1、云技术的背景以及现状

　　我国的反病毒技术起源自20 世纪90 年代，以各种基于特征码的恶意代码检测方法和基于文件数据、程序行为的启发式检测为主。随着云计算技术的发展，各个厂商陆续提出了自己的云安全技术理念及相应的产品。但这些产品多数的本质并没有脱离特征检测这一方法，只是特征的提取与匹配计算方式有所变化。

　　首先是病毒特征码从客户端采集向云端采集的迁移。为了解决文件数据不断膨胀，恶意代码不断增加给用户带来的内存、硬盘、IO 等负担，云安全技术首先利用云计算实现了特征存储在云端，用户需要检测的时候在本地提取特征送往云端检测，进一步在云端取得相关的处置方法。应用此类技术的软件可以被称作云安全软件。

　　其次云安全引入了更加丰富的样本采集手段。从传统的用户上报、厂商主动获取(下载站点、爬虫、光盘采购等)，转向了由所有用户共同组成的一个网络在这个网络的基础上进行采集，而采集的样本变得异常丰富：

　　1)可以通过数字签名进行可信文件和非可信文件采集。对于授信证书签署的文件可以对其进行采集，配合后端分析减少恶意代码特征的误报。

　　2)可以通过文件的分布信息进行基于分布的流行文件采集，对发现流行恶意代码、传播迅速的恶意代码可以更快地发现。

　　3)可以通过文件的来源可信程度进行采集，对于易被感染的计算机终端(或传播恶意代码的站点)，新发现的文件可疑程度也就更高，及时的采集则可以更快地发现恶意程序。

　　4)通过API监控技术和沙箱技术进行特定行为触发的采集。此方式对于账号信息盗取，敏感信息窃取的木马类采集异常有效。而云技术则可以对敏感位置和敏感数据提供时时更新。

　　再者云安全技术引入了新的恶意代码分析方式。恶意程序可以基于文件的分布广度、文件的数字签名、文件在计算机终端的实际行为进行分析检测。云将这种检测由原来的后置分析变成了在用户现场进行的实际环境的采集和记录，对于云端来说需要的是对这些采集获取的数据进行更多的计算和分析，来判别文件的黑白。而无论是采取虚拟机、沙箱、API监控还是网络数据抓取等任意技术为云安全提供数据的终端设备，都可以被称作是云安全设备。

　　最后云安全设备提供了按需采集数据的能力，这些数据构成了分析提取恶意代码特征的基础。云安全软件提供了按特征进行恶意代码检测和处置的能力。云安全设备和云安全软件为厂商提供了用户需求，厂商可以为用户提供定制的安全服务，而厂商需要采集哪些恶意程序样本并安装客户端需经用户允许才可进行。这两种按需提供的安全服务构成了现有的云安全技术体系。但这个围绕着发现恶意代码建立的安全体系在面对新安全威胁时存在着明显的弱点。

　　2、私有云安全平台建立的意义

　　随着企业管理信息化、政府政务信息化等各行业信息化全面的发展，对于企业、政府机关、组织机构和特定的封闭环境对安全都有新的要求。要满足在封闭环境可用又有广泛的适用性，就必须改变基于恶意代码特征检测的安全防御方式，改变安全厂商完全封闭且用户几乎不可定义的安全防御模型。

　　随着等级保护 、分级保护 、企业内控 等相关法规与政策的相继颁布， 特别是与国计民生息息相关的大型国有企业与各级政府机关， 对于实施知识产权和涉密信息保护的需求十分迫切。打破传统网络运维和安全防护的界限， 构建自主可控的智能信息终端安全运维体系， 实施业务网络完整的发现、评估、处置、审计威胁监控流程， 是新形势下确保关键信息系统安全稳定运营的重要前提。以完整的监测、发现、清除、恢复、审计威胁监控流程为基础，综合利用云安全设备与云安全软件的高度开放平台即私有云安全平台来应对未来安全的威胁是必要的。

　　3、私有云安全的定义

　　私有云安全平台是为应对以APT 为代表的下一代安全威胁而研发的，综合利用云安全软件与云安全设备，结合完整的威胁发现、评估、处置、审计流程，同时提供用户对流程按需参与的下一代安全服务技术。该技术通过云安全软件的监控能力来发现潜在安全威胁、依靠定制用户可参与的多级分析鉴定系统对威胁进行评估、提供用户完全可控的安全策略处置方案、并且保证上述的所有操作都可以通过审计来事后追查。

　　4、私有云安全的特点

　　私有云安全平台具有以下特点：

　　1)能提供不依赖黑名单的威胁防御能力，以企业内部基本稳定的软件生态系统为基础形成可分级的自定义的安全基线。利用安全基线，可以将原来单一依靠黑名单防护的泛安全逻辑转换为精确安全逻辑。

　　2)改进的云安全软件监控，实时发现网内新产生的程序、软件或数据。

　　3)多级多维文件分析鉴定系统，综合多种静态、动态文件鉴定系统提供对文件辨别是否安全可信的综合依据。

　　4)实时的威胁风险评估，通过各种云安全设备(客户端终端软件、基于云安全技术的网络检测设备、移动检测设备等)，对网内威胁风险进行实时的变化反馈。

　　5)多级安全防御、威胁处置策略，根据威胁评估的结果和用户对资产价值的评估结果，将安全防御与威胁处置策略的制定权力与建议方案提供给用户。减少用户对非核心价值资产的关注所导致人力物力投入的分散与浪费。处理流程如图1 所示。

　　6)多层次无库恶意代码检测，从本地特征库到内网云特征库，再到上级特征库和公网特征库，多个层次特征库可以实现对难以处置的恶意程序和新发现恶意程序的第一时间感知，进一步降低威胁发现的延迟。

　　7)威胁来源、分布的追溯能力，依靠对全网文件的追溯能力，在发现(潜在)威胁的第一时间对其来源进行追溯，对其分布影响以及可能引发的后果进行评估。为管理员进行安全应急响应决策制定提供有力的支持。

　　8)综合审计能力，对所有的操作提供全面的审计支持，为由于人为导致的安全事故提供后续封堵和追责的参考。

　　9)高度开放的用户自定义接口，所有潜在威胁发现、文件与数据的鉴定、安全策略的制定与实施、审计内容的定义都是用户可通过开放接口进行参与的，以适应不同场景用户个性化的需求。