(绥化学院图书馆,黑龙江 绥化 152061)
摘 要:文章探讨了高校图书馆网络信息安全管理使用的相关技术、安全策略及管理系统。
关键词:图书馆;网络安全;信息安全
中图分类号:G250.7 文献标识码:A 文章编号:1007—6921(2008)10—0104—02
当代社会科学技术日新月异,信息呈爆炸方式增长,计算机网络的高速发展为信息的传播、共享带来了极大的便利,也在很大程度上改变了图书馆工作、服务的模式;然而由于网络的开放性,其上存储、传输的信息资源和提供的服务不断受到各种不安全因素的威胁,高校图书馆的网络信息安全管理工作变得越来越重要。
1 网络信息安全的含义及现状
网络信息安全是要保护各网络资源及在其上传输的信息资源的安全,保障各应用系统安全、稳定运行。它包括实体安全(机房、各种网络设备、主机的安全等)、网络信息安全(网络的畅通、信息的完整性、保密性等)和应用安全(操作系统、应用程序正常运行及数据库的安全等)几个方面。影响网络安全的因素有很多,包括自然环境条件、软件硬件问题、人为活动的影响等;对图书馆来说,常见的是来自网络的各种恶意攻击和计算机病毒。
如今图书馆各类图书采用微机自动化管理,各种数字化资源检索系统如电子期刊、电子图书、博硕士论文数据库等纷纷投入使用,读者通过网络即可方便地检索信息、互相交流,这一切都得益于计算机网络的发展;而随着互联网规模的不断扩大和用户的持续增长,网络的安全问题越来越突出:计算机病毒肆虐,特洛伊木马、间谍软件时刻可能在窥探用户隐私信息,恶意软件胡乱篡改系统设置,各种恶意攻击给信息的安全和系统的稳定运行带来极大的威胁……面对这样的挑战,高校图书馆应与时俱进,运用先进的技术和管理机制构筑一道网络信息安全的坚固堡垒。
2 网络信息安全相关技术
2.1 高性能网络
千兆位/万兆位以太网、光纤网络、高性能交换机的发展带来了更快的传输速度、更低的访问延迟和更好的网络管理功能,其上可同时运行多种信息系统,开展各种服务,这无疑为作为信息中心的图书馆打下了坚实的网络基石。
2.2 防火墙技术
防火墙是目前最常用的网络安全设备之一,通常在各网络系统与互联网接入点之间设置,它监控进出网络的数据包,根据规则列表过滤掉不合法的数据包,从而阻断来自外部网络的攻击。目前防火墙技术主要有包过滤防火墙、应用网关、NAT及带状态检测的防火墙。包过滤技术即通常意义上的防火墙;应用网关技术在应用层上转发数据包,代替内部主机与外部主机进行通信,它对数据包的检测能力较强,可处理应用层上的协议,但处理速度慢;NAT(网络地址转换)将内部主机的IP地址转换为其外部IP地址,将内部网络隐藏起来,还可以节省IP地址资源;带状态检测的防火墙技术运用基于连接的状态检测机制将属于同一连接的所有数据包作为一个整体的数据流看待,构成动态连接状态表,依据规则列表同时参照状态表决定是否允许数据包通过,具有较好的灵活性和安全性。除了硬件防火墙设备,还有软件防火墙,它运行于服务器、工作站之上,能够监控访问网络的主机、用户和应用程序,控制其访问网络的方式、能访问哪些资源等。
2.3 加密技术
将网络上各种敏感信息进行加密是保障数据安全、保密的主要技术手段。其工作原理是根据加密算法用加密密钥将要加密的明文转换为密文后再进行传输,授权的接收方在收到密文之后用解密密钥将其解为明文使用;非法用户由于没有解密密钥而很难将密文转回明文,从而保证了数据的安全性和完整性。根据加密密钥与解密密钥是否相同,可将加密算法分为常规算法(即对称加密算法,加密密钥与解密密钥相同,如DES、CAST等)和公钥密码算法(非对称密码算法,如RSA、DSA等)。
2.4 入侵检测技术
入侵检测系统(IDS)的任务是监测网络上的数据包、分析各种连接请求,检查网络系统中是否有被攻击的迹象,阻止违反安全策略的行为,实时地保护系统免受各种网络攻击的侵害。IDS是防火墙的有益补充,它包含基于网络的和基于主机的入侵检测系统。
2.5 VPN技术
虚拟专用网(VPN)用于通过公用网络(通常是因特网)建立一个临时、安全的连接将企业、组织内部各分支单位的网络互联。它通过将数据加密并用隧道技术封装传输实现可信任的连接和安全的数据传输,提供与专用网一样的功能保障。
3 图书馆网络信息安全管理策略
安全策略是技术措施与管理手段的结合,是网络信息安全工作的依据。
3.1 物理安全策略
保障主机、网络设备等硬件实体免受各种自然、人为因素的侵害,使其保持长期稳定运行的状态。具体措施一是要重视对硬件的投资,机房设施建设、网络设备的安放等要符合规范,要有防火、防盗的相关设施,机房应配备空调等;二是要有专业人员负责对硬件设备进行维护,能及时发现、排除故障并定期检查其运行状况;三是要有科学的管理制度和操作规范。
3.2 访问控制策略
访问控制策略是网络信息安全的核心策略之一,它保证网络资源的合法使用。
3.2.1 入网访问控制。控制用户、主机访问网络的合法性。其通过对用户的身份信息(通常是用户名和密码)的识别、验证及对用户账号的默认限制检查来判断访问请求是否合法;对主机主要是控制其对IP地址的使用。可分别在硬件、软件上实施入网访问控制,如在交换机上将端口、IP地址与网卡MAC地址进行绑定以防IP地址盗用和ARP攻击,使用代理服务器对上网用户的行为进行约束。
3.2.2 用户网络权限控制。
是针对网络非法操作采取的一种安全措施,通常给不同级别的用户、用户组设置不同的权限以控制其对网络资源所能执行的操作。一般地说管理员具有比较广泛的权限,普通用户仅对其需要使用的资源有相应的权限。
3.2.3 目录级安全控制。从文件系统层面上控制用户对文件、目录的访问。对文件的访问权限通常有:系统权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和存取控制权限。管理员应给用户适当的权限,让其既能很好地完成工作又不会损害系统的安全。
3.2.4 网络监控。通过网络管理系统、IDS等,管理员对网络实时监控,查看各用户对网络资源的访问情况,查找并终止非法的网络访问,对达到一定次数的网络攻击者应当锁定其账户或IP地址。
3.2.5 防火墙与隔离策略。在网络中不同位置设置软件、硬件防火墙,对网络上的资源进行隔离控制,通过设置不同强度的规则为不同网络区域实现不同的安全级别,可将网络安全性大大提高;用VLAN将馆内不同业务系统隔离开,既能提高网络性能又有一定的安全性;运用VPN技术可将不同地域的图书馆网络安全互联而无须租用专线。
3.3 存储与容灾策略
如今图书馆的数字化资源信息量早已达到TB级别,数据的存储问题迫切需要解决。利用RAID可存储大容量数据又有较好的性能,其冗余存储技术也在一定程度上保障了数据的安全,对更大的存储需求可用SAN、NAS技术对其进行扩展;图书馆核心业务应使用集群技术承载以提高服务器的可用性和容错能力,对核心数据必须定期备份以备数据损坏时进行恢复,大型图书馆可使用异地备份容灾机制。
3.4 主机系统安全控制
是对操作系统的加固和用户行为的控制措施:对操作系统和其他系统软件的漏洞应及时修复、打补丁;不在系统上安装不需要的软件,不使用的服务应当停止,不用的端口应关闭;对系统上的用户仅分配适当的权限并设置密码,管理员应使用强密码并定期更换,尽量不用管理员身份直接登陆系统操作;在服务器上可启用安全审计以发现可能的攻击行为,重要的文件应加密存储,系统文件、数据库应有备份;对某些主机还可安装反间谍、HIPS软件等来加固系统。
3.5 计算机病毒的防范
计算机病毒对网络系统的安全运行危害极大,日常工作中必须对其严加防范。防病毒工作可按网关、服务器、工作站几个层次进行:首先应在网关处安装硬件、软件防毒墙产品对进出网络的数据流实时扫描,过滤掉已知的和潜在的安全威胁;其次应在整个网络系统内部署网络版防病毒软件,并设专人进行管理、维护。管理员可根据实际情况对服务器、工作站设置不同的防护策略(通常服务器有更高的安全级别),应经常查看防病毒系统的工作状况,及时升级病毒库以确保系统始终处于有效的安全防护之下,遇到病毒爆发时能及时采取措施控制局势并将损害降到最低;同时应严格规范各工作人员日常操作,加强管理,尽可能阻断病
毒感染、传播的渠道。
4 网络信息安全管理系统
现今图书馆工作的方方面面都离不开网络,网络某处的小问题都可能影响整个系统的运行,网络安全的管理工作更趋向于一项系统工程,为此我们应建立起网络信息安全管理系统。①图书馆应采用先进的硬件设备和软件系统,这是其网络通畅、服务能够到位的基础;②要增强全体馆员的安全意识,加强对计算机知识的学习,降低人为操作可能带来的损失;③技术人员须钻研安全技术,勇于实践,提高排除故障、解决问题的能力;④管理人员应明确落实各项工作责任,严格实施系统安全策略并协同技术人员不断完善之。在这里,科学、完备的管理机制是非常重要的,它将日常的业务工作与系统安全策略有机地结合起来,使两者互相促进、相辅相成,可以说我们的网络信息安全管理系统就一个是以技术为基础,以安全策略为中心,以管理为关键的安全体系。
5 结束语
在当代高校图书馆走向网络化、信息化的过程中,网络安全无疑是其要长期面对的重要课题。为此,我们必须始终将网络安全摆在重要位置,不断发展、完善其网络信息安全管理系统,为图书馆的服务工作保驾护航。
[参考文献]
[1] 温小兵.图书馆计算机网络安全策略研究[J].广东经济管理学院学报,2006,(1).
[2] 赵世泽.高校图书馆网络安全问题与对策[J].大学图书情报学刊,2006,(2).
[3] 刘文君,钱蕴华.图书馆网络信息安全的技术实现[J].中华医学图书情报杂志,2004,(5).
[4] 李杉.对图书馆网络信息系统安全建设的思考[J].现代图书情报技术,2004,(S1).
[5] 李胜文.大学图书馆网络安全策略初探[J].科技情报开发与经济,2006,(6).
[6] 戴云.高校图书馆计算机网络信息系统安全现状及对策[J].现代情报,2004,(10).
[7] 易斌,张海帆.谈图书馆的网络安全问题[J].现代情报,2004,(10).