McAfee 产品技术白皮书 - VSE.docVIP

McAfee VSEASE产品技术白皮书 关键词：恶意软件、访问保护、Artemis 摘要： 版本控制： 序号 修订类型 修订内容简述 修订日期 版本号 0 创建 2009-5-8 1.0 1 2 3 McAfee（中国）公司 2009年5月15日 目 录 1 产品概述 4 1.1 面临的挑战 4 1.2 主流解决方案的不足之处 4 1.2.1 存在防护时间差 4 1.2.2 难以应对形形色色的恶意软件 5 1.2.3 安全管理成本居高不下 5 1.3 McAfee的解决之道 5 2 VSE产品特点 6 2.1 不间断的实时防护 6 2.2 全方位的病毒防护 6 2.3 潜在“恶意/间谍程序/广告软件”程序安全 6 2.4 缓冲区溢出防护（IPS 功能） 6 2.5 全面的病毒突发回应 6 2.6 集中的管理和完全可定制的报告功能 7 3 VSE产品功能 8 3.1 OAS 访问扫描技术 8 3.2 基于行为的检测技术 8 3.3 BOP缓存溢出防护 8 3.4 端口阻挡 8 3.5 企业级管理 8 3.6 感染源追踪和阻挡 8 3.7 Rootkit 检测 8 3.8 企业级报表 8 4 VSE产品的部署方式 9 5 主要成功案例 10 产品概述 面临的挑战 自从 25 年前首次出现病毒以来，计算机安全领域发生了翻天覆地的变化。病毒一波接一波地袭来，各种恶意漏洞攻击和狡猾的威胁轮番上场。随着您的网络向远程地点和移动用户扩展，您所面临的风险也将随之扩大。 恶意软件的增长速度如此之快，以致安全厂商的解决方案难以跟上威胁的步伐。2008年，我们发现的恶意软件数量比之前两年的数量总和还要多。恶意软件不断增长的主要因素在于不法分子受到越来越多的利益驱使。他们追逐金钱并不惧以身试法。Gartner 的调查显示，80% 多的攻击是为了谋取不义之财。 恶意软件编写者所收集的个人及机密信息交易已经导致了高达数十亿美元的网络犯罪。绝大多数的威胁是悄无声息的——它们被加密或打包，混淆在有效荷载中；缩小了文件的容量；使安全厂商花费更多的时间和成本对其进行分析及防御。 主流解决方案的不足之处 存在防护时间差 针对更大量、更复杂、更快速的威胁，多数解决方案依靠特征更新的方式进行威胁防护，这通常需要一到三天的时间。而在防护时间差内，系统无法对新的威胁进行防护。（如下图） 难以应对形形色色的恶意软件 除了各种各样的病毒、蠕虫、木马以外，当前还存在广告软件、间谍软件、按键记录程序、玩笑程序、拨号程序等等恶意软件。并且这些恶意程序不断融合，单一的文件检查方式越来越难以应对层出不穷的安全威胁。 安全管理成本居高不下 为了应对各种威胁，企业在信息安全的建设中采用了不同的安全解决方案。随着采用安全产品的增多，就需要不同的管理界面进行管理，造成管理复杂性不断提升、管理报告也日趋复杂。不仅如此，企业投入到安全管理的人员成本、设备投资、时间成本也在不断蔓延。 McAfee的解决之道 这些问题虽然棘手，但 McAfee 会帮您一一解决。我们的系统安全解决方案集成了Artemis实时防护技术，使您在瞬间即可获得对未知威胁的防护能力。通过提供全面的恶意软件保护和防病毒爆发控制，能够有效拦截威胁、减轻威胁带来的影响。 通过统一的管理平台ePO，可以极大地提升IT安全管理效率并降低IT安全管理成本。ePO整合了对终端、邮件和网络的所有信息，将威胁、漏洞信息全部集中在一个综合的管理平台上面，从而可以快速查找出关于感染事件和威胁事件的信息，缩短响应时间。ePO的管理框架设计原则为单一控制台，单一代理的模式。据统计，在大型企业中采用ePO管理平台可以使得安全运营的成本下降62%。 McAfee Artemis技术为相关最新研究及响应提供不间断的新交付模式 ，以缩短防护时间差。当用户收到一个被扫描代理认定为“可疑”的文件（如加密文件或打包文件），而本地DAT 文件数据库也没有特征码，那么扫描代理就使用Artemis技术发送文件指纹，即时在McAfee Avert Labs的综合数据库进行查询。如果确认这个指纹是已知恶意软件，就会在几毫秒内向终端用户计算机发回一个响应，从而阻止或隔离该文件。 全方位的病毒防护 McAfee 防病毒扫描引擎能够拦截各种病毒和恶意代码威胁，包括宏病毒、木马程序、Internet 蠕虫、32 位高级病毒，甚至是恶意的 ActiveX 和 Java 对象。先进的启发式检测和通用检测技术使 VirusScan 具有了前瞻性的防护能力，能够“提前”防御各种新的、未知的病毒以及其它多种威胁。 潜在“恶意/间谍程序/广告软件”程序安全 VirusScan 能够自动检测“恶意/间谍/广告”程序，有效防止隐藏程序跟踪企业和用户的 I