趋势中小企业版安全套件评测

1. 前言

 

对于企业用户来说，无论规模大小，所受到的恶意软件威胁都是一样的。但是对于很多中小企业用户来说，并没有足够的技术力量和经济资源来进行恶意软件防护。这意味着中小企业用户往往不适合选择和大企业用户同样的解决方案，而迫切需要切合自己条件的防病毒产品。在经历了2005年恶意软件形式的极大丰富化和混合化，趋势科技新近推出了一款专门针对中小企业市场的安全套件，为中小企业用户提供了又一个选择。为了更深入的了解这款名为趋势科技中小企业网络与邮件安全版3.0（以下简称“趋势”）的产品，我们对其进行了全面的试用，现在就让我们开始这次中小企业安全之旅吧！

 

 

2. 我们的评测环境

 

为了检验趋势的网络防病毒功能，这次测试我们共使用了两台计算机。一台是HP畅游人系列的品牌计算机，配置为AMD闪龙3200+处理器、 512M DDR内存、 80G 容量的7200转硬盘。另一台是IBM T40笔记本计算机，配置为讯驰 1.3G 处理器、 512M 内存、 40G 容量的5400转硬盘。HP主要安装趋势的控管中心，同时还安装了针对服务器系统的客户端软件，而IBM只安装了面向个人用户的客户端软件。

 

 

3. 防病毒组件

在这次测试中我们共分拣了五个病毒样本集，其中Zoo是包含多个主要恶意软件分类的大范围样本集，而Wildlist则是在2006年1月的Wildlist列表中的174个病毒，2005年流行病毒样本集中包含了278个在2005年下半年较为流行的病毒，手机病毒样本集中是2个Symbian智能手机平台上的知名病毒，而病毒变种集中包含的样本是同一病毒族群的28个变种。在从测试结果来看，趋势具有相当不错的病毒检测能力，特别是在Zoo样本扫描测试一项上的表现更是突出。而对于现今变种频出的计算机病毒，趋势也有较强的处理能力。唯一不足的是趋势在Wildlist和2005流行这两个检测流行病毒的测试中成绩稍有回落，这与新推产品有一定的关系。

 

检测结果如下：

Zoo ：共计6235个样本，检出数量5692，检出比率92.29%，检测时间3分12秒

Wildlist ：共计174个样本，检出数量127，检出比率72.99%，检测时间5秒

2005 流行：共计278个样本，检出数量190，检出比率68.35%，检测时间2分11秒

手机病毒：共计2个样本，检出数量2，检出比率100%，检测时间1秒

病毒变种：共计28个样本，检出数量28，检出比率100%，检测时间1秒

 

 

3.3 加壳格式识别

 

几乎所有的流行病毒都应用了加壳技术来对自身进行伪装，包括很多号称免杀的木马程序都是通过加壳技术来防止受到防病毒软件的查杀，所以一款产品的加壳格式识别能力非常重要。我们将一个病毒样本通过几种常见的加壳软件进行加壳，同时检查趋势是否能从这些加壳文件中发现病毒。在我们测试的几种常见加壳格式中，只有PECompact趋势无法检出。

WWPack32 √

UPX √

Petite √

ASPack √

PECompact ×

 

 

4. 防火墙组件

 

趋势做为一款集成的网络安全产品，防火墙组件被紧密的集成在客户端软件当中，随同防病毒功能一起对客户机实施安全防护。为了检验该组件的防御效能，我们对默认配置下的趋势防火墙组件进行了一些基本的防火墙软件测试。

 

首先进行的是端口静默测试，该测试在联入互联网的IBM T40笔记本上进行，这台机器上已经安装了趋势客户端软件并启用了防火墙功能。我们访问grc.com上被称为Shields UP!!的在线测试服务以检验IBM上所有端口在外网看来处于什么状态。从测试的结果可以看到，Shields UP!!检测了IBM的前1056个端口，其中5个端口处于开放状态，3个端口处于隐秘模式，而其它的端口都处于关闭状态。

 

什么是端口静默

网络端口通常有三种状态：打开（Open）、关闭（Close）、隐秘（Stealth）。一些网络服务会对特定形式的质询进行应答，即使这些端口处于关闭状态，这意味着攻击者可能利用这些问题展开攻击活动。也并不意味着攻击者不能利用该端口开展攻击活动。只有当所有网络端口都处于隐秘模式才能保证计算机的安全，这样的计算机也被称为是“端口静默”的。

 

在端口静默测试的相同环境，我们继续执行了外向连接阻止测试。外向连接也被称为反弹式连接，由于防火墙规则通常禁止由外网向内网的网络连接但是却允许从内网向外网发起连接，所以很多恶意程序通过监听特定端口并使目标计算机主动连接自己的方式使防火墙保护失效。我们共使用了3个测试工具：leaktest、tooleaky、firehole，这3种工具的基本工作机制是相同的，差别在于tooleaky利用IE的组件建立外向连接（很多防火墙软件由于将IE视为可信任的程序所以放行任何基于IE组件的网络连接），而firehole不仅监视数据包是否穿透防火墙发送到外网，而是以数据包的响应正确返回做为判断标准。在测试过程中，这3种工具都能顺利的完成外向连接，这说明趋势的防火墙组件在阻止外向连接方面并不成功。

5. 易用性

 

作为企业级的防病毒产品，趋势的安装相当简单，所有的选项都简洁明了，用户无需做出太过复杂的决定。整个安装过程只花费了十几分钟，而且大部分时间花费在了等待安装文件复制上。根据实际的应用环境为控管中心选择所要使用的Web服务器、决定发送电子邮件报警的SMTP服务器、设定管理密码是少数几个需要用户关注的选项。

 

现今的网络版防病毒系统越来越多的开始采用Web管理接口，这样有助于降低企业的管理成本，用户在几乎任意一台计算机上都能登录到控管中心执行管理工作。但是采用Web接口也存在一些弊端，在执行效能上趋势相比一些C/S架构的网络防病毒产品要略逊一筹。但是在界面表现能力上趋势做的非常到位，与C/S产品的差距并不明显。

 

在用户接口上趋势进行了重新设计，与上一个版本相比在易用性有了很大的提升。新用户界面的布局由之前的左置菜单布局改为了顶置分页菜单，结合内容显示区域适度的伸缩展开功能，展现了现阶段Web应用设计的最优水平。新版本菜单更好的利用了子菜单弹出功能，使得用户的使用相当轻松自然。而且由于功能划分更加合理，依靠直觉很容易上手。与上一版本相比，我们明显感觉到新版产品可以更加快速的进行功能调用，各个界面之间的接驳也更加紧密，当然这也与这款产品适度的减少了中小企业用户不需要的功能有关。

 

 

6. 网络管理

 

我们测试的这个版本主要应用于微软的Windows平台，不过由于针对中小企业用户，所以趋势并没有着力提供活动目录等高阶应用环境的支持，不过对于域和工作组的支持还是相当完善的。用户可以建立多个计算机分组，并为每个分组指定不同的配置，从而极大的提高管理的灵活度。趋势在逻辑组管理功能的基础上还针对服务器和客户端分别设定了内置组和相应的配置，用户可以在此基础上快速的建立自己的计算机分组并进行配置的定制。更加方便的是，趋势提供配置的“克隆”能力，用户可以根据需要从内置组和自定义组复制配置并建立新的组。对于小规模的应用环境，内置的服务器组和客户端组已经能够满足需要了，而且趋势可以自动发现局域网中的计算机并将其划分到这两个内置组中，管理员的精力可以更多的用于细节的调整和管理。

 

通过网络管理整个防病毒体系的一个最重要优点就是远程部署，趋势能够让管理员“足不出户”的完成防病毒软件的部署工作。以远程安装方式为例，趋势提供一个功能齐全的目标计算机查找界面，用户既可以通过计算机名进行搜索，也可以在域目录树中浏览希望添加到病毒防御体系中的计算机。在找到了所有的目标计算机之后，点击安装按钮就可以完成客户端软件的部署了，整个过程只需要1分钟左右的时间。而在此之后，我们就可以在控管中心中对已经安装了客户端软件的计算机执行杀毒、更新、配置以及反安装等各种操作了。另外，趋势还支持多种其它的远程安装方法，包括Windows网络常用的域脚本登录安装、电子邮件通知安装以及通过控管中心登录页面上的Web链接手动请求安装。

趋势支持手动、计划和自动等多种更新方式，而且对于每种更新方法都可以独立进行细致的配置。特别是对于更新获取位置，趋势可以从互联网、局域网以及自定义的Web服务器上进行更新，而且可以对这些更新位置进行自由的设定。另外值得一提的是，趋势提供的更新复原功能可以将更新状态回溯到以前的状态，这个功能可以确保在更新存在问题时安全防御体系不会瘫痪，对于企业应用环境尤其重要。

 

客户端点评

趋势的客户端软件保持了上一版本产品的简洁风格，只向用户提供病毒查杀、防火墙、在线更新、日志查看等基本功能。事实上在趋势的控管中心可以决定在安装了客户端的计算机上是否有权对各个功能进行配置，结合分配给客户机的管理密码，管理员可以灵活的实现对客户机所有者的管理授权。

 

 

7. 信息反馈

 

趋势向用户提供了丰富的信息以辅助用户的工作，同时具有丰富的信息展示方式。在趋势控管中心的首页上，用户可以直观的了解到整个防御系统的实时状态，包括各个模块的工作状态以及发现的安全威胁全部一目了然。而在每个功能模块当中，状态提示信息的获取也非常容易。除了显示给用户的各种引导性信息之外，趋势还可以通过弹出窗口、电子邮件、警示性的图标将不同级别的安全威胁提示给用户，为用户的处理工作提供指导。

 

趋势的日志管理能力相当强大，即使与更高级别的企业级防病毒产品相比也毫不逊色。除了能够进行一般的日志分类管理和查询之外，趋势还能够根据各种条件定制日子模板，定期生成不同类型的日志文件以作为当前应用环境安全风险分析的佐证。此外，趋势还可以将日志输出成PDF格式文件，结合大量的统计数据和极具表现力的饼图，即使是非技术人员也可以快速的了解当前网络的安全状态。

 

 

8. 特色功能

 

爆发防御功能已经成为趋势的拳头功能之一，该功能在被动的安全防御过程中融合了大量主动防御要素，体现了趋势对安全威胁的精深理解。通过对网络中计算机的安全漏洞情况和修补情况的监控，趋势可以预见性的向用户提供安全威胁走势信息，帮助用户在安全事件发生之前采取行动。当有新的安全威胁出现时，爆发防御功能会根据风险的严重程度和预设的处理方案对用户进行告警，并自动的根据用户的设置开展应对措施，直到安全风险被处理之后，趋势才会停止报警功能。爆发防御功能事实上是一个集成了漏洞自动扫描、安全事件自动监控、安全特征码自动更新、安全风险自动处理的全自动防御机制，可以让企业网络在无值守的情况下仍旧具有较高的防护级别和运作效能。

除了防病毒和防火墙之外，趋势还针对近年来愈演愈烈的垃圾邮件、网络钓鱼等问题推出了面向电子邮件服务的安全组件，目前该组件主要应用于微软的Exchange电子邮件服务器系统。在安装该组件之后Exchange服务器将具有实时的病毒监控能力，并能够根据附件的内容进行过滤以防止恶意软件通过电子邮件侵害计算机的安全。管理员可以针对垃圾邮件威胁定义七个不同的过滤级别，每个级别都能够设置不同的过滤条件，从而更加细致的对垃圾邮件进行识别和管理。

 

 

总评

 

趋势带给了我们极佳的整体观感，兼具了核心功能的实现与细节设定的把握，确实是一款非常优秀的企业防病毒套件。趋势的性能比较出色，唯一稍嫌不足的是服务器端资源占用较多，在与客户端软件的网络通信有少许的延迟。与以往的版本一样，趋势的防病毒引擎仍旧表现不俗，相信能够为企业应用环境提供很强的保护能力。而易用性一直是趋势产品的优势领域，这一版本的产品进一步提升了趋势在用户交互方面的强势表现，对于应用趋势的企业来说能够有效的控制应用成本。总体来看，趋势科技中小企业网络与邮件安全版3.0较好的把握了中小企业用户的需求，并且具有平稳而优异的表现，为中小企业的安全建设提供了颇具价值的选择。

本文出自 “离子翼” 博客，转载请与作者联系！