淺析圖書館網(wǎng)絡攻擊常見形式和電子圖書館防火墻的部署

王小娥

關鍵詞:網(wǎng)絡攻擊形式；電子圖書館；防火墻

摘 要：簡要介紹了在網(wǎng)絡環(huán)境下圖書館網(wǎng)絡遭受攻擊的形式、提出了電子圖書館相應解決方法及防火墻部署。

中圖分類號：G250.7文獻標識碼：A 文章編號：1003-1588（2009）02-0058-02

由于電子圖書館的公開性和開放性，系統(tǒng)的安全性、可靠性成為電子圖書館建設的重要部分。

以下論述了網(wǎng)上攻擊圖書館網(wǎng)絡的常見形式以及電子圖書館防火墻部署原則，并從其部署的位置詳細闡述了防火墻的選擇標準。

1 圖書館網(wǎng)絡遭受攻擊的常見形式

1.1 利用圖書館網(wǎng)絡系統(tǒng)漏洞進行攻擊

許多網(wǎng)絡系統(tǒng)都存在著這樣那樣的漏洞，這些漏洞有可能是系統(tǒng)本身所有的，如WindowsNT、UNIX等都有數(shù)量不等的漏洞，也有可能是由于網(wǎng)管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統(tǒng)入侵等攻擊。

對于系統(tǒng)本身的漏洞，可以安裝軟件補丁；另外，圖書館網(wǎng)絡管理者也需要仔細工作，盡量避免因疏忽而使他人有機可乘。

1.2 通過電子郵件進行攻擊

電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。這一點和“拒絕服務攻擊（DDOS）比較相似。

對于遭受此類攻擊的郵箱，可以使用一些垃圾郵件清除軟件來解決。其中常見的有SpamEater、Spamkiller等，Outlook收信軟件同樣也能達到此目的。

1.3 解密攻擊

在互聯(lián)網(wǎng)上，使用密碼是最常見并且最重要的安全保護方法，用戶時時刻刻都需要輸入密碼進行身份校驗。而現(xiàn)在的密碼保護手段大都認密碼不認人，只要有密碼，系統(tǒng)就會認為你是經(jīng)過授權的正常用戶，因此，取得密碼也是黑客進行攻擊的重要手法。

取得密碼有多種方法，一種是對網(wǎng)絡上的數(shù)據(jù)進行監(jiān)聽。因為系統(tǒng)在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務器端，而黑客就能在兩端之間進行數(shù)據(jù)監(jiān)聽。

但一般系統(tǒng)在傳送密碼時都進行了加密處理，即黑客所得到的數(shù)據(jù)中不會存在明文的密碼，這給黑客進行破解又提了一道難題。這種手法一般運用于局域網(wǎng)，一旦成功攻擊將會得到很大的操作權益。

另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟件對嘗試所有可能字符所組成的密碼，但這項工作十分費時，不過如果用戶的密碼設置得比較簡單，如“12345”、“ABC”等那有可能只需一眨眼的功夫就可破解。

為了防止受到這種攻擊的危害，用戶在進行密碼設置時一定要將其設置得復雜，也可使用多層密碼，或者變換思路使用中文密碼，并且不要以自己的生日和電話甚至用戶名作為密碼。因為一些密碼破解軟件可以讓破解者輸入與被破解用戶相關的信息，如生日等，然后對這些數(shù)據(jù)構成的密碼進行優(yōu)先嘗試。另外應該經(jīng)常更換密碼，這樣使其被破解的可能性又下降了不少。

1.4 后門軟件攻擊

后門軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法取得用戶電腦的超級用戶級權利，對其進行完全的控制，除了可以進行文件操作外，同時也可以進行對方桌面抓圖、取得密碼等操作。

后門軟件分為服務器端和用戶端，當黑客進行攻擊時，會使用用戶端程序登陸上已安裝好服務器端程序的電腦，這些服務器端程序都比較小，一般會隨附帶于某些軟件上。有可能當用戶下載了一個小游戲并運行時，后門軟件的服務器端就安裝完成了，而且大部分后門軟件的重生能力比較強，給用戶進行清除造成一定的麻煩。

1.5 拒絕服務攻擊

互聯(lián)網(wǎng)上許多大網(wǎng)站都遭受過此類攻擊。實施拒絕服務攻擊（DDOS）的難度比較小，但它的破壞性卻很大。具體手法就是向目的服務器發(fā)送大量的數(shù)據(jù)包，幾乎占取該服務器所有的網(wǎng)絡寬帶，從而使其無法對正常的服務請求進行處理，從而導致網(wǎng)站無法進入、網(wǎng)站響應速度大大降低或服務器癱瘓。

現(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對服務器進行拒絕服務攻擊的進攻。它們的繁殖能力極強，一般通過Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件，使郵件服務器無法承擔如此龐大的數(shù)據(jù)處理量而癱瘓。

2 電子圖書館的防火墻設置

網(wǎng)絡防火墻技術作為內部網(wǎng)絡與外部網(wǎng)絡之間的第一道安全屏障，可以有效的防止各種網(wǎng)絡攻擊，因此最先受到人們重視。就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務器（也稱應用網(wǎng)關）也集成了包濾技術，這兩種技術的混合應用顯然比單獨使用更具有優(yōu)勢。應該在哪些地方部署防火墻呢?首先,應該安裝防火墻的位置是圖書館內部網(wǎng)絡與外部Internet的接口處,以阻擋來自外部網(wǎng)絡的入侵;其次,如果圖書館內部網(wǎng)絡規(guī)模較大,并且設置有虛擬局域網(wǎng)(VLAN),則應該在各個VLAN之間設置防火墻;通過公網(wǎng)連接的高校總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將高校總部與各分支機構組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是校園內部網(wǎng)絡還是與外部公網(wǎng)的連接處,都應該安裝防火墻。

2.1 防火墻的選擇

電子圖書館選擇防火墻的標準有很多,但最重要的是以下幾條:

2.1.1 作為網(wǎng)絡系統(tǒng)的安全屏障,其總擁有成本不應該超過受保護網(wǎng)絡系統(tǒng)可能遭受最大損失的成本。以一個圖書館的網(wǎng)絡系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于圖書館來說,其所造成的負面影響和連帶損失也應考慮在內。

2.1.2 防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統(tǒng)內部,網(wǎng)絡系統(tǒng)也就沒有安全性可言了。

通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理。這類問題一般圖書館根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對圖書館來說,保守的方法是選擇一個通過多家權威認證機構測試的產(chǎn)品。其二是使用不當。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

2.1.3 管理與培訓

我們已經(jīng)談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。圖書館內部人員的培訓和日常維護費用通常會占據(jù)一定的比例。一家優(yōu)秀的安全產(chǎn)品供應商必須為其用戶提供良好的培訓和售后服務。

2.1.4 可擴充性

在電子圖書館系統(tǒng)建設的初期,由于內部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡的擴容和網(wǎng)絡應用的增加,網(wǎng)絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產(chǎn)品應該留給圖書館足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴大了產(chǎn)品覆蓋面。

2.1.5 防火墻的安全性

防火墻產(chǎn)品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實際應用中檢測安全產(chǎn)品的性能是極為危險的,所以圖書館在選擇防火墻產(chǎn)品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產(chǎn)品。

網(wǎng)絡環(huán)境下的圖書館信息安全性問題，目前也正處于研究和發(fā)展階段，由于計算機運算速度的不斷提高，網(wǎng)絡安全技術將成為信息網(wǎng)絡發(fā)展的關鍵技術。21世紀人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡安全技術的有力保障，才能形成社會發(fā)展的推動力。在我國電子圖書館安全技術的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們去研究、開發(fā)和探索，在大家的一起努力下一定可以建立一個可靠安全的網(wǎng)絡機制，以更好的服務讀者。

參考文獻：

［1］ 劉蘊，郭吳天．計算機網(wǎng)絡安全與防火墻技術［J］．農業(yè)網(wǎng)絡信息，2004，(6).

［2］ 冉曉里．防火墻入侵檢測系統(tǒng)和漏洞評估［J］．現(xiàn)代通信，2003，(4)．

［3］ 蔡立軍．計算機網(wǎng)絡安全技術［M］．北京：中國水利水電出版社，2001.