【51CTO.COM 獨家翻譯】反病毒軟件問世有些年頭了，幾乎與軟件病毒的歷史一樣久遠(yuǎn)。但由于個人電腦環(huán)境面臨種類日益繁多的威脅，企業(yè)級反病毒軟件市場出現(xiàn)了兩大潮流：

1、不僅限于基于特征的防護。惡意軟件在不斷增加和變化，因而安全廠商不可能單單使用特征來識別和防范一個個威脅。賽門鐵克公司在年初曾宣布，自從它在2007年開始跟蹤惡意代碼威脅以來，總共檢測出了幾乎170萬個威脅，這表明惡意代碼特征猛增了265%。

除了特征外，安全廠商現(xiàn)在還使用另外的技術(shù)，比如應(yīng)用程序控制（又叫白名單）和主機入侵防護系統(tǒng)（HIPS，又叫啟發(fā)法）；前一種技術(shù)只允許授權(quán)代碼可以運行，后一種技術(shù)可監(jiān)控代碼的行為。要是行為偏離"正常"，HIPS就認(rèn)為代碼是可疑或惡意的，因而阻止代碼運行。HIPS可以采用執(zhí)行前模式、運行時模式，或同時采用兩種模式。

2、功能增強了。許多企業(yè)級反病毒軟件廠商增強了獨立工具的功能，使其成為不但能防范惡意軟件，還能防范黑客和數(shù)據(jù)丟失的套件。

企業(yè)戰(zhàn)略集團（ESG）的分析師John Oltsik說："總的潮流是，端點處的安全軟件變得更龐大、功能更全面。"他表示，具體來講，反病毒、反間諜軟件和防火墻軟件正在與端點安全操作、數(shù)據(jù)丟失預(yù)防和全盤加密融合起來。弗雷斯特研究公司的分析師Natalie Lambert補充說，廠商通常提供的另一項功能是網(wǎng)絡(luò)訪問控制。她表示，這些工具可以根據(jù)客戶端符合安全政策的情況，控制其對網(wǎng)絡(luò)的訪問。

在一些情況下，廠商們還在把安全產(chǎn)品與操作功能融合起來，比如補丁及配置管理、端點配置和備份等功能。Oltsik說："大型廠商會單單銷售安全產(chǎn)品，但它們在說服客戶，應(yīng)作為一個整體來管理安全產(chǎn)品。"他表示，這個理念會漸漸得到接受。他說："眼下，安全產(chǎn)品和技術(shù)比IT部門所處的階段要領(lǐng)先兩年。"

下面是比較和使用企業(yè)級反病毒軟件時應(yīng)考慮的幾個要點。

企業(yè)級反病毒軟件的須知事項

要考慮套件的優(yōu)勢。據(jù)Lambert聲稱，反病毒軟件的主要差異在于廠商們捆綁到客戶端安全套件當(dāng)中的功能。由于用戶面臨各種各樣的挑戰(zhàn)：惡意代碼、數(shù)據(jù)丟失以及連接到企業(yè)網(wǎng)絡(luò)的不安全機器，他們越來越希望一下子克服這些挑戰(zhàn)，而不是借助多個單點產(chǎn)品。Lambert說："機器上多安裝一個產(chǎn)品，其運行速度會變得更慢，增加需要管理的另一個控制臺，還增加了許可證和需要購買的其他東西。既然能從一家廠商地方買到功能更多、價格又比較便宜的產(chǎn)品，為什么要三番五次地活受罪？"

一家大型包裝食品制造商的信息安全主管認(rèn)同這個說法。他表示，正因為趨勢科技公司增添了安全功能和特性，比如客戶端防火墻管理和間諜軟件清除功能，所以他公司才得以減少需要管理的安全產(chǎn)品的數(shù)量。他部門以前有五六個控制臺來管理安全產(chǎn)品，現(xiàn)在減少到了兩個。

明尼阿波利斯市市場營銷公司CMS Direct的高級網(wǎng)絡(luò)工程師Michael Bell很看重下面這一點：安全廠商Sophos將許多安全層集成到一個軟件包中；實際上，他盼望Sophos能集成客戶端防火墻，目前這種防火墻作為一個獨立模塊來提供。

不要接受差勁性能。眾所周知，反病毒軟件要消耗大量資源，不過如今一些廠商在性能方面很重視。據(jù)Bell聲稱，比如說，Sophos就使用檢索等技術(shù)，減少資源密集型掃描的次數(shù)。

能源企業(yè)NuStar Energy的基礎(chǔ)設(shè)施系統(tǒng)經(jīng)理Robert Amos使用微軟Forefront后，也發(fā)現(xiàn)性能較以前的系統(tǒng)有了改進(jìn)。他表示，他用過的許多企業(yè)級反病毒產(chǎn)品存在嚴(yán)重的性能問題，但Forefront每六小時執(zhí)行一次掃描；Amos說，該產(chǎn)品在運行時，自己并非總是注意到它。

要調(diào)查白名單功能。白名單或應(yīng)用程序控制是一種新興功能；Lambert表示，這項功能比HIPS更勝一籌，因為除了監(jiān)測活動外，它還能阻止惡意軟件在系統(tǒng)上運行。借助白名單功能，管理員就可以為其環(huán)境制作一份授權(quán)應(yīng)用程序的名單，不允許未經(jīng)授權(quán)的軟件運行。

Oltsik表示，白名單存在的問題是，在Web 2.0環(huán)境下，人們經(jīng)常下載新軟件，無論是為了用于辦公還是個人使用。白名單在固定的職能部門（如訂單錄入部門或呼叫中心）也許很好用，但如果你的人員經(jīng)常與外部的合作伙伴或者進(jìn)行市場調(diào)研的營銷人員聯(lián)系，"你會沒完沒了地接到試圖下載但下載不了的人打來的電話，"他說。"問題在于，你在實際執(zhí)行時想要多嚴(yán)格。"

要研究其他新興的客戶端安全工具。據(jù)Lambert聲稱，除了白名單外，另外還有四種新興工具可用于端點防護，因為它們能消除更復(fù)雜的威脅。這些工具包括：設(shè)備控制，讓管理員可以針對可接受的設(shè)備制定政策，規(guī)定個人電腦可以訪問或不可以訪問哪些設(shè)備；全盤加密，機器關(guān)機后可對硬盤進(jìn)行加密；文件加密，當(dāng)用戶把單個文件保存到指定位置時，可以保護文件；以及數(shù)據(jù)泄露防護，可以監(jiān)控和執(zhí)行數(shù)據(jù)使用政策。她表示，購買這些工具的企業(yè)通常不到三成，但安全經(jīng)理們應(yīng)該開始試用一下。

不要對HIPS感到絕望。Lambert表示，雖然HIPS解決方案仍不成熟，誤報率又很高，但仍應(yīng)該將它們與反惡意軟件解決方案結(jié)合起來使用。她認(rèn)為應(yīng)用程序控制技術(shù)最終會取代HIPS，但HIPS在保護機器免受緩沖器溢出之類的問題方面還是會很有用。

Sophos的掃描引擎提供了內(nèi)置的HIPS功能，CMS Direct公司的Bell對此很高興。他使用該功能來阻止用戶下載可能不需要的應(yīng)用程序，比如廣告軟件。他表示，你可以選擇收到警報，然后使用集中式政策管理功能，準(zhǔn)許或阻止使用被標(biāo)記的應(yīng)用程序，而不是說系統(tǒng)不加區(qū)別地自動阻止行為可疑的應(yīng)用程序。

要考慮信譽服務(wù)。為了把其環(huán)境中的其他工具換成趨勢科技提供的功能，那家包裝食品公司在測試這家安全廠商的信譽服務(wù)功能，看看能不能取代目前使用的URL過濾工具。信譽服務(wù)的工作機理是，檢查用戶試圖訪問的每一個網(wǎng)絡(luò)地址；要是發(fā)現(xiàn)該地址在已知惡意網(wǎng)站的名單里面，就阻止訪問。

要重視易用性。誰也沒有多余的資源投入到安全上，因而易用性成了一個重要問題。這意味著廠商們更加關(guān)注儀表板（dashboard）以及更容易的報告、管理和部署等機制。

所用產(chǎn)品的集中管理和一目了然的儀表板給Bell留下了深刻的印象，因為一旦客戶機沒有遵守安全政策，馬上就能看出來。Bell表示，他之所以沒有使用以前那款軟件的儀表板功能，是因為之前的儀表板看不大懂；用戶有時會反映他們已有30天沒有更新了。他說："短短五分鐘內(nèi)，你就能看到每個人都更新好了。"

同樣，那家食品制造商的主管表示，高級的報告模塊簡化了向高級經(jīng)理報告網(wǎng)絡(luò)防護方面的情況。以前要是向上司匯報，需要手動整理多份報告。如今報告機制實現(xiàn)了自動化，報告會發(fā)布到內(nèi)聯(lián)網(wǎng)上。

要考慮多個掃描引擎。沒有哪個掃描引擎是完美無缺的，這就是為什么有些廠商（如微軟和賽門鐵克）在開始使用多個掃描引擎，以便提高成功逮住惡意軟件的概率。伯頓集團的分析師Dan Blum說："不同引擎存在不同盲區(qū)。"

Amos說，有了Forefront的多個掃描引擎，好比選擇兩家公司的不同掃描功能，把兩者裝在一臺機器上。他說："即使一方檢測惡意軟件的能力比另一方稍微遜色，你也得到了雙重保護。"他打算部署四個不同的軟件代理來用于掃描。

要考慮軟件即服務(wù)。正如其他產(chǎn)品領(lǐng)域一樣，許多廠商在把一些反病毒功能作為一項服務(wù)來提供，比如反惡意軟件、信譽服務(wù)、特征更新和報告等功能。這可能更具成本效益；據(jù)Blum聲稱，雖然大企業(yè)可能會將大部分功能留在內(nèi)部，但用戶可以采取一種混合模式：對集中的員工隊伍使用內(nèi)部部署型系統(tǒng)，而對邊遠(yuǎn)辦事處的用戶使用軟件即服務(wù)（SaaS）。

在一些情況下，廠商們在使用軟件和服務(wù)相結(jié)合的混合模式，以提供額外或增強的功能，比如多個掃描引擎或信譽數(shù)據(jù)庫。Blum說："這種方法所提供的安全功能比單單一張光盤豐富多了。"

要有零日攻擊策略。如今的系統(tǒng)存在一大軟肋，那就是防范零日攻擊的本領(lǐng)比較弱。Blum說："當(dāng)?shù)湫偷陌踩浖龅揭环N以前沒見過的新型惡意軟件時，檢測不出的概率相當(dāng)高，高達(dá)50%。"

那家包裝食品公司通過桌面鎖定策略來緩解這個問題。該公司基于這樣的前提：大多數(shù)惡意軟件是通過企圖寫入到注冊、系統(tǒng)文件夾或驅(qū)動盤根目錄來搞破壞的，于是對桌面進(jìn)行了配置，阻止這種行為。

不要忘了惡意軟件清除功能。檢測病毒是一回事，清理病毒造成的危害又是另一回事。Bell當(dāng)初之所以選擇Sophos，一個主要原因就是在使用趨勢科技、邁克菲和賽門鐵克等其他安全系統(tǒng)的幾年間，他總是注意到：Sophos每回?fù)屧谄渌麖S商之前提供清除工具。實際上，他在過去幾年里被一種病毒感染了兩次后（該病毒導(dǎo)致他公司的個人電腦發(fā)送垃圾郵件），使用Sophos的工具徹底清除了該病毒。他說："這種防護效果成了我們公司后來決定改用Sophos的一個重大因素。"他表示，他目前使用的系統(tǒng)卻識別不出這種病毒。

同樣，Amos表示，F(xiàn)orefront的清理和清除功能勝過他以前使用的系統(tǒng)。他說："以前的系統(tǒng)雖然會通知我，但清除不了，因為被感染的是打開的文件或系統(tǒng)文件，而它沒法對這種文件進(jìn)行處理。"這需要桌面安全小組在安全模式下啟動機器，然后在注冊表手動清除相關(guān)條目或刪除文件。他表示，有了Forefront，沒必要干這個活了，為桌面安全小組節(jié)省了人力。

要認(rèn)真考慮成本。由于桌面端安全需求越來越大，用戶在想方設(shè)法降低成本。據(jù)Lambert聲稱，同類中最佳的客戶端安全工具（如反惡意軟件工具）單機版的平均零售價是40美元（全盤加密等其他工具高達(dá)80美元）。

控制成本的一個辦法是用一套系統(tǒng)來保護盡可能多的對象。比如說，那家食品公司減少了需要管理的安全控制臺的數(shù)量，從而降低了總體擁有成本。

Amos使用Forefront后，每年能節(jié)省35000美元的成本，這主要是由于微軟的許可政策發(fā)生了變化。他公司一直使用Forefront來保護SharePoint和Exchange，但是即使他在考慮用于個人電腦環(huán)境的新反病毒軟件時，也沒有考慮到Forefront這款軟件。那主要是因為個人電腦環(huán)境和服務(wù)器環(huán)境通過不同的基礎(chǔ)設(shè)施來加以管理。他之所以找一家新的反病毒軟件廠商，初衷主要是為了降低每臺機器的成本。不過，任何新產(chǎn)品都需要對目前的基礎(chǔ)設(shè)施收集特征、進(jìn)行報告的方式進(jìn)行全盤的重新設(shè)計，主要是由于這家公司的環(huán)境非常分散--公司總部外頭有100個辦事處。

后來Amos在與微軟工作人員聊起來時意外得知：按企業(yè)許可協(xié)議規(guī)定，這家公司可以將Forefront用于其工作站，根本不用另外付費?，F(xiàn)在，Amos使用一款標(biāo)準(zhǔn)化的工具，就能針對所有系統(tǒng)進(jìn)行保護、監(jiān)控和報告。他說："我們?nèi)耸趾苌?，一個人要干幾份活，所以他們對單單一款應(yīng)用軟件越熟悉，就能越有效地利用這個資源。"他表示，F(xiàn)orefront還與活動目錄集成起來，因而很容易將軟件分發(fā)到新機器上。

來源：http://www.csoonline.com/article/499041/how-to-evaluate-compare-and-implement-enterprise-antivirus 

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. Windows系統(tǒng)反病毒安全保護要決的闡述
2. 反病毒技術(shù)在未來的發(fā)展趨勢的詳細(xì)分析
3. 360殺毒通過國際測評機構(gòu)AV-Comparatives反病毒測試
4. 金山“開源”：源碼可公開下載 全民反病毒時代到來