如何评估、比较和实施企业级反病毒软件？

　　反病毒软件问世有些年头了，几乎与软件病毒的历史一样久远。但由于个人电脑环境面临种类日益繁多的威胁，企业级反病毒软件市场出现了两大潮流：

　　1、不仅限于基于特征的防护。恶意软件在不断增加和变化，因而安全厂商不可能单单使用特征来识别和防范一个个威胁。赛门铁克公司在年初曾宣布，自从它在2007年开始跟踪恶意代码威胁以来，总共检测出了几乎170万个威胁，这表明恶意代码特征猛增了265%。

　　除了特征外，安全厂商现在还使用另外的技术，比如应用程序控制（又叫白名单）和主机入侵防护系统（HIPS，又叫启发法）；前一种技术只允许授权代码可以运行，后一种技术可监控代码的行为。要是行为偏离“正常”，HIPS就认为代码是可疑或恶意的，因而阻止代码运行。HIPS可以采用执行前模式、运行时模式，或同时采用两种模式。

　　2、功能增强了。许多企业级反病毒软件厂商增强了独立工具的功能，使其成为不但能防范恶意软件，还能防范黑客和数据丢失的套件。

　　企业战略集团（ESG）的分析师John Oltsik说：“总的潮流是，端点处的安全软件变得更庞大、功能更全面。”他表示，具体来讲，反病毒、反间谍软件和防火墙软件正在与端点安全操作、数据丢失预防和全盘加密融合起来。弗雷斯特研究公司的分析师Natalie Lambert补充说，厂商通常提供的另一项功能是网络访问控制。她表示，这些工具可以根据客户端符合安全政策的情况，控制其对网络的访问。

　　在一些情况下，厂商们还在把安全产品与操作功能融合起来，比如补丁及配置管理、端点配置和备份等功能。Oltsik说：“大型厂商会单单销售安全产品，但它们在说服客户，应作为一个整体来管理安全产品。”他表示，这个理念会渐渐得到接受。他说：“眼下，安全产品和技术比IT部门所处的阶段要领先两年。”

　　下面是比较和使用企业级反病毒软件时应考虑的几个要点。

　　企业级反病毒软件的须知事项：

　　要考虑套件的优势。据Lambert声称，反病毒软件的主要差异在于厂商们捆绑到客户端安全套件当中的功能。由于用户面临各种各样的挑战：恶意代码、数据丢失以及连接到企业网络的不安全机器，他们越来越希望一下子克服这些挑战，而不是借助多个单点产品。Lambert说：“机器上多安装一个产品，其运行速度会变得更慢，增加需要管理的另一个控制台，还增加了许可证和需要购买的其他东西。既然能从一家厂商地方买到功能更多、价格又比较便宜的产品，为什么要三番五次地活受罪？”

　　一家大型包装食品制造商的信息安全主管认同这个说法。他表示，正因为趋势科技公司增添了安全功能和特性，比如客户端防火墙管理和间谍软件清除功能，所以他公司才得以减少需要管理的安全产品的数量。他部门以前有五六个控制台来管理安全产品，现在减少到了两个。

　　明尼阿波利斯市市场营销公司CMS Direct的高级网络工程师Michael Bell很看重下面这一点：安全厂商Sophos将许多安全层集成到一个软件包中；实际上，他盼望Sophos能集成客户端防火墙，目前这种防火墙作为一个独立模块来提供。

　　不要接受差劲性能。众所周知，反病毒软件要消耗大量资源，不过如今一些厂商在性能方面很重视。据Bell声称，比如说，Sophos就使用检索等技术，减少资源密集型扫描的次数。

　　能源企业NuStar Energy的基础设施系统经理Robert Amos使用微软Forefront后，也发现性能较以前的系统有了改进。他表示，他用过的许多企业级反病毒产品存在严重的性能问题，但Forefront每六小时执行一次扫描；Amos说，该产品在运行时，自己并非总是注意到它。

　　要调查白名单功能。白名单或应用程序控制是一种新兴功能；Lambert表示，这项功能比HIPS更胜一筹，因为除了监测活动外，它还能阻止恶意软件在系统上运行。借助白名单功能，管理员就可以为其环境制作一份授权应用程序的名单，不允许未经授权的软件运行。

　　Oltsik表示，白名单存在的问题是，在Web 2.0环境下，人们经常下载新软件，无论是为了用于办公还是个人使用。白名单在固定的职能部门（如订单录入部门或呼叫中心）也许很好用，但如果你的人员经常与外部的合作伙伴或者进行市场调研的营销人员联系，“你会没完没了地接到试图下载但下载不了的人打来的电话，”他说，“问题在于，你在实际执行时想要多严格。”