陈 雯(福建省图书馆 福州 350001)
摘 要 确保网络安全,是图书馆现代化建设中迫在眉睫的一项重要工作。文章简要论述了影响图书馆网络安全的主要因素,并对确保图书馆网络安全提出几点看法。
关键词 图书馆 网络安全
近年来,伴随着信息技术的飞速发展,信息资源的数字化、参考咨询的虚拟化、服务方
式的网络化已经成为图书馆工作的大势所趋,图书馆工作对网络技术的依赖也越来越大,有
时甚至到了没有网络就无法运转的地步。因此,图书馆的网络安全也急需得到切实保护。网
络环境下,图书馆网站一旦受到黑客攻击、感染病毒,数十万乃至数百万藏书书目信息、流
通信息、馆内自建的数据库等数据丢失或被破坏,带来的损失将是灾难性的。保证网络的安
全高效运行,已成为图书馆现代化建设中的一项重要任务。
所谓网络安全,是指网络上的信息安全,即为数据处理系统的建立以及所采用的技术和
管理所做的安全保护。图书馆网络作为众多网络应用系统的一个重要组成部分,其基本要求
是:要使图书馆网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或恶意的原
因而遭到破坏、更改、泄露,保证图书馆的系统可以连续可靠正常地运行,网络服务不能中
断。
1 产生网络隐患的原因
造成网络不安全的原因很多,既有设备和技术方面的因素,也有管理和人员方面的因素;既有客观条件的不足和限制,也有主观人为的失误和疏忽。仅从图书馆安全威胁的来源来看,可分为来自外部的和来自内部的威胁。
1.1 外部因素
1.1.1 硬件因素。图书馆网络系统在硬件方面是由无数的电子元件组成的,其整体系统的可
靠性依赖于全部部件的可靠性。如网络服务器是整个网络系统安全性的关键,但图书馆自动
化网络的服务器主机品种繁多,使得网络系统安全性存在潜在的隐患。又如计算机中的硬盘
和硬盘驱动器是计算机存储的关键部件,随着存储密度的增加,硬盘极易因振动或冲击而引
起盘头相撞或盘片划伤,从而造成数据丢失的严重后果。此外,网络终端、输入输出设备也
对网络系统安全性有着重要的影响。
1.1.2 软件因素。网络系统的软件因素包括操作平台和应用软件等方面的因素。无论是UNI
X、Linux、Windows NT这些网络操作系统还是Internet Explorer、Outlook等应用软件,都存在着或多或少的先天不足和安全漏洞,容易遭到计算机病毒或人为因素的破坏。就应用软件来说,软件设计水平和容错能力的差异,也会造成安全方面的隐患。另外,图书馆的网络系统中一般都要使用数据库,常用的有SQL、Oracle等。而事实上,一个未打全补丁的数据库系统就是一个隐藏着的定时炸弹,网络上专门针对此的扫描和攻击工具不胜枚举。因此,
数据库安全性能也是系统安全运行的一个重要因素。
1.1.3 病毒破坏。由于图书馆集成管理系统存在一些漏洞,计算机病毒入侵后就会给图书馆
网络系统带来一系列安全问题,如数据丢失、丧失保密性、不能访问以及系统瘫痪等。在盗
版软件、网站网页、电子邮件、不明文件中,往往含有致命的病毒,它们可以多种方式侵入
计算机网络,并不断繁殖,然后扩散到图书馆内部网上的计算机。若系统感染了这些病毒,
有可能在特定的条件下将网络中的馆藏数据吞噬得一干二净。例如2007年1月甘肃某大学图
书馆遭受“熊猫烧香”病毒即“尼姆亚(WormNimaya)”病毒攻击,导致很多上网用户在
浏览图书馆网站时电脑出现异常。该病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在问题,用户的一些软件可能会被其损坏,电脑运行很慢,一般的软件无法运行,尤其是杀毒软件无法运行,任务管理器无法打开。该病毒的入侵使得该大学图书馆网络全面瘫痪,影响了图书馆正常的工作。
1.2 内部因素
网络技术管理人员由于本身技术能力的限制或疏忽等原因,对网络设定存在不当,也会造成网络系统的安全隐患。
操作系统、数据库和大量应用程序的繁杂配置,使得很多管理人员需要花费大量的时间和精力才能全面掌握这些软件,一般人很难将其配置全面,这就给网络安全带来漏洞隐患。如系统管理人员在账号和密码设置过程中,由于密码过于简单,使得非法攻击者容易猜出或破解;密码更新时间太长或根本就不做修改,从而给非在线暴力破解和在线试探破解提供了足够的时间;对系统默认或预留的账号密码,由于疏忽而未修改;系统的所有密码设置完全相同,一旦一个系统被侵入,其他系统也就很快被入侵了。又如权限设置不当:配置了FTP匿名服务器,并允许上传;人员已经调离或更换岗位,原来账号密码权限没有做出相应处理;在完全不必要的情况下,增设了邮件服务器或开放了不应该开放的端口。
2 图书馆网络安全管理的措施和对策
2.1 加强安全技术的研究与应用
2.1.1 安装防火墙。防火墙是一个屏障和关卡,可以对网络流动的信息实施有效管理和控
制,是保证网络安全、避免遭受攻击的有效手段。防火墙是一个形象的提法,它是一组硬件和软件的结合,在外网和内网之间建立起安全口。它执行访问控制策略,保护内网免受外部侵害,其实质遵循的是一组允许或禁止的网络通信安全机制。防火墙实现的主要功能有:过滤网络传输的数据包;管理网络中的访问行为;记录通信的内容和活动;检测和预警网络攻击。就图书馆而言,对每一台链接到因特网上的服务器,应考虑在其入口处安装防火墙。
2.1.2 安装防病毒软件。图书馆应选择一套完善的防毒系统,它不仅包括常见的查、杀病毒
的功能,还应同时包括实时防毒功能,能实时监测、跟踪软件的各种操作,一旦发现病毒立
即报警,只有这样才能最大程度地减少被病毒感染的机会。各工作站最好不要轻易使用来历
不明的各种软盘,如果要用也要先进行病毒扫描后再打开,往往图书馆局域网中的病毒都是
因为工作站用户无意中把病毒带入系统,并在网络中快速自动复制传播造成的。
另外,要随时更新防病毒系统,以确保能在一个新的安全威胁被发现后尽可能短的时间能得到更新和修复,避免因更新不及时而导致不必要的损失。
目前各个厂商的防病毒软件产品都有其不同的特色和侧重点。国际厂商的产品在技术处理方面仍旧保有优势,但其并非完美无缺。例如今年5月18日,赛门铁克公司的诺顿软件错误地将部分微软简体中文版WindowsXP中的2个系统文件检测为后门程序,导致用户电脑不能正常进入操作系统。几乎是在诺顿“误杀”事件的同时,另一国际知名网络安全软件卡巴斯基也被曝连续出现误报事故,先后将WINDOWS、瑞星卡卡和腾讯QQ等软件中的关键文件作为病毒处理。
国内的防病毒软件通常具有运行迅速、资源占用低的特点,查毒能力和杀毒能力也都表现良好,只是在病毒处理方面还有待提高。根据相关调查报告显示,国内三大杀毒软件瑞星、金山和江民杀毒软件获得70%的市场占有率,国产软件仍是国内杀毒市场的主力军。
当然,安装了杀毒软件并不能一劳永逸,我们还应该及时更新系统和杀毒软件。今年新出现的“熊猫烧香”病毒使我国多达千万台计算机遭受严重破坏,这一事件充分证明了防病毒系统及时更新的重要性。我们必须在保证防病毒系统及时更新的前提下引入更多的防御措施,运用综合系统的手段全面防御病毒,保证图书馆网络的安全。
2.1.3 病毒感染后的措施。当计算机系统或文件染有计算机病毒时,需要检测和消除。但是,计算机病毒一旦破坏了没有副本的文件,便无法医治,很多时候被破坏的文件会无法恢复造成不可挽回的损失。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失。
当网络遭受病毒攻击后,网管人员在采用专杀病毒软件的同时还应采用多种预防措施:①立即检查本机administrator组成员口令,改用安全口令即字母数字特殊字符的组合,不让病毒猜到;②利用组策略,关闭所有驱动器的自动播放功能;③修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒;④时刻保持操作系统获得最新的安全更新,不随意访问来源不明的网站,特别是微软的MS06-014漏洞,立即打好该漏洞补丁;⑤启用Windows防火墙保护本地计算机;同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
2.1.4 使用三层交换机,划分VLAN(虚拟局域网)。使用性能优良的三层交换机,能够更
好地实现图书馆的业务管理自动化、信息服务网络化和信息资源数字化,满足核心网络对高密度的接口支持要求,以及满足数字图书馆多媒体应用的需求,实现网络的弹性扩展,做到有效地保护投资。
目前不少图书馆采用二层交换机。由于二层交换技术是在OSI七层网络标准模型中的第二层即数据链路层进行操作的,它按照所接收到数据包的目的物理地址即MAC地址来进行数据转发,对于网络层或者高层协议来说是透明的。它不处理网络层的IP地址,不处理高层协议,诸如TCP、UDP的端口地址。它只需要数据包的MAC地址,数据交换是靠硬件来实现的,其优点是交换速度快,缺点是广播域太大,而且不能处理不同IP子网之间的数据交换。这种网络结构扁平,没有层次化概念,很容易受到网络病毒的攻击。鉴于二层交换机的缺点,目前部分图书馆在安装防病毒系统之外,采用了三层交换机,在网络中划分出VLAN(虚拟局域网)的方法来抵御病毒在网络中的传播。将系统服务器(数据库)划分到独立的核心VLAN(虚拟局域网)中实施重点的监控和保护。将采编、外借、阅览等部门按不同的业务需求,也分别归入到不同的业务VLAN(虚拟局域网)中。对部门的业务VLAN访问核心VLAN的请求,在其网络的边界处,按照其实际业务要求实施不同安全策略,并严格控制各业务VLAN之间的互访。通过这些安全措施的实施,就能够有效地抵御“熊猫烧香”这种通过网络传播的病毒,并将其感染的范围隔离在一个很小的区域内,使其不影响其他的业务网络。
三层交换机的引入以及划分VLAN(虚拟局域网),使得全套设备能够支持端到端的QoS策略,在不牺牲性能的同时,可以有效地阻止曾经出现的各种网络病毒在图书馆内的传播,确保图书馆不再出现因网络病毒传播而导致瘫痪的安全事故。
2.1.5 使用数据备份来保护关键数据。数据备份顾名思义,就是将数据以某种方式加以保存,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程。数据备份的根本目的是重新利用,也就是说,备份工作的核心是恢复,一个无法恢复的备份,对任何系统来说都是毫无意义的。备份工作的意义不仅在于防范意外事件的破坏,而且还是历史数据保存归档的最佳方式。换言之,即便系统正常工作,没有任何数据丢失或破坏发生,备份工作仍然具有非常大的意义——为我们进行历史数据查询、统计和分析以及重要信息归档保存提供了可能。在图书馆这样一个开放的网络环境中,为了确保重要数据不被破坏,最好的办法就是进行数据备份。
定期备份业务主机的数据对数据库管理员也是一种良好的习惯。在系统备份上,除了采用双机备份外,也可通过FTP等文件传输程序,把整个图书馆自动化管理系统(ILAS系统)或重要数据备份到其他安全可靠的计算机硬盘上。其中最好的方法是建立一个数据异地备份中心,进行实时的备份。当故障出现后,要做的就是尽快地恢复系统的运行,确保数据的安全,为读者提供正常的服务,而做到这一点的前提就是数据备份。例如福建省图书馆每个星期都将自动化管理系统和重要数据备份到磁带机上,应用这种冷备份来确保馆内数据的安全。
2.2 加强内部管理
2.2.1 加强图书馆员的学习和培训。队伍建设是图书馆网络安全的有力保证。通过安全教育、技术培训和学习,能够在很大程度上降低图书馆网络安全隐患。应针对图书馆人员网络安全意识淡薄、技术知识欠缺、认识偏差模糊等特点进行宣传教育,可以灵活地采用集训、轮训、参观等多种方式,加强人员的培训和学习,培养出一批骨干人才。例如2006年4月中旬青岛市委党校图书馆与上海市委党校图书馆进行馆员互访学习培训,其中就包括图书馆网络知识等内容。通过馆员互访学习培训,进行彼此之间工作实践交流,相互学习,取长补短,提高馆员队伍的思想和业务素质,促进数字图书馆的队伍建设和事业发展。
2.2.2 实行管理责任制。图书馆的网络安全管理应与岗位责任制挂钩,有一些安全目标和工作可以细化、量化,责任到人,严格考评,赏罚分明。在相关的图书馆评估体系中可适当加入网络安全的评估指标,以使各馆能更加重视,加大投入。还应加强图书馆行业之间的交流与合作,制订行业范围内的网络安全规范,指导全局工作。有条件的大馆可以设立网络安全服务中心,在本馆乃至更大范围内提供网络安全评估、管理、监控、保护、应急和培训等服务。
网络安全技术发展到今天,已经有成熟的方案对付来自各方面的安全威胁。单纯从技术上而言,网络安全由网络设备的软件和硬件互相配合来实现。对图书馆来说,网络安全是一项技术含量高的复杂综合工程,需要全方位的防护。无论是现在或将来,图书馆对网络系统的安全都要居安思危,防微杜渐,切不可掉以轻心。当然,我们也大可不必草木皆兵,把网络安全管理视为畏途。网络安全的问题是不可能一蹴而就的,美国计算机软件专家柯思说:“我们甚至有理由怀疑,绝对可靠的防范措施可能永远找不到”。所以,我们能做的就是使网络安全得到最大限度的保护,把各种不安全因素控制在最小范围之内,保障图书馆网络系统的安全运行。由于网络安全的建设并不是一劳永逸的事情,图书馆还应随着技术的发展,不断完善和发展自己的网络,免受网络漏洞的威胁侵害。
参考文献
1 杨应全.如何保证图书馆Web服务的安全性[J].科技文献信息管理,2004(1).
2 梁红,张凤斌.图书馆网络安全的实现[J].图书馆建设,2003(5).
3 黄长伟.浅谈高校图书馆的网络安全[J].现代情报,2003(10).
4 姜雷.图书馆计算机网络的安全管理[J].科技情报开发与经济,2003(12).
5 图书馆泛滥的熊猫烧香病毒[EB/OL].http://sos.gsau.edu.cn/html/ yiqingt
onggao/xiaoyuanwang/gshow_2007/0104/1558.html,2007-01-14.
6 青岛市委党校图书馆、上海市委党校图书馆馆员互访学习培训[EB/OL]. http:
//www.qddx.gov.cn/n435777/n435779/n435810/4608.html,2006-04-28.
7 陆俊.洋品牌杀毒软件陷“误杀门”[EB/OL].http://tech.tom.com/2007-05-2
9 /04B9/32550118.html, 2007-05-29.
陈 雯 女,福建省图书馆助理馆员。
(收稿日期:2007- 07-04 。龚永年编发。)