劉俊南

（黑龍江省圖書館 黑龍江 哈爾濱 150090）

隨著信息化熱潮的到來，信息資源電子化、數字化已成為現代信息的主要傳播方式。作為文獻信息保障中心的圖書館的運行模式正在發(fā)生巨大的變化，圖書館的業(yè)務管理、文獻信息服務對網絡依賴程度越來越大。但隨著計算機網絡技術的運用，必須要充分考慮網絡系統(tǒng)的安全建設，在維護圖書館網絡時，要及時采取有效的措施，以確保整個網絡的安全運作。

1.圖書館網絡存在的安全隱患

由于互聯網絡的開放性體系結構，使圖書館信息資源得到了最大限度的共享，為社會帶來了一定的經濟和社會效益。但同時圖書館網絡信息安全也面臨來自外部及內部的威脅和攻擊的考驗。外部威脅主要包括：黑客人侵、計算機病毒、垃圾郵件及黃毒泛濫等，內部威脅主要包括：操作系統(tǒng)的漏洞、軟件產品的復雜多樣性、電子數據的非物質性、不安全的通信協(xié)議、存貯介質的利用、內部人員的職業(yè)素質等。其中以網絡通信協(xié)議、計算機病毒、黑客的攻擊、操作系統(tǒng)和軟件漏洞為常見的安全隱患。

1.1 網絡通信協(xié)議的不安全性

圖書館網絡最常用的網絡通信協(xié)議有TCPAP、NETBIOS等，這些開放和標準的協(xié)議大多帶有安全漏洞。例如，TCPAP協(xié)議缺乏有效的身份認證和對路由器協(xié)議的安全認證等安全隱患，通信的雙方很難確定對方的確切身份及通信時的物理置；NETBIOS協(xié)議允許包括未授權用戶在內的任何人通過139端口收集信息，外部的惡意用戶能夠更容易地非法接入網絡。

1.2 計算機病毒的入侵

計算機病毒是一種人為制造的、隱藏在計算機系統(tǒng)數據資源中的、能夠自我復制進行傳播、對計算機系統(tǒng)進行破壞的程序。特別是通過寬帶網泛濫的速度之快，蔓延之廣。而且計算機病毒更新變化的速度常常讓人防不勝防。幾乎有80%的計算機用戶都受到過來自網絡上的病毒攻擊。在網絡上可通過郵件、網頁、局域網、網絡下載等方式進行遠程攻擊。

1.3 黑客的攻擊

美國是網絡黑客的發(fā)源地。隨著網絡技術的普遍使用，黑客的人數也不斷增多，一些黑客軟件在網絡上廣為傳播。它可以向被侵入的計算機發(fā)送文件，監(jiān)視被侵入機器的用戶操作，封鎖或截獲其鍵盤操作，而對方卻全然不知。由于缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段，因此黑客的攻擊不僅“殺傷力”大，而且隱蔽性強。

1.4 操作系統(tǒng)和應用軟件的安全漏洞

Web服務器軟件最容易成為黑客主動攻擊的對象，Web瀏覽器的漏洞可能導致用戶的個人數據和密碼等隱私資料外泄，電子郵件軟件遭受蠕蟲病毒的傳染和攻擊更是屢見不鮮，新的網絡應用如即時通信軟件和對等網文件共享軟件都可能遭受攻擊，給攻擊者提供侵入圖書館網絡的后門。

1.5 防火墻自身帶來的安全漏洞

“防火墻”，用于實施內部網絡和Internet或其它外部網絡之間的訪問控制，在外部網與內部網之間建立起一個安全網關，從而防止發(fā)生不可預測的、潛在破壞性的侵入。它可通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外界屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。但它自身也有其弱點，主要是：（1）難以防止應用程序的漏洞。（2）難于防內。防火墻的安全控制用于“外對內”或“內對外”。但是，防火墻很難解決內部人員對網絡的攻擊，即防外不防內。（3）難于管理和配置。防火墻的管理及配置相當復雜，它要求防火墻管理人員對網絡安全攻擊的手段及其系統(tǒng)配置的關系有相當深刻的了解。否則，易造成安全漏洞。

2.圖書館網絡的安全保障技術

2.1 操作系統(tǒng)的安全使用技術

（1）最小化安裝必須的組件。很多系統(tǒng)被黑客人侵，大部分是從系統(tǒng)的服務開始，利用服務的漏洞入侵。只安裝必須的服務，可大大減少被入侵的機會。

（2）操作系統(tǒng)補丁的更新。漏洞是操作系統(tǒng)致命的安全缺陷，所有的操作系統(tǒng)或多或少都有漏洞，特別是使用最多的Window系統(tǒng)，黑客攻擊手段和病毒之間的間隔越來越短。預防操作系統(tǒng)漏洞型病毒最好的辦法，就是及時為自己的操作系統(tǒng)打上補丁，關閉不必要的服務以及對系統(tǒng)進行必要的設置。一般來說，操作系統(tǒng)、網絡服務系統(tǒng)都提供系統(tǒng)日志，盡可能記錄發(fā)生的所有事件。多數攻擊和病毒能通過系統(tǒng)日志的記錄發(fā)現。因此，經常檢查系統(tǒng)日志，能發(fā)現大多數的攻擊事件和病毒，從而采取相應措施，以減少損失，并對以后的同樣或類似情況進行預防。

2.2 信息加密技術

信息加密技術是網絡方面用得較多的一種安全技術。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和人網，而且也是對付惡意軟件的有效方法之一。信息加密的目的是保護網內的數據、文件、口令和控制信息不被泄漏、篡改和破壞，保護網上傳輸的數據不被分析。它不需要特殊的網絡拓撲結構的支持，對網絡性能影響較小。使用密碼技術進行數據通信，其過程就是取得原始信息并用收、發(fā)方共同約定的一種特殊編碼變換成密文進行傳送。

2.3 身份認證技術

身份認證是用戶向系統(tǒng)出示自己身份證明并系統(tǒng)查核用戶身份證明的過程。保證網絡安全的最普遍的做法是身份認證，沒有通過身份認證的用戶將無法訪問網絡資源。身份認證是每一個系統(tǒng)保護自身安全最基本的措施。

2.4 防火墻技術

防火墻處于圖書館的內部網絡和外部網絡之間,是圖書館網絡的第一道防線。通常對于外部網絡的接入,必須采取的安全策略是防火墻拒絕所有接受特殊的原則。即對所有的外部接入，認為都是不安全的,需要完全拒絕,只能訪問事先設置好指定服務器的特定端口，不允許外部網絡直接訪問內部系統(tǒng)。防火墻的實現技術主要有三種類型：

（1）包過濾型。通過具有特殊功能的路由器，使用報文動態(tài)過濾技術，動態(tài)檢查流過的TCPIP報文頭，根據用戶定義的規(guī)則，決定哪些報文允許流過，哪些報文禁止流過。一般按照源IP地址、目標IP地址、協(xié)議、源端口、目標端口的信息作為判斷標準。這種類型防火墻的優(yōu)點是對網絡用戶透明，使用方便，而且價格便宜。其缺點是不能對用戶進行身份認證，難以對付冒名頂替(包括盜用IP地址)的非法用戶，因而安全性不夠高。

（2）應用網關型。使用代理技術，通過控制和監(jiān)督應用層服務的網絡連接，在內部網和外部網之間設置一個物理屏障，從而限制外部網與內部網的連接和通信。大部分應用網關型防火墻都只能提供有限的基本應用服務，因而通用性和使用性較差，但其優(yōu)點也很明顯，即安全性高，能進行嚴格的用戶身份認證。

（3）代理服務型。通常由單獨的計算機和專用應用程序承擔。與數據包過濾技術和應用網關技術不同，代理服務技術在內部網與外部網間不存在直接連接，僅實現防火墻內外計算機系統(tǒng)的隔離，同時代理服務技術可實施較強的數據流監(jiān)控、過濾、日志和審計等服務。

2.5 入侵檢測技術

入侵檢測技術作為一種新型網絡安全技術，是對防火墻技術的合理補充。目的是提供實時的入侵監(jiān)測及采取相應的防護手段。主要是通過從計算機網絡系統(tǒng)中的若干關鍵點收集和分析信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象，提供對內部攻擊、外部攻擊和誤操作的實的保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。對于大型圖書館和經常受到不明網絡攻擊的圖書館來說，部署入侵檢測系統(tǒng)(IDS)是非常必要的信息安全防護措施。

2.6 反病毒技術

對于圖書館網絡來說，計算機病毒具有不可估量的威脅性和破壞力。對計算機病毒的防范，是圖書館網絡安全建設中最重要的一環(huán)。

（1）硬件防御，即通過硬件檢測的方式將病毒拒之門外，主要形式有防病毒卡和防病毒芯片兩種。其工作原理是，在系統(tǒng)啟動時，優(yōu)先獲得控制權，即時對系統(tǒng)實施監(jiān)控，只要發(fā)現病毒就予以清除，從而避免病毒對系統(tǒng)的破壞，使計算機具備了免疫能力。

（2）軟件防御，即利用軟件來防止病毒侵人系統(tǒng)，主要形式是各種殺毒軟件。它們在工作原理上的共同之處是：監(jiān)視常駐內存的程序，防止可執(zhí)行文件被改寫，并且禁止程序直接寫入磁盤引導區(qū)。

總之，從以上介紹的各種安全保障技術中可以看出，他們都有各自的側重點和優(yōu)缺點。只有將各種安全保障技術結合起來使用，才能達到有效保障圖書館網絡安全的目的。

[1]曾巧紅.構筑圖書館網絡安全的防護體系.圖書館論壇，2004(6).

[2]張曉毅.圖書館網絡安全淺談.圖書館工作與研究，2003(3).

[3]彭敏.圖書館網絡的安全保障技術.圖書情報論壇，2005(3).

[4]朱志文.淺談圖書館下數字圖書館的安全與防范措施.圖書館界，2004(2).

[5]鄧少雯.網絡環(huán)境下數字圖書館的安全與防范措施.圖書館論壇，2004(4).

[6]高靜.圖書館網絡安全防范技術.計算機與網絡，2004(20).