须由一个或多个程序来完成，其特点是在特定的时间内无法被传统的反病毒软件检测到(要达成这个目的必须做到“免杀”或者伪装成可信程序)。概括为三个阶段：1)边界突破；2)介质潜伏；3)目标破坏。

　　针对APT防御在完整部署私有云安全平台后，可以依据以下的多级防御模型进行实施。该模型将终端划分为多个安全级别，每个安全级别的风险根据不同的数据进行评估，下面以私有云安全平台某版本内置的四级安全模型为例。该模型将终端分为：开放终端、审计终端、重要终端、核心终端。开放终端仅处理恶意软件；威胁评估依据是恶意软件的存在数量和系统、软件漏洞数量；审计终端则有相关的安全基线策略(但不严格，仅记录不在基线的程序不阻止)，除开放终端的评估依据外增加违反安全策略的违规操作；重要终端则对不在基线内的程序运行时给予提示，询问用户是否允许，如果允许则记录违规操作，增加风险值；最后是核心终端，是不允许运行和存在基线外的任何文件，如果存在则也会增加风险，如图3 所示。将四类终端各一个的风险值记为R0、R1、R2、R3。一个APT 由两个未知程序程序构成，记为A 和B。A 和B 均有传播和驻留的功能，任何一个驻留成功后均会将另一个写入被攻陷的终端。

　　1)APT 攻击模拟

　　(1)B 突破开放终端边界，通过漏洞将A上传到审计终端，并添加A 为启动项，风险值不变。重启后A 执行，A 生成B，由B 负责继续传播。

　　(2)B 突破审计终端边界，通过漏洞将A上传到审计终端，并添加A 为启动项(违规操作, 风险值上升)。重启后A 执行，A 生成B，由B 负责继续传播。

　　(3)B 突破重要终端边界，通过漏洞将A上传到重要终端，并添加A 为启动项(违规操作, 风险值上升)。重启后系统询问是否允许执行A ：

　　(4) 若允许A 执行，则未知程序执行，风险值上升。A生成B，由B 负责继续传播。

　　(5)若不允许A 执行，则攻击成功被阻拦，不会影响到核心终端。

　　(6)B 突破核心终端边界，通过漏洞将A上传到重要终端，并添加A为启动项( 违规操作, 风险值上升)。快速扫描发现A，即存在灰文件，风险值上升。由于核心终端不允许灰文件执行，所以重启后A 无法执行被阻止。

　　(7)管理员发现未知文件A 试图在核心终端执行后，临时将A 设置为黑文件。

　　2)此时外部攻击仍在持续。

　　(1)B 突破开放终端边界，通过漏洞将A上传到审计终端，并添加A为启动项，风险值不变。重启后A被监控发现并阻止执行。

　　(2)同时在重要终端上发现存在黑文件A 和未知文件B，终端风险上升。管理由发现除A 外仍然存在B 导致重要终端处于高风险状态，将B 设置为黑文件。至此此次APT 被成功阻断。

　　7、结束语

　　本文详细叙述了云技术的背景以及现状，阐明了私有云安全平台建立的意义及必要性，给出了私有云安全的完整定义，分析了私有云安全的特点，私有云安全平台由终端和云端组成，在此基础上列举了三种典型的私有云安全平台的部署方案。