微信扫一扫,关注公众号

  • 科技行者

  • 算力行者

见证连接与计算的「力量」

首页 南征北战在路上——金山私有云产品诞生记

南征北战在路上——金山私有云产品诞生记

2013-05-09 11:25
----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.-
2013-05-09 11:25 CNET科技资讯网

  2013年5月8日,北京国家会议中心,金山安全系统公司发布金山私有云安全系统的产品。这一产品,是在无数的不眠之夜、频繁的争论、大量的客户需要调研基础上的结晶。金山私有云安全系统,在诞生前,到底经历了哪些艰难历程?

南征北战在路上——金山私有云产品诞生记

  时间回到2012年5月,金山的一群年轻人踏上了从北京开往济南的列车,他们有一个共同的梦想:“天下无毒”。由此,金山私有云安全系统,从客户需求抽象、产品概念酝酿、全球同类产品研究之后,正式拉开封闭研发的序幕。

首次南征顺利开战

  大约4年前,在总结了基于“黑名单”的被动防御机制下的杀毒软件若干次“失败”教训后,业界有人提出了基于“白名单反向逻辑控制”的方案,试图解决传统安全解决方案无法克服的后验逻辑(即发现病毒后跟进推出产品)缺陷。这个概念虽然并不复杂,但俗话说“细节是魔鬼”,想构建这种逻辑概念下的安全模型,说起来简单,要克服其面临的现实问题极其困难。所以尽管概念提出较早,但从未有人真正研发出基于白名单反向逻辑控制这种思路的产品,甚至连原型系统都没有过。

  没有资料,没有捷径,没有经验可循,这个看似难以企及的梦想,能被实现吗?

  这群年轻人重新审查了相关概念和逻辑后发现,互联网上每一个终端的环境都不同,没有可以适用于任何人的白名单;互联网的文件、程序数量无限多,要完全分类——即分为黑白,是不可能的。但是经过反复的实验,通过统计和数据,他们发现文件的分布是存在空间局部性和时间局部性的,即在某一时间段内有限数量计算机上的文件、程序是完全分类且保持不变的。基于对这个原理的深入发掘,可以将互联网大环境无限的文件数量变成企业小环境有限的文件数量,使之不再是性能的阻碍;可以将互联网大环境无法完全分类筛选的程序变成企业小环境内可以精确分析、完全分类的安全基线。在经过若干不眠之夜,若干次技术抉择,若干次“冒险”攻坚后,现在,所有的事情都已经具备,只欠一个机会。命运到底会如何安排呢?

  好的产品离不开灵感的火花。时间回溯到2012年4月,金山安全系统公司高级产品总监林凯,在一次与山东保密系统的一位重要用户的沟通当中了解到,目前其安全需求单凭现阶段安全产品已无法满足:该系统中虽然部署了企业版杀毒软件,但这些杀毒软件都只是基于已知病毒样本的特征进行病毒查杀,对于未知病毒基本没有防御能力。管理员只能看到哪些终端感染了病毒,但对于那些没有发现病毒的终端,并不意味着就是安全的,这对其系统中的涉密文件而言是非常危险的。如何防范未知威胁这个需求,正是高级威胁APT攻击的防御与捕捉。此次沟通曾让林凯苦恼至极,以至于在睡梦中都在勾画解决问题的蓝图,而这个神秘的APT捕捉利器代号X正是从这个梦里孕育而生的,随后产品X开始了正式的原型开发。而这次6月份在济南的封闭开发,亦成为产品根据山东客户要求准时上线的关键点。

  初到济南的当天晚上,已是深夜,开发小组只能在附近大排档充饥。看似热闹非凡的大排档,也只能成为各位成员身边的背景,他们没顾上喝酒,只把这里当成了一间露天办公室,直奔主题开始讨论下一步的开发计划,直到被老板“请走”。第二天,一班人就开始了连续数周的加班生活。从早上9点到半夜12点,“最炫民族风”成了加班提神的神曲。而提神的饮料,也随着时间的推移在不断地升级,从可乐,到咖啡,到红牛,最后到加强型红牛。而水土不服也导致全体小伙子集体闹肚子,最后只好一日三餐吃“开封菜”顺搭M记。

  前进的道路上总是充满坎坷,架构和交互体验成为最初的争论点,经过一连几天的正反辩论,终于确定架构采用全异步处理,而交互性,则采用互联网产品简单、易用、前卫的理念。虽然客观条件有限,但在短时间里,产品X的“骨架”及“肉身”已初具雏形。

  在山东保密某用户的会议室中,开发小组正在给这位客户演示着产品的核心功能和主要特性。虽然空气中弥漫着紧张的气氛,但从项目经理和团队成员眼中能够看出,他们对这次演示充满着信心。随后私有云研发团队虚心接受了客户对金山私有云安全系统的界面布局提出的改进意见。金山私有云在经过传奇一般的“梦之诞生”后,首次获得了用户的肯定,随后也成为了中国首例私有云落地项目。
为什么是私有云安全系统

  金山一直有企业版的杀毒软件,并且在2012年3月还推出了首款免费版的企业级杀毒软件“金山毒霸企业版2012”,为什么短短几个月之后,就开始着手开发“产品X”呢?

  “企业级安全市场的生态已经发生了巨变。”开发小组的负责人关成雷表示,金山毒霸企业版产品主要面向的是中小型企业。这类企业由于网络架构不复杂,企业内部信息往往不会引起黑客的关注,使用传统的企业版安全软件甚至单机版安全软件就能保证IT环境的基础安全。但对于敏感行业、政府及大型企业来讲,黑客组织利用操作系统或应用程序的漏洞发动定向攻击(APT:Advanced Persistent Threat高级持续性威胁)时,传统的反病毒方案,在这种高级威胁面前,就显得脆弱无力了。

  资料显示,在部署了传统反病毒方案的企业级用户中,有超过67%的企业遭遇过恶意软件攻击事件,无法阻断恶意攻击行为的比例也高达30%。APT攻击这种威胁不仅对安全产品提供商的技术能力是一个考验,更可能会破坏国家的电信、金融、电力、交通,甚至攻击方向可能达到最高级别的军事单位。而公有云可能造成的信息外泄风险,也是这些需要较高安全保护等级的单位或组织无法接受的。

  关成雷表示,正是基于这样严峻的安全形势,我们决定研发一款基于私有云技术架构,为客户提供私有的安全定制化服务的产品平台。在突破了公有云及传统安全解决方案固有安全壁垒的基础上,有效地帮助用户专门针对网络上的APT攻击进行防范。“通过目前几大重要客户部署运行的情况来看,金山私有云安全系统已完全达到了之前预设的目标,获得了客户的高度评价。”关成雷说:“金山私有云安全系统(简称金山私有云),也到了正式对外公布的时刻”。

北战北京,优化架构

  济南的封闭开发,私有云项目团队完成了客户端的部署及服务器端的架构,并且团队成员也从最初的10多人增加到了数十人。随后,小组成员转战北京,与公司其他成员汇合,开始赋予金山私有云真正的“灵魂”:安全基线和终端策略,以及未知威胁鉴定器。

  这段时间,适逢金山公有云进行调整。金山公有云经过多年发展,已经从最初的云查杀技术,逐渐进化为一套完整的可信云安全平台,依托其服务的上亿用户形成了数量庞大的黑白名单库,及业界领先的智能鉴定技术和快速响应流程,并且一直在持续的优化架构和提升能力。虽然私有云接口同金山公有云接口兼容,使得私有云可以沿用公有云的技术积累,但是当公有云的架构调整时,也无法避免的影响到了私有云的开发。从客户端到服务器都面临另一次抉择,同步公有云的新接口、新模块获得更强的恶意代码检测能力?还是坚守既有接口进行深度的功能开发?在经过反复不断的讨论后,关成雷发现所有的矛盾还是集中在公有云和私有云的需求差异、环境差异,进而导致的技术差异。时间不等人,为了保证产品的性能和产品使用的代码在未来的时间内能够得到公有云团队的支持,他还是选择了在久经考验的公有云代码基础上发展。向新接口和新模块迁移!

  7月份的北京,开发团队在公司“北京”会议室(金山的会议室名称主要以集团公司所在的一些城市命名)封闭开发,该会议室的“特色”是必须关门才有WIFI信号,同时恰好赶上有几天空调故障,大家为了不影响工作,只好“闭门造车”、闷热难耐…

  11月份的北京,新架构试部署前一天的晚上,有的人加班到凌晨2点,有的人一直干到凌晨4点,终于完成了待部署版本的打包和测试。那天凌晨大家遭遇了2012年北京最大的一场暴风雪,街边很多树都倒了,回到家中大家都像刚看过灾难片一样惊魂未定…

  终于在2012年底,金山私有云架构更新优化顺利完成,并针对既定的行业客户的定制要求成功进行了部署。回想过去的日子里,大家最不愿听到,但又一直在耳边回响的就是那句“哦NO,需求又变了!”

北京二次集结 攻克APT难关

  2013年春节刚过,开发小组第二次集结北京。此次集结,正是要针对实现通用版产品APT捕获和防御技术进行攻关。要知道,虽然APT的防御及捕捉已经在之前版本中多次实现,但先前均是针对客户需求进行产品定制,如果无法形成通用版本,再强大的功能也无法进行更深入的研究和持续的优化。

  此时的项目团队从规模上来看已颇具精英连水准,并且团队早已磨合成型,每个人都坚守着“巍巍雄山百千丈,众志成城万斤移”的信念,高级研发经理关墨辰更是用了36小时个人封闭完成了“APT攻击追溯”原型方案,使系统管理员可以最终追查到APT攻击的入侵源头,极大增强了产品的APT防范和溯源能力。虽然在随后一次庆功宴中,有些微醺的他承认这个方案最初也是梦中的一次“真实的”灵感闪现。

  经过2年的研究和一年的封闭开发,金山私有云安全系统已经形成了坚实的技术基础和产品特有的优势。在同高级未知威胁的对抗中,该系统为企业客户提供了前所未有的安全防护能力:企业安全可视、未知威胁可防、行为操作可审计和安全运维可追溯。

  如今,金山私有云安全系统已经成功部署了数家大型企业,也获得了政府及重要事业单位、军队、公安、保密机构以及金融、通信、医疗等行业的高度认可。金山私有云,已为上百万企业级终端客户搭建部署了成熟、稳定的信息安全服务。

  信息安全解决方案从个人版向企业版、从互联网向企业网、从公有云向私有云的延伸将一直持续下去。“我们将继续南征北战。”金山安全系统公司高级产品总监林凯说:“我们的梦想是研制出捕捉定向攻击的中国武器!我们期望客户依托金山私有云,保障业务和办公系统的安全无忧!”

分享至
0赞

好文章,需要你的鼓励

推荐文章
----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.- ----..---.-...-/--...-.-......./-...-....-..--../-............-.-