黎邦群

惠州學院圖書館 廣東 516017

0 前言

高校圖書館電子閱覽室是指以計算機技術、網(wǎng)絡通信技術為基礎，集電子型文獻(如磁盤、光盤、網(wǎng)絡服務等)閱覽、咨詢、培訓、服務為一體的現(xiàn)代化多功能閱覽室。隨著網(wǎng)絡信息技術的飛速發(fā)展，電子閱覽室已進入數(shù)字時代的發(fā)展進程，并以其特有的快速、高效和便捷改變著人們學習和生活的方式。然而，電子閱覽室所面臨的網(wǎng)絡安全問題卻不容忽視，如果不采取相應的對策，電子閱覽室可能會影響正常的開放使用，影響校園網(wǎng)其他部(室)的網(wǎng)絡穩(wěn)定，甚至造成整個局域網(wǎng)癱瘓。

1 電子閱覽室所面臨的網(wǎng)絡安全問題

1.1 計算機病毒

用戶通過攜帶U盤到電子閱覽室使用、WEB訪問、收發(fā)郵件及其他網(wǎng)絡應用而使計算機感染各種病毒。其中木馬是一種基于遠程控制的黑客工具，它通常寄生于用戶的計算機系統(tǒng)中。木馬成為威脅計算機網(wǎng)絡安全的“主力軍”，利用各種漏洞進行攻擊的惡意代碼，以及 ARP 欺騙是黑客常用的攻擊手段之一。有的學生網(wǎng)絡安全意識淡薄，隨意下載、安裝軟件或上網(wǎng)聊天、玩網(wǎng)絡游戲，不經(jīng)意間進入了極易感染病毒的網(wǎng)站，把木馬和蠕蟲等病毒帶入系統(tǒng)。當其中一臺計算機中病毒后就會成為病毒傳染的源頭，以各種方式傳染其它計算機，導致其它計算機或整個局域網(wǎng)癱瘓。

1.2 人為因素

即人為造成的安全問題，包括人為失誤、人為惡意攻擊等。人為失誤如由于管理員的疏忽，設置的賬戶密碼過于簡單脆弱極容易被破解、安裝了有安全隱患的軟件，以及開放了多余的服務與端口等。人為惡意攻擊包括來自內部的攻擊和來自外部的攻擊，近些年來，一些在網(wǎng)絡上從事竊取、破壞資料的攻擊者變得異常活躍。越來越多的病毒，心懷不軌的黑客都將服務器作為了自己的練手、攻擊目標。人為因素還包括管理制度不健全，安全技術不過關等問題。

1.3 軟件漏洞

電子閱覽室安裝的操作系統(tǒng)大多是Windiws的，其存在的各種漏洞已成為網(wǎng)絡攻擊的一大目標。網(wǎng)絡設備和計算機軟件不可能是十全十美的，在設計和開發(fā)的過程中，不可避免會出現(xiàn)一些缺陷和漏洞。包括網(wǎng)絡架構的漏洞威脅、操作系統(tǒng)的安全漏動、機房軟件系統(tǒng)的漏洞問題等。

由于網(wǎng)絡協(xié)議(如TCP/IP協(xié)議)的設計弱點、網(wǎng)絡操作系統(tǒng)的漏洞、應用系統(tǒng)設計的漏洞、網(wǎng)絡系統(tǒng)設計的缺陷、互聯(lián)網(wǎng)的開放性等特性，電子閱覽室所面臨的網(wǎng)絡安全問題，絕不容忽視，需要總結出一套相應的管理與維護的對策。

2 管理與維護的對策

2.1 網(wǎng)絡設備的管理與維護

2.1.1 交換機

交換機通常是整個網(wǎng)絡的核心所在，但這一地位使它成為黑客入侵和病毒肆虐的重點對象。交換機作為整個網(wǎng)絡的接入層核心，如果能對連入該交換機進行訪問和存取網(wǎng)絡信息的用戶進行區(qū)分和權限控制，并配合其他設備，對非授權訪問和網(wǎng)絡攻擊進行有效的監(jiān)控和阻止。把網(wǎng)絡安全的策略盡可能地實施于接入層的交換機上，這樣更能及時發(fā)現(xiàn)并解決問題，提高整個局域網(wǎng)的安全性能。

(1) 劃分虛擬局域網(wǎng)VLAN

VLAN可以在二層或者三層交換機上實現(xiàn)有限的廣播域，它可以把網(wǎng)絡分成一個個獨立的區(qū)域，可以控制這些區(qū)域是否可以通信。VLAN 可能跨越一個或多個交換機，與它們的物理位置無關，設備之間好像在同一個網(wǎng)絡間通信一樣，如表1。通過VLAN劃分來控制廣播風暴的產生，從而提高整個網(wǎng)絡的整體性能。

表1 電子閱覽室VLAN劃分示意圖

(2) IP地址、MAC與端口綁定

使用交換機提供的端口的單地址工作模式，即交換機的每一個端口只允許一臺主機通過該端口訪問網(wǎng)絡，任何其它地址的主機的訪問將被拒絕。當前局域網(wǎng)的ARP欺騙病毒十分普遍，ARP攻擊能使局域網(wǎng)大面積地出現(xiàn)網(wǎng)絡掉線。通過IP地址、MAC與端口的綁定，是防止ARP攻擊最簡單也是最有效的方法。以H3C E-352為例，將其端口1劃分到Vlan 6，并進行IP地址、MAC與端口綁定的命令如下：

＜H3C＞system-view

[H3C]port access vlan 5

[H3C-Ethernet1/0/1]port access vlan 5

[H3C-Ethernet1/0/1]am user-bind mac-addr 001a-a920-970f ip-addr 192.168.250.6

(3) 進行流量控制

交換機的流量控制技術把流經(jīng)端口的異常流量限制在一定范圍內，避免交換機的帶寬被無限制濫用。流量控制功能能夠實現(xiàn)對異常流量的控制，避免網(wǎng)絡堵塞。

(4) 創(chuàng)建訪問控制列表ACL

ACL不但可以讓網(wǎng)絡管理者用來制定網(wǎng)絡策略，針對個別用戶或特定的數(shù)據(jù)流進行允許或者拒絕的控制，也可以用來加強網(wǎng)絡的安全屏蔽，讓黑客找不到網(wǎng)絡中的特定主機進行探測，從而無法發(fā)動攻擊。以銳捷 S3550-24為例，創(chuàng)建ACL1，僅允許TCP端口為80的數(shù)據(jù)通過的ACL，并將其應用到交換機端口2的命令如下：

RJ3550＞enable

RJ3550#configure

RJ3550(config)#ip access-list extended ACL1

RJ3550(config-ext-nacl)#permit tcp any any eq 80

RJ3550(config-ext-nacl)#exit

RJ3550(config)#interface FastEthernet 0/2

RJ3550(config-if)#ip access-group ACL1 in

2.1.2 防火墻

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網(wǎng)關(Security Gateway)，從而保護內部網(wǎng)免受非法用戶的侵入。防火墻是網(wǎng)絡安全的屏障，可以強化網(wǎng)絡安全策略，對網(wǎng)絡存取和訪問進行監(jiān)控審計，防止內部信息的外泄。防火墻可以減少外部入侵者突破電子閱覽室網(wǎng)絡系統(tǒng)的可能性，也能阻止電子閱覽室的內部用戶發(fā)送未加密的數(shù)據(jù)，從而達到保護網(wǎng)絡安全的目的。電子閱覽室的防火墻示意圖如圖1所示。

圖1 電子閱覽室的防火墻示意圖

2.1.3 利用網(wǎng)管工具進行網(wǎng)絡監(jiān)控與診斷

可利用系統(tǒng)自帶的網(wǎng)絡診斷工具如ping、netstat等命令來進行網(wǎng)絡監(jiān)控與診斷。條件允許的情況下，還可以購買IPS等專業(yè)的網(wǎng)管硬件。IPS能對電子閱覽室用戶的上網(wǎng)行為進行監(jiān)控與記錄。對不符合規(guī)則的行為進行阻斷、減速、警告及記錄。并利用其日志進行網(wǎng)絡安全隱患的可靠診斷。

2.1.4 服務器

在配置各類服務器時，選擇安裝最少的系統(tǒng)組件、網(wǎng)絡協(xié)議與系統(tǒng)服務，僅開放必須的端口。如WEB服務器，僅需安裝TCP/IP協(xié)議、僅開放TCP端口80端口、并禁用所有的IP端口。加密系統(tǒng)文件、設置足夠強的系統(tǒng)賬號、限制普通用戶登錄權限、安裝服務器版的殺毒軟件、及時打上操作系統(tǒng)漏洞補丁等，盡量減少服務器的網(wǎng)絡風險。

2.2 電子閱覽室的管理與維護

2.2.1 硬件管理與維護

硬盤保護卡也稱硬盤還原卡，它可以使計算機硬盤在病毒、誤改、誤刪、故意破壞硬盤的內容等非物理損壞的情況下，恢復到最初的樣子，給機房管理和維護帶來了極大的方便。在每臺工作站裝硬盤保護卡：將工作站硬盤劃分為多個分區(qū)，利用硬盤保護卡來保護系統(tǒng)盤及其他需要保護的區(qū)域。硬盤保護卡的工作原理是通過插在主板上的硬件芯片與硬盤的MBR 協(xié)同工作。作為硬盤保護的一種有效工具，硬盤保護卡可以有效地防范病毒、防止對硬盤的刪、寫操作，在退出系統(tǒng)后會完全恢復到上機前的狀態(tài)，從而大大減少網(wǎng)絡機房維護的工作量。

2.2.2 軟件管理與維護

(1) 終端機操作系統(tǒng)管理

可以對電子閱覽室終端機的操作系統(tǒng)進行個性化的安全優(yōu)化配置。首先必須打上最新的系統(tǒng)與軟件的漏洞補丁，通過打補丁可大大增強計算機系統(tǒng)的防病毒和黑客入侵的能力。設置足夠強度的管理員口令、刪除不必要的系統(tǒng)組件與網(wǎng)絡協(xié)議、禁用不需要的系統(tǒng)服務，利用組策略與修改注冊表作出必要的安全策略設置。通過這些措施，可以使得系統(tǒng)本身具備一定的安全防范能力。

(2) 網(wǎng)絡殺毒軟件

隨著計算機網(wǎng)絡的發(fā)展，病毒的危害和傳播已經(jīng)脫離了單機的模式，單機版的病毒防殺系統(tǒng)已經(jīng)無法適應網(wǎng)絡病毒的防殺要求。盡管現(xiàn)在各大單機版殺毒軟件廠商都紛紛宣布永久免費，但是在電子閱覽室中，往往集中了幾十上百臺計算機，集中式網(wǎng)絡病毒防殺系統(tǒng)，不僅具有病毒防殺范圍廣，病毒庫更新及時、方便，而且具有防殺行動統(tǒng)一、徹底，系統(tǒng)穩(wěn)定、可靠，用戶參與少，整體投資效益高等優(yōu)點，所以條件允許的情況下，還是要盡量選擇網(wǎng)絡版殺毒軟件。

2.2.3 人員管理

(1) 增強管理員的安全保護意識，提高技術水平

電子閱覽室的維護與管理需要一支高素質的專業(yè)人才隊伍。管理主體是人，無論是設計和構建安全、可靠的網(wǎng)絡系統(tǒng)，還是日常的教學網(wǎng)絡的科學管理，都需要業(yè)務精通、技術水平高的專業(yè)人才。一支技術過硬、責任心強的專業(yè)隊伍是必不可少的。

(2) 進行上機登記，對用戶加強安全宣傳與普及教育

對來電子閱覽室上機的用戶要進行引導與培訓，并進行網(wǎng)絡安全方面的宣傳教育。通過在醒目位置粘貼“上機需知”告示等措施，提醒用戶遵守閱覽室各項規(guī)則制度，不要從事危害網(wǎng)絡安全方面的活動。

(3) 制定完善的維護制度，做到定期維護

健全網(wǎng)絡安全防范的規(guī)章制度，在管理上應該積極主動，采取行之有效的管理方法，把技術手段和管理機制緊密結合起來，從硬件設備及軟件系統(tǒng)的使用、維護、管理、服務等各個環(huán)節(jié)制定出嚴格的規(guī)章制度。

3 總結

高校圖書館電子閱覽室的網(wǎng)絡安全管理與維護，是一項長期而復雜的工作，需要在實際工作中不斷探索，不斷總結經(jīng)驗，需要學習新的知識與技術，在新形式下對其做出安全評估，作出新的安全防護措施，從而保證電子閱覽室的正常高效使用。本文總結了電子閱覽室日常實踐經(jīng)驗，以求拋磚引玉，望各同行批評指正。

[1]楊小剛.計算機木馬病毒檢測與防范[J].計算機與信息技術.2010.

[2]趙日峰.服務器的安全防護措施[J].網(wǎng)絡與信息.2005.

[3] 馮凱.關于計算機房網(wǎng)絡安全的研究與探討[J].全國商情(理論研究).2010.

[4]楊林海.局域網(wǎng)安全交換機的應用探討[J].辦公自動化.2010.

[5]宋京紅.計算機公共機房硬盤保護卡的應用[J].北華航天工業(yè)學院學報.2010.