基于木桶理论的图书馆网络安全问题及其解决方案
2019-04-25李猷
李猷
摘 要:以学校图书馆网络安全的实际问题作为出发点,结合传统木桶理论及新木桶理论讨论,对图书馆计算机网络存在的安全问题进行归纳和列举,针对现有的安全防范不足提出了日常硬件设备运维、账户权限设置、网络平台升级、虚拟局域网划分及流量控制等切实可行方法,有效规避了由于硬件设备老化、账户管理不当、网络管理水平滞后以及病毒攻击所造成的学校图书馆网络安全隐患和危机。最后总结得出校园图书馆网络安全管理模型框图,对校园图书馆的网络安全管理具有一定的指导意义。
关键词:网络安全 木桶理论 账户管理 VLAN 防病毒
中图分类号:G250.76 文献标识码:A 文章编号:1672-3791(2019)01(c)-0212-03
随着学校转型升级,大力推进校园数字化、信息化建设,为了给广大在校师生提供更方便、更快捷、更稳定的数字化信息体验,学校图书馆网络系统的完善管理迫在眉睫。随着网络信息资源的逐年增长,图书馆访问人数的逐年增加,图书馆网络系统所面临的安全风险也逐渐上升。
1 传统木桶理论和新木桶理论
传统木桶理论认为,要想提高木桶整体效能,不是增加最长的那块木板的长度,而是要下功夫补齐最短的那块木板的长度。新的木桶理论则认为要想提高木桶的整体效能,尤为需要关注这个木桶的桶底是否存在漏洞以及组成桶壁的各个木板之间是否存在缝隙。在图书馆校园网络搭建和安全维护中,既存在像传统木桶理论中所提到的长短板现象,诸如计算机病毒和黑客攻击就是网络管理平台的短板,又存在像服务器设备异常及线缆老化这样的桶底漏洞,还有诸如人为所导致的失误这样的桶壁缝隙,因此结合传统木桶理论和新木桶理论,作为分析和解决图书馆网络安全问题的指导是很有意义的。
2 结合传统与新木桶理论分析校园图书馆网络安全现状
2.1 硬件设备及其组件存在的安全隐患
图书馆网络搭建是由计算机、路由器、交换机、服务器以及线缆等物理设备构成的。组成这些设备的电子元件或材料,在使用过程中不可避免地存在自然损耗,由于图书馆服务器,交换机等网络设备长期处于电上工作状态,任何一个部件出问题都可能影响设备无法正常工作,任何一条线缆、任何一个设备出问题,都可能影响网络的无法访问、数据丢失,或者整个系统的瘫痪。除此而外,在设备使用过程中由于操作人员使用方法不当导致的设备损耗、人工维护操作不当所引起的瞬时静电高压,或是遭受自然极端气候的破坏,如高低温、雷电暴雨等恶劣天气等,都可能对硬件环境造成不可忽视的影响。
2.2 账户权限混乱存在的安全隐患
馆内资源,特别是网络资源对所有用户和员工开放会带来不可估量的麻烦,这样势必无法控制每个用户的上网行为,同时也无法保证每个用户和工作人员能够获得自己相应的正常的使用权利和享用共享资源的美好体验。如果把账户身份认证看作网络安全管理这只桶的桶底,把账户权限管理看作该桶的桶壁,就不难发现这样做的实质无异于无视木桶桶底的漏洞,无视木桶板间缝隙可能导致的泄露,不仅不能提高整体网络资源利用的效率,而且根据新木桶理论,如果木桶底部漏洞和木桶板间缝隙够大,反而可能使整网效率降到最低,甚至使木桶的效能为零。
2.3 网络管理平台应用存在的安全隐患
目前馆内使用的网络平台操作系统主要是Windows Server 2003、Windows Server 2008等,由于Windows Server 系统本身存在漏洞,虽然系统不定期地会进行补丁升级、自动更新,但往往就是在软件还未升级之前,便给病毒攻击和黑客的非法侵入提供了可乘之机。同时除了操作系统本身所带的缺陷而外,由于图书馆管理人员本身水平不高(较少有专业网络管理背景或是专业网络管理员培训经历),不能及时察觉网络安全问题,对出现的网络异常现象不能及时采取恰当的处理措施或上报求助,造成了解决问题时间的延误或是事后权责不清。
2.4 病毒攻击导致的资源安全隐患
对于馆内计算机及网络,病毒对其安全使用的威胁一直存在。一是由于馆内用户多,且用户用网习惯参差不齐,一旦局域网的计算机感染病毒后,将通过共享资源的渠道快速传播;二是如果局域网内部的用户通过计算机访问外部网站资源而感染到计算机病毒后,在該用户继续使用移动存储设备或共享文件的过程中会导致计算机间相互感染传播病毒,继而会严重地影响馆内计算机及网络功能的使用,甚至导致整个网络瘫痪、数据的丢失。结合新旧木桶理论,为了做好这块短板和木桶其他木板间的配合,提出了整体网络安全设计的概念,加强板间配合,做好诸如管理日志的采集、及时数据备份等工作,以期达到取长补短的效果,从而严控网络安全。
3 馆内网络安全隐患解决方案及实施效果
3.1 日常硬件设备管理和维护
对于构建馆内网络运行的硬件设备,作为工作人员应定期检查硬件性能及运行情况,检查线缆,做好设备保洁。确认所有电源、信号、线缆的接头是否完好,是否接触良好无松动,如有破损的需及时维修、更换;对于开不了机,经常死机的设备要进行故障排查与维修;对于告警指示灯亮的设备要及时进行告警读取排除事故。作为馆内设备使用人员,应严格按照《图书馆使用管理规范条例》使用计算机及网络共享资源,规范上网行为,规范设备操作流程,严禁人为恶意损毁破坏硬件设备及电子资源的行为发生,存储介质一律查杀后才能使用,做到行之有道、用之有效。
3.2 图书馆账户管理权限清晰设置
明确各级人员的使用权限及责任义务,做到一人一账户,不同级别的人员拥有不同的访问权限。首先将账户分为普通用户、管理员以及系统管理员这3个级别的账户,各等级类型对应的登录方式和操作权限如表1所示。
除此而外,制定网络访问的限制策略,关闭服务器上不用的端口,通过防火墙禁止或允许某些端口外部链接的访问。通过严格的等级划分和网络访问权限设置,有效实现了用户与管理域、不同等级管理域之间的分隔,实现了权责匹配,减少了网络安全风险。
3.3 网络系统升级维护及管理人员技能提升
设置馆内网络系统升级为自动更新,一有新文件提示就立即升级,同时作为网管还要人工实时关注Windows Server 2003、Windows Server 2008等系统的漏洞报告,及时查找升级信息,及时打补丁,确保系统安全。
同时应结合现有的网络管理技术,结合该图书馆的账户管理制度以及网络安全监控防范体系,加强对管理人员的培训,促使其技能提升。
在日常工作中,网络管理员应一方面通过软件自动更新提示帮助实现补丁升级,另一方面也应自己制定相应的扫描策略,争取在病毒爆发之前提前进行防范,实现漏洞的手动修补。对于管理设备较多、升级需求较为迫切的机房,可以采用通过服务器端向客户端统一下发漏洞补丁文件的方法,进行快速修复。
3.4 防病毒攻击及数据备份
由于学校图书馆电子资源阅览室、学生机房、资料阅览室(可上网)以及行政办公共用一楼,因此,在此楼中如何有效布局网络、防止病毒攻击就显得尤为重要。
(1)交换机技术应用。
针对校内图书馆用楼网络分区较为复杂,各区域的功能需求也各不相同的特点,结合交换机VLAN配置应用策略,为避免不同区域间网络环境的广播干扰,提高网络的处理能力,于是在实际操作中对各功能区域进行了虚拟局域网划分,将办公区域与公用网络区域、公共区域与私有区域进行有效分割。其中包括以下几个虚拟局域网分区:电子资源阅览室VLAN、学生机房VLAN、行政办公VLAN等,根据不同区域需求设置不同的访问权限,实现了功能区域的有效隔离。虚拟局域网划分示意图如图1所示。
(2)流量控制技术应用。
为防止用户在公共机房或电子资料阅览室中大量占用网络带宽,进行大型网络游戏对抗、高清视频下载等娱乐,造成网络资源的浪费,馆内网管一方面可采用流量监控软件监控端口数据流量的变化情况;另一方面可直接远程控制交换机,对交换机各VLAN端口上的数据流量进行查看。如果遇到端口异常流量产生,则可以立即控制交换机关闭该端口或重启。引入流控技术有效保证了绝大部分网络活动参与人员的上网利益。
(3)防火墙和杀毒软件的应用。
面对网络中流行的各式病毒,要做好网络安全防范,首先就要进行防火墙安装设置,它主要用于隔离私人用户数据与公共网络。对于有条件的大型图书馆安全管理系统需要购买专用防火墙设备,对于使用计算机网络的PC用户,可以使用Windows操作系统自带的防火墙软件,根据需要设置所需要的防火墙等级就可以了。除了设置防火墙而外,鉴于对安全的进一步考虑,还应安装杀毒软件对系统做更全面的保护。目前校内机都安装并使用360安全卫士这款安全软件做计算机的安全保护,通过安全软件定时查杀病毒,更新系统。
(4)数据备份应用。
无论作为对硬件损坏时数据保护的补充策略,还是对系统崩溃时的数据挽回策略,在图书馆系统的安全保护策略中都应该采取一定的数据备份策略来减轻由于意外灾害所带来的数据丢失。特别是对于大型的图书馆而言,做好周全的数据备份计划是很有必要的。
4 结语
文章针对图书馆网络安全优化问题,结合传统木桶理论和新型木桶理论,就网络设备硬件维护、网络账户分级、网络管理平台和网络管理人员技能提升,病毒防范等方面提出了行之有效的解决方案,实现了图书馆网络安全优化,总结得出了图书馆网络安全管理模型框图,如图2所示。
综上所述,按照木桶理论的全新角度,只有既能照顾到网络安全管理的短板,又要能够兼顾协调其各板块之间的长短不一,做实桶底,结合真实的计算机网络环境,综合考虑硬件、软件、人以及制度等各方面的因素,使整个系统紧密联系,最终才能实现木桶理论的最优化。
参考文献
[1] 龚俭.计算机网络安全导论[J].工业控制计算机,2000(4):52.
[2] 许志坤.网络渗透技术[M].北京:电子工业出版社,2005.
[3] 王新颖.新木桶理论在大型企业网络安全中的应用[J].福建电脑,2007(7):8,10.
[4] 蔡立軍.网络安全技术[M].北京:清华大学出版社,2010.
[5] 安氏领信科技发展有限公司.安氏领信安全管理中心产品说明[Z].
[6] 李月明.公共图书馆信息网络安全管理策略[J].图书馆,2006(6):113-116.
[7] 杨威.图书馆网络防病毒体系建设[J].哈尔滨职业技术学院学报,2009(5):98-99.
[8] 于博.公共图书馆网络安全问题及解决对策[J].科技情报开发与经济,2012,22(14):49-51.