吳 旻

(西北大學(xué)圖書館，陜西 西安 710069)

隨著高校信息化建設(shè)的逐漸完善，高校圖書館承擔(dān)著校園網(wǎng)絕大多數(shù)數(shù)據(jù)的傳輸和信息發(fā)布，為讀者提供網(wǎng)上瀏覽、信息查詢、數(shù)據(jù)庫檢索、信息咨詢等服務(wù)。通過已建成的信息系統(tǒng)(如圖書管理系統(tǒng)、OA系統(tǒng)、數(shù)字圖書資源、文獻(xiàn)數(shù)據(jù)庫等)，校園網(wǎng)內(nèi)讀者可以通過網(wǎng)絡(luò)迅速地獲取信息。然而，為了提高服務(wù)質(zhì)量，讀者需要異地、移動(dòng)等多種遠(yuǎn)程訪問的場合越來越多。本文通過分析VPN(虛擬專用網(wǎng))的技術(shù)特點(diǎn)與原理，結(jié)合圖書館數(shù)字資源網(wǎng)絡(luò)服務(wù)的實(shí)際工作特點(diǎn)，介紹一種利用VPN技術(shù)做好高校數(shù)字資源共享的方法。

1 VPN技術(shù)用于高校數(shù)字資源網(wǎng)絡(luò)服務(wù)的必要性

1.1 外聯(lián)信息交換面臨的安全威脅

由于Internet網(wǎng)采用的TCP/IP協(xié)議對任何數(shù)據(jù)都以明文的方式進(jìn)行傳輸，整個(gè)信息服務(wù)都暴露在Internet網(wǎng)上，很容易被入侵者竊取或篡改，造成以下安全威脅。

(1)非授權(quán)訪問：分支機(jī)構(gòu)、在外工作人員基于互聯(lián)網(wǎng)來訪問校園網(wǎng)內(nèi)圖書館的信息網(wǎng)絡(luò)，傳輸?shù)目诹罨蛎艽a沒有采取任何加密措施的情況下，容易造成泄露，被攻擊者利用，造成非授權(quán)訪問。

(2)信息篡改：總校區(qū)或分校區(qū)的分支機(jī)構(gòu)和在外工作人員進(jìn)行數(shù)據(jù)訪問的過程中，數(shù)據(jù)以明文的方式傳遞，容易被竊聽和篡改。

(3)訪問行為抵賴：部分分支機(jī)構(gòu)、在外工作人員存在IP地址不固定現(xiàn)象，易造成抵賴行為。

1.2 分校區(qū)辦公和在外工作人員的安全接入

對于圖書館來說，文獻(xiàn)信息資源并不是無限制地對外開放，我們購買的數(shù)據(jù)庫資源必須是校園網(wǎng)的合法用戶(訪問者的IP地址作為合法用戶的依據(jù))才能使用。但是隨著寬帶網(wǎng)絡(luò)的大范圍普及，更多的教師希望能夠在家或出差在外以及各個(gè)分校和主校區(qū)之間都能實(shí)現(xiàn)對校園網(wǎng)內(nèi)圖書館資源的訪問。數(shù)字圖書館遠(yuǎn)程訪問系統(tǒng)VPN的出現(xiàn)很好地解決了這個(gè)問題。

2 VPN在高校數(shù)字資源共享中的解決方案

2.1 VPN技術(shù)

VPN是一種公用網(wǎng)絡(luò)，綜合運(yùn)用隧道封裝、認(rèn)證、加密、訪問控制等多種網(wǎng)絡(luò)安全技術(shù)，實(shí)現(xiàn)企業(yè)總部、分支機(jī)構(gòu)、合作伙伴及移動(dòng)辦公人員之間互聯(lián)互通和資源共享技術(shù)。VPN技術(shù)包括基于二層的PPTP/L2TP;基于三層的 IPSEC VPN;基于七層的SSL VPN技術(shù)。IPSEC VPN和SSL VPN應(yīng)用廣泛。

IPSEC VPN：IPSEC VPN是在特定的通信方之間在IP層通過加密與數(shù)據(jù)源進(jìn)行驗(yàn)證，保證數(shù)據(jù)包在公網(wǎng)上傳輸時(shí)的保密性、完整性和真實(shí)性，適用于在局域網(wǎng)之間，建立基于互聯(lián)網(wǎng)之間的安全傳輸通道。

SSL VPN：主要的瀏覽器和WEB服務(wù)器都支持SSL VPN，對于Web信息傳輸通道的機(jī)密性及完整性，SSL是最佳的解決方案，無需被加載到終端設(shè)備上，無需終端用戶配置，無需限制終端，只需標(biāo)準(zhǔn)瀏覽器即可。

2.2 技術(shù)方案分析

IPSEC VPN和SSL VPN各具特色，IPSEC VPN的普遍適用性、SSL VPN的方便性等，我們將從以下方面進(jìn)行分析。

2.2.1 選擇合適的接入方式

SSL VPN設(shè)備通常以并聯(lián)的方式接入網(wǎng)絡(luò)，對網(wǎng)絡(luò)結(jié)構(gòu)不會(huì)產(chǎn)生影響;IPSEC VPN存在兩種方式：串聯(lián)，設(shè)備串在網(wǎng)絡(luò)中，網(wǎng)絡(luò)流量貫穿其中，設(shè)備故障將導(dǎo)致傳輸中斷。并聯(lián)，旁路方式接入網(wǎng)絡(luò)，對網(wǎng)絡(luò)結(jié)構(gòu)不產(chǎn)生影響。因此，盡可能選擇并聯(lián)接入方式。

2.2.2 選擇便于擴(kuò)展的設(shè)備及結(jié)構(gòu)

VPN設(shè)備因性能問題存在接入數(shù)量的限制，IPSEC VPN限制隧道數(shù)和移動(dòng)用戶接入數(shù);SSL VPN限制用戶接入數(shù)量。選擇設(shè)備時(shí)，須考慮設(shè)備的擴(kuò)展性，同時(shí)選擇便于擴(kuò)展的網(wǎng)絡(luò)結(jié)構(gòu)，并聯(lián)方式不影響網(wǎng)絡(luò)結(jié)構(gòu)便于擴(kuò)展。

2.2.3 選擇多種VPN技術(shù)以適應(yīng)情況變化

IPSEC VPN為網(wǎng)絡(luò)層加密隧道，屬全網(wǎng)接入方式，分支局域網(wǎng)通過網(wǎng)絡(luò)建立隧道或者用戶通過移動(dòng)客戶端接入后，能夠?qū)?nèi)網(wǎng)的網(wǎng)絡(luò)資源進(jìn)行訪問，不受業(yè)務(wù)提供方式限制。當(dāng)某些用戶在沒有移動(dòng)客戶端的情況下，SSL VPN凸顯了不需要安裝客戶端的特點(diǎn)。因此，最好的方式是以IPSEC VPN接入為主，SSL VPN為輔。

2.3 系統(tǒng)安全策略設(shè)計(jì)思路

VPN設(shè)備實(shí)現(xiàn)身份認(rèn)證和訪問授權(quán)：保證合法用戶的合法接入，并且只能訪問授權(quán)內(nèi)的辦公資源用戶進(jìn)行身份認(rèn)證和訪問授權(quán)。IPSEC VPN和SSL VPN技術(shù)都采用安全加密技術(shù)和身份認(rèn)證技術(shù)保障數(shù)據(jù)的加密傳輸。

VPN安全技術(shù)實(shí)現(xiàn)通信內(nèi)容安全：選擇具有防火墻、防病毒和內(nèi)容過濾等功能的VPN網(wǎng)關(guān)，并且各功能相互融合，VPN數(shù)據(jù)進(jìn)行檢查從而攔截病毒、蠕蟲、木馬、惡意代碼等有害數(shù)據(jù)，徹底保證了VPN通信的安全。

圖1 VNP方案設(shè)計(jì)拓?fù)鋱D

3 VPN方案設(shè)計(jì)

3.1 設(shè)備部署

VPN網(wǎng)關(guān)設(shè)備部署：VPN網(wǎng)關(guān)設(shè)備并聯(lián)部署在中心機(jī)房各分支機(jī)構(gòu)的防火墻之上(如圖1所示)。

VPN客戶端部署：在每臺移動(dòng)辦公設(shè)備上統(tǒng)一安裝客戶端軟件。

VPN集中管理軟件：軟件分為服務(wù)器、管理控制器和數(shù)據(jù)庫三部分，分別部署在圖書館中心機(jī)房安全服務(wù)器區(qū)的服務(wù)器上。

3.2 方案安全性策略描述

(1)結(jié)構(gòu)保障系統(tǒng)可用性：VPN網(wǎng)關(guān)并聯(lián)接入，當(dāng)設(shè)備斷電或故障時(shí)，不影響各局域網(wǎng)員工訪問互聯(lián)網(wǎng)資源;并聯(lián)方式便于擴(kuò)充，通過簡單的加入交換設(shè)備進(jìn)行設(shè)備擴(kuò)充。

(2)技術(shù)選擇保障系統(tǒng)可用性：IPSEC VPN與SSL VPN的混合使用。正常情況下使用IPSEC VPN，任何種類的應(yīng)用。在缺少VPN網(wǎng)關(guān)和客戶端的時(shí)候使用SSL VPN臨時(shí)接入，無條件支持B/S服務(wù);采用端口轉(zhuǎn)發(fā)、全網(wǎng)接入等技術(shù)，通過插件實(shí)現(xiàn)對C/S服務(wù)訪問。

(3)管理保障系統(tǒng)可用性：通過集中管理軟件的幫助，實(shí)現(xiàn)客戶端自動(dòng)部署，提高了自動(dòng)部署的機(jī)動(dòng)性和靈活性;增大管理容量。

(4)VPN隧道安全技術(shù)組合：利用IPSEC VPN和SSL VPN二合一網(wǎng)關(guān)上的IPSEC VPN功能建立與數(shù)據(jù)中心、各分支機(jī)構(gòu)和移動(dòng)辦公終端的VPN通道，實(shí)現(xiàn)數(shù)據(jù)通信的機(jī)密性、完整性;在沒有VPN網(wǎng)關(guān)設(shè)備和VPN客戶端的情況下，通過瀏覽器與圖書館數(shù)據(jù)中心建立SSL VPN隧道，實(shí)現(xiàn)安全數(shù)據(jù)通信;利用身份認(rèn)證功能，實(shí)現(xiàn)對訪問校園網(wǎng)的用戶、局域網(wǎng)的訪問的身份認(rèn)證和授權(quán);利用防火墻、病毒防護(hù)、內(nèi)容過濾等功能，對訪問數(shù)據(jù)進(jìn)行過濾，實(shí)現(xiàn)VPN的安全控制和功能。

3.3 方案效果

通過VPN設(shè)備的部署和安全策略設(shè)置，使圖書館網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn)了基于互聯(lián)網(wǎng)的安全延伸，并具有以下良好效果：旁路接入的方式，對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的影響減少到最小，有效保障網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定性并具有良好的擴(kuò)展性;通過綜合使用IPSEC VPN和SSL VPN技術(shù)，覆蓋了各種情況下的遠(yuǎn)程接入，具有良好的環(huán)境適應(yīng)能力;通過VPN設(shè)備上的病毒過濾功能的啟動(dòng)，盡量減少移動(dòng)用戶對內(nèi)網(wǎng)的影響;通過認(rèn)證技術(shù)具有一定的抗抵賴性，通過加密技術(shù)保障數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?/p>

4 制定方案需要注意的問題

4.1 保證校園網(wǎng)及圖書館網(wǎng)絡(luò)的安全

產(chǎn)品在客戶端與網(wǎng)關(guān)進(jìn)行連接時(shí)，采用應(yīng)用層進(jìn)行控制，防止病毒、木馬、蠕蟲通過遠(yuǎn)程訪問方式進(jìn)入校園網(wǎng)進(jìn)行傳播;其次是在用戶組和用戶管理方面對用戶組權(quán)限可以做詳細(xì)的劃分，用戶只能瀏覽和運(yùn)行我們授權(quán)其使用的校園網(wǎng)和電子資源。

4.2 保護(hù)數(shù)據(jù)庫提供商的數(shù)字版權(quán)

在建設(shè)遠(yuǎn)程訪問時(shí)，我們也必須考慮到數(shù)據(jù)版權(quán)方面的糾紛，應(yīng)該做到對用戶身份的強(qiáng)認(rèn)證，保證每一個(gè)遠(yuǎn)程訪問的使用者都是學(xué)校的合法用戶。

4.3 有效預(yù)防惡意下載數(shù)字資源的情況發(fā)生

有些學(xué)校曾經(jīng)遇到由于無法限制用戶的下載流量，而經(jīng)常發(fā)生惡意下載，影響了廣大師生的正常訪問秩序，并給大學(xué)的聲譽(yù)帶來了負(fù)面的影響，而且事后的警告并不會(huì)減少其他用戶惡意下載的發(fā)生。對此，學(xué)校在使用了遠(yuǎn)程訪問系統(tǒng)之后，可以在設(shè)置用戶組權(quán)限時(shí)，給不同的用戶組設(shè)置不同的在線時(shí)長、最大流量、平均流量等幾個(gè)指標(biāo)來綜合限制用戶的下載流量。當(dāng)用戶發(fā)生大流量下載時(shí)，系統(tǒng)會(huì)自動(dòng)中斷客戶端與網(wǎng)關(guān)之間的連接，并將用戶掛起，待管理員重新激活該用戶時(shí)此用戶才能正常使用。

4.4 方便用戶申請、下載客戶端、使用客戶端

由于現(xiàn)在的大學(xué)規(guī)模越來越大，有遠(yuǎn)程訪問使用需求的人員也越來越多，如果所有的人員都需要手工審核用戶、建立用戶、分發(fā)密碼、安裝客戶端，必須考慮VPN產(chǎn)品可以方便快捷地解決這個(gè)問題。

4.5 監(jiān)控用戶的下載流量、資源使用情況

用戶日志也是很多大學(xué)所關(guān)心的問題，通過用戶活動(dòng)記錄可以隨時(shí)調(diào)整系統(tǒng)設(shè)定和工作進(jìn)程。所以，遠(yuǎn)程訪問系統(tǒng)應(yīng)該具有完備的網(wǎng)關(guān)流量審計(jì)、用戶流量和行為審計(jì)，并且增加資源訪問審計(jì)系統(tǒng)可以統(tǒng)計(jì)管理員設(shè)定的各種電子資源的訪問流量和訪問次數(shù)，為購買數(shù)據(jù)和資源整合提供依據(jù)。

4.6 擴(kuò)展遠(yuǎn)程訪問的應(yīng)用，服務(wù)于學(xué)校自建數(shù)據(jù)庫的推廣

各個(gè)大學(xué)圖書館有相應(yīng)的辦公系統(tǒng)、自動(dòng)化系統(tǒng)、自建特色庫和專題庫等等，通過遠(yuǎn)程訪問系統(tǒng)自身先進(jìn)的網(wǎng)絡(luò)協(xié)議去完全承載各種形式的辦公系統(tǒng)軟件。使學(xué)校的老師在授權(quán)的范圍內(nèi)可以方便的做到遠(yuǎn)程辦公、遠(yuǎn)程查重、遠(yuǎn)程借還書等等工作，擴(kuò)展了遠(yuǎn)程訪問系統(tǒng)使用空間，并且對自建數(shù)據(jù)庫的訪問用戶進(jìn)行嚴(yán)格的權(quán)限控制、嚴(yán)格的身份認(rèn)證以及較高的加密強(qiáng)度，以便對自建庫進(jìn)行推廣，使其發(fā)揮更大的作用。

5 結(jié)語

VPN利用公用網(wǎng)組建虛擬的專用網(wǎng)，使用計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)在校園網(wǎng)外就可以對數(shù)字資源隨時(shí)進(jìn)行訪問，提高了數(shù)字資源的利用率，為讀者提供數(shù)字資源共享服務(wù)。目前，市場上有多個(gè)公司的多種VPN產(chǎn)品，這些產(chǎn)品提供的功能和網(wǎng)絡(luò)性能也不盡相同。我們可以根據(jù)本單位的具體情況。選擇不同的產(chǎn)品，實(shí)現(xiàn)數(shù)字資源安全、低成本的遠(yuǎn)程訪問。

[1]劉洋.IPSEC VPN和SSL VPN的分析比較[J].電腦知識與技術(shù)，2009(4).

[2]張穎.利用VPN技術(shù)實(shí)現(xiàn)圖書館信息資源遠(yuǎn)程訪問[J].情報(bào)探索，2008(7).

[3]王健.利用VPN技術(shù)實(shí)現(xiàn)高校圖書館數(shù)字資源的遠(yuǎn)程訪問[J].圖書館建設(shè)，2006(5).

[4]張文豐.VPN技術(shù)在檔案信息化中的應(yīng)用[J]. 科技資訊，2007(25).

[5]鄧永紅.虛擬專用網(wǎng)技術(shù)綜述[J].有線電視技術(shù)，2005(2).