【51CTO.com 獨家報道】賽門鐵克公司于2009年4月1日，首次向媒體開放了中國研發(fā)中心。在此次媒體開發(fā)日中，賽門鐵克展示其最新創(chuàng)新技術并重申其持續(xù)創(chuàng)新及服務中國市場的長期承諾。此外，賽門鐵克在研發(fā)中心還展示了兩項研發(fā)項目，即VIBES 和 DeepClean技術，并介紹了賽門鐵克中國研發(fā)中心的最新情況。

據了解，VIBES是賽門鐵克基于虛擬化安全的一項創(chuàng)新技術。VIBES利用虛擬化技術為用戶提供保護，防止在線交易的敏感信息失竊，并降低從網上下載惡意內容所帶來的風險。在對用戶透明的情況下，通過建立多個獨立的虛擬執(zhí)行環(huán)境以及使每個操作環(huán)境都擁有單獨的可信度級別的方式， VIBES顯著地改善了瀏覽器的安全性，使用戶能夠無縫地在不同的虛擬執(zhí)行環(huán)境之間進行切換，以進行不同的網絡交易。 

在51CTO記者看來，盡管應用虛擬化提高瀏覽器安全性的概念此前已有人嘗試，但VIBES技術的獨道之處在于能夠根據瀏覽器交互場景自動選擇最合適的虛擬操作環(huán)境，并對終端用戶完全隱藏虛擬化的應用。

VIBES技術由以下系統組件構成：
◆虛擬機監(jiān)視系統將虛擬機隔離，同時調節(jié)網絡和硬盤流量以及鍵盤、視頻和鼠標流。
◆VIBES代理代替虛擬機監(jiān)視系統執(zhí)行針對一個虛擬機的操作，并將虛擬機的信息傳回虛擬機監(jiān)視系統。
◆VIBES控制器嵌入在虛擬機監(jiān)視系統中，負責傳遞網站的請求和應答，確定適合的虛擬操作環(huán)境，并且指示VIBES代理切換虛擬操作環(huán)境或轉到另一個網址等功能。

現有VIBES原型中的三種虛擬操作環(huán)境如下：
◆“用戶”（User）虛擬機，用于進行常規(guī)性的操作。
◆“可信任”(Trusted) 虛擬機，用于進行可信性操作，例如，輸入敏感保密信息。
◆“遨游”(Playgruond) 虛擬機，用于進行冒險性的不可信活動，例如訪問未知網站或者下載未知的應用程序。

在51CTO記者看來，VIBES技術的價值體現在兩個方面：保護在線交易中的數據和降低惡意網絡下載的風險

如何利用VIBES技術保護在線交易的數據安全？

為了保護在瀏覽器中進行的在線交易的敏感數據，VIBES監(jiān)測所有瀏覽器和網站間基于HTTP的交互，以及其中返回用戶虛擬機的應答。由于當前的網站趨向于使用HTTPS來傳輸敏感信息，VIBES會假定以HTTPS為基礎的交易都涉及敏感信息，因此應在可信任虛擬機上執(zhí)行。因此，VIBES運行兩個瀏覽器，一個在用戶虛擬機上，用于基于HTTP的交互；另一個則是在可信任虛擬機上，用于基于HTTPS的交互。

無論何時，只要VIBES控制器發(fā)現返回用戶虛擬機的HTTP應答中有一個HTTPS URL，就將HTTPS URL改寫為一個合成HTTP URL。因而當用戶點擊合成HTTP URL時，VIBES控制器就會監(jiān)測到用戶建立HTTPS的連接意圖，然后在可信任虛擬機中運行的瀏覽器建立相應的HTTPS連接，同時無縫地將視頻顯示器切換到可信任虛擬機，用戶這時就可以開始和可信瀏覽器進行交互。為了對網站保持透明，VIBES控制器還會傳輸用戶在虛擬機上建立的所有會話狀態(tài)，諸如cookies。當VIBES控制器發(fā)現由于用戶點擊URL而導致HTTPS連接斷開后，它會再次無縫地把視頻顯示器切換回用戶虛擬機。

如何利用VIBES技術降低惡意網絡下載的風險？

打開或執(zhí)行從互聯網下載的文件被視為不可信操作，而所有其他操作都視為常規(guī)操作。降低因運行從網上下載的惡意內容而帶來的風險，當用戶試圖在其虛擬機中執(zhí)行或轉換任何文件時，VIBES代理會攔截系統調用。如果文件為互聯網下載文件，或是在網絡應用的臨時目錄中（例如IM客戶端或Web瀏覽器），VIBES會以透明的方式將文件復制到不可信虛擬機，并且把視頻顯示器切換到不可信虛擬機，然后執(zhí)行或轉換文件。當文件在不可信虛擬機的操作終止時，VIBES以透明的方式把視頻顯示器切換回用戶的虛擬機。

賽門鐵克中國研發(fā)中心的另一項技術是DeepClean，即基于可信認證理念的白名單技術。據介紹，該技術主要幫助客戶評估迅速增長的新型攻擊風險和隱患。DeepClean基于并進一步擴展了賽門鐵克公司現有的全球情報網絡（Global Intelligence Network），建立準確、全面的白名單，以及文件和提供者可信度資料，并不斷對其進行維護更新。DeepClean采用了白名單和可信度分析，通過補充現有的簽名、啟發(fā)式和黑名單技術等，來甄別各種新型網絡威脅和有針對性的攻擊。

據了解，DeepClean主要部署方式是通過企業(yè)范圍監(jiān)視器，基于安全的專用網絡門戶為IT管理員提供風險評估報告，以及所有文件下載的詳細信息。每個文件都有一個可信度等級，用于區(qū)分合法或者惡意文件，包括極為常見的文件和不大常見的文件。從來源上看，每個提供下載文件的站點都有可信任度評估，它們是根據賽門鐵克全球情報網絡提供的數據進行多方面評估的結果。

51CTO記者認為，白名單也存在一個不容忽視的問題，那就是如何避免白名單中的信源出現安全威脅？對此，賽門鐵克全球副總裁兼賽門鐵克中國研發(fā)中心總經理許明先生解釋到，DeepClean可以實現實時檢測，一方面可以避免出現白名單中的信源出現新安全威脅，另一方面還有可信度的評估制度，當白名單中的信源出現安全威脅時，它就是一個新的身份，而不是白名單中的信源。

事實上，這需要龐大的數據庫來支撐白名單技術，如果沒有多年的技術沉淀和積累，在51CTO記者看來，想做到這一點是有難度的。利用白名單技術可以在當前惡意程序迅猛增長的情況下，有效的降低新型攻擊帶來的安全風險。而相對白名單而言，被人們熟知的黑名單技術的價值體現在有效降低已知安全威脅的風險。兩種技術相結合，勢必會最大程度的降低企業(yè)用戶的安全隱患。

DeepClean基于可信度的白名單基礎架構由包括以下部分：
◆來自數百萬個傳感器的數據，有關各文件普及程度、文件及下載文件來源相關的風險數據；下載來源過去所托管文件的可信度記錄；傳感器的可信度以及該主機的安全狀況。
◆可信度分析技術，該技術和黑名單技術已經應用于賽門鐵克個人用戶安全解決方案，并在一年多時間有效地保護著1800萬臺個人用戶計算機。
◆新的白名單和基于可信度的企業(yè)級傳感器，以及與全球智能網絡連接的新型企業(yè)級報告接口，用于獲取白名單和可信度信息。
◆計算可信度的新算法。

另據介紹，賽門鐵克中國研發(fā)中心是賽門鐵克全球研發(fā)體系的重要組成部分，旨在幫助中國客戶解決安全性、存儲和系統管理方面的現實問題。賽門鐵克研究院是賽門鐵克公司的全球性研發(fā)組織，它持續(xù)推動著所有業(yè)務范圍內的技術開發(fā)和產品化進程。

據51CTO記者了解，目前，賽門鐵克研究院開發(fā)出的多種技術已投入應用，其中包括：業(yè)界領先的rootkit保護；創(chuàng)新性的瀏覽器保護技術，以主動阻止對已知漏洞的攻擊方；賽門鐵克的首個反垃圾郵件技術；通用的的阻止威脅迅速蔓延的技術；在線消費者安全服務；以及保護美國關鍵電網基礎設施的技術等。此外，賽門鐵克研究院還與大學展開了多項深入合作。