小型局域網(wǎng)安全分析與設(shè)計(jì)畢業(yè)設(shè)計(jì)

1、摘 要隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展和普及，計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)了無(wú)窮的資源，但隨之而來(lái)的網(wǎng)絡(luò)安全問題也顯得尤為重要，局域網(wǎng)內(nèi)的安全問題引起了我們的重視。局域網(wǎng)內(nèi)網(wǎng)的安全隱患給我們帶來(lái)了許多麻煩，來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過(guò)到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動(dòng)進(jìn)入網(wǎng)絡(luò)，形成極大的安全隱患。本課題對(duì)局域網(wǎng)的進(jìn)行基本的架設(shè)，通過(guò)局域網(wǎng)所面臨的安全進(jìn)行分析，提出解決安全的方案，對(duì)網(wǎng)絡(luò)安全的防范技術(shù)做了分析和比較。在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上，介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位，特別是對(duì)加強(qiáng)安全應(yīng)采取的應(yīng)對(duì)措施做了較深入

2、的討論。局域網(wǎng)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網(wǎng)的安全以及防范措施已迫在眉睫。關(guān)鍵詞：局域網(wǎng) 威脅 安全控制 病毒防治abstractalong with the computer network development and popularization, computer network brought infinite resources, but following the problem of network security is also appears especially i

3、mportant, local area network security is the cause of our attention. the connection of local area network security hidden danger bringing us a lot of trouble, from the client within the network computer security threat to the lack of necessary safety management measures, bigger security threat. unau

4、thorized network equipment or the user might through the network to local area network equipment automatic into the network, form the great security hidden danger.this topic of local area network for the erection of the basic, through the lan facing the safety analysis and put forward the solution o

5、f safety scheme of network security preventive technology are analyzed and compared. introduced in network security concepts and reason was introduced on the basis of all kinds of information technology and in the local area network information security of the function and position, especially to st

6、rengthen security should take measures to do a more in-depth discussion.lan security measures should be to be able to complete the threat to various kinds of different and vulnerability, such ability make sure network information privacy, integrity, and availability. in order to ensure that the info

7、rmation safety and smooth, study the safety measures to prevent and lan is imminent.keywords: lan threat safety control virus prevention目錄第一章 緒論1一、網(wǎng)絡(luò)安全概述1(一)網(wǎng)絡(luò)安全的內(nèi)容1(二)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)1二、課題需解決的問題及設(shè)計(jì)思想1第二章 安全風(fēng)險(xiǎn)分析3一、網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析3二、系統(tǒng)的安全風(fēng)險(xiǎn)分析3三、應(yīng)用的安全風(fēng)險(xiǎn)分析4第三章 安全需求與安全目標(biāo)5一、安全需求分析5二、系統(tǒng)安全目標(biāo)5第四章 企業(yè)局域網(wǎng)的安全分析與設(shè)計(jì)7一、某企業(yè)原網(wǎng)

8、絡(luò)拓?fù)浣Y(jié)構(gòu)7二、網(wǎng)絡(luò)結(jié)構(gòu)說(shuō)明7三、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析7四、安全設(shè)計(jì)方案9（一）企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D9（二）安全體系設(shè)計(jì)9五、防火墻的選擇12（一）選擇的理由：13（二）cisco asa 5500配置13六、入侵檢測(cè)系統(tǒng)14七、網(wǎng)絡(luò)殺毒軟件的選擇15（一）體系結(jié)構(gòu)與安裝方式分析16（二）管理功能分析16（三）性能分析18參考文獻(xiàn)21致謝23西安思源學(xué)院本科畢業(yè)論文（設(shè)計(jì)）小型局域網(wǎng)安全分析與設(shè)計(jì) 第一章 緒論一、網(wǎng)絡(luò)安全概述從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)

9、絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)信息的保密性完整性可用性可控性可審查性的問題。(一)網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全涉及的因素有物理安全、系統(tǒng)安全、信息安全。1、物理安全:保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的。2、系統(tǒng)安全:系統(tǒng)的安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺(tái)的可靠性。3、信息安全:信息存儲(chǔ)及傳遞中的完整性私密性及不可否認(rèn)機(jī)制。(二)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)主要包括身份認(rèn)證技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、加密技術(shù)、病毒防范技術(shù)、安全管理技術(shù)等。二、課題需解決的問題及設(shè)計(jì)思想1 安全性a 黑客的非法入侵和攻擊；b 網(wǎng)絡(luò)病毒；c 內(nèi)部人

10、員的攻擊2 可操作性為用戶提供親切的交互界面是構(gòu)建安全局域網(wǎng)系統(tǒng)的基本要求。作為一個(gè)良好的系統(tǒng)，必須能夠很方便的實(shí)施，并且功能明確、特點(diǎn)鮮明，易于管理和維護(hù)。在設(shè)計(jì)時(shí)我們要綜合考慮用戶的情況，簡(jiǎn)化系統(tǒng)的層次結(jié)構(gòu)和操作環(huán)節(jié)，從最終用戶的角度出發(fā)，為其提供良好的可操作性。3 擴(kuò)展性由于實(shí)際的實(shí)施情況千差萬(wàn)別，而且用戶的網(wǎng)絡(luò)拓?fù)湟搽S著技術(shù)規(guī)模的不斷發(fā)展而變化，所以安全局域網(wǎng)系統(tǒng)應(yīng)該具有良好的擴(kuò)展性，以適應(yīng)用戶不斷變化的需求。4 經(jīng)濟(jì)性系統(tǒng)應(yīng)當(dāng)具有良好的性能價(jià)格比，在提供高性能服務(wù)的前提下，盡可能地節(jié)省資金投入。同時(shí)系統(tǒng)應(yīng)該盡量降低操作和維護(hù)的開銷，便于自動(dòng)化管理，節(jié)省管理和維護(hù)等后續(xù)費(fèi)用。第二章 安

11、全風(fēng)險(xiǎn)分析 一、網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。 公開服務(wù)器面臨的威脅： 這個(gè)企業(yè)局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（www、email等服務(wù)器）作為公司的信息發(fā)布平臺(tái)，一旦不能運(yùn)行后者受到攻擊，對(duì)企業(yè)的聲譽(yù)影響巨大。同時(shí)公開服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的服務(wù)；每天，黑客都在試圖闖入internet節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌军c(diǎn)的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對(duì)internet安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同

12、時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。 整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 ：安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個(gè)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺(tái)路由器，用作與internet連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，具體配置時(shí)可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險(xiǎn)。 二、系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)的安全顯而易見是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。 網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)的可靠性，我們可以這樣講：沒有完全安全的操作系統(tǒng)。但是

13、，我們可以對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。三、應(yīng)用的安全風(fēng)險(xiǎn)分析 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。 應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個(gè)企業(yè)局域網(wǎng)跨度

14、不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。對(duì)于有些特別重要的信息需要對(duì)內(nèi)部進(jìn)行保密的（比如領(lǐng)導(dǎo)子網(wǎng)、財(cái)務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級(jí)進(jìn)行加密，針對(duì)具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時(shí)進(jìn)行加密。 第三章 安全需求與安全目標(biāo) 一、安全需求分析 通過(guò)前面我們對(duì)這個(gè)企業(yè)局域網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對(duì)服務(wù)器的安全保護(hù)、防黑客和病毒上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到： 公開服務(wù)器的安全保護(hù)；防止黑客從外部攻擊；入侵檢測(cè)與監(jiān)控；病毒防護(hù)；數(shù)據(jù)安全保護(hù)；數(shù)據(jù)備份與恢復(fù)。針對(duì)這個(gè)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮

15、如何解決上述安全問題的設(shè)計(jì)時(shí)應(yīng)滿足如下要求： 1.大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）； 2.保持網(wǎng)絡(luò)原有的能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無(wú)需更改網(wǎng)絡(luò)設(shè)置； 3.易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作； 4.盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展； 5.安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用； 6.安全產(chǎn)品具有合法性，及經(jīng)過(guò)國(guó)家有關(guān)管理部門的認(rèn)可或認(rèn)證； 7.分布實(shí)施。二、系統(tǒng)安全目標(biāo)建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信。建

16、立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全。對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕。 加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)將用戶的訪問權(quán)限控制在最低限度。 全面監(jiān)視對(duì)公開服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為。備份與災(zāi)難恢復(fù)強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)。第四章 企業(yè)局域網(wǎng)的安全分析與設(shè)計(jì)一、某企業(yè)原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖4-1企業(yè)原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)二、網(wǎng)絡(luò)結(jié)構(gòu)說(shuō)明這個(gè)企業(yè)局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它為企業(yè)的各部門提供了一個(gè)快速、方便的信息交流平臺(tái)。在分析企業(yè)局域網(wǎng)安全風(fēng)險(xiǎn)時(shí)，應(yīng)考慮以下該網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)：網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接，可能通過(guò)外網(wǎng)傳播進(jìn)來(lái)的病

17、毒，黑客攻擊以及自外網(wǎng)的非授權(quán)訪問等；網(wǎng)絡(luò)中存在公開服務(wù)器，避免公開服務(wù)器的安全風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部；該局域網(wǎng)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，應(yīng)考慮將不同功能和安全級(jí)別的網(wǎng)絡(luò)分隔開，這可以由交換機(jī)劃分vlan來(lái)實(shí)現(xiàn)。局域網(wǎng)內(nèi)用戶之間以及與外網(wǎng)用戶的敏感信息交流，需要保證信息傳輸過(guò)程中的安全性，可以通過(guò)增加vpn服務(wù)器和vpn路由器等來(lái)實(shí)現(xiàn)建立安全的通信隧道；在應(yīng)用程序開發(fā)時(shí)應(yīng)考慮加強(qiáng)用戶登錄驗(yàn)證，防止非授權(quán)訪問。三、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析目前對(duì)網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在：非授權(quán)訪問，信息泄露或丟失，破壞數(shù)據(jù)完整性，拒絕服務(wù)攻擊，利用網(wǎng)絡(luò)傳播病毒。因此，應(yīng)該做到：公開服務(wù)器的安全保護(hù)，防止黑客

18、從外部攻擊，用戶的身份認(rèn)證，入侵檢測(cè)與監(jiān)控，信息審計(jì)與記錄，病毒防護(hù)，數(shù)據(jù)安全保護(hù)，數(shù)據(jù)備份與恢復(fù)，網(wǎng)絡(luò)的安全管理。網(wǎng)絡(luò)安全可以從以下幾個(gè)方面來(lái)分析：（1）物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)的物理安全主要是指環(huán)境事故，電源故障，人為操作失誤，設(shè)備毀壞等。只要制定健全的安全管理制度，做好備份，這些風(fēng)險(xiǎn)是可以避免的。（2）網(wǎng)絡(luò)平臺(tái)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)結(jié)構(gòu)安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等，在該企業(yè)的公開服務(wù)器區(qū)容易遭受黑客攻擊。因此，將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾才能更好的保證局域網(wǎng)的安全。（3）系統(tǒng)安全風(fēng)險(xiǎn)分析系統(tǒng)安全是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)，網(wǎng)絡(luò)硬件

19、平臺(tái)是否可靠值得信任；網(wǎng)絡(luò)操作系統(tǒng)的可靠性對(duì)中國(guó)來(lái)說(shuō)恐怕絕對(duì)安全的操作系統(tǒng)是沒有的，但是，我們可以通過(guò)對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，來(lái)提高系統(tǒng)的安全性。（4）應(yīng)用安全風(fēng)險(xiǎn)分析應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的不斷變化的，所以保證應(yīng)用系統(tǒng)的安全也是一個(gè)隨著網(wǎng)絡(luò)技術(shù)發(fā)展而不斷完善的過(guò)程。應(yīng)用安全也涉及到信息數(shù)據(jù)的安全，對(duì)于有些特別重要的信息需要進(jìn)行保密可以考慮在應(yīng)用級(jí)上進(jìn)行加密，針對(duì)具體的應(yīng)用直接應(yīng)用系統(tǒng)的開發(fā)時(shí)進(jìn)行加密，并且通過(guò)vpn隧道進(jìn)行加密傳送。（5）管理安全風(fēng)險(xiǎn)分析管理安全是網(wǎng)絡(luò)安全中重要的部分，只有嚴(yán)格執(zhí)行完整可靠的安全管理制度才能有效的避免其帶來(lái)的風(fēng)險(xiǎn)。四、安全設(shè)計(jì)

20、方案（一）企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D圖4-2 企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D（二）安全體系設(shè)計(jì)通過(guò)對(duì)網(wǎng)絡(luò)的全面了解，按照安全策略的要求，安全風(fēng)險(xiǎn)分析的結(jié)果及整個(gè)網(wǎng)絡(luò)的安全目標(biāo)，整個(gè)網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個(gè)方面組成:物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全、應(yīng)用安全和安全管理。1、物理安全內(nèi)容包括場(chǎng)地安全、機(jī)房建設(shè)安全、動(dòng)力保障系統(tǒng)安全以及系統(tǒng)抗性、防災(zāi)難的應(yīng)急措施和恢復(fù)能力。主要采取的安全措施有：在布線方面充分考慮電磁輻射，同時(shí)重要部門的機(jī)房采用電磁屏蔽措施；重要計(jì)算機(jī)終端采用電磁屏蔽和加干擾器，避免電磁泄露；門窗保護(hù)：重要場(chǎng)地采用防盜門窗或帶身份識(shí)別功能的門鎖

21、，對(duì)進(jìn)入機(jī)房的人員和時(shí)間進(jìn)行記錄和限制；報(bào)警監(jiān)控措施:在重要部位設(shè)監(jiān)控報(bào)警措施；專用保險(xiǎn)機(jī)柜的保護(hù):對(duì)于一些重要的密碼設(shè)備，采用專用安全機(jī)柜進(jìn)行保護(hù)，避免偷竊和破壞行動(dòng)的發(fā)生。2、系統(tǒng)安全系統(tǒng)安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺(tái)的可靠性。操作系統(tǒng)安全，在市場(chǎng)上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。為了保證企業(yè)局域網(wǎng)操作系統(tǒng)的安全，除了需不斷地增加安全補(bǔ)丁外，還需進(jìn)行如下要求:檢查系統(tǒng)設(shè)置（敏感數(shù)據(jù)的存放方式訪問控制口令選擇/更新）將系統(tǒng)的安全級(jí)別設(shè)置為最高級(jí)。應(yīng)用系統(tǒng)安全，應(yīng)用系統(tǒng)的安全性由支持應(yīng)用系統(tǒng)的網(wǎng)絡(luò)、平臺(tái)、操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全性

22、所決定，因此，應(yīng)用系統(tǒng)應(yīng)充分利用系統(tǒng)的安全性。但由于各行業(yè)的應(yīng)用系統(tǒng)千差萬(wàn)別，故很難對(duì)應(yīng)用系統(tǒng)的安全實(shí)現(xiàn)進(jìn)行具體的規(guī)劃。3、網(wǎng)絡(luò)安全數(shù)據(jù)包在局域網(wǎng)中是采用廣播方式傳播，的在某個(gè)廣播域中可以偵聽到域內(nèi)所有的信息包，如果黑客對(duì)信息包進(jìn)行分析，那么廣播域內(nèi)的信息傳遞都會(huì)暴露在黑客面前。因此，特對(duì)企業(yè)局域網(wǎng)作如下設(shè)計(jì)：網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施同時(shí)也是一項(xiàng)基本措施其指導(dǎo)思想，在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。在企業(yè)局域網(wǎng)實(shí)際應(yīng)用中可采取物理分段與邏輯分段相結(jié)合的方法來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性控制。內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制：vlan 技術(shù)主要基于近年發(fā)展的

23、局域網(wǎng)交換技術(shù)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開銷很大的路由器。網(wǎng)絡(luò)安全檢測(cè)：網(wǎng)絡(luò)安全檢測(cè)工具通常是一個(gè)網(wǎng)絡(luò)安全性評(píng)估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞提出建議補(bǔ)救措施和安全策略以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。應(yīng)具備以下功能:具備網(wǎng)絡(luò)監(jiān)控分析和自動(dòng)響應(yīng)功能；找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過(guò)程確保隱患時(shí)刻被糾正控制各種網(wǎng)絡(luò)安全危險(xiǎn)；漏洞分析和響應(yīng)；配置分析和響應(yīng)；漏洞形勢(shì)分析和響應(yīng)；認(rèn)證和趨勢(shì)分析；將各種服務(wù)器受黑客攻擊的可能降為最低；對(duì)網(wǎng)絡(luò)訪問做出有效響應(yīng)保護(hù)重要應(yīng)用

24、系統(tǒng)數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。網(wǎng)絡(luò)病毒防護(hù)：由于在網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力因此計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性設(shè)計(jì)中的重要一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒三種技術(shù)：a、預(yù)防病毒技術(shù):它通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。這類技術(shù)有:加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制。b、檢測(cè)病毒技術(shù):它是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵詞、文件長(zhǎng)度的變化等c、清除病毒技術(shù):它通過(guò)對(duì)計(jì)算機(jī)病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件

25、的軟件。網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)；在工作站上用防病毒芯片對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。網(wǎng)絡(luò)備份系統(tǒng)備份系統(tǒng)為一個(gè)目的而存在，即盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有:場(chǎng)點(diǎn)內(nèi)高速度大容量自動(dòng)的數(shù)據(jù)存儲(chǔ)備份與恢復(fù)；場(chǎng)點(diǎn)外的數(shù)據(jù)存儲(chǔ)備份與恢復(fù)；對(duì)系統(tǒng)設(shè)備的備份，備份不僅要在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，還可在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同時(shí)亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。4、信息安全企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)的業(yè)務(wù)信息可分為公共信息、內(nèi)部信息、秘密信息等。不同性質(zhì)的信息

26、，其安全要求也不同。公共信息的完整性要求比較高，如那些可以向整個(gè)系統(tǒng)發(fā)布的web 信息，不能被非法篡改；內(nèi)部信息除要具有普通的安全要求外，還要以有力的訪問控制手段來(lái)保證它只能在內(nèi)部被及時(shí)正確地使用；秘密信息的安全性要求最高，如何保證秘密信息的安全是整個(gè)安全系統(tǒng)建設(shè)的重中之重。秘密信息的安全性主要體現(xiàn)在它的保密性上，對(duì)秘密信息的防護(hù)除了要求高強(qiáng)度的訪問控制外，還需要有高強(qiáng)度的加密措施。5、安全管理面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣建立網(wǎng)絡(luò)安全管理規(guī)范，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是保證計(jì)算機(jī)網(wǎng)絡(luò)安全所

27、必須考慮的基本問題，所以應(yīng)引起各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。安全管理的主要功能指：a、對(duì)安全設(shè)備的管理；b、監(jiān)視網(wǎng)絡(luò)危險(xiǎn)情況對(duì)危險(xiǎn)進(jìn)行隔離并把危險(xiǎn)控制在最小范圍內(nèi)；c、身份認(rèn)證權(quán)限設(shè)置；d、對(duì)資源的存取權(quán)限的管理；e、對(duì)資源或用戶動(dòng)態(tài)的或靜態(tài)的審計(jì)；f、對(duì)違規(guī)事件自動(dòng)生成報(bào)警或生成事件消息；g、口令管理如操作員的口令鑒權(quán):對(duì)無(wú)權(quán)操作人員進(jìn)行控制；h、密鑰管理:對(duì)于與密鑰相關(guān)的服務(wù)器應(yīng)對(duì)其設(shè)置密鑰生命期密鑰備份等管理功能；i、冗余備份:為增加網(wǎng)絡(luò)的安全系數(shù)對(duì)于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理需通過(guò)管理制度和管理平臺(tái)技術(shù)實(shí)現(xiàn)兩個(gè)方面來(lái)完成安全管理產(chǎn)品應(yīng)支持統(tǒng)一的中心控制平臺(tái)五、防火墻的選擇下面是

28、cisco asa 5500系列防火墻介紹：圖4-3 cisco asa 5500系列防火墻（一）選擇的理由：1、值得信賴的防火墻和威脅防御vpn技術(shù)；2、cisco asa 5500 系列建立于值得信賴的cisco pix安全設(shè)備和cisco vpn 3000系列集中器技術(shù)，asa5500系列是第一個(gè)兼具市場(chǎng)領(lǐng)先的防火墻技術(shù)保護(hù)，同時(shí)提供ssl和ipsec vpn服務(wù)的解決方案；3、業(yè)內(nèi)領(lǐng)先的anti-x服務(wù)；將trend micro 在互聯(lián)網(wǎng)邊緣的威脅防御和內(nèi)容控制優(yōu)勢(shì)與切實(shí)可行的思科解決方案結(jié)合在一起，提供全面的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防誘騙、url阻擋和過(guò)濾以及內(nèi)容過(guò)

29、濾服務(wù)。 4、高級(jí)入侵防御服務(wù)；提供主動(dòng)型全功能入侵防御服務(wù)，有效阻止各種威脅，包括蠕蟲、應(yīng)用層攻擊、操作系統(tǒng)級(jí)攻擊、rootkit攻擊、間諜軟件、對(duì)等文件共享和即時(shí)消息傳送。5、豐富的管理和監(jiān)控服務(wù)；通過(guò)cisco adaptive security device manager（asdm）提供直觀的單設(shè)備管理和監(jiān)控服務(wù)，通過(guò) cisco security management suite 提供企業(yè)級(jí)多設(shè)備集中管理服務(wù)。 6、降低部署和運(yùn)作成本；由于cisco asa 5500系列提供與現(xiàn)有思科安全解決方案一致的設(shè)計(jì)和界面，因而能顯著降低初始安全部署成本和日常管理成本。（二）cisco as

30、a 5500配置（1）配置主機(jī)名：ciscoasa(config)# hostname asafw（2）配置ethernet 0/0 asafw (config)# interface ethernet 0/0 asafw (config)# ip address 0 asafw (config)# nameif outside asafw (config)# no shutdown（3）配置ethernet 0/1 asafw(config)# interface e0/1 asafw(config)# no shutdown asafw(c

31、onfig) # interface e0/1.3 asafw(config-subif)# vlan 3 asafw(config-subif)# nameif insideasafw(config-subif)# ip address 0 asafw(config-subif)# interface e0/1.4asafw(config-subif)# vlan 4asafw(config-subif)# nameif mdz asafw(config-subif)# security-level 50asafw(config-subif)#ip

32、 address 0 六、入侵檢測(cè)系統(tǒng) 用cisco catalyst 6500系列入侵檢測(cè)系統(tǒng)idsm-2服務(wù)模塊 。cisco idsm-2是思科入侵檢測(cè)系統(tǒng)的組成部分。它可以與其他組件合作，有效地保護(hù)您的數(shù)據(jù)基礎(chǔ)設(shè)施。隨著安全威脅的復(fù)雜性的日益提高，實(shí)施有效的網(wǎng)絡(luò)入侵安全解決方案對(duì)于確保高水平的安全保障至關(guān)重要。高水平的安全保障可以確保業(yè)務(wù)連續(xù)性，最大限度地避免入侵可能造成的巨額損失。思科的集成化網(wǎng)絡(luò)安全解決方案讓機(jī)構(gòu)可以防止他們的聯(lián)網(wǎng)業(yè)務(wù)資產(chǎn)受到威脅，提高入侵防范的效率這些解決方案中包括第二代思科入侵檢測(cè)系統(tǒng)ids，模塊即idsm-2，它

33、可以用在廣泛部署的cisco catalyst系列設(shè)備上。catalyst系列設(shè)備的裝機(jī)量已經(jīng)達(dá)到數(shù)十萬(wàn)臺(tái)，它是包括防火墻、虛擬專用網(wǎng)（vpn）和入侵檢測(cè)系統(tǒng)（ids）服務(wù)在內(nèi)的附加服務(wù)的理想平臺(tái)。由于認(rèn)識(shí)到這種方式的價(jià)值思科推出了這個(gè)第二代模塊以便為那些尋求ids攻擊防范的客戶提供獨(dú)特的優(yōu)勢(shì)。圖4-4 cisco idsm-2cisco idsm-2可以提供下列特性和優(yōu)點(diǎn)：思科是唯一可以提供一個(gè)交換機(jī)內(nèi)置ids解決方案的廠商，這種解決方案可以通過(guò)vlan訪問控制列表vacl獲取功能來(lái)提供對(duì)數(shù)據(jù)流的訪問權(quán)限。vacl可以支持無(wú)限個(gè)vlan。通過(guò)被動(dòng)的、綜合的操作提供透明的操作。這種操作方式可以

34、通過(guò)vacl獲取功能和交換機(jī)端口分析工具/遠(yuǎn)程span（rspan/span）檢測(cè)分組的復(fù)本，而且如果設(shè)備需要維護(hù)，因?yàn)樗⒉晃挥诮粨Q機(jī)轉(zhuǎn)發(fā)路徑上，因而它不會(huì)導(dǎo)致網(wǎng)絡(luò)性能降低或者中斷。體積只占一個(gè)機(jī)架單元，在cisco catalyst設(shè)備中只占用一個(gè)插槽，從而使它成為能夠有效地支持所有catalyst設(shè)備（從有三個(gè)插槽的catalyst 6503到這個(gè)系列中最大的設(shè)備）的平臺(tái)，并讓用戶可以根據(jù)自己的需要，同時(shí)安裝多個(gè)模塊，為更多的vlan和流量提供保護(hù)。每秒500mb的ids檢測(cè)能力可以提供高速的分組檢查功能，讓用戶可以為各種類型的網(wǎng)絡(luò)和流量提供更多的保護(hù)。多種用于獲取和響應(yīng)的技術(shù)，包括sp

35、an/rspan和vacl獲取功能，以及屏蔽和tcp重置功能，從而讓用戶可以監(jiān)控不同的網(wǎng)段和流量，同時(shí)讓產(chǎn)品可以采取及時(shí)的措施，以消除威脅。使用與曾獲大獎(jiǎng)的cisco ids網(wǎng)絡(luò)設(shè)備相同的程序代碼，讓用戶可以將單一的管理技術(shù)作為標(biāo)準(zhǔn)，并讓安裝、培訓(xùn)、操作和支持變得更加便捷，同時(shí)可以利用cisco ids的全面的攻擊識(shí)別能力和特征庫(kù)。重要的管理技術(shù)（例如cisco vms 2.1安全產(chǎn)品包提供的支持以及內(nèi)置的cisco ids設(shè)備管理器（idm）、ids事件瀏覽器（iev）本地管理功能和cli支持）讓idsm-2更加便于管理，更加善于檢測(cè)和響應(yīng)威脅，同時(shí)就潛在的攻擊向管理人員發(fā)出警報(bào)。此外，這個(gè)

36、新的產(chǎn)品還讓管理人員可以更加方便地在范圍廣泛、多樣化的網(wǎng)絡(luò)上管理多個(gè)設(shè)備。七、網(wǎng)絡(luò)殺毒軟件的選擇在這個(gè)企業(yè)局域網(wǎng)中我建議用金山毒霸網(wǎng)絡(luò)版2.0。在此分別對(duì)symantec ativirus 企業(yè)版10.0、金山毒霸網(wǎng)絡(luò)版2.0、趨勢(shì)防毒墻網(wǎng)絡(luò)版7.0和瑞星殺毒軟件網(wǎng)絡(luò)版2006這四款網(wǎng)絡(luò)版產(chǎn)品，在安裝部署方式、管理功能操作和系統(tǒng)資源占用等幾個(gè)方面進(jìn)行橫向?qū)Ρ葴y(cè)試。測(cè)試過(guò)程將遵循傳統(tǒng)測(cè)試的基本原理和步驟，測(cè)試過(guò)程會(huì)在一定程度上有所簡(jiǎn)化。（一）體系結(jié)構(gòu)與安裝方式分析表4-1體系結(jié)構(gòu)與安裝方式金山毒霸瑞星趨勢(shì)科技symantec體系結(jié)構(gòu)b/sc/sb/sc/sc/s模塊組成系統(tǒng)中心+服務(wù)器端+客戶端

37、系統(tǒng)中心+服務(wù)器端+客戶端office scanserver protect系統(tǒng)中心服務(wù)器客戶端+隔離區(qū)首先來(lái)看它們各自的體系結(jié)構(gòu)。賽門鐵克和瑞星兩家的網(wǎng)絡(luò)版產(chǎn)品，都采用了傳統(tǒng)的c/s架構(gòu)，這樣的客戶端對(duì)于跨網(wǎng)段和跨廣域網(wǎng)的安裝和管理，具有一定的局限性。與之相比，金山毒霸的網(wǎng)絡(luò)版采用的是業(yè)內(nèi)較先進(jìn)的b/s架構(gòu)，兼容性和可擴(kuò)展性較好，尤其值得一提的是，毒霸的管理模塊可以靈活部署，能夠滿足不同用戶的需求。而趨勢(shì)科技的網(wǎng)絡(luò)版 則是前面提到的兩種架構(gòu)的結(jié)合體，采用的是c/s+b/s架構(gòu)，可以兼顧中小網(wǎng)絡(luò)和跨地域的大型網(wǎng)絡(luò)，兼容性和可擴(kuò)展性表現(xiàn)優(yōu)異。但是，趨勢(shì)科技的服務(wù)器和客戶端采用的是兩個(gè)版本，用戶成

38、本增高，在管理和使用方面也略顯復(fù)雜。在此環(huán)節(jié)中，金山毒霸與趨勢(shì)科技的表現(xiàn)占優(yōu)，但兩家的側(cè)重點(diǎn)卻有所不同，金山毒霸更加注重用戶使用的靈活性，而趨勢(shì)科技則更重視軟件的兼容性和擴(kuò)展性，對(duì)于用戶體驗(yàn)與成本方面的關(guān)注略顯不足。在安裝方式上，瑞星與賽門鐵克的產(chǎn)品均不能直接支持web安裝。而金山毒霸與趨勢(shì)科技提供的的安裝方式就較為多樣化，可以在web安裝、遠(yuǎn)程安裝和腳本安裝中進(jìn)行選擇，前者的web安裝，操作非常簡(jiǎn)單，即使是初次使用的用戶安裝起來(lái)也毫不費(fèi)力，而后者的網(wǎng)絡(luò)版產(chǎn)品在前面提到的安裝方式之外還增加了光盤安裝等方式。（二）管理功能分析 對(duì)于一款殺毒軟件，用戶最為看重的就是其對(duì)系統(tǒng)的管理能力。接下來(lái)，我們

39、將從以下的三個(gè)方面來(lái)分析比較四款網(wǎng)絡(luò)版產(chǎn)品在系統(tǒng)管理方面的特點(diǎn)。1、可移動(dòng)式管理與分級(jí)功能從可移動(dòng)管理功能來(lái)看，由于瑞星和賽門鐵克均不支持基于web的管理控制臺(tái)，所以這兩款網(wǎng)絡(luò)版殺毒軟件，都需要在機(jī)器上額外安裝管理控制組件，才能達(dá)到移動(dòng)管理的目的，相對(duì)比較麻煩。而金山與趨勢(shì)科技的兩款產(chǎn)品，在移動(dòng)管理性能方面的優(yōu)越性則十分顯著，它們都支持移動(dòng)的web管理控制臺(tái)，可以比較輕松地實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的管理，無(wú)須單獨(dú)安裝控制臺(tái)，其中金山毒霸的操作界面更加直觀，使用起來(lái)很方便。至于分級(jí)管理功能，雖然這四款產(chǎn)品都能通過(guò)不同途徑加以實(shí)現(xiàn)，但效果卻各不相同。瑞星和賽門鐵克的兩款產(chǎn)品均采用層層遞進(jìn)的結(jié)構(gòu)實(shí)現(xiàn)分級(jí)管理。

40、不同之處在于，瑞星產(chǎn)品的一、二級(jí)系統(tǒng)中心之間，是通過(guò)通訊代理進(jìn)行交互，用戶可以明顯感覺到信息傳送的滯后和不穩(wěn)定；同時(shí)，瑞星的一級(jí)系統(tǒng)中心不能直接管理到二級(jí)系統(tǒng)中心下的客戶端，企業(yè)級(jí)用戶在使用時(shí)會(huì)感覺比較繁瑣。金山毒霸則是通過(guò)管理中心集中管理數(shù)據(jù)，對(duì)多個(gè)系統(tǒng)中心、升級(jí)服務(wù)器進(jìn)行集中管理，保證了信息傳遞的穩(wěn)定性和操作的簡(jiǎn)便性。趨勢(shì)科技則通過(guò)web控制臺(tái)實(shí)現(xiàn)分級(jí)管理，但用戶如果要向同一局域網(wǎng)內(nèi)其它服務(wù)器報(bào)告，就需要通過(guò)客戶機(jī)移動(dòng)工具來(lái)實(shí)現(xiàn)，相對(duì)繁瑣。比較來(lái)看，金山與趨勢(shì)的兩款產(chǎn)品表現(xiàn)較為優(yōu)秀，而在用戶操作上金山毒霸最為簡(jiǎn)便。2、漏洞掃描與修復(fù)功能利用系統(tǒng)漏洞進(jìn)行攻擊已經(jīng)成為當(dāng)前網(wǎng)絡(luò)侵害的主流之一，用

41、戶對(duì)于殺毒軟件的漏洞掃描與修復(fù)功能的需求日益增多。然而遺憾的是，賽門鐵克與趨勢(shì)科技的兩款產(chǎn)品都不支持此項(xiàng)功能。余下的兩款國(guó)內(nèi)產(chǎn)品中，金山毒霸能夠?qū)钟蚓W(wǎng)內(nèi)的所有在線用戶進(jìn)行漏洞掃描，智能選擇客戶機(jī)所需要安裝的補(bǔ)丁，自動(dòng)下載和安裝補(bǔ)丁，整個(gè)過(guò)程完全不需要用戶的參與，非常省心；這一功能保證了整個(gè)網(wǎng)絡(luò)系統(tǒng)能夠在最短時(shí)間內(nèi)統(tǒng)一修補(bǔ)漏洞，使企業(yè)級(jí)用戶的病毒防護(hù)真正做到滴水不漏，從根本上杜絕了安全隱患。而瑞星的網(wǎng)絡(luò)版產(chǎn)品雖然能夠逐一通知用戶安裝，但在補(bǔ)丁安裝向?qū)?dòng)之后，需要用戶自己參與安裝，并沒有實(shí)現(xiàn)真正的全網(wǎng)漏洞自動(dòng)修復(fù)，一旦終端用戶取消安裝就不能順利對(duì)系統(tǒng)漏洞進(jìn)行修復(fù)，在一定程度上存在著安全隱患。在

42、這一個(gè)環(huán)節(jié)的比拼上，趨勢(shì)科技與賽門鐵克交了白卷，而金山毒霸的主動(dòng)漏洞掃描與修復(fù)功能則表現(xiàn)得最為搶眼。3、搶先加載防毒功能殺毒是場(chǎng)速度戰(zhàn)，不僅僅要求病毒庫(kù)的更新要快，殺毒軟件的加載速度更要快。如果不能搶在病毒之前對(duì)系統(tǒng)進(jìn)行加載保護(hù)，被病毒搶占先機(jī)，后果就會(huì)不堪設(shè)想。賽門鐵克與趨勢(shì)科技的兩款產(chǎn)品在這一功能上再次缺席，它們都是在系統(tǒng)完全啟動(dòng)后才能生效，對(duì)于計(jì)算機(jī)中已經(jīng)存在病毒的情況，這兩款殺毒軟件在機(jī)器啟動(dòng)后，無(wú)法阻止病毒向整個(gè)網(wǎng)絡(luò)擴(kuò)散，從而導(dǎo)致用戶無(wú)法進(jìn)行正常的工作。而瑞星具有的搶先殺毒功能，能夠在系統(tǒng)啟動(dòng)前便對(duì)硬盤進(jìn)行病毒掃描，掃描完成后再引導(dǎo)系統(tǒng)，可以清除掉正常模式下無(wú)法清除的病毒程序；但在啟

43、動(dòng)系統(tǒng)過(guò)程中，仍存在染毒隱患，同時(shí)會(huì)使系統(tǒng)啟動(dòng)的時(shí)間相對(duì)變長(zhǎng)。金山毒霸不僅能夠在用戶的系統(tǒng)尚未完全啟動(dòng)前對(duì)病毒進(jìn)行防范，毒霸的實(shí)時(shí)監(jiān)控模塊還可以在系統(tǒng)未登錄網(wǎng)絡(luò)之前便啟動(dòng)完整的查殺病毒功能，全面保證用戶上網(wǎng)無(wú)憂。（三）性能分析表4-2 各殺毒軟件性能分析表金山毒霸瑞星趨勢(shì)symantec靜態(tài)資源占用kangui.exe 3m4mkansvr.exe 8mkmailmon.exe 1mrav.exe 1mravmon.exe 2mravtray.exe 6mrsagent.exe:2mravmond.exe 8mpccntmon.exe：5.45mvptray.exe:9.10mvpc32.ex

44、e:10.74m病毒庫(kù)升級(jí)網(wǎng)絡(luò)資源占用cpu:15%,最高值達(dá)25%內(nèi)存:8mcpu:60%,最高值達(dá)100%內(nèi)存:18mcpu最高:26內(nèi)存:3.30mcpu最高:87%內(nèi)存:9.36m病毒查殺速度kanscan.execpu:80%左右內(nèi)存:40m左右清除病毒:259個(gè)耗時(shí):10秒rav.execpu:99%左右清除病毒:257個(gè)耗時(shí):40秒tsc.execpu:94%內(nèi)存:13.01m清除病毒:78個(gè)耗時(shí):19秒rtvscan.execpu:98%內(nèi)存:39.73m清除病毒:254個(gè)耗時(shí):24分32秒測(cè)試樣本共275個(gè)從中不難看出，金山毒霸網(wǎng)絡(luò)版在查殺病毒的數(shù)量與速度上都占據(jù)了明顯優(yōu)勢(shì)，而趨勢(shì)的網(wǎng)絡(luò)版產(chǎn)品表現(xiàn)則相當(dāng)讓人失望。值得注意的是，金山毒霸網(wǎng)絡(luò)版在殺毒的工作狀態(tài)下，對(duì)用戶cpu的占用卻只有80%，為四款產(chǎn)品中最少的；而趨勢(shì)、賽門鐵克、瑞星的三款產(chǎn)品對(duì)用戶的cpu占用率分別達(dá)到了94%、98%和99%，在殺毒狀態(tài)下，cpu基本已被占滿，用戶完全做不了其他的事情。同樣的，在病毒庫(kù)升級(jí)的狀況下，金山毒霸對(duì)cpu資源的占用也相對(duì)最少，最高值僅為25%，而趨勢(shì)、瑞星、賽門鐵克的產(chǎn)品對(duì)