經常有朋友問,選擇什么樣的殺毒軟件比較好?這些人有的是個人用戶,有的是企業網管。這個問題很難回答,一般說來,不同廠商的殺毒軟件各有千秋,很難說有哪一種是普遍適用的。
而且,隨著網絡環境的日益復雜,對安全的需求早已不再局限于單一的“殺毒”,而是涵蓋了殺毒、木馬檢測、漏洞檢測、上網行為分析、病毒爆發防御、防火墻等多個領域。
可以說,安全這個概念,更多的是一個整體解決方案,而不僅僅是過去的單一軟件了。
然而,要設計一套安全解決方案并不是件容易的事。對普通用戶來說,不具備這方面的專業知識;對企業的專業網管來說,又往往受到投資的約束,不得不在成本與回報中間做出妥協。那么,有沒有一種既省錢又省心的選擇呢?
安全廠商顯然也對這種需求感興趣。主流廠商例如趨勢科技、卡巴斯基、賽門鐵克等都推出了各種企業級的安全軟件套裝,用于滿足企業尤其是中小企業的安全需求。筆者曾對其中的幾款進行過試用和咨詢,總體感覺是無論從技術上還是商務上,廠家都可謂是用心良苦。
近日從網上下載了趨勢科技的中小企業安全軟件包6.0版。筆者是趨勢科技的老用戶,在單機版時代使用的就是PC-Cillin(當然不僅僅使用這一家)。基于對趨勢科技一貫的好感,決定在局域網內小規模地試用一下。
試用角度
試用也有多種方案,筆者的選擇是從一個普通企業員工的角度出發,針對員工行為進行試用方案設計。主要包括以下內容:
1.測試U盤防毒能力
員工內部交流、與客戶交流時經常使用U盤拷貝文件——這差不多是最常見的中毒途徑了,而U盤染毒并傳播的一個主要途徑就是Autorun.inf文件。本次測試主要檢查是否能自動發現新插入的U盤設備,是否能有效阻止Autorun.inf文件的運行。
2.測試URL過濾能力
員工在上班時間經常會訪問一些與工作無關的網站,例如SNS社區交際網、小說閱讀網等,不僅降低了工作效率,還占用了額外帶寬,有可能會影響到對網絡的正常使用。本文將檢查是否能正確屏蔽這些網站。
3.位置切換感知能力
是否能自動識別電腦所在的網絡環境,并針對不同的網絡(例如辦公室與家庭),自動應用相關的安全策略。
4.對系統性能的影響
以殺毒軟件為代表的安全軟件通常會占用大量的系統資源,導致系統整體性能下降。有的用戶甚至因此而拒絕安裝殺毒軟件,讓自己處于沒有保護的危險環境之中。因此,對CPU和內存的占用情況的測試是必須的。
測試環境
兩臺筆記本電腦,一臺充當服務器,另一臺作為客戶端。
服務器:P4 1.86GHz,2G內存,120GB硬盤
客戶端:P4 2.0GHz,2G內存,40GB硬盤
網絡環境:千兆局域網,中國聯通2M ADSL寬帶連接到Internet
U盤防毒能力測試
準備工作:
趨勢科技中小企業安全軟件包提供了基于Web的管理界面,可以從網絡上任意一臺客戶端機器上進入服務器端的管理控制臺,輸入管理密碼后,登錄進入主頁面。
切換到“首選項”→“全局設置”→“網絡安全客戶端”,選中“禁用USB設備插入時的自動運行功能”。
測試過程:
1.在未安裝任何廠家安全軟件的其他PC上,插入U盤,在U盤根目錄下創建一個Autorun.inf文件,內容如下:
[AutoRun]
Open=c:\windows\system32\cmd.exe
Icon=test.ico
2.在客戶端機器上插入U盤,系統識別為G盤。
3.在“我的電腦”中,可以看到U盤所代表的G盤的圖標變成了test.ico,但是右鍵菜單中“自動播放”子菜單不再是默認菜單,cmd.exe也沒有被運行(沒有出現DOS窗口),說明該功能測試成功。
點評:防止U盤的Autorun.inf自動運行能有效阻斷病毒的傳播途徑。這雖然是360安全衛士中早已具備的小功能,但許多殺毒軟件上都沒有提供這個功能。
需要指出的是,Autorun.inf并不總是病毒,有時也是有用的。趨勢科技只是禁用了這個文件的自動運行功能,而沒有像個別同類軟件那樣自動刪除它。筆者的觀點一向是“最少傷害,最大效果”,能不刪的就不要刪,因而,筆者比較欣賞趨勢科技的處理方式。
URL過濾能力測試
準備工作:
1.登錄趨勢科技中小企業安全軟件包服務器端的Web管理頁面,輸入密碼,登錄進入主頁面,切換到“安全設置”→“臺式機(缺省)”,單擊“配置”按鈕。
2.選擇“URL過濾”,選中“啟用URL過濾”復選框,將過濾強度設置為“定制”。
3.接下來選擇要阻止的特定頁面類別,選中“網絡帶寬”右邊的“工作時間”和“業余時間”,保存配置,如圖1所示。
測試過程:
1.在客戶機上打開Internet Explorer,輸入某著名的網盤提供商的網址。
2.趨勢科技的網絡安全客戶端提示URL已經被阻止,如圖2所示。
點評:URL過濾是專門的上網行為管理類產品的主要功能,趨勢科技把該功能集成在以殺毒軟件為主的企業安全軟件包中,還是讓人贊賞的。趨勢科技提供了7大類84小類的URL過濾規則,基本上能滿足用戶的需要了。
位置感知能力測試
許多使用筆記本電腦的員工,經常在辦公室和其他場所進行位置切換:在辦公室里,可能對網頁的訪問限制很嚴,不能看小說,不能進交友社區,不能下載電影;但回家后,或者出差到外地,這些限制其實有些是沒必要的。
在傳統的安全軟件中,如果在一臺機器上限制了不能訪問某些URL,除非管理員手工修改規則,否則無論在什么位置都是無法訪問的。
而趨勢科技的中小企業安全軟件包具有自動感知位置的能力,能識別是否位于安全要求高的區域。如果是,則限制,如果不是,則不限制。
準備工作:
1.登錄趨勢服務器的Web管理頁面,切換到“首選項”→“全局設置”→“網絡安全客戶端”,選中“啟用位置感知”。
2.設置辦公室里使用的公司網絡的網關IP地址和MAC地址,并保存,如圖3所示。
3.切換到“安全設置”→“臺式機(缺省)”,單擊“配置”按鈕。
4.點擊“Web信譽”、“在辦公室”,選中“啟用Web信譽”,安全等級設置為“高”,保存。
5.點擊“Web信譽”、“不在辦公室”,取消“啟用Web信譽”,保存。
6.點擊“URL過濾”,取消“啟用URL過濾”,保存。
測試過程:
.把客戶端連接上公司內部網絡,此時本機的IP地址是192.168.1.104,網關地址是192.168.1.1。
2.訪問某著名網盤站點,趨勢科技客戶端提示,網頁上有未經授權的URL(該提示由“Web信譽”功能提供),如圖4所示。
3.斷開客戶端與公司網絡的連接,單獨PPPoE拔號連接入Internet,IP地址是221.218.12.184,網關地址是221.218.12.1。
4.再次訪問第2步中的網盤站點,訪問成功,說明位置感知和切換已經生效。
點評:這個功能筆者實在是太喜歡了,相信您也會喜歡的。另外請注意,軟件包是根據IP地址和MAC的組合來自動感知位置的,在設置時請不要省略MAC地址,否則容易有誤會。例如:假如公司的網關和家里的網關的IP地址都是192.168.1.1,如果不設置MAC地址,從公司回到家后,趨勢科技發現網關的IP地址沒有改變,將認為網絡位置也沒有發生變化,從而繼續采用為公司環境而設置的安全策略。此時,位置感知功能將失效。另外,位置感知功能還可以影響防火墻和云安全掃描。
遺憾的是,URL過濾能力未能與位置感知功能聯合使用。雖然借助于“工作時間”和“業余時間”能在一定程度上區別對待,但誰說工作時間就一定會呆在辦公室?尤其對于企業的市場和銷售人員而言。期待趨勢科技能在這方面做出改進。
對系統性能的影響
準備工作:
1.打開趨勢科技中小企業安全軟件包的Web管理頁面,輸入密碼登錄。
2.切換到“掃描”→“手動掃描”,單擊“臺式機(缺省)”,點擊“處理措施”,把CPU利用率設為“中”(CPU利用率的警戒值為50%),如圖5所示。
3.保存設置。
測試過程:
1.系統啟動完畢后,不做任何操作,五分鐘后,系統資源消耗如下:
(1)TmPfw.exe:CPU= 0%,MEM=6368KB
(2)TmProxy.exe:CPU= 0%,MEM=8872KB
(3)NTRtScan.exe:CPU=0%,MEM=5292KB
(4)TmListen.exe:CPU= 0%,MEM=5204KB
2.打開網絡安全客戶端,對系統盤(C盤)進行安全掃描,并使用pslist工具連續監控CPU的利用率,五分鐘后,監控到的CPU占用情況如圖6所示(橫坐標單位是秒)。
點評:可以看出,客戶端基本上不會長時間占用CPU,最長的一個占用了90%以上的時間段在一分鐘左右,大多數時候在50%的警戒線上下浮動。筆者沒有對比過其他廠商的同檔次產品的曲線情況,但就以實際操作感受而言,在安全掃描的同時,筆者打開了Word、Excel、Powerpoint和Internet Explorer等十多個窗口,沒有感覺到明顯的停頓。
整體印象
總的說來,趨勢科技的這款中小企業安全軟件包覆蓋面比較廣,涵蓋了殺毒、防火墻、上網行為管理等功能,在功能的設計上更注重實用性,服務端的Web管理界面也比較方便,網管不用因為修改配置而往機房跑。
也有一些需要改進的地方,例如位置感知服務與URL過濾的結合使用。從個人防火墻的功能上來看,更偏向于“企業防火墻”,而忽略了個人PC對防火墻的個性化要求(例如針對應用程序設置訪問策略)。
時間所限,筆者沒有進入更深入、更詳細的測試。本文內容亦是一家之言,僅供參考。
