張 波

河北工業(yè)大學(xué)圖書館

〔天津市紅橋區(qū) 300130〕

隨著計算機和網(wǎng)絡(luò)技術(shù)在圖書館日益廣泛地應(yīng)用,網(wǎng)絡(luò)安全防御也變得越來越重要?，F(xiàn)代高校圖書館的網(wǎng)絡(luò)是一個開放的、共享的、多應(yīng)用并存的、以服務(wù)為本的數(shù)據(jù)密集的網(wǎng)絡(luò),不僅圖書館的各項傳統(tǒng)業(yè)務(wù)工作,如圖書采訪、分編、流通、典藏等均由計算機代替了單一重復(fù)的手工操作,而且在計算機網(wǎng)絡(luò)基礎(chǔ)上發(fā)展起來的信息檢索、參考咨詢等業(yè)務(wù),更是離不開計算機網(wǎng)絡(luò)這賴以生存的環(huán)境。網(wǎng)絡(luò)入侵和攻擊等事件日益頻繁,給圖書館系統(tǒng)的管理維護和讀者的使用訪問都帶來了極大地不便。一旦圖書館的網(wǎng)絡(luò)發(fā)生癱瘓,整個圖書館都將無法為讀者提供服務(wù)。對此,我們應(yīng)采取相應(yīng)的對策。

一、當(dāng)前圖書館網(wǎng)絡(luò)所存在的安全威脅

(一)來自于外網(wǎng)的攻擊

一些未授權(quán)的非法網(wǎng)絡(luò)用戶,企圖非法訪問圖書館的資源或惡意破壞等不良目的,對圖書館網(wǎng)絡(luò)進行的攻擊,主要有拒絕服務(wù)攻擊和非授權(quán)訪問嘗試等手段,他們利用圖書館網(wǎng)絡(luò)所存在的漏洞或某些客戶端系統(tǒng)補丁不全等進行頻繁地預(yù)攻擊探測掃描。

(二)來自于內(nèi)部的攻擊

相對于外部攻擊,還有很多攻擊來自于內(nèi)部。例如,在圖書館局域網(wǎng)中,不同工作機之間頻繁地使用共享,為惡意木馬的網(wǎng)絡(luò)傳播提供便利條件,使網(wǎng)絡(luò)內(nèi)滿是ARP、DDOS等網(wǎng)絡(luò)攻擊,甚至造成整個局域網(wǎng)的癱瘓。

(三)病毒的破壞

圖書館檢索機的開放和電子閱覽室提供U盤下載等服務(wù),一旦U盤或某一臺工作機感染病毒,很容易造成工作機的交叉感染,使蠕蟲病毒或沖擊波等病毒惡意傳播,它會損壞硬盤數(shù)據(jù)、減慢網(wǎng)絡(luò)運行速度,甚至有可能損壞工作機的系統(tǒng)和硬件。

由上面分析可以看出,雖然現(xiàn)在大多數(shù)圖書館都裝有防火墻或者其他的一些防病毒軟件,但很多情況下并不能對攻擊者實施有效地阻斷和反擊,為了保證能夠?qū)D書館網(wǎng)絡(luò)實施有效地保護,就需要建立一個健全的網(wǎng)絡(luò)安全防御系統(tǒng)。

二、防火墻技術(shù)

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的單位內(nèi)部網(wǎng)和不可信任的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它的基本思想是限制網(wǎng)絡(luò)訪問,它把網(wǎng)絡(luò)劃分為兩個部分:外部網(wǎng)絡(luò)和受保護網(wǎng)絡(luò)(內(nèi)部網(wǎng)絡(luò)),防火墻放在受保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,是執(zhí)行訪問控制策略的防御系統(tǒng)。它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施,筑起網(wǎng)絡(luò)的第一道安全防線。

當(dāng)前流行的防火墻主要有下面幾種:(1)基于包過濾的防火墻。包過濾防火墻可以根據(jù)下列變量來授權(quán)或拒絕對站點的訪問:源地址、目的地址、協(xié)議類型、端口號。(2)狀態(tài)包過濾防火墻。狀態(tài)包過濾在包過濾的基礎(chǔ)之上,對內(nèi)部狀態(tài)表中的會話和連接進行跟蹤,并做出相應(yīng)的反應(yīng)。這種防火墻可以檢測出違反協(xié)議標(biāo)準(zhǔn)的反常行為,提供了比簡單包過濾更為靈活的功能。大部分的狀態(tài)包過濾防火墻用來防御DDOS攻擊,并增加了SM TP郵件保護等其他安全功能。(3)基于代理的防火墻?；诖淼姆阑饓εc上述兩種防火墻的主要區(qū)別在于,它是在應(yīng)用級而不是較低的級別上進行檢測通信。這種防火墻能理解應(yīng)用協(xié)議(HTTP、FTP等),可以拒絕任何與協(xié)議不匹配的數(shù)據(jù)?，F(xiàn)階段,處于應(yīng)用層的防火墻運行速度要大大低于前兩種防火墻。另外,基于代理的防火墻也存在協(xié)議適應(yīng)性問題。

防火墻技術(shù)的不足之處在于:防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)單位的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。但防火墻并不是保護網(wǎng)絡(luò)安全的靈丹妙藥,雖然它能過濾絕大部分不安全的服務(wù)和非法用戶,但在防范針對應(yīng)用層的攻擊方面,就顯得力不從心,如它無法消滅攻擊源、無法防御病毒攻擊和無法阻止內(nèi)部攻擊等,而且它有時也會犧牲一部分有用的服務(wù)來保障局域網(wǎng)的安全。

三、入侵檢測技術(shù)

入侵檢測技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域為彌補防火墻的不足而研究的計算機信息安全技術(shù),它可以對網(wǎng)絡(luò)或操作系統(tǒng)上的可疑行為做出策略反應(yīng),及時切斷資料入侵源,記錄并通過各種途徑通知網(wǎng)絡(luò)管理員,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,是防火墻的合理補充,被認(rèn)為是防火墻之后的第二道安全閘門。它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,最大幅度地保障系統(tǒng)安全,是安全防御體系一個重要組成部分。

入侵檢測系統(tǒng)按照其數(shù)據(jù)來源來看,可以分為兩類:(1)基于主機的入侵檢測系統(tǒng)。基于主機的入侵檢測系統(tǒng)主要使用操作系統(tǒng)的審計跟蹤日志作為輸入,某些也會主動與主機系統(tǒng)進行交互以獲得不存在于系統(tǒng)日志中的信息。其所收集的信息集中在系統(tǒng)調(diào)用和應(yīng)用層審計上,試圖從日志判斷濫用和入侵事件的線索。(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)是通過在計算機網(wǎng)絡(luò)中的某些點被動地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁?對獲取的網(wǎng)絡(luò)數(shù)據(jù)進行處理,從中獲取有用的信息,再與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來識別攻擊事件。

根據(jù)所采用的檢測分析方法,入侵檢測系統(tǒng)可分為誤用檢測系統(tǒng)和異常檢測系統(tǒng):(1)誤用入侵檢測系統(tǒng)。誤用入侵檢測系統(tǒng)是檢測網(wǎng)絡(luò)數(shù)據(jù)信息與事先設(shè)定的條件是否匹配,如果發(fā)現(xiàn)匹配的數(shù)據(jù),即認(rèn)為發(fā)生入侵或攻擊行為,系統(tǒng)觸發(fā)一個警告。誤用入侵檢測系統(tǒng)具有較高的準(zhǔn)確性,誤報率極低。但是,誤用入侵檢測系統(tǒng)只能檢測系統(tǒng)已知攻擊,并且維護包含所有已知入侵或攻擊方法的數(shù)據(jù)庫,因此誤用入侵檢測系統(tǒng)對入侵或攻擊的漏報率比較高。(2)異常入侵檢測系統(tǒng)。異常入侵檢測系統(tǒng)是建立正?；蚝戏ㄓ脩粜袨槟Ｐ?一旦出現(xiàn)入侵或攻擊行為,則可以根據(jù)偏離正?；蚱谕南到y(tǒng)或用戶行為而被檢測出來。描述正?；蚝戏ɑ顒拥哪Ｐ褪峭ㄟ^各種渠道收集大量歷史活動資料并分析得來的。因此,異常入侵檢測系統(tǒng)可以檢測系統(tǒng)未知攻擊,漏報率極低。但是,異常入侵檢測系統(tǒng)的誤報率卻極高,一旦系統(tǒng)或用戶活動發(fā)生變化,且該變化檢測系統(tǒng)尚未學(xué)習(xí)到,則檢測系統(tǒng)認(rèn)為發(fā)生入侵,啟動報警。

當(dāng)前,入侵檢測系統(tǒng)也存有不足之處,主要是缺乏高效網(wǎng)絡(luò)包捕獲與處理機制和與防火墻的聯(lián)動機制,系統(tǒng)缺乏可擴展性等。

四、系統(tǒng)的關(guān)鍵技術(shù)

(一)防火墻和入侵檢測聯(lián)動技術(shù)

當(dāng)前,防火墻與入侵檢測聯(lián)動技術(shù)是研究的熱點,現(xiàn)有兩種方式比較適合聯(lián)動。一是通過開放接口實現(xiàn)互動,即防火墻或IDS產(chǎn)品開放一個接口供對方調(diào)用,按照一定的協(xié)議進行通信,傳輸警報。該方式比較靈活,防火墻可以行使它的第一層防御功能——訪問控制,IDS系統(tǒng)可以行使它的第二層防御功能——檢測入侵,丟棄惡意通信,并通知防火墻進行阻斷。該方式不影響防火墻和IDS產(chǎn)品的性能,對于兩個產(chǎn)品的自身發(fā)展比較好。但是,由于是兩個系統(tǒng)的配合,所以要重點考慮防火墻和IDS產(chǎn)品互動的安全性。第二種方式是緊密集成實現(xiàn)互動,即把IDS技術(shù)與防火墻技術(shù)集成到同一個硬件平臺上,在統(tǒng)一的操作系統(tǒng)管理下有序地運行。該方式實際上是把兩種產(chǎn)品集成起來,所有通過該硬件平臺的數(shù)據(jù)不僅要接受防火墻規(guī)則的驗證,還要被檢測判斷是否有攻擊,以達到真正的實時阻斷。本文的入侵防御中心把入侵檢測系統(tǒng)嵌入到防火墻中,實現(xiàn)兩者的緊密結(jié)合和互動。入侵檢測系統(tǒng)的數(shù)據(jù)來源不再源于網(wǎng)絡(luò)層,而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的數(shù)據(jù)包不僅要接受防火墻的檢測規(guī)則的驗證,還要判斷是否是攻擊,以達到真正的實時阻斷。如果防火墻放行的數(shù)據(jù)包經(jīng)IDS驗證為入侵?jǐn)?shù)據(jù)包,則入侵檢測系統(tǒng)將有關(guān)該數(shù)據(jù)包的特定數(shù)據(jù)結(jié)構(gòu)返回給防火墻,防火墻將其對應(yīng)的規(guī)則添加到過濾規(guī)則中,從而使得后繼的相似攻擊包在防火墻被直接過濾。IDS對防火墻過濾規(guī)則的直接修改,使得IDS和防火墻實現(xiàn)了互動,從而可以彌補他們之間的不足。

(二)動態(tài)策略管理技術(shù)

動態(tài)策略管理技術(shù)在動態(tài)防御系統(tǒng)中,動態(tài)策略管理具體表現(xiàn)在:(1)在入侵防御中心里,入侵檢測可以根據(jù)檢測結(jié)果動態(tài)修改防火墻的規(guī)則策略,這樣一來,同次入侵之后的網(wǎng)絡(luò)封包將被防火墻過濾。而傳統(tǒng)的入侵檢測系統(tǒng)只能檢測到攻擊,寫入日志或者報警,同樣的攻擊在下次并不能被阻止,除非是管理員在看到日志后修改了防火墻或者入侵檢測的規(guī)則,這樣管理員的工作量就會大大增加。本系統(tǒng)中,入侵預(yù)處理在檢測到數(shù)據(jù)包是入侵包后,返回一個定義好的數(shù)據(jù)結(jié)構(gòu)給防火墻模塊,里面包含了數(shù)據(jù)包的各個字段信息以及入侵類別,防火墻由此數(shù)據(jù)結(jié)構(gòu)來修改其過濾規(guī)則。(2)用戶可以根據(jù)需要動態(tài)地修改防火墻的規(guī)則。本系統(tǒng)定義了一些有關(guān)系統(tǒng)內(nèi)部進程的過濾規(guī)則,用戶可以根據(jù)需要在界面上添加、修改或者刪除過濾規(guī)則,規(guī)則隨后會被傳到底層的防火墻模塊中,并被應(yīng)用于匹配比較。(3)用戶可以根據(jù)入侵檢測的日志自動地在界面上修改防火墻的策略,因為入侵檢測系統(tǒng)分成兩部分實現(xiàn)。一是在底層驅(qū)動實現(xiàn)的入侵檢測預(yù)處理,當(dāng)入侵檢測預(yù)處理檢測到入侵時會通知防火墻修改規(guī)則,防火墻會自動修改自己的過濾規(guī)則;另一部分是在上層應(yīng)用層實現(xiàn)的檢測引擎檢測,如果發(fā)現(xiàn)入侵,會報警同時記入日志文件中。用戶可以根據(jù)日志文件中的記錄來修改防火墻規(guī)則。

(三)系統(tǒng)的開發(fā)環(huán)境和控制臺架構(gòu)

為了保證系統(tǒng)具有良好的通用性,系統(tǒng)采用JAVA語言作為開發(fā)環(huán)境,控制臺基于B/S(Brow ser/Server)架構(gòu)。Brow ser端只用實現(xiàn)極少部分功能,而大部分事務(wù)邏輯都在Server端執(zhí)行?；谑菘蛻舳?Thin Client)的思想,簡化客戶端需要的維護,只對策略管理中心端進行維護和升級,提高了軟件開發(fā)的效率。

系統(tǒng)中采用了J2EE的開發(fā)體系。所以,也采用了相關(guān)的B/S模式開發(fā)環(huán)境。通過B/S各組件完成B/S模式的運行環(huán)境。用戶訪問JSP文件以執(zhí)行控制臺功能。JSP文件被Tomcat解釋后成為JAVA虛擬機語言。解釋后的腳本由服務(wù)器端的JVM運行。Java腳本對數(shù)據(jù)庫的訪問是通過JDBC的My SQL驅(qū)動實現(xiàn)的。

五、系統(tǒng)的搭建

通過上面對圖書館存在的網(wǎng)絡(luò)威脅分析,結(jié)合當(dāng)前圖書館的網(wǎng)絡(luò)現(xiàn)狀,我們可以建立一個綜合防火墻訪問控制和入侵檢測系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包檢測功能,緊密實現(xiàn)兩安全系統(tǒng)的互動互利,對受保護網(wǎng)絡(luò)進行更為完善的保護的入侵防御系統(tǒng)。

為了測試系統(tǒng)的功能及性能,我們接下來在真實網(wǎng)絡(luò)環(huán)境中對系統(tǒng)進行搭建和測試。首先搭建安全網(wǎng)絡(luò)外的測試系統(tǒng)平臺,即:攻擊客戶端Window s XP操作系統(tǒng)及網(wǎng)卡;部署有攻擊平臺,并可與防火墻服務(wù)器通信。然后組建環(huán)境在安全網(wǎng)絡(luò)內(nèi)的部分即四套系統(tǒng):(1)防火墻服務(wù)器。Linux Red Hat5操作系統(tǒng),雙網(wǎng)卡。作為局域網(wǎng)網(wǎng)關(guān),部署有圖書館的防火墻,并運行防火墻聯(lián)動模塊。(2)入侵檢測探測器一。Linux Red Hat 5操作系統(tǒng),雙網(wǎng)卡。部署基于網(wǎng)絡(luò)誤用的入侵檢測探測器和基于主機誤用的入侵檢測探測器,一個網(wǎng)卡可以與系統(tǒng)三通信,另一個網(wǎng)卡可以設(shè)置為混雜模式。(3)入侵檢測探測器二。Window s XP操作系統(tǒng),雙網(wǎng)卡。部署基于網(wǎng)絡(luò)異常的入侵檢測探測器,一個網(wǎng)卡可以與系統(tǒng)三通信,另一個網(wǎng)卡可以設(shè)置為混雜模式。(4)策略管理中心服務(wù)器。W indow s2000 Server Professional操作系統(tǒng),網(wǎng)卡部署有策略管理中心模塊,開啟服務(wù)控制模塊,部署W EB服務(wù)器。最后選擇一個客戶端,即Window s XP操作系統(tǒng),網(wǎng)卡。安裝有IE 6瀏覽器并可登陸策略管理中心的W EB服務(wù)器。

通過搭建后的實際測試我們可以發(fā)現(xiàn),系統(tǒng)能比較有效地檢測出發(fā)生在網(wǎng)絡(luò)中的攻擊,對攻擊進行實時報警,同時將報警信息保存到數(shù)據(jù)庫中,并對攻擊進行實時響應(yīng),向防火墻中添加控制規(guī)則,從而通過動態(tài)防御及時有效地阻斷攻擊。管理點將收到的入侵報警作為日志數(shù)據(jù),記錄在控制臺的本地數(shù)據(jù)庫中。根據(jù)這些日志數(shù)據(jù)庫中的數(shù)據(jù),系統(tǒng)管理員可以查看詳細的攻擊信息,或者進行入侵統(tǒng)計分析,制定并適時地調(diào)整系統(tǒng)安全策略。

六、結(jié)束語

圖書館的網(wǎng)絡(luò)安全工作是一項需要持之以恒不斷完善的工作,它與整個圖書館的發(fā)展建設(shè)有著密不可分的聯(lián)系。網(wǎng)絡(luò)安全技術(shù)的發(fā)展日新月異,我們必須與時俱進,緊跟計算機網(wǎng)絡(luò)技術(shù)的發(fā)展不斷地提高自身的技術(shù)水平,不斷地增強人員與設(shè)備投入,才能在最大程度上保證圖書館網(wǎng)絡(luò)的穩(wěn)定,為現(xiàn)代圖書館各項業(yè)務(wù)的開展提供有力的安全保障。

[1]崔健雙,李鐵克.網(wǎng)絡(luò)信息系統(tǒng)安全研究現(xiàn)狀及熱點分析[J].計算機工程與應(yīng)用,2005,(35):180～184.

[2]李瑩.小型分布式入侵檢測系統(tǒng)的構(gòu)建[J].安陽工學(xué)院學(xué)報,2005,(6):111～116.

[3]袁亮環(huán).分布式N IDS在圖書館網(wǎng)絡(luò)安全保障中的應(yīng)用[J].圖書館學(xué)研究,2007,(4):31～33.

[4]秦拯,龔發(fā)根,張大方,等.分布式入侵檢測系統(tǒng)中告警相關(guān)的研究和實現(xiàn)[J].計算機工程與應(yīng)用,2005,(4):63～65.

[5]隆毅.分布式入侵檢測系統(tǒng)在圖書館網(wǎng)絡(luò)安全中的應(yīng)用[J].情報探索,2007,(12):64～66.

[6]張云鵬,胡飛,馬春燕.基于P2DR模型的分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)[J].計算機工程與應(yīng)用,2005,(35):141～144.