圖書館網(wǎng)絡(luò)安全

劉俊南

（黑龍江省圖書館 黑龍江 哈爾濱 150090）

隨著信息化熱潮的到來，信息資源電子化、數(shù)字化已成為現(xiàn)代信息的主要傳播方式。作為文獻(xiàn)信息保障中心的圖書館的運(yùn)行模式正在發(fā)生巨大的變化，圖書館的業(yè)務(wù)管理、文獻(xiàn)信息服務(wù)對網(wǎng)絡(luò)依賴程度越來越大。但隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的運(yùn)用，必須要充分考慮網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)，在維護(hù)圖書館網(wǎng)絡(luò)時，要及時采取有效的措施，以確保整個網(wǎng)絡(luò)的安全運(yùn)作。

1.圖書館網(wǎng)絡(luò)存在的安全隱患

由于互聯(lián)網(wǎng)絡(luò)的開放性體系結(jié)構(gòu)，使圖書館信息資源得到了最大限度的共享，為社會帶來了一定的經(jīng)濟(jì)和社會效益。但同時圖書館網(wǎng)絡(luò)信息安全也面臨來自外部及內(nèi)部的威脅和攻擊的考驗(yàn)。外部威脅主要包括：黑客人侵、計算機(jī)病毒、垃圾郵件及黃毒泛濫等，內(nèi)部威脅主要包括：操作系統(tǒng)的漏洞、軟件產(chǎn)品的復(fù)雜多樣性、電子數(shù)據(jù)的非物質(zhì)性、不安全的通信協(xié)議、存貯介質(zhì)的利用、內(nèi)部人員的職業(yè)素質(zhì)等。其中以網(wǎng)絡(luò)通信協(xié)議、計算機(jī)病毒、黑客的攻擊、操作系統(tǒng)和軟件漏洞為常見的安全隱患。

1.1 網(wǎng)絡(luò)通信協(xié)議的不安全性

圖書館網(wǎng)絡(luò)最常用的網(wǎng)絡(luò)通信協(xié)議有TCPAP、NETBIOS等，這些開放和標(biāo)準(zhǔn)的協(xié)議大多帶有安全漏洞。例如，TCPAP協(xié)議缺乏有效的身份認(rèn)證和對路由器協(xié)議的安全認(rèn)證等安全隱患，通信的雙方很難確定對方的確切身份及通信時的物理置；NETBIOS協(xié)議允許包括未授權(quán)用戶在內(nèi)的任何人通過139端口收集信息，外部的惡意用戶能夠更容易地非法接入網(wǎng)絡(luò)。

1.2 計算機(jī)病毒的入侵

計算機(jī)病毒是一種人為制造的、隱藏在計算機(jī)系統(tǒng)數(shù)據(jù)資源中的、能夠自我復(fù)制進(jìn)行傳播、對計算機(jī)系統(tǒng)進(jìn)行破壞的程序。特別是通過寬帶網(wǎng)泛濫的速度之快，蔓延之廣。而且計算機(jī)病毒更新變化的速度常常讓人防不勝防。幾乎有80%的計算機(jī)用戶都受到過來自網(wǎng)絡(luò)上的病毒攻擊。在網(wǎng)絡(luò)上可通過郵件、網(wǎng)頁、局域網(wǎng)、網(wǎng)絡(luò)下載等方式進(jìn)行遠(yuǎn)程攻擊。

1.3 黑客的攻擊

美國是網(wǎng)絡(luò)黑客的發(fā)源地。隨著網(wǎng)絡(luò)技術(shù)的普遍使用，黑客的人數(shù)也不斷增多，一些黑客軟件在網(wǎng)絡(luò)上廣為傳播。它可以向被侵入的計算機(jī)發(fā)送文件，監(jiān)視被侵入機(jī)器的用戶操作，封鎖或截獲其鍵盤操作，而對方卻全然不知。由于缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，因此黑客的攻擊不僅“殺傷力”大，而且隱蔽性強(qiáng)。

1.4 操作系統(tǒng)和應(yīng)用軟件的安全漏洞

Web服務(wù)器軟件最容易成為黑客主動攻擊的對象，Web瀏覽器的漏洞可能導(dǎo)致用戶的個人數(shù)據(jù)和密碼等隱私資料外泄，電子郵件軟件遭受蠕蟲病毒的傳染和攻擊更是屢見不鮮，新的網(wǎng)絡(luò)應(yīng)用如即時通信軟件和對等網(wǎng)文件共享軟件都可能遭受攻擊，給攻擊者提供侵入圖書館網(wǎng)絡(luò)的后門。

1.5 防火墻自身帶來的安全漏洞

“防火墻”，用于實(shí)施內(nèi)部網(wǎng)絡(luò)和Internet或其它外部網(wǎng)絡(luò)之間的訪問控制，在外部網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外界屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。但它自身也有其弱點(diǎn)，主要是：（1）難以防止應(yīng)用程序的漏洞。（2）難于防內(nèi)。防火墻的安全控制用于“外對內(nèi)”或“內(nèi)對外”。但是，防火墻很難解決內(nèi)部人員對網(wǎng)絡(luò)的攻擊，即防外不防內(nèi)。（3）難于管理和配置。防火墻的管理及配置相當(dāng)復(fù)雜，它要求防火墻管理人員對網(wǎng)絡(luò)安全攻擊的手段及其系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解。否則，易造成安全漏洞。

2.圖書館網(wǎng)絡(luò)的安全保障技術(shù)

2.1 操作系統(tǒng)的安全使用技術(shù)

（1）最小化安裝必須的組件。很多系統(tǒng)被黑客人侵，大部分是從系統(tǒng)的服務(wù)開始，利用服務(wù)的漏洞入侵。只安裝必須的服務(wù)，可大大減少被入侵的機(jī)會。

（2）操作系統(tǒng)補(bǔ)丁的更新。漏洞是操作系統(tǒng)致命的安全缺陷，所有的操作系統(tǒng)或多或少都有漏洞，特別是使用最多的Window系統(tǒng)，黑客攻擊手段和病毒之間的間隔越來越短。預(yù)防操作系統(tǒng)漏洞型病毒最好的辦法，就是及時為自己的操作系統(tǒng)打上補(bǔ)丁，關(guān)閉不必要的服務(wù)以及對系統(tǒng)進(jìn)行必要的設(shè)置。一般來說，操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)系統(tǒng)都提供系統(tǒng)日志，盡可能記錄發(fā)生的所有事件。多數(shù)攻擊和病毒能通過系統(tǒng)日志的記錄發(fā)現(xiàn)。因此，經(jīng)常檢查系統(tǒng)日志，能發(fā)現(xiàn)大多數(shù)的攻擊事件和病毒，從而采取相應(yīng)措施，以減少損失，并對以后的同樣或類似情況進(jìn)行預(yù)防。

2.2 信息加密技術(shù)

信息加密技術(shù)是網(wǎng)絡(luò)方面用得較多的一種安全技術(shù)。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和人網(wǎng)，而且也是對付惡意軟件的有效方法之一。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息不被泄漏、篡改和破壞，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)不被分析。它不需要特殊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持，對網(wǎng)絡(luò)性能影響較小。使用密碼技術(shù)進(jìn)行數(shù)據(jù)通信，其過程就是取得原始信息并用收、發(fā)方共同約定的一種特殊編碼變換成密文進(jìn)行傳送。

2.3 身份認(rèn)證技術(shù)

身份認(rèn)證是用戶向系統(tǒng)出示自己身份證明并系統(tǒng)查核用戶身份證明的過程。保證網(wǎng)絡(luò)安全的最普遍的做法是身份認(rèn)證，沒有通過身份認(rèn)證的用戶將無法訪問網(wǎng)絡(luò)資源。身份認(rèn)證是每一個系統(tǒng)保護(hù)自身安全最基本的措施。

2.4 防火墻技術(shù)

防火墻處于圖書館的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,是圖書館網(wǎng)絡(luò)的第一道防線。通常對于外部網(wǎng)絡(luò)的接入,必須采取的安全策略是防火墻拒絕所有接受特殊的原則。即對所有的外部接入，認(rèn)為都是不安全的,需要完全拒絕,只能訪問事先設(shè)置好指定服務(wù)器的特定端口，不允許外部網(wǎng)絡(luò)直接訪問內(nèi)部系統(tǒng)。防火墻的實(shí)現(xiàn)技術(shù)主要有三種類型：

（1）包過濾型。通過具有特殊功能的路由器，使用報文動態(tài)過濾技術(shù)，動態(tài)檢查流過的TCPIP報文頭，根據(jù)用戶定義的規(guī)則，決定哪些報文允許流過，哪些報文禁止流過。一般按照源IP地址、目標(biāo)IP地址、協(xié)議、源端口、目標(biāo)端口的信息作為判斷標(biāo)準(zhǔn)。這種類型防火墻的優(yōu)點(diǎn)是對網(wǎng)絡(luò)用戶透明，使用方便，而且價格便宜。其缺點(diǎn)是不能對用戶進(jìn)行身份認(rèn)證，難以對付冒名頂替(包括盜用IP地址)的非法用戶，因而安全性不夠高。

（2）應(yīng)用網(wǎng)關(guān)型。使用代理技術(shù)，通過控制和監(jiān)督應(yīng)用層服務(wù)的網(wǎng)絡(luò)連接，在內(nèi)部網(wǎng)和外部網(wǎng)之間設(shè)置一個物理屏障，從而限制外部網(wǎng)與內(nèi)部網(wǎng)的連接和通信。大部分應(yīng)用網(wǎng)關(guān)型防火墻都只能提供有限的基本應(yīng)用服務(wù)，因而通用性和使用性較差，但其優(yōu)點(diǎn)也很明顯，即安全性高，能進(jìn)行嚴(yán)格的用戶身份認(rèn)證。

（3）代理服務(wù)型。通常由單獨(dú)的計算機(jī)和專用應(yīng)用程序承擔(dān)。與數(shù)據(jù)包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)技術(shù)不同，代理服務(wù)技術(shù)在內(nèi)部網(wǎng)與外部網(wǎng)間不存在直接連接，僅實(shí)現(xiàn)防火墻內(nèi)外計算機(jī)系統(tǒng)的隔離，同時代理服務(wù)技術(shù)可實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、日志和審計等服務(wù)。

2.5 入侵檢測技術(shù)

入侵檢測技術(shù)作為一種新型網(wǎng)絡(luò)安全技術(shù)，是對防火墻技術(shù)的合理補(bǔ)充。目的是提供實(shí)時的入侵監(jiān)測及采取相應(yīng)的防護(hù)手段。主要是通過從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集和分析信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)的保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。對于大型圖書館和經(jīng)常受到不明網(wǎng)絡(luò)攻擊的圖書館來說，部署入侵檢測系統(tǒng)(IDS)是非常必要的信息安全防護(hù)措施。

2.6 反病毒技術(shù)

對于圖書館網(wǎng)絡(luò)來說，計算機(jī)病毒具有不可估量的威脅性和破壞力。對計算機(jī)病毒的防范，是圖書館網(wǎng)絡(luò)安全建設(shè)中最重要的一環(huán)。

（1）硬件防御，即通過硬件檢測的方式將病毒拒之門外，主要形式有防病毒卡和防病毒芯片兩種。其工作原理是，在系統(tǒng)啟動時，優(yōu)先獲得控制權(quán)，即時對系統(tǒng)實(shí)施監(jiān)控，只要發(fā)現(xiàn)病毒就予以清除，從而避免病毒對系統(tǒng)的破壞，使計算機(jī)具備了免疫能力。

（2）軟件防御，即利用軟件來防止病毒侵人系統(tǒng)，主要形式是各種殺毒軟件。它們在工作原理上的共同之處是：監(jiān)視常駐內(nèi)存的程序，防止可執(zhí)行文件被改寫，并且禁止程序直接寫入磁盤引導(dǎo)區(qū)。

總之，從以上介紹的各種安全保障技術(shù)中可以看出，他們都有各自的側(cè)重點(diǎn)和優(yōu)缺點(diǎn)。只有將各種安全保障技術(shù)結(jié)合起來使用，才能達(dá)到有效保障圖書館網(wǎng)絡(luò)安全的目的。

[1]曾巧紅.構(gòu)筑圖書館網(wǎng)絡(luò)安全的防護(hù)體系.圖書館論壇，2004(6).

[2]張曉毅.圖書館網(wǎng)絡(luò)安全淺談.圖書館工作與研究，2003(3).

[3]彭敏.圖書館網(wǎng)絡(luò)的安全保障技術(shù).圖書情報論壇，2005(3).

[4]朱志文.淺談圖書館下數(shù)字圖書館的安全與防范措施.圖書館界，2004(2).

[5]鄧少雯.網(wǎng)絡(luò)環(huán)境下數(shù)字圖書館的安全與防范措施.圖書館論壇，2004(4).

[6]高靜.圖書館網(wǎng)絡(luò)安全防范技術(shù).計算機(jī)與網(wǎng)絡(luò)，2004(20).