融入校園網安全認證體系的圖書館網絡改造實踐

摘要：文章關注較早開展網絡建設的高校圖書館網絡改造問題，著重探討了發起改造的原因，并闡述了新時期這類圖書館網絡建設的基本思路，梳理了在改造實踐中產生的共性問題。

關鍵詞：高校圖書館；圖書館網絡；網絡改造；校園網

中圖分類號：G250.7 文獻標識碼：B 文章編號：1008-0821（2012）07-0024-05

隨著網絡技術的不斷發展及圖書館數字化建設的推進，網絡己成為數字圖書館的重要基礎設施，只有高性能、高帶寬、高穩定性的網絡服務，才能滿足讀者方便、快捷的數字資源使用需求。網絡建設起步較早的高校圖書館，經過十余年建設，其網絡設備逐步進入更新換代期，網絡結構形式、帶寬分配方式與網絡安全管理也不能適應新的網絡應用需求，必須著手對網絡進行改造和升級，使之能持續、高效、穩定的運行。本文擬以揚州大學圖書館為例，說明圖書館網絡改造中所涉及的一些普遍性問題。

1、為什么要改造

1.1 主力設備亟需更新

我國高校圖書館的大規模網絡建設約起步于上世紀末本世紀初，這一時期，許多高校圖書館購進路由與交換設備，將原有的非標準的局域網通過校園網聯入因特網，實現了網絡建設的第一次跨越，形成了校園網中的圖書館子網，擁有了自己的網絡核心層、匯聚層、接入層及服務器群，并基于校園網平臺，開展自己的資源組織與服務。十余年來。網絡技術一直在進步，表現在網絡設備上，無論是核心還是接入層，均經過了若干次更新換代，而許多圖書館限于經費體制，上一輪建設中引進的主力設備卻一直未能得到更新，超期服役或帶病服役的現象較為明顯。揚州大學圖書館于2001年主館落成之際，引進思科6509核心交換機及一批3500系列與2900系列接入交換機，至改造前使用年限已超10年，遠遠超出電子設備4～8年的使用年限。因此必須對老舊設備進行更新換代，才能保證最基本網絡應用。進而促進形成穩定高效的網絡使用環境，實現圖書館網絡建設的新跨越。

1.2 結構形式不適應新的網絡應用

在校園網中，圖書館子網一般有這樣幾種結構形式：①依托校園網的開放結構：不同校區圖書館內部所有的工作機、服務器均配置公網IP，圖書館內的用戶可以直接訪問互聯網，圖書館外的用戶也可以直接訪問內部服務器。該方案未能充分考慮數據安全問題。適合于IP地址需求不大的高校圖書館；②獨立子網結構：多個分館與總館之間通過光纖直連，自成一個獨立子網絡，圖書館內部的設備全部配置私網IP，不與校園網有任何物理或邏輯上的連接，提供Web等公共信息服務通過代理服務器和防火墻與校園網連接。適合IP地址需求較大的高校圖書館。③VIAN半開放：通過校網絡中心，將不同校區的圖書館用戶、對內服務器群與對外服務器群劃分在不同的VLAN（虛擬網技術）里，工作機根據需要配有兩種IP，或是公網IP，或是私網IP。內部服務器則只配私網IP，外部Web服務器只配公網IP。這樣，圖書館內的用戶可以訪問內部的服務器。也可以直接訪問互聯網，而圖書館外的用戶只能訪問外部的Web服務器等。④VPN：僅借助校園網的線路，采用隧道技術以及加密、身份認證等方法，在校園上構建VPN（虛擬專用網）。VPN技術實現了內部信息在外部網絡中的傳輸，就如同在茫茫的廣域網中拉一條專線，對于圖書館內部來講校園網起到了“虛擬專用”的效果。⑤NAT邏輯封閉結構：僅借助校園網的線路，圖書館內的工作機與服務器只配有私網IP，每個校區均安裝路由器，通過路由器設置服務器私網IP與公網IP的轉發功能，同時在路由器上設置只能讓本部門的計算機訪問內部專用的服務器。這樣，圖書館內的用戶通過路由器可以訪問內部的服務器，也可以訪問互聯網；圖書館外的用戶只能訪問對外的服務器，無法進入內部網絡。

以上5種結構形式，盡管都解決了圖書館子網聯入校園網的問題，但均存在局限性，要么IP需求過多，要么數據安全存在問題。要么受制于隧道與加密技術，要么適用于小型的單校區高校，要么成本過高。其中尤以全面依托校園網結構、VIAN形式、NAT結構應用最廣，專線與VPN應用相對較少。5種結構形式的比較如表1。

揚州大學圖書館是一個規模較大的合并高校圖書館，現擁有4個館舍，總面積達9萬平米，其中超過3萬平米的館舍有2個，服務學校3萬在校師生員工。圖書館子網采用了獨立子網結構，并使用VLAN技術將圖書館子網劃分為服務器群區、辦公功能區、查詢功能區、電子閱覽功能區等幾個虛擬專網；圖書館獨立子網有相對獨立的核心層、匯聚層及接入層；信息中心分配了1個C類公網地址，供圖書館通過私網與公網IP結合的方法將該館600多臺服務器與工作站全部聯入校園網，并提供相應的網絡服務。這種形式盡管在較長時間里解決了圖書館網絡應用的需求，但存在耗費公網II，多、配置復雜及端口平均帶寬低等弊端，在今天建設高性能、高帶寬、高穩定性網絡的背景下，顯得越來越不適應網絡技術與時代的發展，與設備老化因素夾纏，亟待通過應用新技術及方案來改造現有網絡。

1.3 網絡安全審計一直被詬病

按照上級主管部門及公安部對網絡的統一管理要求，入網用戶須經過實名認證，1人1個賬號，用戶IP實行動態分配，對用戶的上網行為要求記錄備案可查。同時，網絡管理者或運營者必須記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名等信息，能夠記錄并留存用戶使用互聯網網絡地址和內部網絡地址對應關系，并保留3個月上上網日志信息備查，以便公安機關公共信息網絡安全監察部門在需要時進行追查。圖書館子網必須在信息安全方面達到公安部門、上級主管部門的技術要求，保證網絡的穩定良好運行，因此必須嚴格實行網絡實名制管理，倡導規范上網、文明上網、健康上網，營造良好的校園網絡環境。

以揚州大學為例，在2007年實施校園網改造時。該校在部分區域及辦公樓部署了銳捷CSN全局安全網絡解決方案。該方案由認證計費管理平臺（RG-SAM）、安全策略平臺（RG-SMP）、安全修復平臺、入侵防御系統（IDS）、安全交換機（RG-Switch）、安全客戶端（SU）等幾部分組成。在新校區建設中，為保證系統的穩定性和可靠性，將認證計費管理平臺升級成集群版（兩套SAM），主要用于新校區與老校區部分樓宇用戶的認證計費和管理，目前這種管理方式已經在學校全面推開，校信息中心力圖在一定時期內通過這種管理方式，將全校用戶及網絡終端全部納入這種管理范疇中去。上文所述，圖書館子網一直采用VLAN方式組網，在某些功能區域，實名認證及安全審計方面未能達到信息安全保護規定要求，同時，圖書館的一些重要服務器在學校全局安全策略、安全修復、IDS、安全防火墻、安全客戶端保護之外。必須進行整改。

1.4 靜態IPv4管理方式存在局限性

由于目前網絡使用的協議是IPv4，該協議本身具有一定的缺陷；這種管理方式復雜，盜用現象嚴重。同時多校區高校已是普遍現象。這類高校圖書館除了內部業務用機、OPAC檢索用機、IC場所用機外，電子閱覽室用機是很大一塊，部分高校圖書館大機房可能多達3～4個。在數字化程度越來越高的今天，圖書館的館藏將由紙質型向E-ON-LY過渡，圖書館電子資源的多途徑組織與揭示、校內外無縫訪問將需要更多的IP地址。學校信息中心不可能給足圖書館IP，一般來說圖書館所得的IP接近于一個C段，IP地址遠遠不夠。據APNIC報道，2011年4月15日，亞太地區互聯網協議第4版（IPv4）地址資源僅剩下最后一組，標志著該地區的IPv4地址即將全部耗盡。該地區國家與組織將很難再得到新的IPv4地址。就目前國內外情況而言，也不可能一下過度到IPv6，這是困擾圖書館發展的一個現實問題。通過改造，引進動態IP管理形式，成為圖書館網絡建設的一個必由之路。

2、改造的預期目標與基本思路

預期通過網絡改造，圖書館網絡全面融入校園網，納入校園網管理，將服務器區按“等級保護”要求建設。圖書館子網的架構符合圖書館現有業務及服務要求，同時兼顧館舍功能調整因素，不因調整和館舍功能變化造成不必要的浪費。改造后網絡架構符合圖書館按照功能布局分區、分層控制要求，網絡層面確保圖書館的網絡安全；應用層面按照公安部信息安全等級保護要求進行控制。具體可分解為：對現有網絡進行功能劃分，可分為對內服務器區、對外服務器區、辦公及管理系統區、無線區、電子查詢區（IC）、電子閱覽室、OPAC查詢區等功能性區域；根據各區域的要求，制訂不同的認證、計費、管理策略；根據各區域現有計算機數、IP地址及域名，以及將來可能擴展的數量，制訂、細化網絡方案。改造后的網絡結構如圖2。

（1）在設備配置上，將原來的圖書館核心——匯聚——接人3個層次改為圖書館匯聚——接人兩個層次。圖書館各區域匯聚直接接入學校核心交換層，服務器群區域接入到防火墻內。這種改變至少有4方面的好處。一是節省了圖書館購置核心交換設備的投入；二是使圖書館原結構中館核心與學校核心之間的瓶頸不復存在；三是減少了層次，利于優化結構；四是將服務器區納入了校園網安全防范體系中，有利于校園網整體的安全策略、安全修復、IDS、安全防火墻、安全客戶端規劃與實施。網絡結構如圖1、圖2所示。需要說明的是，揚州大學信息中心利用新校區網絡建設的契機，對揚州大學校園網核心交換層、出口管理系統和認證管理系統進行了整體規劃，建成由6臺銳捷8610交換機及原有的兩臺思科7609構成校園網萬兆核心交換層，大大提高網絡的穩定性。圖書館網絡可直接接入校園網核心交換區域。

（2）在區域規劃上，網絡改造后，服務器區與用戶區物理分開，服務器區和其它用戶區域直接上聯校園網核心。這樣不僅有利于網絡控制與管理，不影響將來可能的搬遷和功能的再劃分，更有利增加安全設備對應用服務系統的防護，達到信息安全等級保護要求。另外，各種用戶區域嚴格分開，這樣不僅有利于管理各種不同的用戶，更有利于適應不同應用對網絡的需求。

（3）在用戶管理方式上，全員采用實名認證，1人，1個賬號，用戶IP由靜態變為DHCP動態分配，對用戶的上網行為記錄備案并可查詢。網絡管理系統記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名等信息，能夠記錄并留存用戶使用互聯網網絡地址和內部網絡地址對應關系，并保留3個月以上上網日志信息備查，以便公安機關公共信息網絡安全監察部門在需要時進行追查。

（4）在網絡規劃上。有線與無線、IPv4和IPv6通盤考慮。揚州大學圖書館于2006年建設了一套無線控制器加瘦AP為基本構成的無線網絡，部署于主館與各個分館，采用廠商提供的web-portal方式認證，后臺認證使用學校RG-SAM系統，在學校未整體建設WLAN的情況下，由圖書館自行開戶并進行用戶管理。通過網絡改造，實現了原有認證與RG-SAM的數據聯動，讀者只需擁有1套賬號。即可在圖書館任何位置上有線或無線網，同時出校園網按時計費，面向全校讀者開放。所有更新設備全部兼容IPv4和IPv6。

（5）在工作程序上，協調各方、精心安排。在確保原有網絡正常工作的前提下，第一步先將用戶從服務器區分離出來，以確保管理信息系統服務器和應用服務器的正常服務，同時信息中心做好開戶工作；第二步切換辦公業務區；第三步切換主要面對學生的查詢區域；最后再解決電子閱覽室及無線區域。

3、必須注意的相關問題

3.1 經費保障是關鍵

相當多高校的信息化建設采用項目驅動形式，并無正常比例的經費保障。只有在建設新校區、新館或迎接評優評估定級之時，或垂直“戴帽”項目經費下達之時，學校才會考慮信息化建設的經費。圖書館的設備經費也是如此，學校除正常撥付年文獻資源建設經費外，并無設備設施的維護費用科目，這就會造成圖書館信息化系統、設備與網絡設施總是處于僅能維持的狀態，談不上定期更新、步入良性循環之預期，揚州大學圖書館網絡主力設備lO年未能更新，就是這種投資體制的直接反映。因此一定要通過各種途徑爭取學校經費支持。最理想是將信息化建設的費用納入經常性支出項目，至少也要取得相關項目的專項經費，否則是無法談規劃談改造談建設。正是由于爭取了學校的專項經費支持，才有揚大圖書館的網絡改造一說。

3.2 規劃工作先行

對于較早開展網絡建設的圖書館，進行網絡改造等于啟動了新一輪的網絡建設，是一項復雜的系統工程，對外涉及學校信息與網絡主管部門、學校設備主管部門，對內牽扯館內各管理及業務部門；并涉及許多要素，包括設備、工程、用戶管理，還需綜合考慮各個館舍的未來規劃。網絡建設與改造不能憑空想象，要進行總體考察，與圖書館事業規劃以及學校信息化規劃相銜接、相一致，明確網絡的性質，科學制定圖書館網絡建設發展戰略。規劃要高起點，規劃過程一定要慎之又慎，要提早考慮，謀定而后動；要與校信息中心保持溝通，組成聯合工作班子，共同開展工作。揚州大學圖書館網絡的改造規劃起始于2011年初，經過近一年時間的醞釀，圖書館上上下下召開多次會議，與信息中心進行多次溝通，最終于2011年底進行。

3.3 改造時機選擇

圖書館網絡改造工作從時間節點上看。當是閉館時間相對較長的寒暑假期間最為適宜，這樣的安排影響面較小。因為在實際改造過程中，兩套系統并行一段時間是必須保證的，即使在寒暑假期間也必須如此，這是一種可靠的操作方式。寒暑假期間不會有開放的壓力，可以從容地不改變原有系統基礎上加新系統，在新系統完全調試成功后再拆除老系統。由于多種原因，揚州大學圖書館的網絡改造錯過了這樣的時機，不得以選擇了最不利的時機，對我們精心組織工作、穩妥地推進切換工作的能力提出挑戰。在這種背景下，大部分切換工作必須放在夜間與節假日，這是十分考驗專業人員的奉獻意識的。

3.4 微觀上先易后難，分批次切換

在網絡改造中，高校圖書館內不僅存在各種各樣的網絡功能區域，還存在著不同校區的館舍，每個區域又有各自不同的特色，因此必須綜合考察各區域的差異。采取先易后難，分批次切換的方式。各個解決問題。在功能區批次上，可先解決相對固定的服務器與部門辦公區。再解決功能單一的查詢機。進而解決一線服務區。最后再解決相對復雜的Ic區與電子閱覽室；在各館舍批次上，可先解決一些小型館舍、服務對象少的館舍、功能單一的館舍。最后解決功能復雜、服務對象多的主館舍。

3.5 宏觀上分步實施，難點不求一步到位

在總體把握上，應遵循分步實施的原則，對于條件不成熟的不求一步到位，條件成熟的應堅決實行。如在揚州大學的改造實踐中，通過新設備。全員認證已完全能夠在管理中實現，以此可提高用戶端口帶寬，但由于部分用戶存在不同理解，認為認證麻煩，不如原先上網方便，因此存在抵觸情緒，應通過改造前后的對比，打消用戶疑慮，使他們積極配合改造。電子閱覽室是改造中的一個難點，表現為用戶管理方式發生變化，改造后產生了二次認證問題；原有設備老化，很難適應新管理方式；認證系統未升級前用戶數授權不足，是圖書館單方面無法解決的問題。對類似問題應采取變通方案，待條件成熟時一并解決。

4、改造效果展望

實踐表明，只要精心規劃、實施有力，圖書館網絡完全可以全面融入校園網，納入校園網管理。經過改造，圖書館子網的架構將更符合圖書館現有業務及服務要求，有效避免傳統校園網建設模式中，不同的業務流量都通過同一個路由交換設備上聯的弊端。同時兼顧館舍功能調整因素，未來不會因調整和館舍功能變化造成不必要的浪費。經過改造，完全可形成一個純路由、可根據校內外流量進行有效負載分流、服務質量安全可靠的高校圖書館新型網絡。