数字图书馆网络安全技术的研究

摘要：为了提高数字图书馆的网络安全性能，在对数字图书馆网络进行了风险分析的基础上，重点研究了数字图书馆网络安全的解决策略，包括VLAN划分、防火墙及入侵检测系统的部署等，对数字图书馆的网络安全建设具有现实的指导和参考意义。

关键词：数字图书馆；网络安全；防火墙

中图分类号：G250.7文献标识码：A文章编号：1009-3044(2009)04-0814-02

The Research of Digital Library Network Security Technology

XIE Wei, ZHANG Chun-hong

(Chengdu University of Technology Library and Information Technology Department,Chengdu 610059,China)

Abstract: In order to improve the digital library network security performance, the text of the Digital Library Network conducted a risk analysis on the basis of the focus on the digital library network security solutions, including the division of VLAN, firewall and intrusion detection systems, such as the deployment of digital Library network security building practical guidance and reference value.

Key words: digital library; network security; firewall

1 引言

90年代以来，西方发达国家的图书馆正朝着网络化、电子化和数字化的方向发展。借助于网络通信和高新技术的发展，图书馆的发展取得了巨大的进步，电子化信息的检索与提供，己成为越来越普遍的服务方式，以至出现了“数字图书馆”的概念，并正在逐步成为现实[1]。但同时随着网络的不断延伸, 计算机病毒的泛滥、黑客的恶意等攻击已构成对数字图书馆网络安全的影响,加强数字图书馆网络的安全与防范工作刻不容缓。

2 数字图书馆网络安全风险分析

2.1 网络层的安全风险分析

首先，网络中的用户众多，上网人员复杂，在数据传输线路之间存在被窃听和篡改的威胁，数字图书馆网络内部也存在着内部攻击行为，其中包括登录通行字和一些敏感信息，可能被侵袭者搭线窃取和篡改，造成泄密。这种形式的“攻击”是相对比较容易成功的，只要使用现在可以很容易得到的“包检测”软件即可[2]。

其次，数字图书馆要与内部各单位交换业务信息数据，或者向外提供一些网络服务，必须开放一些服务端口和访问权限。而在进行这些正常的数据交换时，帐号信息可能被中间者嗅探、破解，造成安全威胁。

2.2 应用层安全风险分析

针对数字图书馆网络的应用层，主要存在以下漏洞和风险：

1） DNS服务漏洞

DNS域名服务为数字图书馆网络应用提供了极大的灵活性。几乎所有的数字图书馆网络应用均采用域名服务。但是，域名服务通常为黑客提供了入侵网络的有用信息，如服务器的IP,操作系统信息、推导出可能的网络结构等。

同时，类似BIND-DNS缓冲溢出的安全问题已被发现，绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系[3]。

2） 病毒侵害

“冲击波”蠕虫病毒以强劲的冲击，造成了巨大的恐慌。可见，数字图书馆网络是病毒传播的最好、最快的途径之一。病毒程序可以从网上下载、使用盗版光盘、人为投放等方式影响数字图书馆内网。网络中一旦有主机感染病毒，则病毒程序完全可能在极短的时间被迅速扩散，传播到数字图书馆网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。

3 数字图书馆网络安全解决策略

3.1 VLAN的划分

数字图书馆采用的VLAN划分是以端口为中心，与节点相连的端口将确定它所驻留的VLAN。先在VTP Server上建立VLAN，然后将每个端口分配给相应的VLAN。

1） 设置VTP DOMAIN

交换VTP更新信息的所有交换机必须配置为相同的管理域，由于数字图书馆所有的交换机都以中继线相连，那么只要在中心交换机上设置一下管理域，网络上所有的交换机都加入该域，这样管理域所有的交换机就能够了解彼此地的VLAN列表。配置示例如下：

Core-XS-7609# vlan database

Core-XS-7609(vlan)# vtp domain m_vlan

Core-XS-7609(vlan)# vtp server

5516-1# vlan database

5516-1(vlan)# vtp domain m_vlan

5516-1(vlan)# vtp client

这里设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN以及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能存储VLAN配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。

2） 配置中继

为了保证数字图书馆管理域能够覆盖所有的分支交换机，必须配置中继trunk，中继是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置封装，即可跨越交换机进行整个数字图书馆网络的VLAN划分及配置。

3） 创建VLAN

一旦建立了数字图书馆管理域，就可以创建VLAN了。如：Core-XS-7609(Vlan)# Vlan 33 name lib，这里创建了一个编号为33名字的lib的VLAN，这个VLAN是分给图书馆的。这里的VLAN是在中心交换机上建立的，其实，只要在数字图书馆管理域中的任何一个VTP属性为Server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。但是如果要将交换机的端口划入某个VLAN，就必须在该端口所属的交换机上进行设置。

4） 将交换机端划入VLAN

Core-XS-7609(config)# interface GigabitEthernet 2/2

Core-XS-7609(config-if)# switchport access vlan 33

VLAN的划分可以隔离广播风暴，同时可以采用访问控制列表来对每个VLAN进行控制，这在很大程度上保证了数字图书馆网的安全。

3.2 防火墙的部署

数字图书馆与外网之间建立一道牢固的安全屏障。内网口连接数字图书馆内网交换机，外网口通过路由器与Internet连接。这样，通过Internet进来的外网用户只能访问数字图书馆对外公开的一些服务，既保护数字图书馆内网资源不被外部非授权用户非法访问或破坏，也可以阻止数字图书馆内部对外部不良资源的使用。

当一个源IP地址在规定的时间间隔内将含有TCP-SYN片段的IP封包发送给位于数字图书馆内网相同目标IP的10个不同端口时，即进行了一次端口扫描。目的是扫描可用的服务，是否会有一个端口响应，从而识别目标的服务。要实现封锁在特定的安全区内始发的端口扫描，防火墙配置如下所述：

WebUI

Screening > Screen (Zone:选择区段名称)；输入以下内容，Apply

PortScan Protection: (选择)

Threshold :(输入触发端口扫描保护的值2)

CLI

set zone zone screen port C scan threshold number

set zone zone screen port - scan

每个攻击者的攻击都会有端口扫描这个步骤，防火墙的基本功能一定要有端口扫描功能。

3.3 入侵检测系统的部署

入侵检测系统和防火墙共同构建数字图书馆网络安全防护体系有多种组合方法，用户可以根据需要进行选择。入侵检测机制能够对数字图书馆网络系统各主要运营环节进行实时入侵检测，以便能够及时发现或识别攻击者的企图或系统资源被误用、滥用的行为。当实时入侵检测系统发现异常时，网络系统及时做出适当的响应，通知数字图书馆网络管理员、通知被害主机。当有入侵行为时，主动通知防火墙阻断攻击源[4]。如图1所示。

入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获数字图书馆内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关的事件，作为管理员事后分析的依据。如果情况严重，入侵检测系统可以与防火墙联动，自动配置防火墙策略，配合防火墙系统使用，可以全面保障数字图书馆的网络安全，组成完整的数字图书馆网络安全解决方案。

4 小结

总之，数字图书馆建设是以统一的标准和规范为基础，以数字化的各种信息为底层，以分布式海量资源库群为支撑，以智能检索技术为手段，为用户提供丰富多彩的多媒体信息。但是，数字图书馆建立带来便利的同时，也带来了新的网络安全问题，并且这个问题现在显得越来越紧迫。并且随着各种软件安全漏洞的不断增加，黑客技术不断提高，更加迫切要求数字图书馆网络应用系统具有更高的安全防范体系。

参考文献：

[1] 张馨.数字图书馆建设中的网络安全[J].现代电子技术,2006,(02):14-16.

[2] 杨发毅,李明,刘锦秀. 网络环境下数字图书馆的网络安全及安全体系的构建[J].中华医学图书情报杂志,2005,(05):34-36.

[3] 赵聪锐.数字图书馆的网络安全与防范对策[J].科技情报开发与经济,2007,(13):66-68.

[4] 宛哲芳.图书馆网络安全浅析[J].科技资讯,2008,(27):31-35.