李猷

摘 要：以學(xué)校圖書館網(wǎng)絡(luò)安全的實際問題作為出發(fā)點，結(jié)合傳統(tǒng)木桶理論及新木桶理論討論，對圖書館計算機(jī)網(wǎng)絡(luò)存在的安全問題進(jìn)行歸納和列舉，針對現(xiàn)有的安全防范不足提出了日常硬件設(shè)備運(yùn)維、賬戶權(quán)限設(shè)置、網(wǎng)絡(luò)平臺升級、虛擬局域網(wǎng)劃分及流量控制等切實可行方法，有效規(guī)避了由于硬件設(shè)備老化、賬戶管理不當(dāng)、網(wǎng)絡(luò)管理水平滯后以及病毒攻擊所造成的學(xué)校圖書館網(wǎng)絡(luò)安全隱患和危機(jī)。最后總結(jié)得出校園圖書館網(wǎng)絡(luò)安全管理模型框圖，對校園圖書館的網(wǎng)絡(luò)安全管理具有一定的指導(dǎo)意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全 木桶理論 賬戶管理 VLAN 防病毒

中圖分類號：G250.76 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2019）01（c）-0212-03

隨著學(xué)校轉(zhuǎn)型升級，大力推進(jìn)校園數(shù)字化、信息化建設(shè)，為了給廣大在校師生提供更方便、更快捷、更穩(wěn)定的數(shù)字化信息體驗，學(xué)校圖書館網(wǎng)絡(luò)系統(tǒng)的完善管理迫在眉睫。隨著網(wǎng)絡(luò)信息資源的逐年增長，圖書館訪問人數(shù)的逐年增加，圖書館網(wǎng)絡(luò)系統(tǒng)所面臨的安全風(fēng)險也逐漸上升。

1 傳統(tǒng)木桶理論和新木桶理論

傳統(tǒng)木桶理論認(rèn)為，要想提高木桶整體效能，不是增加最長的那塊木板的長度，而是要下功夫補(bǔ)齊最短的那塊木板的長度。新的木桶理論則認(rèn)為要想提高木桶的整體效能，尤為需要關(guān)注這個木桶的桶底是否存在漏洞以及組成桶壁的各個木板之間是否存在縫隙。在圖書館校園網(wǎng)絡(luò)搭建和安全維護(hù)中，既存在像傳統(tǒng)木桶理論中所提到的長短板現(xiàn)象，諸如計算機(jī)病毒和黑客攻擊就是網(wǎng)絡(luò)管理平臺的短板，又存在像服務(wù)器設(shè)備異常及線纜老化這樣的桶底漏洞，還有諸如人為所導(dǎo)致的失誤這樣的桶壁縫隙，因此結(jié)合傳統(tǒng)木桶理論和新木桶理論，作為分析和解決圖書館網(wǎng)絡(luò)安全問題的指導(dǎo)是很有意義的。

2 結(jié)合傳統(tǒng)與新木桶理論分析校園圖書館網(wǎng)絡(luò)安全現(xiàn)狀

2.1 硬件設(shè)備及其組件存在的安全隱患

圖書館網(wǎng)絡(luò)搭建是由計算機(jī)、路由器、交換機(jī)、服務(wù)器以及線纜等物理設(shè)備構(gòu)成的。組成這些設(shè)備的電子元件或材料，在使用過程中不可避免地存在自然損耗，由于圖書館服務(wù)器，交換機(jī)等網(wǎng)絡(luò)設(shè)備長期處于電上工作狀態(tài)，任何一個部件出問題都可能影響設(shè)備無法正常工作，任何一條線纜、任何一個設(shè)備出問題，都可能影響網(wǎng)絡(luò)的無法訪問、數(shù)據(jù)丟失，或者整個系統(tǒng)的癱瘓。除此而外，在設(shè)備使用過程中由于操作人員使用方法不當(dāng)導(dǎo)致的設(shè)備損耗、人工維護(hù)操作不當(dāng)所引起的瞬時靜電高壓，或是遭受自然極端氣候的破壞，如高低溫、雷電暴雨等惡劣天氣等，都可能對硬件環(huán)境造成不可忽視的影響。

2.2 賬戶權(quán)限混亂存在的安全隱患

館內(nèi)資源，特別是網(wǎng)絡(luò)資源對所有用戶和員工開放會帶來不可估量的麻煩，這樣勢必?zé)o法控制每個用戶的上網(wǎng)行為，同時也無法保證每個用戶和工作人員能夠獲得自己相應(yīng)的正常的使用權(quán)利和享用共享資源的美好體驗。如果把賬戶身份認(rèn)證看作網(wǎng)絡(luò)安全管理這只桶的桶底，把賬戶權(quán)限管理看作該桶的桶壁，就不難發(fā)現(xiàn)這樣做的實質(zhì)無異于無視木桶桶底的漏洞，無視木桶板間縫隙可能導(dǎo)致的泄露，不僅不能提高整體網(wǎng)絡(luò)資源利用的效率，而且根據(jù)新木桶理論，如果木桶底部漏洞和木桶板間縫隙夠大，反而可能使整網(wǎng)效率降到最低，甚至使木桶的效能為零。

2.3 網(wǎng)絡(luò)管理平臺應(yīng)用存在的安全隱患

目前館內(nèi)使用的網(wǎng)絡(luò)平臺操作系統(tǒng)主要是Windows Server 2003、Windows Server 2008等，由于Windows Server 系統(tǒng)本身存在漏洞，雖然系統(tǒng)不定期地會進(jìn)行補(bǔ)丁升級、自動更新，但往往就是在軟件還未升級之前，便給病毒攻擊和黑客的非法侵入提供了可乘之機(jī)。同時除了操作系統(tǒng)本身所帶的缺陷而外，由于圖書館管理人員本身水平不高（較少有專業(yè)網(wǎng)絡(luò)管理背景或是專業(yè)網(wǎng)絡(luò)管理員培訓(xùn)經(jīng)歷），不能及時察覺網(wǎng)絡(luò)安全問題，對出現(xiàn)的網(wǎng)絡(luò)異?，F(xiàn)象不能及時采取恰當(dāng)?shù)奶幚泶胧┗蛏蠄笄笾?，造成了解決問題時間的延誤或是事后權(quán)責(zé)不清。

2.4 病毒攻擊導(dǎo)致的資源安全隱患

對于館內(nèi)計算機(jī)及網(wǎng)絡(luò)，病毒對其安全使用的威脅一直存在。一是由于館內(nèi)用戶多，且用戶用網(wǎng)習(xí)慣參差不齊，一旦局域網(wǎng)的計算機(jī)感染病毒后，將通過共享資源的渠道快速傳播；二是如果局域網(wǎng)內(nèi)部的用戶通過計算機(jī)訪問外部網(wǎng)站資源而感染到計算機(jī)病毒后，在該用戶繼續(xù)使用移動存儲設(shè)備或共享文件的過程中會導(dǎo)致計算機(jī)間相互感染傳播病毒，繼而會嚴(yán)重地影響?zhàn)^內(nèi)計算機(jī)及網(wǎng)絡(luò)功能的使用，甚至導(dǎo)致整個網(wǎng)絡(luò)癱瘓、數(shù)據(jù)的丟失。結(jié)合新舊木桶理論，為了做好這塊短板和木桶其他木板間的配合，提出了整體網(wǎng)絡(luò)安全設(shè)計的概念，加強(qiáng)板間配合，做好諸如管理日志的采集、及時數(shù)據(jù)備份等工作，以期達(dá)到取長補(bǔ)短的效果，從而嚴(yán)控網(wǎng)絡(luò)安全。

3 館內(nèi)網(wǎng)絡(luò)安全隱患解決方案及實施效果

3.1 日常硬件設(shè)備管理和維護(hù)

對于構(gòu)建館內(nèi)網(wǎng)絡(luò)運(yùn)行的硬件設(shè)備，作為工作人員應(yīng)定期檢查硬件性能及運(yùn)行情況，檢查線纜，做好設(shè)備保潔。確認(rèn)所有電源、信號、線纜的接頭是否完好，是否接觸良好無松動，如有破損的需及時維修、更換；對于開不了機(jī)，經(jīng)常死機(jī)的設(shè)備要進(jìn)行故障排查與維修；對于告警指示燈亮的設(shè)備要及時進(jìn)行告警讀取排除事故。作為館內(nèi)設(shè)備使用人員，應(yīng)嚴(yán)格按照《圖書館使用管理規(guī)范條例》使用計算機(jī)及網(wǎng)絡(luò)共享資源，規(guī)范上網(wǎng)行為，規(guī)范設(shè)備操作流程，嚴(yán)禁人為惡意損毀破壞硬件設(shè)備及電子資源的行為發(fā)生，存儲介質(zhì)一律查殺后才能使用，做到行之有道、用之有效。

3.2 圖書館賬戶管理權(quán)限清晰設(shè)置

明確各級人員的使用權(quán)限及責(zé)任義務(wù)，做到一人一賬戶，不同級別的人員擁有不同的訪問權(quán)限。首先將賬戶分為普通用戶、管理員以及系統(tǒng)管理員這3個級別的賬戶，各等級類型對應(yīng)的登錄方式和操作權(quán)限如表1所示。

除此而外，制定網(wǎng)絡(luò)訪問的限制策略，關(guān)閉服務(wù)器上不用的端口，通過防火墻禁止或允許某些端口外部鏈接的訪問。通過嚴(yán)格的等級劃分和網(wǎng)絡(luò)訪問權(quán)限設(shè)置，有效實現(xiàn)了用戶與管理域、不同等級管理域之間的分隔，實現(xiàn)了權(quán)責(zé)匹配，減少了網(wǎng)絡(luò)安全風(fēng)險。

3.3 網(wǎng)絡(luò)系統(tǒng)升級維護(hù)及管理人員技能提升

設(shè)置館內(nèi)網(wǎng)絡(luò)系統(tǒng)升級為自動更新，一有新文件提示就立即升級，同時作為網(wǎng)管還要人工實時關(guān)注Windows Server 2003、Windows Server 2008等系統(tǒng)的漏洞報告，及時查找升級信息，及時打補(bǔ)丁，確保系統(tǒng)安全。

同時應(yīng)結(jié)合現(xiàn)有的網(wǎng)絡(luò)管理技術(shù)，結(jié)合該圖書館的賬戶管理制度以及網(wǎng)絡(luò)安全監(jiān)控防范體系，加強(qiáng)對管理人員的培訓(xùn)，促使其技能提升。

在日常工作中，網(wǎng)絡(luò)管理員應(yīng)一方面通過軟件自動更新提示幫助實現(xiàn)補(bǔ)丁升級，另一方面也應(yīng)自己制定相應(yīng)的掃描策略，爭取在病毒爆發(fā)之前提前進(jìn)行防范，實現(xiàn)漏洞的手動修補(bǔ)。對于管理設(shè)備較多、升級需求較為迫切的機(jī)房，可以采用通過服務(wù)器端向客戶端統(tǒng)一下發(fā)漏洞補(bǔ)丁文件的方法，進(jìn)行快速修復(fù)。

3.4 防病毒攻擊及數(shù)據(jù)備份

由于學(xué)校圖書館電子資源閱覽室、學(xué)生機(jī)房、資料閱覽室（可上網(wǎng)）以及行政辦公共用一樓，因此，在此樓中如何有效布局網(wǎng)絡(luò)、防止病毒攻擊就顯得尤為重要。

（1）交換機(jī)技術(shù)應(yīng)用。

針對校內(nèi)圖書館用樓網(wǎng)絡(luò)分區(qū)較為復(fù)雜，各區(qū)域的功能需求也各不相同的特點，結(jié)合交換機(jī)VLAN配置應(yīng)用策略，為避免不同區(qū)域間網(wǎng)絡(luò)環(huán)境的廣播干擾，提高網(wǎng)絡(luò)的處理能力，于是在實際操作中對各功能區(qū)域進(jìn)行了虛擬局域網(wǎng)劃分，將辦公區(qū)域與公用網(wǎng)絡(luò)區(qū)域、公共區(qū)域與私有區(qū)域進(jìn)行有效分割。其中包括以下幾個虛擬局域網(wǎng)分區(qū)：電子資源閱覽室VLAN、學(xué)生機(jī)房VLAN、行政辦公VLAN等，根據(jù)不同區(qū)域需求設(shè)置不同的訪問權(quán)限，實現(xiàn)了功能區(qū)域的有效隔離。虛擬局域網(wǎng)劃分示意圖如圖1所示。

（2）流量控制技術(shù)應(yīng)用。

為防止用戶在公共機(jī)房或電子資料閱覽室中大量占用網(wǎng)絡(luò)帶寬，進(jìn)行大型網(wǎng)絡(luò)游戲?qū)埂⒏咔逡曨l下載等娛樂，造成網(wǎng)絡(luò)資源的浪費(fèi)，館內(nèi)網(wǎng)管一方面可采用流量監(jiān)控軟件監(jiān)控端口數(shù)據(jù)流量的變化情況；另一方面可直接遠(yuǎn)程控制交換機(jī)，對交換機(jī)各VLAN端口上的數(shù)據(jù)流量進(jìn)行查看。如果遇到端口異常流量產(chǎn)生，則可以立即控制交換機(jī)關(guān)閉該端口或重啟。引入流控技術(shù)有效保證了絕大部分網(wǎng)絡(luò)活動參與人員的上網(wǎng)利益。

（3）防火墻和殺毒軟件的應(yīng)用。

面對網(wǎng)絡(luò)中流行的各式病毒，要做好網(wǎng)絡(luò)安全防范，首先就要進(jìn)行防火墻安裝設(shè)置，它主要用于隔離私人用戶數(shù)據(jù)與公共網(wǎng)絡(luò)。對于有條件的大型圖書館安全管理系統(tǒng)需要購買專用防火墻設(shè)備，對于使用計算機(jī)網(wǎng)絡(luò)的PC用戶，可以使用Windows操作系統(tǒng)自帶的防火墻軟件，根據(jù)需要設(shè)置所需要的防火墻等級就可以了。除了設(shè)置防火墻而外，鑒于對安全的進(jìn)一步考慮，還應(yīng)安裝殺毒軟件對系統(tǒng)做更全面的保護(hù)。目前校內(nèi)機(jī)都安裝并使用360安全衛(wèi)士這款安全軟件做計算機(jī)的安全保護(hù)，通過安全軟件定時查殺病毒，更新系統(tǒng)。

（4）數(shù)據(jù)備份應(yīng)用。

無論作為對硬件損壞時數(shù)據(jù)保護(hù)的補(bǔ)充策略，還是對系統(tǒng)崩潰時的數(shù)據(jù)挽回策略，在圖書館系統(tǒng)的安全保護(hù)策略中都應(yīng)該采取一定的數(shù)據(jù)備份策略來減輕由于意外災(zāi)害所帶來的數(shù)據(jù)丟失。特別是對于大型的圖書館而言，做好周全的數(shù)據(jù)備份計劃是很有必要的。

4 結(jié)語

文章針對圖書館網(wǎng)絡(luò)安全優(yōu)化問題，結(jié)合傳統(tǒng)木桶理論和新型木桶理論，就網(wǎng)絡(luò)設(shè)備硬件維護(hù)、網(wǎng)絡(luò)賬戶分級、網(wǎng)絡(luò)管理平臺和網(wǎng)絡(luò)管理人員技能提升，病毒防范等方面提出了行之有效的解決方案，實現(xiàn)了圖書館網(wǎng)絡(luò)安全優(yōu)化，總結(jié)得出了圖書館網(wǎng)絡(luò)安全管理模型框圖，如圖2所示。

綜上所述，按照木桶理論的全新角度，只有既能照顧到網(wǎng)絡(luò)安全管理的短板，又要能夠兼顧協(xié)調(diào)其各板塊之間的長短不一，做實桶底，結(jié)合真實的計算機(jī)網(wǎng)絡(luò)環(huán)境，綜合考慮硬件、軟件、人以及制度等各方面的因素，使整個系統(tǒng)緊密聯(lián)系，最終才能實現(xiàn)木桶理論的最優(yōu)化。

參考文獻(xiàn)

[1] 龔儉.計算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[J].工業(yè)控制計算機(jī)，2000（4）：52.

[2] 許志坤.網(wǎng)絡(luò)滲透技術(shù)[M].北京：電子工業(yè)出版社，2005.

[3] 王新穎.新木桶理論在大型企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用[J].福建電腦，2007（7）：8，10.

[4] 蔡立軍.網(wǎng)絡(luò)安全技術(shù)[M].北京：清華大學(xué)出版社，2010.

[5] 安氏領(lǐng)信科技發(fā)展有限公司.安氏領(lǐng)信安全管理中心產(chǎn)品說明[Z].

[6] 李月明.公共圖書館信息網(wǎng)絡(luò)安全管理策略[J].圖書館，2006（6）：113-116.

[7] 楊威.圖書館網(wǎng)絡(luò)防病毒體系建設(shè)[J].哈爾濱職業(yè)技術(shù)學(xué)院學(xué)報，2009（5）：98-99.

[8] 于博.公共圖書館網(wǎng)絡(luò)安全問題及解決對策[J].科技情報開發(fā)與經(jīng)濟(jì)，2012，22（14）：49-51.