开源的数字图书馆网络安全多层防护体系研究
2009-06-25李镇伟
李镇伟
关键字:开源软件;数字图书馆;网络安全;防护
摘 要:随着数字图书的建设与发展,因网络开放而出现的网络安全问题也日显突出,但由于经费的原因,很多图书馆都只购买一部分的网络安全软件进行网络防护。文章通过对数字图书网络安全的隐患问题、保护技术及开源软件的安全性进行分析,提出利用免费的开源软件构建数字图书馆网络安全多层防护体系的解决方案。
中图分类号:G250.7文献标识码:A 文章编号:1003-1588(2009)02-0105-03
The Research on Multi-protect System in Network Security
ofOSSfor Digital Library
Li Zhenwei
(Library, Jieyang vocational and technical college Jieyang522051,China)
Key Words: OSS, Digital Library, Network Security, protection
Abstract:With the Digital Library in the construction and development, the emergence of network security issues as the more obvious each day because of an open network. Due to financial reasons,many of the library only purchase a part of the network security software for network protection. This article analysis the network security vulnerability ofthe Digital Library、network?Security Protection Technology and the security of open source software. Also, the author gives a Multi-protect System solutions in Network Security base on the open source software for the Digital Library.
随着计算机及网络技术的发展,很多图书馆正逐步开展文献资源数字化、读者服务网络化等全方位的网络信息服务,建设数字图书馆。随着这些应用的推进,数字图书馆的网络安全问题也日显突出,建立一个安全、稳定的网络安全防护体系,对数字图书的建设与发展尤为重要。众所周知,很多图书馆的发展一直都受到经费短缺的困扰[1][2],而数字图书馆的建设,需要新购许多的基础设施,如计算机、数字化设备、通讯设备、存储设备等等,经费问题更是制约其发展的一个重要因素[3]。因此,免费的开源软件为数字图书馆的网络安全建设提供了一个选择,本文借此对使用开源软件构建数字图书馆的网络安全防护体系进行了探讨,以期为经费短缺的图书
馆进行网络安全建设提供多一个参考方案。
1 数字图书馆网络安全隐患及保护技术
数字图书馆网络安全是指数字图书馆网络系统的各个组成部分不受偶然的或恶意的原因而遭到破坏、篡改和泄露,并且确保数字图书馆网络系统能连续正常运行的机制,其最终目的是要达到数字图书馆网络信息处理和传输过程中保持可靠的机密性、完整性、可用性和可控性[4]。数字图书馆的网络安全技术就是指为数字图书馆数据处理系统的建立和正常运行所采用的安全保护技术。当前,在数字图书馆建设中主要存在以下几个方面的网络安全问题:
(1)网络设备安全。网络设备是数字图书馆网络正常运行的物质基础。其安全主要包括:各类计算机设备、网络通讯设备以及各种存储介质(磁盘、磁带、硬盘和CD-ROM)的安全。主要涉及信息及信息系统的电磁辐射、抗恶劣工作环境等方面的问题。面对的威胁主要有自然灾害、电磁泄露、通信干扰等。主要的计算机保护技术有数据和系统备份、容错等。
(2)网络运行安全。网络的正常运行是数字图书馆服务的效率保证,其运行安全主要是网络与信息系统(操作系统、数据库系统和应用系统)的运行过程和运行状态的安全。主要涉及信息系统的正常运行与有效的访问控制等方面的问题。面对的威胁包括网络病毒、网络攻击、漏洞利用等。主要的计算机保护技术有访问控制、病毒防治、漏洞扫描、入侵检测等。
(3)网络数据安全。网络的数据安全是数字图书馆服务的质量保证,其安全主要是数据(信息)的生成、处理、传输、存储等环节中的安全。主要包括:元数据、对象数据和用户数据等的泄密、破坏、伪造、否认等方面的问题。面对的威胁主要包括对数据(信息)的窃取、篡改、冒充、抵赖、破译、越权访问等。主要的计算机保护技术有加密、认证、访问控制、签名等。
为了确保数字图书馆网络的安全,保证信息服务的顺利开展,必须对数字图书馆信息网络实施多层的保护,加强安全防范[5]。
2 开源软件的安全性
软件的安全分析工程师都秉承这样一个理论,就是复杂系统应具备约105h的平均无故障时间(mean time before failure,MTBF),这必须经过很多时间的测试,这种可靠度增长模型同样也应用在系统漏洞的测试评估中。开源软件提供源代码给使用者的这种方法,使得系统可以比专利系统有更多的时间不停测试、有越多的眼睛盯着,这就越能发现开源软件中的漏洞(many eyes原理),开源软件开发过程中的这种同行评审使其安全性获得了更高的保障[6]。代码分析企业Coverity的一份报告显示,他们在Linux内核的570万行语句中只发现了985个bug;可以比较的是,卡耐基梅隆大学的CyLab实验室所进行的一个研究显示,具代表性的商业性闭源程序每一千行语句平均就带有20-30个bug。在另一次调查中显示,美国国防部已经部署有251个Linux或者开源软件。所有这些,我们虽然无法直接证明开源软件拥有着很高的安全性,但至少可以说明一点:开源软件的安全性不比商业性闭源软件的差。
3 开源的数字图书馆网络安全多层防护体系
多层防护就是在网络的各个层次上,如在用户桌面、服务器、Internet网关及防火墙等位置部署相关的网络安全产品,实现对数字图书馆网络环境、网络主机和网络应用进行全方位安全保护。
3.1 使用SmoothWall Express创建一道安全的防火墙
防火墙是一种保护计算机网络安全的技术性措施,它实质就是为了保证网络的安全性而在网络内部和外部之间的界面上构造一个保护层,所有的内外网连接都强制性地经这个保护层接受检查过滤,以阻止外部网络的入侵。在数字图书馆中,它是图书馆内部网络和外部网络安全域之间信息的唯一出入口,能根据制定的安全策略控制(允许、拒绝、监测)出入网络的信息流。
SmoothWall Express是一个开源、并基于GNU/Linux操作系统的防火墙软件。它内置了Linux系统的内核,可以直接安装在服务器上,布署于网关上。SmoothWall同时支持ISDN、ASDL/Cable和多网卡等网络设备,出于易于操作的原因,SmoothWall可以使用web界面来配置和管理安全策略与规则。
3.2 使用Snort创建一个安全的入侵检测系统
利用防火墙技术通常能够在内外网之间提供安全的网络保护,但是,如当发生来自网络外部的入侵者穿透防火墙而进入内部网或当攻击来自网络内部时,防火墙就无法对攻击进行响应或阻断。入侵检测系统(IDS)是网络的防盗警报,它通过从计算机网络和系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定措施的技术。
开源入侵检测系统Snort是一个跨平台的软件,提供实时分析网络流量、比较报文内容、检测各种网络攻击及探测,例如:0S辩识、缓冲溢出(buffer overflow)、秘密探测(stealth probe)、CGI攻击等。它的外部采用模块化外挂程序架构,当取得新包时,先用预处理程序(preprocessor)处理,再和规则作对比,如果发现攻击则发出警告。由于它的入侵检测规则是完全开放的,也就是说,在布署时可以针对自己的网络系统,设计自己的入侵检测规则,不像其它入侵检测系统一样,其入侵检测规则是由设计公司写死的,你要修改或增加都沒办法。
3.3 使用OpenVPN创建一个安全访问接口
VPN(Virtual Private Network)即虚拟专用网,是指利用公用网络为用户提供专用网的所有各种功能。VPN技术的核心是采用隧道技术,主要负责将内部网络的数据经过加密、协议封装和压缩处理后再嵌套入另一种协议的数据包,送入虚拟公网隧道中,像普通数据包一样进行传输。当前,数字图书馆大部分的数字资源出于版权保护与有偿使用的需求,对资源采取了限制IP地址范围访问的手段,这样导致了大部分的电子资源仅能在校园网范围内访问,VPN可为数字图书馆提供一个可管理、可认证、安全的远程访问电子资源的解决方案,从而满足更多师生在校处访问馆藏电子资源的需求。
OpenVPN是一个具备完全特征的SSLVPN开源软件,能够进行大范围的配置操作,包括远程访问、站点-站点间VPN、WiFi安全及企业级远程访问解决方案,支持负载均衡,错误恢复及细粒度的访问控制。OpenVPN通过使用工业标准SSL/TLS协议,实现了OSI2层及3层安全网络扩展,支持灵活的基于证书、智能卡的客户端认证方法,它同时允许通过在VPN虚拟接口上应用防火墙规则实现用户及组访问控制策略。
3.4 使用ClawAV创建一个无病毒的网络环境
计算机病毒是一种能对计算机系统进行破坏的程序,如果系统感染病毒,小则破坏工作站操作系统,大则攻击服务器导致整个信息系统的数据丢失、服务中止、系统瘫痪。数字图书馆从编目到流通都依赖于计算机应用系统,如果因病毒而引起网络安全问题,不但图书馆的日常工作、服务不能开展,还可能因为数据的丢失造成经济上、人力上的损失,严重的话,后果可能不堪设想。因此,防范病毒也是确保数字图书馆网络安全的一个重要环节。
ClamAV全名是ClamAntiVirus,是一套功能非常优秀的开源防毒软件。它拥有定时扫描、在线更新病毒库、实时监控等功能,和市面上知名商业防毒软件比起来一点也不逊色。ClamAV目前可以检测超过500,000种以上的病毒、蠕虫、木马程序,并且有一组分布在世界各地的病毒专家,24小时维护病毒库,任何人发现可疑病毒可以随时跟他们取得联系,立刻更新病毒库。ClamAV可以安装于数字图书馆网络中的工作站及服务器上进行病毒防范。
3.5 使用Amanda创建一个安全的数据备份
在数字图书馆这样一个开放的网络环境中,随时会因为各种原因而使计算机网络系统拒绝服务。这种原因可能来自硬件,也可能来自软件;可能是人为的,也可能是客观因素造成的。不管怎样,当这种灾难来临时,我们要做的就是尽快恢复系统的运行,为读者提供正常的服务,而做到这一点的前提就是系统和数据的备份。
Amanda(Advanced Maryland Automatic Network Disk Archiver,马里兰高级自动网络磁盘存档工具)是一个开源的、复杂的网络备份系统。Amanda可以综合使用完全备份和增量备份把局域网中所有计算机的数据备份到一台服务器的存储器上;它通过建立“archive sets”的一组磁带,用来备份在Amanda的配置文件中所列出的完整的文件系统,它同时能够使用临时保存磁盘作为备份存档的中间存储媒介,以优化磁带的写入性能并保证在磁带出错时也能备份数据。
3.6 使用OpenCA创建一座安全的认证中心
PKI是“Public Key Infrastructure”的缩写,通常被译为“公钥基础设施”,是一种遵循既定标准的密钥管理平台。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是网络信息安全的关键和基础技术。
OpenCA是OpenCA Labs开源组织一直在致力开发的一套免费PKI软件,通过使用OpenCA,单位可以构建自己的PKI系统。OpenCA由四个主要部分组成,即CA,RA,PUB,NODE;简单来说PUB是对外提供服务的接口,用户可以在PUB的WEB界面提交自己的注册请求、查询请求等等;RA主要负责来处理经由PUB提交过来的用户请求,来决断是否批准这些请求;CA则根据RA批准的请求来最终签发证书;NODE负责在RA和CA之间传输数据。
4 小结
通过对开源软件中源码的应用研究,我们也能进行新技术的学习与研究,有可能使图书馆掌握软件开发的核心技术并构建成熟稳定的系统;同时,使用开源软件可以明显节约图书馆的经费[7]。因此,在数字图书馆网络安全防护体系建设中布署免费、安全、功能丰富的开源软件是行之有效的,并且也是一个值得提倡的好选择。
参考文献:
[1] 赵怀生.未来图书馆法中图书馆经费规定的思考[J].河南图书馆学刊,2003,(1).
[2] 陈振兴等.论图书馆经费短缺的问题与对策[J].黔东南民族师范高等专科学校学报,2003,(1).
[3] 曹东.我国数字图书馆建设现状及存在的问题[J].晋图学刊,2005,(2).
[4] 陈静科等.数字图书馆的网络安全与防范[J]. 情报杂志,2003,(5).
[5] 王志红.谈图书馆网络安全[J].中国图书馆学报,2005,(5).
[6] 徐行.开放源码软件的安全性分析及政府应对策略[J].Internet:共创软件,2002,(5).
[7] 林敏.试论图书馆使用开源软件的益处及注意事项[J].大学图书馆学报,2006,(3).