SEP 121 与主要竞争对手的对比.doc

SEP 12.1 与主要竞争对手的对比一. 概述此文档中提到的SEP 12.1的主要竞争对手，包括以下四个：TrendMicro Deep Security 7.5McAfee VirusScan 8.7i/ePO 4.5Kaspersky Internet Security 2012瑞星杀毒软件网络版二. 传统防病毒2011年2月，在 AV-T 的真实环境测试（Real World Testing）中，SEP 12.1 获得了最高分：详细报告请参考：结论：由于采用了业界领先的Insight信誉评级技术和SONAR行为防御技术，使得SEP 12.1相比较于传统防病毒，拥有更高的查杀率。三. 云现在每个杀毒软件厂家都有推出云概念：TrendMicro：Smart Protection NetworkMcAfee：Security SaaSKaspersky：Kaspersky Security Network(KSN)瑞星：云安全（Cloud Security）下面是关于各厂家的云概念的介绍：趋势的云安全包括三部分，分别是2005年发布的邮件信誉技术，2007年发布的Web信誉技术和09年发布的文件信誉技术和多协议关联分析技术。邮件信誉技术，是对网络上的电子邮件服务器进行信誉评级。监控电子邮件服务器的使用状态，如果锁定了恶意的服务器，就对从这些服务器上发出的病毒邮件进行拦截。Web信誉技术也是采用邮件信誉技术同样的原理，对网络上的Web服务器进行信誉评级。当用户上网时，会阻断与问题服务器的连接。文件信誉技术与前两种技术类似。将网络上的各种档案的信誉等级信息存储在云端数据库中，大部分的病毒定义都保存在了云端，终端做检测、扫描，必需连接趋势的云端服务器才能查询信誉信息。终端会将检测到的未知威胁的信息反馈回云端服务器。这种技术被称之为云客户端文件信誉（CCFR）技术，也称为黑名单拦截软件。一个CCFR请求查询数据包中包括：客户ID、服务器ID、智能过滤版本、CRC值，响应数据包中包括：恶意软件名称，如果CRC检测为恶意软件，则说明此恶意软件的名称。McAfee的云技术突出的是SaaS，Security-as-a-Service，安全即服务。这是一种托管服务。McAfee有一个Network Operations Center，给客户发一封电子邮件，包含一个URL，点开URL进行在线安装McAfee SaaS Endpoint Protection，客户端必需连到McAfee Network Operation Center下载病毒定义等，采用Rumor技术，在各客户端之间复制更新。有McAfee托管安全架构，不需要额外的管理服务器。管理员每周从McAfee Network Operation Center获得用户报告，使用McAfee Online Management Console来管理更新、制定策略。McAfee还有一个全球威胁智能感知系统文件信誉，即GTI信誉。基于云的实时文件信誉服务。会给每个文件打分，分数反映的是所查文件是恶意软件的可能性。评分标准包括用于查询McAfee系统的sensor所提供的信息以及McAfee实验室研究人员与自动化工具的分析报告，还包括Web、电子邮件和网络威胁数据的跨载体信息相干性。可以配置本地策略使用分数来确定相应操作，如拦截或者隔离。McAfee也包括有Web信誉、邮件信誉和网络连接信誉。Kaspersky的Kaspersky Security Network(KSN)，会收集用户电脑上运行的程序的信息，以此来跟踪病毒、风险，以及他们的传播渠道。它还允许将未知文件的全部或部分发送给Kaspersky Lab服务器，需要Kaspersky Lab的专家针对软件做检测。对比结论：各大安全厂商的云，基本原理都是收集信息到云端服务器，Symantec的优势在于：a. Symantec拥有业界最大的云。1.75亿个终端、25亿个文件。b. 在单一终端上，Symantec云技术拥有最广泛的覆盖。虽然Trend和McAfee拥有邮件信誉、Web信誉等技术，但分属不同的产品，而Symantec在单一的SEP终端上，就已经将云技术（信誉技术）运用到了Web下载、实时防护、浏览器入侵防护、电子邮件防护、IPS等各方面。Symantec通过单一产品，就提供了最全面的防护。c. 对用户来讲，Symantec云技术提供了最多的可操作性。除了McAfee可以根据文件信誉得分来配置拦截或者隔离的动作，其他厂家的云技术，对用户来讲，都是一个虚的概念。Symantec的SEP，用户除了可以自己定义根据信誉得分所做的操作，还可以定义白名单，防止误报等。四. 防火墙关键功能对比总结表：TrendMicroMcAfeeKaspersky瑞星Symantec基本原理只是针对数据包的检测，不能控制应用程序的网络行为。既可以基于数据包进行检测，也可控制应用程序（程序指纹）的网络行为。基本上基于数据包的检测，对应用程序的网络行为控制，都是预设的。既可以基于数据包进行检测，也可控制应用程序（程序指纹）的网络行为。处所切换处所切换的判断条件很少。处所切换的判断条件很少。不支持有多种处所切换的判断条件。基于网络适配器的策略制定不支持不支持不支持多种默认网络适配器可选，并可根据适配器ID手动添加。协议类型用户可以自定义协议类型只有可选的协议，用户不能自定义可选的协议很有限，用户不能自定义用户可以自定义协议类型自定义Schedule支持支持不支持支持内置默认规则71很多少25以下是各竞争对手产品的功能点介绍和截图：TrendMicro Deep Security 7.5：有大量内建规则，默认有71条。可选Action包括：Allow/Bypass/Deny/Force Allow/Log only数据包方向只区分Incoming和Outgoing帧类型：IP/ARP/REVARP/自定义默认的Protocol：ICMP/IGMP/GGP/TCP/PUP/UDP/IDP/ND/RAW/TCP+UPD，还可以自定义Protocol类型。数据包源/目的：可基于单个IP、多个IP、IP段、IP掩码、IP范围、单个MAC、多个MAC、MAC列表、Port(s)、Port列表。可以针对不同类型的数据包指定数据包标识，比如，对于TCP，可指定URG、ACK、PSH、RST、SYN、FIN以上的每一个设置，都可以设置为反逻辑可设定Context，作用类似于SEP上的Location设置可设定Schedule。McAfee VirusScan 8.7i/ePO 4.5：有不少内建规则，其中包括对McAfee Endpoint Encryption产品的默认策略还有大量的预定义规则可将防火墙策略设置为一个入侵特征数据包方向：内/外、内、外协议类型：IP、Appletalk、IPX、NetBEUI，但是用户不能自己定义远程地址：但只是针对远程地址，不能区分数据源地址、目标地址传输协议：有很多传输协议可选，但是不能用户自己定义可针对应用程序指纹和应用程序路径连接感知设置，作用类似于SEP中的Location可设定Schedule可以对防火墙策略进行分组可以设定防火墙策略为共享或非共享可以针对防火墙策略指定隔离规则可以对策略进行导入和导出Kaspersky Internet Security 2012：Kaspersky的防火墙策略分为两部分：Application rule和Packet rule防火墙的动作：允许、阻止、基于应用程序规则支持的协议有限数据包的方向中，可选择Stream类型还有三个高级选项：应用程序控制策略中的文件列表，都是预设的，用户没有办法修改瑞星全功能安全软件：IP包地址的设置只能基于IP可设置协议类型可自定义数据包特征值可选TCP数据包标志多重通知方式可添加可信区可添加基于IP地址的黑、白名单可针对特定端口进行设置可设置独立于IP规则的程序联网控制，允许或阻止特定程序联网五. 入侵防护关键功能对比总结表：TrendMicroMcAfeeKaspersky瑞星Symantec内置规则1000多条1000多条不能配置IPS/IDS2646条自定义规则较难，没有sample可供参考。较难，没有sample可供参考。提供sample参考，语法比较简单。注：虽然从界面上看，McAfee叫Host IPS，但是，其实它的作用类似于SEP中的用程序控制策略，并不能算是真正意义上的网络入侵防护。以下是各竞争对手产品的功能点介绍和截图：TrendMicro Deep Security 7.5：预设了一千多条IDS/IPS策略入侵防护策略与Application Type绑定，而实际上，Application Type是基于数据包用户可以有三种方式定义入侵防护特征：Signature、Start/End/Patterns、Custom(XML)可以导出、导入策略可以设定Schedule不能自动阻止入侵者McAfee VirusScan 8.7i/ePO 4.5：可自动阻止入侵者可根据不同严重等级的事件指定相应的动作默认有将近1000条签名规则默认有一百多条应用程序保护规则支持多平台：Windows、Solaris、Linux、HP-UX针对每条规则选择严重性可以按照标准子规则和专家子规则两种方式添加子规则在标准子规则中可选择类型为文件、HTTP、注册表、服务文件类型就类似于SEP中的应用程序控制策略HTTP类型的规则只能针对HTTP Request可以指定针对服务的规则专家子规则中可以写自定义的格式，类似于SEP中的自定义IPS规则可以针对签名、进程名称、用户等添加例外规则可导入、导出规则可将规则设置为共享、非共享Kaspersky Internet Security 2012：Kaspersky上不能对IDS/IPS进行配置瑞星全功能安全软件：默认提供的网络攻击特征较少，且不能自定义六. 管理功能这里的管理功能主要指企业的系统管理员对终端客户端的控制，比如不让用户修