图书馆网络安全策略

　　【摘 要】针对数字图书馆建设中所而临的网络安个问题，就图书馆网络与校园网相互隔离、基于虚拟局域网技术(VLAN)、UTM防火墙技术及其特点，提出构建一个的图书馆网络安全架构的设想。

　　【关键词】图书馆;网络安全;UTM;VLAN

　　随着社会发展的日益信息化，作为文献信息保障中心的高校图书馆，其运营的自动化程度和服务模式发生了深刻的变化，加之，现代图书馆广泛采用计算机技术及网络技术，网络信息资源被大量开发和利用， 图书馆从传统的图书借阅职能扩展到向读者提供广泛的信息服务。目前，我国大部分高校图书馆基本上实现了网络化、自动化和数字化。用户通过图书馆网络链接方便快捷地检索国内外信息资源。但是，人们在享受网络带来的便利的同时， 由于网络本身所具有的开放性、共享性，使网络的脆弱性、易受攻击性等一系列网络安全问题相继出现。 一旦图书馆网络出现故障，轻则信息服务得不到保障、数据丢失，重则整个图书馆处于瘫痪境地。因此，在信息化时代，图书馆的网络安全显得尤为重要，保证图书馆网络安全，使其高效运行是高校图书馆现代化建设中迫在眉捷的一项重要任务。

　　1.影响高校图书馆网络安全的主要因素

　　网络安全涉及的因素既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。 技术方面主要侧重于防范外部非法用户的攻击，管理方面侧重于内部人为因素的管理。

　　1.1 黑客非法攻击 黑客原意是指造诣颇深的计算机专家， 是计算机“高手”。随着计算机网络的快速发展，黑客的队伍也不断壮大，人们对黑客的理解也带有贬义，现在则多指那些偷阅、篡改或偷窃他人数据资料，在电脑网络上进行犯罪活动的人。 黑客攻击主要是对逻辑实体或物理实体发起攻击，主要是利用安全漏洞、软件本身设计上的漏洞、设置上的疏忽和操作上的失误等方面进行攻击。 如图书馆的操作系统、网站的数据库管理软件等都可以成为黑客攻击的对象。 黑客的花样很多，攻击者可以在现场，也可以在其它任何地方。攻击者的企图有多种，从造成间歇停机到造成整个系统瘫痪、数据错误、大批盗窃信息、盗用服务、进行非法监视和收集情报、引入假电文和提取数据用于进行欺诈，从而达到破坏目的。 而且，现在黑客工具种类繁多，容易获取，容易使用，不用懂太多的计算机知识，都可以发动攻击。

　　1.2 计算机病毒入侵 通过网络传播的病毒无论在传播、破坏性、传播范围和清除的工作量等方面都是传统的单机病毒无法比拟的，特别是高校接入 Internet 后， 为病毒进入校园网大开方便之门，“木马代理”、“下载助手”、“爱之门”、“灰鸽子”等病毒乘虚而。如果计算机病毒的传播蔓延， 则会对图书馆网络本身和图书馆信息造成毁灭性的破坏。 一旦病毒发作，它将影响服务器性能、破坏数据甚至删除文件，甚至还能损坏硬件。据有关报道，全世界平均每隔 20 分钟就会产生一个新的计算机病毒。 近年来，CIH 病毒、红色代码 II 病毒、远程探险者病毒、尼姆达病毒、DOS 病毒、冲击波病毒等对图书馆造成极大的危害，许多图书馆的网络系统受病毒感染，服务器瘫痪，网络信息服务无法开展，甚至有的图书馆数据全部丢失，损失巨大。

　　1.3 计算机系统管理复杂 图书馆计算机管理系统复杂多样，有服务器、工作用机、电子阅览室用机和免费检索机。 如服务器每天 24小时对外服务，配置不当，极易成为病毒和黑客的试验基地;工作用机因工作人员的职能不同，机器配置、系统安装也不尽相同;电子阅览室是学生学习、娱乐的用机。 这种情况要求所有的终端系统实施统一的网络安全策略(比如安装防病毒软件、设置可靠的口令)是非常困难的。 计算机入网后感染病毒已司空见惯，反过来这些病毒又影响了局域网的运行。

　　2.高校图书馆网络安全防护策略

　　图书馆网络安全问题是网络的外部威胁和攻击作用于网络脆弱环节的结果，同时也是图书馆行政、技术、教育培训等各项安全管理以及有关政策、法规保障等不健全而造成的恶果。因此，必须针对影响图书馆网络安全的各种因素， 构建完善的图书馆网络安全防范体系，确保网络系统正常运行。

　　2.1 图书馆网络与校园网相互隔离 通常图书馆网络只作为学校校园网的一部分，没有做安全方面防护的图书馆交换机与校园网直接连接在一起，图书馆内部的 IP 地址也与校园网的一致，这样导致校园网用户很容易直接对图书馆自动化系统造成攻击，如图 1 就是防护比较差的图书馆网络模式。

　　要想尽可能小的遭受攻击，我们需要对图书馆的网络进行一些隔离措施，和校园网相互隔离开来，运用代理服务器和防火墙技术来实现，如图 2 的模式。通过上面的网络模式，图书馆网络和校园实现了分离，其它校园网只能通过代理服务器访问图书馆的网络资源，而不能对数据服务器进行直接的攻击，可以很大程度的保护数据的安全性。

　　2.2 基于虚拟局域网技术(VLAN)

　　2.2.1 VLAN 技术概述

　　虚拟局域网(VLAN)逻辑上把网络资源和网络用户按照一定的原则划分，把一个物理上的网络划分为多个小的逻辑网络。 这些多个小的逻辑网络形成各自的广播域，也就是虚拟局域网 VLAN。

　　VLAN 的优点是隔离广播 ，减少移动和改变的代价 ，增强网络安全性的健壮性，提高网络安全性能等。 VLAN 的划分方法有基于端口的、 基于 MAC 地址的、 基于协议的和基于子网的划分方法， 从各种VLAN 划分方法的优缺点综合考虑，基于端口 VLAN 划分上最普遍使用的方法之一，也是所有交换机都支持的一种 VLAN 划分方法。VLAN划分的基本原则是尽量将通讯活动比较频繁的节点放在同一 VLAN上，将一些具有特殊业务要求、对数据的保密和安全性要求较高的部分划分成一个 VLAN。

　　2.2.2 图书馆网络的 VLAN 划分策略

　　为保证图书馆数据的安全，必须对图书馆网络合理地划分成各个 VLAN。 根据 VLAN 的划分原则，一般将图书馆的网络划分为：服务器 VLAN、网管 VLAN、电子阅览室 VLAN、图书管理集成系统 VLAN、图书检索系统 VLAN、文献信息中心 VLAN 等。 其中图书集成管理系统包括：采编、流通、期刊等业务用机。 将相同的工作站和服务器放在同一 VLAN 上， 可以减少VLAN 间的通讯 ， 提高网络性能 。 有些服务器可以同时属于多个VLAN，如全文电子图书检索系统的服务器既属于服务器 VLAN，也属于电子阅览室 VLAN，数据服务器既属于服务器 VLAN，也属于图书集成系统 VLAN。图书馆网络各个 VLAN 间的通讯利用三层交换机的访问控制策略加以限制，以确保网络的安全。 主要制定各 VLAN 对服务器 VLAN的访问控制策略，其它 VLAN 间一般不能直接互访。 如图书馆网络的WWW 服务器允许校园网内部所有主机其端口(80)的访问，电子阅览室 VLAN 中的主机与图书集成系统 VLAN 中的主机一般不能互访等。

　　2.3 UTM 防火墙技术 UTM 是统一威胁管理的缩写，这是一种被广泛看好的信息安全解决方案。目前被提及较多的定义是由 IDC 提出的:由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能， 它将多种安全特性集成于一个硬设备之中,构成一个标准的统一管理平台。

　　从概念的定义上，UTM 既提出了具体产品的形态，又涵盖了更加深远的逻辑范畴。 从定义的前半部分来看，很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合 UTM 的概念;而从后半部分来看，UTM 的概念还体现了经过多年发展之后，信息安全行业对安全管理的深刻理解以及对安全产品性、可用性以及联动能力的精研。

　　从技术层次来讲，UTM 结合了很多值得关注的先进技术。 首先值得一提的是 CCP，即完全性安全保护。 这种技术对 OSI 模型中描述的所有层次的内容进行处理，其有效性将大大超过目前通用的状态检测技术以及深度包检测技术。为了实现 CCP 的强大能力，UTM 通常需要应用 ASIC 技术来获得性能保证。 同时在软件组件方面，UTM 使用专用的经过定制的操作系统。 精简后的系统在安全功能上进行了特别处理，形成了适用于 UTM的软件平台。 另外基于防火墙等产品的经验，UTM 在规则算法、模式识别语言等方面也进行了特别的设计， 这为 UTM 的平台化目标提供了最有力的基石。UTM 产品为网络安全用户提供了一种更加灵活也更易于管理的选择。 用户可以在一个更加统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备，UTM 在一个通用的平台上提供多种安全能。一个典型的 UTM 产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的 UTM 设备，也可以根据自己的需要选择某几个方面的功能。 更加可贵的是，用户可以随时在这个平台上增加或调整安全功能，而任何时候这些安全功能都可以很好的协同。

　　现在 UTM 在安全产品市场上一路高歌猛进， 其成长速度已经达到了两位数。 除了新增的市场份额之外，受到 UTM 侵蚀的安全产品主要是防火墙设备和实现 VPN 功能的产品。 按照目前的情况来估计，UTM 产品的发展在未来的几年中仍会保持较高的增长速度 ， 并有望成为主流的信息安全产品。现在有很多针对中小企业信息安全的探讨，其中一个焦点问题就在于市场上缺乏中小企业情况的安全解决方案。 UTM 产品在中小企业市场的应用，至少可以在两个方面缓解这一问题。 中小企业的资金流比较薄弱，这使得企业在信息安全方面的投入总显得底气不足。而整合式的 UTM 产品相对于单独购置各种功能， 可以有效的降低成本投入，这无疑为中小企业实施信息安全提供了一个非常具有吸引力的选择。 而由于 UTM 的管理比较统一，能够大大降低在技术管理方面的要求，弥补中小企业在技术力量上的不足。 这使得中小企业可以最大限度的降低对安全供应商的技术服务，有利于中小企业用户建立更加合理和真实的解决方案。

　　UTM 防火墙技术可以有效地防止内外网络攻击 ， 校园网与图书馆网络隔离结合 VLAN 技术改变了图书馆网络模式，阻断了网络攻击的途径，为网络安全提供了保障。通过建立防病毒体系，使病毒无藏身之处， 建立健全图书馆安全制度杜绝了人为因素对网络安全的破坏。然而，网络正在日新月异地发展，绝对的安全并不存在，网络安全是一个包括技术、管理、人员等多个环节整体性很强的体系，不能孤立或静止地看待和解决问题，网络安全性的提高依赖于不断的技术进步和应用，依赖于管理的逐步完善和人员素质的全面提升[4]。 网络安全是一个连续的过程，随着新技术、新漏洞的出现和服务应用的变化。安全状况也在不断变化着。 网络上的攻防是矛盾的统一体，攻防在不断的转换之中。 应转变消极被动的防范为积极主动的防治结合，努力拓宽研究应用的深度和广度，对症下药、标本兼治，应少些低层次表象的分析总结，多些具体的技术手段和管理方法的探索应用，更好地推动图书馆网络事业健康发展。

　　【参考文献】

　　[1]五福生，图书馆网络中的入侵检测系统，现代情报，2007(7).

　　[2]谢志强，UTM 在企业内网中的应用，中国金融电脑，2007(1).

　　[3]王达，网管员必读----网络安全.北京:电子上业出版社，2006.

　　[4]朱民风，基于信息安全理念下的网络管理.网络安全技术与应用，2007(2).

　　作者简介：张小兵(1970—)，男，本科，毕业于郑州大学信息管理系，馆员。