前一陣，筆者參加了有關(guān)企業(yè)級(jí)安全軟件評(píng)測(cè)的交流會(huì)。會(huì)后，筆者還與評(píng)測(cè)專家進(jìn)行深入的交流。如何對(duì)企業(yè)級(jí)安全軟件進(jìn)行有效評(píng)測(cè)一直是筆者很感興趣的內(nèi)容，所以當(dāng)時(shí)本打算就自己所聽所感馬上成文?？呻S著和評(píng)測(cè)專家更深入的交流，隨著越來越多評(píng)測(cè)資料的查閱，突然發(fā)現(xiàn)自己似乎無從下筆了。

提到評(píng)測(cè)相信很多相關(guān)專業(yè)人員都會(huì)隨口說出：黑盒測(cè)試、白盒測(cè)試、灰盒測(cè)試、靜態(tài)測(cè)試、動(dòng)態(tài)測(cè)試、功能測(cè)試、性能測(cè)試、壓力測(cè)試、負(fù)載測(cè)試……等諸多IT軟件、硬件產(chǎn)品的評(píng)測(cè)方法。而提到安全軟件產(chǎn)品測(cè)試時(shí)，許多人第一個(gè)想到的可能就是病毒庫測(cè)試，看看這些安全軟件到底能掃出多少病毒。相信還會(huì)有人提到諸如靜態(tài)掃描測(cè)試、動(dòng)態(tài)防御測(cè)試、誤報(bào)測(cè)試、安全性測(cè)試等等。

在2000年的時(shí)候有病毒1500個(gè)；2002年達(dá)到了2萬多；2005年是11萬；到了2007年達(dá)到60萬；2008年全球的惡意病毒達(dá)到了180萬；2009年已知的病毒會(huì)比2008年翻一番還要多。在2006年的時(shí)候如果一臺(tái)電腦沒有進(jìn)行適當(dāng)?shù)姆雷o(hù)，聯(lián)上網(wǎng)在17分鐘之內(nèi)就會(huì)受到病毒的傳染。那么現(xiàn)在呢，同樣一臺(tái)電腦，聯(lián)網(wǎng)后最快的在4分鐘之內(nèi)就會(huì)被來自網(wǎng)絡(luò)的病毒感染。病毒數(shù)量正在急速增長，最公平有效地病毒庫測(cè)試方法就是搜集當(dāng)今世界所有有效病毒進(jìn)行掃描測(cè)試，但很顯然，這是完全不可能的事情。不提如何搜集這些病毒，單就如此龐大的病毒庫進(jìn)行掃描所消耗的時(shí)間就不是評(píng)測(cè)所能接受的。

在評(píng)測(cè)交流會(huì)上，來自賽門鐵克安全技術(shù)與響應(yīng)中心的終端防護(hù)產(chǎn)品集團(tuán)經(jīng)理John Harrison先生就明確表示，他并不贊同這種病毒庫掃描測(cè)試方法。筆者在與評(píng)測(cè)專家交流過程中，評(píng)測(cè)專家也表示，病毒庫掃描測(cè)試實(shí)際上存在很大的偶然性，可能恰好這個(gè)病毒庫里的所有病毒都被某款安全軟件的病毒庫所收錄，也可能恰好有那么幾個(gè)病毒還暫時(shí)沒被某些安全軟件的病毒庫所收錄。那么沒有掃描檢測(cè)出這幾個(gè)病毒的安全軟件是否就不好呢？

病毒庫掃描做為最有效地安全軟件評(píng)測(cè)方法，卻存在這種無可避免的“偶然性”因素，也就決定了病毒庫掃描不能作為評(píng)測(cè)最重要參考依據(jù)，有些環(huán)境下，病毒庫掃描甚至僅僅可以作為參考數(shù)據(jù)。

其實(shí)對(duì)于安全軟件，特別是企業(yè)級(jí)安全軟件來說，主要進(jìn)行的還是黑盒測(cè)試，也就是：性能測(cè)試、功能測(cè)試、安全性測(cè)試。只有在特殊需求情況下才進(jìn)行白盒測(cè)試，檢測(cè)其代碼是否存在瑕疵、缺陷。

對(duì)企業(yè)級(jí)安全產(chǎn)品進(jìn)行評(píng)測(cè)，首先要設(shè)置虛擬環(huán)境，在這個(gè)虛擬環(huán)境里主要體現(xiàn)的是用戶操作習(xí)慣，也就是體現(xiàn)用戶平常都是怎樣使用電腦，使用電腦都進(jìn)行哪些操作。因?yàn)榘惭b在用戶(客戶端)的安全軟件是為了保護(hù)用戶正常使用計(jì)算機(jī)，而不是讓其變成專用殺毒機(jī)。所以，在這種真實(shí)模擬用戶使用情況環(huán)境中的測(cè)試才最為有效。

然后仔細(xì)閱讀研究安全軟件白皮書，針對(duì)其所提供功能進(jìn)行相關(guān)測(cè)試。比如Symantec Endpoint Protection Small Business Edition的主要功能包含：反病毒/反間諜軟件、桌面防火墻、入侵防護(hù)、一般攻擊程式攔截。而Symantec Endpoint Protection除上述四項(xiàng)功能外還多出了：設(shè)備和應(yīng)用控制、Antivirus for Linux這兩項(xiàng)。那也就意味著需要對(duì)前者進(jìn)行四項(xiàng)功能測(cè)試，對(duì)后者進(jìn)行六項(xiàng)功能測(cè)試。

在進(jìn)行單項(xiàng)測(cè)試過程中，比如掃描惡意軟件。如果有10個(gè)惡意軟件樣本，那首先需要測(cè)試是否能掃描到10個(gè)數(shù)量的問題文件，即發(fā)現(xiàn)。然后結(jié)束本次測(cè)試，重新設(shè)置初始干凈系統(tǒng)環(huán)境，再測(cè)試能否探測(cè)并阻止單個(gè)惡意軟件，依次對(duì)10個(gè)不同樣本，進(jìn)行10次初始干凈系統(tǒng)環(huán)境下單一樣本測(cè)試。這樣主要是為了防止連續(xù)測(cè)試過程中，不同惡意軟件的交叉破壞影響到安全軟件的實(shí)際測(cè)試數(shù)據(jù)。

在測(cè)試的過程中，需要時(shí)刻注意測(cè)試過程中，測(cè)試環(huán)境所發(fā)生的變化，是否影響到用戶的正常使用。如果影響了用戶的正常使用，那么哪怕測(cè)試通過，也是一次失敗測(cè)試。也就是說，哪怕安全軟件成功阻止了一次安全威脅，但也同時(shí)使得用戶無法正常工作，那么安全軟件在這個(gè)測(cè)試中也沒有起到其應(yīng)有作用——在不影響用戶的情況下，清除安全威脅。

直接使用病毒庫由于具有“偶然性”因素，那么通過分析各類安全威脅，使用特殊軟件模擬安全威脅感染途徑、感染方法、造成的破壞，然后用此模擬安全威脅對(duì)安全軟件進(jìn)行測(cè)試，也是一個(gè)不錯(cuò)的方法。John Harrison先生還就此在交流會(huì)現(xiàn)場(chǎng)進(jìn)行了演示，可惜當(dāng)時(shí)受環(huán)境所限，筆者無法將此精彩部分錄制為視頻與各位網(wǎng)友共享。

當(dāng)然極限環(huán)境下的安全軟件性能測(cè)試，安全軟件自身的安全性——即安全軟件自身是否安全——測(cè)試也是十分重要的測(cè)試項(xiàng)目。

如何能對(duì)企業(yè)級(jí)安全軟件進(jìn)行最為有效的評(píng)測(cè)，目前還沒有一個(gè)統(tǒng)一標(biāo)準(zhǔn)，甚至有些測(cè)試方法還存有爭議。不過有一點(diǎn)倒是評(píng)測(cè)的共同標(biāo)準(zhǔn)：安全軟件的運(yùn)行是否能夠保障企業(yè)網(wǎng)絡(luò)環(huán)境不受威脅，使得用戶能夠正常工作。

東一句、西一句，說得有些雜亂，不過這些也正是筆者對(duì)此次企業(yè)級(jí)安全軟件評(píng)測(cè)交流會(huì)的一點(diǎn)心得。歡迎各位資深評(píng)測(cè)專家指出文章所述可能存在的技術(shù)問題，并予以討論。

最后感謝組織此次評(píng)測(cè)技術(shù)交流會(huì)的賽門鐵克，以及Robert Pregnell先生與John Harrison先生的精彩講解。也希望能有更多機(jī)會(huì)與更多安全技術(shù)專家就安全技術(shù)問題進(jìn)行深入的交流討論。