高校數字圖書館網絡安全建設探討

摘要:當前，國內絕大多數高校都建有數字圖書館，但安全管理方面存在很大的缺陷。筆者多年從事網絡安全研究，在數字圖書館研究領域取得了一定的成果，所提出的構建安全的數字圖書館方案被我國多所高校采用，本文提出了增強高校數字圖書館網絡安全的建議。

關鍵詞:數字圖書館;網絡安全;防火墻

現在高校圖書館網絡作為校園網的重要組成部分，是高校的數據中心、信息中心。高校的數字圖書館一般都設立在圖書館中，通過專用網絡與校園網或者互聯網互聯互通。數字圖書館是圖書館在新的時代的服務拓展，是以計算機多媒體信息存儲及檢索為主的網絡服務。

隨著社會的進步，高校師生對圖書館的要求不僅僅局限在紙本圖書所提供的文字信息資源，而且更需要諸多的多種媒體信息，如語音、圖像、視頻等。隨著我國全面進入信息社會這一大趨勢，這就對圖書館的服務及職能提出了更高、更新的要求。

然而，由于圖書館網絡系統特殊性，及維護的人員計算機水平相對于校園網管理人員水平較差，致使其網絡極易受到攻擊。故此，如何確保圖書館網絡的安全，已成為當前網絡安全人員亟待解決的問題。

如何才能增強數字圖書館現有網絡安全?筆者認為應著重從系統和網絡的安全、網頁的安全方面考慮。

1 數字圖書館系統及網絡的安全

系統和網絡是構建數字圖書館的基礎，沒有系統和網絡也就無從談及數字圖書館。故此，數字圖書館安全首先要談的是數字圖書館系統及網絡的安全。此方面包括設備安全、運行安全和網絡安全。設備安全是指數字圖書館系統中的計算機、存儲設備、網絡設備、通信設備、安全設備等物理保證安全，防止人為和自然的損壞;運行安全是指服務器操作系統及數字圖書館軟件運行安全性，防止系統運行軟件故障，減少因軟件故障導致的系統運行不穩定;網絡安全是指服務器之間的協同和信息交換的安全，防止信息泄露，抵御黑客攻擊。

1.1 設備物理安全及設備冗余

依據國家相關規定，根據具體安全等級要求，對數字圖書館機房服務器及網絡設備進行整改。根據安全需求，對數字圖書館網絡布設進行調整。做好網絡設備等的防火、防盜、防水、防信息泄漏等物理安全。

數字圖書館系統的運行在一定時間段具有不間斷性，并且在部分時間可能有高訪問量，故此在構建系統時必須考慮到要留有一定的冗余。增加UPS，防止斷電對數據的破壞。

1.2 使用虛擬網技術，劃分不同網絡安全區域

在數字圖書館網絡中，利用虛擬網技術可實現對內部子網的物理隔離。如，通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播區域，實現內部一個網段與另一個網段的隔離。這樣，就能防止一個網段的問題在整個網絡中傳播。

1.3 設置多層防火墻

首先，在圖書館內部網與教育網和校園網之間使用防火墻。這樣可以在一定程度上阻止互聯網中的黑客攻擊，保護圖書館內網的安全。

其次，在圖書館內部不同網絡安全域間設置防火墻。在圖書館內網中某些安全要求比較高的區域增設防火墻，對重要的數據進行保護是必需的。如在數據中心與校園網之間用防火墻隔開，圖書管理系統與其它網絡隔開等等。這樣既可保護內部數據不被非法授權訪問，又可充分利用網絡資源，盡情享受網絡帶來的便利。

最后，在路由器、圖書館網絡中心的服務器與校園網之間設置防火墻。目前越來越多的網絡攻擊指向路由器，大量的DOS攻擊使路由器失去作用。虛假路由為網絡安全造成極大的隱患，所以在數字圖書館建設中應加強路由器的保護。路由器的管理應該通過防火墻控制，使其固定在專門的計算機上，由此保證數據包路由的可靠性。網絡服務的服務器通過防火墻的固定端口接入校園網，這樣既能保證校園網內部的使用，有效防止校園網內黑客的攻擊，又能在一定程度上保護服務器的安全。對于允許互聯網用戶訪問的服務器可以通過端口映射進行限制，這樣即可保護服務器的安全，使其運行正常。由于大多數的防火墻產品都是基于IP地址限制的，所以我們要把IP地址同MAC地址進行綁定，這樣才能更好地有效工作。合理配置VPN，使其在網絡防火墻監控下保證訪問的安全。

1.4 使用SMS檢測系統對網絡進行安全檢測

網絡系統的安全性取決于網絡系統中最薄弱的環節。如何及時發現網絡系統中最薄弱的環節，并采取恰當的補救措施這是非常重要的。對網絡進行安全性分析找出網絡系統中薄弱的環節是系統入侵分析系統所要進行的工作。通過系統安全分析，生成詳細的檢查報告，可使我們很容易找到系統的薄弱點，對癥下藥。安全分析系統能夠100%檢測到已有系統漏洞，能夠對網絡的負載情況進行安全評估。不過安全系統在一定程度上會對系統產生難以挽救的破壞，因此在使用時應當慎重。

1.5 使用入侵監測系統，及早發現黑客入侵

入侵監測系統(IDS)是一種比較新的軟件系統，能夠發現正在進行的攻擊，并對攻擊進行實時報警，并通過自動修改路由或防火墻的配置來抵制攻擊;將復雜的日志文件進行分析，為網絡安全管理人員提供有效的結果。當前，比較流行的數字圖書館系統中使用的是屏蔽主機體系結構，在防火墻內的堡壘主機上使用入侵監測系統(IDS)，這樣可以對來自網絡的攻擊進行監測，對黑客的攻擊進行完善的預警機制，并自動更改安全策略，保護堡壘主機的安全。

1.6 加強網絡病毒的防控

網絡反病毒軟件可以安裝在服務器上，并對服務器進行病毒掃描及病毒實時監控，在工作站上分發防毒軟件和對網絡目錄及文件設置訪問權限等，主要為Mail Web服務器及數據庫和文件服務器等。網絡版的防病毒軟件應具備遠程化管理(遠程殺毒、遠程報警、遠程操作)、自動化管理(自動化安裝、自動化升級、自動化卸載)全網查殺病毒、日志統計、腳本監控等功能。對于病毒破壞的文件、數據，能夠最大限度地修復，盡可能地減少用戶的損失。

1.7 保證無線網絡系統安全

現在各高校圖書館正在逐步建設無線局域網絡作為現有網絡的擴充。無線局域網由于網絡協議的先天性缺陷，使黑客比較容易通過無線網絡攻擊局域網中的服務器竊取信息。針對這種情況對無線用戶的身份認證(EAP)顯得至關重要，在服務器中應禁用DHCP服務，或者使用DHCP與身份認證向結合;使用安全軟件保護服務器安全;使用智能卡或證書、MD5質詢等EAP認證;網絡傳輸數據加密等技術保證數據傳輸和身份認證的安全。另一方面，在終端上增加個人防火墻和防病毒軟件，并對網絡連接進行限制。

2 網頁的安全

網頁的安全是指數字圖書館系統中圖書館、電子期刊、電子圖書、多媒體信息資源等WEB網頁的發布、修改由特定人員完成，非授權人員無法修改。網頁是數字圖書館的門面，是與讀者交流的窗口。如果發生非授權人員修改其信息，會造成信息混亂，直接影響數字圖書館的形象。

3 訪問的安全

數字圖書館系統的訪問安全主要分為內部訪問安全和外部訪問安全兩方面。內部訪問是指，工作人員通過內部局域網或通過VPN或撥號連接到內部服務器，并進行相關的操作。外部訪問是指讀者瀏覽WEB網頁信息，檢索圖書信息、下載相關資源及使用網站提供的論壇等。

訪問的安全是指保證信息通過網絡傳輸的安全性，用戶登錄認證的安全性。也就是說，通過網絡，圖書館工作人員或讀者能夠安全地連接到服務器。首先我們應該保證我們所訪問的服務器唯一性，其次是工作人員或讀者訪問的安全性。

作為一種新興的服務手段，數字圖書館網站要保證讀者的信息安全，防止讀者信息的泄露。網站通過提供“網站數字證書”供讀者驗證其身份，以保證訪問的真實性，杜絕“網絡釣魚”的發生;讀者與網站服務器之間的信息交換通過IPSec或其它通信方法加密，以免信息泄露，保證讀者的切身利益。有些數字圖書館提供電子資源的有償下載服務，這就要求讀者身份的唯一性。我們可以使用SSL加密安全信息通道結合個人數字證書(也可以是高校數字圖書館頒發的)來對讀者身份驗證安全訪問保證。

在現有的數字圖書館安全要求的基礎上，通過增加這些方面進行考慮，這樣構建的數字圖書館才會更加安全。才能更好地保障廣大師生教學和科研的需求。

參考文獻

[1]楊展，張四大.高校數字圖書館數據及網絡安全[C].中國計算機信息防護文集.呼和浩特:遠方出版社.2008.

[2]張四大.高校數字圖書館數據維護方法[J].金融教學與研究，2007(1).