數(shù)字圖書館網(wǎng)絡安全技術(shù)的研究

摘要：為了提高數(shù)字圖書館的網(wǎng)絡安全性能，在對數(shù)字圖書館網(wǎng)絡進行了風險分析的基礎上，重點研究了數(shù)字圖書館網(wǎng)絡安全的解決策略，包括VLAN劃分、防火墻及入侵檢測系統(tǒng)的部署等，對數(shù)字圖書館的網(wǎng)絡安全建設具有現(xiàn)實的指導和參考意義。

關(guān)鍵詞：數(shù)字圖書館；網(wǎng)絡安全；防火墻

中圖分類號：G250.7文獻標識碼：A文章編號：1009-3044(2009)04-0814-02

The Research of Digital Library Network Security Technology

XIE Wei， ZHANG Chun-hong

(Chengdu University of Technology Library and Information Technology Department，Chengdu 610059，China)

Abstract: In order to improve the digital library network security performance， the text of the Digital Library Network conducted a risk analysis on the basis of the focus on the digital library network security solutions， including the division of VLAN， firewall and intrusion detection systems， such as the deployment of digital Library network security building practical guidance and reference value.

Key words: digital library; network security; firewall

1 引言

90年代以來，西方發(fā)達國家的圖書館正朝著網(wǎng)絡化、電子化和數(shù)字化的方向發(fā)展。借助于網(wǎng)絡通信和高新技術(shù)的發(fā)展，圖書館的發(fā)展取得了巨大的進步，電子化信息的檢索與提供，己成為越來越普遍的服務方式，以至出現(xiàn)了“數(shù)字圖書館”的概念，并正在逐步成為現(xiàn)實[1]。但同時隨著網(wǎng)絡的不斷延伸， 計算機病毒的泛濫、黑客的惡意等攻擊已構(gòu)成對數(shù)字圖書館網(wǎng)絡安全的影響，加強數(shù)字圖書館網(wǎng)絡的安全與防范工作刻不容緩。

2 數(shù)字圖書館網(wǎng)絡安全風險分析

2.1 網(wǎng)絡層的安全風險分析

首先，網(wǎng)絡中的用戶眾多，上網(wǎng)人員復雜，在數(shù)據(jù)傳輸線路之間存在被竊聽和篡改的威脅，數(shù)字圖書館網(wǎng)絡內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。這種形式的“攻擊”是相對比較容易成功的，只要使用現(xiàn)在可以很容易得到的“包檢測”軟件即可[2]。

其次，數(shù)字圖書館要與內(nèi)部各單位交換業(yè)務信息數(shù)據(jù)，或者向外提供一些網(wǎng)絡服務，必須開放一些服務端口和訪問權(quán)限。而在進行這些正常的數(shù)據(jù)交換時，帳號信息可能被中間者嗅探、破解，造成安全威脅。

2.2 應用層安全風險分析

針對數(shù)字圖書館網(wǎng)絡的應用層，主要存在以下漏洞和風險：

1） DNS服務漏洞

DNS域名服務為數(shù)字圖書館網(wǎng)絡應用提供了極大的靈活性。幾乎所有的數(shù)字圖書館網(wǎng)絡應用均采用域名服務。但是，域名服務通常為黑客提供了入侵網(wǎng)絡的有用信息，如服務器的IP，操作系統(tǒng)信息、推導出可能的網(wǎng)絡結(jié)構(gòu)等。

同時，類似BIND-DNS緩沖溢出的安全問題已被發(fā)現(xiàn)，絕大多數(shù)的域名系統(tǒng)均存在類似的問題。如由于DNS查詢使用無連接的UDP協(xié)議，利用可預測的查詢ID可欺騙域名服務器給出錯誤的主機名-IP對應關(guān)系[3]。

2） 病毒侵害

“沖擊波”蠕蟲病毒以強勁的沖擊，造成了巨大的恐慌。可見，數(shù)字圖書館網(wǎng)絡是病毒傳播的最好、最快的途徑之一。病毒程序可以從網(wǎng)上下載、使用盜版光盤、人為投放等方式影響數(shù)字圖書館內(nèi)網(wǎng)。網(wǎng)絡中一旦有主機感染病毒，則病毒程序完全可能在極短的時間被迅速擴散，傳播到數(shù)字圖書館網(wǎng)絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。

3 數(shù)字圖書館網(wǎng)絡安全解決策略

3.1 VLAN的劃分

數(shù)字圖書館采用的VLAN劃分是以端口為中心，與節(jié)點相連的端口將確定它所駐留的VLAN。先在VTP Server上建立VLAN，然后將每個端口分配給相應的VLAN。

1） 設置VTP DOMAIN

交換VTP更新信息的所有交換機必須配置為相同的管理域，由于數(shù)字圖書館所有的交換機都以中繼線相連，那么只要在中心交換機上設置一下管理域，網(wǎng)絡上所有的交換機都加入該域，這樣管理域所有的交換機就能夠了解彼此地的VLAN列表。配置示例如下：

Core-XS-7609# vlan database

Core-XS-7609(vlan)# vtp domain m_vlan

Core-XS-7609(vlan)# vtp server

5516-1# vlan database

5516-1(vlan)# vtp domain m_vlan

5516-1(vlan)# vtp client

這里設置交換機為Server模式是指允許在本交換機上創(chuàng)建、修改、刪除VLAN以及其他一些對整個VTP域的配置參數(shù)，同步本VTP域中其他交換機傳遞來的最新的VLAN；Client模式是指本交換機不能創(chuàng)建、刪除、修改VLAN配置，也不能存儲VLAN配置，但可以同步由本VTP域中其他交換機傳遞來的VLAN信息。

2） 配置中繼

為了保證數(shù)字圖書館管理域能夠覆蓋所有的分支交換機，必須配置中繼trunk，中繼是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機直接相連的端口配置封裝，即可跨越交換機進行整個數(shù)字圖書館網(wǎng)絡的VLAN劃分及配置。

3） 創(chuàng)建VLAN

一旦建立了數(shù)字圖書館管理域，就可以創(chuàng)建VLAN了。如：Core-XS-7609(Vlan)# Vlan 33 name lib，這里創(chuàng)建了一個編號為33名字的lib的VLAN，這個VLAN是分給圖書館的。這里的VLAN是在中心交換機上建立的，其實，只要在數(shù)字圖書館管理域中的任何一個VTP屬性為Server的交換機上建立VLAN，它就會通過VTP通告整個管理域中的所有的交換機。但是如果要將交換機的端口劃入某個VLAN，就必須在該端口所屬的交換機上進行設置。

4） 將交換機端劃入VLAN

Core-XS-7609(config)# interface GigabitEthernet 2/2

Core-XS-7609(config-if)# switchport access vlan 33

VLAN的劃分可以隔離廣播風暴，同時可以采用訪問控制列表來對每個VLAN進行控制，這在很大程度上保證了數(shù)字圖書館網(wǎng)的安全。

3.2 防火墻的部署

數(shù)字圖書館與外網(wǎng)之間建立一道牢固的安全屏障。內(nèi)網(wǎng)口連接數(shù)字圖書館內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與Internet連接。這樣，通過Internet進來的外網(wǎng)用戶只能訪問數(shù)字圖書館對外公開的一些服務，既保護數(shù)字圖書館內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止數(shù)字圖書館內(nèi)部對外部不良資源的使用。

當一個源IP地址在規(guī)定的時間間隔內(nèi)將含有TCP-SYN片段的IP封包發(fā)送給位于數(shù)字圖書館內(nèi)網(wǎng)相同目標IP的10個不同端口時，即進行了一次端口掃描。目的是掃描可用的服務，是否會有一個端口響應，從而識別目標的服務。要實現(xiàn)封鎖在特定的安全區(qū)內(nèi)始發(fā)的端口掃描，防火墻配置如下所述：

WebUI

Screening > Screen (Zone:選擇區(qū)段名稱)；輸入以下內(nèi)容，Apply

PortScan Protection: (選擇)

Threshold :(輸入觸發(fā)端口掃描保護的值2)

CLI

set zone zone screen port – scan threshold number

set zone zone screen port - scan

每個攻擊者的攻擊都會有端口掃描這個步驟，防火墻的基本功能一定要有端口掃描功能。

3.3 入侵檢測系統(tǒng)的部署

入侵檢測系統(tǒng)和防火墻共同構(gòu)建數(shù)字圖書館網(wǎng)絡安全防護體系有多種組合方法，用戶可以根據(jù)需要進行選擇。入侵檢測機制能夠?qū)?shù)字圖書館網(wǎng)絡系統(tǒng)各主要運營環(huán)節(jié)進行實時入侵檢測，以便能夠及時發(fā)現(xiàn)或識別攻擊者的企圖或系統(tǒng)資源被誤用、濫用的行為。當實時入侵檢測系統(tǒng)發(fā)現(xiàn)異常時，網(wǎng)絡系統(tǒng)及時做出適當?shù)捻憫ㄖ獢?shù)字圖書館網(wǎng)絡管理員、通知被害主機。當有入侵行為時，主動通知防火墻阻斷攻擊源[4]。如圖1所示。

入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身，能實時捕獲數(shù)字圖書館內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)的事件，作為管理員事后分析的依據(jù)。如果情況嚴重，入侵檢測系統(tǒng)可以與防火墻聯(lián)動，自動配置防火墻策略，配合防火墻系統(tǒng)使用，可以全面保障數(shù)字圖書館的網(wǎng)絡安全，組成完整的數(shù)字圖書館網(wǎng)絡安全解決方案。

4 小結(jié)

總之，數(shù)字圖書館建設是以統(tǒng)一的標準和規(guī)范為基礎，以數(shù)字化的各種信息為底層，以分布式海量資源庫群為支撐，以智能檢索技術(shù)為手段，為用戶提供豐富多彩的多媒體信息。但是，數(shù)字圖書館建立帶來便利的同時，也帶來了新的網(wǎng)絡安全問題，并且這個問題現(xiàn)在顯得越來越緊迫。并且隨著各種軟件安全漏洞的不斷增加，黑客技術(shù)不斷提高，更加迫切要求數(shù)字圖書館網(wǎng)絡應用系統(tǒng)具有更高的安全防范體系。

參考文獻：

[1] 張馨.數(shù)字圖書館建設中的網(wǎng)絡安全[J].現(xiàn)代電子技術(shù)，2006，(02):14-16.

[2] 楊發(fā)毅，李明，劉錦秀. 網(wǎng)絡環(huán)境下數(shù)字圖書館的網(wǎng)絡安全及安全體系的構(gòu)建[J].中華醫(yī)學圖書情報雜志，2005，(05):34-36.

[3] 趙聰銳.數(shù)字圖書館的網(wǎng)絡安全與防范對策[J].科技情報開發(fā)與經(jīng)濟，2007，(13):66-68.

[4] 宛哲芳.圖書館網(wǎng)絡安全淺析[J].科技資訊，2008，(27):31-35.