運用UTM新技術構筑圖書館網絡安全堅固防線

〔摘 要〕闡述了圖書館網絡存在的許多安全威脅、傳統網絡安全防范措施及其缺陷。介紹了UTM新技術即“一體化的威脅管理”新模式，該技術的運用將為圖書館網絡安全帶來新希望。

〔關鍵詞〕圖書館；計算機網絡；網絡安全；UTM；新技術

〔中圖分類號〕G250.78 〔文獻標識碼〕B 〔文章編號〕1008-0821（2012）10-0127-03

圖書館網絡安全應給予高度重視，計算機病毒、黑客攻擊、系統漏洞、硬件環境等諸多因素都對圖書館網絡安全構成威脅。傳統網絡安全防范措施如防火墻、VPN網關、入侵檢測以及防病毒等，為功能單一的安全管理模式，即習慣稱之為STM（單一威脅管理），已遠不能滿足新的混合型攻擊的防范要求。UTM新技術即“一體化的威脅管理”新模式集防火墻、VPN、網關防病毒、IPS、防拒絕服務攻擊等眾多產品功能于一體，為構筑圖書館網絡安全堅固防線帶來了新曙光。

1 圖書館網絡安全威脅

1.1 計算機病毒攻擊

計算機病毒是一個程序，或一段可執行碼，它有獨特的復制能力，能附著在各類文件上隨同文件通過網絡或文件復制而迅速傳播開來。它隱蔽在其他可執行的程序中，既有破壞性，又有傳染性和潛伏性。它對計算機進行破壞，使其性能降低、無法正常使用甚至使整個計算機操作系統或硬件損壞。圖書館網已普遍接入到互聯網，這為病毒的侵入提供了便利途徑。一旦服務器和工作站被病毒感染，就會迅速擴散至整個圖書館網絡，可能造成系統損壞、數據丟失、應用程序無法使用、甚至導致網絡癱瘓，造或無法挽回的損失。隨著互聯網的迅猛發展，計算機病毒從種類到數量在急劇增加，而且傳播速度加快，受感染的范圍也越來越廣，破壞性也在加大，而病毒的清除卻非常困難[1]。

1.2 黑客攻擊

從黑客攻擊手段看可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行，并不盜竊系統資料，通常采用拒絕服務攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的。常見黑客攻擊手段有：

（1）系統漏洞攻擊：一些別有用心的人，利用窮舉搜索法，發現并利用程序設計員由于疏忽或者其他原因（如將其留在程序中，便于日后訪問、測試或維護）而留下的后門即系統漏洞進行攻擊。

（2）信息炸彈：即使用一些特殊工具軟件，短時間內向目標服務器發送大量超出系統負荷的信息，造成目標服務器超負荷、網絡堵塞、系統崩潰的攻擊手段。

（3）信息攻擊：攻擊者通過發送偽造的路由信息，構造源主機和目標主機的虛假路徑，從而使流向目標主機的數據包均經過攻擊者的主機。這樣就給攻擊者提供了敏感的信息和有用的密碼。

（4）拒絕服務攻擊：分布式拒絕服務攻擊（DDoS）是目前黑客經常采用而難以防范的攻擊手段。它是使用超出被攻擊目標處理能力的大量數據包消耗可用系統、帶寬資源，最后致使網絡服務癱瘓的一種攻擊手段。

（5）網絡監聽：當黑客登錄網絡主機并取得超級用戶權限后，若要登錄其他主機，使用網絡監聽可以有效地截獲網上的數據，這是黑客使用最多的方法，但是，網絡監聽只能應用于物理上連接于同一網段的主機，通常被用做獲取用戶口令[2]。

對于圖書館網絡來說，黑客攻擊的危害主要有以下幾個方面：

（1）惡意破壞：黑客出于某種不可告人的目的，對圖書館網絡設備進行信息轟炸致使服務中斷，或入侵Web和其它文件服務器，刪除或篡改數據，致使系統癱瘓甚至完全崩潰。還可能向圖書館網絡傳送附帶病毒的文件，達到破壞的目的。

（2）竊取數據：黑客有可能竊取圖書館建立的特色數字館藏和花巨資購買的數據庫資源以逃避有償服務。

（3）非法使用網絡資源：黑客通過對圖書館網絡系統的控制，能夠無限制地使用其中的計算機和網絡連接服務等資源而不必支付任何費用。最典型的就是免費使用數據通信網絡，其結果是使圖書館無故承擔高昂的費用并造成不必要的網絡堵塞[3]。

（4）破壞數據完整性：外部網絡或內部網絡用戶以非法手段取得對數據的使用權，通過非法竊取、篡改、偽造某些重要信息，以取得有益于攻擊者的響應；同時，利用惡意添加、修改數據破壞內部網絡和外部網絡之間的連接。

1.3 系統漏洞

1.3.1 Windows系統

（1）輸入法漏洞：通過該漏洞用戶可瀏覽計算機上的所有文件，且可執行net.exe命令添加Administrator級別的管理員用戶，從而完全控制計算機。

（2）Unicode漏洞：“Unicode漏洞”是微軟IIS的一個重大漏洞。IIS 4.0和IIS 5.0在Unicode字符解碼的實現中存在一個安全漏洞，導致用戶可以遠程通過IIS執行任意命令。當用戶用IIS打開文件時，如果該文件名包含Unicode字符，系統會對其進行解碼。如果用戶提供一些特殊的編碼，將導致IIS錯誤地打開或者執行某些Web根目錄以外的文件。攻擊者可以利用這個漏洞來繞過IIS的路徑檢查，去執行或者打開任意的文件。

（3）ISAPI緩沖區溢出漏洞：ISAPI，即Internet Services Application Programming Interface，作為安裝IIS過程的一部分，系統還會安裝幾個ISAPI擴展.dlls，其中idq.dll是Index Server的一個組件，對管理員腳本和Internet數據查詢提供支持。但是，idq.dll在一段處理URL輸入的代碼中存在一個未經檢查的緩沖區，攻擊者利用此漏洞能導致受影響服務器產生緩沖區溢出，從而執行自己提供的代碼。更為嚴重的是，idq.dll是以System身份運行的，攻擊者可以利用此漏洞取得系統管理員權限。當外部攻擊實施向ISAPI擴展發送特定參數的“Buffer Over Run”攻擊時，即可從外部執行服務器的所有程序[4]。

此外還有：Microsoft IIS CGI文件名錯誤解碼漏洞、MSADCS RDS弱點漏洞、FrontPage服務器擴展漏洞、Printer漏洞、系統管理權限漏洞、路徑優先漏洞、NetDDE消息權限提升漏洞、RDP拒絕服務漏洞、域控制器拒絕服務漏洞等，這些都對系統構成安全威脅。

1.3.2 數據庫系統

（1）SQL數據庫漏洞：SQL服務器是一個非常強大的數據庫。在安裝MS SQL Server后，會產生默認的SA用戶，且初始密碼在管理員未設置的情況下為空，但SA為SQL Server中非常重要的安全模塊成員，因此入侵者即可通過SQL Server客戶端進行數據庫遠程連接，然后通過SQL的遠程數據庫管理命令進行命令操作，從而在MS SQL Server服務器上新建管理員級別的Administrators組用戶[4]。

SQL Server 2000所含組件“SQLXML”中也存在安全漏洞。在建立能夠通過Internet Information Server/Services（IIS）向SQL Server直接發送請求（Query）的系統時，如果接收了某種被做過手腳的請求，就存在著IIS服務器上被執行任意代碼（程序）的危險。與此同時，還在SQLXML中發現了可能危及客戶端的安全漏洞[5]。遠程攻擊者可能利用SQL漏洞導致拒絕服務、繞過數據庫策略、泄漏敏感信息或執行任意代碼。

（2）Oracle數據庫漏洞：Oracle Application Server最近被發現存在多個安全漏洞，包括資料溢寫、不安全的預設定、無法執行存取控制以及無法驗證輸入。這些漏洞造成的影響包括可被執行任意指令或程序代碼、拒絕服務，及未經授權的資料存取[6]。

（3）sybase數據庫漏洞：Sybase ASE能實現多種性能優化機制。其中的一個機制允許用戶在執行SQL查詢時指定抽象查詢計劃。所有可以執行SQL查詢的用戶都可以指定查詢計劃。攻擊者可以創建能夠導致棧溢出的特制查詢計劃。如果服務器處理了畸形的抽象查詢計劃就可以觸發該漏洞。如果成功利用的話，就可能導致內存破壞并執行任意代碼。攻擊還可能導致拒絕服務[7]。

1.4 硬件環境

（1）計算機內網設備使用留下隱患：移動硬盤、U盤、筆記本電腦等在內網與外網上交替使用，導致病毒傳入、數據泄漏和丟失。

（2）私加網卡，同時連接內網與外網，這樣外部的攻擊行為與病毒就可輕易繞過內外網之間防火墻，順利入侵內網，利用該通道內部人員也可容易地將內部信息傳到外網。

（3）網絡物理環境不合理，網絡傳輸介質易被竊聽，防電磁干擾能力差。網絡服務器，交換機、集線器、網絡聯線與布線結構都是引起不安全的因素。不可預料的自然災害、電氣故障、靜電、磁場影響、電源質量、機房布局不當、機房輔助設備故障等，都是危害網絡系統安全的隱患[1]。

2 傳統安全防范措施

2.1 防火墻技術

防火墻是在內部專用網與外部網（ 如因特網） 之間構筑的一道屏障，可提供接入控制，干預兩網之間的息傳遞，是安全防范體系中必要的一層。它最主要的作用就是防止對計算機的非法訪問。

2.2 入侵檢測

入侵檢測被認為是防火墻之后的第二道閘門，可以實時的監控網絡中的數據訪問和系統事件，提供對內部攻擊、外部攻擊和誤操作的實時保護。

2.3 用戶認證

高校圖書館對校園內用戶實行統一認證和管理，從而保證該用戶有適當的權限訪問圖書館資源，防止外來人員的惡意襲擊。

2.4 數據備份

圖書館數據具有數據量大、更新迅速等特點，具有較大的風險性。因此數據庫中的數據應及時、準確、完整地建立備份，一般采用即時數據雙機或雙盤在線備份和當日數據離線備份的方式備份好數據[8]。

3 傳統安全防范措施的缺陷

3.1 路由器防火墻

路由器防火墻一般只做第3、4層的防御，即對IP地址、端口的過濾，對于內網用戶訪問外網80端口一般是放行的，這樣在用戶隨意瀏覽到被掛馬的網站時，像熊貓燒香這類病毒就堂而皇之的進到內網PC中了。在接著的局域網內的傳播及移動存儲設備的傳播中，由于不通過路由器、硬件防火墻，因此路由器、硬件防火墻也不可能進行有效的防御。某些高級防火墻帶有一定的應用層過濾的機制，例如：核過濾、流過濾等，但作用的力度、范圍及靈活性不大，無法阻攔病毒通過被掛馬網站的傳播。

3.2 防病毒軟件及防病毒網關

防病毒軟件及網關只能根據已知的病毒特征碼進行過濾，在新病毒出現和防病毒軟件、網關得到該病毒的特征碼之間有時間差，各防病毒軟件及專殺工具往往跟不上新病毒及其變種的更新速度。

3.3 入侵檢測（IDS） 入侵阻攔（IPS）

大部分的入侵檢測系統是依靠特征碼進行的，與防病毒一樣，由于在特征碼的更新上落后于新病毒的發布和變種，也只能起到亡羊補牢的作用。如果沒有入侵阻攔（IPS）或防火墻聯動的幫忙，即使IDS檢測到了病毒，也不能阻止其泛濫。

3.4 VPN SSL

VPN只是在第2、3、4層上建立了一個加密隧道，并沒有檢測應用層的內容，因此，象熊貓燒香病毒仍可以順著建立好的VPN隧道進入對方網絡。

3.5 VLAN

在實際應用中，大部分單位均以部門為單位進行VLAN劃分，因此，本部門中1臺機器中了毒，整個部門就存在被感染的風險，除非每臺機器都裝了個人防火墻[9]。

4 運用UTM新技術構筑圖書館網絡安全堅固防線

目前，網絡安全防范的狀況是，大都還在使用功能單一的安全設備，即STM（單一威脅管理）。比如，防火墻、VPN網關、防毒墻、入侵偵測設備等。這些設備隨著企業要求的提高而不斷地串接起來，不僅需要大量的資金投入，而且會使網絡結構日趨復雜，增加網絡開銷，造成維護量大，排障困難，占用大量的人力。而網絡安全威脅也與日劇增，不同的攻擊手段同豐富的正常應用混合起來，使得防范變得愈加困難，增加了安全管理上的壓力，因此，STM類設備已經越來越無法適應現代企業對于網絡的需求[10]。

于是UTM新技術就應運而生了。UTM（Unified Threat Management）即“一體化的威脅管理”。它集防火墻、VPN、網關防病毒、IPS、防拒絕服務攻擊等眾多產品功能于一體，以其基于應用協議層防御、超低誤報率檢測、高可靠高性能平臺、統一組件化管理、實現多種防御功能的優勢已得到越來越多用戶青睞。由于UTM設備是串聯接入的安全設備，因此UTM設備本身的性能和可靠性要求非常高。UTM的重要特點是：第一，網絡全協議層防御。除了傳統的訪問控制之外，還對防垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的效果，實現七層協議保護。第二，有高檢測技術來降低誤報。第三，有高可靠、高性能的硬件平臺支撐。第四，有一體化的統一管理。這樣，使設備本身平臺標準化并具有可擴展性，用戶可在統一平臺上進行組件管理，同時，也能消除信息產品之間由于無法溝通而帶來的信息孤島，從而在應對各種各樣攻擊威脅的時候，更好地保障用戶的網絡安全[11]。業內人士認為，UTM幾乎囊括了從外部防范到內部防泄露、從單一獨立的安全產品到集中綜合的多項安全功能、從底層自架設的操作系統到網絡層和應用層聯合抵御與防范等所有功能，無論是概念，還是其內核精髓，對以往單薄的安全機制都是一次深刻變革。其產品精神勢必導致對傳統安全觀念的一次全新沖洗[12]。

總之，圖書館應充分運用包括UTM在內的網絡安全新技術以構筑其網絡安全的堅固防線。

參考文獻

[1]李東林.圖書館網絡安全探析[J].集團經濟研究，2006，（12月中旬刊）：275-277.

[2]微塵8502.什么叫黑客攻擊？[EB].http：∥zhidao.baidu.com/question/32975403.html，2007-08-27.

[3]李衛東.圖書館網絡安全問題與防范技[J].現代圖書情報技術，2002，（6）：91.

[4]全面Windows系統漏洞攻防實戰[EB].http：∥blog.163.com/rainbowxrw/blog/static/1307765200792011722163/.

[5]責任編輯：金璞.SQL Server組件發現漏洞 可運行任意代碼[EB].http：∥database.ctocio.com.cn/news/399/6707899.shtml，2006-12-08.

[6]責任編輯：金璞.安全公告：Oracle服務器存在多個漏洞[EB].http：∥database.ctocio.com.cn/news/269/6707769.shtml，2006-12-08.

[7]來源：瑞星編譯.Sybase ASE企業級數據庫 查詢計劃緩沖區溢出漏洞[EB].http：∥it.rising.com.cn/Channels/Safety/LatestHole/HoleDatabase/2005-04-08/1112938080d15619.shtml，2005-04-08.

[8]李雅瓊.高校圖書館網絡信息安全根源探討[J].井岡山學院學報：自然科學，2006，（10）：35-36.

[9]hjhj.為什么有了防火墻、防病毒、VLAN還不夠[EB].http：∥www.netexpert.cn/thread-14476-1-1.html，2007-03-01.

[10]ZyWALL UTM領跑信息安全（1）[EB].http：∥netsecurity.51cto.com/art/200601/16107.htm，2006-01-01.

[11]論安全產品“老三樣”的發展趨勢[EB].http：∥netsecurity.51cto.com/art/200512/16080.htm，2005-12-31.

[12]張琰.UTM的“肩頭”有些重[EB].http：∥netsecurity.51cto.com/art/200512/16054.htm，2005-12-31.

（本文責任編輯：王 涓）