向電腦病毒say bye bye──新版防毒軟體簡介

　　由於目前集團所使用的Symantec防毒軟體版本是10.1.4，將升級成Symantec Endpoint Protection 11，乃撰文概略介紹新版防毒軟體（簡稱SEP 11）之功能。

　　自2001年Nimda病毒（註1）攻擊事件爆發後，世人開始了解，現今的病毒已不再是單純的病毒攻擊，而是融合了許多形式的攻擊模式，因此，除了建置一套完整且功能強大的防護系統外，更須加強防護系統架構的檢查與維護；同時，有關病毒威脅資訊及各作業系統安全性漏洞等相關資料之收集與查詢，也是不容忽視的。

　　Symantec Endpoint Protection（SEP）結合了Symantec AntiVirus與先進的威脅預防技術，可提供用戶端電腦和伺服器無與倫比的防護，使其不受已知威脅和未知威脅的攻擊。對於病毒、病蟲、間諜軟體、木馬程式、廣告軟體、初始威脅（註2）及Rootkit（註3）等惡意軟體都能提供完善的防護。

新版SEP 11.0之功能包括──

　　１．防毒和防間諜軟體防護：可以迅速偵測出並移除電腦所中的病毒，讓它們無法散佈到其他檔案造成傷害，確保電腦不受已知病毒與安全風險的威脅。當SEP偵測到病毒或安全風險時，會通知您偵測的結果，提供最佳的惡意程式防護功能。
　　２．個人防火牆：在電腦與Internet之間設下一道護欄，防止未經授權的使用者存取連上Internet的個人電腦和網路。它會偵測可能的駭客攻擊、保護個人資訊，以及排除非必要的網路流量來源，如：入侵嘗試。
　　３．入侵預防：入侵預防是SEP架設在防火牆後的第二層防護，如果偵測到已知攻擊，會主動以一種或多種入侵預防方法加以攔截。這個功能所提供的防護是以特徵為基礎，並提供緩衝區溢位（註4）防護。
　　４．主動式威脅防護：可以防護電腦中疑似惡意行為的作用中程序，由於不明威脅並沒有特徵可加以識別，因此「主動式威脅防護」會標示可疑的行為，識別潛在的風險，免於電腦受到初始攻擊與未曾見過的各類型威脅。與「觸發式威脅防護」不同的是，它能夠一併掃描不明應用程式的好壞行為，以達到更準確的惡意軟體偵測效果。
　　５．裝置與應用程式控管：「裝置控管」可以控制連線至電腦的周邊裝置以及這些裝置的使用方式，它能鎖住端點，預防有人使用隨身碟、CD燒錄機、印表機，與其他USB裝置來進行連線。「應用程式控制」允許系統管理員控制使用者與其他應用程式存取特定的程序、檔案與資料夾。它能提供應用程式分析、程序控制、檔案與登錄存取控制。系統管理員可以限制用戶執行可疑或具有高風險的特定活動。
　　６．全新的使用者介面及減少所占記憶體容量： SEP 11是賽門鐵克防毒軟體有史以來最大的改版，全新的使用者介面，更加簡潔友善，且大幅減少所占記憶體容量，以維持使用者的生產力。
　　７．「群組更新提供者（GUP，Group Update Provider）」選項： SEP用戶端可以架構為提供群組內用戶特徵和內容更新的提供者。以這種方式架構的用戶端稱為「群組更新提供者（GUP）」。GUP會從管理伺服器或LiveUpdate伺服器接收更新檔，再將更新檔轉送到群組中的其他電腦裡。對於共同位在頻寬有限的遠端的群組，可使用此方法。此法也可減輕管理伺服器的負擔。
　　８．支援SQL資料庫-用戶端資訊現在儲存於資料庫： SEP能將用戶電腦的所有相關資訊儲存於SQL資料庫裡（內嵌資料庫或Microsoft SQL資料庫）。

　　由於目前SEP 11防毒軟體仍在陸續修改和補強功能，預計7月會推出較穩定的版本。相信未來產品正式推出後，必能對防毒業界造成很大的衝擊，也能帶給消費者更大的保障。

　　＊註1：Nimda：娜坦病毒是透過電子郵件、網路資源分享及IIS伺服器這三種管道散播的病毒。
　　＊註2：初始威脅：利用作業系統本身的漏洞進行攻擊。
　　＊註3：Rootkit：利用更改系統檔或系統程式庫進行攻擊。
　　＊註4：緩衝區溢位：利用程式本來撰寫時的疏漏，輸入大於系統所能執行的資料長度，造成緩衝區容量不足，令系統執行攻擊者的攻擊程式。

．．．．．．．．．．．．．．．．．．．．．．．．．．．．．