浅如何决图书馆的网络安全管理问题.pdf

第7 卷第3 期 2 0 0 8 年0 6 月 邵阳学院学报( 社会科学版) J o u r n a lo fS h a o y a n gU n i v e r s i t y ( S o c i a lS c i e n c eE d i t i o n ) V o I 7N O 3 J u n 2 0 0 8 一新闻出版图书情报研究 浅析如何解决图书馆的网络安全管理问题 罗刚 ( 邵阳学院图书馆，湖南邵阳4 2 2 0 0 0 ) 摘要：文章阐述了在互联网下数字图书馆的信患安全问题并给出了相应的安全防范措施。 关键词：数字图书馆；网络安全；防火墙；计算机病毒 中图分类号：H 2 5 1文献标识码：A文章编号：1 6 7 2 1 0 1 2 ( 2 0 0 8 ) 0 3 0 1 8 3 0 3 互联网下的数字图书馆 随着计算机技术、通信技术和网络技术的迅速发 展，信息高速公路的建设与利用为大规模的信息系统、 图书馆系统的发展提供了环境和条件。目前，网络信息 管理技术、数字化处理技术和数字式信息资源建设已成 为国际竞争的焦点，各国都为此投入了相当的实力进行 研究和开发。“数字图书馆”这一新概念、新模式应运而 生，并被视为2 1 世纪信息产业主要的发展方向之一。 “数字图书馆”一词由英文D i # t a lL i b r a r y 翻译而来， 是用数字技术处理和存储各种图文并茂文献的图书馆， 实质上它是一种多媒体制作的分布式信息系统，把各种 不同载体、不同地理位置的信息资源用数字技术存贮， 以跨越区域面向对象的网络查询和传播的一个大型信 息系统。 二数字图书馆面临的威胁 互联网下数字图书馆的安全从其本质上来讲就是 网络上的信息安全，是指图书馆网络系统的硬件，软件及 其系统中的数据受到保护，不受偶然的或者恶意的原因 而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络 服务不中断。数字图书馆系统面临的威胁大体可分为两 种：一是对系统网络中信息的威胁；二是对系统网络中设 备的威胁。危险系统因素的很多，有些因素可能是有意 的，也可能是无意的；可能是人为的，也可能是非人为的； 可能是外来黑客对网络系统资源的非法使有，归结起来， 针对网络安全的威胁主要有三点： ( 一) 人为的无意失误 如操作员安全配置不当造成的安全漏洞，用户安全 意识不强，用户口令选择不慎，用户将自已的帐号随意转 借他人或与别人共享等都会对网络安全带来威胁。 ( 二) 人为的恶意攻击 这是计算机网络所面临的最大的敌人，敌手的攻击 和计算机犯罪就属于这一类。此类攻击又可以分为以下 两种：一种是主动攻击，它以各种方式有选择地破坏信息 的有效性和完整性；另一类是被动攻击，它是在不影响网 络正常工作的情况下，进行截获，窃取，破译以获得重要 机密信息。这两种攻击均可对计算机网络造成极大的危 害，并导致机密数据的泄漏。 ( 三) 网络软件的漏洞和“后门” 网络软件不可能是百分之百的无缺陷和无漏洞的， 然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标， 曾经出现过的黑客攻入网络内部的事件，这些事件的大 部分就是因为安全措施不完善所招致的苦果。另外，软 件的“后门”都足软件公司的设计编程人员为了自便而 设置的，一般不为外人所知，但一旦“后门”洞开，其造成 的后果将不堪设想。 三数字图书馆安全的防范措施 ( 一) 安全策略的制定 数字图书馆数据中心的安全管理工作应首先研究 确定信息网络安全策略，安全策略确定网络安全保护工 作的目标和对象。信息网络安全策略涵盖面很多，如总 体安全策略，网络安全策略，应用系统安全策略，部门安 全策略，设备安全策略等。一个信息网络的总体安全策 略，可以概括为“实体可信，行为可控，资源可管，事件可 查，运行可靠”，总体安全策略为其它安全策略的制定提 供总的依据。数据中心初建时制定了符合网络，系统和 应用环境的安全策略，明确了安全体系的近期目标是保 收稿日期：2 0 0 8 0 3 - 0 1 作者简介：罗刚( 1 9 7 9 一) ，男，湖南邵阳人，邵阳学院图书馆助理实验师，硕士研究生 1 8 3 万方数据 证所有的机器都必须设防，能够抵御一般水平的黑客进 攻；远期目标是实现完善的安全审计和取证机制，保证受 到入侵后有证可查，鉴于大多数安全事件来自于管理员 的错误操作，审计在明确事故责任上也能发挥重大作用； 长期目标是建立安全预警系统，能够抵御较高水平的黑 客攻击。明确了数据中心内服务器的安全优先级等。 ( - - ) 安全技术的应用及安全工具的部署 在安全策略的指导下我们进行了安全工具和技术 的部署，形成了如下的直观的网络安全体系。 1 建立建全数字图书馆安全管理制度和操作规程 安全管理贯穿于安全防范体系的始终。实践一再告 诉人们仅有安全技术防范，而无严格的安全管理体系相 配套，是难以保障网络系统安全的。必须制订一系列安 全管理制度，对安全技术和安全设施进行管理实现安全 管理必须遵循可操作，全局性，动态性，管理与技术的有 机结合。责权分明，分权制约及安全管理的制度化等原 则。只有建立了相应的安全管理制度和操作规程，才能 使数字图书馆的员工各司其职，工作有章可循，减少差 错，为图书馆的网络安全运行提供保障和基础，把图书馆 的安全措施和管理制度融会为一个整体。 2 物理安全策略 物理安全策略的目的是保护计算机系统，网络服务 器，打印机等硬件实体和通信链路免受自然灾害，人为破 坏和搭线攻击；验证用户的身份和使用权限，防止用户越 权操作；确保计算机系统有一个良好的电磁兼容工作环 境；建立完备的安全管理制度，防止非法进入计算机控制 室和各种偷窃，破坏活动的发生。 3 安全访问控制策略 访问控制是网络安全防范和保护的主要策略，它的 主要任务是保证数字图书馆资源不被非法使用和非常 访问。它也是维护图书馆网络系统安全，保护网络资源 的重要手段。各种安全策略必须相互配合才能真正起到 保护作用，但访问控制可以说是保证网络安全最重要的 核心策略之一。下面我们分述各种访问控制策略。 ( 1 ) 系统口令验证 防范入侵的前线是口令系统。口令用于验证登录用 户的身份标识，它控制哪些用户能够登录到数字图书馆 服务器并获取网络资源。用户的入网访问控制可分为三 个步骤：用户名的识别与验证，用户口令的识别与验证。 用户帐号的缺省限制检查。三道关卡中只要任何一关未 过，该用户便不能进入该网络。对数字图书馆用户的用 户名和口令进行验证是防止非法访问的第一道防线。用 户注册时首先输入用户名和口令。服务器将验证所输入 的用户名是否合法。如果验证合法，才继续验证用户输 入的口令，否则，用户将被拒绝访问。用户的口令是用户 使用数据库资源的关键所在。为保证口令的安全性，用 户口令一般以密文形式显示在显示屏上，口令长度推荐 不少于6 个字符，口令字符最好是数字，字母和其他字符 的混合。加密的方法很多，其中最常见的方法有：基于单 向函数的口令加密，基于测试模式的口令加密，基于公钥 加密方案的口令加密，基于平方剩余的口令加密，基于多 项式共享的口令加密，基于数字签名方案的口令加密 等。经过上述方法加密的口令，即使是系统管理员也难 以得到它用户还可采用一次性用户口令，也可用便携式 验证器洳智能卡) 来验证用户的身份。 1 8 4 ( 2 ) 预防计算机病毒的入侵 计算机病毒是一种小程序，能够自我复制，会将自己 的病毒码依附在的其他程序上，通过其他程序的执行，伺 机传播病毒程序，有一定潜伏期，一旦条件成熟，进行各 种破坏活动，影响计算机使用。数字图书馆网络中包括 多台服务器和工作站，如果不加控制，病毒可能带来的威 胁足巨大的。病毒一旦发作，带来的损失足不可估量的， 而在信息被破坏后再杀毒也无法挽回已经造成的损失， 所以对于数字图书馆网络来说，对计算机病毒的态度将 是防毒+ 杀毒的结合，以防为主。在病毒可能流传的各 个渠道中都设有监控，结合定时病毒扫描和自动更新，才 能保证系统的安全。因此，需要结合对应的管理策略，在 数字图书馆网络中构建有效的病毒监控体系。 ( 3 ) 数字图书馆网络服务器安全控制 数字图书馆网络允许在服务器控制台上执行一系 列操作。用户使用控制台可以装载和卸载模块，可以安 装和删除软件等操作。网络服务器的安全控制包括可以 设置口令锁定服务器控制台，以防止非法用户修改，删除 重要信息或破坏数据；可以设定服务器登录时问限制，非 法访问者检测和关闭的时间间隔。 ( 4 ) 防火墙控制 防火墙是一种保护计算机网络安全的技术性措施， 它是一个用以阻止网络中的黑客访问某个机构网络的 屏障，也可称之为控制进，出两个方向通信的门槛。在数 字图书馆中，它是图书馆内部网络和外部网络安全域之 间信息的唯一出入口，能根据有力的安全政策控制( 允 许，拒绝，监测) 出入网络的信息流，且本身具有较强的抗 攻击能力。防火墙能提供信息安全服务，实现网络和信 息安全的基础设施，防止黑客攻击图书馆。同时在网络 边界上通过建立起来的相应网络通信监控系统来隔离 内部和外部网络，以阻挡外部网络对图书馆内部系统的 入侵。目前的防火墙主要有以下三种类型；包过滤防火 墙：包过滤防火墙设置在网络层，可以在路由器上实现包 过滤。首先应建立一定数量的信息过滤表，信息过滤表 是以其收到的数据包头信息为基础而建成的。信息包头 含有数据包源I P 地址，目的I P 地址，传输协议类型f l o p ， U D P ，I C M P 等) ，协议源端口号，协议目的端口号，连接请求 方向，I C M P 报文类型等。当一个数据包满足过滤表中的 规则时，则允许数据包通过，否则禁止通过。这种防火墙 可以用于禁止外部不合法用户对内部的访问，也可以用 来禁止访问某些服务类型。但包过滤技术不能识别有危 险的信息包，无法实施对应用级协议的处理，也无法处理 U D P R P C 或动态的协议。 代理防火墙：代理防火墙又称应用层网关级防火墙， 它由代理服务器和过滤路由器组成，是目前较流行的一 种防火墙。它将过滤路由器和软件代理技术结合在一 起。过滤路由器负责网络互连，并对数据进行严格选择， 然后将筛选过的数据传送给代理服务器。代理服务器起 到外部网络申请访问内部网络的中间转接作用，其功能 类似于一个数据转发器，它主要控制哪些用户能访问哪 些服务类型。当外部网络向内部网络申请某种网络服务 时，代理服务器接受申请，然后它根据其服务类型，服务 内容，被服务的对象，服务者申请的时间，申请者的域名 范围等来决定是否接受此项服务，如果接受，它就向内部 网络转发这项请求。代理防火墙无法快速支持一些新出 万方数据 现的业务( 如多媒体) 。现要较为流行的代理服务器软件 是W i n G a t e 和P r o x yS e r v e r 双穴主机防火墙：该防火墙是用主机来执行安全控 制功能。一台双穴主机配有多个网卡，分别连接不同的 网络。双穴主机从一个网络收集数据，并且有选择地把 它发送到另一个网络上。网络服务由双穴主机上的服务 代理来提供。内部网和外部网的用户可通过双穴主机的 共享数据区传递数据，从而保护了内部网络不被非法访 问。 ( 5 ) 数字图书馆信息加密策略 信息加密的目的是保护网内的数据，文件，口令和控 制信息，保护网上传输的数据。数据加密常用的方法有 链路加密，端点加密和节点加密三种。链路加密的目的 是保护网络节点之间的链路信息安全；端一端加密的目 的是对源端用户到目的端用户的数据提供保护；节点加 密的目的是对源节点到目的节点之间的传输链路提供 保护。用户可根据网络情况酌情选择上述加密方式。信 息加密过程是南形形色色的加密算法来具体实施，它以 很小的代价提供很大的安全保护。在多数情况下，信息 加密是保证信息机密性的唯一方法。据不完全统计，到 目前为止，已经公开发表的各种加密算法多达数百种，如 D E S 加密法，R S A 等等。密码技术是网络安全最有效的 技术之一。一个加密网络，不但可以防止非授权用户的 搭线窃听和入网，而且也是对付恶意软件的有效方法之 一o ( 6 ) 系统安全管理策略 数字图书馆网络管理员应对网络实施监控，服务器 应记录用户对网络资源的访问，对非法的网络访问，服务 器应以图形或文字或声音等形式报警，以引起网络管理 员的注意。在网络安全中，除了采用上述技术措施之外， 加强网络的安全管理，制定有关规章制度，对于确保网络 的安全，可靠地运行，将起到十分有效的作用。 网络的安全管理策略包括：确定安全管理等级和安 全管理范围；制订有关网络操作使用规程和人员出入机 房管理制度；制定网络系统的维护制度和应急措施等。 ( 7 ) 利用数字水印技术，保护数字图书馆的版权与信 息安全 “数字水印技术”是目前信息领域里的新的研究应 用方向，主要应用于互联网上对多媒体信息的安全保 障。它是将数字、序列号、文字、图像标志等版权信息嵌 入到多媒体数据申，以起到版权保护，秘密通( S e c r e ta n d I n v i s i b l eC o m m u n i c a t i o n ) ，数据文件的真伪鉴另1 ( D o c u m e n t A u t h e n t i c a t i o n ) 和产品隐含标志( H i d d e nA n n o t a t i o n ) 等作 用。通过数字水印技术，数字图书馆可将创作者的创作 信息和个人标志以肉眼不能分辨的水印形式嵌入到多 媒体中，在开放的网络环境中保护版权，认证来源及完整 性。人们无法从表面上感知水印，只有用专用仪器或计 算机软件才可以检测出隐藏的水印。数字水印技术应用 于印刷和打印防伪领域，也称为隐性防伪技术。在印刷 和打印领域应用数字水印技术具有更好的视觉不可见 性，机读性和抗攻击性，以确保数字图书馆的版权和信息 安全。 ( 8 ) 开展加强对图书馆重要数据的备份工作 数字图书馆信息网络系统中的有关数据，是图书馆 进行网络化信息服务的物质基础，是数字图书馆的核心 资源。其中书目信息和读者借阅信息是图书馆员工多年 辛苦劳动的结晶，万一这些数据因系统故障丢失，图书馆 的工作就无法。因此，图书馆数据的备份是一项极为重 要的工作。按时间可以分为实时备份和定期备份两种， 按存储介质可以分为硬盘备份，软件盘备份，磁带备份， 光盘备份。对于数字图书馆书目数据和读者借阅数据采 取实时备份比较可靠，而且它可以使图书馆在受到攻击 时的损失尽可能降低。 四结束语 网络正在日新月异地发展，绝对的安全并不存在， 网络安全是一个整体性很强的体系。包括技术、管理、人 员等多个环节，不能孤立或静止地看待和解决问题，网 络安全性的提高依赖于不断的技术进步和应用，依赖于 管理的逐步完善和人员素质的全面提升。网络安全是一 个连续的过程，随着新技术、新漏洞的出现和服务应用 的变化。安全状况也在不断变化着。网络上的攻防是矛 盾的统一体，攻防在不断的转换之中。应转变消极被动 的防范为积极主动的防治结合，努力拓宽研究应用的深 度和广度，对症下药、标本兼治，应少些低层次表象的分 析总结，多些具体的技术手段和管理方法的探索应用， 更好地推动图书馆网络事业健康发展。 参考文献： 【1 】1 朱自华，邹志仁信息系统安全与计算机犯罪】情报 学报，1 9 9 9 ，( 6 ) 【2 】谢汝昆高校图书馆计算机安全与防范】图书馆论 坛，2 0 0 2 ，( 2 ) 【3 l 罗光灿，何儒云数字图书馆建设中的知识产权问题 探讨田图书馆( 长沙) ，2 0 0 2 ，( 5 ) 【4 】杜宝娟试论图书馆的数字化建设D 丁天津职业技术 师范学院学报，2 0 0 1 ，( 4 ) ：5 2 - 5 3 【5 】李正华如何建立企业防病毒系统田网络安全技术 与应用，2 0 0 3 ，( 6 ) 【6 1 6 关铁男中国新闻网站安全防护手段的设计和实现 U 网络安全技术与应用，2 0 0 3 ，( 3 ) T h eS e c u r i t yo fD i g i t a lL i b r a r ya n dP r o t e c tM e a s u r ei nN e t w o r kE n v i r o n m e n t L U O - G a n g ( L i b r a r yo fS h a o y a n gU n i v e r s i t y ，S h a o y a n gH u n a n4 2 2 0 0 0 ) A b s t r a c t ：T h ea r t i c l ee x p o u n d e ds o m ef a c t o r si n f l u e n c i n gt h es e c u r i t yo fd i g i t a ll i b r a r yi nt h en e t w o r ke n v i r o