专题背景
在这个内容专题当中,我们尝试依托一个真实的中小企业应用环境进行防病毒产品的选型,并基于选型过程形成专题的各类内容。这次选型征集了国内有售的八款中小企业防病毒软件,其中一些产品不但包含防病毒功能,还包含了防火墙等有助于企业信息安全管理的功能模块。我们将全面的考察这些产品,并形成比较性的数据以及针对各个产品的评述内容,帮助读者清楚的了解市场上各种中小企业防病毒软件的优点和特色。同时,我们也会就企业防病毒工作的开展及产品的选购提供大量实用性的建议,提供尽可能多的参考内容。
选型企业现状
参与这次专题的的企业是主要从事消费品销售,面向二十余个城市进行分销,是一家比较典型的中小企业。目前这家企业拥有员工接近三十人,其中大部分员工都有自己的台式计算机,而经常出差的员工则主要使用配发的笔记本计算机。从硬件配置来说,大部分计算机都拥有2G左右的处理器和256M内存,而个别计算机则使用1G左右的奔腾3处理器,主要是一些较早购买的二手笔记本计算机。这些计算机全部使用微软的Windows操作系统,其中包含一台专用的应用服务器,使用Windows 2000 Server操作系统,为企业所使用的业务管理软件提供IIS和SQL Server等服务支持。在日常的工作过程中,微软的Office套件是最基本的应用工具,特别是Excel软件的应用非常普遍,市场部、财务部等部门的员工都需要频繁的使用这类工具,而Outlook则是员工联络的缺省方式。在企业现有的IT环境当中,主要依赖于单机版的软件产品完成防病毒工作,尽管这种方式成本很低,但是由于缺乏统一管理,防病毒效果较差。由于到单机版产品的品牌不一等因素,负责计算机管理的员工承受着较大的工作负担,企业的局域网中总是存在一些防病毒的死角,各种恶意程序大有野火烧不尽、春风吹又生的态势。
防病毒需求
企业采购网络版的防病毒产品最重要的一点考虑就在于管理,使用企业级的防病毒系统可以大大降低计算机管理员的负担,让其有更多的时间用于提升公司业务系统效能等直接带来效益提升的工作。同时,这也有助于减少其它员工对防病毒工作的参与,一个无毒的工作环境对员工的工作完成也会带来明显的帮助。另外,企业级防病毒产品的整体防护效果要高于个人版产品,一般来说企业级产品的病毒检测能力都要比个人版的产品更加出色一些,而且这些产品通常还提供更强劲的功能。除了一些基本的特性之外,有几个问题是这次选型活动需要特别关注的,例如性能。尽管以目前的硬件配置来说,大部分计算机都能够满足部署网络防病毒系统的需要,但是仍旧有个别配置较低的计算机存在。在非主流的计算机硬件上是否能够很好的运行,这一点对于中小企业用户来说往往具有特别的意义。除此之外,由于拥有十台左右的笔记本计算机,所以在企业的应用环境中不但存在有线连接也存在无线连接,参加这次活动的产品能否有效的在无线网络环境中完成各种防护工作也成为我们特别关注的问题。而在着眼于当前企业需求的基础上,我们也会对那些可以满足特定需要的产品功能特性进行重点描述,以期让读者了解各个产品与众不同的个性特点。
选型步骤
选型工作主要包含两个主要的组成部分,最终的专题内容会基于这两部分的工作形成。首先,是由专业的信息安全工作人员评估所有参加选型的产品,这些人员会结合企业的需要,从专业技术的角度对各个产品包进行详细的试用以及横向的比较,以获得哪些产品更加适合企业目前应用环境的结论。其次,我们会在企业内部实行试用,通过在部分计算机上运行一定的天数来观察这些产品的防病毒效果,以发现一些在实验室环境内无法发现的问题。就最终的评估结果,我们会推荐三种相对适合该企业需要的防病毒软件产品。对于那些在环境上与专题中所描述的环境有所差异的企业,也可以通过我们对各个产品特点的描述,选择最适合自己的企业防病毒系统。
评估原则
在评估过程当中,我们遵循以下几个重要的评测原则:首先是“缺省原则”,我们在试用每种产品时都依照其默认设置,包括使用其缺省设定执行安装;其次是“最新原则”,我们尽量保证所使用的产品是选型开始之前的最新版本,甚至有些产品的版本还新于正式发售的版本,保证了专题内容的抢鲜性。最后,这次评测还遵守“最优原则”,我们会以测试过程中的最佳测试情况作为最终的测试成绩,例如在重复多次执行一项测试的时候,我们会以表现最佳的测试结果为准。
评估环境
由于我们选型的对象是企业级的软件产品,所以我们适当的扩充了我们的评估环境。除了正常用于测试的三台计算机之外,我们还准备了两台备用的测试计算机,以在有特殊需要的时候使用,例如考察产品对一些旧版本Windows操作系统的兼容能力。在通常情况下我们会将防病毒软件分别部署到三台正式的计算机上,这三台计算机分别完成一个典型网络防病毒体系当中的三种角色。控管中心上部署了网络防病毒的管理服务机制,而服务器端则安装面向服务器版操作系统的防病毒客户端软件,客户端则是安装面向桌面系统也即工作站版操作系统的防病毒客户端。另外,为了更好的满足网络版防病毒软件的测试要求,我们使用TP-Link的TL-WR340G+的无线路由器搭建了一个局域网环境,而在测试计算机上则配备了TP-Link的TL-WN322G+无线网卡。在外网连接方面我们准备了2M的电信宽带线路和2M的网通宽带线路,测试系统可以联入互联网获得更新以及各种厂商公告。
|
硬件环境
| |||
|
设备
|
硬件配置
|
操作系统
|
用途
|
|
康柏D311
|
赛扬1.7G/512M内存/80G硬盘
|
Windows 2000 Server
|
控管中心
|
|
康柏D311
|
赛扬1.7G/256M内存/40G硬盘
|
Windows 2000 Server
|
服务器端
|
|
IBM T41
|
讯驰1.6G/512M内存/80G硬盘
|
Windows XP Pro
|
客户端
|
|
兼容机
|
P4 2.4G/512M内存/80G硬盘
|
Windows 2003 Server
|
辅助测试
|
|
兼容机
|
Sempron 2200+/256M内存/80G硬盘
|
Windows 98/ME
|
辅助测试
|
注:在执行每个产品的测试特别是哪些涉及性能的测试之前,我们会将事先建立好的初始测试环境恢复到用于测试的三台计算机上,这个环境的备份使用了Ghost镜像的方式,以尽可能保证各种测试的精确性。
测试项目
在选型过程中我们主要面向五个主要的方面进行产品评估,分别是性能、精度、功能、管理和易用性。这五个方面又分别包含很多相关的测试项目,最终我们会基于这五个方面进行具体的打分,方便读者快速直观的了解到在具体某一方面哪些产品的表现更加优秀。
在性能表现方面关注的主要是产品的运行速度以及系统资源占用情况,我们会观察安装了防病毒软件之后系统的实际运行表现,而占用内存和磁盘空间的情况也是评估的重点。除此之外,防病毒引擎的检测速度也是一项体现产品性能的重要指标,不论是对文件系统的扫描还是实时监控都是如此。在评估文件扫描速度的海量文件扫描测试中,我们使用各个产品的客户端程序对一个包含69582个文件、占用3.92G空间的硬盘分区执行病毒扫描操作。这项测试至少执行两次,以判断该产品是否具有文件指纹功能。
|
什么是文件指纹
这里所称的文件指纹是指防病毒引擎内置的一种检测机制,这种机制可以为检测过的文件生成相应的校验值,在下次扫描该文件的时候可以通过校验值判断文件是否被改变过。防病毒引擎会跳过那些没有改变过的文件,从而大幅度地提高检测速度。
|
精度测试主要是指防病毒产品检测各种恶意程序的准确性,从广义上来讲也可以视为产品集成的各项安全功能的防护能力。在这次选型活动中,我们共准备了两个恶意程序样本集供测试使用,分别称为Zoo样本和Hot样本。Zoo样本通常代表了一组广泛的恶意程序,我们的Zoo样本集共包含2000个恶意程序,既有文件病毒、蠕虫病毒、宏病毒这样的传统病毒,也包括间谍软件、***程序等近两年流行的病毒种类。这些恶意程序的出现时间跨越2004年到2007年,其中有一部分已经不再实际应用环境当中传播,所以该项测试的结果应该作为适当的参考。而Hot样本集共包含50种近期出现的恶意程序,目前基本都处于流行状态,主要以高破坏力的蠕虫病毒和间谍软件为主,也包含一些广告软件等低破坏力的恶意程序。除了记录识别数量之外,我们也记录了参选产品对这些恶意程序的处理结果,因为只能识别出威胁而无法正常的完成清除操作也是没有意义的。
作为除防病毒之外最重要的功能模块,我们也安排了防火墙方面测试,不过由于一些产品没有集成防火墙组件,所以该部分测试的分值只占据了较少的比例。由于很多具有特洛伊***性质的恶意程序在感染了计算机之后向外网建立连接下载实际的恶意代码,所以能够有效的管理和阻止外向连接可以在很大程度上提高安全防护能力,我们使用几种专门的软件工具测试防火墙模块能否阻止这类连接。leaktest向互联网上的测试服务器发起连接以检验防火墙是否阻止这项活动,而firehole的工作机制与leaktest类似,只是firehole会使用系统中IE浏览器的组件来建立连接,对于一些依赖于应用程序识别的防火墙程序来说,很可能会将其视为合法连接而放行。另外,我们还采用一个自己编写的称为FirewallWeak的测试程序,这样我们可以观察防火墙组件如何处理一个对自己未知的应用程序所建立的外向连接。通过访问grc.com上被称为Shields UP!的在线测试服务,可以检验计算机上1056个TCP端口在外网看起来处于什么状态,这通常能够体现一台计算机在面对各种病毒感染和恶意***时的防护能力。
|
端口静默
网络端口通常有三种状态:打开(Open)、关闭(Close)、隐秘(Stealth)。一些网络服务会对特定形式的质询进行应答,即使这些端口处于关闭状态,也可能对一些质询进行应答,也即***者仍旧有可能利用这些端口开展***。只有处于隐秘状态的端口才是真正安全的,如果一台计算机的所有端口都处于隐秘状态,则视之为是“端口静默”的。
|
注:在评估过程中我们会记录产品所集成的防病毒、防火墙、漏洞扫描、隐私保护、内容访问控制以及其它实用工具所具备的功能特性,并就表现突出的功能进行点评。
事实上,管理能力是单机防病毒产品和网络防病毒产品之间最大的区别,所以管理特性也成为评估网络防病毒软件的重点之一。如何管理网络中的防病毒客户端是这项评估的核心,包括客户端程序的安装、各项防病毒操作的执行、客户端权限的设定等等。而包括日志、告警等在内的用户反馈机制以及对系统设置进行调整、自定义和保存配置信息等项内容,我们也将其视为管理机制的一部分而没有放入易用性测试部分。
在易用性测试部分中我们执行几种软件行业内常用的评估手段,包括体现物理操作负担的肌肉事件测试、针对界面设计的屏幕利用率测试以及体现操作流程的记忆负担测试等等。附之以界面元素排布、界面指引等方面的分析,我们会对软件系统易用性进行综合的评价。必须说明的是,在这次选型过程中我们将易用性的重点放在了防病毒系统的管理中心上,而对于客户端程序则相对较少涉及。
|
什么是肌肉事件数
这是指软件操作过程中的肌肉动作数量,例如一次鼠标点击操作包括了寻找点击目标的眼球移动、移动鼠标的手臂移动和点击鼠标的手指动作共3次肌肉事件,而相应的一次鼠标双击操作则通常计为4次肌肉事件。
|
73
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
