如何看待反病毒行业的第三方认证

在上一期，我们探讨过企业用户如何选择一款适合自己的杀毒软件，其中我提到对于反病毒软件而言，其对病毒的查杀能力和监控能力是最为重要的一个指标。那么对于我们普通用户而言，如果判断一个杀毒软件病毒查杀能力的强弱是一件非常困难的事情。于是我们希望能有一个第三方的权威机构能做这样的测评。那么国际上专业的认证和测评机构都有哪些？他们的测试的内容是什么，对我们有什么帮助吗？我们又应该如何看待这些测评机构的结果呢？希望本文能给大家有一些帮助

目前国际上比较权威的认证和测评机构有：AV-TEST、AV-Comparatives、VB100%、CheckMark、ICSA等几种，下面我们先对这些测评机构作一个简单介绍：

VB100，最具影响力的测试

由英国独立病毒测试中心Bulletin颁发的VB100(VB 100% Award)认证，主要考验杀毒软件能否100%查杀流行病毒，而且不能出现1例误杀。其测试结果只有“通过”与“不通过”两种。如今的VB100测试，已经成为全球杀毒软件的大秀场，每次总会吸引50款左右的杀毒软件参加。因经济独立、观点独到，VB的测评获得了专业的口碑。其中立、公平、专业的定位使得它很快在反病毒安全领域获得权威地位。

AV-C，最艰难的测试

位于奥地利的AV-Comparatives，是全球杀毒行业公认的新测试技术开发方面的先驱和领袖。该项测试(简称为AV-C)使用真实用户环境，测试难度极大。同时，AV-C的入围门槛也极高，测试机构最多只挑选20款优秀杀毒软件进行年度评测，表现不佳的产品也可能被其公开淘汰。AV-Comparatives提供一个4个级别的认证系统由低到高分别为：TESTED, STANDARD, ADVANCED和ADVANCED+。细节方面，AV-C的评测项目包括对安全软件的手动扫描测试、安全软件回溯测试、动态测试和PUA(Potentially Unwanted Applications潜在不需要应用程序)测试、清除能力测试和对产品性能的实际测试。

AV-Test，最严谨的测试

德国人素来以严谨出名，因而诞生于德国马德堡大学的AV-Test，同样把这种精神用到了反病毒研究和数据安全领域。以至于许多国际性杂志媒体，也在委托AV-Test进行杀毒产品测试，其公信力由此可见一斑。由于AV-Test会在其网站公开评测成绩细节，很多缺乏信心的杀毒厂商并没有主动参加该项测试，一般每期AV-Test测试的杀毒软件不超过30款。

Checkmark，最个性化的测试

始于1996年的英国西海岸实验室Checkmark认证，是国际上信息安全类产品的知名认证之一，其通过难度并不高，但也有着自身的特色，例如针对不同地域、不同产品功能组织针对性的测试，因此也吸引了众多杀毒厂商的关注。

Checkmark对于杀毒软件的认证共有5项，从基础认证到全能认证分别排序为，【1】“Anti-Virus Desktop”查毒能力认证、【2】“Anti-Virus Disinfection”杀毒能力认证、【3】“Anti-Trojan”反木马能力认证、【4】“Anti-Spyware Desktop”反间谍软件认证、以及最高级别认证【5】“Anti-Malware“反恶意程序认证。

这些专业的测评机构都有专业的测评设备和测评方法，具有大规模的病毒样本库，可以对杀毒软件做详细的测试。能否通过这些专业测评机构的测评和认证，是一个杀毒软件实力的体现，也是我们在选择杀毒软件时的一个重要的参考标准。但同时我们也要辩证的去看这些认证，认识到这种测评本身的不足之处：

目前大多数的测评都是以世界性组织Wild List病毒资料库做为测评的标准，以杀毒软件能检测出WildList中的病毒数量做为判断杀毒软件杀毒能力强弱的标准。比如VB100%、 CheckMark等都是。这种方式要求被测产品搜集和累积恶意软件的数字签名，而不是实时威胁的即时行为分析及当下响应速度，数字签名的累积无形中降低了扫描速率并且增加了内存占用，此外还忽视了对互联网安全威胁的即时行为分析能力，正如面对不断变化的感冒病毒永远采取一种疫苗一样。所以这种测评方式被称为：二十世纪的测评方式。不能完全代表该杀毒软件在应对目前新形势下病毒威胁的能力。因此有一些杀毒软件（如趋势科技、DrWeb等）就宣布退出VB100的测评，也是因为这个原因。

要评价一个杀毒软件的能力，要从多个方面去判断，比如：主动防御能力、自我保护能力、扫描及强杀能力、数据修复或恢复能力。但国际上比较权威的认证做得最多是什么？是扫描和清除能力，而且是在未染毒的情况下。就像检测一名狙击手对付一个死靶的能力，尽管可以得出这名狙击手的枪法是否准，但作为评价这个狙击手的实战能力是不可靠的，或许在实战中他本身就很容易被对手干掉了。杀毒软件扫描和清除病毒，依靠的主是扫描引擎和病毒特征库。一套优秀的扫描引擎的设计是非常困难的，算法的好坏直接影响速度和效果。但病毒库这一指标多年来一直作为衡量安全软件水平的首要指标，至今误导着很多人。病毒库大了势必会影响扫描的速度，这点很多认证并未考虑过。扫描出来能否将其杀掉也是衡量杀毒能力的重要方面，也是扫描的最终目的。而现在很多的认证只测试到扫描出来这一步，并未测试其实际感染后的清除能力，实际上现在很多病毒通过各种伎俩来防止自己被删除，也确实有个别杀毒软件确实存在删除病毒文件的能力较弱的情况。目前这方面比较得到大家认可的测评是AV-Comparatives的测评认证。其测试方法更贴近用户实际。

杀毒软件能否杀掉病毒，其主要因素在于有没有收集到该病毒的特征码，而特征码的收集，一方面跟其公司实力有关，另一方面也有一定的偶然因素。因此，每一次的测评都是有时效性的，仅能代表当时的查杀结果，并不能完全代表另外一个时间也是同样的结果。这也是专业的认证测评都不做排名的原因，只是按照一定的标准给予不同等级的认证级别。

各认证机构一般情况下都是每年进行多次测评，比如VB100就是每偶数月进行一次测评认证，一年6次。而AV-C的测评每季度进行一次，每年四次。这些测评每次的内容是不同的，比如有的是针对不同操作系统平台的，有的是测试更新速度的，有的是进行回溯测试的，有的测试误杀率的，也有的是测试软件对病毒的清除能力，因此在我们看到某软件厂商获得某认证的时候，最好能看到完整的报告，了解是什么时间通过的什么内容的测试，测试的方法是什么等具体的信息。而不要单纯的被其认证所迷惑。

结论： 杀毒软件的第三方认证，既是对各软件厂商能力的说明，也是各软件厂商宣传的主要招数。作为最终用户，我们在看到这些认证的时候，一定要了解具体的测评信息。最后我要强调的是，第三方认证仅仅是我们在选择杀毒软件时的一个参考，不是唯一条件。

本文作者：河南数安科技有限公司  谷燕兵。发表于河南省信息安全保密协会《信息快报》第二期。转载请注明。