高校圖書館電子閱覽室網(wǎng)絡(luò)安全問題及對策

黎邦群

惠州學(xué)院圖書館 廣東 516017

0 前言

高校圖書館電子閱覽室是指以計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)為基礎(chǔ)，集電子型文獻(如磁盤、光盤、網(wǎng)絡(luò)服務(wù)等)閱覽、咨詢、培訓(xùn)、服務(wù)為一體的現(xiàn)代化多功能閱覽室。隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，電子閱覽室已進入數(shù)字時代的發(fā)展進程，并以其特有的快速、高效和便捷改變著人們學(xué)習(xí)和生活的方式。然而，電子閱覽室所面臨的網(wǎng)絡(luò)安全問題卻不容忽視，如果不采取相應(yīng)的對策，電子閱覽室可能會影響正常的開放使用，影響校園網(wǎng)其他部(室)的網(wǎng)絡(luò)穩(wěn)定，甚至造成整個局域網(wǎng)癱瘓。

1 電子閱覽室所面臨的網(wǎng)絡(luò)安全問題

1.1 計算機病毒

用戶通過攜帶U盤到電子閱覽室使用、WEB訪問、收發(fā)郵件及其他網(wǎng)絡(luò)應(yīng)用而使計算機感染各種病毒。其中木馬是一種基于遠程控制的黑客工具，它通常寄生于用戶的計算機系統(tǒng)中。木馬成為威脅計算機網(wǎng)絡(luò)安全的“主力軍”，利用各種漏洞進行攻擊的惡意代碼，以及 ARP 欺騙是黑客常用的攻擊手段之一。有的學(xué)生網(wǎng)絡(luò)安全意識淡薄，隨意下載、安裝軟件或上網(wǎng)聊天、玩網(wǎng)絡(luò)游戲，不經(jīng)意間進入了極易感染病毒的網(wǎng)站，把木馬和蠕蟲等病毒帶入系統(tǒng)。當其中一臺計算機中病毒后就會成為病毒傳染的源頭，以各種方式傳染其它計算機，導(dǎo)致其它計算機或整個局域網(wǎng)癱瘓。

1.2 人為因素

即人為造成的安全問題，包括人為失誤、人為惡意攻擊等。人為失誤如由于管理員的疏忽，設(shè)置的賬戶密碼過于簡單脆弱極容易被破解、安裝了有安全隱患的軟件，以及開放了多余的服務(wù)與端口等。人為惡意攻擊包括來自內(nèi)部的攻擊和來自外部的攻擊，近些年來，一些在網(wǎng)絡(luò)上從事竊取、破壞資料的攻擊者變得異常活躍。越來越多的病毒，心懷不軌的黑客都將服務(wù)器作為了自己的練手、攻擊目標。人為因素還包括管理制度不健全，安全技術(shù)不過關(guān)等問題。

1.3 軟件漏洞

電子閱覽室安裝的操作系統(tǒng)大多是Windiws的，其存在的各種漏洞已成為網(wǎng)絡(luò)攻擊的一大目標。網(wǎng)絡(luò)設(shè)備和計算機軟件不可能是十全十美的，在設(shè)計和開發(fā)的過程中，不可避免會出現(xiàn)一些缺陷和漏洞。包括網(wǎng)絡(luò)架構(gòu)的漏洞威脅、操作系統(tǒng)的安全漏動、機房軟件系統(tǒng)的漏洞問題等。

由于網(wǎng)絡(luò)協(xié)議(如TCP/IP協(xié)議)的設(shè)計弱點、網(wǎng)絡(luò)操作系統(tǒng)的漏洞、應(yīng)用系統(tǒng)設(shè)計的漏洞、網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷、互聯(lián)網(wǎng)的開放性等特性，電子閱覽室所面臨的網(wǎng)絡(luò)安全問題，絕不容忽視，需要總結(jié)出一套相應(yīng)的管理與維護的對策。

2 管理與維護的對策

2.1 網(wǎng)絡(luò)設(shè)備的管理與維護

2.1.1 交換機

交換機通常是整個網(wǎng)絡(luò)的核心所在，但這一地位使它成為黑客入侵和病毒肆虐的重點對象。交換機作為整個網(wǎng)絡(luò)的接入層核心，如果能對連入該交換機進行訪問和存取網(wǎng)絡(luò)信息的用戶進行區(qū)分和權(quán)限控制，并配合其他設(shè)備，對非授權(quán)訪問和網(wǎng)絡(luò)攻擊進行有效的監(jiān)控和阻止。把網(wǎng)絡(luò)安全的策略盡可能地實施于接入層的交換機上，這樣更能及時發(fā)現(xiàn)并解決問題，提高整個局域網(wǎng)的安全性能。

(1) 劃分虛擬局域網(wǎng)VLAN

VLAN可以在二層或者三層交換機上實現(xiàn)有限的廣播域，它可以把網(wǎng)絡(luò)分成一個個獨立的區(qū)域，可以控制這些區(qū)域是否可以通信。VLAN 可能跨越一個或多個交換機，與它們的物理位置無關(guān)，設(shè)備之間好像在同一個網(wǎng)絡(luò)間通信一樣，如表1。通過VLAN劃分來控制廣播風暴的產(chǎn)生，從而提高整個網(wǎng)絡(luò)的整體性能。

表1 電子閱覽室VLAN劃分示意圖

(2) IP地址、MAC與端口綁定

使用交換機提供的端口的單地址工作模式，即交換機的每一個端口只允許一臺主機通過該端口訪問網(wǎng)絡(luò)，任何其它地址的主機的訪問將被拒絕。當前局域網(wǎng)的ARP欺騙病毒十分普遍，ARP攻擊能使局域網(wǎng)大面積地出現(xiàn)網(wǎng)絡(luò)掉線。通過IP地址、MAC與端口的綁定，是防止ARP攻擊最簡單也是最有效的方法。以H3C E-352為例，將其端口1劃分到Vlan 6，并進行IP地址、MAC與端口綁定的命令如下：

＜H3C＞system-view

[H3C]port access vlan 5

[H3C-Ethernet1/0/1]port access vlan 5

[H3C-Ethernet1/0/1]am user-bind mac-addr 001a-a920-970f ip-addr 192.168.250.6

(3) 進行流量控制

交換機的流量控制技術(shù)把流經(jīng)端口的異常流量限制在一定范圍內(nèi)，避免交換機的帶寬被無限制濫用。流量控制功能能夠?qū)崿F(xiàn)對異常流量的控制，避免網(wǎng)絡(luò)堵塞。

(4) 創(chuàng)建訪問控制列表ACL

ACL不但可以讓網(wǎng)絡(luò)管理者用來制定網(wǎng)絡(luò)策略，針對個別用戶或特定的數(shù)據(jù)流進行允許或者拒絕的控制，也可以用來加強網(wǎng)絡(luò)的安全屏蔽，讓黑客找不到網(wǎng)絡(luò)中的特定主機進行探測，從而無法發(fā)動攻擊。以銳捷 S3550-24為例，創(chuàng)建ACL1，僅允許TCP端口為80的數(shù)據(jù)通過的ACL，并將其應(yīng)用到交換機端口2的命令如下：

RJ3550＞enable

RJ3550#configure

RJ3550(config)#ip access-list extended ACL1

RJ3550(config-ext-nacl)#permit tcp any any eq 80

RJ3550(config-ext-nacl)#exit

RJ3550(config)#interface FastEthernet 0/2

RJ3550(config-if)#ip access-group ACL1 in

2.1.2 防火墻

所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)(Security Gateway)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻是網(wǎng)絡(luò)安全的屏障，可以強化網(wǎng)絡(luò)安全策略，對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計，防止內(nèi)部信息的外泄。防火墻可以減少外部入侵者突破電子閱覽室網(wǎng)絡(luò)系統(tǒng)的可能性，也能阻止電子閱覽室的內(nèi)部用戶發(fā)送未加密的數(shù)據(jù)，從而達到保護網(wǎng)絡(luò)安全的目的。電子閱覽室的防火墻示意圖如圖1所示。

圖1 電子閱覽室的防火墻示意圖

2.1.3 利用網(wǎng)管工具進行網(wǎng)絡(luò)監(jiān)控與診斷

可利用系統(tǒng)自帶的網(wǎng)絡(luò)診斷工具如ping、netstat等命令來進行網(wǎng)絡(luò)監(jiān)控與診斷。條件允許的情況下，還可以購買IPS等專業(yè)的網(wǎng)管硬件。IPS能對電子閱覽室用戶的上網(wǎng)行為進行監(jiān)控與記錄。對不符合規(guī)則的行為進行阻斷、減速、警告及記錄。并利用其日志進行網(wǎng)絡(luò)安全隱患的可靠診斷。

2.1.4 服務(wù)器

在配置各類服務(wù)器時，選擇安裝最少的系統(tǒng)組件、網(wǎng)絡(luò)協(xié)議與系統(tǒng)服務(wù)，僅開放必須的端口。如WEB服務(wù)器，僅需安裝TCP/IP協(xié)議、僅開放TCP端口80端口、并禁用所有的IP端口。加密系統(tǒng)文件、設(shè)置足夠強的系統(tǒng)賬號、限制普通用戶登錄權(quán)限、安裝服務(wù)器版的殺毒軟件、及時打上操作系統(tǒng)漏洞補丁等，盡量減少服務(wù)器的網(wǎng)絡(luò)風險。

2.2 電子閱覽室的管理與維護

2.2.1 硬件管理與維護

硬盤保護卡也稱硬盤還原卡，它可以使計算機硬盤在病毒、誤改、誤刪、故意破壞硬盤的內(nèi)容等非物理損壞的情況下，恢復(fù)到最初的樣子，給機房管理和維護帶來了極大的方便。在每臺工作站裝硬盤保護卡：將工作站硬盤劃分為多個分區(qū)，利用硬盤保護卡來保護系統(tǒng)盤及其他需要保護的區(qū)域。硬盤保護卡的工作原理是通過插在主板上的硬件芯片與硬盤的MBR 協(xié)同工作。作為硬盤保護的一種有效工具，硬盤保護卡可以有效地防范病毒、防止對硬盤的刪、寫操作，在退出系統(tǒng)后會完全恢復(fù)到上機前的狀態(tài)，從而大大減少網(wǎng)絡(luò)機房維護的工作量。

2.2.2 軟件管理與維護

(1) 終端機操作系統(tǒng)管理

可以對電子閱覽室終端機的操作系統(tǒng)進行個性化的安全優(yōu)化配置。首先必須打上最新的系統(tǒng)與軟件的漏洞補丁，通過打補丁可大大增強計算機系統(tǒng)的防病毒和黑客入侵的能力。設(shè)置足夠強度的管理員口令、刪除不必要的系統(tǒng)組件與網(wǎng)絡(luò)協(xié)議、禁用不需要的系統(tǒng)服務(wù)，利用組策略與修改注冊表作出必要的安全策略設(shè)置。通過這些措施，可以使得系統(tǒng)本身具備一定的安全防范能力。

(2) 網(wǎng)絡(luò)殺毒軟件

隨著計算機網(wǎng)絡(luò)的發(fā)展，病毒的危害和傳播已經(jīng)脫離了單機的模式，單機版的病毒防殺系統(tǒng)已經(jīng)無法適應(yīng)網(wǎng)絡(luò)病毒的防殺要求。盡管現(xiàn)在各大單機版殺毒軟件廠商都紛紛宣布永久免費，但是在電子閱覽室中，往往集中了幾十上百臺計算機，集中式網(wǎng)絡(luò)病毒防殺系統(tǒng)，不僅具有病毒防殺范圍廣，病毒庫更新及時、方便，而且具有防殺行動統(tǒng)一、徹底，系統(tǒng)穩(wěn)定、可靠，用戶參與少，整體投資效益高等優(yōu)點，所以條件允許的情況下，還是要盡量選擇網(wǎng)絡(luò)版殺毒軟件。

2.2.3 人員管理

(1) 增強管理員的安全保護意識，提高技術(shù)水平

電子閱覽室的維護與管理需要一支高素質(zhì)的專業(yè)人才隊伍。管理主體是人，無論是設(shè)計和構(gòu)建安全、可靠的網(wǎng)絡(luò)系統(tǒng)，還是日常的教學(xué)網(wǎng)絡(luò)的科學(xué)管理，都需要業(yè)務(wù)精通、技術(shù)水平高的專業(yè)人才。一支技術(shù)過硬、責任心強的專業(yè)隊伍是必不可少的。

(2) 進行上機登記，對用戶加強安全宣傳與普及教育

對來電子閱覽室上機的用戶要進行引導(dǎo)與培訓(xùn)，并進行網(wǎng)絡(luò)安全方面的宣傳教育。通過在醒目位置粘貼“上機需知”告示等措施，提醒用戶遵守閱覽室各項規(guī)則制度，不要從事危害網(wǎng)絡(luò)安全方面的活動。

(3) 制定完善的維護制度，做到定期維護

健全網(wǎng)絡(luò)安全防范的規(guī)章制度，在管理上應(yīng)該積極主動，采取行之有效的管理方法，把技術(shù)手段和管理機制緊密結(jié)合起來，從硬件設(shè)備及軟件系統(tǒng)的使用、維護、管理、服務(wù)等各個環(huán)節(jié)制定出嚴格的規(guī)章制度。

3 總結(jié)

高校圖書館電子閱覽室的網(wǎng)絡(luò)安全管理與維護，是一項長期而復(fù)雜的工作，需要在實際工作中不斷探索，不斷總結(jié)經(jīng)驗，需要學(xué)習(xí)新的知識與技術(shù)，在新形式下對其做出安全評估，作出新的安全防護措施，從而保證電子閱覽室的正常高效使用。本文總結(jié)了電子閱覽室日常實踐經(jīng)驗，以求拋磚引玉，望各同行批評指正。

[1]楊小剛.計算機木馬病毒檢測與防范[J].計算機與信息技術(shù).2010.

[2]趙日峰.服務(wù)器的安全防護措施[J].網(wǎng)絡(luò)與信息.2005.

[3] 馮凱.關(guān)于計算機房網(wǎng)絡(luò)安全的研究與探討[J].全國商情(理論研究).2010.

[4]楊林海.局域網(wǎng)安全交換機的應(yīng)用探討[J].辦公自動化.2010.

[5]宋京紅.計算機公共機房硬盤保護卡的應(yīng)用[J].北華航天工業(yè)學(xué)院學(xué)報.2010.