Symantec Endpoint Protection 12

Symantec Endpoint Protection 12（SEP 12）是賽門鐵克最新一代的終端安全防護產品，它集防病毒、反間諜軟件、桌面防火墻、入侵防御、設備與應用程序控制以及網絡準入等多種功能于一身。

SEP 12以Symantec Insight技術為后盾，把賽門鐵克多年來在病毒防護方面的深厚積淀與其龐大的用戶數據庫和遍布全球的應急響應中心相結合，融合賽門鐵克基于行為特征的SONAR技術，從而改變了傳統的終端安全防護被動的局面，而代之以積極、主動、預防式的病毒防護。同時，針對虛擬化環境日益普及，SEP 12在原來的資源平衡功能的基礎上，新增了虛擬映像文件例外、掃描結果緩存共享、虛擬機標記及離線虛擬機鏡像掃描等多項對虛擬機構的保護功能，從而大大提升了SEP 12在虛擬化環境中的使用效率，并最終帶領終端安全防護進入一個更高效、更智能的新時代。

聰明的Insight技術

賽門鐵克首次在其終端安全產品中采用的Insight技術是一種基于信譽的病毒判定技術。它利用賽門鐵克Insight在線信譽數據庫，建立了用戶、文件和網站之間的聯系，可快速識別只在少數幾個系統中存在的變異威脅，阻止還沒有進入病毒特征庫的惡意軟件的攻擊，從而徹底改變病毒防御的被動局面。

眾所周知，傳統的病毒查殺方式是安全廠商收集病毒樣本或者用戶主動報告樣本，然后對病毒進行分析，提取病毒特征，放入病毒庫并通知終端用戶更新。這種方式的最大不足在于它是一種被動的方式，也就是說，無法查殺沒有進入病毒特征庫的病毒。而賽門鐵克的Insight技術其基本原理是利用賽門鐵克龐大的用戶資源，通過分析軟件使用情況（包括文件產生的時間、產生的地點、其流行程度、其行為特征等內容），給出一個信譽指標，據此來自動識別所有的新興網絡威脅，包括間諜軟件、病毒與蠕蟲。這些數據會持續不斷地更新到信譽引擎，以此確定每一軟件文檔的安全信譽等級，而不需要對該文檔進行掃描。值得一提的是，收集的方式是通過用戶匿名提交軟件使用情況背景信息，因此不涉及文檔內容，且由用戶決定是否提交，充分保障了用戶的隱私。

這項技術的一個好處是減少對傳統的病毒特征技術的依賴。黑客通常會通過不斷更改惡意軟件代碼以試圖逃過傳統的基于特征的監測。而基于信譽的技術能夠有效遏制黑客這一慣常伎倆。事實上，利用這一技術，黑客的變化手段越多，該文檔越容易引起懷疑；另一個好處是可以提供所有關于可執行文檔的信息。按照傳統的做法，安全公司主要針對用戶舉報或者與其他安全研究機構交換獲得的惡意軟件信息采取防護措施；而基于信譽的安全技術恰恰相反，通過遍布全球的客戶資源，能夠擁有任何一個可執行文檔的信譽評級資料。

“Insight技術非常適用于對非黑（病毒）非白（著名軟件廠商發布的文件）的文件判定，如果這個文件大多出現在過去常中毒的電腦，那么這個文件是病毒的可能性就非常大。” 賽門鐵克安全專家鄭偉介紹說。

根據賽門鐵克提供的數據，在這種新的以信譽為基礎的安全模式啟動后的第一天，賽門鐵克就探測到50萬種以前從來沒有發現的病毒和新的威脅。目前，Insight技術已經有超過1.75億客戶端匿名提交軟件使用背景信息，為超過25億個文件自動得出高準確度的安全評級。而且，這項基于信譽的安全技術已被整合到諾頓2010全線產品中，包括諾頓網絡安全特警2010以及諾頓防病毒2010，效果非常顯著。

SONAR：

基于行為特征的判定

除了Insight技術之外，SEP 12采用了新一代基于行為特征的惡意軟件判定技術—SONAR 3。SEP 12中的SONAR是第三代主動行為防護技術，可以在程序運行時對其進行檢查，識別各種惡意行為，即便是新的和以前未知威脅的惡意行為也不例外。目前，SONAR 3可以識別并監控400多種不同應用程序的行為。

所謂基于行為特征的判定是根據文件的行為來判定該文件是否為惡意軟件，這些行為包括病毒脫殼、更改瀏覽器首頁、更改系統配置（如DNS文件、Host文件）、修改注冊表等。這是一種積極主動、啟發式的查毒方法，避免了無休止的病毒庫更新，但并非是一種新興技術。然而，這一技術在許多安全軟件中實際應用效果并不理想，最根本的原因在于要準確判定某個軟件的行為是否正當，其實是非常困難的。

此前，基于行為特征的病毒判定辦法面臨一個很大的挑戰，就是誤報率較高。實踐中，為了提高準確性，不得不把敏感度設置得很低，也就是說，通常只有在有充分把握的時候才確認某個軟件是惡意軟件，這就常常導致漏報。而一旦敏感度設置很高，又會導致誤報。正因為如此，基于行為特征的防護技術一直未獲安全廠商大規模采用。在SEP 12中，實現了Insight和SONAR技術的結合。這比單獨采用基于特征或者基于行為的惡意軟件查殺辦法更為快速、更為準確，從而使基于行為的技術真正變成了一項可以實際廣泛應用的技術。

保護虛擬環境

隨著計算性能的進一步提高，虛擬化技術得到迅速普及，并迅速成為一種主流的技術。而在虛擬化環境中，病毒的查殺有很多自身的特點。比如，在同一臺電腦或者同一個網絡中可能有許多基于同一模板生成的虛擬機的映像文件，這些虛擬機中絕大多數甚至全部文件都是一樣，此時，如果還像傳統的殺毒方式那樣對每個虛擬機每個文件都進行檢查，顯然沒有必要。而SEP 12的另一重大改進正是大大增強了對虛擬化環境的支持，根據虛擬化環境的特點對惡意代碼的掃描過程進行優化設計和調度。

在SEP 12的前一個版本中曾引入一種名為“資源平衡（Resource Leveling）”的技術。這項技術的主要作用是，對同一物理機中的虛擬機的病毒查殺進行動態調度，以避免同時在多個虛擬機中進行病毒查殺，致使該物理機的整體性能大幅下降。而在SEP 12中，除了這項技術之外，還新增加了三項技術，即虛擬映像文件例外、虛擬客戶端標記、掃描結果緩存共享，從而大大降低了SEP在虛擬環境中的資源消耗，提升了SEP的性能。

所謂虛擬映像文件例外就是針對上文所述的來自同一模板的虛擬機的情形。對于這些虛擬機，SEP 12將會排除虛擬機的基礎映像文件，避免不必要的掃描。掃描結果緩存共享則是指對同一虛擬環境中已經掃描的文件的結果保存到一個緩存中，在其他虛擬機中如果遇到同樣的文件僅需要查詢緩存，不需要再掃描，這兩項措施能減少掃描工作量90%，CPU的占用也只有原來的1/5，掃描速度能快5倍；虛擬客戶端標記則主要是為虛擬機的管理和相關策略制定提供依據，它能區分出每一個具體的虛擬機到底是來自VMware、Citrix還是來自Microsoft的虛擬化平臺，這樣可以方便管理者進一步制定相對應的管理策略。

更有效、更簡單

SEP 12除了新增Insight、SONAR以及虛擬化方面的功能之外，還增加了瀏覽器入侵防御和智能調度功能等，前者主要是掃描以瀏覽器漏洞為目標的工具，可以為這一用戶最常用的工具提供最大程度的保護；而后者主要是讓計算機在空閑的時候來執行非關鍵的安全防護工作，從而盡可能減少對用戶正常工作的干擾。同時，SEP 12對SEP 11已有的很多功能也有了很大增強，比如對數據庫進行了優化，提高了響應速度，從而使得中央控制臺的性能有了很大提高。另外，客戶端部署也更為簡單，改進了向導。值得一提的是，SEP 12還能與Symantec Workflow相集成，從而實現流程和策略的自動執行。

談到最新版的SEP，賽門鐵克首席信息安全技術顧問林育民用三個字來形容：云、準、快。這里“云”指的是針對虛擬化環境而設計；“準”是指SEP 12首次引入Insight和SONAR 3技術，可精確判定病毒或者惡意軟件，有效阻絕目標性攻擊；“快”則是指整個軟件病毒查殺過程更快，正是由于SEP 12采用了一系列有效的技術大大降低了對內存和CPU等資源消耗，提升了掃描速度，同時還增加了智能調度，從而大大改善了用戶體驗。

據林育民介紹，與此前的版本相比，SEP 12的性能平均提升了70#12316;80%，CPU和內存的占用平均減少了60%以上。

“作為一款最新的終端安全保護產品，SEP 12提供業界前所未有的安全性、引人矚目的性能，肯定將給用戶留下深刻的印象。而其主動、預防式的病毒防護技術也將引領安全產品進入一個新的時代。”林育民總結說。他透露，SEP 12目前已經推出測試版，今年夏天將正式推出。

鏈接一

Symantec Endpoint Protection 12的主要功能

主動威脅檢測：Insight和SONAR 3第三代主動行為防護技術可檢測新的威脅和快速變異的惡意軟件，阻止惡意行為，其中包括新的和以前未知的惡意行為。

病毒和間諜軟件防護:防御病毒、蠕蟲、木馬、間諜軟件、僵尸、零日威脅和Rootkit。

網絡威脅防護：基于規則的防火墻和漏洞管理可幫助系統防御惡意威脅。

功能強大的代理：將防病毒、反間諜軟件、桌面防火墻、入侵防御、設備、應用程序控制以及網站準入控制融入單一代理中。

智能管理：集中式管理和流程自動化有助于更深入地了解威脅，提高威脅響應速度。

鏈接二

企業版SEP 12和中小企業版SEP 12.1的區別

最新的Symantec Endpoint Protection分為兩個版本，即企業版和中小企業版。這是基于兩類企業在終端安全防護方面的需求不同。比如，相對大型企業，中小企業通常IT預算不足、技術實力也不夠、用戶人數相對少，所以要求防護產品更簡單、易用，而在管理方面的功能可以相對弱些。對大企業而言，技術實力強、IT預算相對充裕，但對管理方面的功能需求全面，比如讀寫的分別控制、U盤讀寫以及執行文件的能力限制等。

鑒于此，賽門鐵克的新版終端安全防護產品細分為兩種版本，即面向中大型企業的Symantec Endpoint Protection 12和面向中小企業的Symantec Endpoint Small Business Protection 12.1。