底层防护 诺顿网络安全特警2007深度评测
时间:2022-09-06 07:35:14
赛门铁克是老牌的安全防护软件厂商,其诺顿产品在用户中有很好的口碑,曾有网友用东邪、西毒、南帝、北丐来形容不同的杀毒软件,关于诺顿的部分是这样写的,“诺顿就像南帝,雍容华贵,稳沉厚重,胸怀博大,练的是纯正内功,靠的是教化感人,对敌有慈悲心肠,一般采取隔离教化,使其不再作恶,很少杀人,称的上是一代宗师”,将诺顿比喻为南帝可见诺顿的安全防护软件在用户心中的地位。不少政府部门在进行政府采购的时候,选择的也是诺顿的杀毒软件,足见诺顿的产品在用户中的认可度是比较高的。
诺顿安全套装一向包括杀毒软件和防黑客软件两部分,很多其他的安全防护软件也是这么来划分的。不过多数软件即使是套装软件,两个防火墙也是独立的。这是因为早期病毒的危害要远远大于黑客、恶意程序等的危害,光盘、软盘、网络都可能成为病毒感染的途径,网友对病毒的重视程度也大大重于对黑客攻击的重视程度。但是又要照顾到网络攻击以及恶意程序的存在,单独设立一个防黑客软件也在情理之中。不过随着网络的发展,来自网络方面的威胁比例越来越大,无论是病毒还是恶意程序,绝大部分都是通过下载文件、网站访问、远程攻击等网络途径来实现的,病毒防护已经融为网络防护的一部分,这时候杀毒软件和防黑客软件实际上已经不太好做细致的区分了。
诺顿这次推出的诺顿网络安全特警2007(以下简称为NIS2007)的组件包括诺顿防病毒软件、诺顿个人防火墙、诺顿反间谍软件和诺顿防网页仿冒软件,主要功能包括防病毒、反间谍软件、双向防火墙、Rootkit检测、入侵防御以及反钓鱼。实际上诺顿已经将病毒防火墙和网络防火墙合二为一,并且加重了对在线威胁的防护,这相对于2006版是一个很大的改进。
从诺顿的官方网站上可以看到,除了诺顿网络安全特警2007的网络下载版在进行在线销售外,还有诺顿防病毒软件2007网络下载版在进行销售,看来诺顿在与时俱进的同时,依然还照顾到了一些只需要防病毒软件的客户。
我们用来测试的是NIS2007的15天试用版,15天试用版除了使用期方面与正式版存在差别,在功能方面都是与正式版完全一致的,通过这个版本我们也足以了解到NIS2007的优势与不足。
二、安装NIS2007
NIS2007的15天试用版安装光盘里只有一个安装文件“NISO7100.exe”,大小为38.5M,运行这个安装文件即可开始安装NIS2007。(如图1)
安装的默认路径是C:\Program Files\Norton Internet Security, 用户也可以根据不同的使用习惯自行选择安装目录。(如图2)
安装之前会提示是否扫描可能阻止成功安装的风险,可以选择跳过这一步。不过笔者建议大家还是老老实实的按照步骤走,因为除了系统中的病毒可能会影响软件安装外,不同的安全防护软件之间可能存在兼容性问题,影响可大可小,小到安全防护软件无法安装或者工作不正常,大到系统无法使用。NIS2007在安装之前就可以检测出可能影响软件本身的风险,可见诺顿在设计上还是比较谨慎的。(如图3)
安装最后会弹出注册窗口,我们选择的是15天试用,用户如果拥有产品密钥就与正版没有区别了。(如图4)
安装完成之后会运行LiveUpdate软件进行安全更新,这是每个安全防护软件都会做到的一步,可以确保安全软件的病毒库和规则库时刻处于最新状态。(如图5)
三、启动及界面设计
NIS2007启动速度很快,随系统启动时几乎感觉不到延迟,官方给出的程序启动时间是33秒,从实际情况来看诺顿不存在任何夸大数据的嫌疑。NIS2007的图标位于任务栏,这与传统风格有些区别,用户如果不习惯的话可以右键点击图标选择将其缩回到系统任务栏。(如图6、7)
NIS2007的界面比较大气,由于这款软件可以升级到兼容Vista,因此在界面风格上与Vista也有些近似之处。从截图上可以看到一个大大的惊叹号,这是由于NIS2007加入了对是否进行过全面系统扫描的检测,有些杀毒软件也具有这项检测,但是如果不完成全面系统扫描就会不停的提示,比较烦人。NIS2007采用的是静默的方式,仅将需要注意的地方在主界面明显标明,是否需要处理由用户自己决定,而不是将意愿强加于用户身上,这也秉承了诺顿的一贯风格。(如图8)
主界面的左下方设有快速任务模块,包括运行LiveUpdate、立即扫描和查看历史记录,这都是需要经常用到的项目,设计理念和Windows的快速启动栏颇为相近。首次运行LiveUpdate需要更新近24M的数据,更新速度视网络情况而定,更新过程中如果点取消按钮,LiveUpdate则会自动转入后台进行更新,而不是停止更新,此时如果再次运行LiveUpdate,系统则会进行提示。(如图9、10)
立即扫描并不是进行全盘扫描或者自定义扫描,而是对易受感染区域和启动文件进行扫描,这样可以最大程度防止病毒扩散或者反复发作。(如图11)
在安全历史记录中可以看到每一项操作的详细信息,而且每个操作还被标以不同级别,以便引起用户不同程度的重视。(如图12)
四、测试平台说明
NIS2007提出的系统要求如下:
Windows XP Home / XP Professional(有资格享有免费的Windows Vista兼容性更新)
300MHz处理器或更高频率的处理器
至少256MB内存
350MB可用硬盘空间
DVD或CD-ROM 驱动器
支持电子邮件扫描且兼容 POP 和 SMTP 的电子邮件客户端。
支持即时消息客户端AOL Instant Messenger 4.7或更高版本Yahoo! Instant Messenger 5.x或6.x、MSN Messenger 6.0或更高版本
网页仿冒防护功能要求使用 Microsoft Internet Explorer 6.0 或更高版本
除了必要的硬件要求,NIS2007还提出了一些特色功能实现所必需的软件要求,例如对IM软件的要求、对IE版本的要求等等,我们测试时采用的平台如下,P965+E6300的平全可以消除诺顿网络安全特警发挥的平台性能瓶颈,而采用干净的Windows XP SP2简体中文专业版也是为了减少其他应用软件造成的影响,总之,是为NIS2007创造一个可以充分发挥的环境。 (如图13)
五、病毒防护功能测试
病毒防护功能测试先进行速度方面测试,快速扫描只是对易受感染区域和启动项进行扫描,几千个文件30秒左右就可以扫描完毕。(如图14)
在进行全面扫描的时候我们遇到了一点麻烦,由于NIS2007默认开启了压缩文档扫描,但是没有选项可以调整压缩文档扫描的深度,这样一来如果压缩文档的层次较多,大量这样的压缩文档在一起就会大大降低扫描速度。我们测试的硬盘容量为120G,SATA接口,硬盘共分了两个区,C盘20G,D盘100G,C盘只有操作系统、驱动程序和杀毒软件,占用4G左右的空间,D盘全部为测试软件,占用90G左右的空间。全盘扫描开启6个小时左右还没有扫描完成,我们发现在扫描MobileMark2005的部分文件时速度相当慢,看来NIS2007在扫描深度的控制上应该加以加强,另外全盘扫描是一个比较漫长的过程,应该在显示界面加入大致进度的显示,以便用户可以有计划的安排工作。(如图15)
病毒实时监控能力的测试我们采用病毒代码的方式进行测试,为了页面的干净,我们在这里就不贴出测试使用的一段病毒代码了。测试规则是这样的,把病毒代码复制到记事本里,保存为文本文件,然后观察杀毒软件的反应。
・特等:复制完代码后便提示内存有病毒
・优等:刚保存完就提示病毒(或者直接删除)
・中等:保存后几秒提示病毒(或者直接删除)
・下等:需自己启动病毒扫描查杀才提示病毒(或者直接删除)
・劣等:无论怎么扫描都无法提示病毒(或者直接删除)
我们在进行到保存这一步的时候NIS2007弹出了病毒提示,并将拷贝病毒代码的文本文档删除,这说明NIS2007在实施监控方面做得还是很到位的。我们对几款杀毒软件进行了测试,没有一款杀毒软件能够做到复制完代码便提示内存有病毒。实际上如果想做到这一点,对杀毒软件的实时监控能力要求非常高,可能会造成高系统资源占用,因此大家都没有这么来实现。(如图16)
如果说实时监控是主动查杀病毒的测试,那么杀毒能力的测试实际上是一个被动的查毒杀毒的测试,我们采用的是扫描病毒样本库的方式。我们的测试标准是一个有7168个病毒文件的病毒样本包,这个包默认经过了两重压缩,将此病毒样本包只进行一层压缩的时候可以扫描到7184项,检测到3515个安全风险,解决3520个项目。虽然说检测到安全风险的个数和已解决项目的个数方面,NIS2007低于3542个的平均标准,但是扫描到项目总数方面诺顿要比同类软件高出不少,这说明诺顿可以很全面的对文件进行扫描,将威胁较低的文件忽略掉,因此在诺顿的规则里可能这部分文件的威胁是不会造成任何影响的。在病毒和间谍软件选项里面有一个选项默认是“忽略低风险”,高级用户可以自己动手将这个选项修改为“自动删除低风险”,NIS2007对病毒的过滤就会严格很多,当然初级用户不进行任何设置也不会有什么问题的。
需要强调的是,有的朋友可能看到测试结果会对NIS2007的杀毒能力进行怀疑,实际上诺顿对文件威胁级别的判断是竞争对手所不及的,这和诺顿与微软的深度合作有很密切的关系。除诺顿和macfee外,其他杀毒软件的引擎实现都是采用行为规范化代码的方式,在软件安装、实际应用中则多数采用中间件技术或者嵌入式技术,这种技术的安全性是有限的。而诺顿和微软是有深度合作的,因此诺顿杀毒软件是基于系统最底层的核心驱动的,这种实现方式需要微软源码级的支持,是业界公认最稳定可靠的,当然也不是任何一个厂商都做得到的。虽然说国内厂商的2007版杀毒软件中也有采用这种虚拟机杀毒技术的,但是和诺顿相比还是有差距的。我们强调这一点,也是为了告诉用户,诺顿和竞争对手的杀毒引擎是有区别的,对病毒以及威胁鉴别的判断也是不同的,因此最终结果会有出入,不能仅以此为依据来评估NIS2007,而是要综合诺顿病毒查杀引擎的实现方法来考虑。(如图17)
六、系统资源占用测试
操作系统分为核心层、硬件虚拟层和用户层,诺顿是基于Windows核心层的,最为稳定可靠,但是扫描病毒时就需要占用大量的硬件资源了。用NIS2007进行全面扫描时系统资源占用较高,CPU占用率很多时候维持在90%以上,甚至一度达到100%,当然这也会影响到NIS2007的扫描速度。(如图18)
我们通过系统资源监控采样一段时间得到了一个相对较为精准的数据,使用NIS2007对系统进行全面扫描时CPU占用率最高为90.6%,最低为5.5%,平均值为39.6%。实际上平均值低于50%就表明在查毒的同时进行一些其他的简单工作也是没有问题的,当然我们是不推荐这样做的。(如图19)
NIS2007对内存资源的占用很少,即使是在进行全面扫描时内存资源占用也没有提升,维持在了40M左右,对于1G内存的系统来说区区40M完全可以忽略。(如图20)
NIS2007有一个很大的改进之处就是支持后台扫描,在对系统进行扫描时如果将界面最小化,实际上就相当于将执行程序转入后台,可以有效降低计算机的负载,这一点我们也是经过了实际验证的。(如图21)
进行后台扫描后,CPU占用率大幅下降,从任务管理器中看到的CPU使用记录虽然波动较大,但是和之前的情况相比,普遍居高的情况已经得到了有效缓解。(如图22)
而通过系统资源监视所得到的数据更加喜人,经过短时间的采样,发现采用后台扫描的方式CPU占用率平均值在1.2%左右。这就意味着可以同时进行其他的工作而不会受到影响了,不过工作的时候会产生系统缓存,缓存区域可能是诺顿刚刚扫描过的,此时如果有病毒入侵就可能会造成威胁,因此如果不是紧急情况还是不建议系统扫描时进行工作。(如图23)
七、网络防护功能测试
测试前先简单看一下NIS2007关于个人防火墙以及其他网络安全方面的设置,NIS2007除了个人防火墙,还可以对入侵防护以及安全漏洞检查等进行设置,以实现不同级别的反间谍、防攻击、防钓鱼等功能。(如图24)
我们使用NIS2007的系统漏洞扫描进行了扫描,发现了管理员账户密码为空的漏洞,实际上这是一个很常见但是又极容易被忽视的问题,漏洞扫描功能可以尽可能减少系统被攻击的可能性。(如图25)
我们故意登录一个带有病毒的网站,输入域名后刚按下回车,页面还没有刷新出来,NIS2007已经探出提示窗口,提示此页面有特洛伊病毒,可见NIS2007页面监控的实时性是很高的。(如图26)
反钓鱼也是一个值得一提的功能,每次打开网页时,NIS2007都会对页面进行检查,查看是否有欺诈信息,可以使用户很放心地访问网站、输入密码等。(如图27)
八、软件卸载及总结
诺顿由于基于系统核心层,因此在卸载上比较容易出现问题。不过2007在这方面有了较大的改进,将不易卸载的可能性降到了最低,而且在卸载时还会提示用户最好断开网络,以免卸载诺顿后给病毒可乘之机,足见诺顿的大度。(如图28)
NIS2007不仅启动速度快,功能也很强大,防病毒、反间谍软件、双向防火墙、Rootkit检测、入侵防御以及反钓鱼等功能缔造了一个坚不可摧的壁垒。从我们的实际试用来看,诺顿在病毒查杀、网络防护等方面做得都是很不错的,基于Windows核心层查杀病毒十分值得称赞,新加入的反钓鱼等功能更是实用至极。目前反流氓软件的呼声非常高,鉴于流氓软件的危害的确不小,诺顿如果加入此项功能应该会更受欢迎。另外,查杀病毒时的系统资源占用是一个不得不提的问题,基于硬件层杀毒有利有弊,毕竟鱼和熊掌不可兼得,为了极高的稳定性和可靠性牺牲一些速度是在所难免的,如果诺顿能找到一个更好的实现途径来解决这个问题就更让人欣喜了。
