小型局域网安全分析与设计毕业设计

摘要随着计算机网络的不断发展和普及，计算机网络带来了无穷的资源，但随之而来的网络安全问题也显得尤为重要，局域网内的安全问题引起了我们的重视。局域网内网的安全隐患给我们带来了许多麻烦，来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络，形成极大的安全隐患。本课题对局域网的进行基本的架设，通过局域网所面临的安全进行分析，提出解决安全的方案，对网络安全的防范技术做了分析和比较。在介绍网络安全概念及其产生原因的基础上，介绍了各种信息技术及其在局域网信息安全中的作用和地位，特别是对加强安全应采取的应对措施做了较深入的讨论。局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通，研究局域网的安全以及防范措施已迫在眉睫。关键词局域网威胁安全控制病毒防治ABSTRACTALONGWITHTHECOMPUTERNETWORKDEVELOPMENTANDPOPULARIZATION,COMPUTERNETWORKBROUGHTINFINITERESOURCES,BUTFOLLOWINGTHEPROBLEMOFNETWORKSECURITYISALSOAPPEARSESPECIALLYIMPORTANT,LOCALAREANETWORKSECURITYISTHECAUSEOFOURATTENTIONTHECONNECTIONOFLOCALAREANETWORKSECURITYHIDDENDANGERBRINGINGUSALOTOFTROUBLE,FROMTHECLIENTWITHINTHENETWORKCOMPUTERSECURITYTHREATTOTHELACKOFNECESSARYSAFETYMANAGEMENTMEASURES,BIGGERSECURITYTHREATUNAUTHORIZEDNETWORKEQUIPMENTORTHEUSERMIGHTTHROUGHTHENETWORKTOLOCALAREANETWORKEQUIPMENTAUTOMATICINTOTHENETWORK,FORMTHEGREATSECURITYHIDDENDANGERTHISTOPICOFLOCALAREANETWORKFORTHEERECTIONOFTHEBASIC,THROUGHTHELANFACINGTHESAFETYANALYSISANDPUTFORWARDTHESOLUTIONOFSAFETYSCHEMEOFNETWORKSECURITYPREVENTIVETECHNOLOGYAREANALYZEDANDCOMPAREDINTRODUCEDINNETWORKSECURITYCONCEPTSANDREASONWASINTRODUCEDONTHEBASISOFALLKINDSOFINFORMATIONTECHNOLOGYANDINTHELOCALAREANETWORKINFORMATIONSECURITYOFTHEFUNCTIONANDPOSITION,ESPECIALLYTOSTRENGTHENSECURITYSHOULDTAKEMEASURESTODOAMOREINDEPTHDISCUSSIONLANSECURITYMEASURESSHOULDBETOBEABLETOCOMPLETETHETHREATTOVARIOUSKINDSOFDIFFERENTANDVULNERABILITY,SUCHABILITYMAKESURENETWORKINFORMATIONPRIVACY,INTEGRITY,ANDAVAILABILITYINORDERTOENSURETHATTHEINFORMATIONSAFETYANDSMOOTH,STUDYTHESAFETYMEASURESTOPREVENTANDLANISIMMINENTKEYWORDSLANTHREATSAFETYCONTROLVIRUSPREVENTION目录第一章绪论1一、网络安全概述1一网络安全的内容1二网络安全的关键技术1二、课题需解决的问题及设计思想1第二章安全风险分析3一、网络平台的安全风险分析3二、系统的安全风险分析3三、应用的安全风险分析4第三章安全需求与安全目标5一、安全需求分析5二、系统安全目标5第四章企业局域网的安全分析与设计7一、某企业原网络拓扑结构7二、网络结构说明7三、网络安全风险分析7四、安全设计方案9（一）企业具有安全措施的网络拓扑图9（二）安全体系设计9五、防火墙的选择12（一）选择的理由13（二）CISCOASA5500配置13六、入侵检测系统14七、网络杀毒软件的选择15（一）体系结构与安装方式分析16（二）管理功能分析16（三）性能分析18参考文献21致谢23小型局域网安全分析与设计第一章绪论一、网络安全概述从本质上讲，网络安全就是网络上的信息安全，是指网络系统的硬件，软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全就是如何保证网络信息的保密性完整性可用性可控性可审查性的问题。一网络安全的内容网络安全涉及的因素有物理安全、系统安全、信息安全。1、物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的。2、系统安全系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。3、信息安全信息存储及传递中的完整性私密性及不可否认机制。二网络安全的关键技术网络信息安全的关键技术主要包括身份认证技术、访问控制技术、防火墙技术、加密技术、病毒防范技术、安全管理技术等。二、课题需解决的问题及设计思想1安全性A黑客的非法入侵和攻击；B网络病毒；C内部人员的攻击2可操作性为用户提供亲切的交互界面是构建安全局域网系统的基本要求。作为一个良好的系统，必须能够很方便的实施，并且功能明确、特点鲜明，易于管理和维护。在设计时我们要综合考虑用户的情况，简化系统的层次结构和操作环节，从最终用户的角度出发，为其提供良好的可操作性。3扩展性由于实际的实施情况千差万别，而且用户的网络拓扑也随着技术规模的不断发展而变化，所以安全局域网系统应该具有良好的扩展性，以适应用户不断变化的需求。4经济性系统应当具有良好的性能价格比，在提供高性能服务的前提下，尽可能地节省资金投入。同时系统应该尽量降低操作和维护的开销，便于自动化管理，节省管理和维护等后续费用。第二章安全风险分析一、网络平台的安全风险分析网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。公开服务器面临的威胁这个企业局域网内公开服务器区（WWW、EMAIL等服务器）作为公司的信息发布平台，一旦不能运行后者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务；每天，黑客都在试图闯入INTERNET节点，这些节点如果不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他站点的跳板。因此，规模比较大网络的管理人员对INTERNET安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。整个网络结构和路由状况安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中，只使用了一台路由器，用作与INTERNET连结的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。二、系统的安全风险分析所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。网络操作系统、网络硬件平台的可靠性，我们可以这样讲没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。三、应用的安全风险分析应用系统的安全跟具体的应用有关，它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用的安全性涉及到信息、数据的安全性信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的（比如领导子网、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。第三章安全需求与安全目标一、安全需求分析通过前面我们对这个企业局域网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到公开服务器的安全保护；防止黑客从外部攻击；入侵检测与监控；病毒防护；数据安全保护；数据备份与恢复。针对这个企业局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求1大幅度地提高系统的安全性（重点是可用性和可控性）；2保持网络原有的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；3易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；4尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；5安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；6安全产品具有合法性，及经过国家有关管理部门的认可或认证；7分布实施。二、系统安全目标建立一套完整可行的网络安全与网络管理策略。将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信。建立网站各主机和服务器的安全保护措施，保证他们的系统安全。对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝。加强合法用户的访问认证，同时将用户的访问权限控制在最低限度。全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为。备份与灾难恢复强化系统备份，实现系统快速恢复。第四章企业局域网的安全分析与设计一、某企业原网络拓扑结构图41企业原网络拓扑结构二、网络结构说明这个企业局域网是一个信息点较为密集的千兆局域网络系统，它为企业的各部门提供了一个快速、方便的信息交流平台。在分析企业局域网安全风险时，应考虑以下该网络结构的特点网络与外部网络连接，可能通过外网传播进来的病毒，黑客攻击以及自外网的非授权访问等；网络中存在公开服务器，避免公开服务器的安全风险扩散到内部；该局域网中存在许多不同的子网，不同的子网有不同的安全性，应考虑将不同功能和安全级别的网络分隔开，这可以由交换机划分VLAN来实现。局域网内用户之间以及与外网用户的敏感信息交流，需要保证信息传输过程中的安全性，可以通过增加VPN服务器和VPN路由器等来实现建立安全的通信隧道；在应用程序开发时应考虑加强用户登录验证，防止非授权访问。三、网络安全风险分析目前对网络的攻击手段主要表现在非授权访问，信息泄露或丢失，破坏数据完整性，拒绝服务攻击，利用网络传播病毒。因此，应该做到公开服务器的安全保护，防止黑客从外部攻击，用户的身份认证，入侵检测与监控，信息审计与记录，病毒防护，数据安全保护，数据备份与恢复，网络的安全管理。网络安全可以从以下几个方面来分析（1）物理安全风险分析网络的物理安全主要是指环境事故，电源故障，人为操作失误，设备毁坏等。只要制定健全的安全管理制度，做好备份，这些风险是可以避免的。（2）网络平台安全风险分析网络结构安全涉及到网络拓扑结构、网络路由状况及网络的环境等，在该企业的公开服务器区容易遭受黑客攻击。因此，将公开服务器、内部网络与外部网络进行隔离，同时还要对外网的服务请求加以过滤才能更好的保证局域网的安全。（3）系统安全风险分析系统安全是指整个局域网网络操作系统，网络硬件平台是否可靠值得信任；网络操作系统的可靠性对中国来说恐怕绝对安全的操作系统是没有的，但是，我们可以通过对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，来提高系统的安全性。（4）应用安全风险分析应用系统的安全是动态的不断变化的，所以保证应用系统的安全也是一个随着网络技术发展而不断完善的过程。应用安全也涉及到信息数据的安全，对于有些特别重要的信息需要进行保密可以考虑在应用级上进行加密，针对具体的应用直接应用系统的开发时进行加密，并且通过VPN隧道进行加密传送。（5）管理安全风险分析管理安全是网络安全中重要的部分，只有严格执行完整可靠的安全管理制度才能有效的避免其带来的风险。四、安全设计方案（一）企业具有安全措施的网络拓扑图图42企业具有安全措施的网络拓扑图（二）安全体系设计通过对网络的全面了解，按照安全策略的要求，安全风险分析的结果及整个网络的安全目标，整个网络安全措施应按系统体系建立。具体的安全控制系统由以下几个方面组成物理安全、网络安全、系统安全、信息安全、应用安全和安全管理。1、物理安全内容包括场地安全、机房建设安全、动力保障系统安全以及系统抗性、防灾难的应急措施和恢复能力。主要采取的安全措施有在布线方面充分考虑电磁辐射，同时重要部门的机房采用电磁屏蔽措施；重要计算机终端采用电磁屏蔽和加干扰器，避免电磁泄露；门窗保护重要场地采用防盗门窗或带身份识别功能的门锁，对进入机房的人员和时间进行记录和限制；报警监控措施在重要部位设监控报警措施；专用保险机柜的保护对于一些重要的密码设备，采用专用安全机柜进行保护，避免偷窃和破坏行动的发生。2、系统安全系统安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。操作系统安全，在市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。为了保证企业局域网操作系统的安全，除了需不断地增加安全补丁外，还需进行如下要求检查系统设置（敏感数据的存放方式访问控制口令选择/更新）将系统的安全级别设置为最高级。应用系统安全，应用系统的安全性由支持应用系统的网络、平台、操作系统和数据库的安全性所决定，因此，应用系统应充分利用系统的安全性。但由于各行业的应用系统千差万别，故很难对应用系统的安全实现进行具体的规划。3、网络安全数据包在局域网中是采用广播方式传播，的在某个广播域中可以侦听到域内所有的信息包，如果黑客对信息包进行分析，那么广播域内的信息传递都会暴露在黑客面前。因此，特对企业局域网作如下设计网络分段是保证安全的一项重要措施同时也是一项基本措施其指导思想，在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。在企业局域网实际应用中可采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。内部网不同网络安全域的隔离及访问控制VLAN技术主要基于近年发展的局域网交换技术。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。网络安全检测网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统检查报告系统存在的弱点和漏洞提出建议补救措施和安全策略以达到增强网络安全性的目的。应具备以下功能具备网络监控分析和自动响应功能；找出经常发生问题的根源所在；建立必要的循环过程确保隐患时刻被纠正控制各种网络安全危险；漏洞分析和响应；配置分析和响应；漏洞形势分析和响应；认证和趋势分析；将各种服务器受黑客攻击的可能降为最低；对网络访问做出有效响应保护重要应用系统数据安全不受黑客攻击和内部人员误操作的侵害。网络病毒防护由于在网络环境下计算机病毒有着不可估量的威胁性和破坏力因此计算机病毒的防范是网络安全性设计中的重要一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术A、预防病毒技术它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制。B、检测病毒技术它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键词、文件长度的变化等C、清除病毒技术它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片对网络目录及文件设置访问权限等。网络备份系统备份系统为一个目的而存在，即尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有场点内高速度大容量自动的数据存储备份与恢复；场点外的数据存储备份与恢复；对系统设备的备份，备份不仅要在网络系统硬件故障或人为失误时起到保护作用，还可在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。4、信息安全企业局域网网络系统的业务信息可分为公共信息、内部信息、秘密信息等。不同性质的信息，其安全要求也不同。公共信息的完整性要求比较高，如那些可以向整个系统发布的WEB信息，不能被非法篡改；内部信息除要具有普通的安全要求外，还要以有力的访问控制手段来保证它只能在内部被及时正确地使用；秘密信息的安全性要求最高，如何保证秘密信息的安全是整个安全系统建设的重中之重。秘密信息的安全性主要体现在它的保密性上，对秘密信息的防护除了要求高强度的访问控制外，还需要有高强度的加密措施。5、安全管理面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气建立网络安全管理规范，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是保证计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络应用部门领导的重视。安全管理的主要功能指A、对安全设备的管理；B、监视网络危险情况对危险进行隔离并把危险控制在最小范围内；C、身份认证权限设置；D、对资源的存取权限的管理；E、对资源或用户动态的或静态的审计；F、对违规事件自动生成报警或生成事件消息；G、口令管理如操作员的口令鉴权对无权操作人员进行控制；H、密钥管理对于与密钥相关的服务器应对其设置密钥生命期密钥备份等管理功能；I、冗余备份为增加网络的安全系数对于关键的服务器应冗余备份。安全管理需通过管理制度和管理平台技术实现两个方面来完成安全管理产品应支持统一的中心控制平台五、防火墙的选择下面是CISCOASA5500系列防火墙介绍图43CISCOASA5500系列防火墙（一）选择的理由1、值得信赖的防火墙和威胁防御VPN技术；2、CISCOASA5500系列建立于值得信赖的CISCOPIX安全设备和CISCOVPN3000系列集中器技术，ASA5500系列是第一个兼具市场领先的防火墙技术保护，同时提供SSL和IPSECVPN服务的解决方案；3、业内领先的ANTIX服务；将TRENDMICRO在互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一起，提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。4、高级入侵防御服务；提供主动型全功能入侵防御服务，有效阻止各种威胁，包括蠕虫、应用层攻击、操作系统级攻击、ROOTKIT攻击、间谍软件、对等文件共享和即时消息传送。5、丰富的管理和监控服务；通过CISCOADAPTIVESECURITYDEVICEMANAGER（ASDM）提供直观的单设备管理和监控服务，通过CISCOSECURITYMANAGEMENTSUITE提供企业级多设备集中管理服务。6、降低部署和运作成本；由于CISCOASA5500系列提供与现有思科安全解决方案一致的设计和界面，因而能显著降低初始安全部署成本和日常管理成本。（二）CISCOASA5500配置（1）配置主机名CISCOASACONFIGHOSTNAMEASAFW（2）配置ETHERNET0/0ASAFWCONFIGINTERFACEETHERNET0/0ASAFWCONFIGIPADDRESS2021001102552552550ASAFWCONFIGNAMEIFOUTSIDEASAFWCONFIGNOSHUTDOWN（3）配置ETHERNET0/1ASAFWCONFIGINTERFACEE0/1ASAFWCONFIGNOSHUTDOWNASAFWCONFIGINTERFACEE0/13ASAFWCONFIGSUBIFVLAN3ASAFWCONFIGSUBIFNAMEIFINSIDEASAFWCONFIGSUBIFIPADDRESS1011102552552550ASAFWCONFIGSUBIFINTERFACEE0/14ASAFWCONFIGSUBIFVLAN4ASAFWCONFIGSUBIFNAMEIFMDZASAFWCONFIGSUBIFSECURITYLEVEL50ASAFWCONFIGSUBIFIPADDRESS1921681102552552550六、入侵检测系统用CISCOCATALYST6500系列入侵检测系统IDSM2服务模块。CISCOIDSM2是思科入侵检测系统的组成部分。它可以与其他组件合作，有效地保护您的数据基础设施。随着安全威胁的复杂性的日益提高，实施有效的网络入侵安全解决方案对于确保高水平的安全保障至关重要。高水平的安全保障可以确保业务连续性，最大限度地避免入侵可能造成的巨额损失。思科的集成化网络安全解决方案让机构可以防止他们的联网业务资产受到威胁，提高入侵防范的效率这些解决方案中包括第二代思科入侵检测系统IDS，模块即IDSM2，它可以用在广泛部署的CISCOCATALYST系列设备上。CATALYST系列设备的装机量已经达到数十万台，它是包括防火墙、虚拟专用网（VPN）和入侵检测系统（IDS）服务在内的附加服务的理想平台。由于认识到这种方式的价值思科推出了这个第二代模块以便为那些寻求IDS攻击防范的客户提供独特的优势。图44CISCOIDSM2CISCOIDSM2可以提供下列特性和优点思科是唯一可以提供一个交换机内置IDS解决方案的厂商，这种解决方案可以通过VLAN访问控制列表VACL获取功能来提供对数据流的访问权限。VACL可以支持无限个VLAN。通过被动的、综合的操作提供透明的操作。这种操作方式可以通过VACL获取功能和交换机端口分析工具/远程SPAN（RSPAN/SPAN）检测分组的复本，而且如果设备需要维护，因为它并不位于交换机转发路径上，因而它不会导致网络性能降低或者中断。体积只占一个机架单元，在CISCOCATALYST设备中只占用一个插槽，从而使它成为能够有效地支持所有CATALYST设备（从有三个插槽的CATALYST6503到这个系列中最大的设备）的平台，并让用户可以根据自己的需要，同时安装多个模块，为更多的VLAN和流量提供保护。每秒500MB的IDS检测能力可以提供高速的分组检查功能，让用户可以为各种类型的网络和流量提供更多的保护。多种用于获取和响应的技术，包括SPAN/RSPAN和VACL获取功能，以及屏蔽和TCP重置功能，从而让用户可以监控不同的网段和流量，同时让产品可以采取及时的措施，以消除威胁。使用与曾获大奖的CISCOIDS网络设备相同的程序代码，让用户可以将单一的管理技术作为标准，并让安装、培训、操作和支持变得更加便捷，同时可以利用CISCOIDS的全面的攻击识别能力和特征库。重要的管理技术（例如CISCOVMS21安全产品包提供的支持以及内置的CISCOIDS设备管理器（IDM）、IDS事件浏览器（IEV）本地管理功能和CLI支持）让IDSM2更加便于管理，更加善于检测和响应威胁，同时就潜在的攻击向管理人员发出警报。此外，这个新的产品还让管理人员可以更加方便地在范围广泛、多样化的网络上管理多个设备。七、网络杀毒软件的选择在这个企业局域网中我建议用金山毒霸网络版20。在此分别对SYMANTECATIVIRUS企业版100、金山毒霸网络版20、趋势防毒墙网络版70和瑞星杀毒软件网络版2006这四款网络版产品，在安装部署方式、管理功能操作和系统资源占用等几个方面进行横向对比测试。测试过程将遵循传统测试的基本原理和步骤，测试过程会在一定程度上有所简化。（一）体系结构与安装方式分析表41体系结构与安装方式金山毒霸瑞星趋势科技SYMANTEC体系结构B/SC/SB/SC/SC/S模块组成系统中心服务器端客户端系统中心服务器端客户端OFFICESCANSERVERPROTECT系统中心服务器客户端隔离区首先来看它们各自的体系结构。赛门铁克和瑞星两家的网络版产品，都采用了传统的C/S架构，这样的客户端对于跨网段和跨广域网的安装和管理，具有一定的局限性。与之相比，金山毒霸的网络版采用的是业内较先进的B/S架构，兼容性和可扩展性较好，尤其值得一提的是，毒霸的管理模块可以灵活部署，能够满足不同用户的需求。而趋势科技的网络版则是前面提到的两种架构的结合体，采用的是C/SB/S架构，可以兼顾中小网络和跨地域的大型网络，兼容性和可扩展性表现优异。但是，趋势科技的服务器和客户端采用的是两个版本，用户成本增高，在管理和使用方面也略显复杂。在此环节中，金山毒霸与趋势科技的表现占优，但两家的侧重点却有所不同，金山毒霸更加注重用户使用的灵活性，而趋势科技则更重视软件的兼容性和扩展性，对于用户体验与成本方面的关注略显不足。在安装方式上，瑞星与赛门铁克的产品均不能直接支持WEB安装。而金山毒霸与趋势科技提供的的安装方式就较为多样化，可以在WEB安装、远程安装和脚本安装中进行选择，前者的WEB安装，操作非常简单，即使是初次使用的用户安装起来也毫不费力，而后者的网络版产品在前面提到的安装方式之外还增加了光盘安装等方式。（二）管理功能分析对于一款杀毒软件，用户最为看重的就是其对系统的管理能力。接下来，我们将从以下的三个方面来分析比较四款网络版产品在系统管理方面的特点。1、可移动式管理与分级功能从可移动管理功能来看，由于瑞星和赛门铁克均不支持基于WEB的管理控制台，所以这两款网络版杀毒软件，都需要在机器上额外安装管理控制组件，才能达到移动管理的目的，相对比较麻烦。而金山与趋势科技的两款产品，在移动管理性能方面的优越性则十分显著，它们都支持移动的WEB管理控制台，可以比较轻松地实现对整个网络的管理，无须单独安装控制台，其中金山毒霸的操作界面更加直观，使用起来很方便。至于分级管理功能，虽然这四款产品都能通过不同途径加以实现，但效果却各不相同。瑞星和赛门铁克的两款产品均采用层层递进的结构实现分级管理。不同之处在于，瑞星产品的一、二级系统中心之间，是通过通讯代理进行交互，用户可以明显感觉到信息传送的滞后和不稳定；同时，瑞星的一级系统中心不能直接管理到二级系统中心下的客户端，企业级用户在使用时会感觉比较繁琐。金山毒霸则是通过管理中心集中管理数据，对多个系统中心、升级服务器进行集中管理，保证了信息传递的稳定性和操作的简便性。趋势科技则通过WEB控制台实现分级管理，但用户如果要向同一局域网内其它服务器报告，就需要通过客户机移动工具来实现，相对繁琐。比较来看，金山与趋势的两款产品表现较为优秀，而在用户操作上金山毒霸最为简便。2、漏洞扫描与修复功能利用系统漏洞进行攻击已经成为当前网络侵害的主流之一，用户对于杀毒软件的漏洞扫描与修复功能的需求日益增多。然而遗憾的是，赛门铁克与趋势科技的两款产品都不支持此项功能。余下的两款国内产品中，金山毒霸能够对局域网内的所有在线用户进行漏洞扫描，智能选择客户机所需要安装的补丁，自动下载和安装补丁，整个过程完全不需要用户的参与，非常省心；这一功能保证了整个网络系统能够在最短时间内统一修补漏洞，使企业级用户的病毒防护真正做到滴水不漏，从根本上杜绝了安全隐患。而瑞星的网络版产品虽然能够逐一通知用户安装，但在补丁安装向导启动之后，需要用户自己参与安装，并没有实现真正的全网漏洞自动修复，一旦终端用户取消安装就不能顺利对系统漏洞进行修复，在一定程度上存在着安全隐患。在这一个环节的比拼上，趋势科技与赛门铁克交了白卷，而金山毒霸的主动漏洞扫描与修复功能则表现得最为抢眼。3、抢先加载防毒功能杀毒是场速度战，不仅仅要求病毒库的更新要快，杀毒软件的加载速度更要快。如果不能抢在病毒之前对系统进行加载保护，被病毒抢占先机，后果就会不堪设想。赛门铁克与趋势科技的两款产品在这一功能上再次缺席，它们都是在系统完全启动后才能生效，对于计算机中已经存在病毒的情况，这两款杀毒软件在机器启动后，无法阻止病毒向整个网络扩散，从而导致用户无法进行正常的工作。而瑞星具有的抢先杀毒功能，能够在系统启动前便对硬盘进行病毒扫描，扫描完成后再引导系统，可以清除掉正常模式下无法清除的病毒程序；但在启动系统过程中，仍存在染毒隐患，同时会使系统启动的时间相对变长。金山毒霸不仅能够在用户的系统尚未完全启动前对病毒进行防范，毒霸的实时监控模块还可以在系统未登录网络之前便启动完整的查杀病毒功能，全面保证用户上网无忧。（三）性能分析表42各杀毒软件性能分析表金山毒霸瑞星趋势SYMANTEC静态资源占用KANGUIEXE3M4MKANSVREXE8MKMAILMONEXE1MRAVEXE1MRAVMONEXE2MRAVTRAYEXE6MRSAGENTEXE2MRAVMONDEXE8MPCCNTMONEXE545MVPTRAYEXE910MVPC32EXE1074M病毒库升级网络资源占用CPU15,最高值达25内存8MCPU60,最高值达100内存18MCPU最高26内存330MCPU最高87内存936M病毒查杀速度KANSCANEXECPU80左右内存40M左右清除病毒259个耗时10秒RAVEXECPU99左右清除病毒257个耗时40秒TSCEXECPU94内存1301M清除病毒78个耗时19秒RTVSCANEXECPU98内存3973M清除病毒254个耗时24分32秒测试样本共275个从中不难看出，金山毒霸网络版在查杀病毒的数量与速度上都占据了明显优势，而趋势的网络版产品表现则相当让人失望。值得注意的是，金山毒霸网络版在杀毒的工作状态下，对用户CPU的占用却只有80，为四款产品中最少的；而趋势、赛门铁克、瑞星的三款产品对用户的CPU占用率分别达到了94、98和99，在杀毒状态下，CPU基本已被占满，用户完全做不了其他的事情。同样的，在病毒库升级的状况下，金山毒霸