每個軟件供應商都稱自己的產品是萬能的,下面讓我們看看如何評估軟件產品,并找到最適合你需求的解決方案。
對于一次性支付的費用加上每年的訂閱費,供應商承諾100%的準確性以及100%的保護,但事實并非總是如此。你需要自己選擇安全產品,為了讓這個事情變得更容易一點,本文為你提供了評估解決方案的7個步驟。
1. 寫下你的目標
首先,對于你想購買的新產品,寫下你的目標。這似乎看起來很容易,但當你的要求更加具體時,這個目標就沒那么容易了。例如,你可能會說你想要“防病毒軟件”,但再具體一點,你真正想要的是反惡意軟件程序,能在服務器和客戶端運行,具有實時、按需和計劃性掃描。反惡意軟件程序是否還需要提供基于主機的防火墻(例如反網絡釣魚攻擊)或發送警報到你的服務臺?
2. 創建一個功能清單
你的功能清單應該考慮這些問題:選購的產品必須保護哪些客戶端和服務器?管理和生產軟件必須在什么類型的服務器(Windows、Linux等)運行?你可能還想要指定你能接受的數據庫(微軟SQL服務器、Oracle、MySQL、Hadoop)和web服務器(Apache、IIS)技術。你是否希望該產品或服務保護移動計算機、平板電腦和智能手機?受保護的客戶端必須受你企業的管理?客戶端必須位于企業網絡內,還是可以遍布在互聯網?如果你花了很多心思來創建你的功能清單,你可以很容易地滿足你的要求。
請務必表明哪些功能是關鍵功能,哪些是“可有可無”的功能。讓利益相關者(包括管理層和最終用戶)審查和批準這些功能集,讓每個人都參與決策。
3. 閱讀評測文章
你還應該閱讀軟件評測文章。通常情況下,評測文章中提到的漏洞在你評估軟件時已經解決了,但知道問題所在以及供應商如何解決問題能夠幫助你的決策過程。
4.創建測試環境
在生產環境進行有限測試之前,筆者強烈建議你在獨立的測試環境進行測試。你需要作出的決策時,你打算投入多少努力來創建一個測試環境以準確地模擬生產環境。
你想要在測試環境中模擬所有服務器嗎,還是可以接受合并服務器?你通常想要模擬生產環境的配置,但有時候你可以通過更少的機器(或虛擬機)來模擬生產環境,而不會影響準確性。
接下來是測試環境的命名問題。筆者通常建議在測試環境使用與生產環境不同的名稱。為什么呢?因為很多時候,所謂“獨立”的測試環境最終與生產環境有著一個或多個連接;如果你使用相同的名稱,則可能會影響實際操作。
寫下你如何配置測試環境的具體細節,讓所有依賴測試結果的人可以重新創建這種環境。如果你在使用虛擬機,現在是時候進行虛擬機快照。如果你在測試相同解決方案的多種產品,你可以確保每個測試都是從零開始。筆者還建議在計算機安全軟件安裝后進行一次快照,這樣一來,如果你決定再次變更配置選項并進行測試,你就可以回到原始狀態。為產品必須支持的每個平臺至少創建一個測試鏡像。
5.創建并執行嚴格的測試
在創建測試環境后,現在是時候開始評估產品了。我們的評估通常會將產品評估分為幾個類別:
安裝。你應該同時在客戶端和服務器端評估安裝。支持多少種不同的安裝方法?你可以將安裝列入產品本身,還是你必須使用另一種方法完成安裝?為了遠程安裝軟件,你必須運行什么服務以及哪些防火墻端口必須打開?如果你測試安裝,有多少失敗了?請確保至少為每個平臺和規格進行至少一次安裝。
配置。注意在安裝期間或安裝后產品的配置難易程度。最佳產品將為你提供向導,幫助你作出最佳選擇。事后更改配置困難嗎?變更需要多長時間才生效?產品同時提供代理和無代理安裝嗎?
管理。你如何連接到管理控制臺?希望這是通過HTPPS或其他安全連接。管理控制臺是否允許你為不同類型的管理員創建不同的訪問控制視圖?它支持哪些遠程客戶端?
日志記錄和警報。 每個計算機安全產品都應該進行大量日志記錄。日志采用什么格式?你能否操縱日志格式、收集的數據,并以其他格式導出?日志是否能保存到外部數據庫、通過電子郵件發送給用戶,以及重新啟動或回收?警報發送有多少種不同的方式(電子郵件、短信、網絡消息)?警報是否有“消息節流”,以防為單個事件發送幾十或更多警報?產品是否允許你創建自定義警報,或者忽視你不在乎的警報?
報告。大多數產品會在其報告中顯示出其弱點。你想要具有很多內置的現成報告的產品。該產品應該允許自定義當前的報告,并容易創建新的報告。報告能否被提取?以何種格式?報告能否定期自動通過電子郵件發送給利益相關者?
性能。在測試環境中,性能是最難測試的因素,因為這不像生產環境。但你也不能只是聽取供應商的一面之詞。你可以詢問同等規模的其他客戶,聽聽他們對產品及其性能的看法。
請確保你記錄下來哪些硬件規格能讓你實現峰值性能。很多買家在與供應商的合同中增加了一個條款,要求保證某種最低性能水平,否則他們將賠錢。
支持。 大多數廠商聲稱提供24/7支持。但呼叫支持號碼是否會進入無休止的呼叫等待中呢?支持工程師是否訓練有素?你每年允許進行多少次支持呼叫?升級到更高支持水平需要多少費用?讓供應商來到現場解決操作問題需要多少費用?同樣地,你不能聽取供應商的一面之詞。問一問同等規模的其他客戶。大型客戶通常會向供應商支付更多費用,這可能帶來特殊的照顧,而較小型客戶可能無法享受這種待遇。
6. 獲取客戶參考名單
向供應商獲取客戶參考名單,最好是相同規模和相同行業。雖然客戶總是會選擇他們喜歡的供應商,但你可以從他們的實際經驗中吸取一些教訓。
有時候,這些客戶可能一味地談論產品的好處,這時候,你可以詢問:“你希望該產品如何改善?”通常,他們會分享他們真正關心的問題。
7.生產環境測試
在購買產品前,你還應該在生產環境測試這個產品。從測試環境到生產環境能夠發現更多的漏洞。
最后的測試提示:不要只是因為這是一臺設備就被它鎮住了,設備只是更難更新的軟件。