图1 零日威胁数量成倍增长

在赛门铁克大中国区用户大会上，赛门铁克重点介绍了Symantec Endpoint Protection 11.0（即SEP11.0）和Symantec Network Access Control 11.0（SNAC），这是赛门铁克Security 2.0计划中的重要一步。SEP11.0是赛门铁克企业级防病毒的最新产品，在单一代理中整合了赛门铁克防病毒与高级威胁防护，可抵御各种恶意软件，实现主动、简单和无缝的端点防护。

今天，新型威胁推动了对新型保护技术的需求。端点管理成本不断增长，宕机时间导致的成本直接影响到生产力，购买、管理并执行端点产品的成本及对系统资源的需求不断增长。复杂性的不断增长和管理分散导致效率低下，且相当耗时。已知和未知威胁数量增长，对防病毒的要求更高。

赛门铁克安全和数据管理部门总裁Tom Kendra表示：“SEP 11.0是企业更加容易采用，也更为有效的多重安全解决方案，它能不断增强防病毒的能力以应对当前新兴的威胁环境。它重新设置了端点安全工具栏，降低管理费用、时间和成本，从而帮助用户有效管理安全，并使受到保护的企业对其资产和业务满怀信心。”

主动全面的威胁防护

为了帮助用户抵御当前威胁和未来的新兴威胁，SEP 11.0纳入了主动防护技术，自动分析应用行为和网络沟通，从而实现检测并主动拦截威胁。用户可获得的单一解决方案，集成了防病毒、反间谍软件、防火墙，基于主机和网络的入侵防护方案及应用和设备控制，并十分易于部署和管理。SEP 11.0还拥有支持SNAC的新型简化管理控制台。

SEP提供了先进的威胁防御能力，能够保护端点免遭目标性攻击和之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术及管理控制功能：主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动；管理控制功能使用户能够拒绝对企业来说被视为高风险的特定设备和应用程序活动，用户甚至可以根据用户位置阻止特定操作。

第一，SEP 11.0增强了防病毒和反间谍软件技术，提供优化的实时恶意软件检测，加以拦截并修复。它的主要特征包括：性能优化、新型用户界面和来自Veritas的新型深度扫描技术，从而可以发现并移除经常逃避检测的rootkit。

第二，SEP 11.0采用了新型主动威胁防护。它通过利用基于行为的扫描，抵御未知或零日威胁；通过设定检测所有行为的运算法则，大幅降低了误报的发生。此外，SEP 11.0还包含Proactive Threat Scan，能够检测并拦截恶意软件，无需签名便可防止其爆发。根据指定的安全策略，设备控制可帮助用户严格限制设备访问权，包括USB存储、备份驱动等，从而降低数据丢失的风险。

第三，SEP 11.0客户端防火墙的位置敏感型策略可以根据管理员定义的策略，按照计算机的物理或网络位置，授予其访问网络的权限或拒绝其访问网络。防火墙监视入站和出站通信，并防止恶意软件将机密信息传出客户的网络。设备与应用程序控制提供进程、文件注册表、模块和DLL 访问控制。高级设备控制管理外设并控制其使用方式，防止通过 USB端口、MP3播放器和其他外设泄漏数据。

第四，SEP 11.0采用了新型网络威胁防护。它整合了一般漏洞利用禁止功能（Generic Exploit Blocking，GEB），是利用独特的基于漏洞的IPS技术。由于这种IPS技术是嵌入在网络层级，因此可以在恶意软件进入系统之前加以拦截。GEB与传统基于漏洞利用的IPS技术的不同之处在于，它可以凭借单一签名拦截所有新型漏洞利用，从而提高检测，加速修复。

第五，当前恶意软件变得日益复杂，SEP 11.0结合了高级威胁防护技术，除能够预测攻击并防止遭到损坏外，还可以进行主动威胁扫描，对恶意软件检测和阻止技术可以提供实时防护功能，甚至可以针对零日攻击提供防护。主动技术使用一般特征来阻止利用已知漏洞发起的新攻击，甚至可以在软件供应商发布补丁程序前就加以阻止。因为GEB会扫描每个端点上的网络通信，因此，它可以在威胁侵入系统之前，在网络层上将其阻止。增强的rootkit检测和删除功能集成了高级原始磁盘扫描技术，可以控制操作系统，并且可以防止自我隐藏的rootkit破坏系统和关键数据。

最后，SEP 11.0可以与其他领先防病毒供应商、防火墙、IPS技术和网络访问控制基础架构协作，还可以与领先的软件部署工具、补丁管理工具和安全信息管理工具协作。它可以同SNAC进行紧密的集成，在外部计算机（包括客户、临时工作人员等）访问企业网络时，对计算机进行严密的监控，首先发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与现有网络基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照最低IT策略要求对连接到网络的新设备进行评估，然后设置网络访问权限。只有对系统进行评估并确认其遵从IT策略后，才准予该系统进行全面的网络访问。对于不遵从IT策略或不满足企业最低安全要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问，紧接着对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态，随后再改变网络访问权限。管理员可以将补救过程完全自动化，这样会使该过程对最终用户完全透明，也可以将信息提供给用户，以便进行手动补救。同时，主动监视遵从状况，必须时刻遵从策略。因此，Symantec Network Access Control 会以管理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状况发生了变化，那么该端点的网络访问权限也会随之变化。

简化管理减低成本

SEP 11.0不仅可以增强防护，而且可以通过降低管理开销及管理多个端点安全性产品引发的成本，来降低总拥有成本。它通过一个直观用户界面和基于Web的图形报告，将全面的安全技术集成到单一代理和集中的管理控制台中，在简化了端点安全管理的同时，还能提供出色的操作效能。

随着访问企业资源的用户群体不断扩大，端点保护和安全策略遵从之间结合得更加紧密。SEP 11.0支持SNAC，通过将SNAC和安全性集成到单一的端点代理，赛门铁克可帮助用户更加快速简便地部署SNAC，并极大地提高运行效率，包括单一软件和策略更新、统一报告及统一执照和维护等。

Yankee Group高级分析师Andrew Jaquith表示：“企业需要降低保护业务环境和法规遵从的成本。通过将遵从、网络访问和威胁保护整合进入单一的客户端产品，例如SEP 11.0，用户可以降低复杂性并简化IT作业。”

SEP 11.0可以和SNAC进行紧密的集成，无需部署其他网络访问控制端点代理软件。此外，SEP 11.0能与其他领先防病毒供应商、防火墙、IPS技术和网络访问控制基础架构协作，并可以与领先的软件部署工具、补丁管理工具和安全信息管理工具协作。

在此次会议中，赛门铁克公司产品供应部门副总裁Brad Kingsbury表示，赛门铁克全球智能网络、8家赛门铁克安全响应中心、4家赛门铁克安全运营中心、1.2亿个系统和部署于180个国家的4万多个传感器将为SEP 11.0提供支持。

图2 赛门铁克端点解决方案