基于VPN技術的多校區高校圖書館網絡問題研究

〔摘 要〕本文針對目前各高校普遍在多個校區圖書館間組建內部網絡問題，提出了一種基于VPN技術的遠程虛擬局域網解決方案，并論述了VPN技術的原理、優點以及圖書館應用VPN技術所面臨新的安全挑戰，最后相應構建了一套完整的安全體系策略。希望本文能夠對高校圖書館的信息化網絡建設有所裨益。

〔關鍵詞〕多校區;圖書館;VPN;網絡安全

〔中圖分類號〕G250.7 〔文獻標識碼〕C 〔文章編號〕1008-0821(2009)12-0078-04

Study on the Network Program of Multi-district

Campus Library Based on VPN TechnologyLiu Mingxin1 Gong Yuhua1 Jia Shengnan2 Lun Zhijun3

(1.Technology Services of Library，University of Shanghai for Science and Technology，Shanghai 200093，China;

2.Northeast Dianli University，Jilin 132012，China;

3.Library，The First Hospital of Jilin University，Changchun 130021，China)

〔Abstract〕On the network Programs of Multi-district Campus Library，this article puts forward to use the technology of VPN.In this paper，author discusses the principle and advantages and challenges of VPN in library.In the end，the completed system about network security is discussed.It is hoped that this article is helpful for the development of network in the library of university.

〔Keywords〕multi-district campus;library;VPN;network security

近年來，隨著我國高校管理體制的改革，一大批高等院校合并組建成新的院校，更有些學校通過興建新校區來保證擴招之后的硬件需求。這種情況導致了同一所院校，擁有在地理位置上分散的多個圖書館的格局。不同校區的圖書館之間并不是獨立的，而是一個有機的整體。一般來講，這些圖書館之間是一個“總分”的模式，即以總校區的圖書館作為總館，其他校區的作為分館。后臺工作全部都由總館來負責，如圖書采購、編目、用戶信息管理、數據庫采購、網絡維護、信息發布等;分館主要為本校區讀者提供前臺的信息服務，如圖書借還、參考咨詢等。既然是一個整體，那么總館和分館就要實現資源的共享，實現信息服務的平等性，如各館之間的通借通還，本校讀者能夠查詢到任何一個校區的書目信息，能夠在任何一個校區借書、還書，這就要求圖書館的采編和流通信息能夠通過內部的網絡系統實時地實現共享、保持各館數據更新的同步性。在一個校區，圖書館的書目數據、流通數據、讀者信息的傳遞是通過在本館各部門間構建的廣域網來實現的，這種廣域網只要覆蓋圖書館大樓即可，鋪設的范圍較小，成本較低，并且只限于圖書館的內部傳遞信息，不需要與Internet連接，很大程度上保證了網絡的安全性。但在多校區時期，各館之間的地理距離很遠，分館數量多，如果仍然鋪設專用的網絡，將會遇到非常多的問題。針對這種多校區圖書館網絡信息共享問題，目前效果較好的解決方案是應用VPN(Virtual Private Network)技術。

1 VPN技術概述VPN是一種擴展專用網絡的網絡技術，稱作虛擬專用網，也稱隧道技術。其基本原理是通過綜合利用網絡技術、訪問控制技術和加密技術，并通過一定的用戶管理機制，利用公共網絡中的虛擬“專用網絡”(亦稱隧道)，把數據封裝在隧道協議中，利用已有的公共網絡(如ADSL，ISDN等)建立起安全的“專用”網絡通路實現點到點的直接連接。簡言之，就是通過在兩個校區之間建立一條專用連接，從而達到在公共網絡上傳輸私有數據的目的。多校區圖書館應用VPN技術，只需要租用本地已有的ISP(網絡運營商)公共網絡(如電信、網通的寬帶線路)，總館還要有1臺VPN服務器，服務器的一端連接圖書館的內部網絡，另一端連接租用的公共網絡，而分館最低只需要用交換機聯入這條租用的公共線路，這樣就從物理鏈接層面上構成了VPN，在邏輯上分館的局域網就成為了整個圖書館內部網絡的一個子網。總館和分管之間就形成了一條仿真的內部網，各校區館之間的數據就可以像在同館內一樣自由傳遞了。圖1所示為應用VPN技術的總館與分館連接示意圖。圖1 基于VPN技術的總館與分館連接示意圖

2 圖書館應用VPN技術的優勢與面臨的安全問題

2.1 VPN技術的優勢

2.1.1 節省財力幾個校區之間的距離往往是非常遠的，有的甚至跨越整個城市，這種情況下如果利用光纖去專門鋪設一條專用網絡，那么成本將是非常巨大的，并要消耗大量的時間。而且在城市里如此大跨度的鋪設新光纖，是要以周密的規劃和調研作為前提的，即使政府能夠批準，可能鋪設的線路要曲折的多，成本也要加倍增加。相對于此，如果租用一條已有的網絡，成本將會大大降低，圖書館只要一次性投入VPN服務器、路由器及交換機等很少的一些設備，即使加上每年的租金，相對于鋪設專用網絡以及相應的維護費來說，性價比是很高的。

2.1.2 提高社會資源的利用效率雖然圖書館每天的數據量比較大，但如果利用一條專用線路進行傳輸，確實是大材小用，尤其是在閉館時間，網絡處于閑置狀態，其傳輸效率非常低。如果租用公共線路，不僅提高了公網的利用率、而且避免了網絡閑置現象發生，極大提高了社會資源的利用效率。

2.1.3 具備靈活性和擴展性VPN中最主要的網絡設備是租用的公共網絡，這種應用形式保證了網絡具有充足的靈活性和可擴展性。如果遇到希望對核心網絡升級、圖書館地理位置改變等情況，租用的線路可以很快進行改變，只改變自有設備或改租其他符合要求的線路。如果分館的用戶數量增加，則可以多租用一條線路。同時，VPN網絡能夠被目前幾乎所有的網絡協議所支持，即使網絡的傳輸方式改變了，VPN也能夠正常工作;VPN也能夠支持任何類型的數據流，支持多種類型的傳輸媒介，滿足同時傳輸語音、圖像的需求，方便增加新的節點，增加訪問用戶的數量，具有很高的可擴充性能。

2.1.4 方便維護應用VPN，圖書館不必對整個網絡線路進行維護，這些可以由專業的ISP進行管理，圖書館只要對自有的VPN服務器、交換機、路由器、防火墻以及相應的軟件進行維護就可以了，這些設備都在本館，極大減少了設備維護的工作量。

2.1.5 安全的數據傳輸VPN技術的核心是“隧道”(Tunneling)技術，是通過跨越基于IP協議的公共網建立起的一條安全專用通道，用戶可以跨越公共網絡，安全的進入內部專用網絡實現公網私用。用戶只需連入所在地的ISP，就可以通過ISP骨干網來訪問單位內部網絡資源。VPN采用多種安全協議，如數據鏈路層的點對點隧道協議(PPTP:Point to Point Tunneling Protocol)和第二層隧道協議(L2TP:Layer Two Tunneling Protocol)、網絡層的IP安全協議(IPSec)、TCP層的SOCKs v5協議、多協議標記交換(MPLS VPN)、會話層的安全套接層協議(SSL)等等。保證了傳輸的數據不被窺視和篡改，防止非法用戶對網絡資源或私有信息的訪問等。

2.2 圖書館應用VPN技術所面臨的安全問題VPN技術的優點很多，但也存在一定的安全問題，應用VPN技術要求圖書館內網必須要與公網相連。傳統的圖書館內部管理系統網絡是與校園網分離的，內部網絡是圖書館工作人員所使用的網絡，是圖書館范圍的局域網，覆蓋的范圍是整個圖書館，其主要作用是:采編、流通、讀者信息的存儲維護等工作。由于內網不需要與Internet連接，工作人員以外的人員也無法接觸到，因此其安全性沒有受到太嚴重的威脅。但應用VPN技術，要求與公網相連，使內網的安全性受到了威脅。圖書館內部網絡系統服務器上，保存著大量的書目信息、流通信息、讀者信息等，這些服務器一旦被黑客攻擊或感染病毒，就面臨著信息泄漏、被破壞的危險，后果將不堪設想，嚴重的將會導致整個圖書館業務的癱瘓。基于此種情況，構建VPN環境下圖書館網絡安全體系就顯得十分迫切。

3 安全體系策略的構建當前的網絡威脅非常復雜，僅靠單一方面已無法解決實際的網絡安全問題，因此必須提供由硬件到軟件、由外到內，多個層面來對圖書館內部網絡進行保護，構建整體性的安全體系。

3.1 硬件防護技術硬件是防護體系的第一層，主要利用防火墻來實現。“防火墻”的主要作用是利用硬件設備對來訪的IP地址進行有效性判斷，從而將外網與內網進行隔離，對訪問的數據進行過濾，允許合法的訪問，阻止非法的訪問和攻擊。基于VPN技術的網絡，不能簡單應用傳統的獨立邊界防火墻，而是要應用分布式防火墻，將各館的網絡從邏輯上進行整體防護。這種分布式防火墻在各分館網絡邊緣安裝有子防火墻，能夠對在物理拓撲結構上不屬于內部網，但邏輯上屬于內部網的主機進行保護，其整體安全策略統一由中心館主機進行設置和維護，中心館的維護人員可以通過遠程控制的方式對各防火墻進行管理維護，這樣不僅節約了單獨維護的成本，而且實現了“外網內護”的整體防御策略，使安全性得到了極大提高。外部非法攻擊的主要目標是固定IP地址的主機，如果采用動態IP策略，可以有效地減少遭受非法攻擊的機率。在各館防火墻的網絡出口處增加1臺VPN網關，由網關實現NAT(網絡地址轉換)功能，不僅能夠解決IP地址不足的問題，而且還能夠有效地避免來自外部網絡的攻擊，隱藏并保護內部網絡的計算機。

3.2 入侵檢測技術入侵檢測技術(Intrusion Detective System，IDS)是對入侵行為的發覺， 分析、檢查網絡或系統中是否有違反安全策略的行為和被攻擊的跡象，是主動保護自己免受攻擊的一種網絡安全技術[2]。防火墻需要通過管理員提前設定好的安全策略，來阻止特定的非法訪問，提前的策略配置畢竟不可能面面俱到，也缺少靈活性，對于一些不在防護策略中的非法訪問形式，防火墻就無能為力了，通常就需要利用入侵檢測技術作為防火墻的合理補充，其也被認為是防火墻之后的第二道“防線”。應用入侵檢測技術應當將IDS安置在所有重點流量都必須流經的節點上，通過對這些重要節點中的網絡報文的日志進行統計和監視，主動發現異常情況，在網絡受到危害前發出響應。目前的IDS都是采用pass-by方式來偵聽網絡上的數據流，一旦發現數據流異常，立刻與防火墻聯動，動態修改防護策略，更有效地阻斷所發生的攻擊事件，從而使網絡隱患降至較低限度。

3.3 病毒防護網絡上最大的威脅來源于計算機病毒，公共網絡中的病毒種類繁多、遍布各處，破壞性難以估量，讓人防不勝防，因此病毒防范工作也是保證圖書館內部網絡安全的關鍵一環。目前，對于網絡病毒的防范主要是依靠反病毒軟件，服務器、PC機都需安裝相應種類的正版反病毒軟件，而且病毒庫要及時進行升級，以防范隨時產生的新型病毒。每隔一定的時間，還要對計算機、服務器進行一次全面的病毒查殺工作。另外，系統的漏洞也是病毒入侵的主要途徑，是威脅系統安全的“后門”，即使反病毒軟件正面的防護再嚴密，如果存在背后的系統漏洞，那出現的結果可能就是一條“馬奇諾防線”。因此，管理人員要及時關注軟件供應商發布的系統漏洞消息，如:微軟網站上發布的windows漏洞信息等，并第一時間下載安裝相應的修復補丁，修補漏洞，不留給病毒以可乘之機。

3.4 內部人員規范制度對于網絡安全，防范外網威脅刻不容緩，但內部人員有一個良好的管理規范制度同樣是十分必要的。

3.4.1 設備及系統維護制度包括對設備的定期檢查和保養、系統的定期檢查、反病毒軟件定期升級、定期為服務器和PC機查毒、系統權限分配、常見故障修復等規范制度。這些規范制度是正常工作的基礎，應該作為一種工作準則，由工作人員遵守。

3.4.2 工作人員操作制度工作人員在工作中的些許不規范，即有可能導致整個網絡的癱瘓，所以很多能夠威脅到網絡安全的操作，都應該注意規范。如:一般工作用PC的usb端口和光驅應該禁掉，以防止這些存儲介質上的病毒傳染內網;工作人員的登錄權限要分配明確，用戶名與工作人員相對應，這樣不僅可以防止一般人員的誤操作和惡意操作，也能在出現問題時及時找到責任者，盡快制定補救措施;關鍵設備房間要注意上鎖，以防止無關人員進入;平時還要經常對工作人員進行操作規范以及安全常識的教育等。

3.5 數據備份任何安全體系都不能保證絕對安全，都會有發生意外的可能性，圖書館的數據量非常大，不可恢復，一旦發生意外，很難補救。因此，圖書館必須有未雨綢繆的安全防范意識，定時作好數據備份工作。數據備份可以采取聯機備份和脫機備份相結合的方式，聯機備份是一種實時熱備份的工作模式，采用archivelog mode方式備份數據庫隨時發生的數據改變;脫機備份可以在每天下班后利用移動硬盤，將關鍵性數據進行備份。以上的兩種備份方式，可以保證圖書館網絡出現安全問題、遭受破壞后，能迅速將有用的數據恢復到破壞前的程度，保證損失的最小化。

4 結 語VPN技術為多校區高校圖書館內部網絡通信提供了一種經濟、方便、靈活、功能強大的解決方案，有力地推進了高校圖書館網絡化進程。本文重點討論了VPN技術的安全性問題，在以后不斷的實踐過程中也許還有更多的問題有待討論，但VPN技術的強大優勢決定了其仍然是多校區圖書館組網技術的主要方案，必將會得到更廣泛的應用和發展。

參考文獻

[1]林鴻.防范網絡財務安全問題的對策:構建VPN[J].中國管理信息化，2006，9(7):28-30.

[2]魏念忠.基于VPN技術的多校區校園網絡安全研究[J].微電子學與計算機，2007，24(10):108-110.

[3]張杰.虛擬專用網絡(VPN)技術實現多校區圖書館計算機網絡的安全連接[J].現代圖書情報技術，2003，(S1):168-170.

[4]劉衛國，樓佳.VPN技術在高校圖書館中的應用探討[J].圖書館工作與研究，2007，(6):39-41.

[5]梁炳超，李明炎.VPN技術在高校圖書館遠程訪問中的應用[J].現代情報，2008，(4):82-84.

[6]胡中棟.圖書館網絡的安全可靠性分析[J].微計算機信息，2007，23(21):57-59.