趋势科技OfficeScan10介绍

企业终端安全的革命性方案趋势科技白皮书 | 2008年11月

I. 简介

TrendLabs是趋势科技研究、服务和支持中心的全球网络，致力于不间断的威胁监测和攻击防御。多年来，

TrendLabs发现每小时处理的独特恶件样本的数量飞速激增，而结果则发人深省。

迄今为止，TrendLabs每小时处理的独特威胁的数量从2007年的205个增至2008年的799个——几乎增长了400%。网络访问等常用商业应用加快了全球新型恶件的部署，其意义非常明显：恶件行业已然变成一个复杂的具有良好组织性的行业，并且以盈利为目的。在企业内部，终端用户最能感受到这一点。

犯罪人员认识到，传统的终端安全方法开始无力反击如此之高的威胁数量：企业疲于应付规模更大、更加频繁的特征码更新，而用户则因为企业在处理威胁过程中可用资源的减少而感到失望。这些问题共同构成了一场大风暴，为针对性攻击和数据窃取恶件提供了一个理想的环境。

现在革命时机已经成熟。IT管理员渴望从日益复杂的终端安全解决方案链条中解放出来，这类解决方案的功能膨胀越来越严重。终端用户则希望在工作的时候不用担心他们的终端安全解决方案会占用计算机有限的CPU和内存资源。

凭借 OfficeScan 10和创新的云-客户端文件信誉技术，革命就悄然在身边发生。本白皮书详细描述了这种新技术及其如何为企业终端提供更加有效的保护——同时为管理人员降低管理复杂性，为终端用户提高资源利用率。

II. 复杂性让高效安全方案失效

过去几年中，企业终端安全市场整体上处于飞速发展中。当威胁数量的增长开始超越传统解决方法的能力范围时，涌现出越来越多的技术以遏制这种趋势。随着市场上出现越来越多的新技术，大多数安全厂商都努力与新的技术保持同步。但是，当一切归于平静，企业终端是否变得更加安全了呢？

面临着如此之多的终端产品和战术特征，企业可能会发现他们对解决方案的复杂性感到无比困扰。实际上，这些解决方案的复杂性比之用来应对的威胁更加让企业感到担心。

对企业终端安全而言，在部署和管理数千个终端的特征码文件更新时，日常挑战常常因此而被加大。移动性日益增强的终端、复杂的网络基础架构以及需要更频繁的部署特征码以便与威胁数量保持同步都使得优秀的技术失效。

随着威胁数量的增加以及终端上资源利用的增加，终端用户日益对计算机的运行速度感到失望。IDC认为，他们从“企业用户而和个人用户”那里听到抱怨，“安全正在耗费我的机器。总是需要启动。防病毒扫描让无工作无法进行。后

1 白皮书 | OfficeScan 10 引领终端革命

台安全会降低应用和网络接入的速度。”结果，用户不是在失望中离开无法运行的计算机就是把时间花在在Google 上搜索“关闭防病毒”之类的词语，从而降低了生产效率。

趋势科技企业安全解决方案认为，即时防护必须伴随复杂性的降低，否则增强安全做法的优势将因为生产效率的损失而没有任何意义。趋势科技OfficeScan 10中应用了独特的企业终端安全方法，能够在这二者之间达到平衡。

III. 需要全新的方法

对于当前基于文件的威胁处理方法，大多数保护计算机所需的特征码（或定义）都是由安全厂商定期批量的发送给终端用户。收到新的更新时，计算机的防病毒/防恶件软件就会重新将该批新型病毒/恶件风险的特征码定义加载到内存中。如果出现新的病毒/恶件风险，该特征码还需要部分或全部更新，并重新加载到用户的计算机上，以确保实现不间断保护。

展望未来，仅只安全风险的数量就构成了一种新危险，它可以影响服务器和工作站的性能、网络带宽的使用以及通常提供出色保护所需的总体时间（或“保护时间”）。

尽管最新的探测和清除技术足以应对当今的恶件，但“海量威胁”给在分布式环境中部署和管理特征码造成了越来越多的挑战，导致用户生产效率因安全解决方案对终端性能和稳定性的影响而受到干扰。

IV. 云-客户端文件信誉

趋势科技的全新方法云-客户端文件信誉实现了向终端提供基于特征码的恶件防护方式的彻底转变。

这种技术专门用来解决常见的与所谓“海量威胁”有关的风险。海量威胁是系统性能和稳定性的第二大威胁并将最终影响用户的生产效率，这主要是由于需要配置终端来应对每天都在增加的庞大的新恶件数量。为了保持相同级别的保护，需要向特征码文件添加更多的签名，从而使得特征码文件变大，占用了终端更多的资源。同时，由于恶件释放的速度也在加快——现在每小时约有800多种新恶件被释放出来——特征码更新的频率也要加快，以尽可能缩小终端受到威胁的时间窗口。

特征码匹配是应用最为广泛并且得到验证的应对恶件的一种技术。与行为监控、沙箱以及其它启发式技术等全新的“模糊（fuzzy）”技术不同，特征匹配以最高的性能提供无与伦比的准确性，为此，趋势科技VSAPI引擎等特征码匹配病毒扫描引擎将把扫描文件的“杂乱信息”或文件片段与保存在特征码文件中的恶件“签名”进行比较。到目前为止，这些特征码文件需要与扫描引擎共处一处并且分布在每个终端上。

2 白皮书 | OfficeScan 10 引领终端革命

云-客户端文件信誉无需与扫描引擎和特征码共处，它引入了一种简单、快速而且高度可扩展的协议，把在签名数据库中检查文件“杂乱信息”的负担转移至中央服务器，中央服务器可以放在企业网络（本地扫描服务器）中或由趋势科技数据中心之一进行托管（全球扫描服务器）。

在今天尤其是未来仅针对中央扫描服务器的威胁格局中，更新大量特征码需要把“保护时间”降到最少，而无需将其传输到客户网络中有可能多达数千个终端的每一个终端，从而节省了大量时间和精力。

趋势科技特征码匹配技术的全新主要组件代表了25年来在该技术上的最为重要的改进，允许特征码匹配在恶件数量不断增长的威胁环境下逐步丰富起来。

该解决方案的全新组件包括：

云-客户端——它是终端安全解决方案中的集中扫面组件，相当于传统内容扫描的特征码匹配扫描引擎。云-客户端与扫描服务器互相合作，查询文件“杂乱信息”，以确定特征码和扫描文件的给定文件或文件片段是否受到感染。云-客户端仍保持本地特征码，以应对那些不能被轻易匹配的威胁（例如多态恶件等）。但是，这些特征码每星期只需更新一次，仅仅只占全部恶件特征码的一部分。

云安全查询过滤器 ——云-客户端文件信誉技术的主要支持技术，无需对其扫描的每个文件查询扫描服务器。云安全服务器利用复杂的数学模式，以便准确地确定被扫描的文件中是否能够发现实际特征码文件。得益于其运行原则，云安全服务器不会产能漏报，误报率很低。这就意味着，云安全查询过滤器永远不会把实际上的特征码文件视为“白名单”文件，但是可能会指出某个非感染文件有可能受到感染——在这种情况下，会向扫描服务其发出查询请求，以确定该文件是否的确受到了感染。

云安全查询过滤器还将对无法查询扫描服务器的离线安全发挥重要作用。由于云安全查询过滤器含有特征码文件“指标”，因此它可以确定给定的文件是否不属于ScanServer的特征码文件。如果某个文件没有被云安全查询过滤器列入“白名单”，则会向本地签名缓存查询，寻找该文件的签名。

本地扫描服务器 —— 安装在客户网络中。相当于一个数据库服务器，为云-客户端进行查询服务。云-客户端将查询文件的“杂乱信息”，而扫描服务器则在特征码中搜索这些信息，然后返回没有在特征码中找到这种杂乱信息的讯息（意味着文件没有被感染）或向客户端发送其它信息，执行二次检查，确定被扫描的文件中的内容是否确实与给定的

3 白皮书 | OfficeScan 10 引领终端革命

4 白皮书 | OfficeScan 10 引领终端革命

恶件签名匹配以及文件是否受到感染。如果必要，扫描服务器还会对客户端的云安全服务器生成更新信息，在下次云-客户端查询时对其进行更新。

客户预定设备上的扫描服务器是该解决方案唯一需要更新的组件。很显然，只更新这一个集中组件要简单得多，与在独立终端上部署特征码相比，对这种更新可以采取更加有效和频繁的方法。

V. 威胁革命

过去，恶件通常由个人编写，并且很少是为了追逐金钱利益。我们都知道，近来这种情况已经发生了翻天覆地的变化。今天的恶件比以前更加隐秘、更加复杂，也更加注重追求利益。这也意味着，恶件作者拥有大量资源和智囊团可以利用。

恶件作者主要动机的变化也导致了恶件和恶件变种数量的指数级增长。

防恶件行业尝试采用新技术来解决这个问题，有些还取得了成功。行为监测、实时沙箱、启发式技术、白名单/灰名单等模糊字技术仅仅只是一小部分。但是，到目前为止，这些技术中没有任何一种技术可与特征码匹配（黑名单）的准确性和性能相比。因此，何必要抛弃业已证明奏效的方法呢？

START CHECK LOCAL FILE

CACHE

CHECKED?ALREADY CHECK CLOUD ADD TO FILE CACHE Cloud ‐based Scanning Services SCAN FILE: file.exe TAKE ACTION NO YES Data: Avg 300 bytes/per query Latency: 72‐100ms SMART CHECK LOCAL FILTER

“特征码匹配已亡”已经被多次提及，但是在查找证据时，我们发现，显而易见，并不是特征匹配本身走向灭亡，而是因为其无法与数量庞大的新建恶件抗衡而导致其走向末路。如果考察需要通过集中管理服务器更新本地特征码文件的集中管理终端安全服务解决方案时，这种看法尤其正确。

VI. 特征码文件管理革命

.在分布式企业环境中管理特征码是安全管理员的一大挑战，不连贯的特征码部署不仅仅意味着会给单个客户端带来新的风险，而且也使得实际风险评估难以实施。不论企业大小，管理员都努力让所有终端保持相同的特征码级别，这种情况更是因为移动性的增强和迅速的特征码公布而加重。现在的恶件保护不再关注能否拦截每一种单一威胁，而是变得更加实际，即能否提供可能的最佳保护和一整套强大的风险管理工具。

无需为数千或数万个独立终端部署特征码——不论终端在局域网上还是在漫游时与互联网连接，这样就可以解决关于一致性政策和特征码级别方面客户所面临的巨大挑战。

云-客户端文件信誉技术可以立即为所有终端提供完全相同的保护，不仅可以缩短保护时间，而且还能保证始终一致的保护水平，有助于风险管理，从而降低了管理水平不一的特征码部署以及由此导致的保护质量的复杂性以及风险管理的复杂性。

VII. 终端资源革命

使终端上的特征码文件利用大量资源，尤其是内存。由于当今的所有解决方案都提供实时的按访问保护功能，因此这些解决方案必须与核心层的操作系统集成。除了实时防护外，用户还希望桌面安全解决方案能提供按需或定期扫描功能以及强大的自动清除服务。

为了满足这些客户要求，必须把完整的特征码文件加载到内核模式的驱动器中才能实现实时按访问扫描，同时还要加载到用户模式的组件中实现按需扫描和清除功能。尽管文件格式不断优化，但是过去24个月中特征码文件还是显著变大——而且由于获得恶件的速度加快，特征码文件将会继续变大，因此把特征码文件部署在本地终端的理念在未来注定会以失败告终。

5 白皮书 | OfficeScan 10 引领终端革命

趋势科技的云-客户端文件信誉技术比传统方法更加简单。存放在终端的唯一特征码就是云安全查询过滤器和本地客户端特征码。云安全查询过滤器特征码的大小仅有2MB左右，而本地特征码约为15-20MB左右，每周仅需累计更新一次。而传统模式中，特征码的大小约为65MB左右。

因此利用云-客户端模式可以大大减少终端上系统和应用被占用的资源，释放内存，加快系统的整体性能。改善用户体验，提高生产效率。

本节描述了CCFR如何释放终端的宝贵资源，提高用户的生产效率，增强安全性（因为他们不会为关闭防病毒保护而困扰）。

我们还讨论了可预测的资源利用计划如何可以降低总体资本支出。例如，未来几年威胁数量将会增加，而最低系统资源不会出现出人意料的提升——这样公司不必在提高保护水平和部署高性能终端之间进行选择。

VIII. 网络带宽革命

向数千个终端部署特征码要求大量网络带宽，而且当特征码公布速度加快时，需要的带宽更大。当然，趋势科技已经采取了累计特征码更新等措施来减轻这些影响，但是在传统的内容扫描中，恶件探测信息仍然需要向终端传输。

评估新架构的带宽节省时，非常重要的一点就是要了解为了达到相同水平的保护——尤其是相同的短时间内提供保护，特征码必须以远远短于当今的周期部署在独立终端上。假设这是完全可能的（考虑到移动性挑战和性能影响），那么很显然，仅需向本地扫描服务器传输一次特征码与在数千个终端上部署相同的特征码相比将会节省大量的网络流量。

考虑到云安全查询过滤器的特点，有些特征码更新甚至不需要云安全查询过滤器更新，因此使得终端根本无需更新。

但是，如果云安全查询过滤器需要更新，这些变化仅需几个字节，在下次查询时由终端进行传输。

IX. 趋势科技企业安全

我已经请Dan和Christine提供一些普通样板文本插入本节中，用于介绍趋势科技企业安全的价值主张。

X. 立即加入企业终端安全革命！

立即行动：

6 白皮书 | OfficeScan 10 引领终端革命

访问趋势科技企业安全，了解更多关于趋势科技企业安全解决方案的信息

下载趋势科技企业安全白皮书

下载云安全2.0 (Smart Protection Network)白皮书

加入OfficeScan 10 Beta

XI. 分析/新闻引言

我们不会使用所有引言，但是我会把六月份活动中大部分分析师的引言包括在内。我尽量找到那些关注云安全2.0 (Smart Protection Network)中终端文件信誉的引言。

“趋势科技把防恶件签名扫描的负担从客户终端转移到了趋势科技云安全2.0 (Smart Protection Network)中。由于每天及时把数千个攻击签名部署到数百万个终端并不可行，因此这种革命性的转变将成为必然。趋势科技的创新战略增强了其探测网络，甚至防止攻击到达客户终端和企业网络。Ogren集团认为，签名扫描是非常出色的服务，而全新的战略为趋势科技赢得市场份额奠定了坚实基础。”– Ogren 集团

“Ogren 集团认为这是一种真正的创新方法，可以更好地保护终端设备，并且让趋势科技满足未来的安全要求。” –Ogren集团

“以前IT企业争相在攻击来临之前应用特征码更新，现在它们受到主动保护，无需分配新签名。签名分配因延迟而最终被终端安全模式淘汰。” –Ogren集团

“在传统的终端安全中，客户承担了更新攻击签名特征的负担，为整个签名字典分配保存空间，为扫描提供处理性能。这种全新的方法为终端用户带来了卓越性能。” –Ogren集团

“当其它终端安全厂商都在努力改善传统计划的性能，或综合商业化功能来保持价格要点，趋势科技开始了新的征程，承诺为个人用户和企业用户提供同样的增强保护。”–Ogren集团

“建议那些需要更有效的终端安全的企业关注全新的趋势科技产品。” –Ogren 集团

就终端而言，问题变得日益严重，但是趋势科技的方法提供了可能的解决方案。由于经济衰退导致的预算削减使得企业和个人用户延长了计算机的使用寿命，推迟了对旧电脑的置换时间。IDC听到企业用户和个人用户抱怨，“安全正在耗费我的机器。总是需要启动。防病毒扫描让无工作无法进行。后台安全会降低应用和网络介入的速度。” – IDC

7 白皮书 | OfficeScan 10 引领终端革命

“混合式方法由于发生在终端的威胁探测和网络过滤减少而减低了终端资源的消耗，这是一个好消息。凭借这种方法，终端安全使用了更少的CPU时间、内存、磁盘和网络带宽，帮助台投诉也因此而减少。此外，基于云的威胁管理在恶件防御、网路过滤、加密和泄露保护方面的表现优于仅基于终端的解决方案。”– IDC

“当其它厂商都在构建混合式方法时，趋势科技在不同级别、产品和服务之间的集成和合作方面获得了极大的发展。

例如，它使用基于云的方法来减少在终端层面的威胁管理扫描。这将减少终端安全客户端的负担。延长受困于新型安全套件资源要求的旧电脑的使用寿命，而且还有可能减少帮助台关于新型安全软件降低旧硬件运行速度的用户投诉。”– IDC

“尽管这是一个伟大的愿景，而且很多厂商的实施均已失败告终，但是IDC认为趋势科技在解决客户对下一代混合式安全解决方案的要求方面做出了出色的成绩。”– IDC

“终端安全远远超过了防病毒和防火墙保护，因为新型套件提供了全磁盘加密（FDE）、网络访问控制（NAC）代理和备份服务集成等新增保护功能。用户当然对这些功能很感兴趣，但是他们似乎更关心趋势科技云安全2.0 (Smart Protection Network)所强调的事情：针对日益增多的威胁改善保护性能。最近ESG研究报告即反映了这一点。在被问及最引人瞩目的全新终端安全特征时，大型企业中超过一半以上的安全专家优先考虑IPS和防网络钓鱼功能。据此，趋势科技云安全2.0 (Smart Protection Network)毫无疑问地关注了正确的领域（参见图1）”。– Enterprise Security Group

“你不得不钦佩趋势科技的大胆，为了开发全新的卓越模式，趋势科技愿意在自己的产品上寻找漏洞并且获得了成功。” – Enterprise Security Group

XII. 参考

[1] AV-Test。“病毒、蠕虫和其它恶件的巨大增长变得前所未有”。数据由Andreas Marx编辑（参

见2008年1月11日AT-Text新闻档案）。访问网址：

https://www.360docs.net/doc/2b10709166.html,/index.php?menue=2&sub=Newsarchiv&lang=0

[2] InformationWeek Analytics.。“2008年InformationWeek战略安全调查。” Mike Fratto。2008年6

月。

8 白皮书 | OfficeScan 10 引领终端革命