在信息产业中，安全是一个令人尴尬的行当。计算、网络、存储等厂商可以骄傲地历数近年来技术性能的突飞猛进，而安全产业在不断地发展和投入之后，面对的却是越来越多、越来越麻烦的安全问题。

　　僵尸成“云”

　　如果想要进一步说明情况的恶化，除了不断见诸报端的安全事件，我们还可以试着问这样一个问题：和过去相比，今天，成为一名黑客，或者发动一场网络攻击，究竟是更困难还是更容易了呢？答案显然是后者，就像Facebook信息安全负责人MaxKelly在不久前一次网络安全事故后谈到的：“网络攻击与犯罪现在正变得前所未有的容易，发动一次攻击就像是去超市购物一样简单。”

　　不单是Facebook，类似的抱怨在今天的网站中早已屡见不鲜。就在7月份，炙手可热的Twitter网被人搞得频繁断线，造成用户无法登录；美国政府网站也遭到大规模DDoS攻击，导致长时间瘫痪；而针对各种商业网站的攻击更是屡见不鲜。

　　为什么越来越多的商业竞争者喜欢采用这种方式打击对手？亚马逊战略研究员JeffBarr说的这句话也许就是答案：“对于依赖网络实现业务运营的企业来说，这样的网络攻击就如同在路上挨了一闷棍，在晕倒的时间里什么都有可能发生。而且重要的是，你很难找到究竟是谁给了你这一棍。”

　　思科研究员兼首席网络安全研究员PatrickPeterson在最近发布的安全报告中特别谈到，因为商业利益原因导致的网络攻击在不断攀升，低廉的犯罪成本再加上利益的驱动，使得僵尸网络变得越来越难以控制。

　　就拿最近一段时间大名鼎鼎的Conficker蠕虫来说，这个最早于2008年11月20日被发现的，以微软的Windows操作系统为攻击目标的计算机蠕虫病毒，到了今年年初，就被《纽约时报》报道其至少感染了900万台计算机，而杀毒软件厂商F-Secure更声称感染达到了惊人的1500万台。
直到今天，虽然相关补丁已经出现很久，但凭借多个变种版本，Conficker蠕虫仍将数百万个系统控制在其魔掌之下，缔造了迄今为止规模最大的僵尸之“云”。这些僵尸网络被以极为低廉的价格，租借给怀有不同目的的犯罪分子，利用这些资源实施网络拒绝服务攻击，或者通过SaaS模型散布垃圾邮件和恶意软件。

　　而反观安全防护技术，却迟迟未能见到革命性的进展。以企业应用中最为常见的安全防护产品——防火墙来说，虽然也经过了几代的发展，从软件到硬件、从单核到多核，但其根本的被动防护的原理却基本没有改变，这也使得其面对变幻多端的僵尸“云”威胁时，总是一筹莫展难以应对。

　　人们不禁要问，出路究竟在哪里？

　　下一代防火墙“云”中来

　　“信息安全的出路，最终也需要从‘云’中寻找，而所谓的‘云’其实也就是互联网。”郭庆的话开门见山，作为思科安全产品事业部的技术专家，郭庆显然对网络和安全都有着非常深刻的认识，“今天的安全问题之所以让人困扰，根源就在于网络的主要特征，正从传输向着智能化的云计算演进，正是这一变化，使得新的安全威胁变得更加难以防范。”

　　郭庆认为，越来越庞大的互联网正在逐步具备“智能”与“感知”的特性，而这些特性，也恰恰是今天的信息安全产品所需要具备的，也只有具备了这些特性，新一代的信息安全防护体系，才能真正发挥作用。

　　“现在很多安全产品都面临着巨大的挑战，比如‘防火墙无用论’在国外早已有人提出，并且赞同的声音不少。”郭庆谈道，“虽然这样的言论有失偏颇，但也不无道理，回顾防火墙的发展历史，从以CheckPoint为代表的软件防火墙，发展到硬件防火墙、ASIC防火墙，再到今天热闹一时的UTM，尽管性能和功能上都有很大提升，但其最基本的原理大多仍然是检测静态的地址表。很显然，对于不断变化的僵尸网络，这样的防火墙即使性能再高，也难以施展，未来应该属于新一代的防火墙——‘云’火墙”。

　　那么，这种从“云”中而来的防火墙究竟具备什么样的特性？与传统的防火墙产品相比又有怎样的区别呢？

　　“云”火墙最本质的特点，就是它的动态化和智能化，而其技术实现的途径，就是充分利用“云”进行动态实时的威胁信息集中采样与共享，从而最终实现主动应变的安全服务。”郭庆进一步解释道，“思科拥有目前全球最庞大的安全威胁监测网络SensorBase，这就是新一代防火墙的‘云端’。它可以持续收集威胁的更新信息。这种更新的信息包括互联网上已知威胁的详细信息，连续攻击者、僵尸网络收获者、恶意爆发和黑网（DarkNets）等。通过将这些信息实时传递到‘云’火墙，可以在僵尸网络等恶意攻击者有机会损害重要资产之前及时过滤掉这些攻击者。”

　　云安全的实质

　　由于现在互联网信息呈爆炸趋势，每天新出现的数据以TB计算，如此巨量的网页、视频、邮件、文件，任何一个商业公司都无法把它们都全部、实时地标明安全等级，并存储在数据库里供用户进行安全查询。

　　不过，尽管“云”火墙相对传统的防火墙技术有了很大的提升，但是距离建立起一套真正的现代信息安全防护体系还有着相当的距离。不过，最重要的是，我们可以从中看到迈向未来安全的关键路标，而这也正是云安全的本质。

　　以云计算为代表的现代信息体系正变得日益庞大和复杂，对于这类复杂多变的体系，现代模糊数学的创始人扎德有一条经典的互克原理：“在足够复杂的系统里面，当某种量描述得越精确，那么这种量描述的意义越模糊。”换句话说，在一个复杂的系统中，所有的因素都相互制约影响。

　　因此对反映系统的量确定得越具体，那么这个量对系统的描述就越不准确。这是系统自身固有的矛盾，与测量方法和理论没有关系。就如同一个人无法抓住自己头发把自己提起来，这与他如何用力以及力气大小无关一样。

　　正因为这样的矛盾，使得云时代的安全防护重心，逐步远离过去那种对性能或功能的片面追求，而是转向更着重于基于网络之云的智慧感知与灵活应对。

　　最后，记者想借用思科首席安全研究员PatrickPeterson的一个比喻，在Twitter攻击事件后，PatrickPeterson形容僵尸网络强大的威力对于这些网站而言，就像是“用手雷去攻击蚊子”。

　　同样的，如果你仍然坚持在传统的安全思路下花费重金、提升处理性能，就如同希望这只蚊子有一天能强壮到抵御手雷一样，那将是一条真正的不归路。

云安全
 信息安全的出路“云”中来
 云安全是否可以给局域网带来安全？
 云计算：出了问题该找谁
 方滨兴院士：云计算仍存安全隐患
 公共云计算彼端的数据能否得到有效保护？
 虚拟化、云计算发展受安全困扰
 Gartner：安全领域正面临云革命
 云计算怀疑论：IT安全和法规遵从问题
 关于云安全的五点经验
 云计算和应用安全所面临的问题与风险
 IBM：2010年三大安全趋势 黑客也用云计算
 分析报告：云端运算风险到底有多大？
 “隐私权”挑战CIO：云计算利弊并存
 下一代防火墙在“云”中？
 思科：下一代防火墙进入云时代
 安全专家：用云计算破解无线网络
 PaaS云计算服务中常见的威胁及处理方法
 云计算正流行：你来应用 谁当保安
 评论：云计算是网络噩梦还是虚拟保镖
 操作系统让IaaS云计算服务暴露在危险之下
 云计算一道坎：如何保证云数据安全
 云安全：2010年=云计算僵尸年？
 云计算安全漫谈之PaaS阴暗面
 FTC对云计算隐私保护和安全性展开调查
 如何安全地使用IaaS云计算服务？
 虚拟化让云计算面临新的袭击
 微软首席法律顾问呼吁云计算立法
 如何确保云中的数据安全？
 云安全：进入云之前必须弄清的10个问题
 2010年IT安全形势:云计算面临更多威胁
 公共云中能否遵守PCI标准？
 从虚拟化和云计算来看IT安全的两大疑惑
 分析：谷歌Buzz出现的问题或影响云计算前景
 云计算渐成潮流 安全性是主要障碍
 IBM设计超安全专用云计算 为美军介绍开支
 亚马逊酝酿推出可管理加密服务 云安全问题已经解决？
 分析：真正威胁来自内部云
 云安全3.0为云计算提供安全防护
 数据中心成为云安全市场的决胜法宝
 云计算来袭 多方谋攻拨云安全迷雾
 云计算之难 全球四大顶尖安全公司各抒己见
 Terremark vCloud Express经历断电事故 用户表示不满
 安全第一 寻找云计算的“拆弹部队”
 微软等厂商高管谈云安全难题
 细数云安全之七宗罪
 75%受访者称云计算效果低于预期 安全最关键
 安全是云计算的一块短板
 云计算安全如何保障？
 解析“云”火墙
 云安全服务浮出水面
 畅谈云计算的真正威胁来自何处
 工信部何宝宏：云计算可能让密码学崩溃
 云计算：凭什么让我相信你
 软硬件厂商联手打造更安全的云计算平台
 Novell和Verizon联手推行云安全管理服务
 实施云计算难题待解：安全最受关注
 云安全联盟CSA：七个致命安全风险
 云计算数据保护模式应该引入第三方保障
 各种云计算模式是把鸡蛋放在同一篮子里吗？
 保卫云端：解析云计算时代的安全视角
 RSA观察：云安全工具曲折中发展
 部署云计算前需要注意的10个问题
 耕云播雨:安全最重要
 云安全两大误解：公有云和私有云谁更安全？（上）
 云安全两大误解：公有云和私有云谁更安全？（下）
 Google Chrome OS安全承诺：把所有的鸡蛋放在同一个篮子里？
 同态加密能否拯救云计算安全
 云中数据的安全性策略和做法
 CIO要知道的四个基本的云安全提示
 IaaS安全性认知：IT专业人士VS法律专业人士
 Savvis:云计算的安全问题要求提升供应商的透明度
 从多租户到混合托管：建立一个安全的云计算