數(shù)字圖書館系統(tǒng)中基于網(wǎng)絡(luò)層的安全技術(shù)研究

摘 要：現(xiàn)今，隨著網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)的飛速發(fā)展，圖書館的工作和閱覽方式也發(fā)生了翻天覆地的變化，取代傳統(tǒng)圖書館，數(shù)字圖書館為人們帶來更加便利、高效、生動(dòng)的用戶體驗(yàn)，進(jìn)入千家萬戶的工作和生活中。然后，由于網(wǎng)絡(luò)和計(jì)算機(jī)的不安全性，讓黑客以可乘之機(jī)，數(shù)字圖書館的信息安全性成為急需解決的難題。本文從數(shù)字圖書館的信息安全需求入手，著重研究基于網(wǎng)絡(luò)層的信息安全技術(shù)。

關(guān)鍵詞：數(shù)字圖書館；網(wǎng)絡(luò)層；安全技術(shù)

1 數(shù)字圖書館的信息安全需求

數(shù)字圖書館信息系統(tǒng)，是指由計(jì)算機(jī)及配套設(shè)備構(gòu)成的，按照數(shù)字圖書館的建設(shè)目標(biāo)對(duì)信息進(jìn)行輸入、編輯、儲(chǔ)存、傳輸、共享、檢索等處理的系統(tǒng)，是圖書館員操作管理數(shù)字圖書資源和向用戶提供信息服務(wù)的雙重平臺(tái)。

數(shù)字圖書館的信息安全需求是全方位的，這就要求相應(yīng)的安全體系也是分層次的，在不同層次反映了不同的安全需求。根據(jù)數(shù)字圖書館信息系統(tǒng)的應(yīng)用現(xiàn)狀和系統(tǒng)結(jié)構(gòu)，可將其安全體系的層次劃分為五層：物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全、管理層安全。[ 1 ]

本論文主要研究網(wǎng)絡(luò)層的安全技術(shù)，按照安全技術(shù)的防護(hù)程度分為防火墻、數(shù)據(jù)加密、入侵檢測、身份認(rèn)證和訪問控制五種。

2 防火墻

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，對(duì)通過防火墻的數(shù)據(jù)信息進(jìn)行監(jiān)測、限制，甚至更改，讓外部網(wǎng)絡(luò)不能窺見內(nèi)部網(wǎng)絡(luò)運(yùn)行情況和數(shù)據(jù)信息，從而保護(hù)內(nèi)部網(wǎng)的安全性。

防火墻一般分為三類：

2.1 軟件防火墻

軟件防火墻將軟件安裝在需要保護(hù)的主機(jī)上，通過純軟件來保護(hù)內(nèi)部網(wǎng)絡(luò)，占用CPU資源，影響運(yùn)行速度，安全性不如硬件防火墻。

2.2 硬件防火墻

硬件防火墻在專用硬件設(shè)備上安裝專用防火墻軟件，硬件和軟件結(jié)合，具有較強(qiáng)抗攻擊能力。

2.3 芯片防火墻

芯片防火墻利用專有的芯片，比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高，專用操作系統(tǒng)使它們漏洞較少，不過價(jià)格相對(duì)昂貴。

3 數(shù)據(jù)加密

數(shù)據(jù)加密是對(duì)信息按加密算法進(jìn)行處理，以一段不可讀的信息偽裝真實(shí)的信息，真實(shí)信息只有密鑰解密后才能顯示。

加密算法一般分為三類：

1）單向散列函數(shù)，單向散列函數(shù)一般用于數(shù)字簽名、文件完整性驗(yàn)證和口令加密等，常見的有RSA數(shù)據(jù)安全公司開發(fā)的MD5算法、美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)提出的SHA算法等。

2）“對(duì)稱密鑰”加密體制具有加解密速度快、安全性高的優(yōu)點(diǎn)，比較著名的常規(guī)加密算法有：DES、3DES、AES等。

3）“非對(duì)稱密鑰” 加密體制速度慢，安全性能稍低，常被用于對(duì)少量關(guān)鍵數(shù)據(jù)進(jìn)行加密，或者用于數(shù)字簽名領(lǐng)域，一般不用于對(duì)大量數(shù)據(jù)的加密，常用的“非對(duì)稱密鑰”加密算法有RSA、DSS等。[ 2 ]

4 入侵檢測

隨著網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)、通信技術(shù)的高速發(fā)展，黑客的攻擊工具和手段層出不窮、復(fù)雜多樣，許多對(duì)網(wǎng)絡(luò)安全性能要求更高的部門，比如銀行、商務(wù)機(jī)構(gòu)、國家機(jī)關(guān)等已經(jīng)不滿足于單純的防火墻策略，于是，入侵檢測系統(tǒng)成為了安全市場上新的研究熱點(diǎn)。

入侵檢測技術(shù)（IDS）能對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)測，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出預(yù)警，甚至采取主動(dòng)保護(hù)措施。與其他網(wǎng)絡(luò)安全設(shè)備比較而言，它的出眾之處在于是一種積極主動(dòng)的安全防護(hù)技術(shù)。現(xiàn)今比較出名入侵檢測系統(tǒng)包括Snort、OSSEC HIDS、BASE、Sguil。

5 身份認(rèn)證

身份認(rèn)證是核實(shí)操作者身份是否具有合法訪問權(quán)限的一種安全技術(shù)。常用身份認(rèn)證技術(shù)：

5.1 用戶名/密碼

用戶名/密碼在日常生活中最常見。只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。

5.2 IC卡認(rèn)證

IC卡是一種存有用戶身份信息的內(nèi)置集成電路芯片，是不可復(fù)制的。用戶要驗(yàn)證其身份，需要把IC卡插入對(duì)應(yīng)讀卡器。

5.3 動(dòng)態(tài)口令

動(dòng)態(tài)口令是根據(jù)專門的算法生成一個(gè)不可預(yù)測的隨機(jī)數(shù)字組合，每個(gè)密碼只能使用一次。用戶使用時(shí)只需要將本次密碼輸入，即可實(shí)現(xiàn)身份認(rèn)證。

5.4 生物特征認(rèn)證

生物特征認(rèn)證技術(shù)是通過人的生物特征來驗(yàn)證個(gè)人身份的技術(shù)，不同的人具有不同的物理特征，如不同的指紋、不同的虹膜等等，因此幾乎不可能被仿冒。

6 訪問控制

訪問控制技術(shù)起源于70年代，當(dāng)時(shí)是為了滿足管理大型主機(jī)系統(tǒng)上共享數(shù)據(jù)授權(quán)訪問的需要，現(xiàn)在該技術(shù)已作為保證網(wǎng)絡(luò)安全最重要的核心策略之一，迅速應(yīng)用于信息安全保護(hù)的各個(gè)領(lǐng)域。

在30年的發(fā)展過程中，先后出現(xiàn)了多種重要的訪問控制技術(shù)，如自主訪問控制DAC（Discre-tionary Access Control），強(qiáng)制訪問控制MAC（Mandatory Access Control）和基于角色的訪問控制RBAC（Role-Based Access Control），它們的基本目標(biāo)都是為了防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。為了達(dá)到這個(gè)目標(biāo)，訪問控制常以用戶身份認(rèn)證為前提，在此基礎(chǔ)上實(shí)施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為。

本文從數(shù)字圖書館信息安全需求入手，介紹了基于網(wǎng)絡(luò)層的五種常用安全策略，以期為數(shù)字圖書館建設(shè)者提供有益參考。

參考文獻(xiàn)：

[1] 何晶.數(shù)字圖書館系統(tǒng)中五層安全技術(shù)的應(yīng)用[J].遼寧：蘭臺(tái)世界，2013.

[2] 姚磊.計(jì)算機(jī)網(wǎng)絡(luò)安全中數(shù)據(jù)加密技術(shù)的運(yùn)用研究[J].數(shù)字技術(shù)與應(yīng)用，2013，01.

作者簡介：何晶（1982-），女，漢族，重慶人，畢業(yè)于重慶大學(xué)，碩士，副教授，研究方向：多媒體技術(shù)、數(shù)字圖書館。