李小凱

【摘 要】校園網(wǎng)是在學(xué)校范圍內(nèi)，為教學(xué)、科研和管理提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。在信息化的今天，校園網(wǎng)已經(jīng)成為各類院校重要的基礎(chǔ)設(shè)施，其運(yùn)行安全也變的日益重要。面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境以及網(wǎng)絡(luò)內(nèi)外各種安全威脅，如何進(jìn)行安全防范，保證校園網(wǎng)的安全、高效運(yùn)行已經(jīng)成為校園網(wǎng)設(shè)計(jì)和建設(shè)需要解決的主要問(wèn)題。本文針對(duì)當(dāng)前校園網(wǎng)面臨的一些常見(jiàn)安全威脅進(jìn)行了分析，并在網(wǎng)絡(luò)規(guī)劃和配置方面提出了一些解決思路和范例。

【關(guān)鍵詞】校園網(wǎng)安全，防火墻，防病毒系統(tǒng)，認(rèn)證和審計(jì)，虛擬局域網(wǎng)

【中圖分類號(hào)】TP393.18【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）02-0166-02

一、校園網(wǎng)常見(jiàn)的安全威脅

威脅校園網(wǎng)安全運(yùn)行的因素很多，主要包含計(jì)算機(jī)本身的系統(tǒng)漏洞、各類網(wǎng)絡(luò)攻擊和病毒的威脅、內(nèi)部人員的非授權(quán)訪問(wèn)和資源濫用、不良信息泛濫等。其中，來(lái)自內(nèi)、外網(wǎng)絡(luò)的各類蓄意攻擊行為最為普遍，常見(jiàn)的形式有：

1、拒絕服務(wù)攻擊（DoS）

拒絕服務(wù)攻擊就是一種發(fā)起大量訪問(wèn)請(qǐng)求使目標(biāo)服務(wù)器停止工作甚至崩潰的攻擊行為，其具體攻擊原理大致如下：第一，通過(guò)制造大量的垃圾信息和流量沖擊網(wǎng)絡(luò)，使被攻擊服務(wù)器網(wǎng)絡(luò)阻塞從而無(wú)法及時(shí)接收用戶請(qǐng)求并處理；第二，利用服務(wù)傳輸協(xié)議漏洞制造大量的非法連接請(qǐng)求不斷消耗操作系統(tǒng)資源，讓操作系統(tǒng)無(wú)法正常處理合法用戶的請(qǐng)求；第三，反復(fù)發(fā)送巨量畸形攻擊數(shù)據(jù)，讓服務(wù)器的有限資源被大量占據(jù)，最終導(dǎo)致服務(wù)器掛起甚至不斷死機(jī)。拒絕服務(wù)攻擊的具體攻擊方式主要包括：S Y N Foold、IP欺騙DoS、Ping of Death、UDP洪水以及電郵炸彈等。

2、利用型攻擊

利用型攻擊是一種以試圖直接控制目標(biāo)主機(jī)為目的的網(wǎng)絡(luò)攻擊行為，其主要通過(guò)對(duì)目標(biāo)主機(jī)的密碼猜測(cè)或破解、木馬植種以及緩沖區(qū)溢出三種方法實(shí)現(xiàn)。密碼猜測(cè)和破解就是攻擊者通過(guò)猜測(cè)或破解的方式非法獲取主機(jī)網(wǎng)絡(luò)輸入輸出系統(tǒng)（NetBIOS）、Telnet以及NFS等系統(tǒng)賬號(hào)密碼，最終獲取目標(biāo)主機(jī)控制權(quán)。木馬種植就是將木馬程序安裝到目標(biāo)機(jī)器的系統(tǒng)中并激活，從而獲取對(duì)方賬號(hào)和密碼，最終控制目標(biāo)主機(jī)。緩沖區(qū)溢出是指利用目標(biāo)主機(jī)系統(tǒng)本身的漏洞，造成對(duì)方運(yùn)行失敗、系統(tǒng)死機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。

3、信息收集型攻擊

信息收集攻擊主要是對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行的一些信息掃描以及體系結(jié)構(gòu)探測(cè)等行為。信息掃描包含對(duì)目標(biāo)的地址和端口掃描、主機(jī)存在與否的反響映射以及對(duì)目標(biāo)及其的操作系統(tǒng)結(jié)構(gòu)探測(cè)等。信息收集型攻擊本身并不會(huì)對(duì)目標(biāo)主機(jī)造成危害，但其在運(yùn)用的過(guò)程中能獲取大量主機(jī)信息，能為進(jìn)一步入侵主機(jī)提供很多有效信息，因此很多黑客在進(jìn)行最終網(wǎng)絡(luò)攻擊前都會(huì)運(yùn)用這種方式，讓自身的攻擊目標(biāo)更準(zhǔn)確攻擊結(jié)果更有效。其具體方式有：DNS轉(zhuǎn)換獲取主機(jī)名及IP、Finger服務(wù)、LDAP服務(wù)以及Sniffer等。

4、信息欺騙攻擊

主要通過(guò)利用網(wǎng)絡(luò)協(xié)議中本身的缺陷以及攻擊目標(biāo)的配置漏洞，發(fā)送一些偽造的數(shù)據(jù)信息以達(dá)到竊取服務(wù)器信息、改變用戶或讓服務(wù)器拒絕服務(wù)的目的，主要包括DNS緩存污染以及偽造電郵等兩種方式。DNS服務(wù)器在與其他服務(wù)器進(jìn)行信息交換時(shí)不會(huì)身份校驗(yàn)，這種漏洞就使攻擊者很容易將錯(cuò)誤信息滲入并將用戶引向自己主機(jī)。網(wǎng)絡(luò)郵件的發(fā)送并不會(huì)進(jìn)行身份認(rèn)定，很多攻擊者謊稱用戶認(rèn)識(shí)的人或者單位發(fā)送郵件給用戶，在郵件中附帶一些木馬病毒，一旦客戶運(yùn)行郵件機(jī)器就會(huì)中毒，很多賬戶以及密碼信息都會(huì)處于攻擊者的監(jiān)控之下。

二、校園網(wǎng)安全解決方案

要解決校園網(wǎng)所面臨的常見(jiàn)安全問(wèn)題，必須在網(wǎng)絡(luò)系統(tǒng)中的各個(gè)環(huán)節(jié)采取必要的防范措施，使用防范技術(shù)，完善管理體系，才能有效保障校園網(wǎng)的安全。

1、應(yīng)用防火墻技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)控制

防火墻是最基本的一種網(wǎng)絡(luò)安全防范技術(shù)。它被設(shè)置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，根據(jù)既定的安全策略對(duì)流經(jīng)的數(shù)據(jù)包進(jìn)行安全檢查和篩選，可有效監(jiān)控網(wǎng)絡(luò)之間的通信活動(dòng)，阻斷非授權(quán)訪問(wèn)，還可以有效的避免拒絕服務(wù)攻擊、非法信息刺探和收集、信息欺騙等攻擊，保證內(nèi)部網(wǎng)絡(luò)的安全。

在校園網(wǎng)的實(shí)際應(yīng)用中，可根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和校園網(wǎng)安全的實(shí)際需求，在以下區(qū)域部署防火墻：校園網(wǎng)內(nèi)部與外部網(wǎng)絡(luò)之間；校園網(wǎng)不同區(qū)域之間；重要主機(jī)和服務(wù)器（如WWW服務(wù)器、郵件服務(wù)器等）的接入層。為了保證網(wǎng)絡(luò)安全策略的統(tǒng)一，提高網(wǎng)絡(luò)管理效率，可選擇采用分布式防火墻進(jìn)行統(tǒng)一部署。

要使防火墻充分發(fā)揮作用，管理者應(yīng)根據(jù)實(shí)際需求，制定合理的安全策略，啟用各類防護(hù)功能，在允許必要網(wǎng)絡(luò)通信類型的同時(shí)，對(duì)其他網(wǎng)絡(luò)通信嚴(yán)格甄別篩選，從而盡可能保證內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行。

隨著技術(shù)的發(fā)展，防火墻的功能也在不斷的擴(kuò)充和完善，新一代的防火墻在實(shí)現(xiàn)傳統(tǒng)數(shù)據(jù)包篩選功能的同時(shí)，還增加了VPN、IDS、網(wǎng)絡(luò)審計(jì)等系統(tǒng)的部分功能，從而使得其應(yīng)用更加靈活和高效。

2、應(yīng)用入侵檢測(cè)技術(shù)（IDS）保護(hù)信息網(wǎng)絡(luò)和重要主機(jī)的安全

防火墻一般只能鑒別相對(duì)較簡(jiǎn)單的網(wǎng)絡(luò)攻擊類型，為了進(jìn)一步保護(hù)校園網(wǎng)的安全，可采用入侵檢測(cè)技術(shù)，對(duì)較復(fù)雜的網(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)和阻止。

在校園網(wǎng)的重要網(wǎng)段安裝基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)中傳輸?shù)母鞣N數(shù)據(jù)包，對(duì)可疑數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與入侵檢測(cè)中的某些規(guī)則吻合，則入侵檢測(cè)系統(tǒng)就會(huì)及時(shí)發(fā)出警報(bào)或直接切斷網(wǎng)絡(luò)連接。

在校園網(wǎng)重要主機(jī)（如WWW服務(wù)器、郵件服務(wù)器等）安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷，如果發(fā)現(xiàn)異常行為，入侵檢測(cè)系統(tǒng)就會(huì)及時(shí)采取相應(yīng)措施。

入侵檢測(cè)系統(tǒng)的靈活運(yùn)用，可幫助管理員及時(shí)發(fā)現(xiàn)校園網(wǎng)面臨的各種入侵行為，從而避免校園網(wǎng)遭受實(shí)質(zhì)性的破壞和損失。

3、應(yīng)用分布式網(wǎng)絡(luò)殺毒系統(tǒng)解決網(wǎng)絡(luò)病毒入侵問(wèn)題

為保護(hù)校園網(wǎng)主機(jī)免受計(jì)算機(jī)病毒的侵害，建立一個(gè)統(tǒng)一、高效的病毒防控機(jī)制，需要在校園網(wǎng)上應(yīng)用基于網(wǎng)絡(luò)的病毒防控技術(shù)。該技術(shù)可在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)上實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒和防范，包括網(wǎng)關(guān)、服務(wù)器和用戶桌面主機(jī)，結(jié)合在校園網(wǎng)中設(shè)置的中央控制臺(tái)，可對(duì)網(wǎng)絡(luò)中所有主機(jī)進(jìn)行集中防控配置，并實(shí)現(xiàn)對(duì)系統(tǒng)進(jìn)行統(tǒng)一的升級(jí)和管理，從而大大提高了整個(gè)網(wǎng)絡(luò)對(duì)病毒的防控能力。

4、應(yīng)用漏洞掃描技術(shù)對(duì)系統(tǒng)進(jìn)行安全評(píng)估

借助漏洞掃描技術(shù)，網(wǎng)絡(luò)管理者可及時(shí)發(fā)現(xiàn)校園網(wǎng)潛在的安全隱患，并加以必要的修補(bǔ)，從而減小網(wǎng)絡(luò)被攻擊的可能。漏洞掃描技術(shù)可幫助網(wǎng)絡(luò)管理者準(zhǔn)確掌握網(wǎng)絡(luò)的安全現(xiàn)狀，及時(shí)發(fā)現(xiàn)安全漏洞，并提出具體的解決辦法和建議。

具體可在校園網(wǎng)合適位置設(shè)立專門的安全分析工作站，定期從各個(gè)角度對(duì)校園網(wǎng)進(jìn)行全方位的漏洞分析掃描，找出問(wèn)題并且給出安全性建議，以便系統(tǒng)管理者及時(shí)堵住系統(tǒng)安全漏洞。另外，為避免補(bǔ)丁程序更新不及時(shí)或其它意外因素，對(duì)重大的漏洞補(bǔ)丁程序，以傳統(tǒng)的網(wǎng)絡(luò)公告方式發(fā)布并提供直接下載，可有效地避免惡性安全事件的大范圍發(fā)生。

5、應(yīng)用虛擬局域網(wǎng)（VLAN）技術(shù)解決敏感資源保護(hù)問(wèn)題

虛擬局域網(wǎng)使網(wǎng)絡(luò)管理者可根據(jù)實(shí)際應(yīng)用需求，把處在同一物理局域網(wǎng)中的不同用戶按照某種方法劃分到不同的邏輯區(qū)域中，就如他們身處不同的物理網(wǎng)絡(luò)一樣。

采用虛擬局域網(wǎng)技術(shù)可突破物理網(wǎng)段的限制，靈活建立不同部門或類型的網(wǎng)絡(luò)，對(duì)彼此間的網(wǎng)絡(luò)通信進(jìn)行隔離，在提高網(wǎng)絡(luò)通訊效率的同時(shí)，大大提高了網(wǎng)絡(luò)整體安全性，并簡(jiǎn)化了網(wǎng)絡(luò)管理，便于網(wǎng)絡(luò)的調(diào)整和擴(kuò)展。

通過(guò)虛擬局域網(wǎng)技術(shù)，可將對(duì)安全性要求較高的部門，如財(cái)務(wù)部門和專業(yè)教學(xué)和管理部門劃分到不同的VLAN中，各部門內(nèi)部所有的服務(wù)器和用戶主機(jī)都在各自的VLAN內(nèi)，互不侵?jǐn)_。VLAN內(nèi)部的連接采用交換方式實(shí)現(xiàn)，而VLAN間的連接則采用路由器或三層交換機(jī)實(shí)現(xiàn)，并可通過(guò)訪問(wèn)控制列表（ACL）對(duì)網(wǎng)間連接進(jìn)行監(jiān)控，從而提升整個(gè)校園網(wǎng)安全性能。

為了解決地址盜用和基于MAC地址的攻擊問(wèn)題，可以采用IP地址、MAC地址及交換機(jī)端口等多重綁定方法，最大限度保證VLAN網(wǎng)絡(luò)的安全。

6、應(yīng)用雙機(jī)熱備份技術(shù)解決備份與恢復(fù)問(wèn)題

對(duì)于整個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，無(wú)論單獨(dú)一臺(tái)網(wǎng)絡(luò)服務(wù)器如何可靠，依然存在單點(diǎn)故障，只要它有失效的可能性，那么該網(wǎng)絡(luò)仍然是一個(gè)不可靠的網(wǎng)絡(luò)。要提高網(wǎng)絡(luò)的可靠性，不但要提高單臺(tái)服務(wù)器的可靠性，還應(yīng)采用服務(wù)器容錯(cuò)技術(shù)，來(lái)消除網(wǎng)絡(luò)至少是主干網(wǎng)絡(luò)上的單點(diǎn)故障。

校園網(wǎng)中心服務(wù)器存儲(chǔ)著大量教學(xué)課件、學(xué)生數(shù)據(jù)、電子圖書和學(xué)校辦公信息等重要數(shù)據(jù)，對(duì)內(nèi)提供數(shù)據(jù)庫(kù)、WEB、Email等綜合辦公教學(xué)服務(wù)，對(duì)外發(fā)布公開(kāi)信息服務(wù)，因而其安全穩(wěn)定性要得到確保?？刹捎秒p機(jī)熱備份技術(shù)，對(duì)網(wǎng)絡(luò)中心服務(wù)器等需要具體高可用性的節(jié)點(diǎn)，同時(shí)準(zhǔn)備兩臺(tái)機(jī)器進(jìn)行雙機(jī)熱備份。當(dāng)其中一臺(tái)發(fā)生故障時(shí)，另一臺(tái)能夠快速地接替故障機(jī)的工作，從而保障校園網(wǎng)的正常運(yùn)行。

三、校園網(wǎng)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

基于對(duì)當(dāng)前網(wǎng)絡(luò)安全問(wèn)題的分析，在某中型職業(yè)類院校的網(wǎng)絡(luò)安全系統(tǒng)中，主要進(jìn)行了如下的設(shè)計(jì)和實(shí)施：

1、防火墻與入侵檢測(cè)

在網(wǎng)絡(luò)攻擊防范方面，該方案采用神州數(shù)碼公司的DCFW-1800E硬件防火墻，將其部署于校園網(wǎng)的出口位置。在實(shí)際應(yīng)用中，DCFW-1800E能很好的實(shí)現(xiàn)校園網(wǎng)與外部網(wǎng)絡(luò)的隔離。它支持狀態(tài)檢測(cè)包過(guò)濾、數(shù)據(jù)包內(nèi)容過(guò)濾、雙向透明代理、雙向地址轉(zhuǎn)換、端口映射等功能，通過(guò)合理的配置，可有效的對(duì)出入校園網(wǎng)的數(shù)據(jù)包進(jìn)行檢查、過(guò)濾和轉(zhuǎn)換；在抵御網(wǎng)絡(luò)攻擊方面，它提供了抵御DoS和DDoS、ARP欺騙、SYN Flood等多種常見(jiàn)的網(wǎng)絡(luò)攻擊類型的能力；此外，它還內(nèi)置了IDS、VPN、上網(wǎng)行為監(jiān)測(cè)和Qos等功能，為網(wǎng)絡(luò)安全系統(tǒng)的靈活運(yùn)用提供了基礎(chǔ)和保障。

2、網(wǎng)絡(luò)防病毒系統(tǒng)

在校園網(wǎng)病毒防控方面，該方案選擇了瑞星網(wǎng)絡(luò)殺毒軟件企業(yè)版。該系統(tǒng)可通過(guò)瑞星管理控制臺(tái)對(duì)網(wǎng)絡(luò)上所有服務(wù)器和客戶主機(jī)的防病毒系統(tǒng)進(jìn)行遠(yuǎn)程安裝、設(shè)置、管理和維護(hù)，并可實(shí)現(xiàn)對(duì)全網(wǎng)的各類本地存儲(chǔ)器、網(wǎng)絡(luò)共享文件夾、郵件系統(tǒng)和各類壓縮文件進(jìn)行統(tǒng)一的病毒掃描、監(jiān)控和查殺，做到統(tǒng)一部署，統(tǒng)一行動(dòng)，不留死角。

3、防止校園網(wǎng)內(nèi)部攻擊

由于校園網(wǎng)內(nèi)部的用戶可以直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)，并擁有相對(duì)較多的權(quán)限，因此需要對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)膭澐?，并?duì)用戶的訪問(wèn)權(quán)限進(jìn)行限制，以提高內(nèi)部網(wǎng)絡(luò)的安全性。

（1） 通過(guò)劃分虛擬局域網(wǎng)（VLAN），限制不同區(qū)域之間的訪問(wèn)。例如，可在該校行政區(qū)域的匯聚層交換機(jī)上，通過(guò)劃分VLAN，實(shí)現(xiàn)各部分之間的隔離，以財(cái)務(wù)部門為例，配置命令為：

Switch（config）#vlan 100

Switch（config-vlan）#name caiwu

Switch（config）#interface range fastEthernet 0/1-8

Switch（config-if-range）#switchport access vlan 100

（2） 應(yīng)用訪問(wèn)控制列表，在匯聚層交換機(jī)或路由器上應(yīng)用訪問(wèn)控制列表，限制用戶對(duì)一些敏感主機(jī)的訪問(wèn)。

例如：在匯聚層交換機(jī)上配置以下命令：

Switch （config）#ip access-list extended denystudentwww

Switch （config-ext-nacl）#deny tcp 192.168.50.0 0.0.0.255 211.69.16.0 0.0.0.255 eq www

Switch （config-ext-nacl）#permit ip any any

Switch （config）#int vlan 50

Switch （config-if）#ip access-group denystudentwww in

可以實(shí)現(xiàn)拒絕192.168.50.0/24 網(wǎng)段上的終端用戶訪問(wèn)211.69.16. 0/24 網(wǎng)段上的Web 服務(wù)。

（3） 對(duì)于一個(gè)使用DHCP功能來(lái)自動(dòng)分配IP地址的校園網(wǎng)，防范用戶隨意變更自身IP地址和私設(shè)DHCP服務(wù)器也是一個(gè)網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行的保證，在這方面，可使用交換機(jī)的 DHCP Snooping 和 IP Source Guard功能。使用DHCP Snooping功能，可以防止用戶在網(wǎng)絡(luò)中私設(shè)DHCP服務(wù)器；使用 IP Source Guard功能，可保證只有經(jīng)過(guò)綁定的主機(jī)才能正常使用網(wǎng)絡(luò)資源。

相關(guān)配置如下：

第一步，開(kāi)啟DHCP Snooping功能。

Switch （config）#ip dhcp snooping

第二步，將上鏈口設(shè)置為DHCP SNOOPING信任口。

Switch （config）#interface gigabitEthernet 0/1

Switch （config-if-GigabitEthernet 0/1）#ip dhcp snooping trust

第三步，在直連用戶機(jī)的端口上開(kāi)啟IP Source Guard功能

Switch（config）#interface range gigabitEthernet 0/2-3

Switch（config-if-range）#ip verify source port-security

第四步，配置靜態(tài)綁定用戶

Switch （config）#ip source binding 0000.0000.0001 vlan 1 192.168.50.4 interface gigabitEthernet 0/2

4、安全認(rèn)證和審計(jì)系統(tǒng)

為了實(shí)現(xiàn)對(duì)校園網(wǎng)用戶的安全認(rèn)證和審計(jì)，可在校園網(wǎng)各級(jí)交換機(jī)上啟用802.1x訪問(wèn)控制和認(rèn)證協(xié)議，結(jié)合安全管理平臺(tái)如銳捷網(wǎng)絡(luò)公司的RG-SMP，實(shí)現(xiàn)對(duì)用戶的安全認(rèn)證，并可對(duì)內(nèi)網(wǎng)安全進(jìn)行審計(jì)。如果在校園網(wǎng)出口位置架設(shè)上網(wǎng)行為管理設(shè)備，還能對(duì)內(nèi)部用戶出入外網(wǎng)的網(wǎng)絡(luò)行為進(jìn)行審計(jì)過(guò)濾，并使用網(wǎng)頁(yè)或短信形式及時(shí)向管理員發(fā)送安全通告。

四、校園網(wǎng)安全系統(tǒng)應(yīng)用效果

通過(guò)應(yīng)用實(shí)踐表明，對(duì)校園網(wǎng)安全系統(tǒng)合理的設(shè)計(jì)和部署，是保障校園網(wǎng)平穩(wěn)、可靠運(yùn)行的基礎(chǔ)和保障：

（1） 防火墻、入侵檢測(cè)系統(tǒng)等的應(yīng)用，可以預(yù)防和阻止大部分網(wǎng)絡(luò)攻擊行為的發(fā)生；

（2） 網(wǎng)絡(luò)化的病毒防護(hù)系統(tǒng)可有效控制病毒在校園網(wǎng)上的傳播；

（3） 虛擬局域網(wǎng)技術(shù)可控制跨部門、跨區(qū)域的網(wǎng)絡(luò)訪問(wèn)，提升了網(wǎng)絡(luò)整體安全性，也提高了整個(gè)網(wǎng)絡(luò)的運(yùn)行效率，方便對(duì)網(wǎng)絡(luò)進(jìn)行管理和維護(hù)；

（4） 認(rèn)證和審計(jì)系統(tǒng)能確認(rèn)校園網(wǎng)的使用人群，并通過(guò)對(duì)用戶上網(wǎng)行為的查詢、分析及統(tǒng)計(jì)，清晰地反映校園網(wǎng)的實(shí)際使用情況，為網(wǎng)絡(luò)管理和優(yōu)化提供了參考和依據(jù)；

（5） 通過(guò)雙機(jī)熱備份技術(shù)，可以有效提升校園網(wǎng)關(guān)鍵服務(wù)的可靠性，保障校園網(wǎng)各類服務(wù)的持續(xù)、穩(wěn)定運(yùn)行。

參考文獻(xiàn)

[1] 夏棟梁，劉玉坤.校園網(wǎng)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011，（9）：17-19

[2] 李海軍.校園網(wǎng)絡(luò)體系中核心網(wǎng)的安全系統(tǒng)設(shè)計(jì)與實(shí)施[J].自動(dòng)化與儀器儀表，2012，（6）：197-198

[3] 冀鑫.校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建探討[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012，（19）

[4] 陳智慧.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的進(jìn)一步應(yīng)用與分析[J].沿海企業(yè)與科技，2009，（1）：180-封3