說起安全軟件評測和認(rèn)證，大家想必都不陌生， VB100、AV-TEST、AV-C、西海岸實驗室都是大家耳熟能詳?shù)拿?，?jīng)常見諸于媒體。嚴(yán)格的評測是對安全軟件的監(jiān)督和認(rèn)可，而能獲得認(rèn)證的產(chǎn)品無一例外將其作為莫大的榮譽。然而當(dāng)這些評測機構(gòu)開始與中國特色結(jié)合，有時就會產(chǎn)生一些具有中國味道的結(jié)果。

筆者閑來無事，研究了一下目前常常被安全軟件廠商拿來作為背書的幾家國際評測機構(gòu)，以幫助大家更好地認(rèn)識一下這些安全軟件評測和認(rèn)證那些事。

專事認(rèn)證的西海岸和VB100

兩家來自英國的老牌安全軟件認(rèn)證機構(gòu)西海岸和VB100歷史悠久，為安全軟件提供認(rèn)證服務(wù)，如果安全軟件達到其評測相關(guān)的標(biāo)準(zhǔn)，就發(fā)給通過證書。

有“安全領(lǐng)域的奧林匹克”之稱的VB100，至今已有20年的歷史，是在英國著名的反病毒測試機構(gòu)Virus Bulletin建立的測試認(rèn)證標(biāo)準(zhǔn)下進行的，以世界性組織Wild List病毒資料庫作為病毒來源，對世界各國防病毒軟件進行測試后，診斷率100%、誤診率0%時賦予的獎項，是全球性反病毒產(chǎn)品的權(quán)威認(rèn)證。

VB100是老資格的認(rèn)證機構(gòu)，嚴(yán)謹(jǐn)客觀，能力達不到就無法通過。VB100認(rèn)證主要以安全軟件的病毒檢出率、掃描速度以及誤報率作為標(biāo)準(zhǔn)，而參加評測的軟件診斷率100%、誤診率0%時賦予的獎項，只有通過和失敗兩個結(jié)果。而且VB100秉承造福大眾的宗旨，根據(jù)安全軟件企業(yè)的總體收入規(guī)模來確定收費標(biāo)準(zhǔn)，基本在1~2萬美元之間；對于VB100的評測結(jié)果和收費方式，安全軟件廠商也能接受并且認(rèn)同。

WestCoastLabs(西海岸實驗室)位于英國，其從1996年推出Checkmark認(rèn)證方案，測試各類信息安全產(chǎn)品與國際統(tǒng)一認(rèn)可的最基本標(biāo)準(zhǔn)及規(guī)范的符合性表現(xiàn)。Checkmark一級認(rèn)證（Level1）是“Anti-Virus Desktop”（查毒能力認(rèn)證）；Checkmark二級認(rèn)證（Level2）就是 “Anti-Virus Disinfection”（殺毒能力認(rèn)證）；Checkmark木馬認(rèn)證（Trojan）就是“Anti-Trojan”（反木馬能力認(rèn)證）。這3項認(rèn)證都是Checkmark最基礎(chǔ)的認(rèn)證，只有獲得“Anti-Malware“（反惡意程序認(rèn)證）的殺毒軟件才能稱為全能殺毒軟件，才算是獲得了英國西海岸實驗室最高級別認(rèn)證。

西海岸實驗室的通過難度并不高，但也有著自身的特色，例如針對不同地域、不同產(chǎn)品功能組織針對性的測試，因此也吸引了眾多殺毒廠商的關(guān)注。但近幾年業(yè)界有個共識，西海岸有點“高收費，高通過”，收費是每款PC產(chǎn)品每年7萬美元左右，而且基本收費就可以過。

認(rèn)證+成績排名的AV-TEST和AV-C

AV-TEST和AV-C，這兩家機構(gòu)都在2004年左右推出安全軟件評測。與西海岸和VB100相比，這兩家機構(gòu)不僅公布是否通過，還會公布每一家參加評測的安全軟件的成績，從更詳細(xì)的角度對安全軟件的功能進行評定。這兩家機構(gòu)非常嚴(yán)謹(jǐn)和客觀，全球安全軟件廠商對其結(jié)果一致認(rèn)同，在安全領(lǐng)域也樹立了權(quán)威。

AV-TEST總部位于德國，是國際公認(rèn)的權(quán)威反病毒評測機構(gòu)之一，一直以海量病毒庫檢測、獨立客觀的檢測過程和嚴(yán)格的標(biāo)準(zhǔn)著稱，至今已有近20年的歷史。

AV-C，全稱AV-Comparatives，總部位于奧地利，是全球范圍內(nèi)具有極高知名度和公信力的專業(yè)殺毒評測，準(zhǔn)入門檻較高。

AV-TEST的評測項目包括“防護、性能和易用性”三大項目，每項目滿分6分，總分高于12可獲得認(rèn)證。從各項的得分中還可以對相應(yīng)的功能模塊有更多的了解，讓有不同需求的用戶可以各取所需。

AV-C的測試項則更看重安全軟件的“內(nèi)功”：包括動態(tài)保護測試、性能測試、手動掃描測試等，通過模擬真實用戶環(huán)境，檢測安全軟件對病毒木馬的查殺能力、對系統(tǒng)運行性能的影響以及誤報率等情況。

通過以上介紹我們也基本看出，為何在安全圈，尤其是主流的安全軟件廠商都對AV-C、AV-TEST和VB100大加推崇，而越來越忽視西海岸的評測結(jié)果。不過西海岸在中國卻運行的風(fēng)聲水起，曝光率絲毫不亞于另外三家。

具有中國味道的西海岸賽可達實驗室

西海岸在2010底和2011初進入中國，很快發(fā)現(xiàn)了它的模式在中國很受歡迎：高收費，無門檻，基本可以收費定制，從而為安全軟件廠商做評測背書。比如任何一家安全廠商只要推出一款安全軟件，就可以通過高額收費出具一份通過的定制報告，作為該安全軟件的資歷證明。

讓時間回到2011年，西海岸派出了一位中國人作為駐中國代表，將中國生意做的風(fēng)生水起，據(jù)說一款PC端的安全軟件的認(rèn)證費用在7萬美元左右，一款手機端的軟件收費在3.5萬左右。以百度為例，按照基本報價，PC端的殺毒產(chǎn)品有北京（雪狼引擎）和深圳（卡巴引擎）需要各交7萬美元、手機端3.5萬美元，加起來就要17.5萬美元，國內(nèi)廠商還有騰訊、360、金山、阿里等多家廠商，每家廠商都有PC和手機端多款產(chǎn)品，西海岸在中國的營收算起來相當(dāng)不錯。

而到了2013年，西海岸的中國代表干脆成立了一個叫賽可達的機構(gòu)，該機構(gòu)號稱西海岸的中國實驗室，將生意模式修正的更加具有中國特色，可以討價還價，更加可以定制評測結(jié)果，比如一家新進入安全領(lǐng)域的企業(yè)，新推出了一款殺毒產(chǎn)品，只要掏大價錢，就可以給出一個中文第一的評測結(jié)果。

隨著時間的推移，賽可達的生意越發(fā)紅火，名聲越來越響，評測范圍也進一步擴展到了瀏覽器、網(wǎng)站安全、防火墻等產(chǎn)品。在賽可達2015年的評測標(biāo)準(zhǔn)中，甚至涉足了APT領(lǐng)域。哪個領(lǐng)域掏錢就可以評測哪個領(lǐng)域，哪個企業(yè)肯掏錢就可以定制一份西海岸賽可達的評測結(jié)果，但這份評測結(jié)果的公信力到底值幾何，就是見仁見智的事了。

再來看看賽可達的“實力”，公司只有5~6位兼職的技術(shù)實習(xí)，這些兼職實習(xí)生就是所謂的評測人員。從人員構(gòu)成看這個機構(gòu)基本就是一個商務(wù)或者生意機構(gòu)，真實的評測能力根本無法保證。不要說VB100和兩個AV，要知道一個像個人電腦或者ZOL這樣的媒體評測實驗室動輒也會有近10人的專業(yè)評測人員。在專業(yè)力量和可信度上，賽可達的表現(xiàn)很難服眾。

再來看看賽可達的評測體系，它的樣本收集全部讓廠商自己提供，用廠商自己的樣本評測廠商的產(chǎn)品，這不僅僅是開卷考試，而是讓學(xué)生出考題。至于樣本分析，看看賽可達的人員構(gòu)成，基本就可以了解他們的分析能力究竟有幾分功力了。

最后再講一個小故事：據(jù)某企業(yè)的內(nèi)部人士透露，他們委托賽可達的一份評測，由于賽可達沒有能力評測，評測是由這個企業(yè)的技術(shù)人員自己完成評測和報告，然后由賽可達發(fā)布。學(xué)生先出題、再考試、最后自己打分，再公布于眾，賽可達評測的活也太好干了點。

地道中國“制造”的PCSL

相比以上四大家評測機構(gòu)，中國的PCSL名氣要小很多，但也經(jīng)常被安全軟件廠商用來做公關(guān)宣傳。

以下是百科里對PCSL的介紹：PCSL是國內(nèi)一家專業(yè)從事計算機反病毒軟硬件測試的獨立第三方咨詢機構(gòu)，在中國地區(qū)具有較強的地區(qū)代表性。其測試咨詢服務(wù)得到全球各大主流安全軟硬件廠商的認(rèn)可與信賴。

從介紹看，PCSL毫不掩飾自己的中國地區(qū)代表性，這是一個地地道道的“中國制造”的評測機構(gòu)，所以中國特色比賽可達還要鮮明。

PCSL于2008年3月成立于北京。2011年6月搬至浙江省嘉興市，PCSL品牌正式轉(zhuǎn)由嘉興市辰翔信息科技有限公司持有并成為該公司主要IT產(chǎn)品測試咨詢品牌之一。

PCSL目前只有五六個員工，全部是本土招聘，基乎沒有權(quán)威安全企業(yè)背景。與AV-C和AV-TEST定期發(fā)布測評報告不同，PCSL基本沒有固定時間發(fā)布報告，而且報告內(nèi)容沒有統(tǒng)一標(biāo)準(zhǔn)，也算是企業(yè)給錢就出報告的這種?？偠灾?，PCSL的測評權(quán)威性比較低，業(yè)內(nèi)越來越不認(rèn)可，可謂是安軟策評機構(gòu)里的鄉(xiāng)鎮(zhèn)企業(yè)。

在百科中引用了公司創(chuàng)始人吳江的話：大多數(shù)軟件測試更確切地說是一種調(diào)試，側(cè)重于軟件的穩(wěn)定性、內(nèi)容開發(fā)等，而我們的軟件測試更傾向于對軟件的評估。我們從用戶角度出發(fā)，告訴軟件開發(fā)商，他們的軟件給消費者帶來哪些方面的不便。

顯然PCSL并非一個專業(yè)的評測機構(gòu)，更像是一些媒體實驗室一樣，區(qū)別于傳統(tǒng)軟件“找漏洞式”測試，采用“體驗式”測試方式。

PCSL會收費接受一些企業(yè)的定制評測報告，根據(jù)收費高低，安裝企業(yè)的要求，定制出一些滿足公關(guān)需求的報告，一些安全廠商經(jīng)常會拿著PCSL的報告來標(biāo)榜自己的專業(yè)性，這樣很危險，畢竟PCSL能力不是專業(yè)，用它的報告做自己專業(yè)能力的宣傳，一定會被打臉。