基于木桶理論的圖書館網(wǎng)絡(luò)安全問題及其解決方案

李猷

摘 要：以學(xué)校圖書館網(wǎng)絡(luò)安全的實(shí)際問題作為出發(fā)點(diǎn)，結(jié)合傳統(tǒng)木桶理論及新木桶理論討論，對圖書館計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問題進(jìn)行歸納和列舉，針對現(xiàn)有的安全防范不足提出了日常硬件設(shè)備運(yùn)維、賬戶權(quán)限設(shè)置、網(wǎng)絡(luò)平臺(tái)升級、虛擬局域網(wǎng)劃分及流量控制等切實(shí)可行方法，有效規(guī)避了由于硬件設(shè)備老化、賬戶管理不當(dāng)、網(wǎng)絡(luò)管理水平滯后以及病毒攻擊所造成的學(xué)校圖書館網(wǎng)絡(luò)安全隱患和危機(jī)。最后總結(jié)得出校園圖書館網(wǎng)絡(luò)安全管理模型框圖，對校園圖書館的網(wǎng)絡(luò)安全管理具有一定的指導(dǎo)意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全 木桶理論 賬戶管理 VLAN 防病毒

中圖分類號(hào)：G250.76 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2019）01（c）-0212-03

隨著學(xué)校轉(zhuǎn)型升級，大力推進(jìn)校園數(shù)字化、信息化建設(shè)，為了給廣大在校師生提供更方便、更快捷、更穩(wěn)定的數(shù)字化信息體驗(yàn)，學(xué)校圖書館網(wǎng)絡(luò)系統(tǒng)的完善管理迫在眉睫。隨著網(wǎng)絡(luò)信息資源的逐年增長，圖書館訪問人數(shù)的逐年增加，圖書館網(wǎng)絡(luò)系統(tǒng)所面臨的安全風(fēng)險(xiǎn)也逐漸上升。

1 傳統(tǒng)木桶理論和新木桶理論

傳統(tǒng)木桶理論認(rèn)為，要想提高木桶整體效能，不是增加最長的那塊木板的長度，而是要下功夫補(bǔ)齊最短的那塊木板的長度。新的木桶理論則認(rèn)為要想提高木桶的整體效能，尤為需要關(guān)注這個(gè)木桶的桶底是否存在漏洞以及組成桶壁的各個(gè)木板之間是否存在縫隙。在圖書館校園網(wǎng)絡(luò)搭建和安全維護(hù)中，既存在像傳統(tǒng)木桶理論中所提到的長短板現(xiàn)象，諸如計(jì)算機(jī)病毒和黑客攻擊就是網(wǎng)絡(luò)管理平臺(tái)的短板，又存在像服務(wù)器設(shè)備異常及線纜老化這樣的桶底漏洞，還有諸如人為所導(dǎo)致的失誤這樣的桶壁縫隙，因此結(jié)合傳統(tǒng)木桶理論和新木桶理論，作為分析和解決圖書館網(wǎng)絡(luò)安全問題的指導(dǎo)是很有意義的。

2 結(jié)合傳統(tǒng)與新木桶理論分析校園圖書館網(wǎng)絡(luò)安全現(xiàn)狀

2.1 硬件設(shè)備及其組件存在的安全隱患

圖書館網(wǎng)絡(luò)搭建是由計(jì)算機(jī)、路由器、交換機(jī)、服務(wù)器以及線纜等物理設(shè)備構(gòu)成的。組成這些設(shè)備的電子元件或材料，在使用過程中不可避免地存在自然損耗，由于圖書館服務(wù)器，交換機(jī)等網(wǎng)絡(luò)設(shè)備長期處于電上工作狀態(tài)，任何一個(gè)部件出問題都可能影響設(shè)備無法正常工作，任何一條線纜、任何一個(gè)設(shè)備出問題，都可能影響網(wǎng)絡(luò)的無法訪問、數(shù)據(jù)丟失，或者整個(gè)系統(tǒng)的癱瘓。除此而外，在設(shè)備使用過程中由于操作人員使用方法不當(dāng)導(dǎo)致的設(shè)備損耗、人工維護(hù)操作不當(dāng)所引起的瞬時(shí)靜電高壓，或是遭受自然極端氣候的破壞，如高低溫、雷電暴雨等惡劣天氣等，都可能對硬件環(huán)境造成不可忽視的影響。

2.2 賬戶權(quán)限混亂存在的安全隱患

館內(nèi)資源，特別是網(wǎng)絡(luò)資源對所有用戶和員工開放會(huì)帶來不可估量的麻煩，這樣勢必?zé)o法控制每個(gè)用戶的上網(wǎng)行為，同時(shí)也無法保證每個(gè)用戶和工作人員能夠獲得自己相應(yīng)的正常的使用權(quán)利和享用共享資源的美好體驗(yàn)。如果把賬戶身份認(rèn)證看作網(wǎng)絡(luò)安全管理這只桶的桶底，把賬戶權(quán)限管理看作該桶的桶壁，就不難發(fā)現(xiàn)這樣做的實(shí)質(zhì)無異于無視木桶桶底的漏洞，無視木桶板間縫隙可能導(dǎo)致的泄露，不僅不能提高整體網(wǎng)絡(luò)資源利用的效率，而且根據(jù)新木桶理論，如果木桶底部漏洞和木桶板間縫隙夠大，反而可能使整網(wǎng)效率降到最低，甚至使木桶的效能為零。

2.3 網(wǎng)絡(luò)管理平臺(tái)應(yīng)用存在的安全隱患

目前館內(nèi)使用的網(wǎng)絡(luò)平臺(tái)操作系統(tǒng)主要是Windows Server 2003、Windows Server 2008等，由于Windows Server 系統(tǒng)本身存在漏洞，雖然系統(tǒng)不定期地會(huì)進(jìn)行補(bǔ)丁升級、自動(dòng)更新，但往往就是在軟件還未升級之前，便給病毒攻擊和黑客的非法侵入提供了可乘之機(jī)。同時(shí)除了操作系統(tǒng)本身所帶的缺陷而外，由于圖書館管理人員本身水平不高（較少有專業(yè)網(wǎng)絡(luò)管理背景或是專業(yè)網(wǎng)絡(luò)管理員培訓(xùn)經(jīng)歷），不能及時(shí)察覺網(wǎng)絡(luò)安全問題，對出現(xiàn)的網(wǎng)絡(luò)異常現(xiàn)象不能及時(shí)采取恰當(dāng)?shù)奶幚泶胧┗蛏蠄?bào)求助，造成了解決問題時(shí)間的延誤或是事后權(quán)責(zé)不清。

2.4 病毒攻擊導(dǎo)致的資源安全隱患

對于館內(nèi)計(jì)算機(jī)及網(wǎng)絡(luò)，病毒對其安全使用的威脅一直存在。一是由于館內(nèi)用戶多，且用戶用網(wǎng)習(xí)慣參差不齊，一旦局域網(wǎng)的計(jì)算機(jī)感染病毒后，將通過共享資源的渠道快速傳播；二是如果局域網(wǎng)內(nèi)部的用戶通過計(jì)算機(jī)訪問外部網(wǎng)站資源而感染到計(jì)算機(jī)病毒后，在該用戶繼續(xù)使用移動(dòng)存儲(chǔ)設(shè)備或共享文件的過程中會(huì)導(dǎo)致計(jì)算機(jī)間相互感染傳播病毒，繼而會(huì)嚴(yán)重地影響?zhàn)^內(nèi)計(jì)算機(jī)及網(wǎng)絡(luò)功能的使用，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓、數(shù)據(jù)的丟失。結(jié)合新舊木桶理論，為了做好這塊短板和木桶其他木板間的配合，提出了整體網(wǎng)絡(luò)安全設(shè)計(jì)的概念，加強(qiáng)板間配合，做好諸如管理日志的采集、及時(shí)數(shù)據(jù)備份等工作，以期達(dá)到取長補(bǔ)短的效果，從而嚴(yán)控網(wǎng)絡(luò)安全。

3 館內(nèi)網(wǎng)絡(luò)安全隱患解決方案及實(shí)施效果

3.1 日常硬件設(shè)備管理和維護(hù)

對于構(gòu)建館內(nèi)網(wǎng)絡(luò)運(yùn)行的硬件設(shè)備，作為工作人員應(yīng)定期檢查硬件性能及運(yùn)行情況，檢查線纜，做好設(shè)備保潔。確認(rèn)所有電源、信號(hào)、線纜的接頭是否完好，是否接觸良好無松動(dòng)，如有破損的需及時(shí)維修、更換；對于開不了機(jī)，經(jīng)常死機(jī)的設(shè)備要進(jìn)行故障排查與維修；對于告警指示燈亮的設(shè)備要及時(shí)進(jìn)行告警讀取排除事故。作為館內(nèi)設(shè)備使用人員，應(yīng)嚴(yán)格按照《圖書館使用管理規(guī)范條例》使用計(jì)算機(jī)及網(wǎng)絡(luò)共享資源，規(guī)范上網(wǎng)行為，規(guī)范設(shè)備操作流程，嚴(yán)禁人為惡意損毀破壞硬件設(shè)備及電子資源的行為發(fā)生，存儲(chǔ)介質(zhì)一律查殺后才能使用，做到行之有道、用之有效。

3.2 圖書館賬戶管理權(quán)限清晰設(shè)置

明確各級人員的使用權(quán)限及責(zé)任義務(wù)，做到一人一賬戶，不同級別的人員擁有不同的訪問權(quán)限。首先將賬戶分為普通用戶、管理員以及系統(tǒng)管理員這3個(gè)級別的賬戶，各等級類型對應(yīng)的登錄方式和操作權(quán)限如表1所示。

除此而外，制定網(wǎng)絡(luò)訪問的限制策略，關(guān)閉服務(wù)器上不用的端口，通過防火墻禁止或允許某些端口外部鏈接的訪問。通過嚴(yán)格的等級劃分和網(wǎng)絡(luò)訪問權(quán)限設(shè)置，有效實(shí)現(xiàn)了用戶與管理域、不同等級管理域之間的分隔，實(shí)現(xiàn)了權(quán)責(zé)匹配，減少了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

3.3 網(wǎng)絡(luò)系統(tǒng)升級維護(hù)及管理人員技能提升

設(shè)置館內(nèi)網(wǎng)絡(luò)系統(tǒng)升級為自動(dòng)更新，一有新文件提示就立即升級，同時(shí)作為網(wǎng)管還要人工實(shí)時(shí)關(guān)注Windows Server 2003、Windows Server 2008等系統(tǒng)的漏洞報(bào)告，及時(shí)查找升級信息，及時(shí)打補(bǔ)丁，確保系統(tǒng)安全。

同時(shí)應(yīng)結(jié)合現(xiàn)有的網(wǎng)絡(luò)管理技術(shù)，結(jié)合該圖書館的賬戶管理制度以及網(wǎng)絡(luò)安全監(jiān)控防范體系，加強(qiáng)對管理人員的培訓(xùn)，促使其技能提升。

在日常工作中，網(wǎng)絡(luò)管理員應(yīng)一方面通過軟件自動(dòng)更新提示幫助實(shí)現(xiàn)補(bǔ)丁升級，另一方面也應(yīng)自己制定相應(yīng)的掃描策略，爭取在病毒爆發(fā)之前提前進(jìn)行防范，實(shí)現(xiàn)漏洞的手動(dòng)修補(bǔ)。對于管理設(shè)備較多、升級需求較為迫切的機(jī)房，可以采用通過服務(wù)器端向客戶端統(tǒng)一下發(fā)漏洞補(bǔ)丁文件的方法，進(jìn)行快速修復(fù)。

3.4 防病毒攻擊及數(shù)據(jù)備份

由于學(xué)校圖書館電子資源閱覽室、學(xué)生機(jī)房、資料閱覽室（可上網(wǎng)）以及行政辦公共用一樓，因此，在此樓中如何有效布局網(wǎng)絡(luò)、防止病毒攻擊就顯得尤為重要。

（1）交換機(jī)技術(shù)應(yīng)用。

針對校內(nèi)圖書館用樓網(wǎng)絡(luò)分區(qū)較為復(fù)雜，各區(qū)域的功能需求也各不相同的特點(diǎn)，結(jié)合交換機(jī)VLAN配置應(yīng)用策略，為避免不同區(qū)域間網(wǎng)絡(luò)環(huán)境的廣播干擾，提高網(wǎng)絡(luò)的處理能力，于是在實(shí)際操作中對各功能區(qū)域進(jìn)行了虛擬局域網(wǎng)劃分，將辦公區(qū)域與公用網(wǎng)絡(luò)區(qū)域、公共區(qū)域與私有區(qū)域進(jìn)行有效分割。其中包括以下幾個(gè)虛擬局域網(wǎng)分區(qū)：電子資源閱覽室VLAN、學(xué)生機(jī)房VLAN、行政辦公VLAN等，根據(jù)不同區(qū)域需求設(shè)置不同的訪問權(quán)限，實(shí)現(xiàn)了功能區(qū)域的有效隔離。虛擬局域網(wǎng)劃分示意圖如圖1所示。

（2）流量控制技術(shù)應(yīng)用。

為防止用戶在公共機(jī)房或電子資料閱覽室中大量占用網(wǎng)絡(luò)帶寬，進(jìn)行大型網(wǎng)絡(luò)游戲?qū)?、高清視頻下載等娛樂，造成網(wǎng)絡(luò)資源的浪費(fèi)，館內(nèi)網(wǎng)管一方面可采用流量監(jiān)控軟件監(jiān)控端口數(shù)據(jù)流量的變化情況；另一方面可直接遠(yuǎn)程控制交換機(jī)，對交換機(jī)各VLAN端口上的數(shù)據(jù)流量進(jìn)行查看。如果遇到端口異常流量產(chǎn)生，則可以立即控制交換機(jī)關(guān)閉該端口或重啟。引入流控技術(shù)有效保證了絕大部分網(wǎng)絡(luò)活動(dòng)參與人員的上網(wǎng)利益。

（3）防火墻和殺毒軟件的應(yīng)用。

面對網(wǎng)絡(luò)中流行的各式病毒，要做好網(wǎng)絡(luò)安全防范，首先就要進(jìn)行防火墻安裝設(shè)置，它主要用于隔離私人用戶數(shù)據(jù)與公共網(wǎng)絡(luò)。對于有條件的大型圖書館安全管理系統(tǒng)需要購買專用防火墻設(shè)備，對于使用計(jì)算機(jī)網(wǎng)絡(luò)的PC用戶，可以使用Windows操作系統(tǒng)自帶的防火墻軟件，根據(jù)需要設(shè)置所需要的防火墻等級就可以了。除了設(shè)置防火墻而外，鑒于對安全的進(jìn)一步考慮，還應(yīng)安裝殺毒軟件對系統(tǒng)做更全面的保護(hù)。目前校內(nèi)機(jī)都安裝并使用360安全衛(wèi)士這款安全軟件做計(jì)算機(jī)的安全保護(hù)，通過安全軟件定時(shí)查殺病毒，更新系統(tǒng)。

（4）數(shù)據(jù)備份應(yīng)用。

無論作為對硬件損壞時(shí)數(shù)據(jù)保護(hù)的補(bǔ)充策略，還是對系統(tǒng)崩潰時(shí)的數(shù)據(jù)挽回策略，在圖書館系統(tǒng)的安全保護(hù)策略中都應(yīng)該采取一定的數(shù)據(jù)備份策略來減輕由于意外災(zāi)害所帶來的數(shù)據(jù)丟失。特別是對于大型的圖書館而言，做好周全的數(shù)據(jù)備份計(jì)劃是很有必要的。

4 結(jié)語

文章針對圖書館網(wǎng)絡(luò)安全優(yōu)化問題，結(jié)合傳統(tǒng)木桶理論和新型木桶理論，就網(wǎng)絡(luò)設(shè)備硬件維護(hù)、網(wǎng)絡(luò)賬戶分級、網(wǎng)絡(luò)管理平臺(tái)和網(wǎng)絡(luò)管理人員技能提升，病毒防范等方面提出了行之有效的解決方案，實(shí)現(xiàn)了圖書館網(wǎng)絡(luò)安全優(yōu)化，總結(jié)得出了圖書館網(wǎng)絡(luò)安全管理模型框圖，如圖2所示。

綜上所述，按照木桶理論的全新角度，只有既能照顧到網(wǎng)絡(luò)安全管理的短板，又要能夠兼顧協(xié)調(diào)其各板塊之間的長短不一，做實(shí)桶底，結(jié)合真實(shí)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，綜合考慮硬件、軟件、人以及制度等各方面的因素，使整個(gè)系統(tǒng)緊密聯(lián)系，最終才能實(shí)現(xiàn)木桶理論的最優(yōu)化。

參考文獻(xiàn)

[1] 龔儉.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[J].工業(yè)控制計(jì)算機(jī)，2000（4）：52.

[2] 許志坤.網(wǎng)絡(luò)滲透技術(shù)[M].北京：電子工業(yè)出版社，2005.

[3] 王新穎.新木桶理論在大型企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用[J].福建電腦，2007（7）：8，10.

[4] 蔡立軍.網(wǎng)絡(luò)安全技術(shù)[M].北京：清華大學(xué)出版社，2010.

[5] 安氏領(lǐng)信科技發(fā)展有限公司.安氏領(lǐng)信安全管理中心產(chǎn)品說明[Z].

[6] 李月明.公共圖書館信息網(wǎng)絡(luò)安全管理策略[J].圖書館，2006（6）：113-116.

[7] 楊威.圖書館網(wǎng)絡(luò)防病毒體系建設(shè)[J].哈爾濱職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2009（5）：98-99.

[8] 于博.公共圖書館網(wǎng)絡(luò)安全問題及解決對策[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2012，22（14）：49-51.