引:而今,防病毒、防间谍和防火墙软件已能够提供有效、方便的防范各种网络威胁的方法。下面我们针对国内国外十三种安全套装软件进行测试,看看谁是其中最强的防护软件。本评测报告由PC World中国实验室 AV-Test安全组织 离子翼信息安全实验室联合发布。
安全套装大比拼——国外部分(上)
目前的安全威胁来自于多方面,它不仅仅局限于单一分类中的威胁,有些是并发的,因此防范的策略大多是多方面的。病毒有时候会隐藏在垃圾广告中,间谍程序中也许还带着木马,所以,要想你的计算机安全,你必须应用多种安全软件。你可以购买各种品牌的防病毒、防间谍和防火墙产品,也可以购买一个一体化的软件包。选择三种以上单独的安全程序时,其优点是你可以购买每类产品中最好品牌的产品,但是缺点是使用起来非常复杂,并且整体售价较昂贵。一体化安全软件包相对来说使用起来更加方便,而且售价也可以承受。你可以使用一个界面来管理所有的软件模块,而且软件之间的相互协作也非常不错。另一方面这也就意味着:你需要对所选择的品牌绝对信任,毕竟你所有的计算机和数据完全由同一个公司来提供保护。但是由于多个防病毒引擎和防火墙同时使用会导致严重的系统问题,希望购买一体化软件包的用户就应该在购买软件后,就一定要坚持使用并充分信任该软件。
安全套装大比拼——国外部分
为了找出谁是今天最值得信任的软件包,我们在安全套装大比拼的国外部分选择了10款国外主流的产品来进行测试(这其中包括赛门铁克、趋势在内的产品也是国内用户安全防护的首选)。它们有的是新旧产品组合起来的软件包,有的是过去就一直在用的。我们将在性能和可用性方面对其进行测试。
我们主要关注四个因素:性能(恶意软件检测和速度)、功能、设计(是否易于使用)和售价。首次购买软件并带有一年免费升级的软件包的售价范围在40美元到80美元;而后你就必须支付升级费。性能方面,看看安全软件与其前一次更新之后使用起来是否有所变化,因为升级包中会包含引擎的调整部分,还有防范新恶意软件的信息。至于功能,产品要保持一致性,不过有可能会增加一些有用的附加程序。
在评估设计方面,我们主要是看软件安装是否方便,各项功能是否易于使用,软件是否详细的介绍了其各个选项。我们也会对恶意软件提示进行评估,这主要是看对话框是否提供足够的信息来帮助消费者作出下一步如何进行的判断。但是我们最关注的还是性能,包括软件包在检测和阻拦入侵威胁时的表现和能否有效清除计算机中已经安装的恶意软件。我们与一家德国研究公司AV-Test.org签订了合约,它们负责为每个软件包提供十七万四千个蠕虫、病毒、后门程序、bots、间谍程序、木马样本。另外,AV-Test.org也会对每个软件包和防火墙检测未知病毒的能力进行分析。我们会看看每台测试系统执行完全系统安全扫描的时间,也会使用WorldBench 5看看使用软件后是否会减慢应用程序运行速度。
赛门铁克安全套装得到我们此次的BestBuy大奖,其功能丰富,易用度高,在测试中表现优秀
尽管我们的测试涉及内容已经非常广泛了,但是我们还不能完全对基于行为的检测进行评估。微软、Panda和Zone Labs软件包提供此项技术,它可以依靠产生的行动来鉴别是否属于一个新的威胁,比如,如果一个程序试图改变注册表的数值。此种功能是基于签名的检测的可靠补充,不过进行完全的测试对于此次测评来说难度太大。
最佳防护者
我们测试的所有软件包都有一技所长,但是整体表现欠佳。得到此次桌面安全套装横评国外部分BestBuy大奖的是赛门铁克的软件包,它在整个测试中表现非常稳定,在AV-Test.org后门、bots和木马的检测中排名第二,并且防火墙得分排名第一。它提供IM保护、父母控制和隐私数据保护等多个功能。不过它的界面还是需要改进一下,并且其电话技术支持收费太贵了,为每事件30美元。
在我们的恶意软件测试中最佳表现者为McAfee软件。它也提供IM保护和防钓鱼IE插件等额外功能。不过,这个软件包在安装时太过麻烦,而且电话支持的售价非常高,为每分钟3美元。
Zone Labs的软件集成了CA老版本eTrust antivirus引擎,在性能测试中排名第七,不过它的防火墙相当不错。Zone Labs计划在六月份升级CA引擎。不过由于它有许多好功能,而且易于使用,这个软件包的整体排名始终停留在第六名上。
BitDefender的软件性能表现之差让我们大出意外。速度缓慢,广告软件检测也一般,要不是防火墙的表现尚可,恐怕第九名的整体排名还得继续后移。
Newcomer Aluria价格低廉,但排名垫底。这个软件可以检测你的整个硬盘,但是缺少检测用户定义文件和文件夹的能力。它也检测不到嵌入在ASPack或UPX等可执行文件中的恶意软件(蠕虫作者将恶意软件隐藏在压缩的可执行文件中,有时候,为了避免安全软件的检测,它们会找到现有的恶意软件、重新进行包装)。此外,默认设置下Aluria的防火墙也太容易通过了,简直形同虚设。
病毒、间谍软件和广告软件
McAfee和F-Secure的软件包在寻找病毒和间谍软件方面表现最好,在相关测试中每一项得分都在前三名。Panda在发现未知病毒的测试中表现最好。McAfee和Aluria软件包在检测广告软件中胜出。
提示:间谍软件现在已变成keyloggers、广告软件、后门和其它网络掠食程序(许多软件都已存在很长时间了,并未被研究人员标识为间谍软件)的统称。在我们的测试中,我们将间谍软件和广告软件区分开来。真正的高破坏性间谍软件都囊括进AV-Test.org的bots、木马和后门中。软件包的最终检测率是我们判断能否检测出间谍软件的一款极好的指示剂。广告软件(带来讨厌的广告程序,并有收集网络数据的习惯)的检测是另外单独的测试。
Aluria的安全套装可以扫描打包文件,但无法扫描压缩的可执行程序
绝大部分软件包在检测1822个2006年一月份WildList中包含的引导文件、文件、宏、脚本恶意软件方面都非常成功。WildList囊括了广泛分布的病毒、蠕虫和bots。让人吃惊的是,Aluria的软件包没有发现引导区病毒,微软beta版本软件包在14个蠕虫中仅找到7个,趋势科技的软件在两个蠕虫中仅找到一个。在我们的WildList测试中,统计下来,引导区病毒最无关紧要,这也就说明了Aluria的得到满分的原因。不过,你的安全软件应该能够检测到所有的WildList威胁。
AV-Test.org包括了168,523个后门、bots和木马。CA软件包仅检测出37%的后门,72%的bots,39%的木马。Zone Labs的软件包得分最差,找出30%的后门,49的bots,31%的木马。F-Secure的软件包表现最好,发现了98%的威胁。
在广告软件测试中McAfee的软件包得分最好,找到96%的运行中的威胁。Aluria凭借自身在广告软件和间谍软件业的雄厚背景,检测率为89%,排名第二。不过,Zone Labs软件包又一次表现最差,仅检测出46%的广告软件。
为了评估未知病毒,AV-Test.org将软件升级时间推回到1月份之前,让它们对2006一月份的WildList恶意病毒进行检测。Panda的软件表现最好,检测出91%的文件。F-Secure排名第二,仅检测出76%。而微软的程序表现最差,检测出41%,Zone Labs的程序排名倒数第二。不过,我们必须注意,微软和Zone Labs的基于行为的功能也许会对检测有所弥补,从而提高其整体结果。比如,AV-Test.org发现Panda TruPrevent会阻拦90%的网络和e-mail蠕虫,Zone Labs的OSFirewall也会阻止高达70%的网络和email蠕虫。
我们也评估了软件对于检测隐藏在后缀名为.zip、.rar、.cab文件以及压缩程序文件ASPack和UPX方面的能力。在文件被压缩、多次使用或者自我解压时,绝大部分软件都可以检测到其中的病毒,但是它们很少能看出运行时压缩程序文件中的问题。F-Secure、McAfee和BitDefender软件包表现最好;Aluria和Zone Labs的软件表现最差。Aluria表示,下一版本软件包将拥有检测压缩的执行文件的能力,计划在后半年推出,目前用户可进行免费升级。Zone Labs表示,其正与CA协作,致力于提高其产品在检测压缩恶意软件方面的能力,其OSFirewall现在仅能在压缩文件解压后检测出并阻止已知和未知的恶意软件。
理想的状态应该是安全软件会在第一时间检测和阻止所有威胁。而实际上,坏东西总是会找到缺口遛进来。我们从WildList中选择了十个蠕虫,让它们攻击测试软件包,看看软件清理文件、更正注册表目录和更改host文件的能力。McAfee软件能清除大部分恶意文件,进行系统更改,抹去病毒留下的足迹,但是唯独无法更正指向安全软件自身的Mytob变量。微软产品表现也不错,能够清除所有的蠕虫和残迹,只是Netsky.BA和Mytob.AR对于注册表的改变无法进行更正。F-Secure的软件包在发现恶意软件方面表现不错,但是删除工作却不尽如人意,找到了十个蠕虫文件,但是只删除了其中五个。
防火墙大战
现在防病毒软件和防间谍软件之间的界限越来越模糊,软件防火墙相对来说倒显得职责明确,它主要负责监测网络进出的流量,以及纪录可疑行为。我们测试的十个软件防火墙都允许用户设定通用的安全级别、个人应用程序的允许名单和黑名单,并激活指定端口和网络协议。
网站过滤是趋势安全套装中实现父母控制的功能组件
好的防火墙可以在流量方面进行区分,在遇到大问题时发出警告,在检测到可疑行为时提供足够的细节以供你作出准确判断。稍差一点的防火墙一发现有可能阻挡流量的无法辨认的信息,就发出警告。因为警告太过于频繁,你也许会因为太过于心烦而关闭掉防火墙。
我们对软件包防火墙进行测试,主要是测试防火墙在默认状态下抵御外部攻击以及PC上的恶意软件的攻击能力。CA、微软、赛门铁克和Zone Labs在抵御内部攻击测试中得分均为100:恶意软件对于内存中的防火墙不起任何作用,也不能将软件从硬盘中删除,以及盗取合法程序的身份。比如一些恶意软件会伪装为IE,获得与IE同样的权利。无论我们在测试计算机上安装四个程序中的哪一个,后门程序都无法破坏IE。
在默认设置下,Aluria的防火墙没有通过抵御内部攻击的测试,但是提高其设置级别,它就通过了盗取程序使用权测试和后门测试。Aluria表示,软件包的默认安全级别打开了80和443端口,故意将初始防火墙给用户发送警告的数目最小化。Aluria软件的产品经理Jack Dunston表示,Aluria希望其用户能够按照自己的想法配置产品。
我们也对防火墙是否能够识别出从PC窃取数据并向外发送的恶意软件进行了测试。Zone Labs的防火墙又是百分之百成功,通过了所有17项漏洞测试。微软排行第二,通过了7项测试。剩下的产品得分都很低,而Panda的产品一个测试都没有通过。谨记,AV-Test.org使用标准漏洞测试工具,而此工具安全销售商都有。比如,Zone Labs对产品进行了完善,所以通过了所有漏洞测试,而Panda表示,其并未为漏洞测试对软件进行优化,相反仅依靠其基于TruPrevent行为技术来判断哪一条代码是恶意的。
在我们对于抵御外部攻击的测试中,CA、F-Secure、McAfee、Panda、赛门铁克和Zone Labs的软件得分都为100。这些软件将所有标准和秘密端口扫描都阻止了。它们会中断试图通过为基于SMB文件共享而开放的端口进入PC的互联网流量,这也就意味着它们可以区分你家用网络中的好流量和坏流量,它们也不会泄漏测试计算机操作系统的信息。不过Aluria的防火墙在默认状态下只通过了四项测试中的两项,不过若在高级设置下,它得分也为100。趋势科技和BitDefender的防火墙都没能阻止SMB共享的打开,而微软防火墙也一样,更有甚者,微软防火墙在面对端口探测器时操作系统门户形同虚设。
安全套装大比拼——国外部分(下)
附加功能
所有的软件包都具有防垃圾广告保护,不过相较而言,它们的功能还是有些差异的。McAfee和Panda产品安全附加功能最全,而微软附加功能最少,尽管OneCare确实包括备份软件和磁盘调整工具。
Zone Labs的IM客户端控制覆盖了目前主流的即时通讯软件
除了Aluria和微软的产品,剩下的所有软件包都拥有父母控制功能。父母可以使用此功能阻止有害的网站内容,比如性、毒品和赌博。趋势科技的软件包提供同等功能的URL过滤功能,不过它并不把此称为父母控制。虽然CA的软件包并不提供父母控制功能,但它提供一张CD,里边拥有通过BlueCoat的K9网站保护来提供相似服务的程序。Zone Labs的软件包为分类网站提供智能过滤动态实时评级,目前主要基于用户和软件定义的允许名单和黑名单。BitDefender、McAfee和F-Secure软件包提供的功能更广泛,允许父母指定孩子上网的时间。
McAfee将广告和间谍软件统称为"PUP"
CA、McAfee、Norton、Panda、趋势科技和Zone Labs软件包提供隐私控制,此功能可以防止信用卡信息等隐私数据从你的计算机中外流,不过这些软件的高隐私设置就有些危险了。比如每当站点下载一个cookie到我们的测试系统时,哪怕是从一个知名站名,比如纽约时报或PCWorld.com,赛门铁克软件包的最大隐私设置都会调用一个高风险的cookie警告。在软件包的默认设置下,这种cookie其实并不被认作高风险。
其他好功能:The McAfee、Panda、赛门铁克和Zone Labs软件都能为感染的附件而对几个IM客户端进行扫描。微软的扫描仅限于MSN Messenger。Panda、趋势和Zone Labs的软件都会在侵入者偷偷占用你的Wi-Fi连接时向你发出警告。售价在80美元的McAfee家用网络安全软件也能提供对于Wi-Fi网络的保护。
有些附加功能非常方便,但是有些功能却会使得软件的界面显得相当臃肿。最明显的一个例子是赛门铁克的Norton Protection Center,它是一个附加的窗口,用来监视软件组件的功能。它会在本已拥挤的系统盘中再加一个图标,定期弹出来告诉你安全保护的状况,它也会为其他相关产品进行行销。数据恢复部分也会一直显示“no coverage”的信息,直到你购买并安装了赛门铁克售价为50美元的SystemWorks工具软件包。
安装和可用性
易于使用的软件的特征应该是安装容易、易于配置、运行速度快、能对潜在恶意软件发出明确的提醒。微软和趋势科技的软件都符合这个标准,但是原因又有所不同。微软的产品易于配置,因为它并不需要过多配置,供PC用户进行配置的选项非常有限。相反,趋势科技的软件功能又多,使用界面又方便,而且非常美观。
所有的软件包都能正确的被安装,所有测试计算机的网络设置都能被正确的进行配置。我们的苦恼仅限于McAfee的软件:它在安装过程中需要重启五次,而且需要创建用户名和密码。接着会出现对话框要你选择是否接收病毒防护、McAfee优势和McAfee伙伴优势的时事通讯。而且起初我们无法通过Firefox下载软件升级包,我们不得不使用IE,并暂时允许弹出窗口才得以完成。
CA的软件从整体来看最差,它竟然在系统盘中放了四个图标。而且,主界面也并不会链接到Blue Coat的父母控制上。
赛门铁克的软件感觉上去更擅长沟通,经常弹出软件状况警告和cookie警告。有些人也许需要具体说明,而不喜欢详细说明的人更乐于选择F-Secure的软件,它有许多深层设置,但是设置的说明很少。
产品之间的速度也有所不同。Panda软件在病毒扫描中完成最快,扫描14.7GB的文件和文件夹仅用了6分39秒。趋势科技排名第二,扫描时间为7分37秒。F-Secure速度最慢,完成扫描的时间为28分46秒。F-Secure表示其实时保护和五个扫描引擎(两个用来扫描病毒,一个用来扫描间谍软件,一个用来扫描rootkits,一个用来扫描未知病毒)造成了速度的减慢。
我们也测量了软件对系统负载的影响。我们将软件按照默认设置安装在计算机上,而后运行WorldBench 5。微软产品造成的负载影响最低,在9个WorldBench 5应用测试中它仅占用了不超过4%的时间。若是占用了15%就非常明显了。Aluria软件包消耗系统资源最为厉害,在ACDSee PowerPack和微软Windows Media Encoder测试中占用了双倍的执行时间。BitDefender的软件也大大占用了系统资源,在微软Office 2002测试中增加了25%的执行时间,在Mozilla测试中增加了69%的执行时间。
我们也对发现恶意软件时发出的警告做了评估,微软防火墙警告中提供试图通过互联网应用程序详细的名称和路径信息。BitDefender的软件提供的病毒警告信息详细程度要优于防火墙警告。McAfee软件拒绝将威胁分成广告软件或者间谍软件,相反却使用模糊术语PUP(潜在有害程序)来作为定义。为了详细了解警告内容,你可以参考每款软件的在线评论。
整体而言,最高级别的软件比如赛门铁克和McAfee,在完成所有任务的测试中也并非都表现出色。这对于某些有强烈需求的用户而言,他们最好还是选择具有更高品质的专门安全软件。但是对于绝大部分用户而言,也许方便使用还是占据在首要位置上。
让ISP为你提供安全软件
实际上,没有人真的乐意花钱购买安全软件,但是聪明的计算机用户知道这味预防药是不能不买的。不过也许许多用户并未意识到他们已经开始免费使用这类软件了。
当互联网上出现的威胁越来越多时,许多大的互联网服务提供商,比如美国在线、EarthLink、PeoplePC都开始向其客户提供安全软件。通常这些软件仅是与家用工具绑定在一起,无需使用额外定制的程序,其中有些程序也包含在我们今天的测试中。
AOL软件
比如AOL的安全和保险中心中就捆绑提供了公司自己的防广告保护、父母控制、阻止弹出窗口、防钓鱼工具和McAfee软件包中的防火墙、防病毒及防间谍软件。
公司发言人Andrew Weinstein表示,AOL的软件包含了不同的应用程序,但是在用户看来它仅是一个28MB的无缝程序。“原来我们旨在方便上网,现在我们是希望方便安全管理。”
AOL帮助安全管理的另一个解决途径是在其服务器上就将一些互联网威胁阻止掉,避免其进入消费者计算机中。Weinstein表示,每天公司都会为客户拦截掉八百万个钓鱼程序,将近一百五十万个垃圾广告。
EarthLink对抗防间谍软件
EarthLink致力于成为一站式软件提供商,因此其在2005年购买了防间谍软件公司Aluria。现在EarthLink的保护控制中心为其用户提供16MB的拨号和宽带免费下载,非EarthLink用户仅需支付每月5美元的费用也可进行下载。保护控制中心包括了两公司编译的程序和合作商Authentium提供的防病毒、防火墙功能。
EarthLink安全应用产品经理Ben Kaplan表示,EarthLink选择Aluria作为合作伙伴的一个原因是其技术可以进行修改。“我们可以将他们的技术应用到我们自己的产品中,并对其进行控制。”解决方法非常简单,EarthLink提供统一的界面进行管理。公司估算了一下,目前有一百四十万用户使用此软件。
EarthLink的子公司PeoplePC提供便宜的拨号互联网连接,最近推出其新开发的基于Aluria的互联网安全软件。这个软件类似于EarthLink软件,但是外观不同。公司的Security Plus成员可以免费下载此程序,普通用户可以每月2美元的售价购买此产品。
你考虑过为什么ISP愿意涉足提供此领域并牵扯进这些复杂安全服务的麻烦事中呢?其实答案非常简单,他们希望让自己的客户满意。正如Kaplan所言,“我们在保护客户和留住EarthLink客户方面投入了很多。”
安全套装大比拼——国内部分(上)
对于国内厂商送测的产品,我们主要从三个方面展开评测,分别是:性能、功能和设计。在性能部分我们主要考察这些产品在完成安全保护工作过程中的效能,同时运行速度也是该部分重点考察的问题。在功能测试方面,我们详细验证了每个产品的核心功能,并着重对那些具有创新特质的功能进行考察,以全面的评估产品的综合价值。而对于参测产品的设计主要集中于产品易用性的评估,包括软件是否易于安装和使用,以及软件的选项是否容易配置、设定是否合理。
针对防病毒模块的检测能力,我们安排了三项病毒扫描测试,其扫描目标分别是WildList样本集(包含100个2006年5月WildList中列举的病毒)、Zoo样本集(包含7003个从2003年至今传播过的病毒)、2006年流行样本集(包含45个在2006新出现的病毒)。所有参测产品均在2006年7月12日执行更新并完成检测工作。
由于间谍软件的流行,套件型的桌面安全软件已经广泛的集成了独立的反间谍软件模块,在针对这类模块的测试中我们采用的主要是广告软件样本集(包含39个流行的广告软件)以及恶意软件样本集(各种具有间谍软件特征的样本共588个)。
而对于防火墙模块,我们主要从由外向内和由内向外两种连接方向考察防火墙的工作情况。在由外向内方面,我们透过GRC提供的防火墙端口静默测试功能检测每个产品是否能够有效的对外隐蔽自己,这项测试会列出被测计算机的前1056个TCP/IP端口哪种状态,在开放、关闭、隐秘三种状态中隐秘是唯一真正安全的状态;而在由内向外部分,我们使用测试参测产品是否能阻止从测试计算机向外发起的数据连接,这项测试反映了产品是否能够防止恶意软件在感染后与外部网络环境进行通讯。
关于反向连接
反向连接也被称为反弹式连接,是为了突破防火墙保护而形成的一种网络连接方法,这种连接方法现在被广泛的应用于各种木马后门程序当中。由于防火墙规则通常禁止由外网向内网的网络连接但是却允许从内网向外网发起连接,所以很多恶意程序通过监听特定端口并使目标计算机主动连接自己的方式使防火墙保护失效。
斩杀恶意威胁
江民在检测引擎方面的实力已经勿庸置疑,而金山和瑞星在病毒检测方面的成长也在2006版产品中得到了最好的诠释。毫不夸张的说,国产安全套件在检测恶意软件方面已经具有了向国际厂商挑战的实力。
从各项检测结果来看,对于流行病毒的查杀都相当理想,而在间谍软件方面则仍有待提高。一个最典型的例证就是江民,虽然对于三个病毒样本集检测均取得了上佳成绩,但是对于广告软件和恶意软件样本集的检测结果仍旧只能算作中等。由于广告软件的传播相对来说具有地域性,而一些间谍软件也具有特定的传播条件,这些也是参测产品对间谍软件类样本查杀不利的一个内在原因。
在产品的整体执行效能方面,金山相比其它两种产品更加优秀,在安装了金山的计算机上较少感觉到性能方面的下降。其它两种产品在运行的时候会对系统造成相对明显的影响,特别是江民,在进行数据量大的操作时江民的监控程序会造成系统的粘滞。另外金山的查杀速度也相当理想,我们使用默认设置下的金山对一个包含5G文件的分区进行病毒检测操作只花费了不到5分钟,江民完成同样的操作需要8分钟,而瑞星需要12分钟才能完成扫描。一个好消息是瑞星和江民支持文件指纹功能,在下次扫描的时候只扫描那些改动过的文件从而大幅度提高扫描速度。在这里我们还必须考虑江民优异检测结果,从显示的检测文件数上来看,江民几乎达到金山和瑞星的两倍,看来对于文件的分析深度江民确实略胜一筹。
江民将安铁诺2006识别为病毒
在防火墙方面,瑞星的运行效能要优于其它两种产品,无论是从数据传输的响应时间还是吞吐能力,瑞星都表现完美。虽然在整体性能上金山与瑞星差距很小,但是在数据传输的稳定性上略逊一筹,特别是在64K这样较小的数据包传输方面性能下降较大。江民防火墙的性能比较一般,与没有安装防火墙的时候相比数据传输能力有较为明显的下降。
而就防火墙模块的防护能力来讲,国产产品还不是特别理想。在端口静默一项,只有瑞星能够让全部1056个端口处于隐秘状态,而处于金山和江民保护下的绝大部分端口都处于关闭状态。不过在将防火墙的软件防护级别由默认调整至最高之后,金山还是可以保持绝大部分端口为隐秘状态的。而在应对从内向外的反向连接方面,金山和瑞星可以相对有效发现和阻止从内向外建立的连接,江民在发现向外连接方面表现不佳,这一点可能被一些木马程序利用。
端口静默
信息安全领域一个通用的原则是尽可能关闭需要的功能和服务,但是一个被经常性忽略的事实是既使关闭了服务并不代表相关的端口就处于不可用的状态。端口通常有三种状态:打开(Open)、关闭(Close)、隐秘(Stealth)。事实上,既使端口处于关闭状态也并不意味着攻击者不能利用该端口开展攻击活动。一些软件的协议栈会对发向端口的特定格式的查询进行响应,即使这些端口处于关闭状态。这类问题很可能被攻击者利用,例如通过这些端口实施拒绝服务攻击。也就是说一个所有端口都处于关闭状态的计算机仍旧不是绝对安全的,真正安全的计算机应该是“端口静默”的,全部不使用的端口设置都应被置为隐秘模式。
安全套装大比拼——国内部分(下)
十八般兵器上阵
除了提供防病毒、防火墙、反间谍软件等基础组件之外,几种参测产品都提供了丰富的附加功能,特别是漏洞检测功能已经逐渐成为个人安全套件中不可缺少的重要组成部分。如果说防病毒和防火墙这些传统的功能模块各个产品已经在很大程度上趋同的话,其它功能模块的差异性则证明在这些领域还有巨大的创新空间。在功能的全面性和细致性方面瑞星的表现无可挑剔,而为重要的是瑞星在这个版本中证明了自己的创新能力,硬盘数据备份恢复等功能的提供让我们感受到了瑞星提升产品层次的决心。而江民似乎把过多的精力放到了技术层面,与其强大的引擎能力相比,江民在产品功能性上已经有了较大的差距。
事实上在防病毒功能方面国内的几款产品与国外产品相比毫不逊色,在一些方面还具有自己的优势。然而我们也看到国内产品在防火墙模块上的不足,除了能够基于网络协议和应用程序进行过滤保护之外,在基于内容的检测能力方面与国外产品相比还有不小的差距。不过国内厂商在利用本土化优势方面也颇有心得,这一点从产品针对中国网游用户的需要所提供的功能中就可见一斑。江民可以将应用程序设定成游戏状态,这样当防火墙处于游戏模式的时候只有被标记为游戏的程序才可以访问外部网络;而瑞星也可以利用专门的游戏保护功能保护游戏程序相关的帐号信息不被窃取。
作为最早在产品包中集成漏洞扫描的金山,其漏洞扫描模块已经开始发展成为强大的漏洞管理工具。除了能够有效的检测到Windows操作系统漏洞之外,对于Office办公套件、SQL Server数据库等微软的应用产品线金山同样可以妥善的进行处理,而且漏洞补丁的下载和部署过程也可以通过金山一力完成。相比之下瑞星和江民的漏洞扫描功能就略显逊色了,只能对操作系统漏洞进行管理限制了产品的应用范围,而在功能的细致性上有一定差距。
使用瑞星产品制作便携的U盘杀毒工具
金山针对间谍软件推出了一个单独的功能模块,不但可以对间谍软件扫描工作进行精细的定制,还提供了包括IE修复在内的多个匹配功能。由于对间谍软件检测、木马程序检测、系统漏洞扫描、系统窜改保护等多个方面的功能进行了集成,金山为用户抵御间谍软件提供了更高阶的武器。
这几款产品的安装光盘还具有一项特殊的功能,用户可以从安装光盘启动执行病毒查杀工作。金山和江民采用的都是基于DOS命令行的操作界面所以执行速度很快,但对于用户的技术要求较高;而瑞星则使用了基于Linux环境的图形界面,其使用方式与安装版非常类似。另外金山和江民还可以生成应急软盘以在操作系统无法正常使用的情况下完成病毒查杀工作,不过在软盘已经逐渐为U盘等新型移动存储设备取代的今天,瑞星所提供的U盘杀毒工具无疑具有更高的可用性。
另外值得一提的是瑞星还可以提取系统中最新的程序文件制作瑞星的安装包,这样用户在下次安装的时候可以直接将瑞星的文件恢复至安装包制作时的状态,而无需每次从安装光盘安装再执行大量的更新。
在日志管理方面,所有产品都能够对日志进行分类管理,方便用户查看不同的事件。而瑞星还提供了日志搜索功能,通过关键字用户可以快速搜索到需要的日志内容。
金山提供了一组隐私保护功能,帮助用户保护信息不被泄漏。通过密码等附加的保护机制,用户可以将特定的敏感信息进行加密,这样当这些信息被使用时将不再是明文状态,从而防止盗用的发生。
瑞星共提供了四种语言版本供用户选用,分别是简体中文、繁体中文、英文、日文,多语言选项既扩展了产品的应用范围,又为需要工作在多语言环境下的用户节省了成本。
由于64位平台的日渐普及,64位病毒等一些在64位平台下新生的安全威胁给用户带来了新的挑战。金山的2006版产品可以完美的兼容32位和64位Windows操作系统,大大提高了产品附加价值,而江民也在安装光盘中提供了面向64位平台的安装包。
易用为先
从软件的整体设计上来看,主要的两个目标是软件的易用程度以及软件的可定制能力,而在此两者之间易用性更加普遍地受到用户的关注。虽然在整体设计上参测产品都相当出色,但是在细节部分的协调上金山带给我们更好的体验。
所有产品的安装过程都相当简便,然而瑞星和江民都必须使用许可证才能进行安装,而金山只在升级之前需要序列号的输入,这样更加方便试用及应对紧急情况。
金山在布局设计上非常优秀,各种功能和选项配置进行了有效的划分,一般用户可以在主要界面上调用日常需要的功能,而高级用户则可以在更深的界面中找到自己想要调整的配置项。从使用上金山非常符合用户直觉,这说明这款产品在设计过程中吸收了大量最佳的用户使用原则,也充分证明了一款在用户交互方面表现出众的软件产品必须符合用户思维模式。金山的提示性信息不是非常丰富,这样对初级用户的引导性不强,但是对于专业级的用户来说较少的提示信息可以使软件使用感更加良好。在默认的配置情况下,无论是检测选项还是监控选项,金山的大部分配置都处于较为均衡和良好的状态,这样用户无需对配置进行任何调整就可以获得一个工作情况良好的防护系统。
瑞星的用户界面处理非常出色,不过由于功能组件很多,在一些细节的处理上还稍嫌杂乱。不可否认的是瑞星具有最佳的界面外观,特别是瑞星还提供了几款非常美观的程序皮肤供用户更换。瑞星将核心功能、快捷功能、附加功能、监控模组分置于不同的选项页,用户可以快速的对需要的功能进行调用。不过瑞星的配置选项过多并且没有很好的进行分组,用户在进行定制工作时会感到有些吃力。瑞星的防火墙模块弹出的配置提示过于频繁,在使用过程中需要不断的停下来处理这些提示,这种情况在其它国内产品也有发生,在这一问题上国外的产品更加具有智能性。
江民的用户界面提供了类似Windows安全中心形式的的控制中心,提供的信息内容相当丰富,在易用性方面表现上佳。江民的操作负担在所有产品当中是最小的一个,这与其将所有最常用的功能都安排在主界面上有很大的关系。一个较大的不足是江民的选项配置设计较差,用户在配置产品时会觉得有些混乱。另外,江民在日志中心之外还存在一个独立的扫描报告功能,这使得江民的日志接口不是非常统一。
总结
可以看到,国产安全套件提供的功能特性丝毫不比国外产品逊色,基于对国内市场的了解,其功能设定具有更高的实用性。然而在各个功能模块的集成方面还有待提高,各个模块都是独立进行管理没有很好的整合在一起,而国外的产品在管理接口上显得更加统一和紧密。可以看到参测的国内产品都具有较高的综合素质,同时也有自己独有的优势。处于全面性的考虑,我们在本次评测中将金山列为推荐产品,在众多的测试项目中金山的表现非常平稳,体现出很高的综合品质。江民在检测方面具有无可挑剔的实力,这使得部署了该产品的计算机可以阻碍绝大多数威胁,不过在功能和设计上江民还需要进一步提高,扫描器是安全套件重要的基础但并不是全部。瑞星丰富的功能带给我们深刻的印象,不愧为一款豪华的个人安全产品,然而与国外的很多产品相比,在个人隐私、网络钓鱼方面还有较大的提升空间。
注:国内部分与国外部分评测项目略有差别,两者的评测数据及分数没有可比性。
使用安全套装的十条建议
当你尝试安装并运行一款全功能的桌面安全套装的时候,你会发现这并不是一件容易的事,特别是在这个过程中涉及到替换原有的另一品牌的安全软件。我们就以上问题咨询了一些安全软件提供商,他们给出的十条建议也许可以帮助你正常地安装和维护安全软件。
1. 彻底删除原有的安全软件:同时运行两种或更多的防毒引擎完全没有必要,所以在安装全新的防毒产品前,需要彻底卸载原有的安全软件并重启机器。同样,使用另外一款防火墙产品时,请先关闭Windows自身的防火墙功能,事实上有些产品在安装过程中就会默认关闭系统原有类似的服务。
2. 检测硬盘:在安装安全软件之前,明智的选择是首先检测硬盘,排除硬盘错误并进行修复。方法很简单,点击“开始”,在运行框中键入chkdsk,点击“OK”。
3. 更新Windows:运行Windows update,确保系统是最新升级的版本,然后再安装安全软件。当然,安全软件也要及时更新。
4. 安全软件身份证:记录你所安装的安全软件的安装时间、序列号和技术支持电话。当你需要技术支持时这些信息将非常有用。
5. 安装其他防间谍程序作为补充:可以考虑安装独立版本的防间谍程序作为安全软件的补充。不过要确定在同一时间,只有其中一个进行威胁扫描以及软件更新,避免发生冲突。
6. 中断网络连接:当PC连接到网络时(特别是通过VPN),有些网络设置是必须的。如果你安装安全软件并重启后,电脑迟迟不能进入系统,这时可以断掉网络连接。当重启成功后,再尝试连接到网络,让安全软件重新配置防火墙的相关设定(大部分产品有类似的配置向导)。
7. 自行设定打印及文件共享:防火墙应该已经预先设定好了打印及文件共享,当然,如果不能正常连接的话,也可以手动设置,将1023和139端口打开。
8. 将安全事件归档:当安全软件提示你系统错误或发现恶意软件时,准确记录弹出信息的详细内容,然后截图保存。
9. 遣送“犯罪”分子:如果你遭遇可疑文件或电子邮件,不要自行打开相关的文件。按正常程序将可疑文件发送给安全软件提供商。大多数的安全软件有提交可疑文件的选项。
10. 保证安全软件可用:我们不得不再次强调有关更新的问题。安全软件只有在使用期限内更新到最新版本才能有效发挥作用,而一般的安全软件有效期为12个月。当你的安全软件有效期满之后,记得购买升级版本或者更换杀毒软件。