浅析 NIS 的特点和适用用户群

from http://bbs.kafan.cn/viewthread.php?tid=144931&extra=&page=1

看到论坛里很多用户经常尝试各种安全软件产品,我感到虽然通过亲身体验来比较和选择适合自己的安全软件更加有针对性,但是难免比较耗时。由于诺顿的软件体积比较大,卸载也不是十分快捷,试用十分不便,因此从诺顿网络安全特警(Norton Internet Security,下文简称 NIS)的老用户角度出发写出这篇文章,希望能够帮助准备试用 NIS 的用户在安装前对 NIS 的产品特点和用户定位有一个大致的了解,更加有针对性的试用产品,降低测试产品的成本。

我从2002年开始使用正版 NIS 至今,虽然期间也试用过其它安全产品,但是最终都回归 NIS,所以可以说我是试用过一些其它安全产品的 NIS 系列的老用户。本人并不精通技术,所以很多观点都是从老用户的主观感受和经验出发,纰漏和错误在所难免,请大家及时批评指正,以免误导其他用户。
本文力求用词准确,不混淆概念。由于目前计算机安全环境十分复杂,影响安全的因素众多,因此在没有特殊注明的情况下本文统一用“安全风险”指代病毒、木马、间谍软件、恶意软件和恶意脚本等危害计算机安全的本地项目。
由于本人没有使用过赛门铁克最新推出的 SEP,所以讨论范围不包括此软件。
【赛门铁克公司简介】
提到 NIS 就不能不提到赛门铁克公司,不了解赛门铁克公司的情况就不能够真正了解其产品的特点和定位。赛门铁克公司作为老牌的企业安全解决方案供应商,提供的安全产品特点是种类众多、功能强大、部署便捷和管理简单高效,而且往往能够针对不同的安全要求和复杂环境为企业提供针对性的包括软件和硬件层面的整体解决方案。所以赛门铁克公司的产品和 McAfee、趋势等安全公司的定位是相似的,而且个人用户产品也或多或少继承了企业产品的特点。
【企业级应用对安全产品的要求】
说到这里不得不提一下企业应用对安全解决方案的要求。我个人认为企业应用对安全产品的要求如下(包括但不限于);
1、部署简单。安全产品应该能够在企业内众多 IT 终端很方便的批量部署,无需过多的人工干预,从而节省人力成本。赛门铁克的企业级安全产品(常见的如 Symantec Client Security 和 Symantec AntiVirus)部署就十分简易。
2、维护便捷。维护应当包括日常的管理和故障的排除。由于信息安全保障在企业中占有十分重要的地位,因此降低安全产品的日常维护成本就能大幅降低企业总的 IT 拥有成本。这就要求安全产品有成熟而强大的统一管理解决方案和较低的维护门槛。赛门铁克的企业安全产品有著名的统一管理界面,可以说是企业网络管理员的福音。
3、功能强大。安全产品应该能够按照企业不同要求提供相应的防护。
4、保障业务的连续性。企业应用要求保障 IT 设备的可持续运作和重要信息的完整,如果安全产品为了安全甚至影响 IT 设备的持续运作或者可能导致重要资料的丢失,这就不是一款合格的安全产品。
【NIS 的定位】
NIS 作为赛门铁克公司在推出 Norton 360之前主打的针对个人用户的产品,其实也大概符合以上4个特点:
1、NIS 的安装比较容易,不过现在安全软件基本在安装方面都没有对用户提出什么要求,基本一路下一步就能够完成对大多数安全产品的基本配置。
2、NIS 安装后的设置也十分方便。默认防火墙处于对程序访问互联网的行为进行自动判断的状态,如有需要,可以手动切换为有程序访问互联网时要求用户确认。NIS 能够辨识大多数广泛使用的程序并自动配置上网规则,对于不能自动配置规则的程序也会给出醒目的提示告诉用户此程序威胁程度的高低以便用户手动处理。打开设置界面就能发现 NIS 的高级设置十分丰富,完全能够满足高端用户对防火墙产品的要求,而且分类整齐,帮助文件详细。对于初级用户来说默认配置也完全够用,无需过多配置和维护。可以说 NIS 是一款对于入门用户和高端用户来说维护起来都十分方便的安全产品。
3、NIS 除了提供传统杀毒软件和防火墙的功能外,还提供了包括反钓鱼等许多附加功能,可以说从包含的功能种类上来说是比较丰富的。
4、NIS 的产品定位就是尽最大可能保障用户计算机的可用性和业务的连续性,不算这次误杀事件历史上 NIS 误报率十分低,稳定性和兼容性也是出名的优秀。
【用户群划分】
我认为结合论坛的情况使用个人安全产品的用户主要应该从如下几个方面分类:是否有良好的安全意识,所处环境的安全风险复杂程度,对安全相关技术方面知识的了解程度,所拥有的计算机硬件配置 ,使用个人计算机的主要目的以及是否仍有兴趣深入研究安全产品。
我认为 NIS 在国内适用的用户群应该是这样的用户所构成的群体:有一定的安全意识,所处环境需要面对的安全风险不是十分复杂,不能够了解很多安全相关技术方面的知识,个人计算机配置为主流配置或者内存容量比较大,计算机用于生产环境(如 SOHO、查找资料或者经常需要在家继续办公),没有兴趣深入研究安全产品而希望将精力全部投入生产作业。
为什么这么说呢?我们从如下几个方面分析 NIS 的特点,并将其特点与以上特点一一对应,来总结为什么 NIS 适合以上用户群。
【查杀安全风险】
提到计算机安全产品,很多用户首先想到的是杀毒软件。是的,杀毒软件在 Windows XP SP2 强调防火墙概念之前一直是普通用户最关心的安全产品。不过现在计算机用户面对的安全风险已经不仅仅是病毒了,木马、间谍软件、恶意脚本等都已经是危害计算机安全的项目了,所以我在本文开头将所有危害计算机安全的本地恶意项目定义为“安全风险”。下面我们就来分析 NIS (所包含的 Norton AntiVirus 模块,下文简称 NAV)在检出本地安全风险方面的表现。
【明确概念——安全风险的检出率、清除率】
首先明确概念:检出率和清除率。对于安全风险,杀毒软件有以下几种状态:未发现,发现未知风险(通过启发、主动防御等认为有可能是安全风险),发现已知风险(包含在病毒定义中或者通过启发、主动防御等认定必然是安全风险)。对于发现的安全风险,杀毒软件一般有以下处理手段(非并列,包括但不限于):清除(将有害代码从正常程序中剥离,恢复安全风险对系统作出的更改),删除(直接删除安全风险本体),禁止访问,忽略,备份。隔离是诺顿等少数杀毒软件特有的处理方式,另外之所以说非并列是因为有时杀毒软件在清除安全风险的同时还会实施诸如备份等操作。
可以看出,检出率和清除率应该是分开的,可能有的安全软件对安全风险的检出率高但是对于检出的病毒大多不能处理导致清除率低,所以下面我们在探讨杀毒软件的查杀能力时将安全风险的检出和处理分开讨论。
【NIS 对安全风险的检出】
NIS 是 NAV 和 Norton Personal Firewall (下文简称 NPF)的套装,查杀安全风险依靠内置的 NAV 模块。可以说在国际上各种评比当中赛门铁克系列安全软件的查杀率都是很高的,但是其在国内各大论坛的样本区表现一直不理想。对于这种情况我感觉我们应该这样来看:赛门铁克公司拥有较强的技术实力和样本收集能力,所以国际上流行的安全风险基本能够被赛门铁克公司捕获并加入病毒库,而且是经过严格测试的。但是论坛很多样本是众多高手精心设计用来测试躲避杀毒软件用的,很多时候新鲜样本的防杀能力比较强,但是由于网友的积极上报导致样本并不能广泛流行,可能没有被赛门铁克公司截获。而且赛门铁克公司貌似对于网友上报样本反应不够迅速,对于最新的国产安全风险反应也不够迅速,所以在我国某区域内突然爆发的局域性安全风险不能第一时间反应。但是一般情况下,只要安全风险开始流行,有可能通过普通流通方式威胁到你的计算机时,就基本都能够被赛门铁克公司捕获并添加入库,不然如何保证大企业应用的安全呢。不过近年来赛门铁克在安全产品中添加了 SONAR 技术,其产品今后对于未知风险的检出率应该会更高更准确。
综上,在安全风险检出方面,NIS 的特点是对于国产新型安全风险反应相对迟缓,对于流行安全风险检出率高而且误报率低。因此 NIS 适合有一定安全意识,有一定辨识安全风险基础知识并且所处环境的安全风险不是十分复杂、不需要经常面对新型安全风险的用户,需要在一定程度上用人的力量弥补 NIS 在最新国产安全风险检出上的不足。NIS 非常不适合没有建立起一定安全意识或者对安全风险完全没有任何辨识能力、纯粹依靠杀毒软件对安全风险进行辨识的入门级用户。也不适合需要经常冒着枪林弹雨访问病毒重重的某些限制级论坛的用户。
【明确概念——安全风险的处理】
提到对安全风险的处理,很多人不理解诺顿系列的处理手段,为什么对于很多安全风险都是隔离呢?其实很多杀毒软件都是隔离,只是叫法不同罢了。
基本所有杀毒软件在将安全风险清除后都会保存备份,以便误杀后的恢复,这不是和诺顿将安全风险隔离的道理是一样的么,只是叫法不同罢了。说病毒被清除貌似比较好听,说病毒被隔离就是无所作为么?
现在的计算机使用环境和十几年前的环境不同了。386时代病毒主要靠将恶意代码写入正常文件以躲过用户的辨识,通过对用户计算机上文件的破坏来达到炫耀技术的目的。那时的杀毒软件清除病毒(杀毒)特指剥离附加在正常程序中的恶意代码,使程序能够正常使用。而现在安全风险主要构成是木马和间谍软件等恶意软件,大多遇到的是经过伪装的安全风险本体,它们相对较少通过修改正常程序达到伪装的目的。而且高明的安全风险的作者目的已经基本不是通过破坏计算机上的文件来炫耀技术,而是通过木马、间谍软件来获取用户有价信息从而获利,或者是将用户计算机变成肉鸡以便达到攻击其它计算机的目的。所以目前对于遇到的大多数安全风险基本的处理手段已经不是清除,而是删除和恢复系统。就这一点上来看对于已知安全风险来说诺顿的隔离与其它杀毒软件在备份的条件下删除安全风险的作用是一样的而且是有效的。
【NIS 对安全风险的处理】
首先不得不说一说特殊情况:对于复杂安全风险。
对于一些对系统有很大影响的安全风险要怎么办呢?如果某安全风险对你的系统和注册表进行了大量改动,添加了很多无用文件,启动了很多项目,添加了很多进程要怎么办呢?凭借病毒库的记录来恢复?这样的安全风险少还可以,多了病毒库也记录不过来啊,而且很多突发情况也十分复杂。所以网络上各大安全公司才提供了种类丰富的专杀程序,以便针对复杂情况进行针对性的清除。在这种情况下诺顿的处理方法就是将危害最大的最主要的安全风险本体隔离以便避免扩散,然后引导你到官方网站下载专杀工具。不但不会影响系统的安全,而且能够针对不同情况最大程度恢复系统,还保证了用户计算机的连续可用性。其它杀毒软件仅凭病毒库配合软件本身对安全风险对系统的影响进行清理是比较困难的。因此对于棘手的复杂安全风险用户不应该完全凭借杀毒软件本身的清除能力,而是应该积极寻找有针对性的有效专杀工具。
【防火墙的作用和配置】
对于普通用户来说防火墙主要有两大作用:1、阻止未经允许的外部对本地计算机的访问请求。2、阻止杀毒软件未检出的安全风险访问互联网。
对于防火墙的作用在卡饭的防火墙专区有许多深入讨论的精彩文章,我就不在这里献丑了,只谈谈防火墙作为 NIS 套装中的一部分如何作为杀毒软件的补充。
上面知道 NIS 对于国产安全风险的反应稍慢,那么万一中了未知安全风险,有陌生程序要访问互联网怎么办?这时候防火墙就派上用场了。有你陌生的程序要求访问互联网 NIS 就会提示,甚至提示未知程序的风险为“高”。如果 NIS 没有报毒,你就应该怀疑是不是中了 NIS 不能检出的新型安全风险了。怎么办?既然是混卡饭的网友自然可以将样本打包上网求助啊,或者拿到 VirusTotal 看看别家杀软什么反馈。不排除碰到新型风险的可能,你可以上报对样本反应迅速的安全厂商。
所以,安装了 NIS ,即使 NAV 模块不能检出最新的安全风险,也完全可以不用担心个人信息被泄露到互联网上,这就是安全套装的好处和防火墙的必要之处。但是很多网上的评测表明 NIS 中的 NPF 模块并不是功能最强的防火墙,在很多排名中表现并不优秀,因此 NIS 也许不适合计算机使用环境需要面对十分复杂的安全风险的场合。
【NIS 对用户技术方面知识的要求】
NIS 是一款由在全球安全市场占有率第一的著名安全厂商推出的收费的商业安全软件,用户界面十分友好,本地化做的在所有安全软件中也是非常优秀的,入门用户轻易就能驾驭这款产品。NIS 的帮助资源也十分丰富,帮助文件内容详细而且本地化做的十分到位,网上知识库的文章也很丰富(虽然本地化版本知识库不如英文版知识库丰富)。而且赛门铁克公司还对个人用户提供免费电话技术支持、免费网上即时交谈支持,可以说对于不同知识层次的用户的帮助都十分到位,对于用户技术方面的要求很低。
【NIS 的资源占用】
由于 NIS 2008简体中文版官方尚未正式发布,所以我没有认真测试 NIS 2008的资源占用情况。我只是下载并匆匆测试了泄露版,对于08版产品的资源占用没有发言权,但是对于 NIS 2007以及以前产品我和本版以外的很多人的看法不同。
一提到资源占用就有人说 NIS 系列资源占用大,但是资源还分许多方面:硬盘资源、内存资源、CPU 资源等。NIS 的资源占用特色就是安装后硬盘资源占用大,监控时内存资源占用大,但是无论监控还是扫描 CPU 资源占用都是相当低的。无论如何使用 NIS 不会感觉到使用其它个别杀毒软件过程中经常出现的一卡一卡的迟钝感。而且现在硬件市场的情况是升级 CPU 的成本是比较高昂的,甚至可能需要整个平台的升级。但是内存已经是白菜价了,为了流畅使用计算机而配置容量相对较高的内存不但能够十分可观的提升计算机的使用体验,而且能够大幅扩展计算机的使用范围(比如能够更好的运行大型软件)。我认为 NIS 通过用内存资源换取 CPU 资源的方法是十分实际而且确实可行的方法。
所以,NIS 适合计算机的硬件配置属于主流配置,最好内存容量相对较高的用户使用。我的计算机 CPU 是939接口的闪龙 3200+,内存是512MB×2,CPU 可以说是相当低端的了,但是由于内存比较大,同时运行大量程序没有一点问题。平时我就让很多程序长期驻留后台,也不退出,由于 NIS 有良好的兼容性也不用担心与众多软件有冲突。使用时直接调到前台,切换速度很快,十分方便。
【NIS 与其它安全软件的对比】
由于也使用过其它安全软件,所以在最后附上试用部分别家软件时的感受和 NIS 与其的主观对比。
1、NIS 与 Kaspersky Internet Security (下文简称 KIS)比较:
试用的是 KIS 6.0 的版本,在试用时突出感觉 KIS 在安全风险特别是本土安全风险的检出率上比 NIS 更高,让人更加放心。但是和 NIS 相比 KIS 在监控和扫描时 CPU 资源占用稍高一点,而且其它软件与 KIS 不兼容的现象相比与 NIS 不兼容的现象要相对多一些(有一次我在全新安装正版系统后安装了 KIS 并升级好,然后 Windows Update 时蓝屏,不是硬件兼容性的问题。虽然是个别现象但是留给我的印象不是很好)。因此若你是有一定安全意识,能够弥补 NIS 在抵御最新国产安全风险上的不足,并且计算机需要在生产环境中应用要求绝对稳定时,建议使用 NIS 来代替 KIS。
2、NIS 与 Avira AntiVir (下文简称红伞)比较:
我也算是红伞的饭,在安装免费软件的计算机上就用红伞 C 版搭配 Comodo 和 AVG Anti-Spyware。红伞的特点就是资源占用比较低,引擎先进,安全风险检出率高。和大多数未正式进入国内市场的软件一样,小红伞没有本地化产品,所以综合考虑 NIS 相对目前的红伞具有用户上手便利,官方本地化帮助资源丰富等优点。在查杀效果上两者都是国际上著名的安全软件,我还是不多评价了。相比 NIS 小红伞需要配合其它防火墙才能达到套装的效果,需要用户多一步选择,而且小红伞相比 NIS 误报率稍高。因此推荐英文基础稍显薄弱,或者有一定安全意识,希望完全将精力投入生产作业,遇到问题希望能够直接通过官方渠道获得解决而不是通过论坛网友的帮助来解决的商业用户使用 NIS 代替小红伞。
3、NIS 与 NOD32 比较:
NOD32 的最大特点就是内存资源和 CPU 资源占用都比较低,引擎先进对未知安全风险检出率高,所以十分适合计算机配置相对低端的用户使用。在我试用 NOD32 当时 NOD32 相对 NIS 有以下不足:
1)本地化做的不够好,我试用那时的 NOD32 官方简体中文版有界面显示不全的现象,可见当时 NOD32 的本地化做的不够好。
2)我试用当时 NOD32 的查杀木马能力相对 NIS 要稍微弱一些。
3)与 NIS 同样作为已经进入中国大陆的商业软件,NOD32 能够获取到的官方本地化帮助资源相对有限,很多 NOD32 用户都是通过论坛解决软件使用过程中的问题的。
由于好长时间没有再试用过 NOD32,所以以上很多看法过于陈旧,而且我不了解 NOD32 现在的情况,我想作为一个负责任的安全厂商推出的产品相比我试用那时的情况应该有很大改进。而且论坛中有很多 NOD32 的忠实支持者,欢迎大家对我上面老旧的看法提出批评和指正。
4、相比其它防火墙:
和 Comodo、ZoneAlarm、Outpost 等专业防火墙相比 NIS 的防火墙功能不够强大,在多次评比中 NIS 的成绩也不能和以上专业防火墙比肩。但是 NIS 具有对于普通用户更加友好的本地化界面和更加简洁的配置要求,同时对于用户在安全方面的技术要求更低一些,用户无需过多关心安全技术上的问题,也无需经常更改防火墙的配置。因此相比以上专业防火墙 NIS 适合所处环境需要面对的安全风险并不复杂,而且需要将主要精力投入生产作业无心深入研究防火墙技术的普通商业用户。
【NIS 的特点汇总和 NIS 适合的计算机用途】
综合以上观点,NIS 的特点汇总如下:
1、对于普通用户来说 NIS 在抵御安全风险方面属于中上等水平,在抵御国内最新安全风险方面仍有进步的空间,因此适合有相对较好的安全意识,所处环境安全风险不是十分复杂的用户。
2、软件上手十分快捷,符合当今安全产品发展趋势——安装即遗忘的要求,官方本地化帮助资源丰富,客户服务十分出色,不需要用户具备很多安全相关技术方面的知识,遇到故障也不需要用户花费过多的精力来四处寻求帮助,能够通过官方渠道直接获得大多数问题的解决办法。
3、内存资源占用较高而 CPU 资源占用低,在主流配置的计算机上不会给用户带来过多反应迟钝的不良感觉,适合个人计算机配置为主流配置或者总体配置偏低但是内存容量比较高的用户。
4、误报率超低,与其它程序兼容性优秀,除了与部分安全产品冲突外几乎不会出现与其它程序不兼容的情况,稳定性优异。不需要在产品安装后进行大量的配置和维护工作,让用户在安装产品后立即将精力完全投入到生产作业当中去,适合计算机用于生产环境(如 SOHO、查找资料或者经常需要在家继续办公),而且没有兴趣深入研究安全产品的用户。
【后记】
感觉能够想到的目前就这些了,由于思路比较混乱,总感觉写文章时不知从何下手,可能大家读起来也十分费力,希望大家能够谅解。用了5年左右的正版 NIS,对它是十分有感情的,无论试用其它什么产品,最终都是回归 NIS。其实升级到1G 的内存也有为了流畅运行 NIS 的原因,不得不说我是赛门铁克公司的忠实饭呢,所以文章中对于产品的描述难免带有个人感情在里面,也请大家谅解。
错漏之处在所难免,欢迎广大网友批评指正。

Leave a Reply

Your email address will not be published. Required fields are marked *