在生产环境进行有限测试之前，笔者强烈建议你在独立的测试环境进行测试。你需要作出的决策时，你打算投入多少努力来创建一个测试环境以准确地模拟生产环境。

你想要在测试环境中模拟所有服务器吗，还是可以接受合并服务器?你通常想要模拟生产环境的配置，但有时候你可以通过更少的机器(或虚拟机)来模拟生产环境，而不会影响准确性。

接下来是测试环境的命名问题。笔者通常建议在测试环境使用与生产环境不同的名称。为什么呢?因为很多时候，所谓“独立”的测试环境最终与生产环境有着一个或多个连接;如果你使用相同的名称，则可能会影响实际操作。

写下你如何配置测试环境的具体细节，让所有依赖测试结果的人可以重新创建这种环境。如果你在使用虚拟机，现在是时候进行虚拟机快照。如果你在测试相同解决方案的多种产品，你可以确保每个测试都是从零开始。笔者还建议在计算机安全软件安装后进行一次快照，这样一来，如果你决定再次变更配置选项并进行测试，你就可以回到原始状态。为产品必须支持的每个平台至少创建一个测试镜像。

5.创建并执行严格的测试

在创建测试环境后，现在是时候开始评估产品了。我们的评估通常会将产品评估分为几个类别：

安装。你应该同时在客户端和服务器端评估安装。支持多少种不同的安装方法?你可以将安装列入产品本身，还是你必须使用另一种方法完成安装?为了远程安装软件，你必须运行什么服务以及哪些防火墙端口必须打开?如果你测试安装，有多少失败了?请确保至少为每个平台和规格进行至少一次安装。

配置。注意在安装期间或安装后产品的配置难易程度。最佳产品将为你提供向导，帮助你作出最佳选择。事后更改配置困难吗?变更需要多长时间才生效?产品同时提供代理和无代理安装吗?

管理。你如何连接到管理控制台?希望这是通过HTPPS或其他安全连接。管理控制台是否允许你为不同类型的管理员创建不同的访问控制视图?它支持哪些远程客户端?

日志记录和警报。 每个计算机安全产品都应该进行大量日志记录。日志采用什么格式?你能否操纵日志格式、收集的数据，并以其他格式导出?日志是否能保存到外部数据库、通过电子邮件发送给用户，以及重新启动或回收?警报发送有多少种不同的方式(电子邮件、短信、网络消息)?警报是否有“消息节流”，以防为单个事件发送几十或更多警报?产品是否允许你创建自定义警报，或者忽视你不在乎的警报?

(责任编辑：)