基于策略網(wǎng)絡(luò)的圖書館網(wǎng)絡(luò)安全管理方案——以大連理工大學(xué)圖書館為例

王政軍 金玉玲 俞小怡

(大連理工大學(xué)圖書館，遼寧 大連116023)

隨著數(shù)字化圖書館的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在圖書館的應(yīng)用越來越廣泛，網(wǎng)絡(luò)安全成為新信息安全的熱點(diǎn)［1］。數(shù)字化圖書館作為向教學(xué)科研提供先進(jìn)、便捷、廣泛地獲取知識的平臺，需要保證網(wǎng)絡(luò)信息化服務(wù)的穩(wěn)定、安全及可靠。圖書館網(wǎng)絡(luò)安全的主要目的是實(shí)現(xiàn)對整個(gè)圖書館網(wǎng)絡(luò)用戶可訪問資源的完全控制、抵御內(nèi)外網(wǎng)絡(luò)的惡意訪問，同時(shí)保證關(guān)鍵業(yè)務(wù)的高質(zhì)量網(wǎng)絡(luò)服務(wù)［2］。

大連理工大學(xué)圖書館 (以下簡稱大工圖書館) 近幾年注重提升網(wǎng)絡(luò)安全，不斷探索適應(yīng)圖書館網(wǎng)絡(luò)信息安全的管理方式。通過多年的理論研究和實(shí)踐總結(jié)，設(shè)計(jì)部署了一套基于策略的網(wǎng)絡(luò)安全解決方案。該方案采用先進(jìn)的安全技術(shù)手段，將動態(tài)入侵響應(yīng)與基于角色的策略進(jìn)行聯(lián)動，在保證網(wǎng)絡(luò)安全穩(wěn)定可靠的前提下，實(shí)現(xiàn)網(wǎng)絡(luò)管理的智能化自動化。

1 策略網(wǎng)絡(luò)的關(guān)鍵技術(shù)

策略網(wǎng)絡(luò)將基于角色的策略和動態(tài)入侵響應(yīng)兩項(xiàng)關(guān)鍵技術(shù)有機(jī)地結(jié)合起來，主要體現(xiàn)了網(wǎng)絡(luò)體系的安全性和管理上的便捷性。

1.1 基于角色的策略

雖然路由器和交換機(jī)具有一定的管理功能，但交換機(jī)只能對局域網(wǎng)中的帶寬分配和訪問權(quán)限做簡單決定。而網(wǎng)絡(luò)中的管理要面對簡化網(wǎng)絡(luò)運(yùn)作、應(yīng)用優(yōu)先權(quán)分配、靈活的體系結(jié)構(gòu)、多廠商支持等4個(gè)關(guān)鍵業(yè)務(wù)領(lǐng)域的需求［5］。策略管理的目的就是以簡化的、自動化的方式，實(shí)現(xiàn)業(yè)務(wù)驅(qū)動的網(wǎng)絡(luò)，幫助降低運(yùn)行成本。因此，基于多元化應(yīng)用需求，在網(wǎng)絡(luò)設(shè)備上安裝、使用策略管理器的解決方案應(yīng)運(yùn)而生。

研究表明，角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對慢，而且委派用戶到角色不需要很多技術(shù)，可以由行政管理人員來執(zhí)行。配置權(quán)限到角色的工作比較復(fù)雜，需要一定的技術(shù)，要由專門的技術(shù)人員來承擔(dān)。不給他們委派用戶的權(quán)限，也與現(xiàn)實(shí)中情況相一致。基于角色的訪問控制方法可以很好地描述角色層次關(guān)系，方便權(quán)限管理，實(shí)現(xiàn)最少權(quán)限原則和職責(zé)分離的原則。

網(wǎng)絡(luò)管理員在策略管理器上定義具體的策略，決定怎樣利用網(wǎng)絡(luò)資源。這些策略由一套規(guī)則構(gòu)成，規(guī)則與業(yè)務(wù)優(yōu)先級有關(guān)，能夠在逐個(gè)用戶或分組基礎(chǔ)上設(shè)置所需的服務(wù)水平，以及進(jìn)行封鎖或訪問控制。

1.2 動態(tài)入侵響應(yīng)

很多圖書館通過在網(wǎng)絡(luò)邊界部署防火墻、企業(yè)級防病毒軟件、對服務(wù)器安裝各種補(bǔ)丁程序等方法來保護(hù)其IT基礎(chǔ)架構(gòu)。但是，這些預(yù)防措施并沒有阻止出現(xiàn)在互聯(lián)網(wǎng)上的蠕蟲和惡意用戶的不斷攻擊。動態(tài)入侵響應(yīng) (DIR) 是一種安全網(wǎng)絡(luò)解決方案，它能夠檢測網(wǎng)絡(luò)當(dāng)中的異常行為，然后干預(yù)、隔離異常用戶或故障設(shè)備。動態(tài)入侵響應(yīng)隔離了每一種安全威脅并用列表分類，識別安全威脅來源并自動配置網(wǎng)絡(luò)，降低網(wǎng)絡(luò)威脅產(chǎn)生的損失，從而保護(hù)網(wǎng)絡(luò)免受已知和未知安全威脅的侵害。

通過部署動態(tài)入侵響應(yīng)解決方案，可以降低圖書館資源暴露在內(nèi)部和外部威脅面前的機(jī)會，預(yù)防業(yè)務(wù)破壞和資源竊取。入侵檢測安全功能可以預(yù)測可能存在的安全威脅，能夠更有效地利用網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的投資。在不必重新配置或影響上網(wǎng)用戶的前提下，動態(tài)入侵響應(yīng)是已經(jīng)部署的安全設(shè)備的有效補(bǔ)充。主要優(yōu)勢如下:

(1) 降低風(fēng)險(xiǎn)和系統(tǒng)復(fù)雜性，在網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)中嵌入了主動響應(yīng)和自動安全功能。

(2) 將業(yè)務(wù)策略映射到網(wǎng)絡(luò)系統(tǒng)當(dāng)中。

(3) 改善可視化，將網(wǎng)絡(luò)作為一個(gè)整體處理，更快地確定網(wǎng)絡(luò)當(dāng)中存在的故障。

(4) 根據(jù)內(nèi)部和外部用戶在組織當(dāng)中不同的角色，為其提供不同的安全的可靠的訪問。

(5) 提供自動的系統(tǒng)級的控制，降低管理、實(shí)施和故障處理的成本。

(6) 滿足業(yè)務(wù)增長和擴(kuò)展的需要。

(7) 改善對數(shù)據(jù)和應(yīng)用系統(tǒng)的訪問，提高生產(chǎn)效率。

2 圖書館使用策略網(wǎng)絡(luò)安全方案的實(shí)現(xiàn)

數(shù)字化圖書館網(wǎng)絡(luò)系統(tǒng)是一個(gè)大型的數(shù)據(jù)資源系統(tǒng)，其信息量巨大，信息敏感度程度不同，用戶的訪問需求多樣化，使得安全管理非常復(fù)雜?；诮巧牟呗韵到y(tǒng)安全控制模型是目前國際上流行的先進(jìn)的網(wǎng)絡(luò)安全管理控制方法［3］。策略網(wǎng)絡(luò)以高性能網(wǎng)絡(luò)硬件平臺為基礎(chǔ)，設(shè)計(jì)合理的網(wǎng)絡(luò)拓?fù)涮岣呔W(wǎng)絡(luò)性能。除基本的網(wǎng)絡(luò)路由聯(lián)通之外，還需要設(shè)計(jì)多種網(wǎng)絡(luò)策略下發(fā)網(wǎng)絡(luò)接入交換機(jī)，開發(fā)適合實(shí)際需要的網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)，將用戶角色與網(wǎng)絡(luò)訪問策略聯(lián)動，將入侵檢測系統(tǒng)與網(wǎng)絡(luò)策略聯(lián)動［4］。對不同的用戶角色采用不同的網(wǎng)絡(luò)策略，用戶角色的改變將導(dǎo)致網(wǎng)絡(luò)策略的改變;入侵檢測系統(tǒng)實(shí)時(shí)監(jiān)測用戶的訪問行為，自動識別不正常用戶并通知策略管理器改變用戶的角色，通過策略的改變限制用戶的可訪問權(quán)限，將所有非法的訪問排除在外。主要功能如下:

(1) 制定整個(gè)網(wǎng)絡(luò)的多種策略，靈活配置每種策略的服務(wù)質(zhì)量和訪問控制。

(2) 根據(jù)用戶功能特點(diǎn)劃分多種角色，將角色與網(wǎng)絡(luò)策略關(guān)聯(lián)。

(3) 采用功能完備的網(wǎng)絡(luò)管理軟件，便于管理和監(jiān)控整個(gè)網(wǎng)絡(luò)。

(4) 開啟網(wǎng)絡(luò)認(rèn)證的功能，對使用網(wǎng)絡(luò)的用戶驗(yàn)證授權(quán)。

(5) 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的健康狀況，自動調(diào)整隔離不良的訪問用戶，制止惡意破壞。

2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

大連理工圖書館網(wǎng)絡(luò)采用兩層結(jié)構(gòu)，核心采用智能萬兆交換機(jī)，接入層使用支持端口策略應(yīng)用交換機(jī)。干線使用萬兆光纖連接，到桌面全部為千兆雙絞線連接。各閱覽室設(shè)有高性能無線AP，提供讀者的無線接入服務(wù)。其它校區(qū)的分館通過教育網(wǎng)以VPN的形式訪問本部圖書館的資源。拓?fù)鋱D如圖1所示。

整個(gè)圖書館根據(jù)功能區(qū)劃分VLAN，分別為服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)、免費(fèi)檢索、電子閱覽室、無線檢索、VPN等。VLAN劃分如表1:

表1 大連理工大學(xué)圖書館VLAN劃分表

整個(gè)網(wǎng)絡(luò)采用策略路由的機(jī)制，內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)流動直接通過交換機(jī)交換。當(dāng)內(nèi)部網(wǎng)絡(luò)用戶訪問外網(wǎng)地址時(shí)，通過代理服務(wù)器進(jìn)行地址轉(zhuǎn)換 (SNAT) 的代理。

2.2 基于角色的策略網(wǎng)絡(luò)管理的實(shí)現(xiàn)

通過分配和取消角色來完成用戶權(quán)限的授予和取消，并提供角色分配規(guī)則和操作檢查規(guī)則。網(wǎng)絡(luò)安全管理人員根據(jù)需要定義各種角色，設(shè)置合適的訪問權(quán)限，根據(jù)用戶的責(zé)任和資歷將其指派為不同的角色。整個(gè)訪問控制過程分成兩個(gè)部分，即訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，極大地方便了權(quán)限管理。角色可以看成是一個(gè)表達(dá)訪問控制策略的語義結(jié)構(gòu)，它可以表示承擔(dān)特定應(yīng)用的資格［6］。如圖2所示:

圖2 基于角色的策略原理

由于實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，基于角色的策略同一個(gè)物理位置可能會服務(wù)于不同應(yīng)用需要的人員，認(rèn)證系統(tǒng)驗(yàn)證用戶身份后，分配一個(gè)適合其角色的訪問策略。網(wǎng)絡(luò)系統(tǒng)不需要確定用戶的物理位置，而是通過用戶的實(shí)際身份來確定訪問策略。

網(wǎng)絡(luò)策略管理器是一個(gè)圖形化的、操作簡單的策略管理工具，可以對網(wǎng)絡(luò)用戶和可用設(shè)備服務(wù)進(jìn)行分類，定義每個(gè)用戶能夠使用什么服務(wù)的規(guī)則，所有的規(guī)則、服務(wù)和角色都可以利用的策略配置向?qū)нM(jìn)行調(diào)整。

目前智能網(wǎng)管交換機(jī)都支持策略的管理，其表現(xiàn)形式以ACL的方式來制定網(wǎng)絡(luò)訪問的具體內(nèi)容，包括對網(wǎng)絡(luò)地址、訪問端口、網(wǎng)絡(luò)協(xié)議的篩選。具體的策略規(guī)則可以在交換機(jī)上通過命令行的方法定義，但是當(dāng)策略比較復(fù)雜時(shí)，對ACL的維護(hù)工作比較繁瑣。為了簡化網(wǎng)管的勞動強(qiáng)度，可以通過在網(wǎng)管控制臺利用圖形化界面工具進(jìn)行ACL的集中管理，然后推送到下方網(wǎng)管接入交換機(jī)，最終以交換機(jī)配置文件的形式體現(xiàn)在交換機(jī)中。例如設(shè)置兩個(gè)簡單的策略，OPAC圖書檢索策略只是訪問 DNS(IP:202.118.72.61) 和OPAC(IP:202.118.72.80) 服務(wù)器，業(yè)務(wù)用機(jī)只能訪問自動化系統(tǒng)服務(wù)器 (IP:192.168.10.3) ，配置文件如下所示:

#set policy profile 1 name″OPAC″pvid － status enable

#set policy profile 2 name″LIBAUTO″pvid － status enable

#set policy rule 1 ipxdest202.118.72.61 forward

#set policy rule 1 ipxdest202.118.72.80 forward

#set policy rule 1 all drop

#set policy rule 2 ipxdest 192.168.10.3 forward

#set policy rule 2 all drop

網(wǎng)絡(luò)系統(tǒng)能夠識別連接到網(wǎng)絡(luò)上來的任何使用者身份以及終端設(shè)備的類型、屬性，識別后根據(jù)事先定義的策略在交換機(jī)的端口上啟用相應(yīng)的權(quán)限。定義每個(gè)用戶能夠使用什么服務(wù)的規(guī)則，根據(jù)不同的用戶身份和屬性建立不同的角色，賦予不同角色不同的策略，策略中包含了允許或禁止的網(wǎng)絡(luò)服務(wù)及權(quán)限，在用戶登錄的同時(shí)，完成用戶和角色的動態(tài)映射，實(shí)現(xiàn)按用戶個(gè)性化定制網(wǎng)絡(luò)。

2.3 動態(tài)入侵響應(yīng)與策略網(wǎng)絡(luò)聯(lián)動的實(shí)現(xiàn)

傳統(tǒng)靜態(tài)的入侵檢測系統(tǒng) (IDS) 缺乏對入侵的處理手段，雖然能感知問題的所在，但不能制止問題的出現(xiàn)［7］。對于已經(jīng)部署了防火墻、包檢測和補(bǔ)丁管理保護(hù)系統(tǒng)來說，動態(tài)入侵響應(yīng)是一個(gè)理想的補(bǔ)充。

大連理工圖書館網(wǎng)絡(luò)安全管理系統(tǒng)將基于角色的策略網(wǎng)絡(luò)和動態(tài)入侵檢測進(jìn)行聯(lián)動，構(gòu)成了安全的網(wǎng)絡(luò)。先由網(wǎng)絡(luò)管理員定義網(wǎng)絡(luò)策略，針對不同安全事件確定不同的網(wǎng)絡(luò)響應(yīng)。當(dāng)入侵檢測系統(tǒng)檢測到異常的網(wǎng)絡(luò)訪問行為，入侵檢測系統(tǒng)上報(bào)網(wǎng)絡(luò)安全事件，策略管理器根據(jù)安全事件的類型進(jìn)行預(yù)先定義的響應(yīng)，直接發(fā)送指令給網(wǎng)絡(luò)交換機(jī)進(jìn)行網(wǎng)絡(luò)策略的調(diào)整，將識別出來的有安全威脅的用戶進(jìn)行網(wǎng)絡(luò)權(quán)限的降級處理甚至隔離，執(zhí)行預(yù)先制定的補(bǔ)救措施。

例如，在圖書館的網(wǎng)絡(luò)環(huán)境中，因?yàn)槟承┯脩羰褂秒娔X不當(dāng)，會使電腦感染ARP欺騙木馬，有可能導(dǎo)致整個(gè)局域網(wǎng)無法上網(wǎng)，甚至帶來整個(gè)網(wǎng)絡(luò)的癱瘓。在沒有網(wǎng)絡(luò)安全防護(hù)措施的情況下，網(wǎng)絡(luò)管理員需要通過MAC地址查找感染木馬的電腦，將其隔離查殺木馬病毒之后，才能讓其正常上線。一些有入侵防御措施的網(wǎng)絡(luò)系統(tǒng)，雖然可以感知到感染ARP欺騙木馬的計(jì)算機(jī)，但只能報(bào)告給網(wǎng)絡(luò)管理員，不能立即阻斷有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的計(jì)算機(jī)造成的破壞性影響。

采用動態(tài)入侵檢測與策略網(wǎng)絡(luò)聯(lián)動的機(jī)制，入侵檢測系統(tǒng)能夠檢測出ARP欺騙木馬的安全威脅，識別此種安全事件，報(bào)告給策略網(wǎng)絡(luò)的自動安全管理器。自動安全管理器利用復(fù)雜算法和智能網(wǎng)絡(luò)映射，確定異常用戶或設(shè)備在網(wǎng)絡(luò)當(dāng)中的精確位置。策略管理工具接收到ARP欺騙木馬安全事件后，自動地發(fā)送策略更改指令，在交換機(jī)的接入端口處直接實(shí)行ACL的限制指令，及時(shí)將異常用戶或故障設(shè)備從網(wǎng)絡(luò)環(huán)境移走隔離，杜絕感染ARP欺騙木馬計(jì)算機(jī)對網(wǎng)絡(luò)的破壞。ARP欺騙只是木馬病毒的一種，竊聽、重傳、篡改、拒絕服務(wù)、行為否認(rèn)、電子欺騙、非授權(quán)訪問、傳播病毒等等安全事件，在策略管理工具中都可以事先制定相應(yīng)的策略進(jìn)行預(yù)防和補(bǔ)救。

2.4 用戶身份驗(yàn)證

采用基于角色策略的網(wǎng)絡(luò)安全管理模式，需要用戶在接入網(wǎng)絡(luò)時(shí)進(jìn)行身份認(rèn)證。認(rèn)證系統(tǒng)對用戶的身份角色進(jìn)行識別，為其分配相應(yīng)的策略。標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)備支持標(biāo)準(zhǔn)的802.1x認(rèn)證協(xié)議，大連理工圖書館采用基于開源的Freeradius部署認(rèn)證服務(wù)器，自主開發(fā)了標(biāo)準(zhǔn)802.1x認(rèn)證客戶端，方便用戶提交身份識別。

圖書館的無線網(wǎng)絡(luò)已經(jīng)基本覆蓋整個(gè)圖書館，有相當(dāng)一部分無線網(wǎng)絡(luò)用戶。無線網(wǎng)絡(luò)具有設(shè)備不固定性，認(rèn)證客戶端需要安裝的形式不能滿足實(shí)際需要。網(wǎng)絡(luò)設(shè)備提供的PWA認(rèn)證功能是一種基于Web認(rèn)證的形式，在接入網(wǎng)絡(luò)時(shí)自動出現(xiàn)認(rèn)證界面，用戶通過Web提交自己的身份，認(rèn)證服務(wù)器識別身份后為其分配策略。認(rèn)證客戶端、PWA認(rèn)證界面及管理平臺界面如圖3所示。

圖3 認(rèn)證客戶端及管理平臺

3 結(jié)束語

安全管理是圖書館網(wǎng)絡(luò)安全的重要環(huán)節(jié)，也是計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)性組成部分。通過基于角色的策略管理和動態(tài)入侵響應(yīng)，規(guī)范組織各項(xiàng)業(yè)務(wù)活動，使網(wǎng)絡(luò)有序地進(jìn)行，是獲取安全的重要條件［8］。

網(wǎng)絡(luò)安全策略的制定不是短期內(nèi)能完成的，也不僅僅是個(gè)人的技術(shù)問題。策略的成功在很大程度上依賴于高層管理者的支持和職員的安全意識，并非單純依賴網(wǎng)絡(luò)安全策略的制定過程。威脅改變、脆弱性的改變、業(yè)務(wù)需求改變和可得的服務(wù)措施變化等等，全部需定期地重新評估，以保證網(wǎng)絡(luò)安全策略有效及可行。

［1］黃玉華.對圖書館網(wǎng)絡(luò)安全需求的分析［J］.圖書館工作，2005，(1) :17－18.

［2］黃永躍.數(shù)字圖書館的安全防護(hù)技術(shù)［J］.現(xiàn)代情報(bào)，2005，(3) :97－99.

［3］江小燕.學(xué)校辦公自動化的網(wǎng)絡(luò)安全管理［J］.信息與電腦:理論版，2010，(5) :85－86.

［4］李荔.淺談網(wǎng)絡(luò)安全的技術(shù)與管理［J］.科技信息，2010，(10) :234－234.

［5］王希忠，黃俊強(qiáng).《網(wǎng)絡(luò)安全管理》標(biāo)準(zhǔn)介紹［J］.信息技術(shù)與標(biāo)準(zhǔn)化，2010，(10) :29－32.

［6］高澤毅.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全管理［J］.信息與電腦:理論版，2010，(12) :86－86.

［7］王希忠，段志鳴，黃俊強(qiáng).淺議網(wǎng)絡(luò)架構(gòu)中的安全問題［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，(2) :91－92.

［8］關(guān)雷，王希忠，黃俊強(qiáng).神經(jīng)網(wǎng)絡(luò)在信息系統(tǒng)安全評價(jià)中的應(yīng)用研究［J］.計(jì)算機(jī)安全，2014，(4) :29－32.