民族圖書館網(wǎng)絡(luò)安全淺析

（貴州民族文化宮，貴州 貴陽 550001）

當(dāng)今社會，信息時(shí)代的來臨，改變了我們的學(xué)習(xí)、生活、工作習(xí)慣，也改變了我們的閱讀習(xí)慣。信息時(shí)代同樣給圖書館帶來了不小的沖擊和改變，圖書館也逐步走向數(shù)字化圖書的閱讀方式，人們用電腦閱讀、平板閱讀、手機(jī)閱讀已經(jīng)成為習(xí)慣。民族圖書館與公共圖書館側(cè)重點(diǎn)有些許不一樣，公共圖書館的建設(shè)特點(diǎn)是以館藏量大、資源種類豐富且齊全為目的，但是民族圖書館的建設(shè)則更側(cè)重于民族文獻(xiàn)資源的保存與古籍文獻(xiàn)的收藏。許多珍貴的民族古籍文獻(xiàn)資料在自然環(huán)境中不利于保存，及時(shí)通過恒溫恒濕等科技手段存放，也不利于觀眾與讀者翻看與研究。因此，只有通過數(shù)字化這些珍貴的古籍文獻(xiàn)資料，將它們變成電子資源保存，才是最好的還原和展示古籍文獻(xiàn)資料的方法和手段。數(shù)字化之后的電子資源保存于館內(nèi)服務(wù)器與存儲設(shè)備中，通過內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)到終端觸摸屏向館內(nèi)的讀者展示或者通過網(wǎng)站發(fā)布到互聯(lián)網(wǎng)向全世界展示。那么我們?nèi)绾蝸肀ＷC我們的電子資源在互聯(lián)網(wǎng)上的安全性，這是我們所要探究的問題。

一、民族圖書館數(shù)字資源的重要性

圖書館開始數(shù)字化發(fā)展以來，資源眾多，種類豐富，各種電子圖書閱讀軟件，各種音視頻圖片資料幾乎都能在互聯(lián)網(wǎng)上搜索到，但是某些特定的數(shù)字資源圖書館是不對互聯(lián)網(wǎng)開放的，比如說民族圖書館的數(shù)字資源就有很多內(nèi)容未對互聯(lián)網(wǎng)開放。古籍文獻(xiàn)、少數(shù)民族語言文字以及音頻視頻等這些重要資源是民族圖書館的重要館藏，這些資源如果要在互聯(lián)網(wǎng)上展示一般都會通過民族圖書館自己的門戶網(wǎng)站向世界展示。但通常情況下民族圖書館不會將這些資源放到自己的門戶網(wǎng)站，原因一般是擔(dān)心資源被竊取、復(fù)制或者資源服務(wù)器被攻擊導(dǎo)致數(shù)據(jù)被破壞。因此保證民族圖書館網(wǎng)絡(luò)的安全性就顯得尤為重要。

二、網(wǎng)絡(luò)安全的重要因素與防護(hù)方法

網(wǎng)絡(luò)的安全性由幾個(gè)重要因素決定，第一是外網(wǎng)對內(nèi)網(wǎng)的威脅需要完善的保護(hù)措施，二是制定安全策略，三是內(nèi)網(wǎng)自身存在的安全隱患需要消除并且防護(hù)病毒入侵，四是完善網(wǎng)絡(luò)安全規(guī)章制度、加強(qiáng)網(wǎng)絡(luò)安全管理。做好這幾點(diǎn)，網(wǎng)絡(luò)相對就會安全很多，我們的數(shù)字資源也能得到很好的保護(hù)。以下圖例是某民族圖書館規(guī)劃得相對較完善的網(wǎng)絡(luò)TOP結(jié)構(gòu)圖，筆者以此圖為例對網(wǎng)絡(luò)安全的這四個(gè)方面進(jìn)行論述。

1.完善網(wǎng)絡(luò)安全設(shè)施、防御內(nèi)、外網(wǎng)的安全

民族圖書館的古籍文獻(xiàn)數(shù)字資源、網(wǎng)站資源等都保存在服務(wù)器與磁盤存儲上，要保護(hù)我們這些存儲設(shè)備不被攻擊入侵，就必須了解當(dāng)今常見的網(wǎng)絡(luò)威脅手段。常見來自外網(wǎng)對服務(wù)器的威脅有Ddos攻擊、勒索病毒、ARP入侵、SQL注入攻擊等，這些攻擊輕則干擾我們的系統(tǒng)正常運(yùn)行，重則可以讓我們丟失數(shù)據(jù)、系統(tǒng)癱瘓。魔高一尺，道高一丈，防護(hù)這些攻擊與病毒的方法也很多。首先，我們要完善我們的網(wǎng)絡(luò)安全設(shè)施，在外網(wǎng)出口增加防護(hù)硬件。其次，在數(shù)據(jù)中心增加防火墻用于保護(hù)服務(wù)器安全。最后，重要的關(guān)鍵性設(shè)備最好做到雙機(jī)備份。

網(wǎng)絡(luò)TOP圖例

圖例中，服務(wù)商網(wǎng)絡(luò)雙線接入了圖書館的出口路由器，通過上網(wǎng)行為管理、入侵防御、WEB應(yīng)用防火墻以及出口防火墻的串聯(lián)進(jìn)入內(nèi)網(wǎng)。我們可以看到，圖中外網(wǎng)出口到內(nèi)網(wǎng)的防御設(shè)備還是很周全的，防火墻可以阻止外部非法用戶對網(wǎng)絡(luò)中的主機(jī)進(jìn)行攻擊，是一種被動(dòng)防御體系，它可以防止不可預(yù)測的、潛在的破壞性威脅入侵。入侵檢測系統(tǒng)可以通過計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵點(diǎn)收集信息并分析其中是否有違反安全策略的行為，是一種主動(dòng)搜索潛在威脅的設(shè)備。WAF防火墻是針對HTTP或者HTTPS協(xié)議等應(yīng)用層數(shù)據(jù)進(jìn)行防護(hù)的設(shè)備，主要用來保護(hù)架設(shè)在數(shù)據(jù)中心的WEB服務(wù)器不受攻擊，并且保護(hù)網(wǎng)站不被非法篡改。而網(wǎng)絡(luò)行為管理設(shè)備是監(jiān)控內(nèi)網(wǎng)用戶在訪問互聯(lián)網(wǎng)時(shí)所有的上網(wǎng)行為操作并進(jìn)行記錄。四臺設(shè)備保護(hù)了外網(wǎng)到內(nèi)網(wǎng)的用戶安全。

根據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)2.0的要求，我們內(nèi)部網(wǎng)絡(luò)中還需要添加堡壘主機(jī)和日志審計(jì)系統(tǒng)，堡壘主機(jī)綜合了核心系統(tǒng)運(yùn)維和安全升級管控兩大功能，能夠攔截非法的訪問和惡意攻擊，也可以對工作人員的誤操作進(jìn)行記錄，以便事后追究責(zé)任。日志審計(jì)主要是完成對網(wǎng)絡(luò)中設(shè)備、網(wǎng)絡(luò)運(yùn)行狀態(tài)的日志監(jiān)控、采集、存儲、分析等工作，一旦出現(xiàn)問題首先查詢?nèi)罩拘畔?，對網(wǎng)絡(luò)情況一目了然。

當(dāng)外網(wǎng)出口的防護(hù)做好后，還需要防護(hù)內(nèi)網(wǎng)用戶對數(shù)據(jù)中心的攻擊。數(shù)據(jù)中心服務(wù)器并不能保證內(nèi)網(wǎng)用戶是否有潛在的安全威脅，是否會有非法用戶攻擊服務(wù)器，所以在數(shù)據(jù)中心入口處架設(shè)了兩臺邊界防火墻做到雙機(jī)熱備，其中一臺如果癱瘓或出現(xiàn)故障，另一臺馬上啟用，核心交換機(jī)和數(shù)據(jù)中心交換機(jī)也是為了避免故障同樣采用雙機(jī)熱備。這樣一來外網(wǎng)黑客想要攻擊我們的數(shù)字資源就必須通過外網(wǎng)防火墻、數(shù)據(jù)中心邊界防火墻和堡壘主機(jī)，困難大大增加。內(nèi)網(wǎng)用戶如果想要攻擊服務(wù)器資源，服務(wù)器也同樣受到數(shù)據(jù)中心防火墻和堡壘機(jī)的防護(hù)。

2.制定網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全除了需要安全設(shè)備的部署以外，管理人員還需要對這些設(shè)備的網(wǎng)絡(luò)安全策略進(jìn)行制定，才能實(shí)現(xiàn)他們應(yīng)有的功能。我們可以在交換機(jī)上劃分VLAN，把相同用途的終端設(shè)備或是辦公區(qū)域劃分到同一個(gè)VLAN里，例如根據(jù)樓層劃分或者根據(jù)圖書館的部門劃分，建議服務(wù)器區(qū)域劃分在同一個(gè)VLAN中方便管理。不同VLAN之間也可以通過ACL（訪問控制列表）進(jìn)行控制，決定哪幾個(gè)VLAN可以互相訪問或是能否通過防火墻訪問互聯(lián)網(wǎng)。防火墻也必須做安全策略，例如禁用135、137、138和445的勒索病毒相關(guān)端口，或是采用白名單方式，只有需要的端口才可以放行。服務(wù)器區(qū)域可以把需要訪問互聯(lián)網(wǎng)的服務(wù)器和不需要訪問互聯(lián)網(wǎng)的服務(wù)器分開，以便于在防火墻上做安全策略。

無線網(wǎng)絡(luò)的安全也是不可忽略的，圖中的無線網(wǎng)絡(luò)是直接接入核心交換機(jī)的，民族圖書館的讀者進(jìn)入館內(nèi)是可以通過無線終端連接進(jìn)我們的網(wǎng)絡(luò)，這樣我們就需要對連入的這些終端設(shè)備進(jìn)行認(rèn)證，認(rèn)證方式也多種多樣，一般可以通過手機(jī)短信認(rèn)證登錄網(wǎng)絡(luò)訪問內(nèi)部資源，再通過行為管理記錄下登錄后訪問了哪些資源，開過哪些網(wǎng)頁等，一旦出現(xiàn)非法行為，可以把記錄下的所有信息移交給公安機(jī)關(guān)作為證據(jù)。

3.預(yù)防內(nèi)網(wǎng)安全威脅，防范病毒入侵

除了防御外網(wǎng)非法用戶對我們的攻擊以外，我們還要注意內(nèi)網(wǎng)用戶對網(wǎng)絡(luò)和數(shù)據(jù)中心構(gòu)成的不安全因素。比如我們內(nèi)網(wǎng)中的辦公電腦是否插入了帶有病毒的U盤和移動(dòng)硬盤，服務(wù)器和終端電腦是否安裝了正版的操作系統(tǒng)和應(yīng)用軟件，我們的操作系統(tǒng)是否定期升級補(bǔ)丁和修復(fù)漏洞，服務(wù)器和終端上是否安裝了殺毒軟件等等。世界上的計(jì)算機(jī)病毒達(dá)到1000多種，很多病毒進(jìn)入內(nèi)網(wǎng)后會在整個(gè)網(wǎng)絡(luò)中傳播，或是潛伏在某些程序中等待不知道的用戶激活它，這些病毒難以發(fā)現(xiàn)也難以清除，我們在使用U盤等介質(zhì)進(jìn)入內(nèi)網(wǎng)時(shí)需要嚴(yán)格使用防毒軟件進(jìn)行查殺后再使用。操作系統(tǒng)需要定期升級更新補(bǔ)丁，尤其是微軟的Windows server服務(wù)器系統(tǒng)一向以Bug和Patch多著稱，如果Web服務(wù)器架設(shè)在windows系統(tǒng)中尤其要注意。如圖網(wǎng)絡(luò)中需要增加防病毒服務(wù)器，讓所有終端電腦和其他服務(wù)器上的殺毒軟件客戶端通過服務(wù)器來更新病毒特征庫，以保證安全。

4.制定網(wǎng)絡(luò)安全規(guī)范

圖書館的信息中心需要建立完善的安全防范制度與安全操作規(guī)范，避免誤操作而造成網(wǎng)絡(luò)安全與數(shù)據(jù)丟失的嚴(yán)重后果。首先要做到重要數(shù)據(jù)定期備份，避免因天災(zāi)、斷電、設(shè)備損壞等因素造成的數(shù)據(jù)丟失。第二，定期查看防火墻日志信息，保證防火墻反病毒特征庫與入侵防御特征庫都是最新的版本。定期查看堡壘機(jī)、日志審計(jì)系統(tǒng)、網(wǎng)絡(luò)行為管理設(shè)備對網(wǎng)絡(luò)的監(jiān)測情況。第三，建立用戶權(quán)限制度，例如圖書管理系統(tǒng)的采編、入庫，WEB網(wǎng)站中欄目與文章的資料添加，都要根據(jù)工作范圍或負(fù)責(zé)欄目版塊的不同而分給不一樣的工作權(quán)限，只有相應(yīng)工作權(quán)限才能對負(fù)責(zé)的欄目版塊進(jìn)行操作。四、定期修改這些關(guān)鍵系統(tǒng)的登錄用戶名和密碼，預(yù)防密碼被盜取。五、應(yīng)建立機(jī)房管理制度，工作人員需每天定時(shí)對機(jī)房進(jìn)行巡查，機(jī)房必須具備防火、防雷、防靜電、防塵等措施，必須安裝精密空調(diào)做到恒溫恒濕，安裝UPS電源保障在短時(shí)間斷電的情況下同樣有電源提供給設(shè)備正常運(yùn)行，必要時(shí)還需要備有柴油發(fā)電機(jī)，這樣才能為設(shè)備24小時(shí)不間斷運(yùn)行做好保障。

三、學(xué)習(xí)網(wǎng)絡(luò)安全知識，增強(qiáng)網(wǎng)絡(luò)安全意識

在民族圖書館中，網(wǎng)絡(luò)安全不能只靠網(wǎng)絡(luò)管理員、機(jī)房操作員來維護(hù)，所有的工作人員都應(yīng)該定期學(xué)習(xí)網(wǎng)絡(luò)安全知識，提高網(wǎng)絡(luò)安全意識，當(dāng)我們在遇到網(wǎng)絡(luò)安全隱患時(shí)，我們才知道如何去應(yīng)對。比如我們需要知道如何預(yù)防點(diǎn)擊到釣魚網(wǎng)站、病毒網(wǎng)站，需要知道病毒入侵后如何用殺毒軟件查殺，哪些電腦是涉密電腦不能連接互聯(lián)網(wǎng)也不能插入外部存儲介質(zhì)，還需要知道單位的網(wǎng)絡(luò)不能私自搭建小路由器、小交換機(jī)，因?yàn)檫@樣輕則會將原本網(wǎng)絡(luò)中的DHCP地址分配搞亂，使IP地址沖突，重則會引起網(wǎng)絡(luò)環(huán)路造成廣播風(fēng)暴。很多人電腦一旦出現(xiàn)任何問題就呼叫網(wǎng)絡(luò)管理員，結(jié)果經(jīng)常是最基本的電源線沒插或者網(wǎng)線沒有接這樣的低級問題，所以學(xué)習(xí)網(wǎng)絡(luò)安全知識提高網(wǎng)絡(luò)安全意識就會減少很多安全隱患，同時(shí)也會降低網(wǎng)絡(luò)管理人員的工作量，這樣我們網(wǎng)絡(luò)環(huán)境也才能更加健康安全。

結(jié)語

民族圖書館是少數(shù)民族文獻(xiàn)與民族音視頻、圖片等資源存儲與保護(hù)的重要機(jī)構(gòu)，很多民族古籍文獻(xiàn)因保存不善早已泛黃，通過技術(shù)手段將這些珍貴文物變?yōu)殡娮淤Y源保存和展示是當(dāng)今民族圖書館最重要的工作，要長久的保護(hù)這些電子資源就需要我們的網(wǎng)絡(luò)穩(wěn)定并且安全，這并不是一個(gè)或兩個(gè)網(wǎng)絡(luò)管理員就能做到的。首先單位每年必須有足夠的設(shè)備運(yùn)行維護(hù)經(jīng)費(fèi)用于防火墻、行為管理、網(wǎng)站等軟硬件設(shè)備的維護(hù)升級，還要有足夠的技術(shù)維護(hù)人員共同協(xié)調(diào)維護(hù)以及全體民族圖書館的工作人員配合才能完成。數(shù)據(jù)中心管理人員需要定期培訓(xùn)和學(xué)習(xí)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)意識形態(tài)相關(guān)內(nèi)容知識，也需要定期走訪大型圖書館，借鑒他們的維護(hù)經(jīng)驗(yàn)取長補(bǔ)短，攜手共同打造和保護(hù)好我們的民族文化資源。