圖書館網絡安全防御體系的研究與構建——以溫州大學圖書館網絡系統為例

鄒晴楓（溫州大學 圖書館，浙江 溫州 325035）

圖書館網絡安全是一個系統概念，是指圖書館網絡系統的各個組成部分不受偶然的或惡意的原因而遭到破壞、篡改和泄露，并且確保圖書館網絡系統能連續正常運行的機制。[1]圖書館網絡安全主要包括館藏數據安全、文獻管理集成系統運行安全和運行環境的安全。造成圖書館信息安全方面問題的因素，主要包括硬件因素、軟件因素、人為因素、管理因素、病毒因素和環境因素等幾方面。要確保圖書館網絡的安全，必須建立一套較為完整的安全防御體系，進行多層次、多手段的檢測和防護。筆者以溫州大學圖書館現有網絡系統為例，進行現有網絡體系結構的分析與應用測試，通過圖書館防火墻系統、入侵檢測系統和網絡病毒防治系統、VLAN 劃分、VPN 和備份冗余技術應用等方案設計與描述，為構建一個比較完善的圖書館網絡安全防御體系，提出相應的技術與管理策略。

1 溫州大學圖書館網絡安全現狀與需求分析

1.1 溫州大學圖書館網絡安全現狀分析

溫州大學圖書館網絡是一個位于校園外的獨立網絡體系，采用Cisco Catalyst 6509 作為核心路由交換機，由于考慮到圖書館網絡與校園骨干網的可靠連接，上行線路采用冗余方式由兩條千兆光纖接入溫州大學校園骨干網絡；接入層采用25 臺Cisco Catalyst 2950G 交換機，通過千兆光纖與核心交換機連接，并提供百兆到桌面的接入方式。溫州大學圖書館基本網絡拓撲圖如圖1 所示。

圖書館內設有700 多臺PC 機的大型電子閱覽室與視聽室，加上各書庫、閱覽室、自習區等地方的查詢與工作機端口，共計1500 多個信息點；擁有24 臺服務器（包括2 臺小型機）與37TB的SAN 數據存儲，其中保存著180 多萬冊藏書的書目數據與3 萬多讀者的借閱信息數據，并提供CNKI、超星、維普、萬方、中國基本古籍庫、四庫全書、方正電子圖書、自建特色數據庫（CADAL）等13 種資源的鏡像服務和38 種中外文數據庫的網絡版數據。目前采用的匯文文獻信息管理系統，正常的圖書流通業務需要大量訪問書目數據庫與讀者信息庫，這些服務都需要有穩定的網絡系統作為保障。

圖1 溫州大學圖書館基本網絡拓撲圖

1.2 溫州大學圖書館網絡安全需求分析

1.2.1 物理安全

網絡的物理安全是指保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞。[2]在圖書館大樓布局設計與網絡系統的建設初期，圖書館對這些因素已經予以充分考慮，如電子閱覽室、機房位置選在四樓、五樓，就是考慮了防水防潮問題；安裝了煙霧感應消防系統和紅外線感應報警系統，就是考慮了防火、防盜因素；核心交換機Cisco Catalyst 6509 通過兩條千兆光纖與校園網核心交換機設備連接，就是考慮了通訊鏈路安全可靠；購置兩臺小型機實行雙機熱備，就是考慮了關鍵設備的冗余備份需要。

1.2.2 網絡安全

圖書館網絡目前通過一臺Cisco6509 與校園網相連接，隨著使用時間的增加，這臺核心交換機逐漸老化，性能難以得到保證，一旦出現故障，圖書館網絡將會中斷，網絡鏈路的可靠性越來越低。圖書館局域網與校園網直接連接，沒有進行任何隔離，校園網內的任何用戶都能夠直接連接到圖書館內的任意一臺服務器上，這給網絡黑客入侵提供了間隙。而且由于圖書館網絡節點超過1500 處，網絡用戶數較多，容易出現一處系統故障殃及整個網絡的情況。

1.2.3 系統應用安全

圖書館應用服務器操作系統采用Windows2000 和Windos2003，PC 機工作站應用Windows XP 系統，這些操作系統都存在著各種各樣的漏洞，一旦被黑客利用并進行攻擊，將帶來巨大損失。而且當前網絡病毒泛濫，而圖書館各主機上主要安裝的是各種單機版防病毒軟件，工作人員經常忽視工作機病毒庫的升級，對感染病毒的PC 機沒有及時做殺毒、重裝或隔離處理，有時甚至導致病毒蔓延整個網絡。此外，圖書館的電子閱覽室與視聽室將近有700 臺面向學生開放的PC 機，經常病毒泛濫，容易出現由于內部網病毒相互傳播導致整個網絡性能下降，有時甚至引起交換機宕機和整個網絡癱瘓。需要安裝網絡版防病毒軟件，建立集中式網絡病毒防治系統，及時發現并清除系統和網絡中的病毒。

1.2.4 管理安全

管理安全策略的實施，需要制定一整套科學的網絡安全管理制度并嚴格執行。要合理調整部門職責與分工，統一管理權限，實行機房、網絡設備和服務器等都由技術部專人管理的制度，并對網絡實時監控，進行相關數據收集和分析，及時有效地發現問題和解決問題，建立和完善網絡故障緊急處理預案，定期對網絡安全狀況做出評估和審核，關注網絡安全動態，調整安全策略。此外開展對網絡管理員的專業知識技能培訓，加強各圖書館網絡管理專業技術人員之間互動交流，提高網絡管理員的安全意識與安全管理技術水平，并不定期進行館內安全知識宣傳，提高全體工作人員的網絡安全意識。

2 溫州大學圖書館網絡安全系統總體解決方案的設計與實施

通過對溫州大學圖書館網絡自身安全現狀與需求分析，為進一步完善圖書館網絡安全防御系統，設計了一套相適應的解決方案，即計劃在圖書館服務器機群的出口處，增設一臺硬件防火墻，隔離外部網絡對各個服務器的非法訪問；在圖書館網絡內部增設一套入侵檢測設備，監測進出圖書館的所有數據包，并通過審計分析指導防火墻的策略調整；圖書館采用網絡版防病毒軟件，在專用服務器和每個客戶端上安裝，建立集中式網絡病毒防治系統，通過控制中心及時更新病毒庫，及時發現并清除系統和網絡中的病毒，提高圖書館網絡系統的病毒防治能力。因此，在構建圖書館網絡安全防御體系的工程中，需要分別建立防火墻系統、入侵檢測系統和網絡病毒防治系統，并且細化VLAN 劃分，應用VPN 技術和備份冗余技術。

2.1 防火墻系統的建設

為更好地保護圖書館網絡的核心服務器和存儲的書目數據、讀者借閱信息、電子資源、自建特色資源等各類信息數據的安全，參照防火墻選型的原則與具體標準以及天融信網絡衛士防火墻的功能特點，并結合溫州大學圖書館自身實際情況和具體需求，圖書館網絡安全防御系統選擇了一款天融信網絡衛士NGFW4000（TG-4324）防火墻產品。與一般的防火墻安裝模式不同之處是，此防火墻安裝在圖書館服務器機群的出口處，即位于連接服務器的Cisco2950 交換機和Cisco6509 核心交換機之間。因該型號防火墻是一款百兆設備（吞吐量為600MB），將其安裝在這個位置，既能保證網絡出入暢通，又不會對整個圖書館網絡出入口造成“瓶頸”。按照要求防火墻接入對網絡通信造成影響最少的原則，將防火墻的eth1 端口使用直通雙絞網絡線與核心交換機Cisco6509 相連，由于防火墻的eth2 端口使用直通雙絞網絡線與連接服務器機群的交換機Cisco2950 相連。防火墻工作模式為透明模式，所有接口均可作為交換接口工作，需設置接口為交換模式，故將設置eth1 接口IP 地址為10.96.1.8，用于防火墻遠程管理，然后進行訪問控制規則設置、病毒過濾策略的配置、使用流量控制策略制定等主要防火墻策略配置。

2.2 入侵檢測系統的建設

對于已經部署了防火墻系統的圖書館網絡來說，建設入侵檢測系統（IDS）是必要補充。溫州大學圖書館結合自身網絡實際情況，選擇了一款天融信網絡衛士入侵檢測系統TopSentry2000（TS-2204-IDS）作為圖書館網絡入侵檢測系統的產品。將IDS 檢測引擎與核心交換機連接進入網絡，以旁路偵聽的方式，動態監視網絡上流過的所有數據包。IDS的檢測引擎部署采用兩根網線，一根作為檢測引擎的IP 地址線連接管理端口，用于與控制臺服務器通訊和報警；另一根作為IDS 探針（也叫偵聽和抓包線），連接其中的一個監聽口，兩根網線的另一端均連接到圖書館Cisco6509 核心交換機上，并選擇一臺性能較好的服務器安裝控制臺。在連接完成后，使用超級終端登錄檢測引擎進行初步配置，設置檢測引擎的lP 地址為10.96.1.110，配置子網掩碼與網關；設置控制臺IP 地址為10.96.1.120。當天融信防火墻聯動設置完畢，在天融信防火墻上也進行相關聯動設置后，就可以在策略編輯器的策略窗口中，針對某規則定義其響應方式為天融信防火墻聯動。

2.3 網絡病毒防治系統的建設

溫州大學圖書館進行網絡病毒防治系統的建設，主要從以下方面入手：⑴ 建立完善的管理制度，規范圖書館用戶安全使用網絡資源的過程，使用時應嚴格遵守病毒預防守則，加強病毒預防。⑵ 加裝硬件防護設備或還原軟件，進行病毒防護。圖書館電子閱覽室PC 機上安裝了“奧易Free 卡1.0 版”還原卡，借還書工作機、書目檢索機安裝了“小哨兵”卡或“冰點”還原軟件，防止病毒破壞圖書館各個計算機子網系統。⑶ 安裝適用的殺毒軟件，定時進行病毒查殺。⑷對操作系統和應用軟件系統進行常規升級，消除安全漏洞。⑸ 建立集中式網絡病毒防治系統，構建整體病毒預警和防護體系。根據圖書館網絡的特點，可以在網絡中設置客戶端級防護、應用服務器級防護、網關級防護等三個級別的病毒防護。[3]溫州大學圖書館結合自身網絡病毒防治系統的功能需求與產品的功能特點，選擇了金山毒霸網絡版作為其網絡病毒防治系統的軟件產品。并選擇一臺性能較好的服務器安裝系統中心，在PC 機上安裝客戶端，服務器上安裝金山毒霸服務器端，利用病毒防治系統中心定期進行統一病毒庫升級和病毒查殺。

2.4 VLAN 劃分

VLAN 技術的應用可以有效控制廣播風暴，保證網絡性能，具有極大的靈活性與擴展性。[4]它提高了網絡的效率和安全性，增強了圖書館各部門間的保密與合作，從而使圖書館網絡能更好地為讀者服務。依據圖書館的網絡結構和具體需求，溫州大學圖書館根據網絡位置、區域功能、工作性質及安全要求的不同，將圖書館劃分為28個VLAN，如中心機房VLAN、技術部網管VLAN、圖書館文獻管理信息系統VLAN、電子閱覽室與視聽室VLAN、辦公室區域VLAN、服務功能區域VLAN、無線網絡VLAN 等。各個VLAN 之間的通信，利用三層交換機的訪問控制策略加以限制，同時制定各個VLAN 對服務器VLAN的訪問控制策略，并根據每個部門網絡應用需求開放網絡訪問權限，以此來確保圖書館網絡的安全。

2.5 VPN 技術的應用

為使大量不在校園網范圍內的合法用戶利用圖書館的電子資源，VPN 技術為這一難題提供了解決方案，而以簡單易用著稱的SSL VPN 更是在高校圖書館得到了廣泛應用，它可以實現校外用戶對校園網內部圖書館電子資源的遠程訪問，從而拓寬了圖書館數字資源的使用地域。溫州圖書館選用了一款深信服科技的SINFOR M5400-S VPN網關設備，利用SSL VPN的功能解決了校外用戶的遠程訪問圖書館資源的問題。圖書館將SINFOR M5400-S 設備放置在校園網中心機房，采用單臂模式部署，將它當作一臺內網服務器，通過直通線將設備的LAN 口接入到校園網的一臺核心交換機上。

2.6 備份冗余技術的應用

各種網絡安全防范手段不可能設計的面面俱到而萬無一失，突發性事件仍有可能會給網絡系統帶來不可預知的災難。因此，必須采取系統備份冗余技術措施，包括數據備份與網絡系統的備份，[5]以便在網絡系統發生災難后，能夠使網絡系統迅速恢復運行。在圖書館的日常管理中，應把數據的備份作為重點，尤其是圖書館文獻信息管理系統中的書目數據、讀者的圖書借閱信息和特色資源數據的備份。對于兩種不同的備份對象，常用的備份方案是：（1）數據備份。本地高速度、大容量、自動的數據存儲、備份與恢復；異地數據存儲、備份與恢復，如對書目數據、借閱信息等每日備份在EMC 存儲磁盤上和專用備份機硬盤上，并定期刻錄光盤備份，使用IBM 磁帶機帶庫備份重要的自建特色數據庫等；（2）網絡系統備份。對關鍵網絡設備提供冗余備份，如網卡、UPS、核心交換機、路由器和防火墻，如圖書館購置了25KV的UPS 接入存儲和重要的服務器，防止臨時停電造成的數據丟失與設備損壞，并逐年增加UPS 容量，另外計劃增加一臺Cisco Catalyst 4507R 或更高配置的交換機開通冗余鏈路等。

溫州大學圖書館網絡安全防御體系完整實施后的網絡拓撲結構，如圖2 所示：

圖2 溫州大學圖書館網絡安全防御體系實施后的網絡拓撲圖

溫州大學圖書館網絡安全防御體系的實施，可有效地保護圖書館網絡系統的核心業務數據和各類信息資源的安全，保障圖書館網絡安全穩定地運行，保證了圖書館服務的正常開展，從而為學校的教學科研提供更優質的服務。

3 結束語

上述方案在技術上基本保證了溫州大學圖書館當前網絡系統的正常安全運行需要，將為規模相當和網絡體系結構類似的圖書館，在網絡安全系統的建設方面提供部分理論和實踐參考。隨著網絡技術的迅猛發展，新的網絡安全問題必將不斷產生，圖書館網絡環境將更加復雜多變，圖書館網絡也會面對越來越多的安全威脅。網絡安全管理人員需要不斷學習和研究新的網絡安全技術，及時調整網絡安全防范策略，不斷完善圖書館網絡安全防御體系。

[1]張仕斌，等.網絡安全技術[M].北京：清華大學出版社，2004.

[2]劉曉輝.網絡安全設計、配置與管理大全[M].北京：電子工業出版社.2009.

[3]秦志光，張鳳荔.計算機病毒原理與防范[M].北京：人民郵電出版社，2007.

[4]王文壽，王珂.網管員必備寶典——網絡安全[M].北京：清華大學出版社，2007.

[5]牛云，等.數據備份與災難恢復[M].北京：機械工業出版社，2004.