【正文】 可以知道，PPDRR模型述的是網(wǎng)絡(luò)安全最終的存在形態(tài)，但是未明確具體的構(gòu)建方式和方法，也未涉及管理方面的因素。同時(shí)PPDRR屬于平面網(wǎng)絡(luò)安全模型，未采取動(dòng)態(tài)的防御思想。雖然整個(gè)安全網(wǎng)絡(luò)體系以安全策略為中心來(lái)下發(fā)到網(wǎng)絡(luò)中的各個(gè)部分，但是具體的執(zhí)行效果未能反饋到安全策略，也無(wú)法進(jìn)行相應(yīng)調(diào)整來(lái)提高安全策略的發(fā)揮的效果。除此以外，PPDRR模型中的防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)各個(gè)部分，在經(jīng)過(guò)一周期后，才取得相應(yīng)的聯(lián)系，而未及時(shí)地相互直接取得聯(lián)系。立體防御的思想就是將分散系統(tǒng)整合成一個(gè)異構(gòu)網(wǎng)絡(luò)系統(tǒng)，基于聯(lián)動(dòng)聯(lián)防和網(wǎng)絡(luò)集中管理、監(jiān)控，將各部分有機(jī)結(jié)合，聯(lián)動(dòng)，形成一個(gè)立體、動(dòng)態(tài)、及時(shí)適應(yīng)網(wǎng)絡(luò)安全狀態(tài)變化的防御體系?；谶@個(gè)思想，提出立體PPDRR動(dòng)態(tài)防御模型，其模型結(jié)構(gòu)如圖43所示。圖43 立體PPDRR模型圖據(jù)圖43可以知道，該模型很好的融合了動(dòng)態(tài)防御思想，下面對(duì)模型各個(gè)組成之間的關(guān)系進(jìn)行詳細(xì)分析，具體表現(xiàn)在如下幾個(gè)方面：(1)安全策略是整個(gè)安全體系的核心，安全體系中的其他部分均需按照安全策略來(lái)構(gòu)建。同時(shí)，其它部分需將檢測(cè)到的攻擊行為及時(shí)反饋給安全策略，以便設(shè)置新的安全策略來(lái)抵御網(wǎng)絡(luò)攻擊。(2)防護(hù)是整個(gè)網(wǎng)絡(luò)安全體系的第一層，在遇到網(wǎng)絡(luò)攻擊時(shí)，防護(hù)會(huì)根據(jù)設(shè)置的安全策略來(lái)做出響應(yīng)，并通知其他部分進(jìn)行處理。(3)檢測(cè)是整個(gè)網(wǎng)絡(luò)安全體系的第二層，利用檢測(cè)功能可提前探知到網(wǎng)絡(luò)面臨的攻擊，并根據(jù)檢測(cè)結(jié)果來(lái)重新設(shè)置防護(hù)策略和安全策略，以便提高網(wǎng)絡(luò)的安全性。(4)響應(yīng)在整個(gè)網(wǎng)絡(luò)安全體系中起著舉足輕重的作用，當(dāng)網(wǎng)絡(luò)遇到安全威脅時(shí)，必須在最短的時(shí)間內(nèi)采取措施來(lái)響應(yīng)網(wǎng)絡(luò)攻擊，響應(yīng)效果直接決定了校園網(wǎng)絡(luò)的穩(wěn)定性和可靠性。網(wǎng)絡(luò)安全體系中的安全策略、防護(hù)過(guò)程以及檢測(cè)過(guò)程都與響應(yīng)息息相關(guān)，除此以外，當(dāng)遇到數(shù)據(jù)庫(kù)故障時(shí)，則恢復(fù)也是響應(yīng)。(5)恢復(fù)和其它各部分的關(guān)系：恢復(fù)是最后的防線(xiàn)，可依據(jù)策略，在防護(hù)、檢測(cè)、響應(yīng)等各環(huán)節(jié)執(zhí)行的過(guò)程中根據(jù)安全狀態(tài)進(jìn)行數(shù)據(jù)的恢復(fù)或系統(tǒng)的恢復(fù)，并根據(jù)排查出的問(wèn)題做出調(diào)整。 校園網(wǎng)立體PPDRR防御模型本節(jié)根據(jù)校園網(wǎng)的安全需求以及立體PPDRR防御體系模型的基本思想，設(shè)計(jì)了校園網(wǎng)立體PPDRR防御模型結(jié)構(gòu)圖，具體如圖44所示。圖44 校園PPDRR防御體系模型圖構(gòu)建校園網(wǎng)立體防御體系的基礎(chǔ)是將校園網(wǎng)劃分為多個(gè)不同安全等級(jí)的安全域，同時(shí)安全域又可劃分為多個(gè)不同的子網(wǎng)，每個(gè)子網(wǎng)由許多的服務(wù)器構(gòu)成。當(dāng)前在校園網(wǎng)中應(yīng)用較多的安全技術(shù)包括防火墻技術(shù)、安全掃描技術(shù)、VPN技術(shù)、入侵檢測(cè)技術(shù)以及數(shù)據(jù)加密技術(shù)，上述安全技術(shù)不需要全部應(yīng)用在每個(gè)安全域，可根據(jù)每個(gè)安全域的需求來(lái)使用相關(guān)的技術(shù)，以便揚(yáng)長(zhǎng)避短，綜合各種安全技術(shù)的優(yōu)勢(shì)，達(dá)到提高校園網(wǎng)安全性的最終目的。在了解了校園網(wǎng)立體防御模型的基礎(chǔ)上，對(duì)模型進(jìn)行詳細(xì)說(shuō)明。 方案的建立與分析整個(gè)校園網(wǎng)可劃分為多個(gè)不同的子網(wǎng)，各子網(wǎng)擁有不同的安全級(jí)別，相同的安全級(jí)別的子網(wǎng)可以定義為安全域。網(wǎng)絡(luò)安全域的含義為在同一網(wǎng)絡(luò)內(nèi)，擁有相同安全訪(fǎng)問(wèn)策略和控制策略的，且有相同安全保護(hù)需求的子網(wǎng)或網(wǎng)絡(luò)。目前在市場(chǎng)上存在網(wǎng)絡(luò)管理服務(wù)器擁有管理網(wǎng)絡(luò)，其中一個(gè)組件為安全域管理服務(wù)器，其主要作用在于根據(jù)子網(wǎng)的安全級(jí)別來(lái)為其設(shè)置不同的安全訪(fǎng)問(wèn)策略和控制策略，如此可進(jìn)行針對(duì)性的設(shè)置，可提高網(wǎng)絡(luò)的靈活性和適應(yīng)性。除此以外，主機(jī)和服務(wù)器也要根據(jù)安全需求來(lái)設(shè)置安全策略。在校園網(wǎng)的入口可引入多種安全防護(hù)技術(shù)，以此來(lái)保證網(wǎng)絡(luò)的安全。首先可利用防火墻技術(shù)來(lái)實(shí)現(xiàn)對(duì)外網(wǎng)訪(fǎng)問(wèn)的過(guò)濾以及對(duì)內(nèi)網(wǎng)訪(fǎng)問(wèn)的屏蔽，如禁止外部訪(fǎng)問(wèn)校內(nèi)電子資源以及禁止內(nèi)部訪(fǎng)問(wèn)外部的非法網(wǎng)站等。其次引入IPS技術(shù)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)的檢測(cè)，防止校園網(wǎng)的關(guān)鍵數(shù)據(jù)流出到外網(wǎng)，需禁止異常訪(fǎng)問(wèn)。最后校外用戶(hù)必須通過(guò)VPN技術(shù)才能訪(fǎng)問(wèn)，并且需禁止訪(fǎng)問(wèn)核心區(qū)域的數(shù)據(jù)。內(nèi)部用戶(hù)在訪(fǎng)問(wèn)特定外網(wǎng)時(shí)，也需要通過(guò)認(rèn)證。根據(jù)前文的介紹可以知道，對(duì)于安全級(jí)別不同的子網(wǎng)需采取不同的防護(hù)措施。在高級(jí)安全域中部署的是整個(gè)校園網(wǎng)的核心資源，其可融合防火墻以及IPS等多種安全技術(shù)，以此來(lái)抵御內(nèi)部和外部的雙重攻擊，防止信息被竊取。對(duì)于中級(jí)安全域，其涉及的信息安全級(jí)別有所降低，其可只部署防火墻，以此來(lái)屏蔽非法用戶(hù)的訪(fǎng)問(wèn)。對(duì)于低級(jí)安全域，如宿舍區(qū)等，在這些區(qū)域可由用戶(hù)自主選擇相應(yīng)的安全策略。 安全技術(shù)的協(xié)作根據(jù)前文的分析可以知道，該方案對(duì)整個(gè)校園網(wǎng)進(jìn)行了全方位的安全防護(hù)，并且根據(jù)安全級(jí)別的高低采取了不同的安全措施。但是這樣并不能體現(xiàn)立體防御的思想，必須在現(xiàn)網(wǎng)中靈活配置才能達(dá)到上述目的。在技術(shù)上而言，在整個(gè)安全防護(hù)體系中承擔(dān)著核心作用的組件為域管理服務(wù)器與網(wǎng)絡(luò)管理服務(wù)器，其可以接收來(lái)自下層的安全報(bào)告，并對(duì)其進(jìn)行分析，在此基礎(chǔ)對(duì)下層發(fā)布指令，以便清楚威脅。在校園網(wǎng)的各個(gè)子網(wǎng)上都存在檢測(cè)和掃描服務(wù)器上，其會(huì)將檢測(cè)到的信息轉(zhuǎn)交給域管理服務(wù)器，域管理服務(wù)器在接收到報(bào)告后，會(huì)上傳到分析平臺(tái)，對(duì)于某些已知的安全威脅，其會(huì)自行下發(fā)命令進(jìn)行處理。如分析NIDS或NIPS的數(shù)據(jù)確實(shí)為入侵，就直接阻斷。在平臺(tái)的報(bào)告中，管理員可以對(duì)報(bào)告進(jìn)行分析，以便根據(jù)報(bào)告采取措施來(lái)設(shè)置相應(yīng)的安全策略，以此提高校園網(wǎng)的安全性。 本章小結(jié)本章首先介紹了傳統(tǒng)校園網(wǎng)安全體系存在的問(wèn)題以及值得改進(jìn)的地方，緊接著對(duì)校園網(wǎng)的安全需求進(jìn)行了分析，然后對(duì)構(gòu)建校園網(wǎng)安全體系中需遵循的原則進(jìn)行了介紹，最后對(duì)當(dāng)前應(yīng)用較多的網(wǎng)絡(luò)安全體系模型進(jìn)行了介紹，如PPDRR以及立體PPDRR防御模型，并在此基礎(chǔ)上完成了校園網(wǎng)立體PPDRR防御模型的構(gòu)建。5 校園網(wǎng)PPDRR防御模型的實(shí)現(xiàn)根據(jù)對(duì)校園網(wǎng)的調(diào)查分析可以知道，校園網(wǎng)中不同區(qū)域所需的安全等級(jí)不一樣，因?yàn)椴煌瑓^(qū)域存在的安全風(fēng)險(xiǎn)以及存儲(chǔ)的信息資產(chǎn)存在巨大的差異，因此在構(gòu)建校園網(wǎng)網(wǎng)絡(luò)安全體系時(shí)需采取不同的安全策略，針對(duì)上述需求，提出了安全域的思想，這也是構(gòu)建校園網(wǎng)PPDRR防御體系的基礎(chǔ)，即將校園網(wǎng)劃分為不同的安全域，按安全域的等級(jí)來(lái)采取相應(yīng)的安全策略。事實(shí)上，高等院校絕大部分關(guān)鍵信息資產(chǎn)都分布在數(shù)據(jù)中心，數(shù)據(jù)中心集成了校園最核心的資源，包括軟硬件資源以及電子資源，除此以外，校園的職能部門(mén)也需要與數(shù)據(jù)中心進(jìn)行交互，來(lái)獲取支撐業(yè)務(wù)的相關(guān)數(shù)據(jù)信息。根據(jù)上述分析可以知道，數(shù)據(jù)中心是整個(gè)校園網(wǎng)的中樞，因此也是校園網(wǎng)PPDRR防御體系需重點(diǎn)保護(hù)的區(qū)域。根據(jù)上述分析，校園網(wǎng)需被劃分成安全等級(jí)不同的安全域，并且以數(shù)據(jù)中心為核心，綜合各種安全技術(shù)來(lái)確保校園網(wǎng)的安全，達(dá)到分層防護(hù)、主動(dòng)監(jiān)測(cè)、積極防御以及快速響應(yīng)和恢復(fù)的設(shè)計(jì)思想。下面校園的安全域組成結(jié)構(gòu)進(jìn)行介紹，其由安全網(wǎng)絡(luò)域、安全計(jì)算域、安全信任域和安全用戶(hù)域等四個(gè)部分組成。(1)安全網(wǎng)絡(luò)域：支撐安全域的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓?fù)洌前踩虻某休d子域。防護(hù)重點(diǎn)是保障網(wǎng)絡(luò)性能和進(jìn)行各子域的安全隔離與邊界防護(hù)。(2)安全計(jì)算域：安全域的核心業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫(kù)的所在地，是安全域的核心子域。防護(hù)重點(diǎn)是防病毒攻擊、防黑客篡改和防誤操作導(dǎo)致數(shù)據(jù)丟失。(3)安全信任域：需要訪(fǎng)問(wèn)安全計(jì)算域的特權(quán)客戶(hù)端和維護(hù)終端，如職能部門(mén)，是安全域的信任子域。防護(hù)重點(diǎn)是加強(qiáng)審計(jì)、限制權(quán)限，嚴(yán)格遵守配置標(biāo)準(zhǔn)。(4)安全用戶(hù)域：學(xué)生宿舍、院系等，需要訪(fǎng)問(wèn)信息系統(tǒng)的用戶(hù)，是安全域的風(fēng)險(xiǎn)子域，重點(diǎn)是防病毒。在安全域劃分完成之后，對(duì)各個(gè)安全域需采取不同的安全措施，在此基礎(chǔ)上來(lái)構(gòu)建校園立體防御體系，具體如圖51所示。圖51 校園網(wǎng)安全防御體系據(jù)圖51可以知道，由于數(shù)據(jù)中心存儲(chǔ)著校園網(wǎng)中的關(guān)鍵信息資產(chǎn)，其安全等級(jí)最高，屬于安全計(jì)算域。校園網(wǎng)中的職能部門(mén)安全等級(jí)與數(shù)據(jù)中心相比相對(duì)較低，其屬于安全信任域。校園網(wǎng)屬于安全網(wǎng)絡(luò)域，而宿舍區(qū)域以及學(xué)生屬于安全用戶(hù)域。基于此，構(gòu)建了以數(shù)據(jù)中心為核心，輻射關(guān)鍵職能部門(mén)的分布式網(wǎng)絡(luò)安全防范體系，并設(shè)計(jì)了數(shù)據(jù)容災(zāi)方案，其囊括了PPDRR模型中的策略、防護(hù)、檢測(cè)、響應(yīng)、備份以及恢復(fù)等各個(gè)流程，可用于保障校園關(guān)鍵應(yīng)用和關(guān)鍵數(shù)據(jù)的安全。圖51所展示的為整體的立體校園防御體系，下面從各個(gè)安全區(qū)域所使用的網(wǎng)絡(luò)安全技術(shù)的角度來(lái)對(duì)校園網(wǎng)立體防御體系的構(gòu)成進(jìn)行介紹，具體如圖52所示。圖52 PPDRR防御體系的技術(shù)組成本課題所構(gòu)建的立體網(wǎng)絡(luò)安全防御體系主要包括如下幾個(gè)部分：(1)數(shù)據(jù)中心存儲(chǔ)大量的關(guān)鍵信息資產(chǎn)，為了保證數(shù)據(jù)中心的可靠性和安全性，構(gòu)建了完整的安全防范和審計(jì)體系。(2)校園職能部門(mén)涉及的都是核心業(yè)務(wù)，為了防止核心信息被竊取或篡改，采取了一定的防范措施。(3)校園職能部門(mén)需要與數(shù)據(jù)中心進(jìn)行交互，因此在兩者之間構(gòu)建了一條加密傳輸通道，以此來(lái)保證傳輸信息不被竊取。(4)在數(shù)據(jù)中心引入了網(wǎng)絡(luò)病毒防護(hù)模式，其管控范圍包括校園職能部門(mén)，由此可統(tǒng)一對(duì)職能部門(mén)進(jìn)行病毒查殺。(5)網(wǎng)絡(luò)中危害最大的病毒為網(wǎng)絡(luò)蠕蟲(chóng)病毒，該類(lèi)病毒的特點(diǎn)在于利用windows系統(tǒng)的漏洞來(lái)進(jìn)行傳播，為了防止因windows系統(tǒng)的漏洞而產(chǎn)生被攻擊的機(jī)會(huì)，在數(shù)據(jù)中心構(gòu)建了windows 自動(dòng)升級(jí)服務(wù)器，其可為管控范圍內(nèi)的所有機(jī)器提供升級(jí)服務(wù)。下面將從區(qū)域角度對(duì)立體防御模型的構(gòu)建過(guò)程進(jìn)行介紹。數(shù)據(jù)中心是立體網(wǎng)絡(luò)安全防御體系的核心部分，必須采取全方位的措施來(lái)保證數(shù)據(jù)中心的安全，下面將從物理安全、網(wǎng)絡(luò)和主機(jī)安全、數(shù)據(jù)安全、安全信任體系、安全審計(jì)體系以及數(shù)據(jù)中心的信息安全管理等幾方面進(jìn)行分析。(1)物理安全。物理安全主要目的在于防止人為造成信息泄密，具體而言，采取了如下措施：數(shù)據(jù)中心設(shè)置了嚴(yán)格門(mén)禁管理系統(tǒng)和監(jiān)控系統(tǒng)，只有具備相應(yīng)門(mén)禁權(quán)限的工作人員才能進(jìn)入數(shù)據(jù)中心，防止數(shù)據(jù)中心出現(xiàn)人為損壞的事故。(2)網(wǎng)絡(luò)和主機(jī)安全措施。數(shù)據(jù)中心的網(wǎng)絡(luò)和主機(jī)存儲(chǔ)著校園網(wǎng)中的核心信息，為了確保信息安全，必須采取相應(yīng)的安全措施。數(shù)據(jù)中心所采取的網(wǎng)絡(luò)和主機(jī)安全措施具體如圖53所示。圖53 主機(jī)與網(wǎng)絡(luò)安全防范體系根據(jù)圖53可以知道,數(shù)據(jù)中心采取了許多措施來(lái)保證主機(jī)和網(wǎng)絡(luò)的安全,具體包括如下幾個(gè)部分:①在數(shù)據(jù)中心的邊界部署了一臺(tái)千兆防火墻，其支持VPN功能；②使用防火墻提供的隔離功能來(lái)設(shè)置隔離區(qū)域。③提供Radius認(rèn)證，以便實(shí)現(xiàn)對(duì)數(shù)據(jù)中心訪(fǎng)問(wèn)的統(tǒng)一認(rèn)證。④構(gòu)建病毒控管中心，以此來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)中心和職能部門(mén)的統(tǒng)一病毒查殺。⑤部署windows自動(dòng)升級(jí)服務(wù)器，以便為管控范圍的主機(jī)和服務(wù)器提供統(tǒng)一的windows升級(jí)服務(wù)，防止因系統(tǒng)漏洞被攻擊。⑥使用安全日志及審計(jì)服務(wù)器保護(hù)關(guān)鍵日志，方便管理員管理，并作為取證的依據(jù)。(3)數(shù)據(jù)安全措施。數(shù)據(jù)安全措施主要是防止數(shù)據(jù)庫(kù)被破壞或者密碼泄漏。目前數(shù)據(jù)中心統(tǒng)一使用Oracle數(shù)據(jù)庫(kù)，Oracle數(shù)據(jù)庫(kù)自身提供角色管理和權(quán)限管理等多種安全措施，為了保證數(shù)據(jù)中心數(shù)據(jù)的可靠性和安全性，本文采取了如下措施：①建立了完善的數(shù)據(jù)庫(kù)賬號(hào)管理機(jī)制。增強(qiáng)口令安全功能，杜絕用戶(hù)賬號(hào)基于字典的密碼設(shè)置，定期檢查和控制過(guò)期賬號(hào)等。②提供完善的數(shù)據(jù)備份功能和數(shù)據(jù)恢復(fù)功能。設(shè)置定時(shí)備份功能可提高數(shù)據(jù)安全性，在遇到數(shù)據(jù)庫(kù)故障時(shí)，可利用備份數(shù)據(jù)進(jìn)行快速恢復(fù)。③將數(shù)據(jù)管理員和安全管理員兩種角色進(jìn)行分離，防止一人承擔(dān)兩個(gè)角色，導(dǎo)致管理效率低下，且容易造成信息的泄密。(4)安全信任體系。綜合采用信息門(mén)戶(hù)、統(tǒng)一用戶(hù)管理、認(rèn)證以及權(quán)限控制等技術(shù)，初步建成了校園安全信任體系。(5)安全審計(jì)體系。本文所設(shè)計(jì)的安全審計(jì)體系涵蓋了網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用以及數(shù)據(jù)等四個(gè)層面，下面對(duì)數(shù)據(jù)層面采取的安全審計(jì)技術(shù)進(jìn)行介紹：①采用專(zhuān)業(yè)的日志分析系統(tǒng)，其可收集來(lái)自防火墻、路由器以及交換機(jī)等設(shè)備的日志，并將網(wǎng)絡(luò)攻擊以及病毒攻擊等行為通過(guò)報(bào)表的形式展示出來(lái)，以便用戶(hù)能更形象了解當(dāng)前的網(wǎng)絡(luò)狀況。②提供專(zhuān)業(yè)的日志審計(jì)功能，若網(wǎng)絡(luò)行為滿(mǎn)足設(shè)置的審計(jì)策略，則會(huì)自動(dòng)進(jìn)行記錄，并進(jìn)行告警，以便提示安全管理員進(jìn)行處理。(6)數(shù)據(jù)中心的信息安全管理。數(shù)據(jù)中心是校園網(wǎng)絡(luò)中最重要的組成部分。為了防止數(shù)據(jù)中心的關(guān)鍵信息被竊取或泄漏，需建立相應(yīng)的信息安全管理措施，第一步需劃分安全角色，將系統(tǒng)管理和安全管理劃分，由單獨(dú)的管理員進(jìn)行處理，系統(tǒng)管理員主要負(fù)責(zé)數(shù)據(jù)的可靠性，安全管理員主要負(fù)責(zé)設(shè)置安全策略以及處理網(wǎng)絡(luò)攻擊等，并根據(jù)日常工作情況來(lái)優(yōu)化網(wǎng)絡(luò)體系，以保證校園網(wǎng)絡(luò)安全體系能滿(mǎn)足不斷變化的網(wǎng)絡(luò)環(huán)境。具體的信息安全管理體系如圖54所示。圖54 信息安全管理體系校機(jī)關(guān)、教務(wù)處、研究生院、財(cái)務(wù)處等部門(mén)是高校重要的職能部門(mén)，隨著數(shù)字校園建設(shè)的不斷深入，他們對(duì)網(wǎng)絡(luò)的依賴(lài)性必然會(huì)不斷增加，同時(shí)也面臨著來(lái)自網(wǎng)絡(luò)的各種安全風(fēng)險(xiǎn)，必須考慮這些部門(mén)的局域網(wǎng)安全，保證辦公用計(jì)算機(jī)遠(yuǎn)離病毒、黑客的侵害，保證他們通過(guò)網(wǎng)絡(luò)傳送的關(guān)鍵數(shù)據(jù)的保密性、完整性和有效性。目前在職能部門(mén)的安全部署如圖55所示。據(jù)圖55可以知道，職能部門(mén)采取了如下安全措施：(1)在局域網(wǎng)入口部署一臺(tái)防火墻，防止非法用戶(hù)進(jìn)入局域網(wǎng)。(2)職能部門(mén)的主要作用在于處理高校的日常辦公業(yè)務(wù)，因此職能部門(mén)以主機(jī)為主，不存在服務(wù)器，基于上述特點(diǎn)，職能部門(mén)面臨的安全威脅主要集中在病毒攻擊，為了防止病毒入侵，安全體系采用了當(dāng)前病毒庫(kù)較為全面的防病毒產(chǎn)品，拒病毒于網(wǎng)絡(luò)之外。(3)職能部門(mén)的辦公用機(jī)以Windows 操作系統(tǒng)為主，系統(tǒng)的缺省安裝是有安全問(wèn)題的。漏洞多、補(bǔ)丁多可謂是Windows 系統(tǒng)的特點(diǎn)之一。我們?cè)跀?shù)據(jù)中心目前建立了windows 漏洞和安全補(bǔ)丁的跟蹤和自動(dòng)升級(jí)機(jī)制，建立了補(bǔ)丁庫(kù)，為職能部門(mén)提供漏洞通告和補(bǔ)丁自動(dòng)升級(jí)服務(wù)。圖55 職能部門(mén)安全體系本文所構(gòu)建的校園網(wǎng)立體防御模型需要使用到大量的網(wǎng)絡(luò)安全設(shè)備，如防火墻、VPN設(shè)備以及路由器等。其中VPN技術(shù)在校園網(wǎng)立體防御體系中起著非常重要的作用，具體體現(xiàn)在校外教師通過(guò)VPN訪(fǎng)問(wèn)職能部門(mén)以及兩個(gè)校區(qū)之間的互聯(lián)，不妨以?xún)蓚€(gè)校區(qū)之間VPN構(gòu)建為例進(jìn)行介紹。(1)VPN通道構(gòu)建思路。VPN通道主要應(yīng)用在各個(gè)校區(qū)之間，用于提高兩者之間數(shù)據(jù)傳輸?shù)陌踩浴Ｔ趦蓚€(gè)校區(qū)之間構(gòu)建VPN通道，需經(jīng)過(guò)如下步驟：第一步：兩端內(nèi)網(wǎng)之間數(shù)據(jù)需要安全傳輸，可采用手工方式來(lái)建立IPSec隧道。首先完成兩端設(shè)備的基本配置、路由配置等。 第二步：在secpath_A和secpath_B上分別通過(guò)配置高級(jí)AC