如何评估、比较和实施企业级反病毒软件？

　　要研究其他新兴的客户端安全工具。据Lambert声称，除了白名单外，另外还有四种新兴工具可用于端点防护，因为它们能消除更复杂的威胁。这些工具包括：设备控制，让管理员可以针对可接受的设备制定政策，规定个人电脑可以访问或不可以访问哪些设备；全盘加密，机器关机后可对硬盘进行加密；文件加密，当用户把单个文件保存到指定位置时，可以保护文件；以及数据泄露防护，可以监控和执行数据使用政策。她表示，购买这些工具的企业通常不到三成，但安全经理们应该开始试用一下。

　　不要对HIPS感到绝望。Lambert表示，虽然HIPS解决方案仍不成熟，误报率又很高，但仍应该将它们与反恶意软件解决方案结合起来使用。她认为应用程序控制技术最终会取代HIPS，但HIPS在保护机器免受缓冲器溢出之类的问题方面还是会很有用。

　　Sophos的扫描引擎提供了内置的HIPS功能，CMS Direct公司的Bell对此很高兴。他使用该功能来阻止用户下载可能不需要的应用程序，比如广告软件。他表示，你可以选择收到警报，然后使用集中式政策管理功能，准许或阻止使用被标记的应用程序，而不是说系统不加区别地自动阻止行为可疑的应用程序。

　　要考虑信誉服务。为了把其环境中的其他工具换成趋势科技提供的功能，那家包装食品公司在测试这家安全厂商的信誉服务功能，看看能不能取代目前使用的URL过滤工具。信誉服务的工作机理是，检查用户试图访问的每一个网络地址；要是发现该地址在已知恶意网站的名单里面，就阻止访问。

　　要重视易用性。谁也没有多余的资源投入到安全上，因而易用性成了一个重要问题。这意味着厂商们更加关注仪表板（dashboard）以及更容易的报告、管理和部署等机制。

　　所用产品的集中管理和一目了然的仪表板给Bell留下了深刻的印象，因为一旦客户机没有遵守安全政策，马上就能看出来。Bell表示，他之所以没有使用以前那款软件的仪表板功能，是因为之前的仪表板看不大懂；用户有时会反映他们已有30天没有更新了。他说：“短短五分钟内，你就能看到每个人都更新好了。”

　　同样，那家食品制造商的主管表示，高级的报告模块简化了向高级经理报告网络防护方面的情况。以前要是向上司汇报，需要手动整理多份报告。如今报告机制实现了自动化，报告会发布到内联网上。

　　要考虑多个扫描引擎。没有哪个扫描引擎是完美无缺的，这就是为什么有些厂商（如微软和赛门铁克）在开始使用多个扫描引擎，以便提高成功逮住恶意软件的概率。伯顿集团的分析师Dan Blum说：“不同引擎存在不同盲区。”

　　Amos说，有了Forefront的多个扫描引擎，好比选择两家公司的不同扫描功能，把两者装在一台机器上。他说：“即使一方检测恶意软件的能力比另一方稍微逊色，你也得到了双重保护。”他打算部署四个不同的软件代理来用于扫描。

　　要考虑软件即服务。正如其他产品领域一样，许多厂商在把一些反病毒功能作为一项服务来提供，比如反恶意软件、信誉服务、特征更新和报告等功能。这可能更具成本效益；据Blum声称，虽然大企业可能会将大部分功能留在内部，但用户可以采取一种混合模式：对集中的员工队伍使用内部部署型系统，而对边远办事处的用户使用软件即服务（SaaS）。

　　在一些情况下，厂商们在使用软件和服务相结合的混合模式，以提供额外或增强的功能，比如多个扫描引擎或信誉数据库。Blum说：“这种方法所提供的安全功能比单单一张光盘丰富多了。”

　　要有零日攻击策略。如今的系统存在一大软肋，那就是防范零日攻击的本领比较弱。Blum说：“当典型的安全软件包遇到一种以前没见过的新型恶意软件时，检测不出的概率相当高，高达50%。”

　　那家包装食品公司通过桌面锁定策略来缓解这个问题。该公司基于这样的前提：大多数恶意软件是通过企图写入到注册、系统文件夹或驱动盘根目录来搞破坏的，于是对桌面进行了配置，阻止这种行为。

　　不要忘了恶意软件清除功能。检测病毒是一回事，清理病毒造成的危害又是另一回事。Bell当初之所以选择Sophos，一个主要原因就是在使用趋势科技、迈克菲和赛门铁克等其他安全系统的几年间，他总是注意到：Sophos每回抢在其他厂商之前提供清除工具。实际上，他在过去几年里被一种病毒感染了两次后（该病毒导致他公司的个人电脑发送垃圾邮件），使用Sophos的工具彻底清除了该病毒。他说：“这种防护效果成了我们公司后来决定改用Sophos的一个重大因素。”他表示，他目前使用的系统却识别不出这种病毒。

　　同样，Amos表示，Forefront的清理和清除功能胜过他以前使用的系统。他说：“以前的系统虽然会通知我，但清除不了，因为被感染的是打开的文件或系统文件，而它没法对这种文件进行处理。”这需要桌面安全小组在安全模式下启动机器，然后在注册表手动清除相关条目或删除文件。他表示，有了Forefront，没必要干这个活了，为桌面安全小组节省了人力。

　　要认真考虑成本。由于桌面端安全需求越来越大，用户在想方设法降低成本。据Lambert声称，同类中最佳的客户端安全工具（如反恶意软件工具）单机版的平均零售价是40美元（全盘加密等其他工具高达80美元）。

　　控制成本的一个办法是用一套系统来保护尽可能多的对象。比如说，那家食品公司减少了需要管理的安全控制台的数量，从而降低了总体拥有成本。

　　Amos使用Forefront后，每年能节省35000美元的成本，这主要是由于微软的许可政策发生了变化。他公司一直使用Forefront来保护SharePoint和Exchange，但是即使他在考虑用于个人电脑环境的新反病毒软件时，也没有考虑到Forefront这款软件。那主要是因为个人电脑环境和服务器环境通过不同的基础设施来加以管理。他之所以找一家新的反病毒软件厂商，初衷主要是为了降低每台机器的成本。不过，任何新产品都需要对目前的基础设施收集特征、进行报告的方式进行全盘的重新设计，主要是由于这家公司的环境非常分散——公司总部外头有100个办事处。

　　后来Amos在与微软工作人员聊起来时意外得知：按企业许可协议规定，这家公司可以将Forefront用于其工作站，根本不用另外付费。现在，Amos使用一款标准化的工具，就能针对所有系统进行保护、监控和报告。他说：“我们人手很少，一个人要干几份活，所以他们对单单一款应用软件越熟悉，就能越有效地利用这个资源。”他表示，Forefront还与活动目录集成起来，因而很容易将软件分发到新机器上。