DoSECU安全分析 2月17日消息:连接到互联网上的每台计算机都必须安装防病毒软件来进行保护。计算机病毒威胁的数量和类型每年都呈不断增长之势,而且新的病毒变种也以令人吃惊的速度不断涌现。
不过对桌面系统的威胁不仅来自病毒侵袭,而且还有木马程序和间谍软件随时会通过安装发动攻击。另外,并非所有的危险都来自于互联网:未经保护的厂商笔记本电脑可能会将恶意程序直接传播到企业内部,或者某些心怀不满的员工会使用USB便携设备窃取公司机密。安全应用软件必须能够保护桌面系统免受内外部的威胁。
由于保护用户设备和终端系统的安全非常重要,笔者决定对5种顶级企业终端安全产品进行测试。这些产品包括:
Check Point公司的Check Point终端安全-安全访问版本(Check PointEndpoint Security-Secure Access Edition);
安全软件厂商迈克菲公司的McAfee Total Protection for Endpoint 4.0;
防病毒软件开发商Sophos公司出品的网络终端安全与控制(Endpoint Security and Control);
赛门铁克公司的施密特终端保护11(Symantec Endpoint Protection 11);
趋势科技Trend Micro旗下的OfficeScan Client/Server Edition 8.0.。
这5款产品在笔者的测试实验室里表现良好,能完美的执行反病毒和反间谍安全职责。不过除了在病毒和木马程序保护的有效性之外,我们还需要通过其他因素对他们进行综合评测和考量。笔者会测试他们在管理方面的难易程度,升级和客户管理方面的具体表现,对企业系统安全健康程度反馈报告的运行情况等。笔者还会考虑到操作系统支持、平台产品支持等因素。
Check Point Endpoint Security-安全访问版
Check Point公司出品的Endpoint Security软件安全访问版是针对Windows用户设计的用户安全服务全方位套装。这款套装产品包括反病毒软件,反间谍软件,桌面系统防火墙,NAC,程序控制和一个虚拟私人网络客户包。以浏览器为基础的管理控制台比McAfee出品的Total Protection产品管理流程要简单,但是它不像趋势科技出品的OfficeScan那样直观。Check Point公司的报告引擎非常实用,但它提供的信息必须符合信息没有超负荷的网络安全状态。
笔者在虚拟化Windows Server 2003服务器上安装了Endpoint Security,在安装其他相关应用软件时没有遇到麻烦。Endpoint Security公司的管理平台运行的是Windows Server 2003操作系统或者Check Point SecurePlatform(Check Point使用的是Linux版本)。与McAfee 和Sophos的产品不同,Endpoint Security客户端只能支持Windows 2000 Pro (SP4), Windows XP Pro (SP2)和Vista企业版操作系统。
在进行峰值运行时,Endpoint Security的管理平台所消耗的随机存储器内存超过350MB(多数用于网络引擎和Tomcat),但是对服务器上的中央处理器影响很小。客户端宣称所消耗的随机存储内存约为102MB,在空闲和手动扫描时都是如此,中央处理器的使用率也从10%上升到大约55%。正如笔者所预料的,Endpoint Security能顺利的侦测,捕捉和处理所有的病毒威胁。
Check Point公司的保护引擎除了使用了Check Point公司自己研发的反间谍技术外,还应用了卡巴斯基实验室授权的反间谍和反病毒技术。这种双管齐下的方式在病毒入侵系统之前就采用签名和启发式对潜在风险进行侦测。
与这些产品中的其他几款不同,管理员必须通过传统的软件分销方式或者共享位置来完成Endpoint Security客户端的安装;Endpoint Security Dashboard上不提供驱动支持。对于已经运行Check Point防火墙的企业,厂商为用户提供了一种有趣的方法来安装客户端:即管理员为了能使用互联网会强迫用户去安装客户端。
像Check Point公司协议制定者提供的控制层一样,每项协议都被分为信任区(即本地网络)或非信任区(互联网和所有其他的网络),为每项协议都提供数据访问的不同级别。用户防火墙设置了事先制定的规则,用户可以非常容易的对规则进行自定义来满足自己的需求。应用软件控制赋予了IT部门对程序的管理控制权。每项协议包括用于NAC的"执行设置"Check Point-speak。
应用软件准入引擎能对客户端和服务器的程序执行进行许可或者拒绝,让系统方便管理。这种白名单服务能允许管理员创建应用软件的逻辑分组,诸如浏览器和邮件客户端,决定每个程序是否能够被获准运行。笔者要对测试客户端的浏览器限制运行,只需将特殊说明简单添加到浏览器组,然后设置为拒绝访问。笔者发现这种操作非常简单而且功能强大。
按照第一眼印象,Check Point的报表引擎内容不够丰富,缺乏足够的报表和图形工具。但是通过进一步观察,我们发现与赛门铁克终端保护工具的信息超载相比,Check Point的简单化报表引擎是不错的转变。三大主要的报表分类-终端监控,终端活动和感染历史记录都进行了细致的准备,可以快速详细的查看每个终端的状态。感染历史记录详细清单能追溯到2周前。
Check Point公司的终端安全-安全访问版本是终端保护与灵活性的完美结合。笔者对这种每项协议定义下的细化控制十分欣赏,信任区和非信任区的概念在安全方面得到加倍体现。必行的是,客户端操作系统支持仅限于Windows操作系统,这款产品中不包括其他的安装支持。
#p#
迈克菲-McAfee Total Protection for Endpoint 4.0
迈克菲的McAfee Total Protection for Endpoint 4.0将反病毒,反间谍,主入侵防御和网络访问控制捆绑在一起。这些系统中的所用功能都与管理控制台ePolicy Orchestrator (ePO) 4.0绑定,这款控制台是之前版本的升级,特点是具有完全重组的报表引擎,能帮助管理员创建许多不同定制的报表。Total Protection不仅能支持Windows操作系统,而且还能为其他常用的操作系统提供保护。
当笔者首次接触迈克菲的这款终端全面保护产品Total Protection for Endpoint时,我已经有过一款提前发布的安装版本,这个版本使用的是Cecil B. DeMille引以为傲的费解脚本编译。幸运的是,安装版只是简单的安装程序。与其他数据库引擎的特殊要求不同,这款程序的安装相对直接。安装完成时,系统会直接运行,等待用户去登录各种功能包和下载各种升级程序。
笔者非常喜欢Total Protection产品对不同操作系统的支持。从ePO上,你可以在所有的32位Windows平台(包括NT 4.0 with SP6a),64位Windows系统以及Novell NetWare, Linux, Mac OS X, Citrix MetaFrame 1.8,和XP Tablet PCs上进行协议配置和管理。我发现与Sophos和赛门铁克的产品一样,从单一控制台上对不同企业系统版本进行管理的能力是很大的进步。
与Check Point Endpoint Security不同的是,Total Protection为用户提供了两种配置ePO的方法,我可以从Lost & Found group中选择系统将ePO直接拉进我的测试系统,点击Deploy Agent按钮。ePO还能和微软的Microsoft Active Directory保持同步,自动将新的系统添加到列表中。ePO能不间断的监控不明系统的本地网络,简化未经保护的系统鉴别和升级过程。
在ePO中分配和定义安全协议不像其他产品套装那样直观。尽管ePO能提供群组,用户,系统,协议等分类的访问,但是很难看到协议的分配情况。
McAfee Total Protection for Endpoint就像它的名字所寓意的:对客户端的绝对保护。VirusScan Enterprise和McAfee Anti-Spyware提供两种方式的扫描方式,为客户端提供实时随需的病毒和匿名程序防护。无论是对付问题网站还是感染的文件,Total Protection在鉴别和捕捉系统风险上都表现突出。
Total Protection使用的是单一扫描引擎。随需扫描只需100MB的随机存储器即可,中央处理器平均使用率为37%,峰值时能达到100%。Host Intrusion Prevention能提供应用程序阻断,客户端防火墙和诸如缓冲溢出和已知程序载入等常见的IPS问题。与趋势科技的入侵防御防火墙一样,IT部门可以使用Total Protection产品根据流量的类型和定义来创建各种规则。应用程序阻断支持也不错,但是它不具备Check Point公司产品中的配置细化功能。管理员在每个已定义应用程序的许可和阻断选择上有所局限。
报表模块是McAfee Total Protection中的亮点。随着ePO的推出,报表服务需要进行重组,允许管理员创建自定义报表,将报表关联到控制台上方便监控。事实上,ePO能允许管理员根据成组关联报表来创建多重模块。事先定义报表的数量是非常惊人的,我可以在不同的模板下快速而方便的创建新的报表。
Total Protection是一款全面出击的终端安全套装。笔者认为ePO中过的增强型报表功能十分强大,单一引擎的病毒和木马扫描运行起来也表现良好。不过扩展平台的系统支持适合多数大型企业。最大的问题在于看到自己的协议非常困难,也无法获知协议是如何分配给每个群组或客户端的。
#p#
Sophos的终端安全和控制(Sophos Endpoint Security and Control)
Sophos的终端安全和控制套装将病毒和反间谍保护,客户端防火墙,应用软件控制,主入侵防御和网络访问控制紧密结合为一体。另外,这款产品直观的浏览器式管理平台也表现良好。
在Windows Server 2003虚拟化测试平台上安装Sophos的企业级控制台非常顺畅。像趋势科技的OfficeScan一样,所占用的服务器资源不大,在使用IE浏览器登录控制台时只需100MB的随机存储器即可。在安装过程中,笔者选择在服务器上安装MSDE。管理员可以任选其一来使用现有的Microsoft SQL server。
向用户的台式机配置Sophos客户端是从企业级控制台推进的过程。Find New Computers压缩文件可以让管理员选择是从激活目录中导入计算机清单还是在网络基础或者IP地址列表中执行网络扫描。笔者选择的是激活目录导入的方式,在向测试系统中安装全客户端时没有碰到任何问题。
Endpoint Security不仅能为Windows操作系统提供保护,还能支持Mac, Linux, Unix, NetWare和OpenVMS系统。可支持的平台种类非常广泛,32位系统和64位系统平台都包括在内。管理员通过一个Sophos企业控制台就可以对所有的客户端进行管理和监控。像趋势科技和赛门铁克的相关产品一样,Sophos也将虚拟环境作为支持套装的组成部分。
Sophos能卸载任何已经安装在用户台式机上的第三方反病毒程序的能力也深得系统管理员的青睐。我的某个目标系统包含其他厂商的终端客户端套装,Sophos能在安装新套装之前将其完全卸载。
企业安全和控制(Enterprise Security and Control)确实物如其名:它是集各种安全服务于一体的全面套装产品,能允许管理员根据内外部的安全需求量体裁衣。实时反病毒和反间谍探测器共享同一个引擎和病毒/木马程序定义。终端能产生每个扫描文件的MD5 hash码。如果在后续扫描中hash码没有变化,Sophos就会跳过这个文件的扫描来节约中央处理器的利用。
Behavioral Genotyping是Sophos公司以签名为基础的侦测手段的补充。这种动作引擎会对现有定义中潜伏的恶意流量进行检查,以便帮助管理员阻断新的或者未知的攻击。攻击就是已知病毒的变种,至少多数病毒都是这样。Sophos将对其进行侦测和阻断。我对Endpoint Security设置的每项威胁都得到成功捕捉和处理。这也在意料之中。
Sophos公司的应用程序控制能允许管理员创建批准程序的白名单:你可以阻断特殊应用程序或者整个群组,诸如远程管理工具。除了应用程序控制外,Sophos还通过阻止用户访问本地存储设备,无线连接(诸如Wi-Fi和红外传输),即使信息和文件共享应用程序来切断数据的泄露源头。
网络访问控制是通过来自企业控制台的独立浏览器版UI来进行管理的。事先定义的协议可以让NAC系统快速运行,广泛的配置选择意味着管理员能创建满足任何情况的系统。
管理员将把大量的时间花在企业控制台上,这与迈克菲的ePO是不同的。控制台操作起来非常简单,图形化界面能提供直观的网络状态报表。报表引擎也表现不错。用户可以点击警告报告中的被侦测对象,查看关于这项威胁的具体信息。
Sophos公司的企业安全和控制产品套装确实令人印象深刻。管理控制台可以提供全面的企业健康报告,协议快速闭合能让特殊协议的访问更加快速而方便。笔者认为通过一个控制台实现对多个企业系统的管理会得到多数用户的青睐。
#p#
赛门铁克的终端保护11(Symantec Endpoint Protection 11)
作为世界上最知名的反病毒软件厂商之一,赛门铁克公司也推出了他们的最新产品-赛门铁克终端保护11(Symantec Endpoint Protection 11,简称SEP)。SEP软件集反病毒,反间谍,防火墙,入侵防御,应用程序和设备控制等众多功能于一体,为客户端和服务器提供全方位的安全保障。集中管理控制台-终端保护管理器在为管理员提供一站式管理工具方面表现良好,报表引擎包含大量信息,但你必须知道如何发现他们。
在我的Windows 2003 Server测试平台上安装SEP软件时由于缺乏足够的空间而出现问题。因此要确认你的主服务器有足够的资源:在SEP软件的数据库引擎和其他核心服务之间,它大概需要消耗300MB的存储空间。Endpoint Protection是所有从测试产品中唯一采用JAVA代码编译的管理控制台产品。在客户端方面,随机存储器需求不大,只需要10MB的闲置空间,在执行全面系统扫描时占用的系统空间少于55MB,中央处理器利用率约为28%。
Symantec Endpoint Protection采用的是管理员欢迎的配置压缩包。如果你的企业有适合的标准软件分配系统,你只需将可执行的安装套装简单的分配给未经保护的系统或者允许个人从共享文件夹进行安装。Symantec Endpoint Protection还可以通过激活目录来导入企业群组来更好的执行客户端管理。
像迈克菲和Sophos的产品一样,Symantec Endpoint Protection不仅能支持32位和64位Windows操作系统,而且也支持32位和64位的Linux, Novell Open Enterprise Server和VMware ESX。与Sophos不同的是,Symantec Endpoint Protection目前还不能为Mac操作系统提供支持。
Endpoint Protection的核心是反病毒和反间谍侦测引擎。Symantec Endpoint Protection采用包含多重扫描引擎的单一保护技术来侦测和扫描病毒和木马程序。当未见被复制或者创建时,Symantec Endpoint Protection会中途拦截并把他们发送给扫描引擎。
与Sophos的Behavioral Genotyping有些类似的是,赛门铁克的TruScan Proactive Threat通过对程序意图的监控来保护客户端不受未知风险的威胁。TruScan能侦测和记录所发现的潜伏垃圾程序实例来方便管理员进行检查。TruScan还能监测商业可疑操作和远程控制应用软件,管理员可以记录,忽视,终止或者隔离这些程序。
Symantec Endpoint Protection中包含的防火墙引擎是一流的,能为协议,端口和应用软件提供极佳的安全控制。缺省的防火墙规则设置非常详细。便捷的防火墙规则压缩包泵帮助管理员在需要时创建任何附加的自定义规则。入侵防御引擎是对客户端防火墙的补充,但是与复选框不同,它无法实现真正的自定义。
Symantec Endpoint Protection中的应用程序控制不像Check Point Endpoint Security产品界面那样直观。规则创建器范围很大,能允许代理对不同情况进行检查,比如注册访问,发送过程尝试,终止过程尝试等。应用程序控制规则创建器使用的是会见式压缩包来让管理员通过规则创建流程。目前的规则引擎功能十分强大,但是不是非常直观,使用起来有些麻烦。管理员要花时间去学习如何使用应用程序控制规则引擎。
Symantec Endpoint Protection的报表引擎以其用户友好的界面也受到用户的青睐,有很多信息可供管理员使用,不过由于报表引擎产生了大量信息,要找到你想要的信息会有些困难。在未来版本中,我希望能看到交互式的报表。举例来说,我能创建被攻击台式机的图表,但是所有信息都已经在列表中,我可以根据列表来分析那个系统遭到攻击,然后做具体分析。
总之,赛门铁克的Symantec Endpoint Protection是一款全方位防御的安全套装软件。它唯一的缺陷在于其报表引擎。反病毒/反间谍保护非常可靠,软件能支持的操作系统种类繁多也是其优势所在。客户端防火墙是运行最好的一个,但是应用程序保护的管理有些繁琐。
趋势科技的OfficeScan客户端/服务器版本8.0(Trend Micro OfficeScan Client/Server Edition 8.0)
趋势科技的OfficeScan Client/Server Edition 8.0将所用必需的保护服务都捆绑到了易于安装和配置的平台中。OfficeScan软件包括了反病毒,反间谍保护,防火墙,入侵防御和检测,网络风险安全等安全特性,还集成了思科的Cisco Network Access and Control 2.0。管理员可以通过他们的浏览器集中管理OfficeScan。同时这款软件还能检测多用户域。
在笔者的虚拟测试平台上安装OfficeScan耗时45分钟。服务器资源占用不大,管理控制台(包括IE的使用)所需的RAM内存不到100MB。与迈克菲的ePolicy Orchestrator不同,趋势科技的OfficeScan控制台操控起来非常方便,而且界面相当直观。管理员即可以通过网络连接到OfficeScan服务器,也可以通过管理UI来安装客户端引擎。
OfficeScan客户端可以在Windows2000到Windows 2008的任意一款版本上运行,包括64位的Vista操作系统。OfficeScan Server可以支持Windows Server 2000到Windows Server 2003操作系统,另外还能支持诸如微软,思杰和VMware的虚拟化环境。与迈克菲,Sophos和赛门铁克的产品不同的是,趋势科技的产品不能支持非Windows操作平台。
这款产品反病毒系统的核心是其实时保护能力。OfficeScan软件使用的是两个独立的引擎来分别检测病毒和间谍软件的动态。这两个引擎采取签名匹配的原则来侦测数字风险。与赛门铁克和Sophos的个别产品不同,OfficeScan不具备攻击测定点位的行为探测引擎。行为探测引擎目前正在研发当中,有望在下一个版本中推出。
在笔者的测试中,OfficeScan探测和阻断了所有笔者设置的病毒,但在从恶意程序海外网站中截取木马程序上遇到了小麻烦。这款软件能在协议的基础上处理风险,对病毒进行清理,隔离或者删除。实时保护在笔者的测试中运转良好,资源占用率很低:中央处理器利用率约为50%,在激活扫描时所占用的RAM内存为55MB。
OfficeScan中包含的客户端防火墙货真价实。定义防火墙的设置就必须定义安全协议,然后将协议分配给用户终端。安全协议规定了防火墙将要执行的功能,阻断内外部流量,阻断所有的内部流量或者允许所有的流量。管理员可以增加协议的内容,比如说在拒绝所有的内部流量时可以运行桌面系统的远程连接。你也可以在协议,端口和IT地址基础上重新定义。
嵌入式0OfficeScan客户端防火墙是入侵防御防火墙插件,由趋势科技以独立的许可证授权形式单独提供。入侵防御防火墙能执行对所有导入和导出数据流量的深度打包检测,帮助管理员剔除非法的网络流量。入侵防御防火墙还是一款功能全面的打包检测引擎,它无需额外的RAM内存,也不会在网络上增加任何引起注意的延迟。
OfficeScan是这几款安全产品中唯一一个包括了嵌入式Cisco NAC协议支持的套装。对于那些已经配置了Cisco NAC的企业,OfficeScan可以将其直接集成到客户现有的协议服务器中,通过已有的Cisco Trust Agent来提供网络访问控制。
报表引擎是OfficeScan的弱势。客户端连接的图形显示方便直观,易于阅读,Update Status能显示签名和应用软件版本。与迈克菲的ePolicy Orchestrator不同,管理员不能使用OfficeScan来创建自定义报表或者图形。
趋势科技的OfficeScan对于Windows用户来说是一款不错的全方面安全保护套装。管理控制台存在部分界面的问题,但是访问所有的系统和协议只需一次点击即能完成。报表功能有所局限,但是与Cisco NAC的紧密结合确实是附加的亮点。
#p#
总结
通过对这五款安全产品的测试和体验,笔者又惊又喜的发现Sophos Endpoint Security and Control以微弱优势超过赛门铁克的Endpoint Protection荣膺榜首。Sophos的解决方案提供了卓越的客户端平台支持,包含了可以保障终端安全的核心服务。同时对于管理员来说方便操作,全方位的报表引擎在这五款产品对比中也得分最高。