開源的數字圖書館網絡安全多層防護體系研究

李鎮偉

關鍵字：開源軟件；數字圖書館；網絡安全；防護

摘 要：隨著數字圖書的建設與發展，因網絡開放而出現的網絡安全問題也日顯突出，但由于經費的原因，很多圖書館都只購買一部分的網絡安全軟件進行網絡防護。文章通過對數字圖書網絡安全的隱患問題、保護技術及開源軟件的安全性進行分析，提出利用免費的開源軟件構建數字圖書館網絡安全多層防護體系的解決方案。

中圖分類號：G250.7文獻標識碼：A 文章編號：1003-1588（2009）02-0105-03

The Research on Multi-protect System in Network Security

ofOSSfor Digital Library

Li Zhenwei

(Library, Jieyang vocational and technical college Jieyang522051,China)

Key Words: OSS, Digital Library, Network Security, protection

Abstract：With the Digital Library in the construction and development, the emergence of network security issues as the more obvious each day because of an open network. Due to financial reasons,many of the library only purchase a part of the network security software for network protection. This article analysis the network security vulnerability ofthe Digital Library、network?Security Protection Technology and the security of open source software. Also, the author gives a Multi-protect System solutions in Network Security base on the open source software for the Digital Library.

隨著計算機及網絡技術的發展，很多圖書館正逐步開展文獻資源數字化、讀者服務網絡化等全方位的網絡信息服務，建設數字圖書館。隨著這些應用的推進，數字圖書館的網絡安全問題也日顯突出，建立一個安全、穩定的網絡安全防護體系，對數字圖書的建設與發展尤為重要。眾所周知，很多圖書館的發展一直都受到經費短缺的困擾［1］［2］，而數字圖書館的建設，需要新購許多的基礎設施，如計算機、數字化設備、通訊設備、存儲設備等等，經費問題更是制約其發展的一個重要因素［3］。因此，免費的開源軟件為數字圖書館的網絡安全建設提供了一個選擇，本文借此對使用開源軟件構建數字圖書館的網絡安全防護體系進行了探討，以期為經費短缺的圖書

館進行網絡安全建設提供多一個參考方案。

1 數字圖書館網絡安全隱患及保護技術

數字圖書館網絡安全是指數字圖書館網絡系統的各個組成部分不受偶然的或惡意的原因而遭到破壞、篡改和泄露，并且確保數字圖書館網絡系統能連續正常運行的機制，其最終目的是要達到數字圖書館網絡信息處理和傳輸過程中保持可靠的機密性、完整性、可用性和可控性［4］。數字圖書館的網絡安全技術就是指為數字圖書館數據處理系統的建立和正常運行所采用的安全保護技術。當前，在數字圖書館建設中主要存在以下幾個方面的網絡安全問題：

（1）網絡設備安全。網絡設備是數字圖書館網絡正常運行的物質基礎。其安全主要包括：各類計算機設備、網絡通訊設備以及各種存儲介質（磁盤、磁帶、硬盤和CD-ROM）的安全。主要涉及信息及信息系統的電磁輻射、抗惡劣工作環境等方面的問題。面對的威脅主要有自然災害、電磁泄露、通信干擾等。主要的計算機保護技術有數據和系統備份、容錯等。

（2）網絡運行安全。網絡的正常運行是數字圖書館服務的效率保證，其運行安全主要是網絡與信息系統（操作系統、數據庫系統和應用系統）的運行過程和運行狀態的安全。主要涉及信息系統的正常運行與有效的訪問控制等方面的問題。面對的威脅包括網絡病毒、網絡攻擊、漏洞利用等。主要的計算機保護技術有訪問控制、病毒防治、漏洞掃描、入侵檢測等。

（3）網絡數據安全。網絡的數據安全是數字圖書館服務的質量保證，其安全主要是數據(信息)的生成、處理、傳輸、存儲等環節中的安全。主要包括：元數據、對象數據和用戶數據等的泄密、破壞、偽造、否認等方面的問題。面對的威脅主要包括對數據(信息)的竊取、篡改、冒充、抵賴、破譯、越權訪問等。主要的計算機保護技術有加密、認證、訪問控制、簽名等。

為了確保數字圖書館網絡的安全，保證信息服務的順利開展，必須對數字圖書館信息網絡實施多層的保護，加強安全防范［5］。

2 開源軟件的安全性

軟件的安全分析工程師都秉承這樣一個理論，就是復雜系統應具備約105h的平均無故障時間(mean time before failure，MTBF)，這必須經過很多時間的測試，這種可靠度增長模型同樣也應用在系統漏洞的測試評估中。開源軟件提供源代碼給使用者的這種方法，使得系統可以比專利系統有更多的時間不停測試、有越多的眼睛盯著，這就越能發現開源軟件中的漏洞（many eyes原理），開源軟件開發過程中的這種同行評審使其安全性獲得了更高的保障［6］。代碼分析企業Coverity的一份報告顯示，他們在Linux內核的570萬行語句中只發現了985個bug；可以比較的是，卡耐基梅隆大學的CyLab實驗室所進行的一個研究顯示，具代表性的商業性閉源程序每一千行語句平均就帶有20-30個bug。在另一次調查中顯示，美國國防部已經部署有251個Linux或者開源軟件。所有這些，我們雖然無法直接證明開源軟件擁有著很高的安全性，但至少可以說明一點：開源軟件的安全性不比商業性閉源軟件的差。

3 開源的數字圖書館網絡安全多層防護體系

多層防護就是在網絡的各個層次上，如在用戶桌面、服務器、Internet網關及防火墻等位置部署相關的網絡安全產品，實現對數字圖書館網絡環境、網絡主機和網絡應用進行全方位安全保護。

3.1 使用SmoothWall Express創建一道安全的防火墻

防火墻是一種保護計算機網絡安全的技術性措施，它實質就是為了保證網絡的安全性而在網絡內部和外部之間的界面上構造一個保護層，所有的內外網連接都強制性地經這個保護層接受檢查過濾，以阻止外部網絡的入侵。在數字圖書館中，它是圖書館內部網絡和外部網絡安全域之間信息的唯一出入口，能根據制定的安全策略控制（允許、拒絕、監測）出入網絡的信息流。

SmoothWall Express是一個開源、并基于GNU/Linux操作系統的防火墻軟件。它內置了Linux系統的內核，可以直接安裝在服務器上，布署于網關上。SmoothWall同時支持ISDN、ASDL/Cable和多網卡等網絡設備，出于易于操作的原因，SmoothWall可以使用web界面來配置和管理安全策略與規則。

3.2 使用Snort創建一個安全的入侵檢測系統

利用防火墻技術通常能夠在內外網之間提供安全的網絡保護，但是，如當發生來自網絡外部的入侵者穿透防火墻而進入內部網或當攻擊來自網絡內部時，防火墻就無法對攻擊進行響應或阻斷。入侵檢測系統(IDS)是網絡的防盜警報，它通過從計算機網絡和系統的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為或遭到入侵的跡象，并依據既定的策略采取一定措施的技術。

開源入侵檢測系統Snort是一個跨平臺的軟件，提供實時分析網絡流量、比較報文內容、檢測各種網絡攻擊及探測，例如：0S辯識、緩沖溢出(buffer overflow)、秘密探測(stealth probe)、CGI攻擊等。它的外部采用模塊化外掛程序架構，當取得新包時，先用預處理程序(preprocessor)處理，再和規則作對比，如果發現攻擊則發出警告。由于它的入侵檢測規則是完全開放的，也就是說，在布署時可以針對自己的網絡系統，設計自己的入侵檢測規則，不像其它入侵檢測系統一樣，其入侵檢測規則是由設計公司寫死的，你要修改或增加都沒辦法。

3.3 使用OpenVPN創建一個安全訪問接口

VPN（Virtual Private Network）即虛擬專用網，是指利用公用網絡為用戶提供專用網的所有各種功能。VPN技術的核心是采用隧道技術，主要負責將內部網絡的數據經過加密、協議封裝和壓縮處理后再嵌套入另一種協議的數據包，送入虛擬公網隧道中，像普通數據包一樣進行傳輸。當前，數字圖書館大部分的數字資源出于版權保護與有償使用的需求，對資源采取了限制IP地址范圍訪問的手段，這樣導致了大部分的電子資源僅能在校園網范圍內訪問，VPN可為數字圖書館提供一個可管理、可認證、安全的遠程訪問電子資源的解決方案，從而滿足更多師生在校處訪問館藏電子資源的需求。

OpenVPN是一個具備完全特征的SSLVPN開源軟件，能夠進行大范圍的配置操作，包括遠程訪問、站點-站點間VPN、WiFi安全及企業級遠程訪問解決方案，支持負載均衡，錯誤恢復及細粒度的訪問控制。OpenVPN通過使用工業標準SSL/TLS協議，實現了OSI2層及3層安全網絡擴展，支持靈活的基于證書、智能卡的客戶端認證方法，它同時允許通過在VPN虛擬接口上應用防火墻規則實現用戶及組訪問控制策略。

3.4 使用ClawAV創建一個無病毒的網絡環境

計算機病毒是一種能對計算機系統進行破壞的程序，如果系統感染病毒，小則破壞工作站操作系統，大則攻擊服務器導致整個信息系統的數據丟失、服務中止、系統癱瘓。數字圖書館從編目到流通都依賴于計算機應用系統，如果因病毒而引起網絡安全問題，不但圖書館的日常工作、服務不能開展，還可能因為數據的丟失造成經濟上、人力上的損失，嚴重的話，后果可能不堪設想。因此，防范病毒也是確保數字圖書館網絡安全的一個重要環節。

ClamAV全名是ClamAntiVirus，是一套功能非常優秀的開源防毒軟件。它擁有定時掃描、在線更新病毒庫、實時監控等功能，和市面上知名商業防毒軟件比起來一點也不遜色。ClamAV目前可以檢測超過500,000種以上的病毒、蠕蟲、木馬程序，并且有一組分布在世界各地的病毒專家，24小時維護病毒庫，任何人發現可疑病毒可以隨時跟他們取得聯系，立刻更新病毒庫。ClamAV可以安裝于數字圖書館網絡中的工作站及服務器上進行病毒防范。

3.5 使用Amanda創建一個安全的數據備份

在數字圖書館這樣一個開放的網絡環境中，隨時會因為各種原因而使計算機網絡系統拒絕服務。這種原因可能來自硬件，也可能來自軟件；可能是人為的，也可能是客觀因素造成的。不管怎樣，當這種災難來臨時，我們要做的就是盡快恢復系統的運行，為讀者提供正常的服務，而做到這一點的前提就是系統和數據的備份。

Amanda(Advanced Maryland Automatic Network Disk Archiver，馬里蘭高級自動網絡磁盤存檔工具)是一個開源的、復雜的網絡備份系統。Amanda可以綜合使用完全備份和增量備份把局域網中所有計算機的數據備份到一臺服務器的存儲器上；它通過建立“archive sets”的一組磁帶，用來備份在Amanda的配置文件中所列出的完整的文件系統，它同時能夠使用臨時保存磁盤作為備份存檔的中間存儲媒介，以優化磁帶的寫入性能并保證在磁帶出錯時也能備份數據。

3.6 使用OpenCA創建一座安全的認證中心

PKI是“Public Key Infrastructure”的縮寫，通常被譯為“公鑰基礎設施”，是一種遵循既定標準的密鑰管理平臺。它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是網絡信息安全的關鍵和基礎技術。

OpenCA是OpenCA Labs開源組織一直在致力開發的一套免費PKI軟件，通過使用OpenCA，單位可以構建自己的PKI系統。OpenCA由四個主要部分組成，即CA，RA，PUB，NODE；簡單來說PUB是對外提供服務的接口，用戶可以在PUB的WEB界面提交自己的注冊請求、查詢請求等等；RA主要負責來處理經由PUB提交過來的用戶請求，來決斷是否批準這些請求；CA則根據RA批準的請求來最終簽發證書；NODE負責在RA和CA之間傳輸數據。

4 小結

通過對開源軟件中源碼的應用研究，我們也能進行新技術的學習與研究，有可能使圖書館掌握軟件開發的核心技術并構建成熟穩定的系統；同時，使用開源軟件可以明顯節約圖書館的經費［7］。因此，在數字圖書館網絡安全防護體系建設中布署免費、安全、功能豐富的開源軟件是行之有效的，并且也是一個值得提倡的好選擇。

參考文獻：

［1］ 趙懷生.未來圖書館法中圖書館經費規定的思考［J］.河南圖書館學刊，2003,(1).

［2］ 陳振興等.論圖書館經費短缺的問題與對策［J］.黔東南民族師范高等?？茖W校學報，2003，(1).

［3］ 曹東.我國數字圖書館建設現狀及存在的問題［J］.晉圖學刊，2005，(2).

［4］ 陳靜科等.數字圖書館的網絡安全與防范［J］. 情報雜志，2003，(5).

［5］ 王志紅.談圖書館網絡安全［J］.中國圖書館學報，2005，(5).

［6］ 徐行.開放源碼軟件的安全性分析及政府應對策略［J］.Internet:共創軟件，2002，(5).

［7］ 林敏.試論圖書館使用開源軟件的益處及注意事項［J］.大學圖書館學報，2006，(3).