網(wǎng)絡(luò)安全體系結(jié)構(gòu)

網(wǎng)絡(luò)安全體系結(jié)構(gòu)信息安全系統(tǒng)是基于OSI網(wǎng)絡(luò)模型，通過安全機(jī)制和安全服務(wù)達(dá)成信息安全的系統(tǒng)。安全機(jī)制是提供某些安全服務(wù)，利用各種安全技術(shù)和技巧，形成的一個較為完善的結(jié)構(gòu)體系。安全服務(wù)是從網(wǎng)絡(luò)中的各個層次提供信息應(yīng)用系統(tǒng)需要的安全服務(wù)支持。網(wǎng)絡(luò)模型、安全機(jī)制、安全服務(wù)應(yīng)用到一起會產(chǎn)生信息系統(tǒng)需要的安全空間，安全空間包括五大屬性認(rèn)證、權(quán)限、完整、加密、不可否認(rèn).安全機(jī)制的主要內(nèi)容：基礎(chǔ)設(shè)施實體安全。機(jī)房、場地、設(shè)施、動力系統(tǒng)、安全預(yù)防和恢復(fù)等物理上的安全平臺安全?操作系統(tǒng)漏洞檢測和修復(fù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞檢測與修復(fù)、通用基礎(chǔ)應(yīng)用程序漏洞檢測與修復(fù)、網(wǎng)絡(luò)安全產(chǎn)品部署，這些是軟件環(huán)境平臺的安全。數(shù)據(jù)安全?涉及數(shù)據(jù)的物理載體、數(shù)據(jù)本身權(quán)限、數(shù)據(jù)完整可用、數(shù)據(jù)監(jiān)控、數(shù)據(jù)備份存儲.通信安全。涉及通信線路基礎(chǔ)設(shè)施、網(wǎng)絡(luò)加密、通信加密、身份鑒別、安全通道和安全協(xié)議漏洞檢測等。應(yīng)用安全。涉及業(yè)務(wù)的各項內(nèi)容，程序安全性測試、業(yè)務(wù)交互防抵賴測試、訪問控制、身份鑒別、備份恢復(fù)、數(shù)據(jù)一致性、數(shù)據(jù)保密性、數(shù)據(jù)可靠性、數(shù)據(jù)可用性等業(yè)務(wù)級別的安全機(jī)制內(nèi)容。運(yùn)行安全。涉及程序應(yīng)用運(yùn)行之后的維護(hù)安全內(nèi)容，包括應(yīng)急處置機(jī)制、網(wǎng)絡(luò)安全監(jiān)測、網(wǎng)絡(luò)安全產(chǎn)品運(yùn)行監(jiān)測、定期檢查評估、系統(tǒng)升級補(bǔ)丁提供、最新安全漏洞和通報、災(zāi)難恢復(fù)機(jī)制、系統(tǒng)改造、網(wǎng)絡(luò)安全技術(shù)咨詢等。管理安全。涉及應(yīng)用使用到的各種資源，包括人員、培訓(xùn)、應(yīng)用系統(tǒng)、軟件、設(shè)備、文檔、數(shù)據(jù)、操作、運(yùn)行、機(jī)房等.授權(quán)和審計安全?授權(quán)安全是向用戶和應(yīng)用程序提供權(quán)限管理和授權(quán)服務(wù),負(fù)責(zé)向業(yè)務(wù)應(yīng)用系統(tǒng)系統(tǒng)授權(quán)服務(wù)管理、用戶身份到應(yīng)用授權(quán)的映射功能。審計安全是信息安全系統(tǒng)必須支持的功能特性，主要是檢查網(wǎng)絡(luò)內(nèi)活動用戶、偵測潛在威脅、統(tǒng)計日常運(yùn)行狀況、異常事件和突發(fā)事件的事后分析、輔助偵查取證。安全防范體系。企業(yè)信息安全資源綜合管理含六項功能：預(yù)警、保護(hù)、檢測、反應(yīng)、回復(fù)、反擊。安全服務(wù)的主要內(nèi)容：1。 對等實體認(rèn)證服務(wù)。交互雙方的身份認(rèn)證2。 數(shù)據(jù)保密服務(wù)。3?數(shù)據(jù)完整性服務(wù)4?數(shù)據(jù)源點認(rèn)證服務(wù)5。 禁止否認(rèn)服務(wù)?包括不得否認(rèn)發(fā)送、不得否認(rèn)接收6。 犯罪證據(jù)提供服務(wù)安全技術(shù)的主要內(nèi)容：1?加密技術(shù)2。 數(shù)字簽名技術(shù)。獨有解決收發(fā)雙方糾紛的能力3。 訪問控制技術(shù)4?數(shù)據(jù)完整性技術(shù)。包括數(shù)據(jù)單元的完整性、數(shù)據(jù)單元序列的完整性5。認(rèn)證技術(shù)6?數(shù)據(jù)挖掘技術(shù)信息安全保障系統(tǒng)的三種不同系統(tǒng)架構(gòu)MIS+S、S—MIS、S2-MIS。MIS+S是基本信息保障系統(tǒng)，特點如下：1。業(yè)務(wù)應(yīng)用系統(tǒng)基本不變2。硬件和軟件系統(tǒng)通用3.安全設(shè)備基本不帶安全密碼S—MIS是標(biāo)準(zhǔn)信息安全保證系統(tǒng)，系統(tǒng)建立在公認(rèn)的PKI/CA標(biāo)準(zhǔn)的信息安全基礎(chǔ)設(shè)施上，特點如下：1。 硬件和系統(tǒng)軟件通用2。 PKI/CA安全保障系統(tǒng)必須帶密碼3。 業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變4?主要的通用硬件和軟件也要通過PKI/CA認(rèn)證S2—MIS是超安全的信息安全保障系統(tǒng)，不僅系統(tǒng)是建立在公認(rèn)的PKI/CA標(biāo)準(zhǔn)的信息安全基礎(chǔ)設(shè)施上,而且硬件和系統(tǒng)軟件也是使用“專用的”、“安全的"產(chǎn)品，特點如下：1。 硬件和系統(tǒng)軟件都是專用2。 PKI/CA安全基礎(chǔ)設(shè)施必須帶密碼3。 業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變4?主要的硬件和系統(tǒng)軟件需要PKI/CA認(rèn)證三種系統(tǒng)價格逐漸攀升，根據(jù)需要選擇安全系統(tǒng)架構(gòu).一個成功的信息安全保障系統(tǒng)需要各個方面的通力合作。信息安全保障系統(tǒng)是一個在網(wǎng)絡(luò)上，繼承各種硬件、軟件和密碼設(shè)備，保障其他業(yè)務(wù)應(yīng)用信息系統(tǒng)正常運(yùn)行的專用信息應(yīng)用系統(tǒng)，附帶系統(tǒng)相關(guān)崗位、人員、策略、制度和規(guī)程的總和。網(wǎng)絡(luò)安全體系結(jié)構(gòu)圖中描述的就是一個三維的網(wǎng)絡(luò)安全空間，它反映了網(wǎng)絡(luò)安全需求和體系結(jié)構(gòu)的共性。圖中的三維特性分別是安全服務(wù)、系統(tǒng)單元和協(xié)議層次?其中在每一個特性上面都為他們提供了安全管理。安全管理就是連接這三個維度，保證整個體系結(jié)構(gòu)的安全性。網(wǎng)絡(luò)體系結(jié)構(gòu)主要包括三部分內(nèi)容:安全服務(wù)、協(xié)議層次、系統(tǒng)單元。針對網(wǎng)絡(luò)安全存在的各種類型的安全威脅，將會針對這些協(xié)議定義一維安全服務(wù)。為支持這些服務(wù)，在系統(tǒng)中定義了一些安全機(jī)制，同時安全管理由于不是正常的通信業(yè)務(wù)，主要是為用戶的通信通告安全支持和控制。安全服務(wù)指的是該安全單元能解決什么安全威脅。一般來說,網(wǎng)絡(luò)安全的威脅主要是在來自于人的惡意行為可能造成的資源被破壞、信息泄露等等。安全服務(wù)主要包括了以下六個方面：認(rèn)證、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴、審計和可用性。認(rèn)證服務(wù)。認(rèn)證服務(wù)提供某個實體的身份保護(hù)，在通信的某一個特定過程中,如果某個實體聲稱具有特定的身份時，認(rèn)證服務(wù)就提供一種方法來證實這個聲稱是否正確。由于在某種程度上，網(wǎng)絡(luò)安全體系結(jié)構(gòu)的其他安全服務(wù)都依賴于認(rèn)證服務(wù)，或者和認(rèn)證服務(wù)緊密地結(jié)合，因此認(rèn)證服務(wù)是一個重要的基礎(chǔ)安全服務(wù)。通過認(rèn)證服務(wù)在很多情況下就可以杜絕想CSRF（cross—siterequestforgery,跨站請求偽造）這樣的攻擊。同時在保障系統(tǒng)的物理安全時，也會起到一定的作用。訪問控制服務(wù)?訪問控制服務(wù)經(jīng)常和認(rèn)證服務(wù)一起使用。訪問控制服務(wù)就是對某些確認(rèn)身份的實體,限制其對某些資源的訪問。訪問控制服務(wù)可以防止未授權(quán)的實體訪問資源,所謂未授權(quán)的訪問就是未經(jīng)授權(quán)的使用、修改、銷毀數(shù)據(jù)資源以及執(zhí)行指令代碼等?訪問控制服務(wù)支持保密性、完整性、可用性和認(rèn)證安全性,其中對保密性、完整和認(rèn)證所起到的作用十分明顯?訪問控制是實現(xiàn)授權(quán)的一種方法。它涉及到通信和系統(tǒng)的安全問題?由于必須在網(wǎng)絡(luò)上傳輸訪問控制信息,所以它對通信協(xié)議具有很高的安全要求。數(shù)據(jù)完整性服務(wù)主要提供了可恢復(fù)的連接完整性、不可恢復(fù)的連接完整性，選擇字段的連接完整性、無連接完整性、選擇字段無法連接完整性等安全服務(wù)。數(shù)據(jù)完整性服務(wù)直接保證數(shù)據(jù)的完整性。所有的數(shù)據(jù)完整性服務(wù)都能夠?qū)Ω缎略龌蛐薷臄?shù)據(jù)的企圖。數(shù)據(jù)保密服務(wù),數(shù)據(jù)保密性服務(wù)保護(hù)信息不泄露或不暴露給那些未授權(quán)想掌握該信息的實體。這種服務(wù)有以下幾個方面：連接保密性、無連接保密性、選擇字段保密性、業(yè)務(wù)流程保密性.抗抵賴性，抗否認(rèn)服務(wù)與其它安全服務(wù)有根本不同?它主要保護(hù)通信系統(tǒng)不會遭到系統(tǒng)中其他合法用戶的威脅，而不是來自未知攻擊者的威脅?？沟仲嚪?wù)的出發(fā)點不僅僅由于在通信各方之間存在著相互欺騙的可能性,另外它也反映了一個現(xiàn)實，即沒有任何一個系統(tǒng)是完全完備的，而且也可能出現(xiàn)通信雙方最終達(dá)不成一致協(xié)議這樣的情況.抗抵賴服務(wù)可采取以下兩種形式：數(shù)據(jù)起源的抗抵賴和傳遞過程的抗抵賴。審計服務(wù)主要是對系統(tǒng)的數(shù)據(jù)和業(yè)務(wù)流程進(jìn)行安全審計,找出其中可能存在的漏洞或者是薄弱環(huán)節(jié)。同時也收集可用于安全審計的數(shù)據(jù)，一邊對系統(tǒng)的記錄和活動進(jìn)行獨立地觀察和檢查。可用性服務(wù)，這是整個網(wǎng)絡(luò)安全體系結(jié)構(gòu)所提供的最基本的服務(wù)。網(wǎng)絡(luò)安全首先要保證系統(tǒng)的可用性然后在此基礎(chǔ)上保證系統(tǒng)的安全性。系統(tǒng)單元指的是該安全但愿解決什么系統(tǒng)環(huán)境的安全問題。對于現(xiàn)代的互聯(lián)網(wǎng)，系統(tǒng)單元可以分為五個不同環(huán)境：物理環(huán)境、應(yīng)用平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺、通信平臺。物理環(huán)境，如硬件設(shè)備、網(wǎng)絡(luò)設(shè)備等，包含該特性的安全單元解決物理環(huán)境的安全問題。例如使用交換機(jī)代替集線器可以緩解網(wǎng)絡(luò)竊聽問題。應(yīng)用平臺主要指的是各種不同的應(yīng)用程序和中間件。應(yīng)用程序是在操作系統(tǒng)上安裝和運(yùn)行的.包含該特性的安全單元解決應(yīng)用程序所包含的安全問題.一般是指數(shù)據(jù)在操作和資源在使用的時候的安全威脅。系統(tǒng)平臺則指的是操作系統(tǒng).包含該特性的安全單元解決段系統(tǒng)或者中間系統(tǒng)（網(wǎng)橋、路由器等）的操作系統(tǒng)包含的安全問題。一般是指數(shù)據(jù)和資源在存儲時的安全威脅。網(wǎng)絡(luò)平臺則指的是網(wǎng)絡(luò)傳輸?shù)陌踩{.例如加密技術(shù)可以解決數(shù)據(jù)在網(wǎng)絡(luò)傳輸時的安全問題。一般是指數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩{。例如加密技術(shù)可以解決數(shù)據(jù)在網(wǎng)絡(luò)傳輸時的安全問題。通信平臺則主要指的是通信線路.包含該線路的安全單元主要解決的是通信線路所存在的安全問題。包括系統(tǒng)軟硬件、配置及使用不當(dāng)，物理電磁輻射引起的信息泄露等方面的問題。協(xié)議層次是互聯(lián)網(wǎng)的TCP/IP協(xié)議的基礎(chǔ)。安全單元的這個特性描述了該安全單元在網(wǎng)絡(luò)互連協(xié)議中,解決了什么樣的互聯(lián)問題。物理層設(shè)計在物理通信信道上傳輸原始比特，處理與物理傳輸介質(zhì)有關(guān)機(jī)制的、電氣=器過程的接口。在物理層上傳輸?shù)膯卧切盘?。鏈路層。鏈路層分為介質(zhì)訪問控制和邏輯鏈路控制兩個子層。在鏈路層上傳輸?shù)膯卧潜忍亍＞W(wǎng)絡(luò)層。網(wǎng)絡(luò)層負(fù)責(zé)將數(shù)據(jù)從物理連接的一端傳遞到另一端，即所謂的點到點通信.它的主要功能是尋找路徑，以及與之相關(guān)的流量控制和擁塞控制等。在網(wǎng)絡(luò)層上傳輸?shù)膯卧蔷W(wǎng)絡(luò)數(shù)據(jù)包.傳輸層。傳輸層的主要目睹在于密布網(wǎng)絡(luò)服務(wù)與用戶需求之間的差距。傳輸層通過向上提供了一個標(biāo)準(zhǔn)、通用的界面,使上層與通信子網(wǎng)（下三層）的細(xì)節(jié)相隔離。傳輸層的主要任務(wù)是提供進(jìn)程間通信機(jī)制和保證數(shù)據(jù)傳輸?shù)目煽啃?。?yīng)用層.應(yīng)用層向用戶提供最常用且通用的應(yīng)用程序，包括電子郵件、文件傳輸、網(wǎng)頁瀏覽等。應(yīng)用成描述了端對端之間的通信.以上就是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中不同的三個特性的介紹和說明。除了這三個特性之外，安全管理是這三個特性的“粘合劑”，保證了這三個特性之間有效的結(jié)合。安全管理的主要作用是實施一系列的安全政策，對系統(tǒng)和網(wǎng)絡(luò)上的操作進(jìn)行管理。安全管理包含三個部分：系統(tǒng)安全管理、安全服務(wù)管理、安全機(jī)制管理。系統(tǒng)安全管理主要是涉及到整體的網(wǎng)絡(luò)安全環(huán)境的管理，例如安全事件的管理,包括時間報告、存儲和查詢等;安全服務(wù)管理則涉及特定安全服務(wù)的管理，其中包括制定安全服務(wù)可使用的安全機(jī)制、對可使用的安全機(jī)制進(jìn)行協(xié)商；安全機(jī)制管理：安全局只管理涉及的是特定安全機(jī)制的管理,包括密鑰管理、加密管理、數(shù)字簽名管理、訪問控制管理、路由控制管理等.網(wǎng)絡(luò)安全設(shè)計原則從網(wǎng)絡(luò)安全角度看，網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計與實現(xiàn)應(yīng)按照以下原則：最小權(quán)限原則、縱深防御原則、防御多樣性原則、防御整體性原則、安全性與代價平衡原則、網(wǎng)絡(luò)資源的等級性原則。最小權(quán)限原則：任何對象應(yīng)該只具有該對象需要完成其指定任務(wù)的權(quán)限，限定權(quán)限使用的范圍、控件、時間等，減少資源的供給面，從而減少因侵襲所造成的損失.縱深防御原則：要求網(wǎng)絡(luò)安全防護(hù)系統(tǒng)是一個多層安全系統(tǒng)，避免成為網(wǎng)絡(luò)中的“單失效點”，要部署有多重的防御系統(tǒng)，這樣就可以在其中一個一同被攻破之后后續(xù)還有其他的防御系統(tǒng)來保障系統(tǒng)的安全。防御多樣性原則存在技術(shù)和防御方式兩個方面。在技術(shù)方面,要保障主機(jī)安全，網(wǎng)絡(luò)安全，同時要注意防范病毒和木馬。而在防御方式上面則可以部署防火墻，IDS?蜜罐等手段保護(hù)系統(tǒng)安全。防御多樣性是要求在系統(tǒng)中的不同組件中都需要不是一定的安全產(chǎn)品，同時還要結(jié)合多種不同的安全產(chǎn)品來共同保證系統(tǒng)的安全。安全防御性原則的實施就避免了系統(tǒng)的僅僅使用單一的安全措施和服務(wù)，以此來保障系統(tǒng)的安全性。網(wǎng)絡(luò)安全的整體性原則：要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能的快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失;同時在網(wǎng)絡(luò)系統(tǒng)各個點上部署安全防御措施，避免出現(xiàn)安全的木桶效應(yīng)。因此信息安全系統(tǒng)應(yīng)該包括安全防護(hù)機(jī)制、安全檢測機(jī)制和安全響應(yīng)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行.安全監(jiān)測機(jī)制是檢測系統(tǒng)的運(yùn)行情況，及時發(fā)現(xiàn)和政治對系統(tǒng)進(jìn)行各種攻擊.安全響應(yīng)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理。安全性評價與平衡原則：對任何網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設(shè)計要正確處理需求、風(fēng)險與代價的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息是否安全，沒有絕對的評判標(biāo)準(zhǔn)和衡量指標(biāo)，只能取決于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境,具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度.標(biāo)準(zhǔn)化與一致性原則：安全體系是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素。單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此,必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。校園網(wǎng)典型拓?fù)湫@網(wǎng)安全防護(hù)手段根據(jù)上面網(wǎng)絡(luò)體系結(jié)構(gòu)的設(shè)計思想和校園網(wǎng)絡(luò)所遇到的網(wǎng)絡(luò)安全威脅,校園網(wǎng)絡(luò)需要組合必要的安全設(shè)備和安全服務(wù)來構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)提供路由安全、路由過濾、防火墻、IDS、VPN、電子郵件安全、web安全等。1、路由安全具有一個安全路由體系結(jié)構(gòu)的網(wǎng)絡(luò)與一個路由結(jié)構(gòu)設(shè)計拙劣的網(wǎng)絡(luò)相比，前者更不容易受攻擊，不易出現(xiàn)紕漏。設(shè)計適當(dāng)?shù)穆酚苫A(chǔ)結(jié)構(gòu)還能夠幫助網(wǎng)絡(luò)在在遭受攻擊期間降低故障時間。2、 路由過濾、適當(dāng)?shù)穆酚蛇^濾對于任何實現(xiàn)良好的網(wǎng)絡(luò)都是重要的。在校園網(wǎng)中，確保路由過濾用于過濾那些進(jìn)入校園網(wǎng)的假的和不受歡迎的路由,并且確保只有真正包含在內(nèi)部網(wǎng)絡(luò)上的路由才能允許通過。路由過濾也用于隱藏某一塊網(wǎng)絡(luò).同時，通過配備適當(dāng)?shù)姆阑饓推渌J(rèn)證機(jī)制,路由過濾也能夠阻擋安全性較低的網(wǎng)絡(luò)區(qū)到安全性高的網(wǎng)絡(luò)去的訪問.常見的路由設(shè)置方案有靜態(tài)路由和路由認(rèn)證。但是這兩者的使用均有一定的局限性。所以很多時候，不能使用單一的路由方法來用作路由過濾，要結(jié)合多種路由設(shè)置方法，同時還不能將路由過濾作為網(wǎng)絡(luò)安全的單一手段。3、防火墻設(shè)置設(shè)置防火墻并正確配置防火墻都很重要。在校園網(wǎng)中，防火墻的設(shè)置應(yīng)該需要滿足以下原則。（1） 防火墻應(yīng)該盡可能設(shè)置在網(wǎng)絡(luò)最終出口和入口的校園網(wǎng)邊界.這樣專用網(wǎng)絡(luò)中最大數(shù)量的設(shè)備能夠受到防火墻的保護(hù)，同時也有助于校園網(wǎng)和公用網(wǎng)絡(luò)保持分明的界限。（2） 除了將防火墻設(shè)置在網(wǎng)絡(luò)入口點之外，某些情況可能也需要將防火墻設(shè)置在校園網(wǎng)內(nèi)部.比如校園網(wǎng)中的財務(wù)處服務(wù)器、圖書館網(wǎng)段或教務(wù)處服務(wù)器所在的網(wǎng)段都需要設(shè)置防火墻。這些服務(wù)器都需要被保護(hù)以避免網(wǎng)絡(luò)中的其他用戶訪問。（3） 在多數(shù)情況下，防火墻不應(yīng)該與其他的網(wǎng)絡(luò)設(shè)備,比如路由器并行設(shè)置。這樣可能導(dǎo)致防火墻被旁路。同時，我們也需要避免在網(wǎng)絡(luò)拓?fù)渲屑尤肴魏慰赡軐?dǎo)致防火墻被旁路的設(shè)置.隨著防火墻技術(shù)的發(fā)展,防火墻又有了新的特性可以進(jìn)一步增強(qiáng)我們的網(wǎng)絡(luò)安全，比如過濾SYN泛洪、ICMP泛洪、IP欺騙等網(wǎng)絡(luò)攻擊。利用防火墻的配置，能夠限制每個用戶的連接數(shù)甚至根據(jù)部分應(yīng)用層服務(wù)特性阻斷比如電驢、BT等P2P應(yīng)用或限制帶寬，這為保證HTTP之類的應(yīng)用提供了重要安全保障和帶寬保障。4、 虛擬專用網(wǎng)（VPN）的設(shè)置虛擬專用網(wǎng)VPN綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點，能夠進(jìn)行遠(yuǎn)程訪問,連接內(nèi)部網(wǎng)和外部網(wǎng),同時價格低廉。在降低成本的同時還能保證對網(wǎng)絡(luò)帶寬接入和服務(wù)不斷增加的需求。利用VPN特性在Internet上組建世界范圍的內(nèi)部虛擬網(wǎng)。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，利用隧道、加密等VPN特性可以保證信息在整個內(nèi)部虛擬網(wǎng)上的安全傳輸。內(nèi)部虛擬網(wǎng)通過一個使用專有連接的共享基礎(chǔ)設(shè)施連接各校區(qū)，使用它們擁有與專用網(wǎng)絡(luò)相同的服務(wù),包括安全、服務(wù)質(zhì)量、可管理性和可靠性。并且，如果使用擴(kuò)展的虛擬專用網(wǎng)，能夠很容易地與外部網(wǎng)進(jìn)行部署和管理，學(xué)生計算機(jī)可以通過學(xué)生專用許可連接至校園網(wǎng)內(nèi)部,通過這種方式可以有效地對校園網(wǎng)進(jìn)行安全管理。所以，通過VPN的方式不僅可以連接學(xué)校的各個分校區(qū),同時還可以將校園網(wǎng)的各種服務(wù)延伸至校園外供老師、學(xué)生使用.5、 電子郵件服務(wù)器安全電子郵件是校園網(wǎng)中最難管理和維護(hù)的系統(tǒng)之一。隨著用戶不斷增多,郵件系統(tǒng)所面臨的安全問題日益增多，例如垃圾郵件、中繼利用等。所以校園網(wǎng)安全的電子郵件系統(tǒng)必須能夠有效地消除垃圾郵件、病毒郵件、部分網(wǎng)絡(luò)入侵。作為一個安全的電子郵件系統(tǒng)應(yīng)該具備以下功能：系統(tǒng)本身具有較強(qiáng)的穩(wěn)定性和可靠性;應(yīng)具有與病毒系統(tǒng)集成的病毒郵件查殺、處理能力；具有靈活的垃圾郵件防范機(jī)制；具有嚴(yán)格的發(fā)信認(rèn)證機(jī)制和反郵件中繼功能，從而避免本身成為垃圾郵件和郵件分發(fā)代理.郵件傳輸代理需要具有較高的健壯性,即使在重負(fù)荷之下仍然可以工作。同時還學(xué)要具有良好的安全性,最好是具有多層防御結(jié)構(gòu),能夠有效地抵御惡意入侵者.最好是可以運(yùn)行在較低的權(quán)限之下，不可以通過網(wǎng)絡(luò)訪問與安全相關(guān)的本地應(yīng)用程序。6、 DDoS防御在校園網(wǎng)中最常見的DDoS的攻擊方式通常是利用系統(tǒng)的漏洞，惡意占用大量的CPU資源和內(nèi)存資源，導(dǎo)致受害主機(jī)系統(tǒng)服務(wù)性能下降甚至造成系統(tǒng)癱瘓.由于DDoS攻擊的復(fù)雜性，很難依靠某種單一的系統(tǒng)或產(chǎn)品防御DDoS的攻擊?通常情況下，在校園網(wǎng)內(nèi)防御DDoS攻擊能力的措施有以下幾種:高性能的硬件設(shè)備抵抗DoS甚至DDoS攻擊；充足的網(wǎng)絡(luò)帶寬和系統(tǒng)優(yōu)化；安裝專業(yè)的抗DDoS防火墻。7、 身份認(rèn)證如今的數(shù)字化校園通常包括了自動化辦公、財務(wù)信息系統(tǒng)、教務(wù)管理、圖書館系統(tǒng)、電子郵件系統(tǒng)、及營業(yè)管理系統(tǒng)等應(yīng)用，其中都需要進(jìn)行身份的認(rèn)證并且對不同身份所擁有的角色進(jìn)行授權(quán)，而校園網(wǎng)就常常需要面對各種應(yīng)用系統(tǒng)在用戶管理過程中的分散管理的問題。解決這個問題的有效方法就是采用統(tǒng)一、集中管理用戶訪問權(quán)限的認(rèn)證系統(tǒng)中通過建立一個統(tǒng)一身份認(rèn)證平臺,將校園網(wǎng)中用戶登錄系統(tǒng)的基本驗證信息統(tǒng)一存儲并統(tǒng)一管理，對應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一授權(quán)，這樣就可以為不用應(yīng)用系統(tǒng)提供用戶管理服務(wù)隊校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng),將用戶信息資源統(tǒng)一保存到認(rèn)證服務(wù)器中保證了信息資源的穩(wěn)定、可靠、安全.使用統(tǒng)一的認(rèn)證系統(tǒng)提供的接口連接服務(wù)，系統(tǒng)就可以很好的支持基于平臺的各種應(yīng)用系統(tǒng)的調(diào)用，簡單易實現(xiàn)。同時,各應(yīng)用系統(tǒng)只需保留角色和權(quán)限控制,用戶和角色的管理由應(yīng)用系統(tǒng)自行管理，從而簡化了應(yīng)用系統(tǒng)中用戶管理模式的建設(shè)和后期維護(hù)。8、 病毒防范和補(bǔ)丁服務(wù)在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的服務(wù)器，安裝一個網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心，負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機(jī)網(wǎng)點的計算機(jī)，然后在各主機(jī)節(jié)點分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。同時為了安全和管理起見，管理員需要對網(wǎng)絡(luò)中心的殺毒軟件進(jìn)行定期的更新。而殺毒軟件的選擇目前在市場上也有很多產(chǎn)品。具體選擇什么樣的產(chǎn)品還需要根據(jù)學(xué)校具體情況而定。與此同時，還需要注意的是封鎖系統(tǒng)安全漏洞。在校園網(wǎng)的管理過程中，要及時下載和安裝各種補(bǔ)丁、更新程序、升級操作系統(tǒng)，封鎖系統(tǒng)安全漏洞.這樣對于保護(hù)網(wǎng)絡(luò)和信息系統(tǒng)的安全有很大的幫助，可以有效地防止一些攻擊者利用操作系統(tǒng)或各種應(yīng)用軟件的漏洞對校園網(wǎng)資源進(jìn)行非法訪問和惡意篡改.9、 IDS的設(shè)置不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，主要是對流量進(jìn)行基于網(wǎng)絡(luò)特征、協(xié)議分析以及流量異常等方式的檢測，并對檢測到的異常和攻擊事件記錄到攻擊數(shù)據(jù)庫中，并且可以和其他的交