基于策略網絡的圖書館網絡安全管理方案

王政軍

〔摘 要〕為解決當前圖書館網絡安全事件頻發的問題，設計了基于策略網絡的安全解決方案。引入基于角色的策略和動態入侵響應的設計思想，提出基于策略的網絡安全管理的策略模型。以大連理工大學圖書館網絡方案為例，闡述了基于策略網絡的技術支撐原理、設計思路及應用方法。實踐證明，基于策略的網絡管理方案能有效保障圖書館網絡系統的安全性和可靠性，實現了網絡安全管理的簡易化、智能化及自動化，提高了網絡資源的使用效率。

〔關鍵詞〕圖書館網絡；網絡安全；入侵防御；策略網絡

DOI：10.3969/j.issn.1008-0821.2015.11.011

〔中圖分類號〕TP3168 〔文獻標識碼〕A 〔文章編號〕1008-0821（2015）11-0064-05

The Network Manager of Library Based on Policy-based Network Security

Wang Zhengjun Jin Yuling Yu Xiaoyi

（Library，Dalian University of Technology，Dalian 116023，China）

〔Abstract〕Technology development and extensive application of network has brought tremendous impact to network security，so network security issues in the library are becoming new information security hotspots.Different from the theoretical introduction of network security management based on strategy，in connection with the security and reliability issues existing in the library network system，this paper introduced the technology achieve of network security in Dalian University of Technology Library，and also discussed the network of dynamic intrusion response and support policy.

〔Key words〕library；network security；intrusion prevention；network strategy

隨著數字化圖書館的迅速發展，計算機網絡在圖書館的應用越來越廣泛，網絡安全成為新信息安全的熱點[1]。數字化圖書館作為向教學科研提供先進、便捷、廣泛地獲取知識的平臺，需要保證網絡信息化服務的穩定、安全及可靠。圖書館網絡安全的主要目的是實現對整個圖書館網絡用戶可訪問資源的完全控制、抵御內外網絡的惡意訪問，同時保證關鍵業務的高質量網絡服務[2]。

大連理工大學圖書館（以下簡稱大工圖書館）近幾年注重提升網絡安全，不斷探索適應圖書館網絡信息安全的管理方式。通過多年的理論研究和實踐總結，設計部署了一套基于策略的網絡安全解決方案。該方案采用先進的安全技術手段，將動態入侵響應與基于角色的策略進行聯動，在保證網絡安全穩定可靠的前提下，實現網絡管理的智能化自動化。

1 策略網絡的關鍵技術

策略網絡將基于角色的策略和動態入侵響應兩項關鍵技術有機地結合起來，主要體現了網絡體系的安全性和管理上的便捷性。

11 基于角色的策略

雖然路由器和交換機具有一定的管理功能，但交換機只能對局域網中的帶寬分配和訪問權限做簡單決定。而網絡中的管理要面對簡化網絡運作、應用優先權分配、靈活的體系結構、多廠商支持等4個關鍵業務領域的需求[5]。策略管理的目的就是以簡化的、自動化的方式，實現業務驅動的網絡，幫助降低運行成本。因此，基于多元化應用需求，在網絡設備上安裝、使用策略管理器的解決方案應運而生。

研究表明，角色/權限之間的變化比角色/用戶關系之間的變化相對慢，而且委派用戶到角色不需要很多技術，可以由行政管理人員來執行。配置權限到角色的工作比較復雜，需要一定的技術，要由專門的技術人員來承擔。不給他們委派用戶的權限，也與現實中情況相一致。基于角色的訪問控制方法可以很好地描述角色層次關系，方便權限管理，實現最少權限原則和職責分離的原則。

網絡管理員在策略管理器上定義具體的策略，決定怎樣利用網絡資源。這些策略由一套規則構成，規則與業務優先級有關，能夠在逐個用戶或分組基礎上設置所需的服務水平，以及進行封鎖或訪問控制。

2015年11月 第35卷第11期 現?"代?"情?"報 Journal of Modern Information Nov，2015 Vol35 No11

2015年11月 第35卷第11期 基于策略網絡的圖書館網絡安全管理方案 Nov，2015 Vol35 No11

12 動態入侵響應

很多圖書館通過在網絡邊界部署防火墻、企業級防病毒軟件、對服務器安裝各種補丁程序等方法來保護其IT基礎架構。但是，這些預防措施并沒有阻止出現在互聯網上的蠕蟲和惡意用戶的不斷攻擊。動態入侵響應（DIR）是一種安全網絡解決方案，它能夠檢測網絡當中的異常行為，然后干預、隔離異常用戶或故障設備。動態入侵響應隔離了每一種安全威脅并用列表分類，識別安全威脅來源并自動配置網絡，降低網絡威脅產生的損失，從而保護網絡免受已知和未知安全威脅的侵害。endprint