高校數(shù)字圖書館網(wǎng)絡(luò)安全建設(shè)探討

張四大 楊幸然

摘要:當(dāng)前,國內(nèi)絕大多數(shù)高校都建有數(shù)字圖書館,但安全管理方面存在很大的缺陷。筆者多年從事網(wǎng)絡(luò)安全研究,在數(shù)字圖書館研究領(lǐng)域取得了一定的成果,所提出的構(gòu)建安全的數(shù)字圖書館方案被我國多所高校采用,本文提出了增強(qiáng)高校數(shù)字圖書館網(wǎng)絡(luò)安全的建議。

關(guān)鍵詞:數(shù)字圖書館;網(wǎng)絡(luò)安全;防火墻

現(xiàn)在高校圖書館網(wǎng)絡(luò)作為校園網(wǎng)的重要組成部分,是高校的數(shù)據(jù)中心、信息中心。高校的數(shù)字圖書館一般都設(shè)立在圖書館中,通過專用網(wǎng)絡(luò)與校園網(wǎng)或者互聯(lián)網(wǎng)互聯(lián)互通。數(shù)字圖書館是圖書館在新的時(shí)代的服務(wù)拓展,是以計(jì)算機(jī)多媒體信息存儲(chǔ)及檢索為主的網(wǎng)絡(luò)服務(wù)。

隨著社會(huì)的進(jìn)步,高校師生對圖書館的要求不僅僅局限在紙本圖書所提供的文字信息資源,而且更需要諸多的多種媒體信息,如語音、圖像、視頻等。隨著我國全面進(jìn)入信息社會(huì)這一大趨勢,這就對圖書館的服務(wù)及職能提出了更高、更新的要求。

然而,由于圖書館網(wǎng)絡(luò)系統(tǒng)特殊性,及維護(hù)的人員計(jì)算機(jī)水平相對于校園網(wǎng)管理人員水平較差,致使其網(wǎng)絡(luò)極易受到攻擊。故此,如何確保圖書館網(wǎng)絡(luò)的安全,已成為當(dāng)前網(wǎng)絡(luò)安全人員亟待解決的問題。

如何才能增強(qiáng)數(shù)字圖書館現(xiàn)有網(wǎng)絡(luò)安全?筆者認(rèn)為應(yīng)著重從系統(tǒng)和網(wǎng)絡(luò)的安全、網(wǎng)頁的安全方面考慮。

1 數(shù)字圖書館系統(tǒng)及網(wǎng)絡(luò)的安全

系統(tǒng)和網(wǎng)絡(luò)是構(gòu)建數(shù)字圖書館的基礎(chǔ),沒有系統(tǒng)和網(wǎng)絡(luò)也就無從談及數(shù)字圖書館。故此,數(shù)字圖書館安全首先要談的是數(shù)字圖書館系統(tǒng)及網(wǎng)絡(luò)的安全。此方面包括設(shè)備安全、運(yùn)行安全和網(wǎng)絡(luò)安全。設(shè)備安全是指數(shù)字圖書館系統(tǒng)中的計(jì)算機(jī)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、通信設(shè)備、安全設(shè)備等物理保證安全,防止人為和自然的損壞;運(yùn)行安全是指服務(wù)器操作系統(tǒng)及數(shù)字圖書館軟件運(yùn)行安全性,防止系統(tǒng)運(yùn)行軟件故障,減少因軟件故障導(dǎo)致的系統(tǒng)運(yùn)行不穩(wěn)定;網(wǎng)絡(luò)安全是指服務(wù)器之間的協(xié)同和信息交換的安全,防止信息泄露,抵御黑客攻擊。

1.1 設(shè)備物理安全及設(shè)備冗余

依據(jù)國家相關(guān)規(guī)定,根據(jù)具體安全等級要求,對數(shù)字圖書館機(jī)房服務(wù)器及網(wǎng)絡(luò)設(shè)備進(jìn)行整改。根據(jù)安全需求,對數(shù)字圖書館網(wǎng)絡(luò)布設(shè)進(jìn)行調(diào)整。做好網(wǎng)絡(luò)設(shè)備等的防火、防盜、防水、防信息泄漏等物理安全。

數(shù)字圖書館系統(tǒng)的運(yùn)行在一定時(shí)間段具有不間斷性,并且在部分時(shí)間可能有高訪問量,故此在構(gòu)建系統(tǒng)時(shí)必須考慮到要留有一定的冗余。增加UPS,防止斷電對數(shù)據(jù)的破壞。

1.2 使用虛擬網(wǎng)技術(shù),劃分不同網(wǎng)絡(luò)安全區(qū)域

在數(shù)字圖書館網(wǎng)絡(luò)中,利用虛擬網(wǎng)技術(shù)可實(shí)現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。如,通過在交換機(jī)上劃分VLAN可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播區(qū)域,實(shí)現(xiàn)內(nèi)部一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的隔離。這樣,就能防止一個(gè)網(wǎng)段的問題在整個(gè)網(wǎng)絡(luò)中傳播。

1.3 設(shè)置多層防火墻

首先,在圖書館內(nèi)部網(wǎng)與教育網(wǎng)和校園網(wǎng)之間使用防火墻。這樣可以在一定程度上阻止互聯(lián)網(wǎng)中的黑客攻擊,保護(hù)圖書館內(nèi)網(wǎng)的安全。

其次,在圖書館內(nèi)部不同網(wǎng)絡(luò)安全域間設(shè)置防火墻。在圖書館內(nèi)網(wǎng)中某些安全要求比較高的區(qū)域增設(shè)防火墻,對重要的數(shù)據(jù)進(jìn)行保護(hù)是必需的。如在數(shù)據(jù)中心與校園網(wǎng)之間用防火墻隔開,圖書管理系統(tǒng)與其它網(wǎng)絡(luò)隔開等等。這樣既可保護(hù)內(nèi)部數(shù)據(jù)不被非法授權(quán)訪問,又可充分利用網(wǎng)絡(luò)資源,盡情享受網(wǎng)絡(luò)帶來的便利。

最后,在路由器、圖書館網(wǎng)絡(luò)中心的服務(wù)器與校園網(wǎng)之間設(shè)置防火墻。目前越來越多的網(wǎng)絡(luò)攻擊指向路由器,大量的DOS攻擊使路由器失去作用。虛假路由為網(wǎng)絡(luò)安全造成極大的隱患,所以在數(shù)字圖書館建設(shè)中應(yīng)加強(qiáng)路由器的保護(hù)。路由器的管理應(yīng)該通過防火墻控制,使其固定在專門的計(jì)算機(jī)上,由此保證數(shù)據(jù)包路由的可靠性。網(wǎng)絡(luò)服務(wù)的服務(wù)器通過防火墻的固定端口接入校園網(wǎng),這樣既能保證校園網(wǎng)內(nèi)部的使用,有效防止校園網(wǎng)內(nèi)黑客的攻擊,又能在一定程度上保護(hù)服務(wù)器的安全。對于允許互聯(lián)網(wǎng)用戶訪問的服務(wù)器可以通過端口映射進(jìn)行限制,這樣即可保護(hù)服務(wù)器的安全,使其運(yùn)行正常。由于大多數(shù)的防火墻產(chǎn)品都是基于IP地址限制的,所以我們要把IP地址同MAC地址進(jìn)行綁定,這樣才能更好地有效工作。合理配置VPN,使其在網(wǎng)絡(luò)防火墻監(jiān)控下保證訪問的安全。

1.4 使用SMS檢測系統(tǒng)對網(wǎng)絡(luò)進(jìn)行安全檢測

網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié),并采取恰當(dāng)?shù)难a(bǔ)救措施這是非常重要的。對網(wǎng)絡(luò)進(jìn)行安全性分析找出網(wǎng)絡(luò)系統(tǒng)中薄弱的環(huán)節(jié)是系統(tǒng)入侵分析系統(tǒng)所要進(jìn)行的工作。通過系統(tǒng)安全分析,生成詳細(xì)的檢查報(bào)告,可使我們很容易找到系統(tǒng)的薄弱點(diǎn),對癥下藥。安全分析系統(tǒng)能夠100%檢測到已有系統(tǒng)漏洞,能夠?qū)W(wǎng)絡(luò)的負(fù)載情況進(jìn)行安全評估。不過安全系統(tǒng)在一定程度上會(huì)對系統(tǒng)產(chǎn)生難以挽救的破壞,因此在使用時(shí)應(yīng)當(dāng)慎重。

1.5 使用入侵監(jiān)測系統(tǒng),及早發(fā)現(xiàn)黑客入侵

入侵監(jiān)測系統(tǒng)(IDS)是一種比較新的軟件系統(tǒng),能夠發(fā)現(xiàn)正在進(jìn)行的攻擊,并對攻擊進(jìn)行實(shí)時(shí)報(bào)警,并通過自動(dòng)修改路由或防火墻的配置來抵制攻擊;將復(fù)雜的日志文件進(jìn)行分析,為網(wǎng)絡(luò)安全管理人員提供有效的結(jié)果。當(dāng)前,比較流行的數(shù)字圖書館系統(tǒng)中使用的是屏蔽主機(jī)體系結(jié)構(gòu),在防火墻內(nèi)的堡壘主機(jī)上使用入侵監(jiān)測系統(tǒng)(IDS),這樣可以對來自網(wǎng)絡(luò)的攻擊進(jìn)行監(jiān)測,對黑客的攻擊進(jìn)行完善的預(yù)警機(jī)制,并自動(dòng)更改安全策略,保護(hù)堡壘主機(jī)的安全。

1.6 加強(qiáng)網(wǎng)絡(luò)病毒的防控

網(wǎng)絡(luò)反病毒軟件可以安裝在服務(wù)器上,并對服務(wù)器進(jìn)行病毒掃描及病毒實(shí)時(shí)監(jiān)控,在工作站上分發(fā)防毒軟件和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等,主要為Mail Web服務(wù)器及數(shù)據(jù)庫和文件服務(wù)器等。網(wǎng)絡(luò)版的防病毒軟件應(yīng)具備遠(yuǎn)程化管理(遠(yuǎn)程殺毒、遠(yuǎn)程報(bào)警、遠(yuǎn)程操作)、自動(dòng)化管理(自動(dòng)化安裝、自動(dòng)化升級、自動(dòng)化卸載)全網(wǎng)查殺病毒、日志統(tǒng)計(jì)、腳本監(jiān)控等功能。對于病毒破壞的文件、數(shù)據(jù),能夠最大限度地修復(fù),盡可能地減少用戶的損失。

1.7 保證無線網(wǎng)絡(luò)系統(tǒng)安全

現(xiàn)在各高校圖書館正在逐步建設(shè)無線局域網(wǎng)絡(luò)作為現(xiàn)有網(wǎng)絡(luò)的擴(kuò)充。無線局域網(wǎng)由于網(wǎng)絡(luò)協(xié)議的先天性缺陷,使黑客比較容易通過無線網(wǎng)絡(luò)攻擊局域網(wǎng)中的服務(wù)器竊取信息。針對這種情況對無線用戶的身份認(rèn)證(EAP)顯得至關(guān)重要,在服務(wù)器中應(yīng)禁用DHCP服務(wù),或者使用DHCP與身份認(rèn)證向結(jié)合;使用安全軟件保護(hù)服務(wù)器安全;使用智能卡或證書、MD5質(zhì)詢等EAP認(rèn)證;網(wǎng)絡(luò)傳輸數(shù)據(jù)加密等技術(shù)保證數(shù)據(jù)傳輸和身份認(rèn)證的安全。另一方面,在終端上增加個(gè)人防火墻和防病毒軟件,并對網(wǎng)絡(luò)連接進(jìn)行限制。

2 網(wǎng)頁的安全

網(wǎng)頁的安全是指數(shù)字圖書館系統(tǒng)中圖書館、電子期刊、電子圖書、多媒體信息資源等WEB網(wǎng)頁的發(fā)布、修改由特定人員完成,非授權(quán)人員無法修改。網(wǎng)頁是數(shù)字圖書館的門面,是與讀者交流的窗口。如果發(fā)生非授權(quán)人員修改其信息,會(huì)造成信息混亂,直接影響數(shù)字圖書館的形象。

3 訪問的安全

數(shù)字圖書館系統(tǒng)的訪問安全主要分為內(nèi)部訪問安全和外部訪問安全兩方面。內(nèi)部訪問是指,工作人員通過內(nèi)部局域網(wǎng)或通過VPN或撥號(hào)連接到內(nèi)部服務(wù)器,并進(jìn)行相關(guān)的操作。外部訪問是指讀者瀏覽WEB網(wǎng)頁信息,檢索圖書信息、下載相關(guān)資源及使用網(wǎng)站提供的論壇等。

訪問的安全是指保證信息通過網(wǎng)絡(luò)傳輸?shù)陌踩?用戶登錄認(rèn)證的安全性。也就是說,通過網(wǎng)絡(luò),圖書館工作人員或讀者能夠安全地連接到服務(wù)器。首先我們應(yīng)該保證我們所訪問的服務(wù)器唯一性,其次是工作人員或讀者訪問的安全性。

作為一種新興的服務(wù)手段,數(shù)字圖書館網(wǎng)站要保證讀者的信息安全,防止讀者信息的泄露。網(wǎng)站通過提供“網(wǎng)站數(shù)字證書”供讀者驗(yàn)證其身份,以保證訪問的真實(shí)性,杜絕“網(wǎng)絡(luò)釣魚”的發(fā)生;讀者與網(wǎng)站服務(wù)器之間的信息交換通過IPSec或其它通信方法加密,以免信息泄露,保證讀者的切身利益。有些數(shù)字圖書館提供電子資源的有償下載服務(wù),這就要求讀者身份的唯一性。我們可以使用SSL加密安全信息通道結(jié)合個(gè)人數(shù)字證書(也可以是高校數(shù)字圖書館頒發(fā)的)來對讀者身份驗(yàn)證安全訪問保證。

在現(xiàn)有的數(shù)字圖書館安全要求的基礎(chǔ)上,通過增加這些方面進(jìn)行考慮,這樣構(gòu)建的數(shù)字圖書館才會(huì)更加安全。才能更好地保障廣大師生教學(xué)和科研的需求。

參考文獻(xiàn)

[1]楊展,張四大.高校數(shù)字圖書館數(shù)據(jù)及網(wǎng)絡(luò)安全[C].中國計(jì)算機(jī)信息防護(hù)文集.呼和浩特:遠(yuǎn)方出版社.2008.

[2]張四大.高校數(shù)字圖書館數(shù)據(jù)維護(hù)方法[J].金融教學(xué)與研究,2007(1).