【IT168 专稿】2009年7月24日，全球互联网内容安全软件及服务领域的全球领导者——趋势科技发布了云安全2.0多层次终端安全解决方案。这是继一年前云安全1.0发布后，趋势科技在防毒方面又一次跃进。按照软件行业的惯例，只有项目在进行了重大修改或局部修正累积较多而导致项目整体发生全局变化时, 主版本号才会加1。那云安全2.0与1.0相比，究竟有了什么样的重大改进，是否能达到发布会所宣称的“重新思考你的终端安全”这一目的?IT168为此专访了趋势科技全球高级副总裁暨大中华区总经理张伟钦。

趋势科技全球高级副总裁暨大中华区总经理张伟钦

　　配角时代过去了

　　在谈云安全2.0之前，不能不回顾下一年前的云安全1.0。

　　云安全1.0按照趋势科技的说法，是一种主动性防御技术，主要针对Web方式传播的病毒。云安全技术旨在通过动态对被访问信息的安全等级进行评估，在恶意信息侵入网络之前，在源端直接就将其进行阻止，从而达到零接触、零感染的防护价值。

　　尽管趋势科技拿出“Web方式传播是目前增长最快的威胁形式，三年增长1731%，同时也是传播的主要途径。而且，恶意程序还能不断自动下载许多木马，自我更新，避免病毒库捕获”这些很能震慑用户的介绍和数据，但无法回避的一个问题是，病毒是否就仅Web方式传播一种?是否防止了Web方式传播的病毒就能完全保障终端的安全?

　　在2008年8月6日，趋势科技于上海召开的主题为“Web安全云时代”的新闻发布会上，趋势科技全球高级副总裁暨大中华区总经理张伟钦对于类似问题的回答是“No”!面对IT168问云安全1.0是否还无法完全取代传统防毒软件这一问题的回答是“Yes”!

　　这两个问题的回答等于告诉大众，也许云安全1.0能百分之百能保证来自网络的病毒不能感染终端或者网络设备，但它无法保证来自终端内部的病毒感染风险能被提前发现。这些内部病毒感染可能是在安装云安全终端解决方案前就潜伏下的病毒，也可能是通过I/O接口输入的数据比如来自闪盘、移动硬盘上硬度。这种缺陷的存在导致云安全1.0可以成为终端防毒的一个重要的组成部分，但却无法取代传统防毒软件，成为终端防毒解决方案的主角——因为尽管传统防毒软件需要下载庞大的病毒库，会占用大量的系统资源，但它能做到随时监控来自任何地方的病毒风险，而云安全1.0只能监控来自网络的风险，因此存在很大局限性。

　　然而，今年云安全2.0的出现，终于改变了这种情况。它的出现，让云安全终于有机会取代传统防毒软件，成为终端防毒的主角。对于趋势科技来说，对于终端安全来说，这是一个真正跨越的时间点，才有资格让用户重新思考终端安全。

　　云安全2.0凭借什么让人“重新思考”

　　云安全2.0的出现为什么能改变尴尬的配角身份?因为它增加了文件信誉技术(FRT)和多协议关联分析技术的应用。

　　文件信誉技术(FRT)和云安全1.0中的Web信誉技术(WRT)、邮件信誉技术(ERT)一样，也是依托庞大的云端威胁数据库，在用户访问文件前查询该文件的信誉，阻止恶意文件的下载访问。这些文件可以是位于终端、服务器或网关处，也可以是可执行文件或者是具备可执行特性的文件，比如带有宏的office文件。

　　文件信誉技术出现意味着什么?意味着云安全1.0所没有监控到的部分，即来自终端内部的病毒感染风险也被监控了。云安全终于可以“锦上添花”型安全解决方案摇身一变，成为能“大包大揽”型，真正的防毒软件或者说安全解决方案。

　　为了彻底战胜传统防毒软件，除了云安全1.0时代就获得的“将病毒库放在云端可以实现经济防护”的优势外，云安全2.0还抛出了“多协议关联分析技术”这一武器。所谓多协议关联分析技术，据张伟钦介绍，就是可以在近百种常见协议中进行智能分析，通过监控企业网络中各种异常的行为，追踪威胁发起者，定位威胁感染源头。而基于该项技术开发的趋势科技威胁发现设备TDA从网络层能为终端主动构建了一个立体模型，利用威胁关联分析、多协议关联分析迅速定位感染源头，发现企业网络中的“肉鸡”和各种未知威胁或者安全管理问题，并通过同趋势科技监控中心(MOC)的互动，为企业网络提供管理服务，从而形成一套完整的威胁发现系统(TDS)，为企业用户第一时间提供应对策略。

　　上述关于多协议关联分析技术的解释可能较为难懂，用户只要了解到这点就可以了——使用云安全2.0后，终端运行的各种文件不仅只是对照病毒库检验是否属于危险文件，而且能通过解析该文件执行后会做出哪些事来反过来推断该文件是否安全, 确定其是否属于恶意行为——带有病毒或者木马的文件运行后必然有逾越文件本身固有权限的危险举动出现，而多协议关联是保证这些危险举动不被错误放过的技术基础。

　　在云安全2.0的时代，云安全和传统防毒软件是那么相似，不管是本机运行各种文件，还是上网浏览网页，或者POP方式收取邮件，都处于云安全的监控之下。它们唯一的区别就是传统防毒软件防护效果建立在本机庞大的病毒库上，而云安全的效果依赖于在云端的信誉库。然而这点区别正是趋势科技自信地宣称能让人重新思考终端安全的基础。

　　云安全2.0为什么会让人“重新思考”

　　文件信誉技术(FRT)与Web信誉技术(WRT)、邮件信誉技术(ERT)实现关联互动，为客户提供更加安全有效的防护盾牌，这对终端系统安全管理及资源释放是一次重大变革。云安全2.0的出现，也将让更多的安全厂商重新思考云安全应该带给用户的核心价值是什么。

　　张伟钦在专访中有一句话其实值得玩味：“云安全带来的是思维方式的变化，是要让用户知道，终端的防护不能只靠终端，而是要靠网络。”

　　网络的出现改变了人类的生活。网络无限意味着资料的无限。一个终端的存储空间不论多么大，总有一个极限。只有网络才能做到无穷无尽。用一个极端情况来看云安全相对于传统防毒软件的优势吧。

　　传统防毒软件包括四部分，杀毒引擎、启发式分析器、病毒库和HPS组件。防毒过程其实就是由引擎读取病毒库，去与被扫描文件进行比对，然后再交给启发式分析器进行进一步的分析，以判断这个文件是不是被感染了病毒。从这一过程可知，病毒库是关键一环。病毒库越大，包含的病毒码特征越多，病毒被漏过的可能越小。然而，如前所叙，终端的存储空间是有限的。如果病毒库大到超过终端的存储空间呢，是不是不能百分百保证安全了?当然这是一种不太可能出现的极端情况，但即便在这种极端情况下，云安全也不会出现解决不了的情况。因为它的病毒库设在云端。云即网络，网络无限，云无限。在前述传统防毒机制的极端情况假设下，它也能不出现逻辑推演上的问题，证明了它相对于传统防毒机制的优势。

　　然而，云安全的优势远远不止无限大的病毒库这么一点。由这点衍生出来的优势还有很多。比如速度、比如系统资源的占用。

　　正如前面提及的，防毒其实就是将被扫描文件和病毒码进行对比——至少在目前，还没有一个更好更安全的其他类型防毒机制。这种机制下带来一个很大的问题就是速度和系统资源占用。

　　病毒库越来越庞大，要将被扫描文件和百万计甚至未来可能千万计、亿万计的病毒码一一对比，就像是报数一样，100个人报数和10000个人报数，所用的时间显然后者会长很多。在病毒库无限扩容的情况下，终端进行对比的速度是否会越来越慢以致于使用者变得无法忍受?在病毒码越来越多，进行对比的时候占用的内存资源越来越大的情况下，是否会拖累系统慢到让使用者气得跳脚?这个问题，恐怕传统防毒软件厂家是无法回答的。也只有云安全才有一点底气来告诉你答案。

　　诚然，云安全也是这种病毒码对比模式。但云安全中，进行对比工作的是云端的服务器，对比所在的位置是服务器的内存。再怎么说，云端的处理速度也会远远超过终端的速度，云端服务器的内存容量远远大于终端的内存容量。把对比交给云端，总比在终端进行为好。

　　也许云安全不是最好的解决办法，但理论上总比传统防毒软件的终端解决模式好。终端无法回避的致命问题，云端却不放在眼里。所以，云安全有底气，敢说出“重新思考你的终端安全”这句话，也值得人们斟酌是否需要重新衡量终端安全。

　　网络就是计算机，云安全带来安全

　　云，是如今最炙手可热的概念。而依托于云的安全解决方案也为各大安全厂家所关注。不过，趋势科技并不是唯一一家提出运安全概念的厂家，趋势科技的云安全也并不是“云安全”唯一的模式。

　　目前已经出现的云安全大概可以分为两种：一种是由趋势科技提出的“Secure Cloud”。以Web信誉技术(WRT)、邮件信誉技术(ERT)和文件信誉技术(FRT)为基础架构的云客户端安全架构，把病毒特征码文件保存到互联网云数据库中，令其在端点处保持最低数量用于验证。其核心在于两点：其一对复合式攻击的拦截。通过对疑似病毒组件各部分外延属性进行检查，判断威胁程度;其二是瘦客户端。大量的病毒特征码保存在云数据库中。简言之，趋势科技云安全技术基于其拥有庞大的服务器群和并行处理能力，构架了一个庞大的黑白名单服务器群，用于客户端查询，在Web威胁到达最终用户或公司网络之前即对其予以拦截。

　　另一种云安全是由国内安全厂商瑞星提出。瑞星的“云”则建立在广大的互联网用户上。通过在用户客户端安装软件监控网络中软件行为的异常，将发现的疑似木马、恶意程序最新信息推送到瑞星的服务器进行自动分析和处理，然后再把病毒和木马的解决方案分发到每一个客户端。

　　按照张伟钦的观点，第二种“云安全”还是传统的防毒模式，依然将病毒库建立在终端。这种模式只能算是一种收集的自动化，不算云。趋势在20多年之前就在做这类事情。他认为，防毒的核心问题不在于收集，而在于如何处理，处理的方式是什么?

　　笔者觉得趋势科技主张云安全，完全是因为一句极为有名的预言。那就是20世纪90年代，Sun公司首席执行官Scott•McNealy 提出的“网络就是计算机”。

　　诚然，云安全也许不如传统防毒模式准确度和处理质量那样高。诚然，目前很多安全厂商也已通过添加其他的安全模块，如启发式分析、主动防御、IDP系统来弥补缺陷。也许，目前云安全仍然不足以也没有必要使安全产品完全脱离传统模式，但当互联网带宽不再是数据传输的瓶颈时，当云端提供的应用足够丰富时，当一切应用都深刻依赖于网络的无限数据时，当瘦客户端加云端成为未来计算机应用的主流时，趋势科技的云安全，这种终端只需要最简单的杀毒引擎，将病毒库和防毒主导权放在云端的云安全模式才是符合云计算的防毒方法。

　　当然，随着云计算的进一步发展，也许，像是SUN的SunRay+Sun SGD那种超级瘦客户端加云端的网络应用会成为未来的主流，趋势科技的云安全2.0会变得过时——因为超级瘦客户端仅仅是一个输入输出设备与云端连接的中间件，一切计算都在云端——但趋势科技的云安全却不会过时，因为张伟钦已经透露，趋势科技的云安全，下一步将是用云保护客户。不过，那将是云安全3.0所要让人们重新思考的任务了。