浅析云安全

[摘要]随着技术的发展,我们已经进入云计算时代,而云安全则是为云计算保驾护航的重要技术。传统的电脑杀毒都是客户端查杀,上传病毒样本也是手动的。进入云计算时代后,恶意程序日益增多,来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,传统的杀毒软件已经难以胜任这个庞大且艰难的任务。因此对云安全以及云安全技术能否得到保障的合理探讨,就显得尤为重要。

狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。云计算的核心思想，是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取。

一 云计算

1.1云计算时代的来临

20xx年，国际软件业巨头Amazon宣布搭建Amazon Web Service云计算平台，标志着云计算进入实践阶段。随后，谷歌、微软、雅虎、甲骨文等行业领头羊纷纷推出自己的云计算计划。而在中国，20xx年11月11日，全国首家云计算产业协会在深圳成立，20xx年8月，上海公布云计算发展战略，计划3年内，云计算将为上海新增1000亿元的服务业收入，推动百家软件和信息服务业企业转型，培育10家年收入超亿元的龙头企业和10个云计算示范平台。紧随其后，北京、广东、浙江等多个省市都公布了自己的云计算战略，云计算时代即将来临。

尽管自从云计算概念提出以来，不同地区及组织对其定义不尽相同，但是大家都倾向于认同，云计算是以服务为特征的一种网络计算，它以新的业务模式提供高性能、低成本的持续计算和存储服务，支撑各类信息化应用。云计算包括计算资源、能量、交互能力、动态和虚拟化的，而且所有的定量资源是以服务的方式能够提供出来。这种新型的服务最大好处能够合理配置计算资源，并提高计算资源的利用率，还有能够降低成本、促进节能减排，实现真正的理想的绿色计算。与其它处理模式相比，云计算具有数据安全可靠、用户操作虚拟化、应用程序通用化、服务系统超大规模化以及服务项目高度可扩展性等优势特征。

1.2 云计算的发展

云计算作为一种新兴的技术,将随着时间的推移而发展壮大,人们也会在不知不觉中使用到某些简单的云计算服务,如网络中的电子邮件,文档处理,图片处理等。

当前的计算机时代,是云计算的发展启蒙阶段。随着世界IT巨头的极力追捧,云计算正以着高速的发展状态前进着。目前,微软、Google、Amazon、IBM、Sun等公司都正在或已经把公司的大部分精力与实力转向云计算这个决定未来谁是市场主导者的关键因素上面。

这些公司相继推出了他们各自关于云计算的应用服务。例如:Google所要推行的“云”服务就是Google应用软件引擎(Google App Engine),让相关开发工作者通过Google App Engine服务基于云平台下编写应用程序,并可免费使用Google的基础设施来进行存储;而对于亚马逊云计算的应用来讲,他们目前推出的关于“云”计算的服务被称之为亚马逊网络服务(Amazon Web Services),该务包括简单存储服务、弹性计算云、简单排列服务和尚处于测试阶段的数据库服务;再者Salesforce软件服务提供商,是SaaS厂商先驱,随着云计算的广泛传播,也开始建造自己的网络应用软件平台Force.com,该平台可作为其他企业自身软件服务的基础。

今天的云计算可以形象比喻成一个新生儿,它也要随着时间的流逝慢慢长大,也许这个新生儿会成长的很快。“云计算”正在一天天的成长,随着云端计算时代的来临,相信必定会给我们的生活带来质的改变,使得人们生活的交际互动性发挥的更加完善。当然,这只是云计算给我们提供的最直接的显性效果。从长久的发展来看,云计算的种种迹象也表明,它类似于一场革命,也许更多有实力的企业会关注云计算,那么这就意味着云计算的广泛应用会带来某些行业运营模式的改变。在金融海啸中,对于云计算的发展,受益更多是广大的中小型企业。通俗的讲,小公司可以通过较少资本的投入换来与全球跨国公司一样的计算解决能力和网络影响力,加强了企业与企业之间的联系,实现了资源共享。

二 云安全

2.1 云安全的概念

“云安全”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。

2.2 云安全的发展

进入云计算时代,当前杀毒软件将无法有效地处理日益增多的恶意程序,来自互联网的主

要威胁正在由电脑病毒转向恶意程序及木马。在这样的情况下,采用的病毒特征库判别方法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全,这就是云安全的策略构想。利用互联网深度的资源搜索和巨大的用户数量,以及网络安全公司对病毒的后台侦测与分析能力,来达到云端计算的安全。

云安全的发展像一阵风,瑞星、趋势、卡巴斯基、SYMANTEC、江民科技、PANDA、金山、360安全卫士、卡卡上网安全助手等都推出了云安全解决方案。瑞星基于云安全策略开发的2009新品,每天拦截数百万次木马攻击,势科技云安全已经在全球建立了5大数据中心,几万部在线服务器。云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。借助云安全,趋势科技现在每天阻断的病毒感染最高达1000万次。

2.3云安全技术

(1)云安全技术核心

①实现云安全有六大核心技术。 Web信誉服务。借助全信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。

②文件信誉服务。文件信誉服务技术,它可以检查位于端点、服务器或网关处的每个文件的信誉,检查的依据包括已知的良性文件清单和已知的恶性文件清单。

③行为关联分析技术。通过行为分析的“相关性技术”可以把威胁活动综合联系起来,确定其是否属于恶意行为。

④自动反馈机制。云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。

⑤威胁信息总汇。 ⑥白名单技术。作为一种核心技术,白名单与黑名单(病毒特征码技术实际上采用的是黑名单技术思路)并无多大区别,区别仅在于规模不同。现在的白名单主要被用于降低误报率。

(2)云安全系统建立的难点

想要建立“云安全”系统,需要解决四大问题。其一是需要大量的客户端,也就是云安全探针,拥有大量的探针才能具有最灵敏的病毒感知能力。其二是需要专业的反病毒技术和经验,发现

的恶意程序被探测到,应当在很短的时间内被分析,这需要安全厂商具有过硬的技术,否则容易造成样本的堆积,使云安全快速侦测的结果大打折扣。再者是需要有大量资金和技术的投入,“云安全”系统在服务器、带宽等硬件需要很大的投入,同时要求厂商具有相应的顶尖技术团队和大量的研究经费。最后云安全系统应当是一个开放的系统,其探针能与其他软件兼容,即使用户使用不同的杀毒软件,也可以享受“云安全”系统带来的成果。

2.4 云安全其他

云安全最重要的保障因素是云安全技术层面的实现,而云安全人为因素导致客户资料泄密方面的严重性也不容小觑。云存储的思想是将客户资料细分成多份,利用云存储服务系统,将资料存储在位于世界各个地方的服务器上,是虚拟存储,而不是某个具体的硬件负责。所以选择世界著名的信誉高的云服务厂商为你服务就显得很重要了。

云计算时代已经来到了我们的身边,企业更应当注意到这一必然的发展趋势,云计算代表着机遇也携带着巨大的挑战,能不能在今后的市场中占据一席之地,就看企业以及社会国家能否在这激烈的竞争海洋中掌舵好正确的航行的方向。

第二篇：云安全

第一讲——云安全的概念

看到很多人在问“什么是云安全”，但一直也没有看到很全面深入的解答。包括很多在做云安全产品的技术人员，也对云安全不甚了了。本首席觉得有责任有义务做一下云安全的科普，把多年来对云安全从排斥到接受，从推崇到反思的一些心得，和大家交流一下。

“糜不有初，鲜克有终”。很难说能写到什么程度，而且也在心血来潮和敝帚自珍中纠结。所以采用这样一种形式，在线补充修改，写到哪里算哪里。秉承“你的就是我的，我的还是我的”宗旨，本文内容皆为原创，文责不负。读者自行去粗取精、去伪存真，欢迎抄袭转载。

云安全基本概念

1、“云安全”一词的起源；

2、对云安全的不同理解；

3、云安全是否更有效；

4、如何判断一款云安全产品是可信任的；

5、云安全的定义；

1、“云安全”一词的起源；

当初我第一次看到“云安全”一词的时候，是很好奇的，习惯性的在网上搜索，但发现无论是"Cloud Security"还是"Security Cloud"，都没有任何返回结果。

你猜得没错，“云安全”这个词是中国人创造的。大家都在争论国内谁最先提出这个概念，莫衷一是。但我一直确信，发明这个词的是一个记者，当时我能找到的最早的资料，是一个记者写的文字，大部分内容忘了，一条比较重要的还记得，就是以后反病毒厂商的门槛提高了，要有几万台服务器在云端。

所以可以这么说，在“云安全”这个概念上，中国是世界领先的，老外当初看到国内各病毒厂商搞得风生水起，也是莫名其妙的。当然中国人崇洋媚外的劣性是根深蒂固的，所以现在可以看到国内的云安全产品要反过来搞洋认证，还沾沾自喜。其实老外根本还没搞清中国人搞得是啥，当然你交钱还请我去中国旅游，我还是很开心的。

2、对云安全的不同理解；

不得不说，当初提出云安全的人也根本不知道什么是云安全。但“云计算”这个概念很火，带出了“云存储”，那么提出“云安全”自然顺理成章。可是提出“云安全”这个概念后，怎么往“云计算”上靠，就成了大问题。可以说，刚开始的时候，是完全靠不上的。

不深入谈“云计算”了，只简单的总结“云”的几个特点：

* 用户透明；

* 无处不在；

* 随着云节点的增加处理能力增强；

* 云服务由厂商提供；

那么，云安全在容纳原有杀毒模式的情况下，如何同“云”扯上关系呢？

“云”原来是不包含用户节点在内的。所以云安全概念发展的第一个阶段，就是把用户计算机算作云节点（你在我就在）。那么就出来一个搞笑的错位，到底是厂商给用户提供服务呢？还是用户给厂商提供服务？这个不管啦，总之，云安全现在有了立脚点。

让我们来粗略的看看几个数字：

* 病毒样本数量：每天新增5000，就算1万，一年300万；10年的样本量3000万；从有病毒的那天算起，到现在所有病毒样本加起来也超不过这个数。

* 病毒文件大小：以平均5000个样本1G来算，3000万样本需要60T。实际上只有几个T的样子。

* 特征库大小：如果以32字节MD5+20字节描述，或者满打满算100字节，100*3000万=3G。

好了，3000万，3G，60T，这几个数字加起来就是“云”了？一台服务器+一个个人用数据库（保存特征库，是的，我的个人单机数据库文件已经40G了，处理3G小case）+一个磁盘阵列（保存病毒样本），这个云也太小了吧。

所以，防病毒厂商在云端的潜力，已经没有发挥的余地了。用户计算机才是真正的宝藏。

在云安全的第一阶段，用户计算机主要被当作样本采集点，把以前的样本上传功能改头换面，贴个云安全的标签，就OK了。当然如果仅限于此的话，这时的云安全与传统病毒查杀系统并无明显区别，这也是对云安全争论最多的时候，一个结论，“噱头”。

但事情的发展从来没有“仅限于此”这回事。防病毒厂商对用户端计算机已经觊觎已久了，以前搜集用户信息都是偷偷摸摸，尽量不搜集敏感信息。现在好了，精明的反病毒厂商发现，“云安全”居然是最好的幌子，哪里还管什么敏感不敏感，用户计算机上的所有文件，统统拿来。而且还告诉你，我在保护你哦，将来你文件坏了，我还能帮你恢复呢，我不要你钱哦。至于你的数据我是用来分析，还是用来卖钱，这个就不是你关心的事情了。

于是现在到了云安全的第二阶段，“云抢劫”。对，是抢劫，因为我是明目张胆，大摇大摆拿走你的所有数据。

看到这里你应该明白，为啥“云安全”最早在中国提出，并在中国一步步发扬光大了吧？“不做恶”说说容易，做起来太难了，面对满眼的钱，能忍住不伸手太难了。尤其是在缺乏法律法规约束、缺乏商业自律的神奇国度。

国外的安全厂商是不敢向用户计算机伸手的，因为代价太大。当然国外的用户也是花了钱去买安全的。国内的用户没有花钱买安全，也没有花钱买任何软件的习惯，但请记住这句话：“天下没有免费的午餐”。我免费请你泡温泉吃大餐，五星级服务，一分钱不要，哦，网上有你的裸照？那是我们的安保录像，录下来是为了保证你的安全的。大致如此。

所以目前国外反病毒厂商的云安全只局限在特征信息实时提取、服务端实时反馈的在线查杀。

这段想写不同时期对云安全的不同理解以及中外对云安全的不同理解，可说的还挺多，但大致也就如此了。

3、云安全是否更有效；

首先第一个问题，现实网络中的病毒情况真的像媒体和反病毒厂商说得那么严重吗？每天成千上万个病毒被创造出来？防毒厂商疲于奔命，用户天天生活在恐惧中？

我们知道，国际测评机构评价一个反病毒产品是否合格，最常采用的是ITW（当前流行病毒），能够查杀ITW样本的反病毒产品就为合格。那么这个月的ITW新增样本数量是多少？说出来吓死你：2月份ITW样本个数为114个。即，平均1天不超过4个。这才是真相。

基本上，以特征提取为主要技术的传统防病毒系统可以完全应付当前的病毒，而且10几年来，反病毒技术和系统架构基本上没有什么变化，也一直能满足用户的需求。实际上，即使有新的技术和方法，反病毒厂商也懒得去尝试和采用。为什么？市场决定的。当革新技术不能产生新的利润来源的时候，反病毒厂商是一点儿动力也没有的。

同样，“云安全”概念的出现，并不是用户有了新的需求，而是反病毒厂商找到了新的利润来源。“羊毛出在羊身上”，这个新的利润来源当然就是用户自身。对用户来说，当被人卖掉还在帮着数钱的时候，也不是一点儿正面的东西也没有。当有利润作为驱动的时候，新的技术和新的架构自然会应运而生。而这些新的技术和架构，如果应用得当，也确实有比传统反病毒系统更先进的地方，能更好的保护用户的安全。

第二个问题，用户在反病毒系统里扮演什么角色？好多年前的事了，我觉得身体不舒服去校医院看病，校医院的水平啥样大家都懂的。这位医生听完我的各种情况后，伸出5根手指说，你的病可能是这个1、这个2、这个3、这个4、这个5，你自己说可能是那个吧。我当时看着他的5根手指，想一口咬下去的心都有。我自己要能判定，要医生干吗？如果用户能够判定一个程序是不是病毒，要反病毒产品干吗？这就是我想说的。每当看到反病毒产品的提示：“此程序有可能是恶意木马，是否继续运行？”，或者类似的话语，都会让我想起那在我眼前晃来晃去的5根手指。用户是没有能力判定一个程序是不是恶意木马的。用户需要反病毒厂商很明确地告诉他，这个程序是病毒，不是病毒。

描述这个问题，我的本意是，所谓主防，所谓QVM，只要你是基于概率的，只要你把最后的判定责任交给用户，那就都是浮云。如果说，弹个提示框警告用户然后让用户自己选择，这样就算一款反病毒产品的话，那这个反病毒产品实在没有存在的必要。因为微软已经做了，在Windows 7里，你执行任何一个程序，系统都会弹框告诉你，可能危险，你自己要拿主意，继续运行还是不运行。不过这样的提示，除了让使用者更麻烦以外，还有什么意义呢？

第三个问题，用户在反病毒系统里的权利是什么？最基本的权利，用户应该知道反病毒产品在自己的机器上做了什么。进一步的权利，用户应该有权决定反病毒产品在自己的机上可以做什么。对应的，防病毒厂商有义务告诉用户自己的产品做了什么，有义务向用户提供选择清单。

说的更直白一点，用户应该知道反病毒程序是不是把自己机器上的财务报表、个人银行数字证书上传给了反病毒厂商，用户应该有权中止反病毒程序上传自己的敏感信息。

进度有点儿快了，还回到云安全架构下的反病毒系统相对于传统反病毒系统有哪些优势上来吧。

传统的防病毒系统简单架构如下：

要完成病毒的查杀，需要用户获取最新的特征库，在用户本地完成特征比对。这时有两个问题，一个是特征库版本的一致性问题，如果有用户没有及时更新特征库，不同用户使用的就是不同版本的特征库。第二个问题就是实时性问题，厂商的特征库与用户的特征库更新是不同步的，很可能反病毒厂商能查杀的最新的病毒，用户还会感染到。

云安全架构下的防病毒系统示意图如下：

由于直接使用反病毒厂商的特征库，一致性和实时性都得到了保证。

上面两张图我已经非常简化了，但主要意思都在这里了。云安全架构给用户带来的好处是显而易见的，一个移去的特征库就已经释放出用户计算机上宝贵的内存资源了，何况这个在云端的特征库可以做到覆盖历史上所有的病毒，还有其他很多很多好处，三天三夜也说不完。

但是且慢，再仔细看看这两张图，最重要的改变是什么？数据流向！！！！！（咆哮体）

在传统的反病毒系统架构下，反病毒厂商提供数据，也就是病毒特征库，数据从反病毒厂商流向用户，用户来决定我是不是要升级特征库、何时升级特征库。当然，有的用户也想要反病毒厂商提供产品的源代码数据，但他们一般不给。

在云安全架构下，用户提供数据，目前这个数据可能是用户计算机上的任何东西，数据从用户流向反病毒厂商。反病毒厂商决定用户提供什么数据，正常情况下，也许一个文件的MD5值就足够了，但也许有的反病毒厂商认为用户有必要提供整个文件，还有的反病毒厂商认为用户有必要提供整个计算机上的所有文件，这完全取决于反病毒厂商的贪婪程度。是有这样的医生的，你去看牙，他让你脱掉所有的衣服，包括内裤。这样的医生我们一般称之为流氓医生。同理，有的反病毒厂商我们也可以称之为流氓厂商。

4、如何判断一款云安全产品是可信任的；

现阶段，很多反病毒厂商，借云安全之名，大肆搜集用户的隐私敏感信息。第一不应该搜集，第二搜集后要保护好，不要动不动就被搜索引擎都给找到。

作为一个具备商业道德的防病毒厂商，对于用户的隐私敏感信息必须给与足够的重视和保护。

第一、做出上传动作之前，要征得用户同意；用户同意才能上传，而不能偷偷摸摸地就传了。这个征求同意的动作，应该由用户选定，是同意一次就可以以后随时上传，还是每次上传都要用户确认。就象现在微软“软件更新”提供的选项一样。用户也可以要求自己自行上传。

第二、上传的文件类型、所在路径、文件大小、文件创建时间等属性条件，应该由用户自行设定。反病毒厂商不能想搜集什么文件就搜集什么文件。用户的银行数字证书、游戏账号等敏感信息文件，不得搜集。看到有的不良厂商连用户银行的账号密码都上传，真的让人毛骨悚然。

第三、在上传用户文件时，必须留下完整上传记录日志文件，并向用户提供日志检查功能，让用户对防病毒软件做了什么一清二楚。

第四、对于上传后的文件，要对用户有足够反馈信息。是否是恶意文件，还是正常文件。如果是正常文件，是用户私有文件还是公用文件。如果是用户私有文件，反病毒厂商采取了哪些后继处理动作？是仅仅保留了特征码后删除，还是保留了完整文件。并向用户提供反馈信息检查功能。

目前国家还缺乏保护“用户端”计算机不受盗取侵害的法律法规，用户的保护主要还是靠反病毒厂商的商业自律。不过从国内防病毒厂商的一贯表现来看，用户的安全状况堪忧。

对“上传文件”这一功能来说，不能完全满足本首席给出四条标准的云安全产品，都是不可信任的。

5、云安全的定义；

大家在讨论云安全的时候，往往混淆了云安全含义的界定，最后的结果就是鸡同鸭讲。

当我们说云安全的时候，至少有三种可能的内在含义：

1、云的安全问题。这里的云可能指的是云计算、云存储之类。按照汉语的习惯，“云的安全”缩略为云安全。这是一个非常广泛的领域，几乎涉及到所有计算机安全问题；

2、云技术在安全领域的应用。例如象DNA之类的分布式破解；可探讨之处也颇多。

3、特指反病毒厂商专有概念。也就是本首席系列讲座的主要内容。

反病毒厂商往往故意混淆特指的云安全概念，和1、2两点混为一谈，从而达到拉大旗作虎皮的效果。而媒体没有对以上3个概念的区分能力，在连篇累牍的宣传中，不可避免地给用户带来误导。

传统防病毒体系与云安全体系区分的标准问题:

1、正如本首席上文分析的，数据流向可以作为划分传统模式和云安全模式的重要标准；

2、很多人把“自动分析”作为云安全的主要特征，这个观点是错误的。传统防病毒体系，分

析病毒样本一样是人工分析和自动分析相结合。所以是否具备海量样本处理能力，不能作为传统防病毒体系与云安全架构防病毒体系的区分标准。

3、各种查杀方法也是同样的道理，可以用在客户端，也可以用在云端。所以采用了何种技术手段（特征码，主防，统计）作为查杀方法，也不能作为传统防病毒体系与云安全架构防病毒体系的区分标准。

第二讲—— 人云亦云

在开始讲座二之前，本首席决定开发一款全球最牛逼的杀毒软件出来，让大家知道本首席不是盖的。在经历了漫长的2小时37

分钟的痛苦扣腚，全球最强杀毒软件新鲜出炉：

本首席可以和任何人打赌，如果你有一个样本，能够被某个杀毒软件查出，却没有被本首席的这款全球最强软件查出的话，本首席直接把面前的显示器吃了。

本首席开发的这款杀毒软件，毫不吹嘘的说，对病毒的检测率全球第一，而且，居然只有小小的7K。这么牛逼的杀毒软件得卖多少钱？至少3亿美金起吧？

当然，本首席视金钱如粪土，这个软件直接开源。开源计划如下：在本贴中回帖5次者，可来信索取本地文件处理模块代码；在本贴中回帖20次者，可来信索取查杀结果处理模块代码；在本贴中回帖100次者，可来信索取病毒检测核心处理模块代码；

本首席开发的杀毒软件之所以这么强悍，没错，正是因为本首席使用了最前沿、最先进的“云安全”、“云查杀”技术。

据说某大牛投20万巨资，率5、6个兄弟，吃了一年咸菜，开发出一款巨牛的杀毒软件，感

动的某牛总热泪盈眶。这样的故事，本首席说实话是不信的，因为杀毒软件没那么好做，很多技术，包括病毒样本，都是需要一点儿一点儿慢慢积累的，决不是1、2年、3、4条枪就能搞出来的。

但你也没有眼花，本首席给出的CloudScanner云扫描器，也确确实实是本首席2个多小时弄出的，这两个多小时还包括不停的上网搜索学习编程语言的语法，要知道，本首席不擅长抠腚的。

为什么会这样？一方面，一款实实在在的杀毒软件需要很多年去实现去完善。另一方面，号称最先进、最前沿的“云查杀”软件却可以几个小时就能写一个？而且写出来还敢号称查杀率全球第一？

还是从传统的防病毒软件讲起，正是因为防病毒软件开发有一定难度和复杂性，所以新的防病毒软件公司常常以OEM的方式来进入市场。所谓的OEM就是把老牌的反病毒产品拿过来，贴上自己的Logo，说这就是自己的最新产品，如果自己同时也开发了一个不成形的产品的话，那就是双引擎，更完美了。但OEM最大的问题是，产品的核心不是自己的，每次升级都要等原来的老牌厂商先完成以后，自己才能做，杀毒慢半拍不说，没准OEM的还是人家的简装版，本来功能就不全。至于啥合同期限之类的纠纷，就更是家常便饭了。总之，传统的反病毒产品，真的不是那么好做的。如果直接把多个反病毒产品放到自己的产品里，达到更强的反病毒能力，那成本就更高了。微软曾经号称自己的杀毒软件是7引擎，当然微软都是花了钱的。

如果一个反病毒公司没有技术、也没有心思积累、也不想花钱，怎么办？很简单，不遗余力地喊“云安全”最牛逼就好了，然后告诉大家，自己的产品采用的就是“云安全”。

现在我们来复习一下，在讲座一里面，我们已经看到，在云端，“云安全”是一台服务器+一个个人用数据库+一个磁盘阵列。在讲座二的开头，在客户端，“云查杀”是只有7K大小，100行代码，两个多小时开发的小程序。这么简单，为啥还会这么强悍？

这其中的奥秘在哪里？很简单，在云端，我可以使用全球所有杀毒软件，把最后的扫描结果汇总一下，挑一个看着顺眼的，扔回给你。我不用自己开发杀毒软件的，用别人的就好了。不用白不用，他们也不会来找我的，因为我对外宣称的是采用了最先进的并行计算、网格计算、云计算等等无敌技术，得出的结果。我就不信他们还能砸门进来，就算砸门进来我也不承认。

这就是我敢号称我写的这个CloudScanner查杀率全球第一的原因，我用了42款反病毒引擎，他们能查到的，我就能查到。当然，这些引擎没有一个是我写的。这有什么关系呢？第一就是第一。不过另一个第一我是不会提的，就是误报率也全球第一，他们误报的，我都会误报。

让我们回来点一下题：哦？原来“云安全”= “人云亦云”。当然也不是完全的“=”，为了我自身的安全，我承认有的反病毒厂商还是有点儿真才实料的。

One more thing.....

就没人测试过我的全球最强“云查杀”CloudScanner？如果你测过的话，你会发现，一般情况下，CloudScanner的返回结果都是少于30秒的。神奇的30秒，对这个数字大家是不是觉得很熟悉？想不起来？一点儿提示，最近很火的第一款通过什么西大洋的那个什么认证。

讲座一里边，我们得出一个结论，“云安全”有时候就等于“云抢劫”。

讲座二里边，我们也得出一个结论，“云安全”有时候就等于“云剽窃”。

后面的讲座可能正面的东西会逐渐增多，里边有本首席独创的“云隔离”、“云分区”等等真正的“云安全”技术。随着讲座的深入，大家慢慢就可以有能力辨别，哪些反病毒厂商有可能是伪“云安全”厂商，哪些反病毒厂商已经是近似“云安全”厂商。

讲座二到此完整结束。讲座一还没完，虽然通过讲座一前面的部分内容，大家对“云安全”的认识已经深入多了，但只有给出完整、清晰的定义，才算对“云安全”有了真正的了解。敬请期待！

第三讲——云安全的悖论 在开讲之前，我们来做个游戏。这个袋子里有10个球，其中1个是黑色的，其它都是白色的。请你告诉我，一次取球，取到黑球的概率是多大？你的答案是1/10吗？好，袋子里的球增加到100个，其中1个是黑色的，其它都是白色的。请你告诉我，一次取球，取到黑球的概率是多大？你的答案是1/100吗？概率越来越小了，对吗？

如果我说，你错了，实际上随着袋子里的球越来越多，你拿到黑球的概率越来越大。你一定觉得我脑子有毛病。

那么，再来看看这个说法，“云安全的策略构想是使用者越多，每个使用者就越安全”，和“袋子里的球越多，拿到黑球的概率越大”，有什么区别吗？

看了讲座一的朋友，自然会理解，云安全的用户越多，对反病毒厂商是越有好处的，因为用户的数据可以免费拿到。Metcalfe’s Law是成立的，“网络的价值同网络用户数量的平方成正比”。但你一定要搞清楚，这个网络的价值是对谁而言的，是反病毒厂商，而不是用户。 用户越多对反病毒厂商越有价值是不能明说的，说出来用户也接受不了，那么，换一种说法就是，用户越多越安全。用户很开心，但是，真的是如此吗？还是去摸摸球体会一下先吧。

第一，性能。这个我不多说，大家都能理解。网络、服务器、数据库，都是有瓶颈的。但这个问题从技术上、硬件上都是可以解决的，这里提一句就是想说明，用户越多对性能的影响自然越大，不可能用户越多，性能越好。

第二、处理时间。不管你是白文件也好、黑文件也好、灰文件也好，都是袋子里的球。云端搜集到的文件越多，相当于袋子里的球越多。如果病毒用黑球来代表的话，是不是查出病毒（黑球）的概率就越低？怎么会反而越安全了呢？

第三、每个用户就是那个唯一的黑球。有人提出，球是越来越多，但黑球同时也增加了呀，被查到的概率也增加了。但是对于某个特定用户来说，自己就是那个唯一的黑球，当反病毒厂商说，我们的用户染毒概率是0.000001时，对这个染毒的用户来说，是100%。

所以，即使我们现在还不能肯定的说用户越多越危险，但也决不是用户越多越安全。

对于这个悖论最好的例证就是大家常说的“第一批牺牲者”问题。

无论对于传统的反病毒还是云安全，“第一批牺牲者”都是不可避免的。“第一批牺牲者”说明了病毒是实际存在的，查杀这样的病毒才有实际意义。如果某个病毒，在没有“第一批牺牲者”的情况下，被某个反病毒产品查杀，这种查杀基本上只存在市场营销方面的意义，对用户是没有意义的。但恰恰，现有的大部分病毒，就是号称每天新出现5000、10000个之类的，都是只存在市场营销方面的意义的病毒。我在讲座一中举例的ITW新增样本集，才是真正业界专业的被“第一批牺牲者”验证过的对用户有意义的病毒。这样的病毒，很少很少，平均每天4个。不用质疑，上个月的ITW我一个一个数的。

但现在问题的关键是，相对于传统反病毒，云安全架构下的“第一批牺牲者”有点儿多了，不是多一点儿，而是多太多。

因为传统反病毒主要面向病毒样本（黑名单），数量少，更多地采用了人工分析。云安全比较贪心，各种文件通吃，黑名单、白名单、不黑不白搞不清楚名单等等，人工肯定不行，累死也不行，只能更多地依赖自动分析。

从这一点上来看，传统反病毒在对病毒样本的快速响应上，绝对是不输于云安全的。准确率更是云安全没法比的。传统反病毒的劣势是特征库到用户的分发时间，相对近乎实时的云安全来说，有点儿太长了。

人工分析，一个样本就够了，病毒分析员可以直接下结论，这是一个病毒，提取特征码，入库。“第一批牺牲者”也许只有一个用户。

自动分析，需要同一样本多次出现，触发预设的阈值，启动自动分析。预设的阈值也许是固定值，例如100，也许是比例值，例如所有用户的0.0001，如果是1000万用户，就是1000。所以云安全的“第一批牺牲者”永远是成批的。

如果预设的阈值是比例值，例如所有用户的0.0001，如果是1000万用户，“第一批牺牲者”就是1000。如果是1亿用户，“第一批牺牲者”就是10000。如果你是恰巧处于“第一批牺牲者”之中，你告诉我，是用户越多越安全吗？

好了，本次讲座到此完毕。逻辑不是很严谨，结论也有点儿强词夺理。不过主题还算明确，那就是“用户越多越安全”的提法纯属扯淡。

（注：1楼内容只包含本贴主题的主要部分，更多讨论，敬请爬楼。相信我，爬楼时一定会有意外收获。）

对网友疑问的补充：

1、“云安全这朵云越大收集到病毒的可能性是否增大的问题，也就是说是否sensor越多越全面的问题”这句话基本上没什么毛病。

但搜集到了病毒样本，并不等于你已经识别出来了。你有所有的病毒样本，但你如果识别不出来的话，跟没有是一样的。“用户越多”=“sensor越多” = “样本越多”是成立的，但“样本越多” = “越安全”是不成立的。这也是本讲座的主题：“用户越多”和“越安全”之间没有必然联系。