在信息產(chǎn)業(yè)中，安全是一個(gè)令人尷尬的行當(dāng)。計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)等廠(chǎng)商可以驕傲地歷數(shù)近年來(lái)技術(shù)性能的突飛猛進(jìn)，而安全產(chǎn)業(yè)在不斷地發(fā)展和投入之后，面對(duì)的卻是越來(lái)越多、越來(lái)越麻煩的安全問(wèn)題。

僵尸成“云”

如果想要進(jìn)一步說(shuō)明情況的惡化，除了不斷見(jiàn)諸報(bào)端的安全事件，我們還可以試著問(wèn)這樣一個(gè)問(wèn)題：和過(guò)去相比，今天，成為一名黑客，或者發(fā)動(dòng)一場(chǎng)網(wǎng)絡(luò)攻擊，究竟是更困難還是更容易了呢？答案顯然是后者，就像Facebook信息安全負(fù)責(zé)人MaxKelly在不久前一次網(wǎng)絡(luò)安全事故后談到的：“網(wǎng)絡(luò)攻擊與犯罪現(xiàn)在正變得前所未有的容易，發(fā)動(dòng)一次攻擊就像是去超市購(gòu)物一樣簡(jiǎn)單。”

不單是Facebook，類(lèi)似的抱怨在今天的網(wǎng)站中早已屢見(jiàn)不鮮。就在7月份，炙手可熱的Twitter網(wǎng)被人搞得頻繁斷線(xiàn)，造成用戶(hù)無(wú)法登錄；美國(guó)政府網(wǎng)站也遭到大規(guī)模DDoS攻擊，導(dǎo)致長(zhǎng)時(shí)間癱瘓；而針對(duì)各種商業(yè)網(wǎng)站的攻擊更是屢見(jiàn)不鮮。

為什么越來(lái)越多的商業(yè)競(jìng)爭(zhēng)者喜歡采用這種方式打擊對(duì)手？亞馬遜戰(zhàn)略研究員JeffBarr說(shuō)的這句話(huà)也許就是答案：“對(duì)于依賴(lài)網(wǎng)絡(luò)實(shí)現(xiàn)業(yè)務(wù)運(yùn)營(yíng)的企業(yè)來(lái)說(shuō)，這樣的網(wǎng)絡(luò)攻擊就如同在路上挨了一悶棍，在暈倒的時(shí)間里什么都有可能發(fā)生。而且重要的是，你很難找到究竟是誰(shuí)給了你這一棍?！?

思科研究員兼首席網(wǎng)絡(luò)安全研究員PatrickPeterson在最近發(fā)布的安全報(bào)告中特別談到，因?yàn)樯虡I(yè)利益原因?qū)е碌木W(wǎng)絡(luò)攻擊在不斷攀升，低廉的犯罪成本再加上利益的驅(qū)動(dòng)，使得僵尸網(wǎng)絡(luò)變得越來(lái)越難以控制。

就拿最近一段時(shí)間大名鼎鼎的Conficker蠕蟲(chóng)來(lái)說(shuō)，這個(gè)最早于2008年11月20日被發(fā)現(xiàn)的，以微軟的Windows操作系統(tǒng)為攻擊目標(biāo)的計(jì)算機(jī)蠕蟲(chóng)病毒，到了今年年初，就被《紐約時(shí)報(bào)》報(bào)道其至少感染了900萬(wàn)臺(tái)計(jì)算機(jī)，而殺毒軟件廠(chǎng)商F-Secure更聲稱(chēng)感染達(dá)到了驚人的1500萬(wàn)臺(tái)。

直到今天，雖然相關(guān)補(bǔ)丁已經(jīng)出現(xiàn)很久，但憑借多個(gè)變種版本，Conficker蠕蟲(chóng)仍將數(shù)百萬(wàn)個(gè)系統(tǒng)控制在其魔掌之下，締造了迄今為止規(guī)模最大的僵尸之“云”。這些僵尸網(wǎng)絡(luò)被以極為低廉的價(jià)格，租借給懷有不同目的的犯罪分子，利用這些資源實(shí)施網(wǎng)絡(luò)拒絕服務(wù)攻擊，或者通過(guò)SaaS模型散布垃圾郵件和惡意軟件。

而反觀(guān)安全防護(hù)技術(shù)，卻遲遲未能見(jiàn)到革命性的進(jìn)展。以企業(yè)應(yīng)用中最為常見(jiàn)的安全防護(hù)產(chǎn)品——防火墻來(lái)說(shuō)，雖然也經(jīng)過(guò)了幾代的發(fā)展，從軟件到硬件、從單核到多核，但其根本的被動(dòng)防護(hù)的原理卻基本沒(méi)有改變，這也使得其面對(duì)變幻多端的僵尸“云”威脅時(shí)，總是一籌莫展難以應(yīng)對(duì)。

人們不禁要問(wèn)，出路究竟在哪里？

下一代防火墻“云”中來(lái)

“信息安全的出路，最終也需要從‘云’中尋找，而所謂的‘云’其實(shí)也就是互聯(lián)網(wǎng)?！惫鶓c的話(huà)開(kāi)門(mén)見(jiàn)山，作為思科安全產(chǎn)品事業(yè)部的技術(shù)專(zhuān)家，郭慶顯然對(duì)網(wǎng)絡(luò)和安全都有著非常深刻的認(rèn)識(shí)，“今天的安全問(wèn)題之所以讓人困擾，根源就在于網(wǎng)絡(luò)的主要特征，正從傳輸向著智能化的云計(jì)算演進(jìn)，正是這一變化，使得新的安全威脅變得更加難以防范。”

郭慶認(rèn)為，越來(lái)越龐大的互聯(lián)網(wǎng)正在逐步具備“智能”與“感知”的特性，而這些特性，也恰恰是今天的信息安全產(chǎn)品所需要具備的，也只有具備了這些特性，新一代的信息安全防護(hù)體系，才能真正發(fā)揮作用。

“現(xiàn)在很多安全產(chǎn)品都面臨著巨大的挑戰(zhàn)，比如‘防火墻無(wú)用論’在國(guó)外早已有人提出，并且贊同的聲音不少?！惫鶓c談道，“雖然這樣的言論有失偏頗，但也不無(wú)道理，回顧防火墻的發(fā)展歷史，從以CheckPoint為代表的軟件防火墻，發(fā)展到硬件防火墻、ASIC防火墻，再到今天熱鬧一時(shí)的UTM，盡管性能和功能上都有很大提升，但其最基本的原理大多仍然是檢測(cè)靜態(tài)的地址表。很顯然，對(duì)于不斷變化的僵尸網(wǎng)絡(luò)，這樣的防火墻即使性能再高，也難以施展，未來(lái)應(yīng)該屬于新一代的防火墻——‘云’火墻”。

那么，這種從“云”中而來(lái)的防火墻究竟具備什么樣的特性？與傳統(tǒng)的防火墻產(chǎn)品相比又有怎樣的區(qū)別呢？

“云”火墻最本質(zhì)的特點(diǎn)，就是它的動(dòng)態(tài)化和智能化，而其技術(shù)實(shí)現(xiàn)的途徑，就是充分利用“云”進(jìn)行動(dòng)態(tài)實(shí)時(shí)的威脅信息集中采樣與共享，從而最終實(shí)現(xiàn)主動(dòng)應(yīng)變的安全服務(wù)。”郭慶進(jìn)一步解釋道，“思科擁有目前全球最龐大的安全威脅監(jiān)測(cè)網(wǎng)絡(luò)SensorBase，這就是新一代防火墻的‘云端’（如圖2所示）。

它可以持續(xù)收集威脅的更新信息。這種更新的信息包括互聯(lián)網(wǎng)上已知威脅的詳細(xì)信息，連續(xù)攻擊者、僵尸網(wǎng)絡(luò)收獲者、惡意爆發(fā)和黑網(wǎng)（DarkNets）等。通過(guò)將這些信息實(shí)時(shí)傳遞到‘云’火墻，可以在僵尸網(wǎng)絡(luò)等惡意攻擊者有機(jī)會(huì)損害重要資產(chǎn)之前及時(shí)過(guò)濾掉這些攻擊者?！?

云安全的實(shí)質(zhì)

由于現(xiàn)在互聯(lián)網(wǎng)信息呈爆炸趨勢(shì)，每天新出現(xiàn)的數(shù)據(jù)以TB計(jì)算，如此巨量的網(wǎng)頁(yè)、視頻、郵件、文件，任何一個(gè)商業(yè)公司都無(wú)法把它們都全部、實(shí)時(shí)地標(biāo)明安全等級(jí)，并存儲(chǔ)在數(shù)據(jù)庫(kù)里供用戶(hù)進(jìn)行安全查詢(xún)。

不過(guò)，盡管“云”火墻相對(duì)傳統(tǒng)的防火墻技術(shù)有了很大的提升，但是距離建立起一套真正的現(xiàn)代信息安全防護(hù)體系還有著相當(dāng)?shù)木嚯x。不過(guò)，最重要的是，我們可以從中看到邁向未來(lái)安全的關(guān)鍵路標(biāo)，而這也正是云安全的本質(zhì)。

以云計(jì)算為代表的現(xiàn)代信息體系正變得日益龐大和復(fù)雜，對(duì)于這類(lèi)復(fù)雜多變的體系，現(xiàn)代模糊數(shù)學(xué)的創(chuàng)始人扎德有一條經(jīng)典的互克原理：“在足夠復(fù)雜的系統(tǒng)里面，當(dāng)某種量描述得越精確，那么這種量描述的意義越模糊?！睋Q句話(huà)說(shuō)，在一個(gè)復(fù)雜的系統(tǒng)中，所有的因素都相互制約影響。

因此對(duì)反映系統(tǒng)的量確定得越具體，那么這個(gè)量對(duì)系統(tǒng)的描述就越不準(zhǔn)確。這是系統(tǒng)自身固有的矛盾，與測(cè)量方法和理論沒(méi)有關(guān)系。就如同一個(gè)人無(wú)法抓住自己頭發(fā)把自己提起來(lái)，這與他如何用力以及力氣大小無(wú)關(guān)一樣。

正因?yàn)檫@樣的矛盾，使得云時(shí)代的安全防護(hù)重心，逐步遠(yuǎn)離過(guò)去那種對(duì)性能或功能的片面追求，而是轉(zhuǎn)向更著重于基于網(wǎng)絡(luò)之云的智慧感知與靈活應(yīng)對(duì)。

最后，記者想借用思科首席安全研究員PatrickPeterson的一個(gè)比喻，在Twitter攻擊事件后，PatrickPeterson形容僵尸網(wǎng)絡(luò)強(qiáng)大的威力對(duì)于這些網(wǎng)站而言，就像是“用手雷去攻擊蚊子”。

同樣的，如果你仍然堅(jiān)持在傳統(tǒng)的安全思路下花費(fèi)重金、提升處理性能，就如同希望這只蚊子有一天能強(qiáng)壯到抵御手雷一樣，那將是一條真正的不歸路。

【編輯推薦】

1. 巧妙設(shè)置防火墻“護(hù)駕”共享文件安全
2. 專(zhuān)題：Linux防火墻
3. 最新防火墻技術(shù)