SEP 12.1 防病毒安全方案

请更新技术方案名

赛门铁克软件（北京）有限公司

2012-07-18

保密声明与用途

本文档包含“保密信息”（如下定义）。本文档旨在提供赛门铁克提交本文之时可提供的产品和（或）服务的概要信息。本文档专向用户公司名称（以下简称“您”或“您的”）提供，因为赛门铁克认为“您”有意向与赛门铁克公司（以下简称“赛门铁克”）达成交易。此“保密信息”的唯一用途是帮助“您”决定是否就本文档中所述产品或服务与赛门铁克签订合同协议。赛门铁克努力确保本文档中包含的信息正确无误，对于此类信息中的任何错误或疏漏，赛门铁克不承担任何责任，并在此就任何准确性或其他方面的暗示保证明确提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议，仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。

“您”与赛门铁克之间没有书面保密协议，但“您”阅读赛门铁克建议书即表明，在因本文档而交换和接收的赛门铁克保密信息和专有信息的范围内，包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息，无论书面还是口头形式（以下简称“保密信

息”），“您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”，除非因需知晓该信息而必须提供，但必须遵守此类“保密信息”使用的管理条款与条件，而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件，且在任何情况下绝不低于合理的商业保护。

本文档及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有，未经赛门铁克事先书面许可，不得拷贝、复制或分发。赛门铁克提供本文档，但并不负责为“您”提供任何产品或任何服务。本文档阐述赛门铁克就本文所述主题而言的一般意图，赛门铁克的任何行为均取决于双方签订的正式书面协议。

除非“您”已经获得赛门铁克的事先书面许可，否则赛门铁克谨请“您”不要联系本文档中可能提及的任何赛门铁克客户。

一经请求即可提供此处所述产品使用和（或）服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。

版本变更记录

版本修订日期修订人描述

1.02012-07-18Employee

目录第1章

1.1第二级标题

1.1.1第三级标题

第1章概述

1.1 系统现状

XXX最近几年一直关注企业的信息安全建设，特别是在信息安全的终端防护上。通过购买并实施Symantec Endpoint Protection 11（SEP 11) 终端综合防护系统和Symantec Network Access Control 11 (SNAC 11）终端网络准入控制系统，解决了大量的病毒和网络攻击，对XXX的桌面终端上的用户数据，系统数据，应用数据做到了全面的防护，满足了对终端安全的全面监控和管理的设计需求，而且还实现了对应用程序和外接设备的精细控制，确保终端上无违反企业策略的，与工作无关的应用和设备的启用。

但是随着近几年信息安全的外部和内部威胁爆发式增长，各种新的威胁方式的出现，原来的终端防护技术已经滞后，为了确保今后XXX在信息安全上的主动威胁防御需求，需要及时更新采用国际领先的技术，针对这些新新形式威胁加强防护能力。

1.2 威胁分析

随着攻击手法不断推陈出新，信息安全将面临更严峻的压力与挑战。据赛门铁克最新的「全球网络安全威胁研究报告」中指出，这些问题主要表现在以下几方面：

恶意攻击数量与未知威胁持续快速增加

2011年，赛门铁克阻止了超过55亿次的恶意攻击，这个数量比2010年增加了81%。此外，特殊恶意软件变种数量增加至4.03亿个，每日被阻止的网页攻击数量也同比增加了36%。

全面利用社会工程学技巧和社交网络

通过全面利用社会工程学技巧和社交网络的易传播性，恶意威胁能够更轻易地从一个人传播至其他人。

高级、有针对性的高危持续性攻击APT已蔓延至各类规模企

业

有针对性的攻击正在不断增加，截至2011年底，有针对性攻击的

数量从每日77个增加至82个。有针对性的攻击利用社会工程学原理和定制化的恶意软件来非法访问敏感信息。这些高级的有针对性的攻击过去一直以公共部门和政府为首要目标，然而赛门铁克发现，2011年有针对性攻击的目标已呈现多样化趋势，58%的攻击针对非企业高层角色，即人力资源、公关和销售等人员。这些人员或许不直接访问企业信息，但是他们可以作为进入企业网络的一个直接连接点，因为他们很容易被攻击者辨识，并且更习惯接受来源不明的主动问询和附件。

网页式攻击(Web-based Attack) 已成为最主流的攻击手

法。

网页式攻击系当有漏洞的终端浏览内嵌恶意代码的网页时，即于该终端植入恶意代码。相较于传统的病毒扩散管道与攻击手法，网页式攻击不但更加隐密，且更难预测与防范。而僵尸网络(Botnet)仍持续盛行，已成为散播垃圾邮件、架设网络钓鱼网站及发动分布式拒绝服务攻击(DDoS Attack)的最佳途径。

尽管全球经济景气低迷，地下经济仍高度成长。

在地下经济的交易中，一个信用卡号最高可售30元美金；而银行帐户验证信息售价，更可高达1,000美金。

1.3 需求分析

依据前述的系统现状和当今的威胁情况，XXX认为现在有必要对现有的终端防护系统升级。XXX信息工作人员一年多来一直关注Symantec SEP/SNAC 12.1产品的新功能，认为随着其新的版本在Symantec不断的完善以及目前全球用户中的大规模升级部署情况下，已经相当成熟。SEP/SNAC 12.1提供的新的特性能完全满足XXX如下几个新的终端信息安全防护需求：

提供对爆发的未知威胁和多种新的威胁攻击方式的防护。

提供对各种基于WEB方式攻击和偷渡式下载的威胁防护。

提供更先进，更具有前瞻性的主动威胁防御，解决零日威胁和

APT攻击风险。

提供新一代的启发式威胁防护能力，阻断未知恶意行为程序的运

行。

需要提供针对支持32位和64位系统的应用程序和外接设备的控

制。

随着终端应用的增长，需要提供高性能的终端防护系统性能表现

随着终端数量的不断增长，需要提供高性能的终端防护系统的统

一策略控制台的性能表现。

面对XXX的虚拟化建设，需要提供高效，高性能的虚拟化环境下的防护。

第2章Symantec终端安全综合防

护

Symantec? Endpoint Protection 12.1新一代终端综合防护技术

2.1 概述

Symantec Endpoint Protection 不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。

Symantec Endpoint Protection 不仅可以增强防护，而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。

传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。一旦病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种被动的防护方式无法应对新的恶意软件的发展。

因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。相对于被动式病毒响应技术而言，主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面：

2.2 主要功能——不止是防病毒

基于应用程序和位置感应的更精准防火墙技术

个人防火墙能够按程序或者通讯特征，阻止/容许任何端口和协议进出。利用个人防火墙技术，一方面可以防止病毒利用漏洞渗透进入终端，另一方面，更为重要的是，可以有效地阻断病毒传播路径。

以去年大规模爆发的Spybot病毒为例，该病毒利用了多个微软系统漏洞和应用软件漏洞，企业可以在终端补丁尚未完全安装完毕的情况下，通过集中关闭这些存在漏洞的服务端口，阻止病毒进入存在漏洞的终端。

赛门铁克客户端防火墙功能包括：

基于规则的防火墙引擎

预定义的个人防火墙检查

按应用程序、主机、服务和时间触发的防火墙规则

全面TCP/IP 支持（TCP、UDP、ICMP、Raw IP

Protocol）

用于允许或禁止网络协议支持的选项，包括以太网、令牌

环、IPX/SPX、AppleTalk 和 NetBEUI

阻止 VMware 和 WinPcap 等协议驱动程序的功能

特定于适配器的规则

Symantec DeepInsight 基于信誉的安全防护新体系在Symantec 终端防护系统中，Symantec引入了获得巨大成功的基于信誉的安全防护体系新技术：DeepInsight！

从前面我们提到的内容，我们知道如今的恶意程序的发展趋势由之前的少量病毒大规模传播，演变为大量的恶意程序变种攻击特定少数的目标。去年Symantec一共监测到了2亿4千万的新的病毒，任何一家安全公司的特征库对于这样的一个爆发都面临一个巨大的挑战。传统的安全软件，可以很好的对一个文件，程序做出是否是属于黑名单或者是白名单，但是如今的恶意程序更多的集中于黑名单和白名单之间的模糊区域，我们需要一个新的技术来应对这样的一个挑战局面

面对这样的安全领域的挑战，symantec在07年开始部署基于信誉认证的新的安全技术“Insight”，insight通过查询Symantec insight信誉数据库，进行文件对比来确认文件是否是一个值得信任的文件，并给该文件一个分数1-9，分数越高代表信誉要求越严格。Insight表示了Symantec在云计算中的新技术上的应用。通过使用信誉对比，可以更容易的阻止新的0day恶意程序的传播。

通过Symantec Insight技术在Symantec终端防护系统中的利用，使其具有天然的对位于模糊区域的文件的信誉程度的判断优势，用户可以根据自己的环境控制针对不同信誉级别的文件的操作，更有效的防止客户端对新的无法被识别的恶意程序的下载和传播。

Insight技术的使用同时大幅度提升了病毒扫描的速度，减少了所需要扫描的文件数量，避免了虚拟终端的扫描风暴的可能，。Insight将记录你每次扫描的文件的结果，如果被扫描的文件是确认安全的，将直接放入到Insight的本地数据库中，下次扫描的时候，如果该文件并没有变化，将不再对该文件进行扫描。利用Insight这个新特性可以减少对70%的程序的扫描，缩短了扫描时间。高效的提升了虚拟终端的病毒防护性能

具备通用漏洞阻截技术的入侵防护

通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一样，只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特征——甚至不需要查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以总结该漏洞的“形状”特征。也就是说，可以描

述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截具有该明显“形状”的任何攻击（例如蠕虫）。

应用程序控制技术

通过应用程序行为控制，在系统中实时监控各种程序行为，一旦出现与预定的恶意行为相同的行为就立即进行阻截。

此外，基于行为的恶意软件阻截技术，还可以锁定IE设置、注册表、系统目录，当木马或者流氓软件试图更改这些设置时会被禁止。从而，即使用户下载了未知的恶意软件，也无法在终端上正常安装和作用。基于行为的防护技术非常有效，根本无需捕获恶意软件样本然后再匆忙响应，利用此项技术可以成功的在零时间阻截主流的蠕虫病毒，包括熊猫烧香、威金等。

由于采用了集中的策略部署和控制，无须最终用户的干预，因此不需要用户具备高深的病毒防护技术。同时，基于行为规则的防护技术非常适合于主机系统环境，主机系统应用单一并且管理专业，采用行为规则的防护是对传统防病毒技术的一个很好的补充。

设备控制：

设备控制技术让管理员能够决定并控制允许哪些设备连接端点。例如，它可以锁定端点，禁止便携硬盘、CD 刻录机、打印机或其它 USB 设备连接到系统，以防止将机密信息从系统复制到其中。禁止设备连接的功能还可以帮助防止端点受来自上述设备以及其它设备的病毒感染前瞻性威胁扫描

Proactive Threat Scan是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。Proactive Threat Scan 基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的IPS 仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，Proactive Threat Scan 会

同时记录应用程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。

终端系统加固

事实上，确保终端安全的一个必须的基础条件时终端自身的安全加固，包括补丁安装、口令强度等。显然，口令为空、缺少必要的安全补丁的终端，即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个网络安全不至由于个别软件系统的漏洞而受到危害，必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。

建议集中管理企业网络终端的补丁升级、系统配置策略，可以定义终端补丁下载，补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理，代理执行这些策略，保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。

SEP 12.1 新增加了如下的针对虚拟化的安全工具：Virtual Image Exception 虚拟镜像排除工具

Virtual Image Exception (VIE) 能让管理员方便的设置虚拟机的文件的跳过扫描的属性。在完成扫描并设置了排除标识后，用该虚拟机作为模板部署虚拟机，从而大大减少扫描的强度。

Shared Insight Cache 虚拟终端病毒扫描缓存服务器

该服务器提供一个公共的访问接口给所有的虚拟机，通过向服务器提交对相似文件的查询，能大量的减少虚拟机扫描的IO读写。

当配置了缓存服务器并在SEPM中设置生效后，每次当SEP客户端试图扫描一个文件时，它首先将该文件的hash值和当前的病毒定义版本作为一个数据包发送给缓存服务器，缓存服务器在缓存中查询，如果有

该文件的信息并且病毒定义版本相同，表明该文件已经被其他客户端扫描并确认无毒，缓存服务器通知SEP不需要扫描该文件。

如果没有查询到，表明该文件为未知文件，需要扫描。SEP会扫描该文件，如果无毒，也将该文件的hash值和当前的病毒定义版本发送给服务器，以后该文件将被跳过。如果有毒，执行杀毒操作，并不通知缓存服务器。

如果查询到该文件有记录但是病毒定义较老，需要扫描，SEP扫描该文件，并将更新的数据发送给服务器。

Virtual Client Tagging虚拟客户端标识

该标识能赋予管理员发现SEP 12.1客户端是否在虚拟环境中运行的能力。内建于客户端，不需单独安装。支持VMware ESX/i, Microsoft Hyper-V, Citrix Xen；客户端在启动时检查并将结果发送到SEPM；虚拟状态和平台信息可以在报告中查阅，客户属性中也能检索到。

主要用于发现客户端是虚拟平台时，将其配置使用VIE和缓存服务器，或者移动到特定的虚拟客户端组。这样我们可以针对虚拟客户端配置不同的安全策略，防火墙策略和应用程序与设备控制策略。通过配置不同的策略，在不减低虚拟化环境的安全要求下，最大限度的提升安全终端防护软件在虚拟化环境中的性能表现。

Symantec Offline Image Scanner 赛门铁克虚拟磁盘线下扫描

Symantec Offline Image Scanner 工具可以对离线的虚拟磁盘进行扫描（只针对VMDK），是一套独立运行的虚拟磁盘病毒扫描工具。不需要安装任何客户端程序，是一套灵活的便携式的扫描工具。提升了在虚拟化环境中病毒扫描的灵活性。

通过利用Symantec Endpoint Protection 12.1所提供的这些新的特性，从而让企业的虚拟化的安全防护更高效，性能更优异，方式更灵活，管理更方便。实践表明，新版本的SEP 12.1终端防护系统执行全

面扫描时，虚拟化功能模块总体能减少80-90%的磁盘IO