13款桌面安全套装横向评测

安全套装大比拼——国外部分

　　为了找出谁是今天最值得信任的软件包，我们在安全套装大比拼的国外部分选择了10款国外主流的产品来进行测试(这其中包括赛门铁克、趋势在内的产品也是国内用户安全防护的首选)。它们有的是新旧产品组合起来的软件包，有的是过去就一直在用的。我们将在性能和可用性方面对其进行测试。

　　我们主要关注四个因素：性能(恶意软件检测和速度)、功能、设计(是否易于使用)和售价。首次购买软件并带有一年免费升级的软件包的售价范围在40美元到80美元；而后你就必须支付升级费。性能方面，看看安全软件与其前一次更新之后使用起来是否有所变化，因为升级包中会包含引擎的调整部分，还有防范新恶意软件的信息。至于功能，产品要保持一致性，不过有可能会增加一些有用的附加程序。

　　在评估设计方面，我们主要是看软件安装是否方便，各项功能是否易于使用，软件是否详细的介绍了其各个选项。我们也会对恶意软件提示进行评估，这主要是看对话框是否提供足够的信息来帮助消费者作出下一步如何进行的判断。但是我们最关注的还是性能，包括软件包在检测和阻拦入侵威胁时的表现和能否有效清除计算机中已经安装的恶意软件。我们与一家德国研究公司AV-Test.org签订了合约，它们负责为每个软件包提供十七万四千个蠕虫、病毒、后门程序、bots、间谍程序、木马样本。另外，AV-Test.org也会对每个软件包和防火墙检测未知病毒的能力进行分析。我们会看看每台测试系统执行完全系统安全扫描的时间，也会使用WorldBench 5看看使用软件后是否会减慢应用程序运行速度。

　　尽管我们的测试涉及内容已经非常广泛了，但是我们还不能完全对基于行为的检测进行评估。微软、Panda和Zone Labs软件包提供此项技术，它可以依靠产生的行动来鉴别是否属于一个新的威胁，比如，如果一个程序试图改变注册表的数值。此种功能是基于签名的检测的可靠补充，不过进行完全的测试对于此次测评来说难度太大。

　最佳防护者

　　我们测试的所有软件包都有一技所长，但是整体表现欠佳。得到此次桌面安全套装横评国外部分BestBuy大奖的是赛门铁克的软件包，它在整个测试中表现非常稳定，在AV-Test.org后门、bots和木马的检测中排名第二，并且防火墙得分排名第一。它提供IM保护、父母控制和隐私数据保护等多个功能。不过它的界面还是需要改进一下，并且其电话技术支持收费太贵了，为每事件30美元。

　　在我们的恶意软件测试中最佳表现者为McAfee软件。它也提供IM保护和防钓鱼IE插件等额外功能。不过，这个软件包在安装时太过麻烦，而且电话支持的售价非常高，为每分钟3美元。

　　Zone Labs的软件集成了CA老版本eTrust antivirus引擎，在性能测试中排名第七，不过它的防火墙相当不错。Zone Labs计划在六月份升级CA引擎。不过由于它有许多好功能，而且易于使用，这个软件包的整体排名始终停留在第六名上。

　　BitDefender的软件性能表现之差让我们大出意外。速度缓慢，广告软件检测也一般，要不是防火墙的表现尚可，恐怕第九名的整体排名还得继续后移。

　　Newcomer Aluria价格低廉，但排名垫底。这个软件可以检测你的整个硬盘，但是缺少检测用户定义文件和文件夹的能力。它也检测不到嵌入在ASPack或UPX等可执行文件中的恶意软件(蠕虫作者将恶意软件隐藏在压缩的可执行文件中，有时候，为了避免安全软件的检测，它们会找到现有的恶意软件、重新进行包装)。此外，默认设置下Aluria的防火墙也太容易通过了，简直形同虚设。

病毒、间谍软件和广告软件

　　McAfee和F-Secure的软件包在寻找病毒和间谍软件方面表现最好，在相关测试中每一项得分都在前三名。Panda在发现未知病毒的测试中表现最好。McAfee和Aluria软件包在检测广告软件中胜出。

　　提示：间谍软件现在已变成keyloggers、广告软件、后门和其它网络掠食程序(许多软件都已存在很长时间了，并未被研究人员标识为间谍软件)的统称。在我们的测试中，我们将间谍软件和广告软件区分开来。真正的高破坏性间谍软件都囊括进AV-Test.org的bots、木马和后门中。软件包的最终检测率是我们判断能否检测出间谍软件的一款极好的指示剂。广告软件(带来讨厌的广告程序，并有收集网络数据的习惯)的检测是另外单独的测试。

　　绝大部分软件包在检测1822个2006年一月份WildList中包含的引导文件、文件、宏、脚本恶意软件方面都非常成功。WildList囊括了广泛分布的病毒、蠕虫和bots。让人吃惊的是，Aluria的软件包没有发现引导区病毒，微软beta版本软件包在14个蠕虫中仅找到7个，趋势科技的软件在两个蠕虫中仅找到一个。在我们的WildList测试中，统计下来，引导区病毒最无关紧要，这也就说明了Aluria的得到满分的原因。不过，你的安全软件应该能够检测到所有的WildList威胁。

　　AV-Test.org包括了168,523个后门、bots和木马。CA软件包仅检测出37%的后门，72%的bots，39%的木马。Zone Labs的软件包得分最差，找出30%的后门，49的bots，31%的木马。F-Secure的软件包表现最好，发现了98%的威胁。

　　在广告软件测试中McAfee的软件包得分最好，找到96%的运行中的威胁。Aluria凭借自身在广告软件和间谍软件业的雄厚背景，检测率为89%，排名第二。不过，Zone Labs软件包又一次表现最差，仅检测出46%的广告软件。

　　为了评估未知病毒，AV-Test.org将软件升级时间推回到1月份之前，让它们对2006一月份的WildList恶意病毒进行检测。Panda的软件表现最好，检测出91%的文件。F-Secure排名第二，仅检测出76%。而微软的程序表现最差，检测出41%，Zone Labs的程序排名倒数第二。不过，我们必须注意，微软和Zone Labs的基于行为的功能也许会对检测有所弥补，从而提高其整体结果。比如，AV-Test.org发现Panda TruPrevent会阻拦90%的网络和e-mail蠕虫，Zone Labs的OSFirewall也会阻止高达70%的网络和email蠕虫。

　　我们也评估了软件对于检测隐藏在后缀名为.zip、.rar、.cab文件以及压缩程序文件ASPack和UPX方面的能力。在文件被压缩、多次使用或者自我解压时，绝大部分软件都可以检测到其中的病毒，但是它们很少能看出运行时压缩程序文件中的问题。F-Secure、McAfee和BitDefender软件包表现最好；Aluria和Zone Labs的软件表现最差。Aluria表示，下一版本软件包将拥有检测压缩的执行文件的能力，计划在后半年推出，目前用户可进行免费升级。Zone Labs表示，其正与CA协作，致力于提高其产品在检测压缩恶意软件方面的能力，其OSFirewall现在仅能在压缩文件解压后检测出并阻止已知和未知的恶意软件。

　　理想的状态应该是安全软件会在第一时间检测和阻止所有威胁。而实际上，坏东西总是会找到缺口遛进来。我们从WildList中选择了十个蠕虫，让它们攻击测试软件包，看看软件清理文件、更正注册表目录和更改host文件的能力。McAfee软件能清除大部分恶意文件，进行系统更改，抹去病毒留下的足迹，但是唯独无法更正指向安全软件自身的Mytob变量。微软产品表现也不错，能够清除所有的蠕虫和残迹，只是Netsky.BA和Mytob.AR对于注册表的改变无法进行更正。F-Secure的软件包在发现恶意软件方面表现不错，但是删除工作却不尽如人意，找到了十个蠕虫文件，但是只删除了其中五个。

防火墙大战

　　现在防病毒软件和防间谍软件之间的界限越来越模糊，软件防火墙相对来说倒显得职责明确，它主要负责监测网络进出的流量，以及纪录可疑行为。我们测试的十个软件防火墙都允许用户设定通用的安全级别、个人应用程序的允许名单和黑名单，并激活指定端口和网络协议。

　　好的防火墙可以在流量方面进行区分，在遇到大问题时发出警告，在检测到可疑行为时提供足够的细节以供你作出准确判断。稍差一点的防火墙一发现有可能阻挡流量的无法辨认的信息，就发出警告。因为警告太过于频繁，你也许会因为太过于心烦而关闭掉防火墙。

　　我们对软件包防火墙进行测试，主要是测试防火墙在默认状态下抵御外部攻击以及PC上的恶意软件的攻击能力。CA、微软、赛门铁克和Zone Labs在抵御内部攻击测试中得分均为100：恶意软件对于内存中的防火墙不起任何作用，也不能将软件从硬盘中删除，以及盗取合法程序的身份。比如一些恶意软件会伪装为IE，获得与IE同样的权利。无论我们在测试计算机上安装四个程序中的哪一个，后门程序都无法破坏IE。

　　在默认设置下，Aluria的防火墙没有通过抵御内部攻击的测试，但是提高其设置级别，它就通过了盗取程序使用权测试和后门测试。Aluria表示，软件包的默认安全级别打开了80和443端口，故意将初始防火墙给用户发送警告的数目最小化。Aluria软件的产品经理Jack Dunston表示，Aluria希望其用户能够按照自己的想法配置产品。

　　我们也对防火墙是否能够识别出从PC窃取数据并向外发送的恶意软件进行了测试。Zone Labs的防火墙又是百分之百成功，通过了所有17项漏洞测试。微软排行第二，通过了7项测试。剩下的产品得分都很低，而Panda的产品一个测试都没有通过。谨记，AV-Test.org使用标准漏洞测试工具，而此工具安全销售商都有。比如，Zone Labs对产品进行了完善，所以通过了所有漏洞测试，而Panda表示，其并未为漏洞测试对软件进行优化，相反仅依靠其基于TruPrevent行为技术来判断哪一条代码是恶意的。

　　在我们对于抵御外部攻击的测试中，CA、F-Secure、McAfee、Panda、赛门铁克和Zone Labs的软件得分都为100。这些软件将所有标准和秘密端口扫描都阻止了。它们会中断试图通过为基于SMB文件共享而开放的端口进入PC的互联网流量，这也就意味着它们可以区分你家用网络中的好流量和坏流量，它们也不会泄漏测试计算机操作系统的信息。不过Aluria的防火墙在默认状态下只通过了四项测试中的两项，不过若在高级设置下，它得分也为100。趋势科技和BitDefender的防火墙都没能阻止SMB共享的打开，而微软防火墙也一样，更有甚者，微软防火墙在面对端口探测器时操作系统门户形同虚设。

附加功能

　　所有的软件包都具有防垃圾广告保护，不过相较而言，它们的功能还是有些差异的。McAfee和Panda产品安全附加功能最全，而微软附加功能最少，尽管OneCare确实包括备份软件和磁盘调整工具。

　　除了Aluria和微软的产品，剩下的所有软件包都拥有父母控制功能。父母可以使用此功能阻止有害的网站内容，比如性、毒品和赌博。趋势科技的软件包提供同等功能的URL过滤功能，不过它并不把此称为父母控制。虽然CA的软件包并不提供父母控制功能，但它提供一张CD，里边拥有通过BlueCoat的K9网站保护来提供相似服务的程序。Zone Labs的软件包为分类网站提供智能过滤动态实时评级，目前主要基于用户和软件定义的允许名单和黑名单。BitDefender、McAfee和F-Secure软件包提供的功能更广泛，允许父母指定孩子上网的时间。

　　CA、McAfee、Norton、Panda、趋势科技和Zone Labs软件包提供隐私控制，此功能可以防止信用卡信息等隐私数据从你的计算机中外流，不过这些软件的高隐私设置就有些危险了。比如每当站点下载一个cookie到我们的测试系统时，哪怕是从一个知名站名，比如纽约时报或PCWorld.com，赛门铁克软件包的最大隐私设置都会调用一个高风险的cookie警告。在软件包的默认设置下，这种cookie其实并不被认作高风险。

　　其他好功能：The McAfee、Panda、赛门铁克和Zone Labs软件都能为感染的附件而对几个IM客户端进行扫描。微软的扫描仅限于MSN Messenger。Panda、趋势和Zone Labs的软件都会在侵入者偷偷占用你的Wi-Fi连接时向你发出警告。售价在80美元的McAfee家用网络安全软件也能提供对于Wi-Fi网络的保护。

　　有些附加功能非常方便，但是有些功能却会使得软件的界面显得相当臃肿。最明显的一个例子是赛门铁克的Norton Protection Center，它是一个附加的窗口，用来监视软件组件的功能。它会在本已拥挤的系统盘中再加一个图标，定期弹出来告诉你安全保护的状况，它也会为其他相关产品进行行销。数据恢复部分也会一直显示“no coverage”的信息，直到你购买并安装了赛门铁克售价为50美元的SystemWorks工具软件包。

安装和可用性

　　易于使用的软件的特征应该是安装容易、易于配置、运行速度快、能对潜在恶意软件发出明确的提醒。微软和趋势科技的软件都符合这个标准，但是原因又有所不同。微软的产品易于配置，因为它并不需要过多配置，供PC用户进行配置的选项非常有限。相反，趋势科技的软件功能又多，使用界面又方便，而且非常美观。

　　所有的软件包都能正确的被安装，所有测试计算机的网络设置都能被正确的进行配置。我们的苦恼仅限于McAfee的软件：它在安装过程中需要重启五次，而且需要创建用户名和密码。接着会出现对话框要你选择是否接收病毒防护、McAfee优势和McAfee伙伴优势的时事通讯。而且起初我们无法通过Firefox下载软件升级包，我们不得不使用IE，并暂时允许弹出窗口才得以完成。

　　CA的软件从整体来看最差，它竟然在系统盘中放了四个图标。而且，主界面也并不会链接到Blue Coat的父母控制上。

　　赛门铁克的软件感觉上去更擅长沟通，经常弹出软件状况警告和cookie警告。有些人也许需要具体说明，而不喜欢详细说明的人更乐于选择F-Secure的软件，它有许多深层设置，但是设置的说明很少。

　　产品之间的速度也有所不同。Panda软件在病毒扫描中完成最快，扫描14.7GB的文件和文件夹仅用了6分39秒。趋势科技排名第二，扫描时间为7分37秒。F-Secure速度最慢，完成扫描的时间为28分46秒。F-Secure表示其实时保护和五个扫描引擎(两个用来扫描病毒，一个用来扫描间谍软件，一个用来扫描rootkits，一个用来扫描未知病毒)造成了速度的减慢。

　　我们也测量了软件对系统负载的影响。我们将软件按照默认设置安装在计算机上，而后运行WorldBench 5。微软产品造成的负载影响最低，在9个WorldBench 5应用测试中它仅占用了不超过4%的时间。若是占用了15%就非常明显了。Aluria软件包消耗系统资源最为厉害，在ACDSee PowerPack和微软Windows Media Encoder测试中占用了双倍的执行时间。BitDefender的软件也大大占用了系统资源，在微软Office 2002测试中增加了25%的执行时间，在Mozilla测试中增加了69%的执行时间。

　　我们也对发现恶意软件时发出的警告做了评估，微软防火墙警告中提供试图通过互联网应用程序详细的名称和路径信息。BitDefender的软件提供的病毒警告信息详细程度要优于防火墙警告。McAfee软件拒绝将威胁分成广告软件或者间谍软件，相反却使用模糊术语PUP(潜在有害程序)来作为定义。为了详细了解警告内容，你可以参考每款软件的在线评论。

　　整体而言，最高级别的软件比如赛门铁克和McAfee，在完成所有任务的测试中也并非都表现出色。这对于某些有强烈需求的用户而言，他们最好还是选择具有更高品质的专门安全软件。但是对于绝大部分用户而言，也许方便使用还是占据在首要位置上。

让ISP为你提供安全软件

　　实际上，没有人真的乐意花钱购买安全软件，但是聪明的计算机用户知道这味预防药是不能不买的。不过也许许多用户并未意识到他们已经开始免费使用这类软件了。

　　当互联网上出现的威胁越来越多时，许多大的互联网服务提供商，比如美国在线、EarthLink、PeoplePC都开始向其客户提供安全软件。通常这些软件仅是与家用工具绑定在一起，无需使用额外定制的程序，其中有些程序也包含在我们今天的测试中。

AOL软件

　　比如AOL的安全和保险中心中就捆绑提供了公司自己的防广告保护、父母控制、阻止弹出窗口、防钓鱼工具和McAfee软件包中的防火墙、防病毒及防间谍软件。

　　公司发言人Andrew Weinstein表示，AOL的软件包含了不同的应用程序，但是在用户看来它仅是一个28MB的无缝程序。“原来我们旨在方便上网，现在我们是希望方便安全管理。”

　　AOL帮助安全管理的另一个解决途径是在其服务器上就将一些互联网威胁阻止掉，避免其进入消费者计算机中。Weinstein表示，每天公司都会为客户拦截掉八百万个钓鱼程序，将近一百五十万个垃圾广告。

EarthLink对抗防间谍软件

　　EarthLink致力于成为一站式软件提供商，因此其在2005年购买了防间谍软件公司Aluria。现在EarthLink的保护控制中心为其用户提供16MB的拨号和宽带免费下载，非EarthLink用户仅需支付每月5美元的费用也可进行下载。保护控制中心包括了两公司编译的程序和合作商Authentium提供的防病毒、防火墙功能。

　　EarthLink安全应用产品经理Ben Kaplan表示，EarthLink选择Aluria作为合作伙伴的一个原因是其技术可以进行修改。“我们可以将他们的技术应用到我们自己的产品中，并对其进行控制。”解决方法非常简单，EarthLink提供统一的界面进行管理。公司估算了一下，目前有一百四十万用户使用此软件。

　　EarthLink的子公司PeoplePC提供便宜的拨号互联网连接，最近推出其新开发的基于Aluria的互联网安全软件。这个软件类似于EarthLink软件，但是外观不同。公司的Security Plus成员可以免费下载此程序，普通用户可以每月2美元的售价购买此产品。

　　你考虑过为什么ISP愿意涉足提供此领域并牵扯进这些复杂安全服务的麻烦事中呢？其实答案非常简单，他们希望让自己的客户满意。正如Kaplan所言，“我们在保护客户和留住EarthLink客户方面投入了很多。”

　　对于国内厂商送测的产品，我们主要从三个方面展开评测，分别是：性能、功能和设计。在性能部分我们主要考察这些产品在完成安全保护工作过程中的效能，同时运行速度也是该部分重点考察的问题。在功能测试方面，我们详细验证了每个产品的核心功能，并着重对那些具有创新特质的功能进行考察，以全面的评估产品的综合价值。而对于参测产品的设计主要集中于产品易用性的评估，包括软件是否易于安装和使用，以及软件的选项是否容易配置、设定是否合理。

　　针对防病毒模块的检测能力，我们安排了三项病毒扫描测试，其扫描目标分别是WildList样本集(包含100个2006年5月WildList中列举的病毒)、Zoo样本集(包含7003个从2003年至今传播过的病毒)、2006年流行样本集(包含45个在2006新出现的病毒)。所有参测产品均在2006年7月12日执行更新并完成检测工作。

　　由于间谍软件的流行，套件型的桌面安全软件已经广泛的集成了独立的反间谍软件模块，在针对这类模块的测试中我们采用的主要是广告软件样本集(包含39个流行的广告软件)以及恶意软件样本集(各种具有间谍软件特征的样本共588个)。

　　而对于防火墙模块，我们主要从由外向内和由内向外两种连接方向考察防火墙的工作情况。在由外向内方面，我们透过GRC提供的防火墙端口静默测试功能检测每个产品是否能够有效的对外隐蔽自己，这项测试会列出被测计算机的前1056个TCP/IP端口哪种状态，在开放、关闭、隐秘三种状态中隐秘是唯一真正安全的状态；而在由内向外部分，我们使用测试参测产品是否能阻止从测试计算机向外发起的数据连接，这项测试反映了产品是否能够防止恶意软件在感染后与外部网络环境进行通讯。