（貴州民族文化宮，貴州 貴陽(yáng) 550001）

當(dāng)今社會(huì)，信息時(shí)代的來(lái)臨，改變了我們的學(xué)習(xí)、生活、工作習(xí)慣，也改變了我們的閱讀習(xí)慣。信息時(shí)代同樣給圖書(shū)館帶來(lái)了不小的沖擊和改變，圖書(shū)館也逐步走向數(shù)字化圖書(shū)的閱讀方式，人們用電腦閱讀、平板閱讀、手機(jī)閱讀已經(jīng)成為習(xí)慣。民族圖書(shū)館與公共圖書(shū)館側(cè)重點(diǎn)有些許不一樣，公共圖書(shū)館的建設(shè)特點(diǎn)是以館藏量大、資源種類(lèi)豐富且齊全為目的，但是民族圖書(shū)館的建設(shè)則更側(cè)重于民族文獻(xiàn)資源的保存與古籍文獻(xiàn)的收藏。許多珍貴的民族古籍文獻(xiàn)資料在自然環(huán)境中不利于保存，及時(shí)通過(guò)恒溫恒濕等科技手段存放，也不利于觀眾與讀者翻看與研究。因此，只有通過(guò)數(shù)字化這些珍貴的古籍文獻(xiàn)資料，將它們變成電子資源保存，才是最好的還原和展示古籍文獻(xiàn)資料的方法和手段。數(shù)字化之后的電子資源保存于館內(nèi)服務(wù)器與存儲(chǔ)設(shè)備中，通過(guò)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)到終端觸摸屏向館內(nèi)的讀者展示或者通過(guò)網(wǎng)站發(fā)布到互聯(lián)網(wǎng)向全世界展示。那么我們?nèi)绾蝸?lái)保證我們的電子資源在互聯(lián)網(wǎng)上的安全性，這是我們所要探究的問(wèn)題。

一、民族圖書(shū)館數(shù)字資源的重要性

圖書(shū)館開(kāi)始數(shù)字化發(fā)展以來(lái)，資源眾多，種類(lèi)豐富，各種電子圖書(shū)閱讀軟件，各種音視頻圖片資料幾乎都能在互聯(lián)網(wǎng)上搜索到，但是某些特定的數(shù)字資源圖書(shū)館是不對(duì)互聯(lián)網(wǎng)開(kāi)放的，比如說(shuō)民族圖書(shū)館的數(shù)字資源就有很多內(nèi)容未對(duì)互聯(lián)網(wǎng)開(kāi)放。古籍文獻(xiàn)、少數(shù)民族語(yǔ)言文字以及音頻視頻等這些重要資源是民族圖書(shū)館的重要館藏，這些資源如果要在互聯(lián)網(wǎng)上展示一般都會(huì)通過(guò)民族圖書(shū)館自己的門(mén)戶(hù)網(wǎng)站向世界展示。但通常情況下民族圖書(shū)館不會(huì)將這些資源放到自己的門(mén)戶(hù)網(wǎng)站，原因一般是擔(dān)心資源被竊取、復(fù)制或者資源服務(wù)器被攻擊導(dǎo)致數(shù)據(jù)被破壞。因此保證民族圖書(shū)館網(wǎng)絡(luò)的安全性就顯得尤為重要。

二、網(wǎng)絡(luò)安全的重要因素與防護(hù)方法

網(wǎng)絡(luò)的安全性由幾個(gè)重要因素決定，第一是外網(wǎng)對(duì)內(nèi)網(wǎng)的威脅需要完善的保護(hù)措施，二是制定安全策略，三是內(nèi)網(wǎng)自身存在的安全隱患需要消除并且防護(hù)病毒入侵，四是完善網(wǎng)絡(luò)安全規(guī)章制度、加強(qiáng)網(wǎng)絡(luò)安全管理。做好這幾點(diǎn)，網(wǎng)絡(luò)相對(duì)就會(huì)安全很多，我們的數(shù)字資源也能得到很好的保護(hù)。以下圖例是某民族圖書(shū)館規(guī)劃得相對(duì)較完善的網(wǎng)絡(luò)TOP結(jié)構(gòu)圖，筆者以此圖為例對(duì)網(wǎng)絡(luò)安全的這四個(gè)方面進(jìn)行論述。

1.完善網(wǎng)絡(luò)安全設(shè)施、防御內(nèi)、外網(wǎng)的安全

民族圖書(shū)館的古籍文獻(xiàn)數(shù)字資源、網(wǎng)站資源等都保存在服務(wù)器與磁盤(pán)存儲(chǔ)上，要保護(hù)我們這些存儲(chǔ)設(shè)備不被攻擊入侵，就必須了解當(dāng)今常見(jiàn)的網(wǎng)絡(luò)威脅手段。常見(jiàn)來(lái)自外網(wǎng)對(duì)服務(wù)器的威脅有Ddos攻擊、勒索病毒、ARP入侵、SQL注入攻擊等，這些攻擊輕則干擾我們的系統(tǒng)正常運(yùn)行，重則可以讓我們丟失數(shù)據(jù)、系統(tǒng)癱瘓。魔高一尺，道高一丈，防護(hù)這些攻擊與病毒的方法也很多。首先，我們要完善我們的網(wǎng)絡(luò)安全設(shè)施，在外網(wǎng)出口增加防護(hù)硬件。其次，在數(shù)據(jù)中心增加防火墻用于保護(hù)服務(wù)器安全。最后，重要的關(guān)鍵性設(shè)備最好做到雙機(jī)備份。

網(wǎng)絡(luò)TOP圖例

圖例中，服務(wù)商網(wǎng)絡(luò)雙線(xiàn)接入了圖書(shū)館的出口路由器，通過(guò)上網(wǎng)行為管理、入侵防御、WEB應(yīng)用防火墻以及出口防火墻的串聯(lián)進(jìn)入內(nèi)網(wǎng)。我們可以看到，圖中外網(wǎng)出口到內(nèi)網(wǎng)的防御設(shè)備還是很周全的，防火墻可以阻止外部非法用戶(hù)對(duì)網(wǎng)絡(luò)中的主機(jī)進(jìn)行攻擊，是一種被動(dòng)防御體系，它可以防止不可預(yù)測(cè)的、潛在的破壞性威脅入侵。入侵檢測(cè)系統(tǒng)可以通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵點(diǎn)收集信息并分析其中是否有違反安全策略的行為，是一種主動(dòng)搜索潛在威脅的設(shè)備。WAF防火墻是針對(duì)HTTP或者HTTPS協(xié)議等應(yīng)用層數(shù)據(jù)進(jìn)行防護(hù)的設(shè)備，主要用來(lái)保護(hù)架設(shè)在數(shù)據(jù)中心的WEB服務(wù)器不受攻擊，并且保護(hù)網(wǎng)站不被非法篡改。而網(wǎng)絡(luò)行為管理設(shè)備是監(jiān)控內(nèi)網(wǎng)用戶(hù)在訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí)所有的上網(wǎng)行為操作并進(jìn)行記錄。四臺(tái)設(shè)備保護(hù)了外網(wǎng)到內(nèi)網(wǎng)的用戶(hù)安全。

根據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的要求，我們內(nèi)部網(wǎng)絡(luò)中還需要添加堡壘主機(jī)和日志審計(jì)系統(tǒng)，堡壘主機(jī)綜合了核心系統(tǒng)運(yùn)維和安全升級(jí)管控兩大功能，能夠攔截非法的訪(fǎng)問(wèn)和惡意攻擊，也可以對(duì)工作人員的誤操作進(jìn)行記錄，以便事后追究責(zé)任。日志審計(jì)主要是完成對(duì)網(wǎng)絡(luò)中設(shè)備、網(wǎng)絡(luò)運(yùn)行狀態(tài)的日志監(jiān)控、采集、存儲(chǔ)、分析等工作，一旦出現(xiàn)問(wèn)題首先查詢(xún)?nèi)罩拘畔?，?duì)網(wǎng)絡(luò)情況一目了然。

當(dāng)外網(wǎng)出口的防護(hù)做好后，還需要防護(hù)內(nèi)網(wǎng)用戶(hù)對(duì)數(shù)據(jù)中心的攻擊。數(shù)據(jù)中心服務(wù)器并不能保證內(nèi)網(wǎng)用戶(hù)是否有潛在的安全威脅，是否會(huì)有非法用戶(hù)攻擊服務(wù)器，所以在數(shù)據(jù)中心入口處架設(shè)了兩臺(tái)邊界防火墻做到雙機(jī)熱備，其中一臺(tái)如果癱瘓或出現(xiàn)故障，另一臺(tái)馬上啟用，核心交換機(jī)和數(shù)據(jù)中心交換機(jī)也是為了避免故障同樣采用雙機(jī)熱備。這樣一來(lái)外網(wǎng)黑客想要攻擊我們的數(shù)字資源就必須通過(guò)外網(wǎng)防火墻、數(shù)據(jù)中心邊界防火墻和堡壘主機(jī)，困難大大增加。內(nèi)網(wǎng)用戶(hù)如果想要攻擊服務(wù)器資源，服務(wù)器也同樣受到數(shù)據(jù)中心防火墻和堡壘機(jī)的防護(hù)。

2.制定網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全除了需要安全設(shè)備的部署以外，管理人員還需要對(duì)這些設(shè)備的網(wǎng)絡(luò)安全策略進(jìn)行制定，才能實(shí)現(xiàn)他們應(yīng)有的功能。我們可以在交換機(jī)上劃分VLAN，把相同用途的終端設(shè)備或是辦公區(qū)域劃分到同一個(gè)VLAN里，例如根據(jù)樓層劃分或者根據(jù)圖書(shū)館的部門(mén)劃分，建議服務(wù)器區(qū)域劃分在同一個(gè)VLAN中方便管理。不同VLAN之間也可以通過(guò)ACL（訪(fǎng)問(wèn)控制列表）進(jìn)行控制，決定哪幾個(gè)VLAN可以互相訪(fǎng)問(wèn)或是能否通過(guò)防火墻訪(fǎng)問(wèn)互聯(lián)網(wǎng)。防火墻也必須做安全策略，例如禁用135、137、138和445的勒索病毒相關(guān)端口，或是采用白名單方式，只有需要的端口才可以放行。服務(wù)器區(qū)域可以把需要訪(fǎng)問(wèn)互聯(lián)網(wǎng)的服務(wù)器和不需要訪(fǎng)問(wèn)互聯(lián)網(wǎng)的服務(wù)器分開(kāi)，以便于在防火墻上做安全策略。

無(wú)線(xiàn)網(wǎng)絡(luò)的安全也是不可忽略的，圖中的無(wú)線(xiàn)網(wǎng)絡(luò)是直接接入核心交換機(jī)的，民族圖書(shū)館的讀者進(jìn)入館內(nèi)是可以通過(guò)無(wú)線(xiàn)終端連接進(jìn)我們的網(wǎng)絡(luò)，這樣我們就需要對(duì)連入的這些終端設(shè)備進(jìn)行認(rèn)證，認(rèn)證方式也多種多樣，一般可以通過(guò)手機(jī)短信認(rèn)證登錄網(wǎng)絡(luò)訪(fǎng)問(wèn)內(nèi)部資源，再通過(guò)行為管理記錄下登錄后訪(fǎng)問(wèn)了哪些資源，開(kāi)過(guò)哪些網(wǎng)頁(yè)等，一旦出現(xiàn)非法行為，可以把記錄下的所有信息移交給公安機(jī)關(guān)作為證據(jù)。

3.預(yù)防內(nèi)網(wǎng)安全威脅，防范病毒入侵

除了防御外網(wǎng)非法用戶(hù)對(duì)我們的攻擊以外，我們還要注意內(nèi)網(wǎng)用戶(hù)對(duì)網(wǎng)絡(luò)和數(shù)據(jù)中心構(gòu)成的不安全因素。比如我們內(nèi)網(wǎng)中的辦公電腦是否插入了帶有病毒的U盤(pán)和移動(dòng)硬盤(pán)，服務(wù)器和終端電腦是否安裝了正版的操作系統(tǒng)和應(yīng)用軟件，我們的操作系統(tǒng)是否定期升級(jí)補(bǔ)丁和修復(fù)漏洞，服務(wù)器和終端上是否安裝了殺毒軟件等等。世界上的計(jì)算機(jī)病毒達(dá)到1000多種，很多病毒進(jìn)入內(nèi)網(wǎng)后會(huì)在整個(gè)網(wǎng)絡(luò)中傳播，或是潛伏在某些程序中等待不知道的用戶(hù)激活它，這些病毒難以發(fā)現(xiàn)也難以清除，我們?cè)谑褂肬盤(pán)等介質(zhì)進(jìn)入內(nèi)網(wǎng)時(shí)需要嚴(yán)格使用防毒軟件進(jìn)行查殺后再使用。操作系統(tǒng)需要定期升級(jí)更新補(bǔ)丁，尤其是微軟的Windows server服務(wù)器系統(tǒng)一向以Bug和Patch多著稱(chēng)，如果Web服務(wù)器架設(shè)在windows系統(tǒng)中尤其要注意。如圖網(wǎng)絡(luò)中需要增加防病毒服務(wù)器，讓所有終端電腦和其他服務(wù)器上的殺毒軟件客戶(hù)端通過(guò)服務(wù)器來(lái)更新病毒特征庫(kù)，以保證安全。

4.制定網(wǎng)絡(luò)安全規(guī)范

圖書(shū)館的信息中心需要建立完善的安全防范制度與安全操作規(guī)范，避免誤操作而造成網(wǎng)絡(luò)安全與數(shù)據(jù)丟失的嚴(yán)重后果。首先要做到重要數(shù)據(jù)定期備份，避免因天災(zāi)、斷電、設(shè)備損壞等因素造成的數(shù)據(jù)丟失。第二，定期查看防火墻日志信息，保證防火墻反病毒特征庫(kù)與入侵防御特征庫(kù)都是最新的版本。定期查看堡壘機(jī)、日志審計(jì)系統(tǒng)、網(wǎng)絡(luò)行為管理設(shè)備對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)情況。第三，建立用戶(hù)權(quán)限制度，例如圖書(shū)管理系統(tǒng)的采編、入庫(kù)，WEB網(wǎng)站中欄目與文章的資料添加，都要根據(jù)工作范圍或負(fù)責(zé)欄目版塊的不同而分給不一樣的工作權(quán)限，只有相應(yīng)工作權(quán)限才能對(duì)負(fù)責(zé)的欄目版塊進(jìn)行操作。四、定期修改這些關(guān)鍵系統(tǒng)的登錄用戶(hù)名和密碼，預(yù)防密碼被盜取。五、應(yīng)建立機(jī)房管理制度，工作人員需每天定時(shí)對(duì)機(jī)房進(jìn)行巡查，機(jī)房必須具備防火、防雷、防靜電、防塵等措施，必須安裝精密空調(diào)做到恒溫恒濕，安裝UPS電源保障在短時(shí)間斷電的情況下同樣有電源提供給設(shè)備正常運(yùn)行，必要時(shí)還需要備有柴油發(fā)電機(jī)，這樣才能為設(shè)備24小時(shí)不間斷運(yùn)行做好保障。

三、學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)

在民族圖書(shū)館中，網(wǎng)絡(luò)安全不能只靠網(wǎng)絡(luò)管理員、機(jī)房操作員來(lái)維護(hù)，所有的工作人員都應(yīng)該定期學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)，提高網(wǎng)絡(luò)安全意識(shí)，當(dāng)我們?cè)谟龅骄W(wǎng)絡(luò)安全隱患時(shí)，我們才知道如何去應(yīng)對(duì)。比如我們需要知道如何預(yù)防點(diǎn)擊到釣魚(yú)網(wǎng)站、病毒網(wǎng)站，需要知道病毒入侵后如何用殺毒軟件查殺，哪些電腦是涉密電腦不能連接互聯(lián)網(wǎng)也不能插入外部存儲(chǔ)介質(zhì)，還需要知道單位的網(wǎng)絡(luò)不能私自搭建小路由器、小交換機(jī)，因?yàn)檫@樣輕則會(huì)將原本網(wǎng)絡(luò)中的DHCP地址分配搞亂，使IP地址沖突，重則會(huì)引起網(wǎng)絡(luò)環(huán)路造成廣播風(fēng)暴。很多人電腦一旦出現(xiàn)任何問(wèn)題就呼叫網(wǎng)絡(luò)管理員，結(jié)果經(jīng)常是最基本的電源線(xiàn)沒(méi)插或者網(wǎng)線(xiàn)沒(méi)有接這樣的低級(jí)問(wèn)題，所以學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)提高網(wǎng)絡(luò)安全意識(shí)就會(huì)減少很多安全隱患，同時(shí)也會(huì)降低網(wǎng)絡(luò)管理人員的工作量，這樣我們網(wǎng)絡(luò)環(huán)境也才能更加健康安全。

結(jié)語(yǔ)

民族圖書(shū)館是少數(shù)民族文獻(xiàn)與民族音視頻、圖片等資源存儲(chǔ)與保護(hù)的重要機(jī)構(gòu)，很多民族古籍文獻(xiàn)因保存不善早已泛黃，通過(guò)技術(shù)手段將這些珍貴文物變?yōu)殡娮淤Y源保存和展示是當(dāng)今民族圖書(shū)館最重要的工作，要長(zhǎng)久的保護(hù)這些電子資源就需要我們的網(wǎng)絡(luò)穩(wěn)定并且安全，這并不是一個(gè)或兩個(gè)網(wǎng)絡(luò)管理員就能做到的。首先單位每年必須有足夠的設(shè)備運(yùn)行維護(hù)經(jīng)費(fèi)用于防火墻、行為管理、網(wǎng)站等軟硬件設(shè)備的維護(hù)升級(jí)，還要有足夠的技術(shù)維護(hù)人員共同協(xié)調(diào)維護(hù)以及全體民族圖書(shū)館的工作人員配合才能完成。數(shù)據(jù)中心管理人員需要定期培訓(xùn)和學(xué)習(xí)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)意識(shí)形態(tài)相關(guān)內(nèi)容知識(shí)，也需要定期走訪(fǎng)大型圖書(shū)館，借鑒他們的維護(hù)經(jīng)驗(yàn)取長(zhǎng)補(bǔ)短，攜手共同打造和保護(hù)好我們的民族文化資源。