基于策略網(wǎng)絡(luò)的圖書館網(wǎng)絡(luò)安全管理方案

王政軍

〔摘 要〕為解決當(dāng)前圖書館網(wǎng)絡(luò)安全事件頻發(fā)的問題，設(shè)計(jì)了基于策略網(wǎng)絡(luò)的安全解決方案。引入基于角色的策略和動態(tài)入侵響應(yīng)的設(shè)計(jì)思想，提出基于策略的網(wǎng)絡(luò)安全管理的策略模型。以大連理工大學(xué)圖書館網(wǎng)絡(luò)方案為例，闡述了基于策略網(wǎng)絡(luò)的技術(shù)支撐原理、設(shè)計(jì)思路及應(yīng)用方法。實(shí)踐證明，基于策略的網(wǎng)絡(luò)管理方案能有效保障圖書館網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性，實(shí)現(xiàn)了網(wǎng)絡(luò)安全管理的簡易化、智能化及自動化，提高了網(wǎng)絡(luò)資源的使用效率。

〔關(guān)鍵詞〕圖書館網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；入侵防御；策略網(wǎng)絡(luò)

DOI：10.3969/j.issn.1008-0821.2015.11.011

〔中圖分類號〕TP3168 〔文獻(xiàn)標(biāo)識碼〕A 〔文章編號〕1008-0821（2015）11-0064-05

The Network Manager of Library Based on Policy-based Network Security

Wang Zhengjun Jin Yuling Yu Xiaoyi

（Library，Dalian University of Technology，Dalian 116023，China）

〔Abstract〕Technology development and extensive application of network has brought tremendous impact to network security，so network security issues in the library are becoming new information security hotspots.Different from the theoretical introduction of network security management based on strategy，in connection with the security and reliability issues existing in the library network system，this paper introduced the technology achieve of network security in Dalian University of Technology Library，and also discussed the network of dynamic intrusion response and support policy.

〔Key words〕library；network security；intrusion prevention；network strategy

隨著數(shù)字化圖書館的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在圖書館的應(yīng)用越來越廣泛，網(wǎng)絡(luò)安全成為新信息安全的熱點(diǎn)[1]。數(shù)字化圖書館作為向教學(xué)科研提供先進(jìn)、便捷、廣泛地獲取知識的平臺，需要保證網(wǎng)絡(luò)信息化服務(wù)的穩(wěn)定、安全及可靠。圖書館網(wǎng)絡(luò)安全的主要目的是實(shí)現(xiàn)對整個圖書館網(wǎng)絡(luò)用戶可訪問資源的完全控制、抵御內(nèi)外網(wǎng)絡(luò)的惡意訪問，同時(shí)保證關(guān)鍵業(yè)務(wù)的高質(zhì)量網(wǎng)絡(luò)服務(wù)[2]。

大連理工大學(xué)圖書館（以下簡稱大工圖書館）近幾年注重提升網(wǎng)絡(luò)安全，不斷探索適應(yīng)圖書館網(wǎng)絡(luò)信息安全的管理方式。通過多年的理論研究和實(shí)踐總結(jié)，設(shè)計(jì)部署了一套基于策略的網(wǎng)絡(luò)安全解決方案。該方案采用先進(jìn)的安全技術(shù)手段，將動態(tài)入侵響應(yīng)與基于角色的策略進(jìn)行聯(lián)動，在保證網(wǎng)絡(luò)安全穩(wěn)定可靠的前提下，實(shí)現(xiàn)網(wǎng)絡(luò)管理的智能化自動化。

1 策略網(wǎng)絡(luò)的關(guān)鍵技術(shù)

策略網(wǎng)絡(luò)將基于角色的策略和動態(tài)入侵響應(yīng)兩項(xiàng)關(guān)鍵技術(shù)有機(jī)地結(jié)合起來，主要體現(xiàn)了網(wǎng)絡(luò)體系的安全性和管理上的便捷性。

11 基于角色的策略

雖然路由器和交換機(jī)具有一定的管理功能，但交換機(jī)只能對局域網(wǎng)中的帶寬分配和訪問權(quán)限做簡單決定。而網(wǎng)絡(luò)中的管理要面對簡化網(wǎng)絡(luò)運(yùn)作、應(yīng)用優(yōu)先權(quán)分配、靈活的體系結(jié)構(gòu)、多廠商支持等4個關(guān)鍵業(yè)務(wù)領(lǐng)域的需求[5]。策略管理的目的就是以簡化的、自動化的方式，實(shí)現(xiàn)業(yè)務(wù)驅(qū)動的網(wǎng)絡(luò)，幫助降低運(yùn)行成本。因此，基于多元化應(yīng)用需求，在網(wǎng)絡(luò)設(shè)備上安裝、使用策略管理器的解決方案應(yīng)運(yùn)而生。

研究表明，角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對慢，而且委派用戶到角色不需要很多技術(shù)，可以由行政管理人員來執(zhí)行。配置權(quán)限到角色的工作比較復(fù)雜，需要一定的技術(shù)，要由專門的技術(shù)人員來承擔(dān)。不給他們委派用戶的權(quán)限，也與現(xiàn)實(shí)中情況相一致。基于角色的訪問控制方法可以很好地描述角色層次關(guān)系，方便權(quán)限管理，實(shí)現(xiàn)最少權(quán)限原則和職責(zé)分離的原則。

網(wǎng)絡(luò)管理員在策略管理器上定義具體的策略，決定怎樣利用網(wǎng)絡(luò)資源。這些策略由一套規(guī)則構(gòu)成，規(guī)則與業(yè)務(wù)優(yōu)先級有關(guān)，能夠在逐個用戶或分組基礎(chǔ)上設(shè)置所需的服務(wù)水平，以及進(jìn)行封鎖或訪問控制。

2015年11月 第35卷第11期 現(xiàn)?"代?"情?"報(bào) Journal of Modern Information Nov，2015 Vol35 No11

2015年11月 第35卷第11期 基于策略網(wǎng)絡(luò)的圖書館網(wǎng)絡(luò)安全管理方案 Nov，2015 Vol35 No11

12 動態(tài)入侵響應(yīng)

很多圖書館通過在網(wǎng)絡(luò)邊界部署防火墻、企業(yè)級防病毒軟件、對服務(wù)器安裝各種補(bǔ)丁程序等方法來保護(hù)其IT基礎(chǔ)架構(gòu)。但是，這些預(yù)防措施并沒有阻止出現(xiàn)在互聯(lián)網(wǎng)上的蠕蟲和惡意用戶的不斷攻擊。動態(tài)入侵響應(yīng)（DIR）是一種安全網(wǎng)絡(luò)解決方案，它能夠檢測網(wǎng)絡(luò)當(dāng)中的異常行為，然后干預(yù)、隔離異常用戶或故障設(shè)備。動態(tài)入侵響應(yīng)隔離了每一種安全威脅并用列表分類，識別安全威脅來源并自動配置網(wǎng)絡(luò)，降低網(wǎng)絡(luò)威脅產(chǎn)生的損失，從而保護(hù)網(wǎng)絡(luò)免受已知和未知安全威脅的侵害。endprint