每個軟件供應(yīng)商都稱自己的產(chǎn)品是萬能的，下面讓我們看看如何評估軟件產(chǎn)品，并找到最適合你需求的解決方案。

對于一次性支付的費用加上每年的訂閱費，供應(yīng)商承諾100%的準(zhǔn)確性以及100%的保護，但事實并非總是如此。你需要自己選擇安全產(chǎn)品，為了讓這個事情變得更容易一點，本文為你提供了評估解決方案的7個步驟。

1. 寫下你的目標(biāo)

首先，對于你想購買的新產(chǎn)品，寫下你的目標(biāo)。這似乎看起來很容易，但當(dāng)你的要求更加具體時，這個目標(biāo)就沒那么容易了。例如，你可能會說你想要“防病毒軟件”，但再具體一點，你真正想要的是反惡意軟件程序，能在服務(wù)器和客戶端運行，具有實時、按需和計劃性掃描。反惡意軟件程序是否還需要提供基于主機的防火墻(例如反網(wǎng)絡(luò)釣魚攻擊)或發(fā)送警報到你的服務(wù)臺?

2. 創(chuàng)建一個功能清單

你的功能清單應(yīng)該考慮這些問題：選購的產(chǎn)品必須保護哪些客戶端和服務(wù)器?管理和生產(chǎn)軟件必須在什么類型的服務(wù)器(Windows、Linux等)運行?你可能還想要指定你能接受的數(shù)據(jù)庫(微軟SQL服務(wù)器、Oracle、MySQL、Hadoop)和web服務(wù)器(Apache、IIS)技術(shù)。你是否希望該產(chǎn)品或服務(wù)保護移動計算機、平板電腦和智能手機?受保護的客戶端必須受你企業(yè)的管理?客戶端必須位于企業(yè)網(wǎng)絡(luò)內(nèi)，還是可以遍布在互聯(lián)網(wǎng)?如果你花了很多心思來創(chuàng)建你的功能清單，你可以很容易地滿足你的要求。

請務(wù)必表明哪些功能是關(guān)鍵功能，哪些是“可有可無”的功能。讓利益相關(guān)者(包括管理層和最終用戶)審查和批準(zhǔn)這些功能集，讓每個人都參與決策。

3. 閱讀評測文章

你還應(yīng)該閱讀軟件評測文章。通常情況下，評測文章中提到的漏洞在你評估軟件時已經(jīng)解決了，但知道問題所在以及供應(yīng)商如何解決問題能夠幫助你的決策過程。

4.創(chuàng)建測試環(huán)境

在生產(chǎn)環(huán)境進行有限測試之前，筆者強烈建議你在獨立的測試環(huán)境進行測試。你需要作出的決策時，你打算投入多少努力來創(chuàng)建一個測試環(huán)境以準(zhǔn)確地模擬生產(chǎn)環(huán)境。

你想要在測試環(huán)境中模擬所有服務(wù)器嗎，還是可以接受合并服務(wù)器?你通常想要模擬生產(chǎn)環(huán)境的配置，但有時候你可以通過更少的機器(或虛擬機)來模擬生產(chǎn)環(huán)境，而不會影響準(zhǔn)確性。

接下來是測試環(huán)境的命名問題。筆者通常建議在測試環(huán)境使用與生產(chǎn)環(huán)境不同的名稱。為什么呢?因為很多時候，所謂“獨立”的測試環(huán)境最終與生產(chǎn)環(huán)境有著一個或多個連接;如果你使用相同的名稱，則可能會影響實際操作。

寫下你如何配置測試環(huán)境的具體細(xì)節(jié)，讓所有依賴測試結(jié)果的人可以重新創(chuàng)建這種環(huán)境。如果你在使用虛擬機，現(xiàn)在是時候進行虛擬機快照。如果你在測試相同解決方案的多種產(chǎn)品，你可以確保每個測試都是從零開始。筆者還建議在計算機安全軟件安裝后進行一次快照，這樣一來，如果你決定再次變更配置選項并進行測試，你就可以回到原始狀態(tài)。為產(chǎn)品必須支持的每個平臺至少創(chuàng)建一個測試鏡像。

5.創(chuàng)建并執(zhí)行嚴(yán)格的測試

在創(chuàng)建測試環(huán)境后，現(xiàn)在是時候開始評估產(chǎn)品了。我們的評估通常會將產(chǎn)品評估分為幾個類別：

安裝。你應(yīng)該同時在客戶端和服務(wù)器端評估安裝。支持多少種不同的安裝方法?你可以將安裝列入產(chǎn)品本身，還是你必須使用另一種方法完成安裝?為了遠(yuǎn)程安裝軟件，你必須運行什么服務(wù)以及哪些防火墻端口必須打開?如果你測試安裝，有多少失敗了?請確保至少為每個平臺和規(guī)格進行至少一次安裝。

配置。注意在安裝期間或安裝后產(chǎn)品的配置難易程度。最佳產(chǎn)品將為你提供向?qū)?，幫助你作出最佳選擇。事后更改配置困難嗎?變更需要多長時間才生效?產(chǎn)品同時提供代理和無代理安裝嗎?

管理。你如何連接到管理控制臺?希望這是通過HTPPS或其他安全連接。管理控制臺是否允許你為不同類型的管理員創(chuàng)建不同的訪問控制視圖?它支持哪些遠(yuǎn)程客戶端?

日志記錄和警報。 每個計算機安全產(chǎn)品都應(yīng)該進行大量日志記錄。日志采用什么格式?你能否操縱日志格式、收集的數(shù)據(jù)，并以其他格式導(dǎo)出?日志是否能保存到外部數(shù)據(jù)庫、通過電子郵件發(fā)送給用戶，以及重新啟動或回收?警報發(fā)送有多少種不同的方式(電子郵件、短信、網(wǎng)絡(luò)消息)?警報是否有“消息節(jié)流”，以防為單個事件發(fā)送幾十或更多警報?產(chǎn)品是否允許你創(chuàng)建自定義警報，或者忽視你不在乎的警報?

報告。大多數(shù)產(chǎn)品會在其報告中顯示出其弱點。你想要具有很多內(nèi)置的現(xiàn)成報告的產(chǎn)品。該產(chǎn)品應(yīng)該允許自定義當(dāng)前的報告，并容易創(chuàng)建新的報告。報告能否被提取?以何種格式?報告能否定期自動通過電子郵件發(fā)送給利益相關(guān)者?

性能。在測試環(huán)境中，性能是最難測試的因素，因為這不像生產(chǎn)環(huán)境。但你也不能只是聽取供應(yīng)商的一面之詞。你可以詢問同等規(guī)模的其他客戶，聽聽他們對產(chǎn)品及其性能的看法。

請確保你記錄下來哪些硬件規(guī)格能讓你實現(xiàn)峰值性能。很多買家在與供應(yīng)商的合同中增加了一個條款，要求保證某種最低性能水平，否則他們將賠錢。

支持。 大多數(shù)廠商聲稱提供24/7支持。但呼叫支持號碼是否會進入無休止的呼叫等待中呢?支持工程師是否訓(xùn)練有素?你每年允許進行多少次支持呼叫?升級到更高支持水平需要多少費用?讓供應(yīng)商來到現(xiàn)場解決操作問題需要多少費用?同樣地，你不能聽取供應(yīng)商的一面之詞。問一問同等規(guī)模的其他客戶。大型客戶通常會向供應(yīng)商支付更多費用，這可能帶來特殊的照顧，而較小型客戶可能無法享受這種待遇。

6. 獲取客戶參考名單

向供應(yīng)商獲取客戶參考名單，最好是相同規(guī)模和相同行業(yè)。雖然客戶總是會選擇他們喜歡的供應(yīng)商，但你可以從他們的實際經(jīng)驗中吸取一些教訓(xùn)。

有時候，這些客戶可能一味地談?wù)摦a(chǎn)品的好處，這時候，你可以詢問：“你希望該產(chǎn)品如何改善?”通常，他們會分享他們真正關(guān)心的問題。

7.生產(chǎn)環(huán)境測試

在購買產(chǎn)品前，你還應(yīng)該在生產(chǎn)環(huán)境測試這個產(chǎn)品。從測試環(huán)境到生產(chǎn)環(huán)境能夠發(fā)現(xiàn)更多的漏洞。

最后的測試提示：不要只是因為這是一臺設(shè)備就被它鎮(zhèn)住了，設(shè)備只是更難更新的軟件。