IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

体验中小企业防毒利器

2010年06月13日
中国IT运维网/转载

  经常有朋友问,选择什么样的杀毒软件比较好?这些人有的是个人用户,有的是企业网管。这个问题很难回答,一般说来,不同厂商的杀毒软件各有千秋,很难说有哪一种是普遍适用的。
  而且,随着网络环境的日益复杂,对安全的需求早已不再局限于单一的“杀毒”,而是涵盖了杀毒、木马检测、漏洞检测、上网行为分析、病毒爆发防御、防火墙等多个领域。
  可以说,安全这个概念,更多的是一个整体解决方案,而不仅仅是过去的单一软件了。
  然而,要设计一套安全解决方案并不是件容易的事。对普通用户来说,不具备这方面的专业知识;对企业的专业网管来说,又往往受到投资的约束,不得不在成本与回报中间做出妥协。那么,有没有一种既省钱又省心的选择呢?
  安全厂商显然也对这种需求感兴趣。主流厂商例如趋势科技、卡巴斯基、赛门铁克等都推出了各种企业级的安全软件套装,用于满足企业尤其是中小企业的安全需求。笔者曾对其中的几款进行过试用和咨询,总体感觉是无论从技术上还是商务上,厂家都可谓是用心良苦。
  近日从网上下载了趋势科技的中小企业安全软件包6.0版。笔者是趋势科技的老用户,在单机版时代使用的就是PC-Cillin(当然不仅仅使用这一家)。基于对趋势科技一贯的好感,决定在局域网内小规模地试用一下。

试用角度
  试用也有多种方案,笔者的选择是从一个普通企业员工的角度出发,针对员工行为进行试用方案设计。主要包括以下内容:
1.测试U盘防毒能力
  员工内部交流、与客户交流时经常使用U盘拷贝文件——这差不多是最常见的中毒途径了,而U盘染毒并传播的一个主要途径就是Autorun.inf文件。本次测试主要检查是否能自动发现新插入的U盘设备,是否能有效阻止Autorun.inf文件的运行。
2.测试URL过滤能力
  员工在上班时间经常会访问一些与工作无关的网站,例如SNS社区交际网、小说阅读网等,不仅降低了工作效率,还占用了额外带宽,有可能会影响到对网络的正常使用。本文将检查是否能正确屏蔽这些网站。
3.位置切换感知能力
  是否能自动识别电脑所在的网络环境,并针对不同的网络(例如办公室与家庭),自动应用相关的安全策略。
4.对系统性能的影响
  以杀毒软件为代表的安全软件通常会占用大量的系统资源,导致系统整体性能下降。有的用户甚至因此而拒绝安装杀毒软件,让自己处于没有保护的危险环境之中。因此,对CPU和内存的占用情况的测试是必须的。

测试环境
  两台笔记本电脑,一台充当服务器,另一台作为客户端。
  服务器:P4 1.86GHz,2G内存,120GB硬盘
  客户端:P4 2.0GHz,2G内存,40GB硬盘
  网络环境:千兆局域网,中国联通2M ADSL宽带连接到Internet

U盘防毒能力测试
准备工作:
  趋势科技中小企业安全软件包提供了基于Web的管理界面,可以从网络上任意一台客户端机器上进入服务器端的管理控制台,输入管理密码后,登录进入主页面。
  切换到“首选项”→“全局设置”→“网络安全客户端”,选中“禁用USB设备插入时的自动运行功能”。
测试过程:
  1.在未安装任何厂家安全软件的其他PC上,插入U盘,在U盘根目录下创建一个Autorun.inf文件,内容如下:
  [AutoRun]
  Open=c:\windows\system32\cmd.exe
  Icon=test.ico
  2.在客户端机器上插入U盘,系统识别为G盘。
  3.在“我的电脑”中,可以看到U盘所代表的G盘的图标变成了test.ico,但是右键菜单中“自动播放”子菜单不再是默认菜单,cmd.exe也没有被运行(没有出现DOS窗口),说明该功能测试成功。

  点评:防止U盘的Autorun.inf自动运行能有效阻断病毒的传播途径。这虽然是360安全卫士中早已具备的小功能,但许多杀毒软件上都没有提供这个功能。

  需要指出的是,Autorun.inf并不总是病毒,有时也是有用的。趋势科技只是禁用了这个文件的自动运行功能,而没有像个别同类软件那样自动删除它。笔者的观点一向是“最少伤害,最大效果”,能不删的就不要删,因而,笔者比较欣赏趋势科技的处理方式。

URL过滤能力测试
准备工作:
  1.登录趋势科技中小企业安全软件包服务器端的Web管理页面,输入密码,登录进入主页面,切换到“安全设置”→“台式机(缺省)”,单击“配置”按钮。
  2.选择“URL过滤”,选中“启用URL过滤”复选框,将过滤强度设置为“定制”。
  3.接下来选择要阻止的特定页面类别,选中“网络带宽”右边的“工作时间”和“业余时间”,保存配置,如图1所示。


测试过程:
  1.在客户机上打开Internet Explorer,输入某著名的网盘提供商的网址。
  2.趋势科技的网络安全客户端提示URL已经被阻止,如图2所示。

  点评:URL过滤是专门的上网行为管理类产品的主要功能,趋势科技把该功能集成在以杀毒软件为主的企业安全软件包中,还是让人赞赏的。趋势科技提供了7大类84小类的URL过滤规则,基本上能满足用户的需要了。

位置感知能力测试
  许多使用笔记本电脑的员工,经常在办公室和其他场所进行位置切换:在办公室里,可能对网页的访问限制很严,不能看小说,不能进交友社区,不能下载电影;但回家后,或者出差到外地,这些限制其实有些是没必要的。
  在传统的安全软件中,如果在一台机器上限制了不能访问某些URL,除非管理员手工修改规则,否则无论在什么位置都是无法访问的。
而趋势科技的中小企业安全软件包具有自动感知位置的能力,能识别是否位于安全要求高的区域。如果是,则限制,如果不是,则不限制。
准备工作:
  1.登录趋势服务器的Web管理页面,切换到“首选项”→“全局设置”→“网络安全客户端”,选中“启用位置感知”。
  2.设置办公室里使用的公司网络的网关IP地址和MAC地址,并保存,如图3所示。


  3.切换到“安全设置”→“台式机(缺省)”,单击“配置”按钮。
  4.点击“Web信誉”、“在办公室”,选中“启用Web信誉”,安全等级设置为“高”,保存。
  5.点击“Web信誉”、“不在办公室”,取消“启用Web信誉”,保存。
  6.点击“URL过滤”,取消“启用URL过滤”,保存。
测试过程:
  .把客户端连接上公司内部网络,此时本机的IP地址是192.168.1.104,网关地址是192.168.1.1。
  2.访问某著名网盘站点,趋势科技客户端提示,网页上有未经授权的URL(该提示由“Web信誉”功能提供),如图4所示。

  3.断开客户端与公司网络的连接,单独PPPoE拔号连接入Internet,IP地址是221.218.12.184,网关地址是221.218.12.1。
  4.再次访问第2步中的网盘站点,访问成功,说明位置感知和切换已经生效。

  点评:这个功能笔者实在是太喜欢了,相信您也会喜欢的。另外请注意,软件包是根据IP地址和MAC的组合来自动感知位置的,在设置时请不要省略MAC地址,否则容易有误会。例如:假如公司的网关和家里的网关的IP地址都是192.168.1.1,如果不设置MAC地址,从公司回到家后,趋势科技发现网关的IP地址没有改变,将认为网络位置也没有发生变化,从而继续采用为公司环境而设置的安全策略。此时,位置感知功能将失效。另外,位置感知功能还可以影响防火墙和云安全扫描。

  遗憾的是,URL过滤能力未能与位置感知功能联合使用。虽然借助于“工作时间”和“业余时间”能在一定程度上区别对待,但谁说工作时间就一定会呆在办公室?尤其对于企业的市场和销售人员而言。期待趋势科技能在这方面做出改进。

对系统性能的影响
准备工作:
  1.打开趋势科技中小企业安全软件包的Web管理页面,输入密码登录。
  2.切换到“扫描”→“手动扫描”,单击“台式机(缺省)”,点击“处理措施”,把CPU利用率设为“中”(CPU利用率的警戒值为50%),如图5所示。


  3.保存设置。
测试过程:
  1.系统启动完毕后,不做任何操作,五分钟后,系统资源消耗如下:
  (1)TmPfw.exe:CPU= 0%,MEM=6368KB
  (2)TmProxy.exe:CPU= 0%,MEM=8872KB
  (3)NTRtScan.exe:CPU=0%,MEM=5292KB
  (4)TmListen.exe:CPU= 0%,MEM=5204KB
  2.打开网络安全客户端,对系统盘(C盘)进行安全扫描,并使用pslist工具连续监控CPU的利用率,五分钟后,监控到的CPU占用情况如图6所示(横坐标单位是秒)。

  点评:可以看出,客户端基本上不会长时间占用CPU,最长的一个占用了90%以上的时间段在一分钟左右,大多数时候在50%的警戒线上下浮动。笔者没有对比过其他厂商的同档次产品的曲线情况,但就以实际操作感受而言,在安全扫描的同时,笔者打开了Word、Excel、Powerpoint和Internet Explorer等十多个窗口,没有感觉到明显的停顿。

整体印象
  总的说来,趋势科技的这款中小企业安全软件包覆盖面比较广,涵盖了杀毒、防火墙、上网行为管理等功能,在功能的设计上更注重实用性,服务端的Web管理界面也比较方便,网管不用因为修改配置而往机房跑。

  也有一些需要改进的地方,例如位置感知服务与URL过滤的结合使用。从个人防火墙的功能上来看,更偏向于“企业防火墙”,而忽略了个人PC对防火墙的个性化要求(例如针对应用程序设置访问策略)。

  时间所限,笔者没有进入更深入、更详细的测试。本文内容亦是一家之言,仅供参考。
 

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

风险管理 大数据分析并不是风险“预言家”
风险管理 大数据分析并不是风险“预言家”CIO们在使用大数据分析工具的前提是部署云计算,但是云计算不无高风险,例如把关...
高性能万兆WAF创造Web安全防护新境界
高性能万兆WAF创造Web安全防护新境界启明星辰万兆WAF在超过10G数据吞吐量的情况下还能实现对SQL注入、XSS跨站等攻击进...

本类热点