概述

（終端感染熊貓燒香病毒時的場景）

2007年一款名為熊貓燒香的病毒肆虐網際網路，它主要通過下載的檔案傳染，是一款擁有自動傳播、自動感染硬碟能力和強大的破壞能力的病毒，它不但能感染系統中exe，com，pif，src，html，asp等檔案，它還能中止大量的反病毒軟體程序並且會刪除GHOST的備份檔案。熊貓燒香在辦公網也大肆傳播，造成了大量企業資料損壞且無法恢復。當時相當一部分辦公終端沒有安裝防毒，所以雖然防毒軟體很快就通過升級病毒庫具備了查殺熊貓燒香的能力，但是熊貓燒香依然傳播了很長時間。部署終端防毒是辦公網安全中非常基礎的一個防護手段。終端防毒可以給辦公終端提供基礎的病毒木馬查殺能力，當發生大面積傳染的蠕蟲病毒時，終端防毒幾乎是唯一的查殺手段。終端防毒通常使用都是免費或者商業解決方案。

國內企業級終端防毒主要廠商

（安全牛統計2017國內終端防毒主要廠商（一））

（安全牛統計2017國內企業級終端防毒主要廠商（二））

（Gartner統計2016國外企業級終端防毒主要廠商）

個人版防毒和企業版防毒的區別

終端防毒通常可以區分為個人版和企業版，兩者的主要區別在企業級管理上。

（個人版和網路版防毒區別）

選擇企業版防毒的注意事項

企業級防毒的詳細功能非常多，下面將介紹選擇企業級防毒中需要特別重視的幾點。

準確率和召回率

防毒軟體的基本功能就是病毒查殺，需要重點考核的就是準確率和召回率，常見的檢測方式就是在網際網路上搜集常見的病毒樣本和常見的辦公軟體進行測試，實際使用中這兩個指標都非常重要，如果非要二選一的話，企業網更看重準確率，畢竟狼來了喊多了就沒有權威性了。這塊也可以參考比較權威的評測機構的資料，比如AV-Comparatives、AV-TEST、WestCoastLabs和Virus Bulletin。

• AV-Comparatives

AV-Comparatives是一家國際性獨立測試機構，於2003年成立，測試報告詳細，等級分明。AV-Comparatives每年4個季度會更新報告，給通過AV-Comparatives測試的防毒軟體授予認證。AV-Comparatives提供一個4個級別的認證系統：TESTED, STANDARD, ADVANCED 和ADVANCED+。AV-Comparatives本著公平公正的原則，所有測試專案均不接受任何贊助，一直保持著良好的信譽。參加測試門檻很高。只有高水準的反病毒軟體才可以參加AV-Comparatives的常規測試，加入其測試,需要產品的病毒檢測率在很長一段時間保持在世界前18位;測試過程十分嚴謹。具有高病毒檢出率，擁有自己的或者是得到許可的引擎，保證在指定的時間，在最高安全配置下不發生重大錯誤完成對整個資料庫的掃描。

• AV-TEST

AV-TEST總部位於德國馬德堡，成立至已有近20年曆史，AV-Test測試是世界權威的第三方獨立測試之一，一直以海量病毒庫檢測、獨立客觀的檢測過程和嚴格的標準著稱，是業界公認的世界級殺軟的對決平臺。AV-TEST測試完全基於病毒樣本庫自動進行，最大限度的減少了人為因素對測試結果的影響，其測試結果被國際安全業界公認為獨立客觀。

• WestCoastLabs

WestCoastLabs 的Checkmark認證始於1996年，是國際上資訊保安類產品的最高認證之一。發展到今天，其認證標準已被全球認可為最值得信賴的指標之一。WestCoastLabs的權威認證，包括Checkmark一級(Level1)、二級(Level2)和木馬(Trojan) 三項內容，其中木馬認證要求最高。Checkmark木馬認證要求被評測的產品能夠100%查出西海岸實驗室所有測試木馬樣本，並且掃描誤報測試專用樣本時的誤報率為0。全球範圍內的安全專業人士都相信持有Checkmark證書的任何資訊保安產品。認證的通過意味著防毒軟體的品質得到國際權威檢測機構的認可，其核心技術達到了世界一流水平。其嚴格的測試程式充分表明了Checkmark認證專業性和權威性。

• Virus Bulletin

Virus Bulletin1989 年於英國成立。Virus Bulletin 其中一個最大成就，就是提出VB100認證，以獨立公正而嚴謹的態度，定期對各大防毒品牌產品進行測試，其報告備受全世界防毒業界所公認與推崇。VB100認證開設於1998年，距今已有10多年的歷史，發展至今，已成為了全球性反病毒產品的金牌認證。Virus Bulletin是最嚴格，歷史最悠久，可以稱為防毒軟體認證中的“奧斯卡”。非商業性組織，不收取任何費用，不受任何非技術性因素的影響;Virus Bulletin於1989年成立，至今已有20年曆史。從上個世紀90年代開始，VB100測試就廣泛被業界所認識接受。很多國際、國內上知名的防毒軟體廠商都有曾被斬落馬下的歷史，由於所有參評廠商的成績都會公開發布，所以缺乏信心的廠商一般都望而卻步;測試過程極其嚴格，Virus Bulletin要求參加該認證的反病毒產品必須完全殺除”WildList(最大病毒庫)”裡登記的所有病毒樣本，診斷率100%、誤診率0%，並在掃描過程中沒有任何誤判情況。在Virus Bulletin看來只有兩個結果：通過或者不通過。

效能

防毒軟體進行檔案掃描的時候非常消耗效能，尤其是CPU、記憶體和磁碟IO這三個指標。測試階段要非常重視這三個指標，目前SSD硬碟尚未完全普及，對磁碟IO的消耗要格外重視。

黑白名單

防毒軟體的黑白名單管理非常重要，至少需要支援檔名和資料夾，而且需要支援正則。在企業環境，容易遇到某些辦公軟體誤報或者與防毒不相容的情況，這個可以通過新增白名單暫時規避。

分組與升級

企業內網環境下，終端防毒軟體升級病毒庫需要從內網的升級伺服器下載。雖然這種機制可以有效減少企業網出口的頻寬壓力，可以充分利用企業內網相對充裕的頻寬資源，但是在部分環境下也會帶來意想不到的麻煩。比如大型企業環境下，分支機構通過專線訪問總部資源，如果也從總部同步病毒庫，非常容易堵塞專線頻寬。這個時候就需要合理對終端防毒客戶端進行分組，分散式部署升級伺服器，保證防毒客戶端可以從最近的升級伺服器進行病毒庫同步。

病毒檔案的隔離與恢復

正常檔案被識別為病毒雖然是一個小概率事件，但是一旦發生並且檔案不能恢復，很可能帶來無法彌補的損失。因此終端防毒必須具備病毒隔離和恢復的功能，這點非常實用。

報表以及SIEM整合

企業級防毒軟體的報表功能，有利於管理員迅速掌握整個企業辦公終端的安全狀況，需要支援按照不同分組、不同時間、不同病毒型別跨度檢視病毒感染情況，並能定期以郵件形式傳送報告。另外，防毒終端也是非常重要的一個數據蒐集源，可以作為SIEM系統的資料來源。

典型部署架構

集中式架構

（集中式部署架構）

當辦公區域高度集中或者專線頻寬非常充裕時，可以選擇使用集中式架構，全部防毒終端從同一臺升級伺服器同步最新病毒庫。

分散式架構

（分散式部署架構）

當辦公區分散或者有大量分支機構需要接入時，需要使用分散式架構，典型的方式是在總部部署根升級伺服器，然後各個辦公區或者分支機構部署各自的升級伺服器，各升級伺服器統一從根升級伺服器同步病毒庫，防毒終端從各自辦公區的升級伺服器同步病毒庫。升級伺服器效能消耗主要集中在磁碟IO、記憶體和頻寬。