McAfee VS Symentec

确保您的网络免受病毒威胁

CASE STUDY

1.概要: 

McKesson刚刚把自己的IT构架从分布型转换为集中型。为确保这次转型的顺利实施，当前很重要的一个目标就是：需要在整个企业范围内执行一个可集中管理的反病毒计划，并制订一个反病毒软件的企业标准。 

这个案例突出显示了在McKesson环境中配置McAfee反病毒解决方案的相对优势。根据McKesson首席信息官（CIO）Carmine Villani的介绍，本文将从以下几个方面阐述从当前产品（Symantec的NAV）转换为McAfee解决方案（ePolicy Orchestrator、VirusScan以及NetShield）所带来的好处：

1构架

可靠性/带宽利用/移动运算/远程用户的实现方法/管理的灵活性/与现有解决方案的兼容性

2 TCO

长期成本/短期成本，包括购买使用许可和维护

3可用性

易于使用（管理控制台和软件）/报告类型（易于摘录和阅读）/支持的质量

4功能性

自动化程度/发作响应功能/警报

5有效性

病毒检测（第三方测试）/启发式与类别检测/兼容性审核与加强

6其它方面

公司合作伙伴

2.业务需求描述：

在企业整体范围内实施集中AV管理和制定AV软件标准的的目的就在于更好的确保环境安全和降低成本。 

McKesson主要关注的一个安全目标就是控制进出网络的信息流。严格控制有助于减少来自于公司内部的非法信息所带来的法律责任——包括不适宜的电子邮件或感染病毒的信息以及McKesson的知识产权甚至是专利信息。从成本避免和维护McKesson 安全领域领导者这一声誉的角度来讲，这种风险减少所带来的收益是不可估量的。

偷窃信息型恶意软件（特洛伊和后门病毒）以及具有更大危害性的病毒现在越来越猖狂和泛滥（详细信息可参见附件）。安全实践表明一个组织要避免诸如Nimda(尼达姆)等恶意软件的感染，其95%以上的设备必须具有最新的病毒定义文件。避免诸如Nimda等病毒的感染在成本节省的角度来讲是十分重要的（参见TCO部分）。

McKesson对目前市场上所有具备桌面和文件/打印服务器集中控制功能的反病毒管理工具进行了详细调查。结果表明解决方案的这种附加开支对于保证公司环境95%符合企业AV策略是十分必要的，这可以显著减少与病毒感染相关的成本。 

除了诱人的投资回报率（ROI）外，这种管理工具所提供的综合图表报告功能还可以显示策略实施的细节（比如每个机器布置的是哪种版本的AV软件以及它们是否是最新的）这使得McKesson能够在病毒发作时快速和高效地部署新配置或病毒定义文件。随着新病毒繁殖速度的不断加快，快速反应时间和直达每一个机器的能力对于减少成本和损失是至关重要的。

这面的分析将会为您提供两种解决方案的比较情况：一个是Symantec适用于桌面和文件服务器的NAV再加上Symantec Systems Center管理控制台，另一个是McAfee适用于桌面的VirusScan、适用于文件/打印服务器的NetShield以及进行管理、策略加强和报告的ePolicy Orchestrator。

3.比较：

1构架：在McKesson 环境中安装McAfee或 Symantec解决方案是否有构架方面的对比价值？

可靠性： 

McKesson所需要的集中管理工具要能够管理多达18,000且数目仍在不断增加的客户机，那么解决方案的规模是否能够满足这种要求？ 

McAfee的ePolicy Orchestrator (ePO)通过一台服务器即可管理多达250,000个客户机，可以有效减少成本。 

Symantec要求为每一个策略组配置一台服务器。例如，适用于财务或管理的策略都需要单独的服务器，而且一台服务器只能管理3,000个客户机。（仅购买服务器这一项开支即可减少约20,000美元，更不要提安装单独Systems Center基础构架所需的物力和人力了。） 

带宽：

两种解决方案在每周病毒特征文件升级时，在带宽利用方面的对比如何？ 

McKesson会发现McAfee增量升级模型对于节省带宽使用成本是十分有效的。McAfee客户机所需的病毒特征增量升级文件仅100K，而不是Symantec所需的3 M。

移动运算/远程用户的实现方法：

哪一种解决方案对与远程用户而言更友好？（例如：客户机所需的安装空间更小、如何升级、是否有适用于网络外部用户的升级选项、当远程用户错过一次或多次（升级）计划时如何实现升级，在这里，还是一个带宽的问题——谁的DAT升级文件更小？）

McAfee 可以为常规VirusScan客户软件提供一种替代解决方案，就是所谓的VirusScan瘦客户机。这种版本的VirusScan具有更小的安装需求（仅6MB），能够彻底锁定且对最终用户而言是不可见的，但是能够接收每周的增量升级文件。注意：VirusScan瘦客户机无需另外收费。相反，Symantec没有为远程用户提供选项——每个人都需要安装60MB的客户端软件，而且每周还需要接收高达3MB的病毒特征升级文件。

McAfee可以以下述方式为远程用户提供更多的保护：远程用户的AV软件具有多种自动升级方法。如果用户没有连接企业网，比如没有访问常规FTP下载站点，ePO将指示VirusScan通过McAfee的网站来获得升级。这样，McAfee拨号用户就可以在在线的时候接收特征升级文件了。

使用SSC，用户只能够在预定的间期接收升级文件（比如每日）。如果用户在预定升级的时候没有联网，那么在其它间期就无法升级。 

McAfee远程用户实现方法的好处： 他们会得到更好的保护，因为他们不会错过任何一次升级，也不能够卸载或关闭软件。同样，他们不需要为升级软件担心——一切都在悄悄自动进行中。这可以为最终用户节省大量时间和精力。最终用户可以体验到更好的系统性能以及更少的由于通过拨号连接下载大量升级文件所造成的系统延迟。 

管理：

哪一种解决方案拥有更灵活的管理——集中还是分散？ 

McAfee的ePO允许管理员为不同的站点管理员分配不同级别的权限。最低安全级别为“只允许浏览”，这种权限的管理员能够监视和向有权变更策略的管理员报告站点状态。SSC只能为所有用户提供同一种权限。 

McAfee灵活方法的优势所在：McKesson可以为某些站点分配完全管理权限，从而保持与传统分布式IT实现方法的兼容性。这也许仅仅意味着在严格集中强化方面的优势。 即使权限是给定的，管理员还是需要能够在发生紧急事件时，锁定整个环境或强制进行全球升级。不管权限如何分配，报告都需要集中到ePO服务器，这样CIO就能够一眼浏览整个环境。

与当前解决方案的兼容性： 

哪种解决方案可以最大程度地利用McKesson当前在软件配置工具上的投资？特别是，哪种解决方案可以提供无缝的灵活性，从而能够与Tivoli协同工作（比如进行软件配置）的同时，还可以使用反病毒管理控制台来执行其他任务（比如每周升级、策略配置与强化、实时报告、兼容性审核以及经济响应）？ 

A. McAfee可以在下述几个方面帮助McKesson最大程度地利用该公司在Tivoli上的投资：

利用McAfee，您可以配置Tivoli或ePolicy Orchestrator的客户端软件，而且这不会影响ePO管理、升级、配置或报告客户端软件的能力。而Symantec却不能——如果您需要管理带有Symantec系统中心的 NAV，您就必须使用SSC配置客户端软件。

优势：选择能够与当前应用（Tivoli）协同工作的反病毒管理解决方案可以节省构建并行AV管理控制台基础构架所需的时间与金线。此外，McKesson还可以继续实施现有且经过考验的配置反病毒软件或其它软件的方法。这可以减少使用相同工具（SSC）来执行相同任务（软件配置）所需的人力。

McAfee的ePO可以向Tivoli的Risk Manager报告各种事件。

2.TCO: 哪种解决方案可以提供最短和长期TCO?

AV软件TCO的关键在于管理成本——根据公司的报告，这一成本占到总成本的80%。（参见附录：Halifax Bank的案例研究。）下面的研究是专为McKesson环境而定制的，结果表明新的解决方案每年至少比原有的手工病毒特征升级方法节省427,000美元。这一成本意味着在不到12个月的时间里，购买ePO的投资已经回收了。（McAfee产品的总购买成本 ，包括ePO，为284,500美元。因此，投资回报周期仅为8个月）

公司报告认为20%的成本是购买使用许可和维护费用。2002年购买McAfee使用许可的费用有所上涨，但是它在3年以内的成本仍然比拥有Symantec的成本要低，因为McAfee的支持与维护费用非常低廉。为了确保竞争力，McAfee许诺产品价格将低于Symantec的首期支付费用。（具体报价请参见附录）

紧急响应与清除成本一个重要因素。ICSA最近对财富500强公司进行了一次安全调查，具体信息如下。这次调查评估了病毒攻击的成本。拥有McAfee解决方案可以显著减少这种成本：

需要考虑的另外一项成本是从Symantec转换为McAfee的成本。这一点也许无意义，因为即使McKesson继续使用Symantec，也需要支出这笔费用。McKesson大多数环境仍然基于NAV v. 5.0，这要求首先卸载V5.0然后再重新配置NAV 7.6。这将会涉及有关学习曲线的成本。但是配置McAfee后，很少人会涉及升级和管理过程，因此需要培训的费用很低。此外，管理和升级过程对人力要求的减少使得购买ePO的成本远远低于转换解决方案的成本。

3. 可用性：从易用性和有效性的角度出发比较产品与支持。

1. 是否有一种解决方案更灵活、更强大和更好用？

ePO比Symantec的SSC控制台更容易使用。参见附录第三方在电子测试实验室对两种解决方案可用性的比较研究与讨论——ePO远远领先。

EPO可以提供可定制、图表式实施级别的报告，包括30多种现有报告，允许管理员实时测量环境的AV状态。 

实时报告的可用性优势在于实时策略管理或强化——在发生病毒事件时，管理员能够快速和轻松识别并更正漏洞。这有助于节省带宽——使用SSC，管理员必须为整个组而不是为受攻击的目标区下载3mg的定义文件。 

SSC只能提供日志文件型信息，而且最多只能支持3,000个节点的组群。

EPO可以提供更容易地设置和管理过程，因为只需要处理一个服务器。

ePO代理可以收集相关AV数据，同时记录额外的计算机信息，比如OS、可用内存以及其他有用数据。

EPO同样可以管理McAfee Security的其它产品，包括桌面防火墙和Threatscan漏洞检测器。一个单一控制台可以管理多个最佳解决方案，从而从整体上降低TCO，包括未来的管理成本。

因为ePO同样能够报告NAV 5.0的状态信息，所以这在产品转换过程中非常有用，可以确保所有的机器都得到适当更新。SSC只能管理自己桌面产品的最版本：7.6，因此在产品升级过程中作用不大。

EPO可以自动强化首次接入网络的新机器的安全策略。利用IP组群规则，机器可以根据工作所在的站点/办公室进行组合，并根据指令在安装McAfee的同时强化该站点/办公室的特定策略。

SSC只能加强每个管理服务器的类别策略。

2. 哪种解决方案的支持计划更有助于满足McKesson根据自己的环境所提出的独特要求和问题？

McAfee的企业支持组织最近刚刚荣获Harris Award颁发的“优秀信息服务提供商”奖。Microsoft、Dell以及Cisco也同时获得该奖项。详情请参见附件。

因为McKesson是NAI指定的战略客户，所以McKesson能够直接与我们的高层领导联系，其中包括NAI的CEO George Samenuk。参见附录的联系名单。

借助于NAI聘请的高级工程师，McAfee可以提供专业的咨询服务。因为我们的咨询服务没有外包，因此McKesson可以受益于我们的低成本和我们在反病毒安全领域的专业知识。

4. 功能性：自动化、紧急响应以及警报的比较

自动化：

解决方案使环境自动化的程度如何？减少的所需人力和出错机会又如何？

ePO通过一个集中控制台可以实现完全自动化，并有足够的灵活性来维持集中化的报告，并同时能够为站点或分公司分配管理控制权限。SSC要求每一组配置一个服务器——在McKesson这个案例中，至少需要6台。这实际上是额外的硬件和人力需求。 

EPO支持最终用户软件的完全锁定功能，这样用户就不会变更设定好的策略或删除软件。如果有用户能够进行策略变更，ePO代理会自动将客户端软件设置为企业批准的设置，并重新安装该软件。这可以有效减少管理员维护最终用户策略所需的时间。此外，自动化的策略加强事实上是环境安全的保障。当然，这级别的安全是会记录在ePO的报告中的。

SSC不能自动实施任何功能。如果客户删除了NAV，就没有任何机制来重新安装和升级软件了。这也就意味着环境具有漏洞，易于遭受攻击。

紧急响应： 

哪种解决方案在病毒紧急事件中响应的时间最快、最有效？

ePO根据呼叫会立即激活，并通知每一个客户机呼叫总部（以任意间隔）并进行升级。这使得升级过程更快速、有序，带宽利用更好。

SSC要求每个环境下载3mg或更大的定义文件。这个过程非常耗时，而且没有实时报告来显示努力是否有效，同时还会占用大量带宽和管理员时间。

警报如何处理：

哪种解决方案更灵活、更易用以及更及时？

ePO 可以根据组群的警报，为不同的服务器配置不同策略和设置。此外，ePO还可以支持比SSC多得多的警报方法，包括向另一台服务器转发警报、集中警报（所有的用户都可以向同一台服务器发送警报）；DMI警报（如果用户安装了Desktop Management Interface客户端软件的话）以及终端服务器警报（客户机能够从各自终端获得警报）。

使用SSC，管理员必须单独为每一个服务器进行配置，这将会耗用管理大量宝贵时间。而且警报方法有限（见上述）。

5. 有效性：哪种解决方案可以提供更好的病毒检测和清除技术？

病毒检测（第三方测试）： 

可证明的是，大多数AV解决方案的关键特征在于有能力捕获和清除病毒。根据第三方的客观测试，哪个解决方案可以提供针对已知或未知 病毒的最佳扫描技术？（详细信息请参见附录）：

2001：在反病毒技术的评估中，McAfee击败众多主要反病毒供应商，获得病毒检测领域的最高分。在汉堡大学病毒测试中心的测试中，在马德格堡大学Virus Bulletin和AV-Test.org的测试中，McAfee的得分都超过了其他参评产品。精华摘要如下：

汉堡大学，病毒测试中心 – McAfee在2001年7月举办的“Heureka” 测试中，以其先进的启发式 扫描功能和未知“驯化”病毒检测功能荣获最高分。详情参见：http://agn-www.informatik.uni-hamburg.de/vtc 

汉堡大学 – 在2000年4月举办的扫描器测试中，荣获AV业界最值得尊重奖，以表彰McAfee的扫描技术在9个领域获得第一。详情参见附录。

Virus Bulletin –在Virus Bulletin举办的按需扫描测试中，McAfee反病毒技术是九个解决方案中唯一一款能够检测到所有“在野”病毒的产品。在2001年7月Virus Bulletin报告中， McAfee在所有测试领域的检测率均为100%。http://www.virusbtn.com/100/ 下面是本次测试的类别： 

6兼容性审核与强化

哪种解决方案可以保持环境随时更新并提供相关报告？

假设NAV和McAfee效力相同，即都拥有各自最新升级版本。保护环境最重要的是确保环境中所有桌面和服务器都装备有最新病毒特征文件。根据上边的介绍，ePO是唯一一款能够对环境进行完全可视的解决方案，具有即时策略加强、紧急响应快速等优势。 

因为每个服务器无法突破3,000节点的，SSC不能够提供真正的集中化管理，这在升级和紧急响应过程中非常被动。SSC不能够提供“唤醒呼叫”功能，所以如果管理员希望升级环境，他们必须为所有的网络机器下载至少3 mg的升级文件。因为SSC不能提供图形实时报告，所以没有可靠地验证方法来显示整个环境是否符合企业AV策略。最后，如果最终用户卸载或禁用了NAV软件，SSC不能过自动重新安装或返回初始状态——这势必增加未知安全漏洞，从而遭到诸如Nimda等病毒的攻击。 

7其他方面

哪家公司可以提供上述优势并超越反病毒软件供应商而成为McKesson的重要合作伙伴?

企业合作伙伴—在3月11日的讨论中，NAI将与McKesson在多个层面建立合作关系。为提供最佳反病毒产品与支持，我们与McKesson制定了可管理服务/转销商协议（详情请参见附录：与HBOC/MIS集团共同前进的协议）。这种安排使得McKesson能够通过转销和管理McAfee解决方案从而获得额外收益。此外，Sniffer分公司还可以为McKesson提供企业标准网络监视解决方案。

未来的解决方案—McAfee Security在研发方面的巨额投资是我们制造出最佳反病毒产品、桌面防火墙以及漏洞评估工具的保证。EPO将会作为集中化控制台来管理这些不断发展的解决方案。这些发展将进一步帮助McKesson通过简化和集中管理任务以及提供针对组织安全适用性的深度报告，从而维护一个较低TCO。