圖書館信息安全應用技術述評

〔摘 要〕文章針對圖書館面臨的信息安全問題，綜合分析了構建圖書館信息安全保障體系的信息安全技術:物理安全技術、主機安全技術、網絡安全技術、應用安全技術、數據安全技術以及知識產權保護技術，提出了圖書館信息安全保障體系的構成方法，預測了信息安全技術的發展趨勢。

〔關鍵詞〕數字圖書館;信息安全;信息安全技術

DOI:10.3969/j.issn.1008-0821.2010.10.019

〔中圖分類號〕G250.76 〔文獻標識碼〕A 〔文章編號〕1008-0821(2010)10-0071-03

Review on Digital Library of Information Security TechnologyLiu Wanguo Zhang Haoran Fu Xijin

(Library，NorthEast Normal University，Changchun 130024，China)

〔Abstract〕This article generalized the research achievement of information security of digital library.The research fields and key technology of information security technology have been analyzed.The present state and development trend of network information security technology research and development from home and abroad have been discussed.

〔Keywords〕digital library;information security;information security technology

圖書館隨著數字化、國際化和開放進程的加快，伴隨而來的信息安全問題凸現，數據丟失、信息泄密、系統癱瘓、網絡堵塞等等，成為當今圖書館建設和發展的核心問題之一，解決這些問題的主要手段是信息安全技術的應用。因此，綜合考察信息安全技術是有現實意義的。

依據影響信息安全的因素，信息安全技術分為:物理安全技術、主機安全技術、網絡安全技術、應用安全技術、數據安全技術以及知識產權保護技術。

1 物理安全技術

主要包括信息系統物理位置的選擇、物理訪問控制、防盜竊、防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。據權威數據統計，信息系統的大多數故障是由于電力故障引起的。當市電突然中斷或異常時，由UPS、備用電池組、防雷擊電涌模組以及監控軟件構成電力保障核心系統，會依照提前預訂設置進行供電或者報警，以及關閉服務器等操作。因此，電力保障系統是信息系統安全運行的重要物理基礎。

2 主機安全技術

主機系統安全技術主要包括:操作系統、安全審計軟件、反間諜軟件、HIPS軟件等。

3 網絡安全技術

網絡安全技術包括:隔離技術、虛擬專用網、硬件防火墻、入侵檢測系統、防水墻、數據加密技術。

3.1 隔離技術分為兩種:物理隔離、邏輯隔離

其中邏輯隔離，即劃分虛擬局域網(Virtual Local Area Network，VALN)。

VLAN劃分是指把同一個交換網邏輯地分成若干個子網(獨立廣播域)，圖書館內的計算機根據其使用性質及安全要求的不同，可劃分為不同的VLAN，如服務器VLAN、編目VLAN、參考咨詢VLAN、電子閱覽VLAN、OPAC VLAN等。

通過VLAN技術，邏輯的把圖書館局域網分成不同安全級別的多個子網，從而將館內不同業務系統隔離開，提高了圖書館網絡的安全系數與網絡性能。

3.2 虛擬專用網(Virtual Private Network，VPN)

VPN的實現過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。優點:VPN投資小、易管理、適應性強等^[1]。

對于分布在不同地域的圖書館分館，可通過VPN實現各分館的網絡安全互聯。

3.3 硬件防火墻

防火墻型安全保障技術實現簡單，具有先進的認證手段、安全策略、過濾技術、服務代理等功能，是目前應用最為廣泛的網絡安全技術。

硬件防火墻的技術手段主要有:包過濾防火墻(網絡級防火墻)、應用級網關、電路級網關及規則檢查防火墻。

網絡級防火墻一般是基于源地址和目的地址、應用協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個傳統的網絡級防火墻，不能判斷出一個IP包來自何方，去向何處。

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。在實際工作中，應用級網關通常由一臺專用計算機實現，是內外網絡聯結的唯一通道。應用級網關有較好的訪問控制，實現困難，效率不如網絡級防火墻。

電路級網關在OSI模型的會話層過濾數據包，通過監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息，來決定該會話(Session)的合法性。電路級網關提供一個重要的安全功能:代理服務器(Proxy Server)，設置在Internet防火墻網關的專用應用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程序或一個應用的特定功能。

規則檢查防火墻集包過濾防火墻、應用級網關和電路級網關三者的特點:能夠在OSI網絡層上通過IP地址和端口號，過濾進出的數據包;能夠在OSI應用層上檢查數據包的內容，查看其是否符合企業網絡的安全規則;能夠檢查SYN和ACK標記和序列數字是否邏輯有序。規則檢查防火墻依靠某種算法來識別進出應用層的數據，理論上比應用級網關在過濾數據包上更有效。

防火墻本身也有一定的局限性，包括不能防范不經由防火墻的攻擊;不能防止由用戶操作造成的威脅、以及由于口令泄露而受到的攻擊;不能防止受病毒感染的軟件或文件的傳輸;不能防止數據驅動式的攻擊^[2]。

3.4 基于網絡的入侵檢測系統

入侵檢測系統(Intrusion Detection Systems，IDS)包括3部分:信息的收集和預處理、入侵分析引擎、結果響應和恢復系統。

IDS主要功能包括檢測并分析用戶在網絡中的活動，識別已知的攻擊行為，統計分析異常行為，核查系統配置和漏洞，評估系統關鍵資源和數據文件的完整性，管理操作系統日志，識別違反安全策略的用戶活動等^[3]。

數字圖書館在服務器區增設入侵檢測設備，通過入侵檢測控制臺實現對重要服務器的保護，并與防火墻實現聯動，刻意及時有效地阻斷外部非法入侵者的網絡訪問。

未來的入侵檢測系統將向著分布式和智能化的方向發展。傳統集中式入侵檢測是在不同網段中收集當前網絡狀態信息，然后將其傳送到中央控制臺進行處理和分析，但此模式難以適應大規模分布式入侵;分布式入侵檢測則從多個不同的關鍵點收集信息用于檢測。智能化入侵檢測是指將神經網絡、遺傳算法、模糊技術、免疫原理等人工智能方法應用于入侵檢測領域。

3.5 防水墻

防水墻的設計旨在防止內部信息像水一樣外泄。防水墻一般具有以下功能:信息泄漏防范、系統用戶管理、系統實時運行狀況監控。

防水墻是對防火墻、虛擬專用網、入侵檢測系統等多種安全設備所提供安全服務的有效補充。

3.6 數據加密技術

數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要技術手段之一，與防火墻配合使用。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息。保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密3種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。

4 應用安全技術

應用安全包括身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件控制、資源控制，主要屬于制度建設范疇或者根據某個具體應用，及其安全需要研發的專門軟件或者制定的一系列操作規范、流程等。

5 數據安全技術

數據安全技術包括:數據存儲技術和容災技術。

5.1 數據存儲技術

包括RAID、存儲區域網絡(Storage Area Network，SAN)等。利用RAID可存儲大容量數據，且有較好性能，其冗余存儲技術也在一定程度上保障了數據的安全，對更大的存儲需求可用SAN、NAS技術對其進行擴展。

SAN是一種高速專用網絡，允許服務器在共享存儲裝置的同時高速傳送數據。

5.2 容災技術

包括本地容災技術和異地容災技術。容災技術細節包括:遠程鏡像技術、快照技術、虛擬存儲、基于IP的SAN互聯技術、災難恢復技術。

本地容災技術主要指數據備份技術，建立本地容災系統的做法有:磁帶機備份、光纖磁盤陣列、雙熱備份、磁盤鏡像、關鍵部件冗余(服務器冗余)、定期監測和維護。其中服務器冗余技術可以大幅提高服務器的安全性和持續能力。

異地容災的關鍵技術包括網絡技術、存儲技術與解決方案。數字圖書館的關鍵應用包括書目數據中心、讀者借閱信息以及自建數據庫等，對于這些海量的空間數據，只有本地數據備份是遠遠不夠的^[4]。建立異地容災系統，利用廣域網進行數據遠程異地備份，當數據中心被突發因素破壞時，可以迅速恢復運行環境、應用以及數據。

6 知識產權保護技術

知識產權保護是信息安全工作的重要方面，對知識產權的保護，可采用技術手段來防止未經授權而使用版權人的資源，保護信息擁有者和最終用戶的利益^[5]。

應用于數字資源知識產權保護的主要技術包括:信息隱藏技術和數字水印技術。信息隱藏技術是指利用數字媒體信息普遍存在冗余的特點，將秘密信息隱藏在宿主媒體中，其首要目標是使加入隱藏信息的目標媒體的質量下降最小，使外部無法覺察到隱藏信息，或者明知存在，但未經授權無法查知其位置。

7 結束語

由于在信息技術領域缺乏自主核心技術，我國信息安全防范能力始終受到制約?；ヂ摼W始終處于被竊聽、干擾、監視和欺詐等信息安全威脅中，信息安全處于極脆弱的狀態。

2008年4月22日，由中國電子信息產業發展研究院主辦、中國計算機報承辦的“舉行的第九 屆中國信息安全大會”，揭示出未來信息安全發展的大趨勢，即面向應用和行業的安全，只 有將人才、技術、管理有機融合在一起，建立起務實長效的信息安全保障體系，才是真正有 生命力的安全。

可信化(信息化)、網絡化、標準化、集成化是未來信息安全技術發展的重要方向。在實際應用中，只有根據實際情況，綜合各種安全技術的優點，才能形成一個由多種安全技術構成的圖書館信息安全保障體系。

參考文獻

[1]郭嘉鑫.電子商務信息安全技術研究[J].硅谷，2009，(6):46.

[2]鄧娟.計算機信息安全問題研究[J].科技資訊，2009，(8):15.

[3]劉春林.《網絡安全攻擊與防范技術》

[4]王尊新.容災技術在圖書館信息安全中的應用[J].現代情報，2006，(6):113-117.

[5]李媛.近5年來數字圖書館信息安全問題研究綜述[J].圖書館學研究，2005，(12):10-15.