网络环境下军队院校图书馆服务器系统安全探析
摘 要 在分析网络安全体系结构和功能的基础上,通过分析网络安全隐患,对军校图书馆服务器系统中的网络安全问题提出一些可行的建议和方法。
关键词 军队院校;服务器系统;网络安全
中图分类号 G25 文献标识码 A 文章编号 1673-9671-(2010)112-0023-02
随着军训网基础设施建设的不断完善,以军网网络为依托,以资源信息化为主要目标的军队院校图书馆建设也是日新月异。越来越多的人员可以利用到军校图书馆资源,这就对图书馆军网信息的安全保密工作提出了更高的要求。同时数字化信息有共享和易于扩散等特性,在处理、存储、传输和使用上十分脆弱,容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。在这些情形下如何保证图书馆服务器系统的运行、安全、可靠是每个图书馆信息管理员的关注所在。本文中以时下在各军队院校图书馆服务器中应用最多的Windows 2003 Server SP2系统版本为基础,分析了服务器系统网络安全体系结构和功能,对图书馆服务器系统中的网络安全问题,包括软件和硬件问题提出可行的措施。
1 计算机网络系统安全
国际标准化组织(ISO)将计算机安全定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”计算机安全的内容应包括两方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等;逻辑安全包括信息保密性、完整性和可用性。保密性指高级别信息仅在授权情况下流向低级别的客体;完整性指信息不会被非授权修改,信息保持—致性等;可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。
网络系统的安全涉及到平台的各个方面。按照网络OSI的7层模型,网络安全体现为以下几个层次。
1)物理层:物理层信息安全主要包括严格的军网互联网物理隔绝、防止物理通路的损坏、通过物理通路窃听、对物理通路的攻击(干扰)等。
2)链路层:链路层的网络安全主要是保证通过网络链路传送的数据不被窃听、篡改或置换,现有军校图书馆服务器网络中多采用划分VLAN(局域网)、加密通信等手段。
3)网络层:网络层的安全需要保证网络只给授权的客户提供授权的服务,保证网络路由正确,避免被拦截或监听。
4)操作系统:操作系统安全指保证客户资料、操作系统访问控制的安全,同时能够对操作系统上的应用进行审计。
5)应用平台:应用平台指建立在网络系统上的应用软件服务,如数据库服务器、Web服务器等。
6)应用系统:应用系统完成网络系统的最终目的——为用户服务。应用系统的安全与系统设计和实现关系密切:应用系统通过应用平台提供的安全服务来保证基本安全,如通信内容安全、通信双方的认证、审计等。
2 计算机网络系统安全应具备的功能
1)访问控制:通过特定网段及服务建立的访问控制体系,系统将绝大多数攻击阻止在到达攻击目标之前。
2)检查安全漏洞:对安全漏洞进行周期性的检查,使得攻击即使到达攻击目标,也要努力使绝大多数攻击无效。
3)攻击监控:通过特定网段及服务建立的攻击监控体系,系统可实时检测出绝大多数攻击,并采取相应的行为(如断开网络连接、记录攻击过程、跟踪攻击源等)。
4)加密通信信息:主动加密通信信息,可使攻击者不能了解、修改敏感信息。
5)认证:良好的认证体系可防止假冒用户的攻击。
6)备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,帮助系统尽快恢复数据和系统服务。
7)多层防御:攻击者在突破第一道防线后,多层防御可以延缓或阻断其到达攻击目标。
8)隐藏内部信息:可以使攻击者不能了解服务器系统内的基本情况。
3 图书馆信息管理员如何尽可能地保证网络安全
3.1 内部操作管理人员及软件的管理
内部操作管理人员及软件的管理:目前绝大多数军校图书馆自动化管理局域网均采用服务器(Windows Server)+客户机的工作方式。在网络环境下客户机与服务器之间通过网关、双绞线、集线器实现互连。局域网环境下工作用机的设置可由系统管理员在管理服务器上通过使用管理工具来实现。单机环境下允许工作人员执行绝大多致操作,但禁止用户更改系统设置(如CMOS、桌面、系统、显示器),当然更要禁止用户安装、删除软件。
3.2 外部网络环境
外部网络环境包括图书馆各服务器之间、学院信息中心管理服务器、用户的管理及硬件的管理等。这里主要涉及到3个方面的内容:首先是网络硬件即服务器的管理、路由器的管理;第二是网络操作系统、即对于网络硬件的操作与控制;第三就是网络中的应用系统。若要在军训网中实现网络的整体安全,一般考虑上述3方面的安全问题也就足够了。但事实上这种分析和归纳是不完整和不全面的,因为无论是网络本身还是操作系统或应用程序,它们最终都是要由人来操作和使用的,所以还有—个重要的安全问题就是用户的安全性。
目前,基于万维网的5层次网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持。参照此理论,军校图书馆信息管理员在考虑本馆服务器网络系统安全问题的过程中,也应该主要考虑以下5个方面的问题:
1)网络层的安全性。网络层安全性问题的核心在于网络是否得到控制,即:是不是任何一个IP地址来源的用户都能够进入网络?访问网络的每一个用户都会有一个独立的IP地址,IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析,便能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,以及来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外。并且大多数系统能够自动记录那些曾经造成过危害的IP地址,使得它们的数据将无法重复造成危害。
用于解决网络层安全性问题的产品主要有防火墙和VPN(虚拟专用网)。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在的破坏性侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。同时,对于两个网段共享一批数据的问题,除了可以采用防火墙以外,还可以采用诸如路由器设置、双网卡等来保证安全。VPN主要解决的是数据传输的安全问题,如果图书馆网络在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用VPN。其目的在于保证图书馆各分馆之间的敏感数据能够安全地借助整个军训网进行交换。
2)系统的安全性。在系统安全性问题中,主要考虑的问题有两个:一是病毒对于网络的威胁;二是黑客对于网络的破坏和侵入。
随着军训网使用范围变广、使用人数增加,军训网内部面临的病毒威胁也越来越严重。病毒的主要传播途径己由过去的软盘、U盘等移动存储介质变成了网络。军校图书馆网络防病毒工作一般有以下几种方法:一是对网络中各个可能的病毒入口进行保护,利用配发的安全加固系统封闭不必要的端口,减少可能侵入病毒的计算机端口;二是安装杀毒软件并及时更新,时常进行系统查毒,保证系统安全;三是计算机操作尤其是管理服务器操作必须由专人进行,尽可能避免非法用户在计算机中带入和传播病毒;四是严格遵守保密安全规定,在系统之间上传和下载数据时使用统一配发的制式光盘;五是系统管理员要熟悉服务器存储的数据对象,定期检查数据变动、删除冗余与使用痕迹、筛选可疑和未知数据,保证注册表与存储数据的纯净。
针对军网黑客与网络间谍,要定期更换系统密码,防止用户口令被窃取;及时安装系统补丁,尽量减少系统本身的漏洞。
3)用户的安全性。对用户的安全性问题,所要考虑的问题是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据。
常用的方法的是对系统用户进行分组管理,并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说,应该根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。
4)应用程序的安全性。这其中涉及两个方面的问题:—是应用程序对数据的合法权限;二是应用程序对用户的合法权限。例如在学院内部,上级部门的应用程序一般要求能够存取下级部门的数据,而下级部门的应用程序—般不应该允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,不应允许互相访问对方的数据,—是可以避免数据的意外损坏或丢失,也是出于安全方面的考虑。
5)数据的安全性。数据的安全性涉及的主要问题是:机密数据是否处于机密状态。军队院校图书馆在学院保密文献资料的存储中占有重要地位。随着军校图书馆原生文献加工和馆际交流等工作的深入开展,保密文献资料在电子化过程中面临的安全威胁不容忽视。在数据的存储过程中,机密数据即使处于安全空间,也要对其进行加密处理,以保证万—数据失窃,数据内容也不会轻易流失。以我馆为例,对于自建的航空维修文献数据统一利用ACROBAT7.0版本阅读器对应的AES加密算法(128位)对扫描文档进行加密,拥有阅读权限的读者只有在获得管理员允许并解密后才能阅读;对于MADL数字图书馆平台等数据量大,密级相对较低的电子资源采用IP限制的方法,限制本院以外IP使用。数据加密和限制IP都是比较被动的安全手段,但往往能够收到较好的效果。
军队院校图书馆服务器在融入网络化程度越来越高的军训网的过程中,在考虑网络的高性能、高可靠性和可用性之外、丰富的应用系统和信息资源时,千万不能忘记服务器系统的安全、用户使用制度和相应的管理制度。安全系统的用户身份认证、系统审计和系统安全监测的功能,只有在完善的管理制度和对管理制度认真执行的情况下,才能对整个图书馆网络服务器系统的安全提供可靠的保证。对于军校图书馆信息管理员来说,信息安全责任重于泰山。图书馆方便的应用系统和丰富的信息资源只有在安全保密的前提下才能为军网读者所利用,才能正确发挥它们服务军事教学和军事科研的作用。
参考文献
[1]郭春平.网络安全五层体系.中国计算机报,1999,22.
[2]李其圣.图书馆计算机网络系统建设若干问题的思考,情报学报,1999,2.
[3]张文政.计算机网络安全技术.电脑技术信息,1999,5-6.
[4]刘培俊.网络环境下图书馆技术人员如何保证系统的安全,贵图学刊,2000,2.
[5]康健,孙济庆.图书馆系统安全规划与预案,现代情报,2009,3.
作者简介
金世龙(1984—),男,2006年毕业于东北农业大学信息管理与信息系统专业,空军第一航空学院图书馆助理馆员。
下一篇:计算机技术在电子商务中的应用探讨