數字圖書館網絡安全體系研究

於建偉

（武漢船舶職業技術學院，湖北武漢 430050）

互聯網的發展與普及，促進了圖書館館藏信息數字化的快速發展，基于網絡服務的數字圖書館應用方案已成為圖書館極其重要的服務手段和方式。全局的網絡安全策略，是數字圖書館“優質服務”的基本保障，本文從遠程接入安全、網絡邊界安全、館域網安全、信息中心安全、上網行為監督管理、全網安全管理等方面論述了數字圖書館網絡安全體系的構建要素，并提出了一套解決方案。

1 網絡安全體系概述

一般來說，網絡安全就是指網絡中信息的安全，是指計算機網絡系統軟、硬件及系統中數據得到保護，不被更改、泄露，應用系統可以正常運行，網絡服務不被干擾或中斷。

隨著互聯網技術的發展，我們在充分感受信息高速互通為我們生活、工作帶來便捷的同時，也時刻面臨著各種各樣的網絡攻擊和威脅，例如：非法用戶進行非法訪問、竊密和失密、篡改信息、黑客入侵、計算機病毒、用戶不合理上網行為等。

目前，絕對的網絡安全是不存在的，只能通過綜合運用源于人、技術、管理等因素形成的網絡保護能力、檢測能力、反應能力和恢復能力，形成相對的網絡安全。

數字圖書館基于其自身應用的特殊性，其網絡安全體系至少分為兩個方面：一是網絡自身安全，二是網絡業務安全。一個“稱職”的數字圖書館網絡安全方案需要滿足：與圖書館網絡內部通信模式無縫耦合，根據相關行為模式制定配合性安全策略，最后將這套策略強制實施到數字圖書館館域網的每一個角落。

2 網絡安全體系要素分析

2.1 遠程接入安全

目前，遠程接入主要有三種方式：反向代理服務、VPN（虛擬專用網）、反向代理與VPN相結合的方式。反向代理服務的優勢在于成本，VPN成本相對較高，但應用時更安全、穩定與高效。

（1）反向代理服務。一般而言，代理服務的作用是用于代理來源于內網的針對外網資源的連接請求，而不接受外網對內網的訪問。如果某一種方式可以代理來源于外網的針對內網資源的連接請求，這種代理服務就稱為反向代理。

反向代理服務的實現較為簡單，只需要在局域網內的一臺服務器上運行相應的代理服務器軟件即可，通用服務器甚至是PC級服務都能完全勝任，但這種方式支持的用戶數少，不適合當前數字圖書館應用需要。

（2）VPN技術。虛擬專用網VPN，指的是在公用網絡上建立專用網絡的技術，由經過相互授權的通信雙方在公用網上建立的一種安全通信隧道，數據可以在安全通信隧道中加密傳輸。

目前的VPN技術有：IPSec VPN技術和SSL VPN技術兩種。

IPSec即Internet Protocol Security（因特網安全協議），IPSec VPN技術是建立在IPSec協議基礎上的虛擬專網技術；SSL即Secure Sockets Layer（安全套接層），是Netscape公司提出的一種基于Web的安全類協議。SSL VPN與IPSec VPN一樣，用戶遠程使用時與在內網中體驗一致，使用時與具體應用無關，外網用戶只需要打開IE瀏覽器，即可訪問網絡。

SSL VPN技術關注于應用軟件的安全，因此多用于Web遠程接入，而IPSec VPN主要解決的是互聯網上不同位置兩個局域網之間的安全連接，技術上更注重于保護點對點通信。

2.2 網絡邊界安全

數字圖書館的網絡邊界是網絡安全的第一道防護，涉及的邊界主要有用戶終端與網絡之間的邊界、數字圖書館與互聯網／內網的邊界等。如圖1所示：

圖1 數字圖書館的網絡邊界

終端邊界和網關邊界是數字圖書館的兩個網絡邊界，一般我們更注重網關邊界的安全。在網關邊界，我們需抵抗外網非法入侵與網絡病毒，需要針對不同級別安全域互訪進行有效控制；網關的另一功能是過濾外網信息，對內網用戶訪問互聯網進行監管；同時，網關也是內／外信息必經之路，通常通過對網關記錄日志的分析，為網絡安全管理提供決策支持。

數字圖書館的安全隱患可能更多來源于終端邊界，例如：用戶終端接入館域網后，隨意掃描內網的各種重要資源，如一些重要應用或服務器資源；用戶終端的軟件系統由于沒能及時修復漏洞，成為黑客攻擊網絡的“幫兇”；用戶終端不及時更新殺毒軟件導致病毒防御能力的喪失；用戶隨意在終端安裝非法應用軟件等。

通常來說，完整的網絡邊界安全系統至少應該包含：防火墻、反病毒系統、網絡安全監控、入侵檢測與防御等。

2.3 館域網安全

數字圖書館館域網的安全問題至少包含：環境與物理層安全機制；操作系統和應用軟件的安全機制；內部機構互訪控制的安全機制等。

（1）環境與物理層安全

任何網絡系統對外部環境都有一定要求。當外部環境不符合相關標準時會影響到數字圖書館的信息安全，具體如：數字圖書館中心機房及用戶終端安置環境不合要求；中心機房設計、建造不合理或不符合標準；機房電源穩定性差；溫度不合要求；抗靜電、抗電磁干擾差；防火、防塵、防雷擊設施不到位等。

（2）操作系統和應用軟件安全

盡量選用漏洞少的操作系統和應用軟件平臺，及時更新系統補丁，定期掃描操作系統的配置以進行全面監測，都是保障操作系統及應用軟件安全的有效措施。同時，還可在數字圖書館館域安裝內網安全風險管理與審計軟件，進行有效的終端準入控制、終端安全控制、桌面合規管理、移動存儲管理等。

（3）內部互訪控制

我們一般通過在二層交換機上劃分VLAN來實現內部互訪控制。但這種傳統的互訪控制較為粗放，因為VLAN主要是通過配置ACL來實現互訪，當互訪控制要求較高時，過多的ACL條目會明顯的影響交換機性能。數字圖書館內部互訪控制需要更為精細的安全管理技術。

2.4 信息中心安全

信息中心是數字圖書館中數據流動最為頻繁的區域，該區域核心設備資源密集，任何軟、硬件故障或其他安全問題都有可能導致不可預估的損失。

目前信息中心所面臨的安全威脅除內部管理因素外，主要是指面向網絡層或應用層的攻擊。面向網絡層的攻擊主要是指DOC／DdoS攻擊，這種攻擊利用了互聯網開放性等特點，主要是采取導致網絡擁塞的方式迫使網絡癱瘓。面向應用層的攻擊則主要是利用一些軟件系統漏洞，以各種方式繞過傳統防火墻來入侵系統。常見的如蠕蟲、木馬、緩沖溢出代碼等。

信息中心的安全需要采用多層防御、分層部署的思路應對。例如，設置防火墻來應對面向網絡層的攻擊；部署入侵檢測／防御設備來對抗應用層攻擊；使用安全特性更高的匯聚層、接入層交換機來實現基礎性網絡安全防范等。

2.5 上網行為監管

上網行為安全主要涉及數字圖書館內部用戶一些上網行為的規范。涉及到的安全需求有：內容過濾、流量控制、防范機密信息外泄、非法應用識別等。例如對P2P軟件的全面管控；支持動態保證、預留保證、最高限制、平均分配、自由競爭等功能的帶寬資源分配；URL的識別與控制；關鍵字網頁過濾；HTTP／FTP上傳下載識別與控制；郵件訪問控制；代理識別等。一般通過在網絡上部署上網行為監管設備來實現數字圖書館內部上網行為的安全管理。

2.6 統一管理安全

安全是一個體系，任何環節的缺失都會導致安全體系的崩潰。因此，必須要求全網設備的統一安全管理。數字圖書館的應用需要有統一的、系統化的管理機制，因此需要在數字圖書館網絡中部署安全管理中心。安全管理中心并不是威脅抵御的直接實施者，而是一個策略制定的首腦。一般來說，安全管理中心應具備以下功能：

（1）旁路部署，在整個數字圖書館系統中透明化；

（2）可進行廣泛的日志采集，可以對網絡中的所有設備，包括防火墻、入侵防御系統、用戶終端、路由設備、服務器集群等設備進行日志分析；

（3）對安全威脅、網絡流量的實時監控、告警；

（4）提供拓撲發現功能，迅速定位網絡故障；

（5）對歷史數據可提供高效的查詢機制、報表等。

一般可通過在網絡中部署一臺安全管理中心設備來實現網絡設備的統一安全管理。

3 數字圖書館網絡安全體系構建

一套完整的數字圖書館網絡安全方案至少應該兼顧：遠程接入安全、邊界安全、內網安全、信息中心安全、上網行為安全與統一管理安全。以下是筆者針對國內某高職院校數字圖書館制定的網絡安全方案，設計的拓撲圖如圖2所示。

核心交換機采用H3CS12508核心交換機兩臺，雙機冗余，保障數字圖書館網絡通信安全，匯聚、接入層分別采用RG－S5750系列及RGS2628系列交換機。部署集成了IPS、防火墻、行為監管、VPN網關、反病毒模塊、垃圾郵件防護的綠盟NSF－PROD－SG安全網關設備兩臺作為安全中心，實現網絡安全管理雙保險。

遠程接入安全實現：考慮到遠程接入的移動性特點，目前主要是使用SSL VPN方案來實現數字圖書館遠程接入安全。整個SSL VPN方案基于B／S架構，客戶端不需要安裝特殊軟件，只需通過IE瀏覽器，驗證口令后即可安全的訪問數字圖書館內部資源。綠盟NSF－PROD－SG安全網關集成了IPSec VPN、SSL VPN等多種VPN技術，可滿足不同的VPN接入方式，例如：遠程客戶端－網關、網關－網關、網關－網關－客戶端等VPN組網方式，實現了VPN安全性與易用性的統一。

邊界安全實現：邊界安全由綠盟NSFPROD－SG安全網關產品的IPS模塊、FireWall模塊、防病毒模塊實現。NSF－PROD－SG安全網關采用智能狀態監測技術，支持路由、透明、混合模式部署，支持基于策略的雙向NAT、動態／靜態NAT、端口PAT；IPS模塊采用虛擬補丁技術，可防護遠程掃描、暴力破解、蠕蟲病毒、木馬后門、SQL注入、跨站腳本等各種攻擊；防病毒模塊采用雙防病毒引擎技術，支持NSFOCUS和Kaspersky的防病毒引擎，采用基于特征掃描的啟發式掃描技術，可對利用 HTTP、POP3、SMTP、FTP、IM等多種協議的病毒進行處理。

內網安全實現：對數字圖書館中心機房進行改造，增強防電磁輻射、防靜電、防雷擊、防火、防水、防潮相關措施，確保機房安全；建立和完善網絡安全防范的規章制度：館域網計算機操作規程、信息中心管理制度等，建立制度化的員工網絡安全培訓機制、并有效實施；為解決傳統二層VLAN隔離技術的不足，采用以防火墻技術為核心的內網訪問控制解決方案：NSF－PROD－SG安全網關防火墻模塊支持對VLAN的訪問控制，可實現數字圖書館館域網中不同VLAN互訪的精細化控制。

服務器群安全：數字圖書館的服務器群主要涉及對外服務中心：WEB、電子郵件系統等服務器群；信息中心：認證、日志、數字圖書館資源服務器群。兩部分服務器群分別通過兩臺NSFPROD－SG安全網關中單獨的IPS、防火墻、行為監管模塊與核心交換機互連，實現信息中心從底層到高層的安全防護。

上網行為安全：NSF－PROD－SG安全網關內置行為監管模塊采用智能協議識別和關聯技術，提供了較為深入的協議分析、用戶認證功能，可針對用戶上網行為、網絡應用行為和業務運維行為進行智能多維度網絡行為管理，可支持基于IP地址、用戶／用戶組、協議、時間、關鍵字等多種組合策略，支持對即時通訊、在線視頻、P2P下載、網游、股票、文件上傳下載等行為進行全面監控管理。

統一安全管理：采用綠盟安全產品配套的安全系統進行統一網絡管理，實現對整個數字圖書館館域網設備的集中配置、監視和控制。

1 徐波濤.校園網網絡安全方案設計與工程實踐［D］.北京：北京郵電大學，2012

2 焦坤.高校圖書館遠程接入方式比較與選擇［J］，上海工程技術大學教育研究，2009（3）

3 劉杰等.淺談數字圖書館的網絡信息安全［J］.現代情報，2005（12）

4 張孝飛等.高校數字圖書館網絡安全分析與防護策略［J］.情報探索，2011（8）

5 尹志清.高校圖書館網絡安全體系的構建［J］.武漢船舶職業技術學院學報，2007（1）