图书馆网络安全

刘俊南

（黑龙江省图书馆 黑龙江 哈尔滨 150090）

随着信息化热潮的到来，信息资源电子化、数字化已成为现代信息的主要传播方式。作为文献信息保障中心的图书馆的运行模式正在发生巨大的变化，图书馆的业务管理、文献信息服务对网络依赖程度越来越大。但随着计算机网络技术的运用，必须要充分考虑网络系统的安全建设，在维护图书馆网络时，要及时采取有效的措施，以确保整个网络的安全运作。

1.图书馆网络存在的安全隐患

由于互联网络的开放性体系结构，使图书馆信息资源得到了最大限度的共享，为社会带来了一定的经济和社会效益。但同时图书馆网络信息安全也面临来自外部及内部的威胁和攻击的考验。外部威胁主要包括：黑客人侵、计算机病毒、垃圾邮件及黄毒泛滥等，内部威胁主要包括：操作系统的漏洞、软件产品的复杂多样性、电子数据的非物质性、不安全的通信协议、存贮介质的利用、内部人员的职业素质等。其中以网络通信协议、计算机病毒、黑客的攻击、操作系统和软件漏洞为常见的安全隐患。

1.1 网络通信协议的不安全性

图书馆网络最常用的网络通信协议有TCPAP、NETBIOS等，这些开放和标准的协议大多带有安全漏洞。例如，TCPAP协议缺乏有效的身份认证和对路由器协议的安全认证等安全隐患，通信的双方很难确定对方的确切身份及通信时的物理置；NETBIOS协议允许包括未授权用户在内的任何人通过139端口收集信息，外部的恶意用户能够更容易地非法接入网络。

1.2 计算机病毒的入侵

计算机病毒是一种人为制造的、隐藏在计算机系统数据资源中的、能够自我复制进行传播、对计算机系统进行破坏的程序。特别是通过宽带网泛滥的速度之快，蔓延之广。而且计算机病毒更新变化的速度常常让人防不胜防。几乎有80%的计算机用户都受到过来自网络上的病毒攻击。在网络上可通过邮件、网页、局域网、网络下载等方式进行远程攻击。

1.3 黑客的攻击

美国是网络黑客的发源地。随着网络技术的普遍使用，黑客的人数也不断增多，一些黑客软件在网络上广为传播。它可以向被侵入的计算机发送文件，监视被侵入机器的用户操作，封锁或截获其键盘操作，而对方却全然不知。由于缺乏针对网络犯罪卓有成效的反击和跟踪手段，因此黑客的攻击不仅“杀伤力”大，而且隐蔽性强。

1.4 操作系统和应用软件的安全漏洞

Web服务器软件最容易成为黑客主动攻击的对象，Web浏览器的漏洞可能导致用户的个人数据和密码等隐私资料外泄，电子邮件软件遭受蠕虫病毒的传染和攻击更是屡见不鲜，新的网络应用如即时通信软件和对等网文件共享软件都可能遭受攻击，给攻击者提供侵入图书馆网络的后门。

1.5 防火墙自身带来的安全漏洞

“防火墙”，用于实施内部网络和Internet或其它外部网络之间的访问控制，在外部网与内部网之间建立起一个安全网关，从而防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外界屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。但它自身也有其弱点，主要是：（1）难以防止应用程序的漏洞。（2）难于防内。防火墙的安全控制用于“外对内”或“内对外”。但是，防火墙很难解决内部人员对网络的攻击，即防外不防内。（3）难于管理和配置。防火墙的管理及配置相当复杂，它要求防火墙管理人员对网络安全攻击的手段及其系统配置的关系有相当深刻的了解。否则，易造成安全漏洞。

2.图书馆网络的安全保障技术

2.1 操作系统的安全使用技术

（1）最小化安装必须的组件。很多系统被黑客人侵，大部分是从系统的服务开始，利用服务的漏洞入侵。只安装必须的服务，可大大减少被入侵的机会。

（2）操作系统补丁的更新。漏洞是操作系统致命的安全缺陷，所有的操作系统或多或少都有漏洞，特别是使用最多的Window系统，黑客攻击手段和病毒之间的间隔越来越短。预防操作系统漏洞型病毒最好的办法，就是及时为自己的操作系统打上补丁，关闭不必要的服务以及对系统进行必要的设置。一般来说，操作系统、网络服务系统都提供系统日志，尽可能记录发生的所有事件。多数攻击和病毒能通过系统日志的记录发现。因此，经常检查系统日志，能发现大多数的攻击事件和病毒，从而采取相应措施，以减少损失，并对以后的同样或类似情况进行预防。

2.2 信息加密技术

信息加密技术是网络方面用得较多的一种安全技术。一个加密网络，不但可以防止非授权用户的搭线窃听和人网，而且也是对付恶意软件的有效方法之一。信息加密的目的是保护网内的数据、文件、口令和控制信息不被泄漏、篡改和破坏，保护网上传输的数据不被分析。它不需要特殊的网络拓扑结构的支持，对网络性能影响较小。使用密码技术进行数据通信，其过程就是取得原始信息并用收、发方共同约定的一种特殊编码变换成密文进行传送。

2.3 身份认证技术

身份认证是用户向系统出示自己身份证明并系统查核用户身份证明的过程。保证网络安全的最普遍的做法是身份认证，没有通过身份认证的用户将无法访问网络资源。身份认证是每一个系统保护自身安全最基本的措施。

2.4 防火墙技术

防火墙处于图书馆的内部网络和外部网络之间,是图书馆网络的第一道防线。通常对于外部网络的接入,必须采取的安全策略是防火墙拒绝所有接受特殊的原则。即对所有的外部接入，认为都是不安全的,需要完全拒绝,只能访问事先设置好指定服务器的特定端口，不允许外部网络直接访问内部系统。防火墙的实现技术主要有三种类型：

（1）包过滤型。通过具有特殊功能的路由器，使用报文动态过滤技术，动态检查流过的TCPIP报文头，根据用户定义的规则，决定哪些报文允许流过，哪些报文禁止流过。一般按照源IP地址、目标IP地址、协议、源端口、目标端口的信息作为判断标准。这种类型防火墙的优点是对网络用户透明，使用方便，而且价格便宜。其缺点是不能对用户进行身份认证，难以对付冒名顶替(包括盗用IP地址)的非法用户，因而安全性不够高。

（2）应用网关型。使用代理技术，通过控制和监督应用层服务的网络连接，在内部网和外部网之间设置一个物理屏障，从而限制外部网与内部网的连接和通信。大部分应用网关型防火墙都只能提供有限的基本应用服务，因而通用性和使用性较差，但其优点也很明显，即安全性高，能进行严格的用户身份认证。

（3）代理服务型。通常由单独的计算机和专用应用程序承担。与数据包过滤技术和应用网关技术不同，代理服务技术在内部网与外部网间不存在直接连接，仅实现防火墙内外计算机系统的隔离，同时代理服务技术可实施较强的数据流监控、过滤、日志和审计等服务。

2.5 入侵检测技术

入侵检测技术作为一种新型网络安全技术，是对防火墙技术的合理补充。目的是提供实时的入侵监测及采取相应的防护手段。主要是通过从计算机网络系统中的若干关键点收集和分析信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象，提供对内部攻击、外部攻击和误操作的实的保护，在网络系统受到危害之前拦截和响应入侵。对于大型图书馆和经常受到不明网络攻击的图书馆来说，部署入侵检测系统(IDS)是非常必要的信息安全防护措施。

2.6 反病毒技术

对于图书馆网络来说，计算机病毒具有不可估量的威胁性和破坏力。对计算机病毒的防范，是图书馆网络安全建设中最重要的一环。

（1）硬件防御，即通过硬件检测的方式将病毒拒之门外，主要形式有防病毒卡和防病毒芯片两种。其工作原理是，在系统启动时，优先获得控制权，即时对系统实施监控，只要发现病毒就予以清除，从而避免病毒对系统的破坏，使计算机具备了免疫能力。

（2）软件防御，即利用软件来防止病毒侵人系统，主要形式是各种杀毒软件。它们在工作原理上的共同之处是：监视常驻内存的程序，防止可执行文件被改写，并且禁止程序直接写入磁盘引导区。

总之，从以上介绍的各种安全保障技术中可以看出，他们都有各自的侧重点和优缺点。只有将各种安全保障技术结合起来使用，才能达到有效保障图书馆网络安全的目的。

[1]曾巧红.构筑图书馆网络安全的防护体系.图书馆论坛，2004(6).

[2]张晓毅.图书馆网络安全浅谈.图书馆工作与研究，2003(3).

[3]彭敏.图书馆网络的安全保障技术.图书情报论坛，2005(3).

[4]朱志文.浅谈图书馆下数字图书馆的安全与防范措施.图书馆界，2004(2).

[5]邓少雯.网络环境下数字图书馆的安全与防范措施.图书馆论坛，2004(4).

[6]高静.图书馆网络安全防范技术.计算机与网络，2004(20).