标签： 无标签

9款信息安全软件横向评测

    以前，当人们谈论病毒的时候，或许很多人会认为那是计算机高手 炫耀自己技术的一种手段。但是今天，当现实生活逐步网络化之后，病毒终于在这个虚拟的现实社会中找到了一个大显身手的机会，银行账号、虚拟财产、 电子邮箱、QQ账号……，杀毒软件对病毒的围追堵截始终挡不住病毒对人们信息和财产安全的威胁，大量能带来真金白银的账号开始被网络上的黑手疯狂盗取。那么，那些可恶的计算机病毒是如何潜入到系统中的呢？其实病毒是无孔不入的，有时我们甚至根本想象不到， 当浏览一个冠冕堂皇的网页，当欣赏一张赏心悦目的图片，甚至仅仅只是收阅了一封邮件，系统都有中毒的可能。也就是说，只要系统和外界有数据交换， 甚至仅仅只是接入网络，病毒就有可能 悄悄潜入我们的系统。
    面对无孔不入的恶意攻击，面对越来越严峻的安全形势，选择什么杀毒软件？ 如何才能有效地化解来自方方面面的安全 威胁？下面，CHIP将对来自国内外的9款安全套装产品进行一次全面的评测，帮助我们认识当前病毒和反病毒技术的发展动向，有针对性地选择信息安全产品。
信息安全产品性能测试
用户体验至上
    实际上在没有病毒或木马攻击的时候，信息安全产品最大的作用就是防护 和监控，由于网络环境千变万化，所以信息安全产品的监控能力好坏并无法准确的评估，但是信息安全产品的性能及运行速度则直接影响用户感受，所以在 CHIP的测试中，信息安全产品占用系统资源的多少一直是重点测试的项目。
开关一瞬见实力：开关机速度测试
    为了精确计算杀毒软件对操作系统启 动速度的影响，必须排除计算机硬件启动 所用的时间，系统启动后还应当区分系统 桌面出现的时间和所有服务加载完毕的时 间。考虑到实际应用情况，CHIP使用所有 服务加载完毕的时间作为测试依据。为了使测试数据尽可能准确，CHIP选用微软的 Windows XP启动优化工具BootVis测试系统启 动时间，该软件记录的系统启动时间可以精确到千分之一秒，其记录的启动时间是在硬件启动完成之后到所有系统服务加载 完毕的时间，因此完全可以排除硬件启动 速度对测试的影响，并且与用户的真实使 用环境完全相同。为了进一步避免误差， CHIP分别测试了纯净系统和安装参测软件 后的启动时间，每次测试进行三次，并以 平均值作为最后的结果。关机速度测试主 要测试参测软件对关机速度的影响，CHIP使用秒表记录从按下关机按钮到系统完全关闭的时间。
    在开机测试方面，9款产品的成绩并 没有太大的差距，主要分为30秒区间和40秒区间两个梯队，这与未安装信息安全产品的28秒的成绩差距不大，这也说明目前 主流的信息安全产品并不会过分影响开机 的速度。而关机速度方面则形成了性格鲜 明的两个梯队，NIS、ESET、卡巴斯基、瑞星、BitDefender等的关机时间都在10秒上下，而其余4款产品 则都在20~30秒的区间范围内， 相信这样特色鲜明的结果是与产品的设计和底层技术分不开的。不过如果用户不是苛求关机时间这项指标的话，9款产品的成绩都在可接受范围内。
常态表现：资源占用、扫描、拷贝速度测试
    静置状态资源占用方面，每款参测软件都是在系统完全启动并静置3分钟后再开始测试。在内存占用方面，在信息安全产品运行的情况下，系统整体的内存占用基本上都维持在200MB作用，只有趋势表现略差超过了300MB。
    所谓无负载状态简单地说就是只让系统运行扫描测试而不从事其他活动。首先进行海量扫描测试，包括无毒状态和带毒状态下的扫描速度和系统资源占用。然后将测试数据包在不同磁盘分区之间拷贝，测试系统资源占用情况以及拷贝所需的时间，每次拷贝前都对两个分区进行碎片整理以减小误差。在无毒/有毒的病毒扫描 方面，ESS和金山毒霸的性能较为突出，扫描4GB的样本 包均在1分钟完成，这也意味着用户在使用这两款产品进行日常扫描时效率会更高。 而另外一个比较突出的是 BitDefender，该款产品的无毒和有毒数据包扫描时间竟然均超过了5分钟，而且完全没有采用文件指纹技术，使用这款产品进行日常文件扫描无疑比较痛苦。另外，由于 卡巴斯基和江民这两款参测 软件具备“文件指纹”技术（特别是卡巴斯基的表现更 为明显），因此在多次扫描相同数据时，速度会明显增快，资源占用率也会明显降 低，所以如果是长期使用这类产品的用户，性能表现上也会不错（测试表格中性能成绩为3次的平均值）。
    在文件拷贝测试项目中，瑞星和ESS的表现比较突出，其平均拷贝时间均维持在200多秒，而其他信息安全产品也一般维持在300秒左右。在该项目测试中， BitDefender又一次表现出了极大的“耐心”，无毒和有毒 拷贝的时间均超过了500秒， 这个速度已经明显会让用户 感到缓慢。另外，McAfee的 表现也不算出色，两项拷贝 也均达到了400秒左右。
    所谓负载状态就是指杀毒软件运行时系统前台有其他活动（比如用户正在进行 的办公操作），CHIP编写了一个前台操作脚本，该脚本可以模拟一个用户日常办公 的情况，在系统负载不同的情况下，脚本的执行时间也会发生改变。因此，负载状 态与用户的实际应用环境比较接近。测试内容包括负载状态下海量扫描（包括无毒 状态和带毒状态）时的系统资源占用和扫描速度，以及参测软件在负载状态下否会 自动降低系统资源占用，以保证用户前台操作的流畅。 CHIP建议大家在查看这方面 的测试数据时，在关注资源占用的同时，应该更多地关注前台脚本执行时间和后台 扫描时间。当后台运行病毒扫描时，脚本完成执行的时间就会延长，而时间越长则说明杀毒软件对用户前台的干扰越大。而后台扫描时间则真实地再现了用户在进行 正常操作时，在后台扫描相同数据包时那款信息安全产品速度更快。在相同的测试 平台上，不安装杀毒软件时该脚本的执行时间是1分25秒。在这一项目测试中，在 其他方面表现一般的McAfee成绩最好，这也说明了McAfee更 加“识趣”，它知道在用户 进行工作时更好地降低系统 资源占用，瑞星、ESS和卡巴 斯基与McAfee差距不明显，它们基本处于同一水平。
反病毒能力测试
查病毒不再是全部！
    对于信息安全产品来说，反病毒能力当然是其最为重要的功能点，但是在大家阅读下面的内容时，CHIP 反而要提醒大家一定不要过 分看重反病毒部分的测试结 果。因为我们互联网的安全形势正在改变，依靠传统的病毒特征代码技术进行病毒、木马的识别和防御已经不足以保证我们的安全了。 现在网络上木马的针对性和 实效性极强，小范围的发作很可能让信息安全厂商无法快速捕获到这些恶意威胁并制作出相对的特征代码；而木马又往往在1~2周内攻击 任务完成之后迅速在互联网上消失，取而代之的则会是具备新特征的木马。这些新趋势使传统的病毒特征代码查杀技术越来越没有用武之地。因此，大家在考量信息安全产品的综合反病毒能力时，不仅要参考CHIP本环节所进行的病毒特征代码扫描结果，还要综合信息安全产品所包含的新的安全防范技 术，只有这些新技术才是保我们未来安全的生力军。
    为了尽可能模拟普通用户的应用环境（绝大部分用户在使用杀毒软件时都不会调整安全防护级别），我们没有改变它们的默认扫描模式，毕竟将软件调整到最 符合用户使用的状态也体现了厂家的实力。在具体测试中，CHIP将从流行病毒查杀、 加壳病毒查杀、多次嵌套压缩病毒查杀等几大方面考察参测软件的反病毒能力，并将反病毒软件设置为直接删除含毒文件，以得到杀毒软件对病毒的准确识别率。
    在CHIP的本次测试中，木马千变万化所导致的特征代码多样化的问题已经开始出现，在这个项目的测试中已经没有任何一款信息安全产品可以查找并清除病毒特 征代码包中的所有病毒，相信这一问题在木马作者纷纷针对信息安全产品进行免杀测试的情况下会变得更加严重。总体来说，卡巴斯基凭借其出色设计架构和病毒库收集能力，又一次在反病毒项目测试中胜出。而ESS和速度缓慢的BitDefender在测试中也有比较不错的表现，其他厂商的的成绩则较为接近，这也从一个侧面说明了 BitDefender牺牲部分性能以提高病毒和木马识别率的工作还是比较有效果的。在查 杀加壳和压缩包病毒方面，测试结果与去年相比区别不大，基本上每款软件都可以 良好地查杀加壳或压缩包中的病毒样本。另外与去年相同，所有的杀毒软件都无法 查杀加密压缩包中的文件，相信所有信息安全厂商都采用如此一致的设置是与保护 用户隐私分不开的。
防火墙测试
要安全，更要易用！
    今年的防火墙项目测试除了传统的性能测试和内外双向防火墙防范能力测试外，还特别增加了智能过滤测试项目。因为CHIP认为，计算机对于普通用户来说相对比较复杂，而各种信息安全名词和术语对于普通用户来说更无疑是天书。所以仅仅可以探测和拦截网络中的可疑数据信息还是不够的，信息安全产品应该在这个环节充当裁决者而不是传话人的角色，它应当为用户尽可能地判别程序的善恶，而不是让用户在晦涩的提示对话框前左右为难。
营造快速通道：防火墙性能测试
    防火墙性能方面，首先是Web页面打开时间测试，虽然这个打开时间会对用户的使用体验造成较为明显的影响，但是CHIP并不建议大家过分看重这个测试结 果，因为为了测试出不同软件的区别， 我们使用了较为极端的例子，测试用的网页的大小已经超过了13MB，这在目前的互联网环境下是比较少见的，所以在这种极端环境下测试出的1-2秒的误差在真实使用条件下并不会如此明显。另外，更为重要的是目前主流反病毒软件都针对网页安全增加了大量检测技术，因此势必要影响到网页打开速度，出于 安全考虑，CHIP推荐大家要结合软件对浏览器的防护的功能进行综合考量。
    在HTTP下载性能测试项目中，除了卡巴斯基，其他几款软件的成绩都比较接近，而在其他项目中表现不错的卡巴斯基的下载时间竟然高达200多秒，这个成绩是平均成绩的一倍，实在令我们感到意外。FTP的上传和下载成绩则比较接近，这也说明杀毒软件对于常规的FTP上传或下载的影响并不大，而这里的数据差异主要来自杀毒软件对于系统 基本资源占用的影响。
可靠的门卫：防火墙防范能力测试
    防范能力测试方面，远程扫描的测试结果显示，国外的几款信息安全产品比较出色，诺顿NIS、卡巴斯基、ESS 和趋势都有较好的表现，特别是卡巴斯基，在我们使用测试工具进行远程扫描时，它不仅可以实现有效过滤，还会弹出提示告知用户当前正有人进行扫描， 相信对于专业用户来说这样的提示还是比较有价值的。而在外向连接测试方面，善于防范的McAfee表现最为优秀，当我们打开存放测试软件的文件夹时，McAfee会自动扫描文件夹中的文件，并马上将所有的测试工具均识别为威胁并直接删除。BitDefender、趋势在这个测试项目中也有不错的表现，也可以直接检测并删除掉我们的测试工具。
智能管家：智能过滤测试
    在智能过滤的项目测试中，采用SONAR技术的诺顿NIS表现很突出，我们测试的15款常用软件不但可以自动放行，而且在使用过程中，几乎所有的正常程序访问网络的行为都会被诺顿NIS自动识别并放行，这种设计确实可以大 大减少杀毒软件对用户的干扰。此外在这个测试项目上，卡巴斯基、ESS和趋 势等国外厂商的产品也有非常优秀的表现。而江民和BitDefender的表现则令人失望，几乎所有程序访问网络的行为都需要用户手动进行判断。


产品功能分析
着眼防御新功能
    该项测试主要考察参测软件的病毒扫描、实时监控、 主动防御等的关键功 能，每一个功能模块又细分为若干个独立测试项目。
    9款参测软件在主流 功能上的差距并不十分明显，虽然不论是软件的扫描功能、实时监控，还是主动防御和防火墙，在某些细节功能上它们的表现还是会有所差 距，但事实上，由于功能实现的手段并不相同，它们在功能上的差异并不会直 接影响到最终的防御效果。因此，对于这些测试内容，我们应该更多地关注它们在性能方面的表现。
    事实上，这些软件在功能上的差异主要体现在其创新的防御手段。本次参测的9款软件在功能上都有明显的创新， 比如瑞星的主动防御以及基于主动防御的账号保险柜、金山的互联网可信认证、江民的电脑 保护系统、卡巴斯基全面的启发式分析技术、诺顿NIS先进的主动式行为检测技术以及功能更加强大和可靠的身份安全、趋势科技的亿级盾、McAfee先进的 SiteAdvisor网页分析和SystemGuard主动防 御技术、BitDefender非常人性化的游戏模式、ESS高效的ThreatSense单引擎技术等等，虽然安全威胁无处不在，但是这些 新技术的应用，真正让我们体会到了触手可及的信息安全。
    当然，我们也不可否认某些软件在功能上的明显欠缺，比如江民、 ESS和金山毒霸没有提供家长控制功能，除了瑞星、江民和McAfee之外的 其他软件都没有提供硬盘数据备份功能，不过并不是所有用户都需要类似的扩展功能，实际上CHIP也仅仅把它 们作为附加评判指标。我们需要注意 的是软件的关键功能，比如自我保护，虽然某些软件声称拥有自我保护功能，但事实上其所采取的保护措施相当脆弱，仍然无法有效抵挡病毒的反攻。


    另外一个需要注意的功能是局域网安全的集中管理，对于家庭用户或者小 型办公组织，集中管理势必会大大减少 系统维护的负担，这也是衡量产品功能 和易用性的重要指标之一。诺顿NIS、趋势和McAfee的产品都融入了类似的功能，而且提供家庭套装，用户只需要够 买一套产品就可以在家中所有的计算机中使用，比较划算。
    病毒的种类千变万化，病毒的传播和入侵手段更是复杂多变。以前，人们对病毒的行为根本无法预知，只能被动地截获病毒，通过分析获取其特征码，然后才能实现查杀，这就是所谓的 “病毒特征码检测技术”。特征码检测技术仍然是目前反病毒软件采用的关键 技术，它在对付已知病毒的威胁方面功 不可没。但遗憾的是，特征码检测技术 最大的缺陷是要首先截获病毒，也就是在病毒出现并开始传播甚至造成危害后才开始响应，因此对系统的保护总是滞后于病毒的传播。人们慢慢发现，对已知病毒的围追堵截并不能确保系统的安全，面对呼啸而来的未知病毒，仅有杀毒是不够的。于是，新一代反病毒软件开始从被动杀毒向主动防御转变，这是反病毒软件技术上的一次飞跃，从“亡 羊补牢”到“未雨绸缪”，主动防御很好地弥补了被动杀毒存在的缺陷，可以预先发现并阻止各种恶意行为，不给它们任何发作的机会，因此，即使系统已经入侵了新的未知病毒，主动防御也能够保护系统及信息的安全。
    但是不论是特征码检测技术也好，主动防御技术也好，它们终归还是本地防御技术，也就是说它们都是在病毒进入系统，甚至成功入侵系统之后的防杀措施， 离人们“ 御敌 无形，杀敌千里”的理想还很远。其实，现在人们已经认识到，互联网已经成为病毒传播和攻击的主要手段， 要将病毒御于千里之外，首先要解决 的问题就是如何判断自己访问的网页是否安全，例如网页是否包含恶意代 码，访问该网页是否会对用户造成安 全威胁，甚至可能会造成什么样的安全威胁等等，这些安全问题让普通用户去分析和判断很不现实。于是，基 于网页杀毒甚至基于网页分析与信誉 评价的全新病毒防御模式开始崭露头角。因此，CHIP也建议大家在选择信 息安全产品时除了关注常规的测试项目外，一定不要忽略其新加入的病毒防护技术，这些技术才是未来保证我们安全的重点。




信息安全产品的测试环境：
硬件环境：本次测试采用了目前市面上销售的主流计算机硬件平台。CPU为英特尔酷睿2 E4300、内存：512MB、硬盘：西部数据 WD2500KS、主板：英特尔945G。
软件环境：由于Vista还没有成为市场上的主流，所以为了更加贴近用户的使用情况，本次测试用的操作系统仍旧为Windows XP SP2， 系统安装过后在线更新到最新状 态。在进行测试之前，CHIP首先制作该测试平台系统镜像，然后安装参测软件并重新制作每款软件的系统镜像。为了减小因病毒库升级时间不统一给测试带来误差的可能，在将全部镜像准备好以后，CHIP会在 一小时内分别还原每个镜像并升级参测杀毒软件，并再次制作每款杀毒软件升级后的系统镜像。
网络环境：在进行防火墙性能测试 时，测试平台单独接入一台与Internet并不连 通的交换机，这样可以保证防火墙的正常工 作，并避免外来干扰。该交换机还连接了一 台辅助测试机，在该测试机上安装并配置了 HTTP服务器和FTP文件交换服务器，用于 测试信息安全产品的防火墙性能。另外，外 向攻击测试和端口扫描都由该计算机发起。 当进行由内向外的攻击测试时，测试机将接 入互联网，以使测试工具可以工作正常。

CHIP这样准备测试样本和工具：
测试数据包：在测试之前，CHIP首先准备了一个4GB的测试数据包，用于进行海量无毒扫描测试。而有毒扫描的样本包则是在无毒 样本包的基础上加入了一个600MB的病毒特征码数据包。
性能记录工具：在系统资源占用测试中，CHIP使用Windows “性能计数器”进行测试，具体测试中分别选用了以下两个性能计数 器：①Available B y t e s ： 用于 测试可用物理内存的数量； ②%Processor Time：指处理 器用来执行非闲置线程时间的百分比。所有数据均使用微软默认的样本采样周期，测试结果取三次重复的平均值。
负载状态：为了模拟负载状态下用户的前台操作，CHIP创建了一个 标准的脚本文件，这个脚本在运行后会自动开启一个计时秒表，然后模拟一个完整的办公操作流程。这样就可以保证杀毒软件在进行整个样本包扫描时前台一直有一个相对公平的负载。

CHIP这样准备病毒样本：
    CHIP全球测试中心此次选用的病毒样本为2007年恶意代码流行 样本集，该样本由公安部授权的从事计算机病毒样本库研究和收集的专业信息安全实验室提供。样本数量共1084个，病毒样本分为： Bot、病毒、黑客工具、后门、间谍、木马、蠕虫、Rootkit几个大 类。除了分类扫描之外，CHIP还选取了20个基本病毒样本（这20个 样本基本都可以被目前的主流杀毒软件识别并清除）进行加壳病毒扫 描测试，分别对这20个样本进行aspack、fsg、Nspack3.7、UPX、 WINupack等加壳方式的处理，以测试信息安全产品对加壳病毒的查杀能力。最后，CHIP还选取了5个基本病毒测试样本进行压缩处理，将这5个样本分别处理成ZIP、RAR、TGZ、ACE、ARJ、CAB、 Tar、7Zip、自解压缩包、加密压缩包和嵌套多层压缩包等压缩包形式，以测试信息安全产品对压缩包中病毒的查找和清理能力。

为测防火墙，我们建网站
性能测试：主要测试防火墙对网络 访问速度的影响，包括网页访问速度和 HTTP、FTP下载速度。为了避免外界干扰，我们使用100MB交换机和辅助测试机 搭建了一个小型的网站，运行在这个网站中的网页为图文混排格式。
防范能力测试：我们分别进行了远 程扫描测试和外向连接测试。远程扫描 用来测试防火墙的端口控制能力，在辅 助测试机上使用远程扫描软件——nmap 扫描测试机开放的TCP和UDP端口数量，并尝试获取测试机的操作系统版本。外向连接测试用来测试防火墙对外向连接的防护能力，将测试机连入Internet，分别使用各种外向连接测试软件模拟DLL文件注入、进程注入、程序捆绑等攻击方式，并尝试连接外网，该测试可能会出现3种结果：测试工具穿过防火墙；防火墙弹出提示，如选择允许则可以实现攻击；攻击失败或在发起攻击前直接被杀毒软件识别并清除。
智能过滤：该项测试用来测试防火墙的智能化程度，也就是说对常见应用的智能识别程度，这直接关系到防火墙产品的易用性。CHIP选择目前典型的网络应用，包括QQ、 Windows Live Messenger、 Foxmail、Outlook Express、电驴、FlashFXP、FlashGet、 PPlive、BitComet、IE、Firefox、金山词霸、迅雷、网络传送带和同花顺股票分析共15款常用软件，测试在无人为干预的情况下，防火墙是否可以自动为其建立访问规则，使其可以成功访问网络。








测试结果及分析：信息安全软件
性能表现
    开关机速度、扫描速度和文件拷贝速度是用户最关心的测试项目。9款参测软件的开关机速度差距并不明显，但是在海量文件扫描方面，由于采用的杀毒方式和杀毒引擎不同，扫描速度差异明显。另外需要注意的是，采用文件指纹技术能显著提高扫描效率，特别是卡巴斯基，其初次扫描的时间与第二次、第三次扫描竟然有10倍的差 距，也就是说用户首次扫描之后，以后的扫描速度将大幅提升。
反病毒部分
    CHIP并不建议仅以反病毒能力作为选择安全 产品惟一依据，因为该项测试归根结底 还是基于特征码检测技术，但是事实上，面对目前越来越复杂的安全形式，仅有特征码技术是远远不够的，于是我们看到大量新技术的涌现，主动防御、互联网可信 认证、身份安全、网页信誉等级……它们已经开始突破单纯的特征码检测技术，试 图为用户提供一个全方位的安全防护体系，但是这些技术目前并没有一个业界共同认可的评判标准，因此，CHIP建议大家在选择安全产品时，应该综合进行考虑。
防火墙
    实际测试表明，国外的信息安全产品防火墙部分整体上要优于国内的产品。不过单纯从性能来说，目前主流的信息安全产品都不会对网络访问的性能造成太大的影 响，用户也几乎感觉不到防火墙所带来的任何压力。因此，CHIP建议大家在防火墙的选择上，更多的将重点放在类似诺顿NIS等具备智能判断机制的防火墙上，这类防火墙可以明显降低用户使用上的负担。
技术支持及易用性测试
    CHIP在进行此项测试时，主要考察参测软件的官方技术支持是否全面，包括是否提供常见问题解答，是否提供用户论坛以及是否集成可疑文件提交等服务。最后，CHIP还特别测试了产品的易用性，主要测试了一些典型操作的易用性。总体来说，所有在国内销售的信息安全产品都提供了不错的服务，国外的产品也多在国内建立了病毒 特征代码升级服务器。当然也不排除存在 一些问题，例如瑞星由于国内用户数量众多，我们在晚上进行电话服务咨询测试时竟然要等待十多分钟的时间。

网页监控技术
    实际上，本次参测的9款产品都具备网页实时监控功能，它们都能监控和处理来自网页的威胁。但是为了更深入地防控网页威胁，某些产品又对该功能做了进一步强化，典型的产品包括金山的网页防挂马、江民的网页防木马墙、卡巴斯基 的启发式Web反病毒技术以及诺顿的SONAR主动式行为检测技术。
互联网可信认证
    互联网可信认证以及文件信用监测技术分别是金山和趋势科技采用的技术，其实这两种技术的原理基本类似，简单的说就是不仅要建立病毒的“特征码库”，还同时建立正常程序的“特征码库”，并通过服务器认证的方式，帮助用户在线处理安全威胁。这种黑、白名单式 的防护技术将 有可能有效地减少本地病毒特征代码库的体积，并且提高查杀效率和准确率。
网页信誉评价技术
    该技术要求厂商拥有强劲的互联网搜索引擎，在穷尽互联网已知网页的基础上，不断监控正在出现的网页，对它们进行分析和评价。在本次参测的9款产品中，趋势科技以及McAfee的产品很好地阐释了这一先进的安全理念，趋势科技的“AEGIS亿级盾”和McAfee 的SiteAdvisor真正做到了未雨绸缪，特别是McAfee的SiteAdvisor，不仅会给出网页威胁的等级，而且会详细分析网页中存在的恶意威胁的内容。

系统分类: 工业安全   |   用户分类: 无分类   |   来源: 无分类