企業(yè)安全建設(shè)之終端殺毒
個人版殺毒和企業(yè)版殺毒的區(qū)別
終端殺毒通??梢詤^(qū)分為個人版和企業(yè)版,兩者的主要區(qū)別在企業(yè)級管理上。
個人版殺毒 | 企業(yè)版殺毒 | |
---|---|---|
病毒特征碼升級方式 | 直接從互聯(lián)網(wǎng)下載,對辦公網(wǎng)公網(wǎng)出口帶寬占用大 | 從企業(yè)內(nèi)部的升級服務(wù)器下載,占用企業(yè)內(nèi)網(wǎng)帶寬,對辦公網(wǎng)公網(wǎng)出口帶寬占用小 |
配置管理方式 | 員工自主管理 | 企業(yè)內(nèi)部可以統(tǒng)一管理檢測策略、升級策略等 |
支持情況 | 參差補齊 | 具有專業(yè)企業(yè)級售后支持 |
設(shè)備兼容性 | 一般只支持windows | 支持windows、mac和linux |
(個人版和網(wǎng)絡(luò)版殺毒區(qū)別)
選擇企業(yè)版殺毒的注意事項
企業(yè)級殺毒的詳細功能非常多,下面將介紹選擇企業(yè)級殺毒中需要特別重視的幾點。
準(zhǔn)確率和召回率
殺毒軟件的基本功能就是病毒查殺,需要重點考核的就是準(zhǔn)確率和召回率,常見的檢測方式就是在互聯(lián)網(wǎng)上搜集常見的病毒樣本和常見的辦公軟件進行測試,實際使用中這兩個指標(biāo)都非常重要,如果非要二選一的話,企業(yè)網(wǎng)更看重準(zhǔn)確率,畢竟狼來了喊多了就沒有權(quán)威性了。
性能
殺毒軟件進行文件掃描的時候非常消耗性能,尤其是CPU、內(nèi)存和磁盤IO這三個指標(biāo)。測試階段要非常重視這三個指標(biāo),目前SSD硬盤尚未完全普及,對磁盤IO的消耗要格外重視。
黑白名單
殺毒軟件的黑白名單管理非常重要,至少需要支持文件名和文件夾,而且需要支持正則。在企業(yè)環(huán)境,容易遇到某些辦公軟件誤報或者與殺毒不兼容的情況,這個可以通過添加白名單暫時規(guī)避。
分組與升級
企業(yè)內(nèi)網(wǎng)環(huán)境下,終端殺毒軟件升級病毒庫需要從內(nèi)網(wǎng)的升級服務(wù)器下載。雖然這種機制可以有效減少企業(yè)網(wǎng)出口的帶寬壓力,可以充分利用企業(yè)內(nèi)網(wǎng)相對充裕的帶寬資源,但是在部分環(huán)境下也會帶來意想不到的麻煩。比如大型企業(yè)環(huán)境下,分支機構(gòu)通過專線訪問總部資源,如果也從總部同步病毒庫,非常容易堵塞專線帶寬。這個時候就需要合理對終端殺毒客戶端進行分組,分布式部署升級服務(wù)器,保證殺毒客戶端可以從最近的升級服務(wù)器進行病毒庫同步。
病毒文件的隔離與恢復(fù)
正常文件被識別為病毒雖然是一個小概率事件,但是一旦發(fā)生并且文件不能恢復(fù),很可能帶來無法彌補的損失。因此終端殺毒必須具備病毒隔離和恢復(fù)的功能,這點非常實用。
報表以及SIEM集成
企業(yè)級殺毒軟件的報表功能,有利于管理員迅速掌握整個企業(yè)辦公終端的安全狀況,需要支持按照不同分組、不同時間、不同病毒類型跨度查看病毒感染情況,并能定期以郵件形式發(fā)送報告。另外,殺毒終端也是非常重要的一個數(shù)據(jù)搜集源,可以作為SIEM系統(tǒng)的數(shù)據(jù)源。
典型部署架構(gòu)
集中式架構(gòu)
當(dāng)辦公區(qū)域高度集中或者專線帶寬非常充裕時,可以選擇使用集中式架構(gòu),全部殺毒終端從同一臺升級服務(wù)器同步最新病毒庫。
分布式架構(gòu)
當(dāng)辦公區(qū)分散或者有大量分支機構(gòu)需要接入時,需要使用分布式架構(gòu),典型的方式是在總部部署根升級服務(wù)器,然后各個辦公區(qū)或者分支機構(gòu)部署各自的升級服務(wù)器,各升級服務(wù)器統(tǒng)一從根升級服務(wù)器同步病毒庫,殺毒終端從各自辦公區(qū)的升級服務(wù)器同步病毒庫。升級服務(wù)器性能消耗主要集中在磁盤IO、內(nèi)存和帶寬。