基于数字图书馆的网络安全管理

第２４卷第３期　江苏教育学院学报（自然科学版）　ＶｏＩ．２４　Ｎｏ．３　２００７年９月　Ｊｏｕｒｎａｌ　ｏｆ　Ｊｉａｎｇｓｕ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｅｄｕｃａｔｉｏｎ（Ｎａｔｕｒａｌ　Ｓｃｉｅｎｃｅｓ）　Ｓｅｐ．２００７　基于数字图书馆的网络安全管理　胡细平　（江苏教育学院图书馆，江苏南京２１００１３）　摘　要　本文简述了数字图书馆网络安全的含义，通过对数字图书馆网络系统安全现状的分析，针对操作系统的安全　漏洞，防火墙技术，ＶＬＡＮ技术，实时检测入侵检测系统（ＩＤＳ），病毒预警和防护体系等方面提出了网络安全对策．　关键词　数字图书馆；网络安全；防火墙；Ｖ　Ｎ；ＩＤＳ　随着图书馆业务全面展开，图书馆及其用户越来越离不开网络，而广泛应用的ＴＣＰ／ＩＰ是在可信环境下为网络专门设计　的…，数字图书馆网络安全是一个连续的过程，随着新技术、新漏洞的出现和服务应用的变化，安全状况也在不断变化着．网络　正在日新月异地发展，绝对的安全并不存在，数字图书馆网络安全是一个整体性很强的体系，包括技术、管理、人员等多个环节，　网络安全性的提高依赖于不断的技术进步和应用、依赖于管理体制的逐步完善和人员素质的全面提升．　１　数字图书馆网络安全的含义　数字图书馆网络安全，是指网络上的信息安全，即为数据处理系统的建立以及所采用的技术和管理所做的安全保护，以保　证计算机硬件、软件和数据不因偶然的和恶意的原因遭到破坏、更改和泄露，网络系统可以正常可靠运行、网络服务持续不断，　这包括了实体安全、软件安全、信息安全和运行安全等几方面．　数字图书馆网络安全与计算机网络安全密切相关．在计算机网络安全保密性方面，国际标准化组织在提出ＯＳＩ参考模型之　后，又制定了一个ＯＳＩ安全体系结构（ＯＳＩ　Ｓｅｃｕｒｉｔｙ　Ａｒｃｈｉｔｅｃｔｕｒｅ），从而使计算机网络安全保密技术研究更加具有全局性、协调性　和有效性．ＯＳＩ安全体系结构成为世界各国计算机网络安全的共同依据和纲领．ＯＳＩ共有七层，依低至高顺序分别是物理层、数　据链路层、网络层、运输层、会话层、表示层和应用层，而对数字图书馆来说，它是一个整体的系统．从应用的角度来看，是人到信　息资源的过程，即数字图书馆用户查找到信息数据的过程，它们分别对应于数字图书馆体系结构的应用层和存储层．　由于计算机网络的共享性、开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨攻击：共享入侵、拒绝服务攻击　（Ｄｅｎｉａｌ　ｏｆ　Ｓｅｒｖｉｃｅ　Ａｔｔａｃｋ）、木马入侵（特洛伊木马（Ｔｒｏｊａｔｌ　Ｈｏｒｓｅ））、密码破解、ＯｌＣＱ安全、恶意代码及活板门（Ｔｒａｐ　ｏｏｏ￣ｓ）、计算　机病毒、网络协议的脆弱性等．这都会给网络系统带来不小的损失，特别是对于数字图书馆，一旦遭到攻击、破坏，那种损失将是　不可估量的，甚至会使整个数字图书馆系统瘫痪．　２操作系统及应用软件的安全管理　操作系统是数字图书馆网络系统安全的基础，操作系统作为数字图书馆网络系统的基础软件是用来管理数字图书馆网络　资源的，它直接利用计算机硬件并为用户提供使用和编程接口．非法访问服务器的手段有多种，所以要保护服务器不受非法访　问或蓄意破坏，减少被非法访问和蓄意破坏的可能性，首先应该加固服务器的操作系统安全．＿２　各种应用软件均建立在操作系　统提供的系统软件平台上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，就必须依赖于操作系统提供的　系统软件基础上，脱离操作系统的应用软件，其高安全性就毫无根基可言．一些数字图书馆未采限任何安全措施，存在主服务器　仅仅靠口令来维持安全、对操作系统和应用软件的漏洞也未作处理、系统管理员口令长期不改等许多安全隐患．　同样，没有操　作系统安全的支持，网络安全和数据库安全的根基也不稳固．从终端用户的程序到服务器应用服务、以及网络安全的很多技术，　都是运行在操作系统上的，因此，保证操作系统的安全是整个安全系统的根本．除了不断增加安全补丁之外，还需要建立一套对　系统的监控系统，并建立和实施有效的用户口令和访问控制等制度．为了数字图书馆网络系统的安全，须加强操作系统的安全　保护．　以Ｗｉｎｄｏｗｓ　２００３为例，Ｗｉｎｄｏｗｓ　２００３系统的预防机制有：通过严格限制Ａｄｍｉｎｉｓｔｒａｔｏｒ组和备份组账户的成员资格和加强对　．．．——４５．．．——　这些账户的跟踪的方法，来防止一些用户（如Ａｄｍｉｎｉｓｔｒａｔｏｒ账户、Ａｄｍｉｎｉｓｔｒａｔｏｒ组中的所有成员、备份操作员、服务器操作员，以及　所有具有备份特权的人员）去复制安全账户管理数据库；通过在防火墙上，截止从端Ｅｌ　１３５到１４２的所有ＴＣＰ和ＵＤＰ协议连接，　以防止ＳＡＭ数据库和其他Ｗｉｎｄｏｗｓ　２００３服务器文件可能被Ｗｉｎｄｏｗｓ　２００３的ＳＭＢ（Ｓｅｒｖｅｒ　Ｍｅｓｓａｇｅ　Ｂｌｏｃｋ）所渎取；合理配置ＦｒＰ，　确保服务器必须验证所有ｆＴｒＰ申请，以防止非法用户通过Ｆ＿ｒＰ进行无授权的文件访问．　为了图书馆内的计算机网络的安全，应控制有户对馆内资源的使用．只有经过授权的用户才能登录网络，用户登录网络必　须经过身份和密码的验证，在很大程度上阻止了未经授权的非法用户系统的破坏．为读者设置一个公共查询账号，严格控制公　共账号的操作权限；为馆内工作人员设置相应的账号和密码，由于工作人员的分工、工作性质的多样性，按照工作性质将工作人　员分为不同的组，每个组拥有与其职责相应的账号和密码；系统管理员是系统的超级用户，使用超级用户账号及Ｅｌ令进入系统，　只有系统管理员才有权增加、删除和修改用户账号，所以系统管理员的账号和密码的安全，是保护网络系统和网络服务器安全　的根本保证．因此，账号所对应的密码应该周期性更新，以保证系统的安全．　３防火墙的应用　读者和图书馆工作人员可以方便地通过Ｉｎｔｅｍｅｔ与外界交流信息，提高了图书馆运行效率，同时，随着外界信息的流入增加　了许多不可预知的危险．为了控制非法的信息流入，我们必须在系统网络和Ｉｎｔｅｒｎｅｔ之间安装防火墙软件，提供信息检查、过滤　机制，使系统免受黑客攻击．　防火墙是设置在内部网络与外部网络之间的一道屏障，既可以是一组硬件，也可以是一组软件，还可以是软、硬件的结合．　它用于控制（允许、拒绝、监测）出入两个网络之间的信息流，且本身有较强的抗攻击能力．在逻辑上，防火墙是一个分离器，一个　控制器，也是一个分析器，有效地监控了两个网络之间的任何活动，保证了内部网络的安全．　３．１对网络存取和访问进行监控审计　如果所有制访问都经过防火墙，那么，防火墙就能记录下这些访问并做出Ｅｔ志记录，同时也能提供网络使用情况的统计数　据．当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息．另外，收集一个网络的使用和　误用情况也是非常重要的．首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充　足．而网络使用统计对网络需要分析和威胁分析等而言也是非常重要的．　３．２防止内部信息的外泄　通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络　造成的影响．再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外　部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞．使用防火墙就可以隐蔽那些透漏内部细节如Ｆｉｎｇｅｒ，ＤＮＳ等服　务．Ｆｉｎｇｅｒ显示了主机的所有用户的注册名、真名，最后登录时间和使用ｓｈｅｌｌ类型等．但是Ｆｉｎｇｅｒ显示的信息非常容易被攻击者　所获悉．攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，该系统是否在被攻击时引起注意等等．　防火墙可以同样阻塞有关内部网络中的ＤＮＳ信息，这样一台主机的域名和ＩＰ地址就不会被外界所了解．　网络环境下，保证各种信息资源正常工作是图书馆提供网上　服务的基础，若遭破坏，将造成重大损失．只有在分析图书馆网络　的不安全因素，并结合防火墙的特点，对防火墙进行合理的配置，　才能保证各种信息资源安全．　３．３设置安全服务隔离区（ＤＭＺ）　把服务器机群和馆内系统管理机群单独划分出来，设置为安　全服务隔离区，它既是内部网络的一部分，又是一个独立的局域，　单独划分出来是为了更好地保护服务器上数据和馆内系统管理　的正常运行．　３．４配置访问策略　访问策略是防火墙的核心安全策略，所以要经过详尽的信息　防火墙逻辑位置示意图　统计才可以进行设置．在过程中我们需要了解本馆对内对外的应用以及所对应的源地址、目的地址、ＴＣＰ或ＵＤＰ的端口，并根据　不同应用的执行频繁程度对策略在规则表中的位置进行排序，然后才能实施配置．原因是防火墙进行规则查找时是顺序执行　的，如果将常用的规则放在首位就可以提高防火墙的工作效率．　３．５　日志监控　日志监控是十分有效的安全管理手段．往往许多管理员认为只要可以做日志的信息都去采集．如，所有的告警或所有与策　．．．——４６．．．——　略匹配或不匹配的流量等等．这样的做法看似日志信息十分完善，但每天进出防火墙的数据有上百万甚至更多，所以，只有采集　到最关键的日志才是真正有用的日志．一般而言，系统的警告信息是有必要记录的，对于流量的信息进行选择，把影响网络安全　有关的流量信息保存下来．防火墙的具体配置还有许多，不同品牌的防火墙和不同的网络系统要求，有不同的配置方法和结果，　要根据本馆网络的具体要求进行合理的配置．　４　ＶＩＡＮ的应用　ＶＬＡＮ（Ｖｉｒｔｕａｌ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建成的可跨越不同　网段、不同网络的端到端的逻辑网络．一个ＶＬＡＮ组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于　不同地理位置的网络用户加入到一个逻辑子网中．　ＶＬＡＮ相当于ＯＳＩ参考模型的第二层的广播域，能够将广播风暴控制在一个ＶＬＡＮ内部，划分ＶＬＡＮ后，由于广播域的缩　小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高．不同的ＶＬＡＮ之间的数据传输是通过第三层（网　络层）的路由来实现的，因此使用ＶＬＡＮ技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络．网络管理员通过控　制交换机的每一个端口来控制网络用户对网络资源的访问，同时ＶＬＡＮ和第三层第四层的交换结合使用能够为网络提供较好　的安全措施．一个ＶＬＡＮ就是一个逻辑广播域，通过对ＶＬＡＮ的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生．　通过路由访问列表和ＭＡＣ地址分配等ＶＬＡＮ划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不　同ＶＬＡＮ，从而提高交换式网络的整体性能和安全性．ＶＬＡＮ具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特　点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率．　对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要　追加网络设备，增大网络管理的工作量．而对于采用ＶＬＡＮ技术的网络来说，一个ＶＬＡＮ可以根据部门职能、对象组或者将不同　地理位置的网络用户划分为一个逻辑网段．在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动．利　用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用．　５　ＩＤＳ的应用　ＩＤＳ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）又称入侵检测系统，是对入侵行为的检测，它通过收集和分析计算机网络或计算机系统中若　干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象．进行入侵检测的软件与硬件的组合便是　／ＤＳ．基于目前局域网的工作方式，］ＤＳ可以将用户对位于与ＩＤＳ同一交换￣／Ｈｎｂ的服务器的访问、操作全部记录下来以供分析　使用，跟我们常用的Ｗｉｎｄｏｗｓ操作系统的事件查看器类似．　入侵监测系统处于防火墙之后对网络活动进行实时检测．许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统　是防火墙的延续，它们可以和防火墙及路由器配合工作．入侵检测技术ＩＤＳ是一种主动保护自己免受攻击的一种网络安全技　术．作为防火墙的合理补充，入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测．　它可以防止或减轻上述的网络威胁．ＩＤＳ扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到　网线上的流量，提供实时报警．入侵检测系统需要更多的智慧，它必须可以将得到的数据进行分析，并得出有用的结果．一个合　格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行．　６病毒防护系统　计算机病毒防治最有效的方法是以预防为主．防止病毒入侵要比病毒入侵后再去检测和消除它更重要，所以病毒的防治重　点应该放在预防上．消灭传染源、堵塞传染途径、保护易感染部分是防治病毒入侵的有效方法．虽然计算机病毒成千上万种，但　它们有一定的共性，传播途径基本相同，只要把好关Ｅｌ，就可以防患于未然．建立整体病毒预警和防护体系，对主要的服务器系　统、邮件系统能实时防护和杀毒，能对图书馆所有的服务器及客户机提供在线杀毒和升级．必须对整个网络实行全方位、多层次　的病毒防护，也就是说应该在网络的每一个层次都要进行有效的病毒防护．　在主要服务器上具备２４小时自动防护功能，能够在各条可能感染病毒的途径上防止病毒，尤其能够扫描预防电子邮件附　带的病毒和未知宏病毒．具备最先进的检测清除病毒的功能，当感染传播性很强的病毒时，要能够快速从整个网络上把这一病　毒清除，不让病毒残留在某台机器上．对已感染的病毒文件，能够通过先进的修复工具保证文件免受损害．对于感染无法处理的　未知病毒，必须提供一种方法，不让其在网络上传播，同时能够快速获得解决方案．　从以上分析，网络防病毒在数字化网络建设中尤为重要，因此选择优秀的网络防毒软件也是极为重要的．安装使用防病毒　系统也存在的问题．杀毒软件不是万能的，它是针对病毒的出现而出现的，相对有滞后性．网络正在日新月异地发展，绝对的安　・－——４７－－－——　全并不存在，数字图书馆网络安全是一个整体性很强的体系，包括技术、管理、人员等多个环节，我们不能孤立或静止地看待和　解决问题，网络安全性的提高依赖于不断的技术进步和应用、依赖于管理的逐步完善和人员素质的全面提升．网络安全既有层　次和结构上的划分，也有目标上的差别，这种多样性、复杂性、整体性，决定了一个完整的网络安全体系应该是一个分布式的由　多种安全因子构成的复杂系统，我们应根据具体的实际情况来选择适合自己的技术和方法．　参考文献　１张学宏．高校图书馆的信息安全问题研究［Ｊ］．图书情报工作，２００６（Ｓ１）：１７８～１８１．　２曾星媛．高校图书馆数字信息资源系统的安全及解决策略［Ｊ］．现代情报，２００７（２）：９０～９１．　３方豪彪．基于高校宽带数字图书馆的安全管理［Ｊ］．浙江师范大学学报（自然科学版），２００５（４）：４６９—４７１　Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ　Ｍａｎａｇｅｍｅｎｔ　ｏｆ　Ｄｉｇｉｔａｌ　Ｌｉｂｒａｒｙ　ＨＵ　Ｘｉｐｉｎｇ　（Ｌｉｂｒａｒｙ，Ｊｉａｎｇｓｕ　Ｉｎｓｔｉｔｕｔｅ　ｏｆＥｄｕｃａｔｉｏｎ，Ｎａ　ｎｇ，Ｊｉａｎｇｓｕ，２１００１３，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ　Ｔｈｅ　ｐａｐｅｒ　ｄｅｓｃｒｉｂｅｓ　ｗｈａｔ　ｉｓ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｏｆ　ｔｈｅ　ｄｉｉｇｔａｌ　ｌｉｂｒａｒｙ　ａｎｄ　ｂａｓｅｄ　ｏｎ　ｔｈｅ　ａｎａｌｙｓｉｓ　ｏｆ　ｔｈｅ　ｆａｃｔｓ．Ｉｔ　ｐｒｏｖｅｓ　ｗｈｉｃｈ　ｉｎｆｌｕｅｎｃｅｓ　ｔｈｅ　ｓｄｅｔｙ　０ｆ　ｔｈｅ　ｎｗｔｗｏｒｋ　ｓｙｓｔｅｍｓ　ｏｆ　ｔｈｅ　ｄｉｇｉｔａｌ　ｌｉｂｒａｒｙ　ａｌｅ　ｔｈｅ　ｏｐｅｒａｔｉｏｎ　ｓｙｓｔｅｍ．Ａｃｃｏｒｄｉｎｇ　ｔｏ　ｔｈｅ　ｓａｆｅｔｙ　ｌｅａｋ　ｏｆ　ｔｈｅ　ｏｐｅｒａｔｉｏｎ　ｓｙｓｔｅｍ。ｆｉｒｅｗａｌｌ　ｔｅｃｈｎｉｑｕｅ，ＶＬＡＮ　ｔｅｃｈ・　ｎｉｑｕｅ，ＩＤＳ　ｔｈｃｈｎｉｑｕｅ　ａｎｄ　ｅａｔａｂｌｉｓｈ　ｔｈｅ　ｗｈｏｌｅ　ｖｉｒｕｓ　ｗａｒｎｉｎｇ　ａｎｄ　ｔｈｅ　ｄｅｆｅｎｄａｂｌｅ　ｓｙｓｔｅｍ．　Ｋｅｙ　ｗｏｒｄｓ　ｄｉｉｇｔｌａ　ｌｉｂｒａｒｙ，ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ，ｆｉｒｅｗａｌｌ，ＶＬＡＮ，ＩＤＳ　（责任编辑印亚静）　ｉ　４８．－－——