摘要：為了提高數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全性能，在對(duì)數(shù)字圖書(shū)館網(wǎng)絡(luò)進(jìn)行了風(fēng)險(xiǎn)分析的基礎(chǔ)上，重點(diǎn)研究了數(shù)字圖書(shū)館網(wǎng)絡(luò)安全的解決策略，包括VLAN劃分、防火墻及入侵檢測(cè)系統(tǒng)的部署等，對(duì)數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全建設(shè)具有現(xiàn)實(shí)的指導(dǎo)和參考意義。

關(guān)鍵詞：數(shù)字圖書(shū)館；網(wǎng)絡(luò)安全；防火墻

中圖分類(lèi)號(hào)：G250.7文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2009)04-0814-02

The Research of Digital Library Network Security Technology

XIE Wei， ZHANG Chun-hong

(Chengdu University of Technology Library and Information Technology Department，Chengdu 610059，China)

Abstract: In order to improve the digital library network security performance， the text of the Digital Library Network conducted a risk analysis on the basis of the focus on the digital library network security solutions， including the division of VLAN， firewall and intrusion detection systems， such as the deployment of digital Library network security building practical guidance and reference value.

Key words: digital library; network security; firewall

1 引言

90年代以來(lái)，西方發(fā)達(dá)國(guó)家的圖書(shū)館正朝著網(wǎng)絡(luò)化、電子化和數(shù)字化的方向發(fā)展。借助于網(wǎng)絡(luò)通信和高新技術(shù)的發(fā)展，圖書(shū)館的發(fā)展取得了巨大的進(jìn)步，電子化信息的檢索與提供，己成為越來(lái)越普遍的服務(wù)方式，以至出現(xiàn)了“數(shù)字圖書(shū)館”的概念，并正在逐步成為現(xiàn)實(shí)[1]。但同時(shí)隨著網(wǎng)絡(luò)的不斷延伸， 計(jì)算機(jī)病毒的泛濫、黑客的惡意等攻擊已構(gòu)成對(duì)數(shù)字圖書(shū)館網(wǎng)絡(luò)安全的影響，加強(qiáng)數(shù)字圖書(shū)館網(wǎng)絡(luò)的安全與防范工作刻不容緩。

2 數(shù)字圖書(shū)館網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

2.1 網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)分析

首先，網(wǎng)絡(luò)中的用戶眾多，上網(wǎng)人員復(fù)雜，在數(shù)據(jù)傳輸線路之間存在被竊聽(tīng)和篡改的威脅，數(shù)字圖書(shū)館網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。這種形式的“攻擊”是相對(duì)比較容易成功的，只要使用現(xiàn)在可以很容易得到的“包檢測(cè)”軟件即可[2]。

其次，數(shù)字圖書(shū)館要與內(nèi)部各單位交換業(yè)務(wù)信息數(shù)據(jù)，或者向外提供一些網(wǎng)絡(luò)服務(wù)，必須開(kāi)放一些服務(wù)端口和訪問(wèn)權(quán)限。而在進(jìn)行這些正常的數(shù)據(jù)交換時(shí)，帳號(hào)信息可能被中間者嗅探、破解，造成安全威脅。

2.2 應(yīng)用層安全風(fēng)險(xiǎn)分析

針對(duì)數(shù)字圖書(shū)館網(wǎng)絡(luò)的應(yīng)用層，主要存在以下漏洞和風(fēng)險(xiǎn)：

1） DNS服務(wù)漏洞

DNS域名服務(wù)為數(shù)字圖書(shū)館網(wǎng)絡(luò)應(yīng)用提供了極大的靈活性。幾乎所有的數(shù)字圖書(shū)館網(wǎng)絡(luò)應(yīng)用均采用域名服務(wù)。但是，域名服務(wù)通常為黑客提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP，操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。

同時(shí)，類(lèi)似BIND-DNS緩沖溢出的安全問(wèn)題已被發(fā)現(xiàn)，絕大多數(shù)的域名系統(tǒng)均存在類(lèi)似的問(wèn)題。如由于DNS查詢使用無(wú)連接的UDP協(xié)議，利用可預(yù)測(cè)的查詢ID可欺騙域名服務(wù)器給出錯(cuò)誤的主機(jī)名-IP對(duì)應(yīng)關(guān)系[3]。

2） 病毒侵害

“沖擊波”蠕蟲(chóng)病毒以強(qiáng)勁的沖擊，造成了巨大的恐慌。可見(jiàn)，數(shù)字圖書(shū)館網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以從網(wǎng)上下載、使用盜版光盤(pán)、人為投放等方式影響數(shù)字圖書(shū)館內(nèi)網(wǎng)。網(wǎng)絡(luò)中一旦有主機(jī)感染病毒，則病毒程序完全可能在極短的時(shí)間被迅速擴(kuò)散，傳播到數(shù)字圖書(shū)館網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

3 數(shù)字圖書(shū)館網(wǎng)絡(luò)安全解決策略

3.1 VLAN的劃分

數(shù)字圖書(shū)館采用的VLAN劃分是以端口為中心，與節(jié)點(diǎn)相連的端口將確定它所駐留的VLAN。先在VTP Server上建立VLAN，然后將每個(gè)端口分配給相應(yīng)的VLAN。

1） 設(shè)置VTP DOMAIN

交換VTP更新信息的所有交換機(jī)必須配置為相同的管理域，由于數(shù)字圖書(shū)館所有的交換機(jī)都以中繼線相連，那么只要在中心交換機(jī)上設(shè)置一下管理域，網(wǎng)絡(luò)上所有的交換機(jī)都加入該域，這樣管理域所有的交換機(jī)就能夠了解彼此地的VLAN列表。配置示例如下：

Core-XS-7609# vlan database

Core-XS-7609(vlan)# vtp domain m_vlan

Core-XS-7609(vlan)# vtp server

5516-1# vlan database

5516-1(vlan)# vtp domain m_vlan

5516-1(vlan)# vtp client

這里設(shè)置交換機(jī)為Server模式是指允許在本交換機(jī)上創(chuàng)建、修改、刪除VLAN以及其他一些對(duì)整個(gè)VTP域的配置參數(shù)，同步本VTP域中其他交換機(jī)傳遞來(lái)的最新的VLAN；Client模式是指本交換機(jī)不能創(chuàng)建、刪除、修改VLAN配置，也不能存儲(chǔ)VLAN配置，但可以同步由本VTP域中其他交換機(jī)傳遞來(lái)的VLAN信息。

2） 配置中繼

為了保證數(shù)字圖書(shū)館管理域能夠覆蓋所有的分支交換機(jī)，必須配置中繼trunk，中繼是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè)VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過(guò)在交換機(jī)直接相連的端口配置封裝，即可跨越交換機(jī)進(jìn)行整個(gè)數(shù)字圖書(shū)館網(wǎng)絡(luò)的VLAN劃分及配置。

3） 創(chuàng)建VLAN

一旦建立了數(shù)字圖書(shū)館管理域，就可以創(chuàng)建VLAN了。如：Core-XS-7609(Vlan)# Vlan 33 name lib，這里創(chuàng)建了一個(gè)編號(hào)為33名字的lib的VLAN，這個(gè)VLAN是分給圖書(shū)館的。這里的VLAN是在中心交換機(jī)上建立的，其實(shí)，只要在數(shù)字圖書(shū)館管理域中的任何一個(gè)VTP屬性為Server的交換機(jī)上建立VLAN，它就會(huì)通過(guò)VTP通告整個(gè)管理域中的所有的交換機(jī)。但是如果要將交換機(jī)的端口劃入某個(gè)VLAN，就必須在該端口所屬的交換機(jī)上進(jìn)行設(shè)置。

4） 將交換機(jī)端劃入VLAN

Core-XS-7609(config)# interface GigabitEthernet 2/2

Core-XS-7609(config-if)# switchport access vlan 33

VLAN的劃分可以隔離廣播風(fēng)暴，同時(shí)可以采用訪問(wèn)控制列表來(lái)對(duì)每個(gè)VLAN進(jìn)行控制，這在很大程度上保證了數(shù)字圖書(shū)館網(wǎng)的安全。

3.2 防火墻的部署

數(shù)字圖書(shū)館與外網(wǎng)之間建立一道牢固的安全屏障。內(nèi)網(wǎng)口連接數(shù)字圖書(shū)館內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與Internet連接。這樣，通過(guò)Internet進(jìn)來(lái)的外網(wǎng)用戶只能訪問(wèn)數(shù)字圖書(shū)館對(duì)外公開(kāi)的一些服務(wù)，既保護(hù)數(shù)字圖書(shū)館內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)或破壞，也可以阻止數(shù)字圖書(shū)館內(nèi)部對(duì)外部不良資源的使用。

當(dāng)一個(gè)源IP地址在規(guī)定的時(shí)間間隔內(nèi)將含有TCP-SYN片段的IP封包發(fā)送給位于數(shù)字圖書(shū)館內(nèi)網(wǎng)相同目標(biāo)IP的10個(gè)不同端口時(shí)，即進(jìn)行了一次端口掃描。目的是掃描可用的服務(wù)，是否會(huì)有一個(gè)端口響應(yīng)，從而識(shí)別目標(biāo)的服務(wù)。要實(shí)現(xiàn)封鎖在特定的安全區(qū)內(nèi)始發(fā)的端口掃描，防火墻配置如下所述：

WebUI

Screening > Screen (Zone:選擇區(qū)段名稱(chēng))；輸入以下內(nèi)容，Apply

PortScan Protection: (選擇)

Threshold :(輸入觸發(fā)端口掃描保護(hù)的值2)

CLI

set zone zone screen port – scan threshold number

set zone zone screen port - scan

每個(gè)攻擊者的攻擊都會(huì)有端口掃描這個(gè)步驟，防火墻的基本功能一定要有端口掃描功能。

3.3 入侵檢測(cè)系統(tǒng)的部署

入侵檢測(cè)系統(tǒng)和防火墻共同構(gòu)建數(shù)字圖書(shū)館網(wǎng)絡(luò)安全防護(hù)體系有多種組合方法，用戶可以根據(jù)需要進(jìn)行選擇。入侵檢測(cè)機(jī)制能夠?qū)?shù)字圖書(shū)館網(wǎng)絡(luò)系統(tǒng)各主要運(yùn)營(yíng)環(huán)節(jié)進(jìn)行實(shí)時(shí)入侵檢測(cè)，以便能夠及時(shí)發(fā)現(xiàn)或識(shí)別攻擊者的企圖或系統(tǒng)資源被誤用、濫用的行為。當(dāng)實(shí)時(shí)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)異常時(shí)，網(wǎng)絡(luò)系統(tǒng)及時(shí)做出適當(dāng)?shù)捻憫?yīng)，通知數(shù)字圖書(shū)館網(wǎng)絡(luò)管理員、通知被害主機(jī)。當(dāng)有入侵行為時(shí)，主動(dòng)通知防火墻阻斷攻擊源[4]。如圖1所示。

入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲數(shù)字圖書(shū)館內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)的事件，作為管理員事后分析的依據(jù)。如果情況嚴(yán)重，入侵檢測(cè)系統(tǒng)可以與防火墻聯(lián)動(dòng)，自動(dòng)配置防火墻策略，配合防火墻系統(tǒng)使用，可以全面保障數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全，組成完整的數(shù)字圖書(shū)館網(wǎng)絡(luò)安全解決方案。

4 小結(jié)

總之，數(shù)字圖書(shū)館建設(shè)是以統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范為基礎(chǔ)，以數(shù)字化的各種信息為底層，以分布式海量資源庫(kù)群為支撐，以智能檢索技術(shù)為手段，為用戶提供豐富多彩的多媒體信息。但是，數(shù)字圖書(shū)館建立帶來(lái)便利的同時(shí)，也帶來(lái)了新的網(wǎng)絡(luò)安全問(wèn)題，并且這個(gè)問(wèn)題現(xiàn)在顯得越來(lái)越緊迫。并且隨著各種軟件安全漏洞的不斷增加，黑客技術(shù)不斷提高，更加迫切要求數(shù)字圖書(shū)館網(wǎng)絡(luò)應(yīng)用系統(tǒng)具有更高的安全防范體系。

參考文獻(xiàn)：

[1] 張馨.數(shù)字圖書(shū)館建設(shè)中的網(wǎng)絡(luò)安全[J].現(xiàn)代電子技術(shù)，2006，(02):14-16.

[2] 楊發(fā)毅，李明，劉錦秀. 網(wǎng)絡(luò)環(huán)境下數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全及安全體系的構(gòu)建[J].中華醫(yī)學(xué)圖書(shū)情報(bào)雜志，2005，(05):34-36.

[3] 趙聰銳.數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全與防范對(duì)策[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2007，(13):66-68.

[4] 宛哲芳.圖書(shū)館網(wǎng)絡(luò)安全淺析[J].科技資訊，2008，(27):31-35.