高校数字图书馆网络安全建设探讨
2009-01-05张四大杨幸然
张四大 杨幸然
摘要:当前,国内绝大多数高校都建有数字图书馆,但安全管理方面存在很大的缺陷。笔者多年从事网络安全研究,在数字图书馆研究领域取得了一定的成果,所提出的构建安全的数字图书馆方案被我国多所高校采用,本文提出了增强高校数字图书馆网络安全的建议。
关键词:数字图书馆;网络安全;防火墙
现在高校图书馆网络作为校园网的重要组成部分,是高校的数据中心、信息中心。高校的数字图书馆一般都设立在图书馆中,通过专用网络与校园网或者互联网互联互通。数字图书馆是图书馆在新的时代的服务拓展,是以计算机多媒体信息存储及检索为主的网络服务。
随着社会的进步,高校师生对图书馆的要求不仅仅局限在纸本图书所提供的文字信息资源,而且更需要诸多的多种媒体信息,如语音、图像、视频等。随着我国全面进入信息社会这一大趋势,这就对图书馆的服务及职能提出了更高、更新的要求。
然而,由于图书馆网络系统特殊性,及维护的人员计算机水平相对于校园网管理人员水平较差,致使其网络极易受到攻击。故此,如何确保图书馆网络的安全,已成为当前网络安全人员亟待解决的问题。
如何才能增强数字图书馆现有网络安全?笔者认为应着重从系统和网络的安全、网页的安全方面考虑。
1 数字图书馆系统及网络的安全
系统和网络是构建数字图书馆的基础,没有系统和网络也就无从谈及数字图书馆。故此,数字图书馆安全首先要谈的是数字图书馆系统及网络的安全。此方面包括设备安全、运行安全和网络安全。设备安全是指数字图书馆系统中的计算机、存储设备、网络设备、通信设备、安全设备等物理保证安全,防止人为和自然的损坏;运行安全是指服务器操作系统及数字图书馆软件运行安全性,防止系统运行软件故障,减少因软件故障导致的系统运行不稳定;网络安全是指服务器之间的协同和信息交换的安全,防止信息泄露,抵御黑客攻击。
1.1 设备物理安全及设备冗余
依据国家相关规定,根据具体安全等级要求,对数字图书馆机房服务器及网络设备进行整改。根据安全需求,对数字图书馆网络布设进行调整。做好网络设备等的防火、防盗、防水、防信息泄漏等物理安全。
数字图书馆系统的运行在一定时间段具有不间断性,并且在部分时间可能有高访问量,故此在构建系统时必须考虑到要留有一定的冗余。增加UPS,防止断电对数据的破坏。
1.2 使用虚拟网技术,划分不同网络安全区域
在数字图书馆网络中,利用虚拟网技术可实现对内部子网的物理隔离。如,通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播区域,实现内部一个网段与另一个网段的隔离。这样,就能防止一个网段的问题在整个网络中传播。
1.3 设置多层防火墙
首先,在图书馆内部网与教育网和校园网之间使用防火墙。这样可以在一定程度上阻止互联网中的黑客攻击,保护图书馆内网的安全。
其次,在图书馆内部不同网络安全域间设置防火墙。在图书馆内网中某些安全要求比较高的区域增设防火墙,对重要的数据进行保护是必需的。如在数据中心与校园网之间用防火墙隔开,图书管理系统与其它网络隔开等等。这样既可保护内部数据不被非法授权访问,又可充分利用网络资源,尽情享受网络带来的便利。
最后,在路由器、图书馆网络中心的服务器与校园网之间设置防火墙。目前越来越多的网络攻击指向路由器,大量的DOS攻击使路由器失去作用。虚假路由为网络安全造成极大的隐患,所以在数字图书馆建设中应加强路由器的保护。路由器的管理应该通过防火墙控制,使其固定在专门的计算机上,由此保证数据包路由的可靠性。网络服务的服务器通过防火墙的固定端口接入校园网,这样既能保证校园网内部的使用,有效防止校园网内黑客的攻击,又能在一定程度上保护服务器的安全。对于允许互联网用户访问的服务器可以通过端口映射进行限制,这样即可保护服务器的安全,使其运行正常。由于大多数的防火墙产品都是基于IP地址限制的,所以我们要把IP地址同MAC地址进行绑定,这样才能更好地有效工作。合理配置VPN,使其在网络防火墙监控下保证访问的安全。
1.4 使用SMS检测系统对网络进行安全检测
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节,并采取恰当的补救措施这是非常重要的。对网络进行安全性分析找出网络系统中薄弱的环节是系统入侵分析系统所要进行的工作。通过系统安全分析,生成详细的检查报告,可使我们很容易找到系统的薄弱点,对症下药。安全分析系统能够100%检测到已有系统漏洞,能够对网络的负载情况进行安全评估。不过安全系统在一定程度上会对系统产生难以挽救的破坏,因此在使用时应当慎重。
1.5 使用入侵监测系统,及早发现黑客入侵
入侵监测系统(IDS)是一种比较新的软件系统,能够发现正在进行的攻击,并对攻击进行实时报警,并通过自动修改路由或防火墙的配置来抵制攻击;将复杂的日志文件进行分析,为网络安全管理人员提供有效的结果。当前,比较流行的数字图书馆系统中使用的是屏蔽主机体系结构,在防火墙内的堡垒主机上使用入侵监测系统(IDS),这样可以对来自网络的攻击进行监测,对黑客的攻击进行完善的预警机制,并自动更改安全策略,保护堡垒主机的安全。
1.6 加强网络病毒的防控
网络反病毒软件可以安装在服务器上,并对服务器进行病毒扫描及病毒实时监控,在工作站上分发防毒软件和对网络目录及文件设置访问权限等,主要为Mail Web服务器及数据库和文件服务器等。网络版的防病毒软件应具备远程化管理(远程杀毒、远程报警、远程操作)、自动化管理(自动化安装、自动化升级、自动化卸载)全网查杀病毒、日志统计、脚本监控等功能。对于病毒破坏的文件、数据,能够最大限度地修复,尽可能地减少用户的损失。
1.7 保证无线网络系统安全
现在各高校图书馆正在逐步建设无线局域网络作为现有网络的扩充。无线局域网由于网络协议的先天性缺陷,使黑客比较容易通过无线网络攻击局域网中的服务器窃取信息。针对这种情况对无线用户的身份认证(EAP)显得至关重要,在服务器中应禁用DHCP服务,或者使用DHCP与身份认证向结合;使用安全软件保护服务器安全;使用智能卡或证书、MD5质询等EAP认证;网络传输数据加密等技术保证数据传输和身份认证的安全。另一方面,在终端上增加个人防火墙和防病毒软件,并对网络连接进行限制。
2 网页的安全
网页的安全是指数字图书馆系统中图书馆、电子期刊、电子图书、多媒体信息资源等WEB网页的发布、修改由特定人员完成,非授权人员无法修改。网页是数字图书馆的门面,是与读者交流的窗口。如果发生非授权人员修改其信息,会造成信息混乱,直接影响数字图书馆的形象。
3 访问的安全
数字图书馆系统的访问安全主要分为内部访问安全和外部访问安全两方面。内部访问是指,工作人员通过内部局域网或通过VPN或拨号连接到内部服务器,并进行相关的操作。外部访问是指读者浏览WEB网页信息,检索图书信息、下载相关资源及使用网站提供的论坛等。
访问的安全是指保证信息通过网络传输的安全性,用户登录认证的安全性。也就是说,通过网络,图书馆工作人员或读者能够安全地连接到服务器。首先我们应该保证我们所访问的服务器唯一性,其次是工作人员或读者访问的安全性。
作为一种新兴的服务手段,数字图书馆网站要保证读者的信息安全,防止读者信息的泄露。网站通过提供“网站数字证书”供读者验证其身份,以保证访问的真实性,杜绝“网络钓鱼”的发生;读者与网站服务器之间的信息交换通过IPSec或其它通信方法加密,以免信息泄露,保证读者的切身利益。有些数字图书馆提供电子资源的有偿下载服务,这就要求读者身份的唯一性。我们可以使用SSL加密安全信息通道结合个人数字证书(也可以是高校数字图书馆颁发的)来对读者身份验证安全访问保证。
在现有的数字图书馆安全要求的基础上,通过增加这些方面进行考虑,这样构建的数字图书馆才会更加安全。才能更好地保障广大师生教学和科研的需求。
参考文献
[1]杨展,张四大.高校数字图书馆数据及网络安全[C].中国计算机信息防护文集.呼和浩特:远方出版社.2008.
[2]张四大.高校数字图书馆数据维护方法[J].金融教学与研究,2007(1).