高校圖書館網絡安全管理策略研究

張賽男 王 瑜 劉恩濤 曹雪霏

（北京科技大學圖書館，北京100083）

1 引言

當今時代互聯網技術飛速發展，由此帶來的網絡威脅與安全問題日益增加。隨著數字圖書館的逐步實現，用戶對高校圖書館網絡的依賴程度不斷加大。加之圖書館網絡數據量大、影響廣泛與傳播度高的特點，如何保障網絡安全工作顯得越來越重要。

根據中國互聯網協會發布的《中國互聯網絡發展狀況及其安全報告（2019）》，以及中國互聯網絡信息中心（CNNIC）在京發布的第44次《中國互聯網絡發展狀況統計報告》顯示，互聯網生態仍將面臨嚴峻的安全形勢，黑客以互聯網為攻擊入口盜取系統信息、非法篡改網頁、植入后臺木馬，從而控制服務器以達到其不正當目的的行為仍然層出不窮。近年來，網絡篡改和互聯網反向傳播等攻擊活動不斷增多，大規模集團網站和政府機構、科研院所以及重要的業務部門仍然是黑客攻擊（尤其是APT攻擊）的主要關注點。數據泄露和網站漏洞的風險已成為網絡管理員必須要處理的關鍵問題，同時，它也成為用戶直接可以感知的安全問題。高校圖書館網絡服務器由于系統漏洞、后臺服務器存在不安全設置、網站實現代碼缺陷（如SQL注入、跨站腳本等），或網站提供Web服務的程序漏洞、IIS漏洞、Apache漏洞等，因而面臨極大的網絡攻擊威脅。

高校圖書館網絡安全問題是一個亟待解決的問題，需要結合高?，F實的管理體系，同時，兼顧各學校自身特點進行設計，在保證圖書館業務正常運轉的同時，提供安全、可靠、高效的防護保障體系。

2 高校面臨網絡攻擊的主要流程與手段

針對高校的網絡攻擊一般被分為兩類：主動攻擊與被動攻擊。主動攻擊是為了獲取訪問信息或達到某種惡意目的而進行的故意行為。例如遠程登錄到特定機器端口以獲得服務器信息，或者對訪問量較大、公網開放的高校網站（例如學校主站、教務系統、圖書館網站等）內容或格式進行非法篡改增刪等。被動攻擊的重點在于信息收集而不是訪問，包括嗅探、信息收集等攻擊方法，因此管理者對于此類攻擊很難察覺。這兩種攻擊方式一般被結合使用，在入侵時攻擊者會根據攻擊目的以及結合實際情況采用多種手段，在不同的入侵時段采用不同的方式。

在預攻擊階段，攻擊者通常會收集信息，了解攻擊環境，包括端口環境、機器類型、操作系統以及各個端口運行哪種服務等，為下一步攻擊提供必要的情報以及決策信息。進入攻擊階段后，攻擊者會通過獲得遠程權限進入系統，進而提升本地權限，以進行上傳程序、下載數據等實質操作。為了能夠對服務器進行持續訪問，攻擊者一般會通過植入后門木馬、刪除日志等方式故意消除痕跡，從而長期維持一定的權限以求得進一步的滲透擴展。整個網絡攻擊流程如圖1所示。

圖1 網絡攻擊的一般過程示意

值得一提的是，隨著網絡技術的發展，如今的網絡攻擊逐漸趨向于模式化、工具化，攻擊者不再需要具備極強的計算機網絡知識，通過特定的工具軟件或手段便可以輕松地進行漏洞掃描、程序植入以及上傳下載。例如，攻擊者首先通過Ping找到網絡上哪些機器是活動的，然后使用Scan-Port、Nmap等端口掃描軟件獲取進入計算機系統的入口點。接下來使用Nessus、X-Scan等漏洞掃描軟件找到系統漏洞以及薄弱之處，輔以Queso、Nmap等檢測出操作系統具體情況，最后畫出網絡圖，制定進一步攻擊策略。網絡攻擊的入手門檻降低、形式與技術的復雜化都對高校圖書館等流量站點的安全防護提出了嚴峻的考驗。

3 等保2.0標準下高校圖書館網絡安全防護的內容

3.1 等保2.0與等保1.0變化解讀

網絡安全的等級保護是對專有信息及信息系統分等級保護，對其中的信息安全產品按等級管理，對發現的安全事件分等級響應和處置的一種標準制度。2019年12月1日開始實施的等保2.0是我國網絡安全領域內的基本國策與基本制度。相較于2008年發布的等保1.0制度，等保2.0延續了從第一級到第五級的分級認證管理模式，5個等級依次是：用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。近年來，隨著新技術的發展和安全形勢的變化，等保1.0已經無法有效地應對新風險帶來的安全威脅，等保2.0的出現，從法律法規、標準要求、安全體系、實施環節等方面都進行了完善。

《中華人民共和國網絡安全法》將等保2.0從網絡安全的條例法規層面提升到國家法律的層面。任何不開展等級保護的行為都將被視為違法。另外，為適應新時代發展要求，等保2.0在1.0的基礎上進行了優化，對云計算、物聯網、大數據等新興業態提出了新的安全擴展要求，并且將監管對象從體制內網絡空間拓展到了全社會范圍。等保2.0標準在1.0標準的基礎上，更加注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態感知和全面審計，實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。高校圖書館作為文化教育類互聯網公共服務單位，網絡安全等保認證與建設勢在必行。以下將以北京科技大學圖書館為例，探討等保2.0標準下高校圖書館網絡系統結構建設與防護體系構建中的一些實施工作。

3.2 高校圖書館網絡系統結構建設

等保2.0中網絡安全保護規定的動作為定級、備案、建設整改、等級測評、監督檢查。依據《中華人民共和國網絡安全法》以及等保2.0有關定級對象、侵害客體、侵害程度等測評標準，高校圖書館按照等保標準定級，一般確定網絡安全等級為第二級或第三級。圖書館網絡屬于校園網絡的一部分，館內局域網建設與校園網的主干網互聯，因此高校圖書館網絡系統需要按規定等級安全防護要求進行建設。目前各大高校圖書館網絡一般以千兆光纖主干連接，不僅需要承擔大數據傳送業務，更要支持語音、視頻等大信息量的多媒體應用，對網絡的響應速度以及安全策略都存在較高要求，對內要防止“病毒”侵染，對外要防止外部網絡攻擊。按照等級分類標準，北京科技大學圖書館網絡系統應確定為第二級。圖書館網絡實現千兆光纖連接到主干網絡，百兆到桌面，與學校教育網高速連接，通過匯聚交換機連接局域網內所有服務器集群、工作機以及外圍設備。在安全防護上以防火墻隔離，通過學校網絡中心代理服務器實現與外網連接通信。具體網絡拓撲環境如圖2所示。

圖2 圖書館網絡拓撲

3.3 圖書館網絡安全防護體系的構建

按照國家網絡安全等級保護的指導原則，北科大圖書館近年來注重網絡安全技術與管理工作，部署了一套完整的網絡防護體系，整個體系包括4個層面：Web應用防火墻（Web Application Firewall，簡稱“WAF”），防火墻與端口控制，入侵檢測系統（intrusion detection system，簡稱“IDS”）以及安全防護設備與軟件等。具體防護體系如圖3所示。

圖3 圖書館網絡安全防護體系

3.3.1 Web應用防火墻

Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的系統，作為校園網絡安全保障體系的第一道防線。在校園網中由學校網絡中心統一部署，它允許一個校外網絡終端（一般為客戶端）通過這個服務與圖書館網絡終端（一般為服務器）進行非直接的連接，有利于保障網絡終端的隱私或安全，防止攻擊。在WAF管理控制臺將圖書館公網開放的網站域名添加并接入WAF后，校園網所有對外開放的公網流量都會先經過Web應用防火墻對HTTP（S）請求進行檢測，識別并阻斷SQL注入、跨站腳本攻擊、網頁木馬上傳、惡意爬蟲掃描、跨站請求偽造等惡意攻擊，并將其在Web應用防火墻上檢測過濾，而正常流量返回給圖書館目標服務器IP，保護圖書館內Web服務的安全穩定。整個工作流程如圖4所示。

圖4 Web應用防火墻工作流程

3.3.2 防火墻與端口控制

防火墻用于實現圖書館內網和校園網之間的訪問控制，具有5大功能：過濾進出網絡的數據包；禁止某些訪問行為；管理進出網絡的行為；記錄通過防火墻的信息內容；對網絡攻擊進行檢測和預警。在圖書館局域網中，服務器最易受到攻擊，需要根據實際服務在防火墻上對端口進行嚴格控制開放，并設置合理的安全策略，不需要的端口禁止向圖書館外開放，在敏感時期設置端口開放的時間等，從而有效地防止外網攻擊。

3.3.3 入侵檢測系統

一旦傳輸通過防火墻進入圖書館內網，入侵檢測系統則將開始實施監視。如果被判定為非法傳輸，系統將會觸發自動報警或采取進一步的反制措施。假設防火墻是圖書館網絡的一道門鎖，通過大門的傳輸事件還需要接受監控系統（IDS）的檢查。因此在分布式交換設備網絡中，IDS應布置在所有流量都必須經過的網絡上，并且盡可能分布在靠近攻擊源或者受護源的位置。對于圖書館網絡來說，這些位置通常是：圖書館各種服務集群匯集的交換機上；路由器進入圖書館內網之后首臺交換機上；圖書館重點網絡或業務的局域網交換機上。作為圖書館網絡防火墻的重要補充，IDS能夠克服傳統防御體系被動過濾的限制，能夠主動監測并分析用戶活動及系統狀態，針對已經發生但尚未引起重大損失的攻擊提前做出報警或強制終止等行動。整個工作流程如圖5所示。

圖5 入侵檢測系統工作流程

3.3.4 安全防護設備與軟件

除了在服務器上安裝必要的殺毒軟件外，圖書館面臨的安全問題主要有網頁內容篡改、網站掛盜鏈、掛馬，各種cc攻擊、DDoS攻擊等服務器安全問題，而應用層面上的攻擊又是比較多見的攻擊方式，因此使用云鎖、安全狗、360網站衛士等服務器安全軟件多有防cc、SQL注入、XXS跨站等針對應用程序攻擊的防御措施。但在系統層防護上，卻依然少有服務器安全軟件具備保護功能。要實現服務器的真正安全，則必須做到系統層、應用防護與網絡層防護等整個構建服務器安全防護體系的管理與防護。

4 基于Web服務器的安全防護策略

建立一個安全的Web網站必須要根據實際情況，從全局出發制定合適的防護策略，重點在于對所要防護的服務器要有全局認識。目前在高校圖書館的網絡建設中，使用最多的Web服務器還是IIS及Apache。由于IIS服務的方便性與易用性，使它成為高校圖書館自建站點或其他小型服務常用的Web服務器軟件，但是IIS的安全問題一直令人擔憂。而Apache由于其普適性高，可以運行在目前所有適用的部署設備上，并且平臺跨越性好，安全系數較高，故成為目前最流行的Web服務器端軟件之一。現實中每個圖書館都或多或少建設了相當數量的IIS及Apache系統，要做好安全防護，概括起來應該做到以下幾點。

4.1 精簡端口和服務

首先需要做的就是隱藏服務器的相關信息。攻擊者一般會根據Apache或IIS服務器的版本號搜索該版本相關漏洞，從而使用技術和工具有針對性地進行攻擊。為了減少此類威脅產生，應該在主配置文件下隱藏操作系統信息和Web服務器版本信息；同時要合理配置Web服務器，及時刪除和關閉沒有必要的端口或服務，只保留其中有用的，以阻止攻擊者從其他路徑獲取系統信息，進而獲取密碼文件。

4.2 正確設置操作權限

良好的賬號管理制度十分必要，對于用戶權限要嚴格控制，慎重使用Root權限進行遠程操作，要使口令具有足夠的復雜度與安全性。對于存儲重要數據或發布重要信息窗口的系統，要為Web站點上不同類型的文件都建立目錄，然后給它們分配適當權限。在設置時嚴格遵守拒絕優于允許、權限最小化累加原則和權限繼承性原則。

4.3 使用安全的協議與程序

在遠程管理圖書館服務器時，最好使用SSL和其他安全協議程序，盡量不要使用Telnet和FTP，因為這些協議會采用明文密碼且更易于監視。為確保消息在發送過程中不被篡改，可以對哈希編碼進行加密以確保信息的完整性。另外，應禁止或限制使用CGI程序以及ASP和PHP腳本程序。因為這些程序會對系統造成安全風險，并且某些腳本程序自身具有安全性的限制。

4.4 加強多層次網絡安全壁壘

在條件允許的情況下建立多層次的防護系統，可以結合使用代理服務、多層防火墻等技術手段將Web服務器與外部網絡隔離，只開放必須的端口及服務并且加強對訪問數據的過濾。簡言之，攻擊者需要突破的障礙越多，攻擊得手的機會就越少，網絡安全系數則會大大提高。

4.5 使用IDS入侵檢測系統

由于網絡安全本身的復雜性，各種入侵手段和工具層出不窮，近年來眾多校園網絡安全事件提示我們，并非所有威脅均來自防火墻外部，攻擊者一旦偽裝滲透攻破防火墻進入內網，以往被動式的防御方式往往力不從心。IDS入侵檢測系統能夠作為防火墻的有力補充，但是其對管理者知識要求較高，配置、操作和使用較為復雜，日常維護要注重事件、安全記錄以及系統日志的查看，發現異常要及時進行阻斷或報警。

4.6 安裝服務器安全軟件及補丁工具

要保證服務器的安全，防止黑客和病毒的攻擊，作為管理員需要使用安全性強的軟件進行服務器操作系統防護，及時掃描系統漏洞并安裝補丁。目前圖書館服務器使用最多的是微軟公司的Windows操作系統，相較于Linux系統，Windows系統由于使用量大，黑客與病毒入侵的主要手段是操作系統的漏洞，這也使其成為黑客研究的主要方向。如果不能及時的安裝補丁彌補漏洞的話，就算是防火墻和殺毒軟件對服務器的安全也將無能為力。

4.7 重視系統日志及應用日志

日志文件是記錄系統狀態以及訪問情況的一種有效手段。養成良好的日志管理與查看習慣，不僅能夠及時處理系統運行中的錯誤信息，更有利于在攻擊發生后追根溯源，制定對應的防護措施。在日常管理中，要根據情況修改日志的存放路徑，并且修改日志訪問權限，設置只有管理員才能訪問。對日志文件的大小進行控制，定期清除陳舊無用的日志，防止由于存儲空間不足對系統其他服務功能產生影響。

4.8 提高安全意識，定期檢查更新

要做好服務器安全管理，提高管理員的安全意識是重中之重，要充分發揮管理員的主觀能動性，提高業務處置能力和水平。管理員在平時的工作中要做到對負責系統熟悉掌握、合理配置，對可能發生的風險防微杜漸、重點加固，對重要文件及數據定期備份，做好隔離。多手段、多渠道地做好圖書館網絡安全管理工作。

5 結語

圖書館作為高校輔助教學的重要窗口，其資源優勢與服務優勢無可替代。一旦出現重大網絡安全問題，將會給廣大師生對圖書館資源的使用帶來嚴重影響。網絡安全防護問題是一個系統的、長期的任務，它需要對系統具有全局的視角以及層次上的考慮。因此，在日常防護工作中，應該做到加強安全意識，明確責任分工，多層次多角度地構建好圖書館網絡防護體系，以求構建一個健康安全的校園網絡環境。