DoSECU安全分析 2月17日消息：連接到互聯網上的每臺計算機都必須安裝防病毒軟件來進行保護。計算機病毒威脅的數量和類型每年都呈不斷增長之勢，而且新的病毒變種也以令人吃驚的速度不斷涌現。

不過對桌面系統的威脅不僅來自病毒侵襲，而且還有木馬程序和間諜軟件隨時會通過安裝發動攻擊。另外，并非所有的危險都來自于互聯網：未經保護的廠商筆記本電腦可能會將惡意程序直接傳播到企業內部，或者某些心懷不滿的員工會使用USB便攜設備竊取公司機密。安全應用軟件必須能夠保護桌面系統免受內外部的威脅。

由于保護用戶設備和終端系統的安全非常重要，筆者決定對5種頂級企業終端安全產品進行測試。這些產品包括：

Check Point公司的Check Point終端安全-安全訪問版本（Check PointEndpoint Security-Secure Access Edition）;
安全軟件廠商邁克菲公司的McAfee Total Protection for Endpoint 4.0;
防病毒軟件開發商Sophos公司出品的網絡終端安全與控制（Endpoint Security and Control）;
賽門鐵克公司的施密特終端保護11（Symantec Endpoint Protection 11）;
趨勢科技Trend Micro旗下的OfficeScan Client/Server Edition 8.0.。

這5款產品在筆者的測試實驗室里表現良好，能完美的執行反病毒和反間諜安全職責。不過除了在病毒和木馬程序保護的有效性之外，我們還需要通過其他因素對他們進行綜合評測和考量。筆者會測試他們在管理方面的難易程度，升級和客戶管理方面的具體表現，對企業系統安全健康程度反饋報告的運行情況等。筆者還會考慮到操作系統支持、平臺產品支持等因素。

Check Point Endpoint Security-安全訪問版

Check Point公司出品的Endpoint Security軟件安全訪問版是針對Windows用戶設計的用戶安全服務全方位套裝。這款套裝產品包括反病毒軟件，反間諜軟件，桌面系統防火墻，NAC，程序控制和一個虛擬私人網絡客戶包。以瀏覽器為基礎的管理控制臺比McAfee出品的Total Protection產品管理流程要簡單，但是它不像趨勢科技出品的OfficeScan那樣直觀。Check Point公司的報告引擎非常實用，但它提供的信息必須符合信息沒有超負荷的網絡安全狀態。

筆者在虛擬化Windows Server 2003服務器上安裝了Endpoint Security，在安裝其他相關應用軟件時沒有遇到麻煩。Endpoint Security公司的管理平臺運行的是Windows Server 2003操作系統或者Check Point SecurePlatform（Check Point使用的是Linux版本）。與McAfee 和Sophos的產品不同，Endpoint Security客戶端只能支持Windows 2000 Pro (SP4), Windows XP Pro (SP2)和Vista企業版操作系統。

在進行峰值運行時，Endpoint Security的管理平臺所消耗的隨機存儲器內存超過350MB（多數用于網絡引擎和Tomcat），但是對服務器上的中央處理器影響很小?？蛻舳诵Q所消耗的隨機存儲內存約為102MB，在空閑和手動掃描時都是如此，中央處理器的使用率也從10%上升到大約55%。正如筆者所預料的，Endpoint Security能順利的偵測，捕捉和處理所有的病毒威脅。

Check Point公司的保護引擎除了使用了Check Point公司自己研發的反間諜技術外，還應用了卡巴斯基實驗室授權的反間諜和反病毒技術。這種雙管齊下的方式在病毒入侵系統之前就采用簽名和啟發式對潛在風險進行偵測。

與這些產品中的其他幾款不同，管理員必須通過傳統的軟件分銷方式或者共享位置來完成Endpoint Security客戶端的安裝；Endpoint Security Dashboard上不提供驅動支持。對于已經運行Check Point防火墻的企業，廠商為用戶提供了一種有趣的方法來安裝客戶端：即管理員為了能使用互聯網會強迫用戶去安裝客戶端。

像Check Point公司協議制定者提供的控制層一樣，每項協議都被分為信任區（即本地網絡）或非信任區（互聯網和所有其他的網絡），為每項協議都提供數據訪問的不同級別。用戶防火墻設置了事先制定的規則，用戶可以非常容易的對規則進行自定義來滿足自己的需求。應用軟件控制賦予了IT部門對程序的管理控制權。每項協議包括用于NAC的"執行設置"Check Point-speak。

應用軟件準入引擎能對客戶端和服務器的程序執行進行許可或者拒絕，讓系統方便管理。這種白名單服務能允許管理員創建應用軟件的邏輯分組，諸如瀏覽器和郵件客戶端，決定每個程序是否能夠被獲準運行。筆者要對測試客戶端的瀏覽器限制運行，只需將特殊說明簡單添加到瀏覽器組，然后設置為拒絕訪問。筆者發現這種操作非常簡單而且功能強大。

按照第一眼印象，Check Point的報表引擎內容不夠豐富，缺乏足夠的報表和圖形工具。但是通過進一步觀察，我們發現與賽門鐵克終端保護工具的信息超載相比，Check Point的簡單化報表引擎是不錯的轉變。三大主要的報表分類-終端監控，終端活動和感染歷史記錄都進行了細致的準備，可以快速詳細的查看每個終端的狀態。感染歷史記錄詳細清單能追溯到2周前。

Check Point公司的終端安全-安全訪問版本是終端保護與靈活性的完美結合。筆者對這種每項協議定義下的細化控制十分欣賞，信任區和非信任區的概念在安全方面得到加倍體現。必行的是，客戶端操作系統支持僅限于Windows操作系統，這款產品中不包括其他的安裝支持。

#p#

邁克菲-McAfee Total Protection for Endpoint 4.0

邁克菲的McAfee Total Protection for Endpoint 4.0將反病毒，反間諜，主入侵防御和網絡訪問控制捆綁在一起。這些系統中的所用功能都與管理控制臺ePolicy Orchestrator (ePO) 4.0綁定，這款控制臺是之前版本的升級，特點是具有完全重組的報表引擎，能幫助管理員創建許多不同定制的報表。Total Protection不僅能支持Windows操作系統，而且還能為其他常用的操作系統提供保護。

當筆者首次接觸邁克菲的這款終端全面保護產品Total Protection for Endpoint時，我已經有過一款提前發布的安裝版本，這個版本使用的是Cecil B. DeMille引以為傲的費解腳本編譯。幸運的是，安裝版只是簡單的安裝程序。與其他數據庫引擎的特殊要求不同，這款程序的安裝相對直接。安裝完成時，系統會直接運行，等待用戶去登錄各種功能包和下載各種升級程序。

筆者非常喜歡Total Protection產品對不同操作系統的支持。從ePO上，你可以在所有的32位Windows平臺（包括NT 4.0 with SP6a），64位Windows系統以及Novell NetWare, Linux, Mac OS X, Citrix MetaFrame 1.8,和XP Tablet PCs上進行協議配置和管理。我發現與Sophos和賽門鐵克的產品一樣，從單一控制臺上對不同企業系統版本進行管理的能力是很大的進步。

與Check Point Endpoint Security不同的是，Total Protection為用戶提供了兩種配置ePO的方法，我可以從Lost & Found group中選擇系統將ePO直接拉進我的測試系統，點擊Deploy Agent按鈕。ePO還能和微軟的Microsoft Active Directory保持同步，自動將新的系統添加到列表中。ePO能不間斷的監控不明系統的本地網絡，簡化未經保護的系統鑒別和升級過程。

在ePO中分配和定義安全協議不像其他產品套裝那樣直觀。盡管ePO能提供群組，用戶，系統，協議等分類的訪問，但是很難看到協議的分配情況。

McAfee Total Protection for Endpoint就像它的名字所寓意的：對客戶端的絕對保護。VirusScan Enterprise和McAfee Anti-Spyware提供兩種方式的掃描方式，為客戶端提供實時隨需的病毒和匿名程序防護。無論是對付問題網站還是感染的文件，Total Protection在鑒別和捕捉系統風險上都表現突出。

Total Protection使用的是單一掃描引擎。隨需掃描只需100MB的隨機存儲器即可，中央處理器平均使用率為37%，峰值時能達到100%。Host Intrusion Prevention能提供應用程序阻斷，客戶端防火墻和諸如緩沖溢出和已知程序載入等常見的IPS問題。與趨勢科技的入侵防御防火墻一樣，IT部門可以使用Total Protection產品根據流量的類型和定義來創建各種規則。應用程序阻斷支持也不錯，但是它不具備Check Point公司產品中的配置細化功能。管理員在每個已定義應用程序的許可和阻斷選擇上有所局限。

報表模塊是McAfee Total Protection中的亮點。隨著ePO的推出，報表服務需要進行重組，允許管理員創建自定義報表，將報表關聯到控制臺上方便監控。事實上，ePO能允許管理員根據成組關聯報表來創建多重模塊。事先定義報表的數量是非常驚人的，我可以在不同的模板下快速而方便的創建新的報表。

Total Protection是一款全面出擊的終端安全套裝。筆者認為ePO中過的增強型報表功能十分強大，單一引擎的病毒和木馬掃描運行起來也表現良好。不過擴展平臺的系統支持適合多數大型企業。最大的問題在于看到自己的協議非常困難，也無法獲知協議是如何分配給每個群組或客戶端的。

#p#

Sophos的終端安全和控制（Sophos Endpoint Security and Control）

Sophos的終端安全和控制套裝將病毒和反間諜保護，客戶端防火墻，應用軟件控制，主入侵防御和網絡訪問控制緊密結合為一體。另外，這款產品直觀的瀏覽器式管理平臺也表現良好。

在Windows Server 2003虛擬化測試平臺上安裝Sophos的企業級控制臺非常順暢。像趨勢科技的OfficeScan一樣，所占用的服務器資源不大，在使用IE瀏覽器登錄控制臺時只需100MB的隨機存儲器即可。在安裝過程中，筆者選擇在服務器上安裝MSDE。管理員可以任選其一來使用現有的Microsoft SQL server。

向用戶的臺式機配置Sophos客戶端是從企業級控制臺推進的過程。Find New Computers壓縮文件可以讓管理員選擇是從激活目錄中導入計算機清單還是在網絡基礎或者IP地址列表中執行網絡掃描。筆者選擇的是激活目錄導入的方式，在向測試系統中安裝全客戶端時沒有碰到任何問題。

Endpoint Security不僅能為Windows操作系統提供保護，還能支持Mac, Linux, Unix, NetWare和OpenVMS系統。可支持的平臺種類非常廣泛，32位系統和64位系統平臺都包括在內。管理員通過一個Sophos企業控制臺就可以對所有的客戶端進行管理和監控。像趨勢科技和賽門鐵克的相關產品一樣，Sophos也將虛擬環境作為支持套裝的組成部分。

Sophos能卸載任何已經安裝在用戶臺式機上的第三方反病毒程序的能力也深得系統管理員的青睞。我的某個目標系統包含其他廠商的終端客戶端套裝，Sophos能在安裝新套裝之前將其完全卸載。

企業安全和控制（Enterprise Security and Control）確實物如其名：它是集各種安全服務于一體的全面套裝產品，能允許管理員根據內外部的安全需求量體裁衣。實時反病毒和反間諜探測器共享同一個引擎和病毒/木馬程序定義。終端能產生每個掃描文件的MD5 hash碼。如果在后續掃描中hash碼沒有變化，Sophos就會跳過這個文件的掃描來節約中央處理器的利用。

Behavioral Genotyping是Sophos公司以簽名為基礎的偵測手段的補充。這種動作引擎會對現有定義中潛伏的惡意流量進行檢查，以便幫助管理員阻斷新的或者未知的攻擊。攻擊就是已知病毒的變種，至少多數病毒都是這樣。Sophos將對其進行偵測和阻斷。我對Endpoint Security設置的每項威脅都得到成功捕捉和處理。這也在意料之中。

Sophos公司的應用程序控制能允許管理員創建批準程序的白名單：你可以阻斷特殊應用程序或者整個群組，諸如遠程管理工具。除了應用程序控制外，Sophos還通過阻止用戶訪問本地存儲設備，無線連接(諸如Wi-Fi和紅外傳輸），即使信息和文件共享應用程序來切斷數據的泄露源頭。

網絡訪問控制是通過來自企業控制臺的獨立瀏覽器版UI來進行管理的。事先定義的協議可以讓NAC系統快速運行，廣泛的配置選擇意味著管理員能創建滿足任何情況的系統。

管理員將把大量的時間花在企業控制臺上，這與邁克菲的ePO是不同的?？刂婆_操作起來非常簡單，圖形化界面能提供直觀的網絡狀態報表。報表引擎也表現不錯。用戶可以點擊警告報告中的被偵測對象，查看關于這項威脅的具體信息。

Sophos公司的企業安全和控制產品套裝確實令人印象深刻。管理控制臺可以提供全面的企業健康報告，協議快速閉合能讓特殊協議的訪問更加快速而方便。筆者認為通過一個控制臺實現對多個企業系統的管理會得到多數用戶的青睞。

#p#

賽門鐵克的終端保護11（Symantec Endpoint Protection 11）

作為世界上最知名的反病毒軟件廠商之一，賽門鐵克公司也推出了他們的最新產品-賽門鐵克終端保護11（Symantec Endpoint Protection 11，簡稱SEP）。SEP軟件集反病毒，反間諜，防火墻，入侵防御，應用程序和設備控制等眾多功能于一體，為客戶端和服務器提供全方位的安全保障。集中管理控制臺-終端保護管理器在為管理員提供一站式管理工具方面表現良好，報表引擎包含大量信息，但你必須知道如何發現他們。

在我的Windows 2003 Server測試平臺上安裝SEP軟件時由于缺乏足夠的空間而出現問題。因此要確認你的主服務器有足夠的資源：在SEP軟件的數據庫引擎和其他核心服務之間，它大概需要消耗300MB的存儲空間。Endpoint Protection是所有從測試產品中唯一采用JAVA代碼編譯的管理控制臺產品。在客戶端方面，隨機存儲器需求不大，只需要10MB的閑置空間，在執行全面系統掃描時占用的系統空間少于55MB，中央處理器利用率約為28%。

Symantec Endpoint Protection采用的是管理員歡迎的配置壓縮包。如果你的企業有適合的標準軟件分配系統，你只需將可執行的安裝套裝簡單的分配給未經保護的系統或者允許個人從共享文件夾進行安裝。Symantec Endpoint Protection還可以通過激活目錄來導入企業群組來更好的執行客戶端管理。

像邁克菲和Sophos的產品一樣，Symantec Endpoint Protection不僅能支持32位和64位Windows操作系統，而且也支持32位和64位的Linux, Novell Open Enterprise Server和VMware ESX。與Sophos不同的是，Symantec Endpoint Protection目前還不能為Mac操作系統提供支持。

Endpoint Protection的核心是反病毒和反間諜偵測引擎。Symantec Endpoint Protection采用包含多重掃描引擎的單一保護技術來偵測和掃描病毒和木馬程序。當未見被復制或者創建時，Symantec Endpoint Protection會中途攔截并把他們發送給掃描引擎。

與Sophos的Behavioral Genotyping有些類似的是，賽門鐵克的TruScan Proactive Threat通過對程序意圖的監控來保護客戶端不受未知風險的威脅。TruScan能偵測和記錄所發現的潛伏垃圾程序實例來方便管理員進行檢查。TruScan還能監測商業可疑操作和遠程控制應用軟件，管理員可以記錄，忽視，終止或者隔離這些程序。

Symantec Endpoint Protection中包含的防火墻引擎是一流的，能為協議，端口和應用軟件提供極佳的安全控制。缺省的防火墻規則設置非常詳細。便捷的防火墻規則壓縮包泵幫助管理員在需要時創建任何附加的自定義規則。入侵防御引擎是對客戶端防火墻的補充，但是與復選框不同，它無法實現真正的自定義。

Symantec Endpoint Protection中的應用程序控制不像Check Point Endpoint Security產品界面那樣直觀。規則創建器范圍很大，能允許代理對不同情況進行檢查，比如注冊訪問，發送過程嘗試，終止過程嘗試等。應用程序控制規則創建器使用的是會見式壓縮包來讓管理員通過規則創建流程。目前的規則引擎功能十分強大，但是不是非常直觀，使用起來有些麻煩。管理員要花時間去學習如何使用應用程序控制規則引擎。

Symantec Endpoint Protection的報表引擎以其用戶友好的界面也受到用戶的青睞，有很多信息可供管理員使用，不過由于報表引擎產生了大量信息，要找到你想要的信息會有些困難。在未來版本中，我希望能看到交互式的報表。舉例來說，我能創建被攻擊臺式機的圖表，但是所有信息都已經在列表中，我可以根據列表來分析那個系統遭到攻擊，然后做具體分析。

總之，賽門鐵克的Symantec Endpoint Protection是一款全方位防御的安全套裝軟件。它唯一的缺陷在于其報表引擎。反病毒/反間諜保護非?？煽浚浖苤С值牟僮飨到y種類繁多也是其優勢所在?？蛻舳朔阑饓κ沁\行最好的一個，但是應用程序保護的管理有些繁瑣。

趨勢科技的OfficeScan客戶端/服務器版本8.0（Trend Micro OfficeScan Client/Server Edition 8.0）

趨勢科技的OfficeScan Client/Server Edition 8.0將所用必需的保護服務都捆綁到了易于安裝和配置的平臺中。OfficeScan軟件包括了反病毒，反間諜保護，防火墻，入侵防御和檢測，網絡風險安全等安全特性，還集成了思科的Cisco Network Access and Control 2.0。管理員可以通過他們的瀏覽器集中管理OfficeScan。同時這款軟件還能檢測多用戶域。

在筆者的虛擬測試平臺上安裝OfficeScan耗時45分鐘。服務器資源占用不大，管理控制臺（包括IE的使用）所需的RAM內存不到100MB。與邁克菲的ePolicy Orchestrator不同，趨勢科技的OfficeScan控制臺操控起來非常方便，而且界面相當直觀。管理員即可以通過網絡連接到OfficeScan服務器，也可以通過管理UI來安裝客戶端引擎。

OfficeScan客戶端可以在Windows2000到Windows 2008的任意一款版本上運行，包括64位的Vista操作系統。OfficeScan Server可以支持Windows Server 2000到Windows Server 2003操作系統，另外還能支持諸如微軟，思杰和VMware的虛擬化環境。與邁克菲，Sophos和賽門鐵克的產品不同的是，趨勢科技的產品不能支持非Windows操作平臺。

這款產品反病毒系統的核心是其實時保護能力。OfficeScan軟件使用的是兩個獨立的引擎來分別檢測病毒和間諜軟件的動態。這兩個引擎采取簽名匹配的原則來偵測數字風險。與賽門鐵克和Sophos的個別產品不同，OfficeScan不具備攻擊測定點位的行為探測引擎。行為探測引擎目前正在研發當中，有望在下一個版本中推出。

在筆者的測試中，OfficeScan探測和阻斷了所有筆者設置的病毒，但在從惡意程序海外網站中截取木馬程序上遇到了小麻煩。這款軟件能在協議的基礎上處理風險，對病毒進行清理，隔離或者刪除。實時保護在筆者的測試中運轉良好，資源占用率很低：中央處理器利用率約為50%，在激活掃描時所占用的RAM內存為55MB。

OfficeScan中包含的客戶端防火墻貨真價實。定義防火墻的設置就必須定義安全協議，然后將協議分配給用戶終端。安全協議規定了防火墻將要執行的功能，阻斷內外部流量，阻斷所有的內部流量或者允許所有的流量。管理員可以增加協議的內容，比如說在拒絕所有的內部流量時可以運行桌面系統的遠程連接。你也可以在協議，端口和IT地址基礎上重新定義。

嵌入式0OfficeScan客戶端防火墻是入侵防御防火墻插件，由趨勢科技以獨立的許可證授權形式單獨提供。入侵防御防火墻能執行對所有導入和導出數據流量的深度打包檢測，幫助管理員剔除非法的網絡流量。入侵防御防火墻還是一款功能全面的打包檢測引擎，它無需額外的RAM內存，也不會在網絡上增加任何引起注意的延遲。

OfficeScan是這幾款安全產品中唯一一個包括了嵌入式Cisco NAC協議支持的套裝。對于那些已經配置了Cisco NAC的企業，OfficeScan可以將其直接集成到客戶現有的協議服務器中，通過已有的Cisco Trust Agent來提供網絡訪問控制。

報表引擎是OfficeScan的弱勢。客戶端連接的圖形顯示方便直觀，易于閱讀，Update Status能顯示簽名和應用軟件版本。與邁克菲的ePolicy Orchestrator不同，管理員不能使用OfficeScan來創建自定義報表或者圖形。

趨勢科技的OfficeScan對于Windows用戶來說是一款不錯的全方面安全保護套裝。管理控制臺存在部分界面的問題，但是訪問所有的系統和協議只需一次點擊即能完成。報表功能有所局限，但是與Cisco NAC的緊密結合確實是附加的亮點。

#p#

總結
通過對這五款安全產品的測試和體驗，筆者又驚又喜的發現Sophos Endpoint Security and Control以微弱優勢超過賽門鐵克的Endpoint Protection榮膺榜首。Sophos的解決方案提供了卓越的客戶端平臺支持，包含了可以保障終端安全的核心服務。同時對于管理員來說方便操作，全方位的報表引擎在這五款產品對比中也得分最高。