王政军 金玉玲 俞小怡

(大连理工大学图书馆，辽宁 大连116023)

随着数字化图书馆的迅速发展，计算机网络在图书馆的应用越来越广泛，网络安全成为新信息安全的热点［1］。数字化图书馆作为向教学科研提供先进、便捷、广泛地获取知识的平台，需要保证网络信息化服务的稳定、安全及可靠。图书馆网络安全的主要目的是实现对整个图书馆网络用户可访问资源的完全控制、抵御内外网络的恶意访问，同时保证关键业务的高质量网络服务［2］。

大连理工大学图书馆 (以下简称大工图书馆) 近几年注重提升网络安全，不断探索适应图书馆网络信息安全的管理方式。通过多年的理论研究和实践总结，设计部署了一套基于策略的网络安全解决方案。该方案采用先进的安全技术手段，将动态入侵响应与基于角色的策略进行联动，在保证网络安全稳定可靠的前提下，实现网络管理的智能化自动化。

1 策略网络的关键技术

策略网络将基于角色的策略和动态入侵响应两项关键技术有机地结合起来，主要体现了网络体系的安全性和管理上的便捷性。

1.1 基于角色的策略

虽然路由器和交换机具有一定的管理功能，但交换机只能对局域网中的带宽分配和访问权限做简单决定。而网络中的管理要面对简化网络运作、应用优先权分配、灵活的体系结构、多厂商支持等4个关键业务领域的需求［5］。策略管理的目的就是以简化的、自动化的方式，实现业务驱动的网络，帮助降低运行成本。因此，基于多元化应用需求，在网络设备上安装、使用策略管理器的解决方案应运而生。

研究表明，角色/权限之间的变化比角色/用户关系之间的变化相对慢，而且委派用户到角色不需要很多技术，可以由行政管理人员来执行。配置权限到角色的工作比较复杂，需要一定的技术，要由专门的技术人员来承担。不给他们委派用户的权限，也与现实中情况相一致。基于角色的访问控制方法可以很好地描述角色层次关系，方便权限管理，实现最少权限原则和职责分离的原则。

网络管理员在策略管理器上定义具体的策略，决定怎样利用网络资源。这些策略由一套规则构成，规则与业务优先级有关，能够在逐个用户或分组基础上设置所需的服务水平，以及进行封锁或访问控制。

1.2 动态入侵响应

很多图书馆通过在网络边界部署防火墙、企业级防病毒软件、对服务器安装各种补丁程序等方法来保护其IT基础架构。但是，这些预防措施并没有阻止出现在互联网上的蠕虫和恶意用户的不断攻击。动态入侵响应 (DIR) 是一种安全网络解决方案，它能够检测网络当中的异常行为，然后干预、隔离异常用户或故障设备。动态入侵响应隔离了每一种安全威胁并用列表分类，识别安全威胁来源并自动配置网络，降低网络威胁产生的损失，从而保护网络免受已知和未知安全威胁的侵害。

通过部署动态入侵响应解决方案，可以降低图书馆资源暴露在内部和外部威胁面前的机会，预防业务破坏和资源窃取。入侵检测安全功能可以预测可能存在的安全威胁，能够更有效地利用网络基础架构的投资。在不必重新配置或影响上网用户的前提下，动态入侵响应是已经部署的安全设备的有效补充。主要优势如下:

(1) 降低风险和系统复杂性，在网络结构当中嵌入了主动响应和自动安全功能。

(2) 将业务策略映射到网络系统当中。

(3) 改善可视化，将网络作为一个整体处理，更快地确定网络当中存在的故障。

(4) 根据内部和外部用户在组织当中不同的角色，为其提供不同的安全的可靠的访问。

(5) 提供自动的系统级的控制，降低管理、实施和故障处理的成本。

(6) 满足业务增长和扩展的需要。

(7) 改善对数据和应用系统的访问，提高生产效率。

2 图书馆使用策略网络安全方案的实现

数字化图书馆网络系统是一个大型的数据资源系统，其信息量巨大，信息敏感度程度不同，用户的访问需求多样化，使得安全管理非常复杂。基于角色的策略系统安全控制模型是目前国际上流行的先进的网络安全管理控制方法［3］。策略网络以高性能网络硬件平台为基础，设计合理的网络拓扑提高网络性能。除基本的网络路由联通之外，还需要设计多种网络策略下发网络接入交换机，开发适合实际需要的网络安全认证系统，将用户角色与网络访问策略联动，将入侵检测系统与网络策略联动［4］。对不同的用户角色采用不同的网络策略，用户角色的改变将导致网络策略的改变;入侵检测系统实时监测用户的访问行为，自动识别不正常用户并通知策略管理器改变用户的角色，通过策略的改变限制用户的可访问权限，将所有非法的访问排除在外。主要功能如下:

(1) 制定整个网络的多种策略，灵活配置每种策略的服务质量和访问控制。

(2) 根据用户功能特点划分多种角色，将角色与网络策略关联。

(3) 采用功能完备的网络管理软件，便于管理和监控整个网络。

(4) 开启网络认证的功能，对使用网络的用户验证授权。

(5) 实时监控网络的健康状况，自动调整隔离不良的访问用户，制止恶意破坏。

2.1 网络拓扑结构

大连理工图书馆网络采用两层结构，核心采用智能万兆交换机，接入层使用支持端口策略应用交换机。干线使用万兆光纤连接，到桌面全部为千兆双绞线连接。各阅览室设有高性能无线AP，提供读者的无线接入服务。其它校区的分馆通过教育网以VPN的形式访问本部图书馆的资源。拓扑图如图1所示。

整个图书馆根据功能区划分VLAN，分别为服务器、数据库、业务、免费检索、电子阅览室、无线检索、VPN等。VLAN划分如表1:

表1 大连理工大学图书馆VLAN划分表

整个网络采用策略路由的机制，内部网络之间的数据流动直接通过交换机交换。当内部网络用户访问外网地址时，通过代理服务器进行地址转换 (SNAT) 的代理。

2.2 基于角色的策略网络管理的实现

通过分配和取消角色来完成用户权限的授予和取消，并提供角色分配规则和操作检查规则。网络安全管理人员根据需要定义各种角色，设置合适的访问权限，根据用户的责任和资历将其指派为不同的角色。整个访问控制过程分成两个部分，即访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离，极大地方便了权限管理。角色可以看成是一个表达访问控制策略的语义结构，它可以表示承担特定应用的资格［6］。如图2所示:

图2 基于角色的策略原理

由于实现了用户与访问权限的逻辑分离，基于角色的策略同一个物理位置可能会服务于不同应用需要的人员，认证系统验证用户身份后，分配一个适合其角色的访问策略。网络系统不需要确定用户的物理位置，而是通过用户的实际身份来确定访问策略。

网络策略管理器是一个图形化的、操作简单的策略管理工具，可以对网络用户和可用设备服务进行分类，定义每个用户能够使用什么服务的规则，所有的规则、服务和角色都可以利用的策略配置向导进行调整。

目前智能网管交换机都支持策略的管理，其表现形式以ACL的方式来制定网络访问的具体内容，包括对网络地址、访问端口、网络协议的筛选。具体的策略规则可以在交换机上通过命令行的方法定义，但是当策略比较复杂时，对ACL的维护工作比较繁琐。为了简化网管的劳动强度，可以通过在网管控制台利用图形化界面工具进行ACL的集中管理，然后推送到下方网管接入交换机，最终以交换机配置文件的形式体现在交换机中。例如设置两个简单的策略，OPAC图书检索策略只是访问 DNS(IP:202.118.72.61) 和OPAC(IP:202.118.72.80) 服务器，业务用机只能访问自动化系统服务器 (IP:192.168.10.3) ，配置文件如下所示:

#set policy profile 1 name″OPAC″pvid － status enable

#set policy profile 2 name″LIBAUTO″pvid － status enable

#set policy rule 1 ipxdest202.118.72.61 forward

#set policy rule 1 ipxdest202.118.72.80 forward

#set policy rule 1 all drop

#set policy rule 2 ipxdest 192.168.10.3 forward

#set policy rule 2 all drop

网络系统能够识别连接到网络上来的任何使用者身份以及终端设备的类型、属性，识别后根据事先定义的策略在交换机的端口上启用相应的权限。定义每个用户能够使用什么服务的规则，根据不同的用户身份和属性建立不同的角色，赋予不同角色不同的策略，策略中包含了允许或禁止的网络服务及权限，在用户登录的同时，完成用户和角色的动态映射，实现按用户个性化定制网络。

2.3 动态入侵响应与策略网络联动的实现

传统静态的入侵检测系统 (IDS) 缺乏对入侵的处理手段，虽然能感知问题的所在，但不能制止问题的出现［7］。对于已经部署了防火墙、包检测和补丁管理保护系统来说，动态入侵响应是一个理想的补充。

大连理工图书馆网络安全管理系统将基于角色的策略网络和动态入侵检测进行联动，构成了安全的网络。先由网络管理员定义网络策略，针对不同安全事件确定不同的网络响应。当入侵检测系统检测到异常的网络访问行为，入侵检测系统上报网络安全事件，策略管理器根据安全事件的类型进行预先定义的响应，直接发送指令给网络交换机进行网络策略的调整，将识别出来的有安全威胁的用户进行网络权限的降级处理甚至隔离，执行预先制定的补救措施。

例如，在图书馆的网络环境中，因为某些用户使用电脑不当，会使电脑感染ARP欺骗木马，有可能导致整个局域网无法上网，甚至带来整个网络的瘫痪。在没有网络安全防护措施的情况下，网络管理员需要通过MAC地址查找感染木马的电脑，将其隔离查杀木马病毒之后，才能让其正常上线。一些有入侵防御措施的网络系统，虽然可以感知到感染ARP欺骗木马的计算机，但只能报告给网络管理员，不能立即阻断有网络安全风险的计算机造成的破坏性影响。

采用动态入侵检测与策略网络联动的机制，入侵检测系统能够检测出ARP欺骗木马的安全威胁，识别此种安全事件，报告给策略网络的自动安全管理器。自动安全管理器利用复杂算法和智能网络映射，确定异常用户或设备在网络当中的精确位置。策略管理工具接收到ARP欺骗木马安全事件后，自动地发送策略更改指令，在交换机的接入端口处直接实行ACL的限制指令，及时将异常用户或故障设备从网络环境移走隔离，杜绝感染ARP欺骗木马计算机对网络的破坏。ARP欺骗只是木马病毒的一种，窃听、重传、篡改、拒绝服务、行为否认、电子欺骗、非授权访问、传播病毒等等安全事件，在策略管理工具中都可以事先制定相应的策略进行预防和补救。

2.4 用户身份验证

采用基于角色策略的网络安全管理模式，需要用户在接入网络时进行身份认证。认证系统对用户的身份角色进行识别，为其分配相应的策略。标准网络设备支持标准的802.1x认证协议，大连理工图书馆采用基于开源的Freeradius部署认证服务器，自主开发了标准802.1x认证客户端，方便用户提交身份识别。

图书馆的无线网络已经基本覆盖整个图书馆，有相当一部分无线网络用户。无线网络具有设备不固定性，认证客户端需要安装的形式不能满足实际需要。网络设备提供的PWA认证功能是一种基于Web认证的形式，在接入网络时自动出现认证界面，用户通过Web提交自己的身份，认证服务器识别身份后为其分配策略。认证客户端、PWA认证界面及管理平台界面如图3所示。

图3 认证客户端及管理平台

3 结束语

安全管理是图书馆网络安全的重要环节，也是计算机网络安全体系结构的基础性组成部分。通过基于角色的策略管理和动态入侵响应，规范组织各项业务活动，使网络有序地进行，是获取安全的重要条件［8］。

网络安全策略的制定不是短期内能完成的，也不仅仅是个人的技术问题。策略的成功在很大程度上依赖于高层管理者的支持和职员的安全意识，并非单纯依赖网络安全策略的制定过程。威胁改变、脆弱性的改变、业务需求改变和可得的服务措施变化等等，全部需定期地重新评估，以保证网络安全策略有效及可行。

［1］黄玉华.对图书馆网络安全需求的分析［J］.图书馆工作，2005，(1) :17－18.

［2］黄永跃.数字图书馆的安全防护技术［J］.现代情报，2005，(3) :97－99.

［3］江小燕.学校办公自动化的网络安全管理［J］.信息与电脑:理论版，2010，(5) :85－86.

［4］李荔.浅谈网络安全的技术与管理［J］.科技信息，2010，(10) :234－234.

［5］王希忠，黄俊强.《网络安全管理》标准介绍［J］.信息技术与标准化，2010，(10) :29－32.

［6］高泽毅.浅析计算机网络安全管理［J］.信息与电脑:理论版，2010，(12) :86－86.

［7］王希忠，段志鸣，黄俊强.浅议网络架构中的安全问题［J］.网络安全技术与应用，2014，(2) :91－92.

［8］关雷，王希忠，黄俊强.神经网络在信息系统安全评价中的应用研究［J］.计算机安全，2014，(4) :29－32.