程彦博
Windows XP停服催生了一个新的市场——XP安全加固软件市场。然而,一个缺乏标准的新市场免不了出现混乱,这些安全加固软件是否合格,是否会带来新的安全隐患?用户应该如何选择?
对于政府和部分企业用户而言,Windows XP停止服务事件所带来的影响其实要大得多。
众所周知,微软停止对Windows XP——这款微软史上最成功的操作系统提供服务,为广大的Windows XP带来了不小的信息安全隐患。特别是对于中国的政府和部分企业用户而言,受制于成本和应用迁移等诸多问题,一下子升级到更高版本的Windows操作系统并不现实,这就使得大多数用户不得不继续维持使用老态龙钟的Windows XP。这也让这些政府和企业用户陷入进退两难的境地,信息安全风险凸显。
市场缺乏标准
正是由于存在这样一个特殊的历史时期,众多安全厂商看到了Windows XP停止服务事件给广大用户带来了迫切的信息安全需求,并纷纷推出针对Windows XP的安全加固软件。它们不单针对个人用户,也有很多产品针对企业用户,并声称做出了优化并可以为用户提供安全可靠的防护措施。
然而,有需求就有供给,有市场就有竞争。当后Windows XP时代来临,用户终端的信息安全需求迸发,并催生出了新的市场,市场上的加固软件提供商就开始展开对客户的争夺。市场需要规则和标准,在这样一个新派生出来的市场上,记者一方面看到了市场上各个厂商纷纷推出解决方案,为广大企业级用户提供信息安全产品和服务的欣欣向荣;另一方面也看到了某些厂商面对激烈竞争,采取非正规竞争手段的乱象。
记者就在近几个月经历了市场上出现的各类声称为第三方机构主办的关于Windows XP安全性的比赛,涉及市场上的多款Windows XP加固软件。然而,当比赛结束后,在比赛中表现好的加固软件提供商用这一结果来宣传自己的产品,比赛中表现差的则表示并未参加过这个比赛,或质疑比赛结果的真实性。
对于市场和用户而言,独立、保持中立地位的第三方机构是不可或缺的。特别是对于一个新崛起的、没有产品评判标准的市场而言,如果没有中立、客观的评判标准,就无法为用户提供有效的指导,也让用户在面对各方产品的时候无从选择,无法了解产品的真正价值。
信息安全产品更需要这样的第三方机构,这是因为恶意攻击具有非常强的隐蔽性,一款安全产品摆在用户面前,除非具备非常专业的知识,很难了解这款产品的防护能力究竟如何。此外,信息安全产品的使命就是为了保障系统的安全稳定,如果产品本身存在问题,无法抵御常规的攻击,或者存在后门,反而会给用户带来更大的安全隐患。
身处后Windows XP时代的当下,所有用户都应该思考的是,在部署安全加固软件对自己的Windows XP进行防护前,这个加固软件是否安全?是否能够达到与其宣称相符的防护效果?
首轮测评已完成
“针对当前国内主流Windows XP安全加固软件产品的特点,我们制定了测试规范,并基于此规范开展了测评工作。”中国软件评测中心基础软件测试部总经理翟艳芬告诉本报记者,通过对Windows XP操作系统安全漏洞以及国内多家安全厂商Windows XP安全加固产品的研究,中国软件评测中心率先建立了《Windows XP安全加固软件产品测试规范》,并在加固软件产品对Windows XP系统漏洞的防护能力、加固软件的兼容性、加固软件对系统资源占用及效率三个方面对市场上的各个Windows XP安全加固软件产品进行测评。
中国软件评测中心是国内权威的第三方软、硬件产品及信息系统工程质量安全与可靠性检测机构。自成立20余年来,中国软件评测中心共承担了10万多款软硬件产品和1万余项信息系统工程的测试任务,业务网络覆盖全国500多个大中型城市,所出具的测试报告在61个国家和地区实现互认,而操作系统与信息安全方面的软件测评也同样属于中国软件评测中心的工作范畴。
翟艳芬介绍,中国软件评测中心站在第三方角度,希望为市场上的Windws XP安全加固软件提供客观有效的评测,从而为广大Windws XP用户,特别是那些无法升级到Windows 8的政府和企业用户选择合适的系统安全加固软件提供指导和建议。
据了解,中国软件评测中心以安装完整补丁包的Windows XP SP3和安装部分补丁包的Windows XP SP3为基准测试环境,对奇虎360、腾讯、金山等市场上常见的Windows XP安全加固软件进行测评。“我们开展Windows XP安全加固软件产品测评工作,是基于中国软件评测中心多年来在软件评测领域所积累的技术能力和经验。”翟艳芬告诉记者,对于Windows XP安全加固软件产品测评,首要的就是漏洞防护能力测评。
翟艳芬介绍,漏洞防护功能测评即测试评估这些软件产品对于Windows XP漏洞的防护能力。“我们选取的漏洞样本分为三个类型,它们是已经公开的已知漏洞攻击样本、增强的漏洞攻击样本、多方共享的漏洞攻击样本。”翟艳芬表示,中国软件评测中心已经完成了对公开的已知漏洞的测试,通过在基准环境上的测评,他们发现市场上主流的安全加固防护软件对公开的已知漏洞都具有较好的防护效果。
此外,中国软件测评中心还同时对Windows XP安全加固软件进行了兼容性测试和效率测试,这些测试其实也是企业级用户非常关心的,这是因为如果加固软件安装部署后会对终端的兼容性和性能产生影响,甚至影响正常的办公,那幺企业就应该对软件是否应该部署在办公环境中进行慎重的考虑。
兼容性测试即考察安全加固软件与浏览器、常用办公软件、文档编辑器等第三方应用软件的兼容性。在部署安全加固软件后,加固软件会不会对这些常用的应用软件产生影响。而效率测试即考察安全加固软件在安装后的资源占用率情况,例如对开机速度的影响、内存占用以及对其它软件响应时间的影响等。
“经过兼容性和效率测试,我们发现市场上常见的Windows XP安全加固软件产品确实存在差异。所以政府和企业用户在面对Windows XP安全加固软件产品时,确实需要谨慎地作出选择,尽量将它们对原有系统和办公环境的影响降到最低。”翟艳芬说。
度过操作系统过渡期
据了解,中国软件测评中心目前已经完成了市场上常见的Windows XP安全加固软件产品在漏洞防护能力、兼容性和效率方面的常规测试,接下来将进行一些更为深入的测试工作。“比如我们将这些软件对增强型漏洞的防御能力、对新增漏洞的防御能力进行评估。此外,我们还将扩大兼容性测试的测试范围,下一步重点关注Web系统的兼容性问题。”翟艳芬说。
显然,Windows XP安全加固软件产品测评并不是一蹴而就的事情,它是一个动态、反复的过程。“我们测评的方法和手段其实并不是一成不变的,随着新安全漏洞的发现,或者新的安全加固软件版本的推出,需要对测试案例进行补充和完善。所以,这项工作也是一项持续性的工作。”翟艳芬表示。
此外,中国软件评测中心也一直在开展国产Linux操作系统的安全性测试研究。“我们可以为政府和企业进行全面的操作系统安全性测试,既包括Windows XP安全加固软件产品测评,也包括国产操作系统本身及相关安全产品的测评。我们开展此项工作,就是为了给政府和企业提供帮助。”翟艳芬强调,“中国软件评测中心会为政府和企业进行个性化、定制化的安全加固软件产品测评服务并提出意见和建议,帮助这些用户安全、平稳地度过操作系统国产化的过渡时期。”
