论文部分内容阅读
摘要:当前,数字图书馆建设随着网络技术的发展日新月异,其建设主要包括网络建设、内容建设、服务建设三大方面。其中网络建设是基础,如何搭建一个安全的网络平台,是我们建设数字图书馆首先要解决的问题,没有安全的网络平台,内容建设、服务建设就成了空中楼阁。本文将结合合肥市少年儿童图书馆数字图书馆建设情况,从网络拓扑的设计、网络内部安全措施的实施、网络维护人员的管理这三个方面来阐述如何构建安全的数字图书馆。
关键词:数字图书馆 网络拓扑
构建安全的数字图书馆是图书馆网络建设的重要任务,下面我结合合肥市少年儿童图书馆数字图书馆建设情况,从网络拓扑的设计、网络内部安全措施的实施、网络维护人员的管理这三个方面来谈谈我的思考。
一、网络拓扑的设计
首先来分析一下合肥市少年儿童图书馆现有的网络拓扑图,其网络拓扑与其他大部分图书馆所使用的拓扑图相似,外网通过路由器到达防火墙,再进入DMZ区和内网。
现在我们来分析一下各个产品和区域在网络安全中的作用,以及我们还可以通过那些措施来加强我们的数字图书馆安全。
在网络中,路由器起着两个方面的作用:一是连通不同的网络,另一个是选择信息传送的线路。路由器将经过它的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。事实上,路由器除了上述的路由选择这一主要功能外,还具有网络流量控制功能。
防火墙是边界安全产品,存在于内部网和外部网的边界。在外网与内网之间部署防火墙,通过防火墙可以对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口、禁止特定端口的流出通信、封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。但防火墙不是万能的,对通过合法端口的攻击、从内部开始的攻击、最新的未设置策略的攻击漏洞。
在经费条件允许的图书馆,可以在此位置加上入侵检测系统和网络安全扫描系统,对防火墙的不足进行补充,加强网络的安全。
入侵检测系统从另外一个方面来提供安全保障,防火墙是阻止恶意访问,但由于漏洞和设置方面的原因,总存在能够穿透防火墙的可能性,因此在防火墙后端部署探测系统和网络运行状况报警系统就成为安全防护的有效手段,这就是入侵检测系统的作用。目前的技术潮流是将防火墙和入侵检测结合起来使用,当入侵检测到异常流量时报告防火墙,防火墙可以切断其连接。
网络安全扫描系统是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。网络安全扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。网络安全掃描技术与防火墙、入侵检测系统互相配合就能够为网络提供很高的安全性。
设立DMZ区,可以提高网络中内网的安全性。对DMZ区,我们要规划设计好其访问策略,才能发挥其应有的作用和功能。我们要明确外网、内网、DMZ区之间的访问关系, 合肥市少年儿童图书馆的策略是:
1.内网可以访问外网
内网的用户可以自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
内网中存放的是图书馆的内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
二、网络内部安全措施的实施
在内部网络中,我们采用了虚拟局域网,按照功能和要求分成若干个子网,如电子阅览室虚拟子网(可以上外网,但不能访问其他的内部网络)、办公虚拟子网(可以上外网,也可以访问其它的内部网络)、业务虚拟子网(不能上外网,也不能访问其它的内部网络,只能访问与业务相关的机器)等。
外部办公我们采用了防火墙上的VPN模块。VPN 即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
对内网重要的服务与应用(如图书馆自动化系统、数字图书馆系统等),应采用双机热备技术。双机热备特指基于active/standby方式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器写,或者使用一个共享的存储设备。
三、网络维护人员的管理
所有的安全措施,最后都要落实到人,所以对网络维护人员的管理显得尤为重要。在日常管理中,针对各种突发事件要制定紧急响应、灾难恢复计划, 在做好相关工作后,我们还要把它落实好,首先要从思想上充分认识。不能只有计划,而且要工作人员思想认识到位,灾难恢复不仅仅是单纯的技术问题,也是相关人员的思想认识问题。其次做好相应的知识储备,要主动学习了解相关知识,尤其需要关注与本行业相近单位的相关经验与教训。知识储备到位了,才知道如何研究制定和实施这一计划,达到预期效果。最后有条件的话,可以对方案进行实战演习,要让工作人员全面、准确地理解该计划,掌握相关技能,实战演练是最有效的办法。
为了做到工作人员及时响应,合肥市少年儿童图书馆对技术部工作人员进行严格要求,手机24小时开机,本部门工作人员离开本市,需向本部门主任请假,主任离开本市,需向馆领导请假。
进行岗位培训,增加安全意识。应让工作人员了解自己岗位要求,知道自己的责任与义务,增加安全意识,提高工作的责任心,知道在系统运行期间如何规范性使用系统开展工作,及时发现系统运行的异常。
总之,没有绝对安全的网络,但如果我们网络的拓扑合理,安全措施布置到位,人员管理严格,相关制度完善,构建一个相对安全的数字图书馆还是可以实现的。
关键词:数字图书馆 网络拓扑
构建安全的数字图书馆是图书馆网络建设的重要任务,下面我结合合肥市少年儿童图书馆数字图书馆建设情况,从网络拓扑的设计、网络内部安全措施的实施、网络维护人员的管理这三个方面来谈谈我的思考。
一、网络拓扑的设计
首先来分析一下合肥市少年儿童图书馆现有的网络拓扑图,其网络拓扑与其他大部分图书馆所使用的拓扑图相似,外网通过路由器到达防火墙,再进入DMZ区和内网。
现在我们来分析一下各个产品和区域在网络安全中的作用,以及我们还可以通过那些措施来加强我们的数字图书馆安全。
在网络中,路由器起着两个方面的作用:一是连通不同的网络,另一个是选择信息传送的线路。路由器将经过它的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。事实上,路由器除了上述的路由选择这一主要功能外,还具有网络流量控制功能。
防火墙是边界安全产品,存在于内部网和外部网的边界。在外网与内网之间部署防火墙,通过防火墙可以对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口、禁止特定端口的流出通信、封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。但防火墙不是万能的,对通过合法端口的攻击、从内部开始的攻击、最新的未设置策略的攻击漏洞。
在经费条件允许的图书馆,可以在此位置加上入侵检测系统和网络安全扫描系统,对防火墙的不足进行补充,加强网络的安全。
入侵检测系统从另外一个方面来提供安全保障,防火墙是阻止恶意访问,但由于漏洞和设置方面的原因,总存在能够穿透防火墙的可能性,因此在防火墙后端部署探测系统和网络运行状况报警系统就成为安全防护的有效手段,这就是入侵检测系统的作用。目前的技术潮流是将防火墙和入侵检测结合起来使用,当入侵检测到异常流量时报告防火墙,防火墙可以切断其连接。
网络安全扫描系统是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。网络安全扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。网络安全掃描技术与防火墙、入侵检测系统互相配合就能够为网络提供很高的安全性。
设立DMZ区,可以提高网络中内网的安全性。对DMZ区,我们要规划设计好其访问策略,才能发挥其应有的作用和功能。我们要明确外网、内网、DMZ区之间的访问关系, 合肥市少年儿童图书馆的策略是:
1.内网可以访问外网
内网的用户可以自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
内网中存放的是图书馆的内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
二、网络内部安全措施的实施
在内部网络中,我们采用了虚拟局域网,按照功能和要求分成若干个子网,如电子阅览室虚拟子网(可以上外网,但不能访问其他的内部网络)、办公虚拟子网(可以上外网,也可以访问其它的内部网络)、业务虚拟子网(不能上外网,也不能访问其它的内部网络,只能访问与业务相关的机器)等。
外部办公我们采用了防火墙上的VPN模块。VPN 即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
对内网重要的服务与应用(如图书馆自动化系统、数字图书馆系统等),应采用双机热备技术。双机热备特指基于active/standby方式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器写,或者使用一个共享的存储设备。
三、网络维护人员的管理
所有的安全措施,最后都要落实到人,所以对网络维护人员的管理显得尤为重要。在日常管理中,针对各种突发事件要制定紧急响应、灾难恢复计划, 在做好相关工作后,我们还要把它落实好,首先要从思想上充分认识。不能只有计划,而且要工作人员思想认识到位,灾难恢复不仅仅是单纯的技术问题,也是相关人员的思想认识问题。其次做好相应的知识储备,要主动学习了解相关知识,尤其需要关注与本行业相近单位的相关经验与教训。知识储备到位了,才知道如何研究制定和实施这一计划,达到预期效果。最后有条件的话,可以对方案进行实战演习,要让工作人员全面、准确地理解该计划,掌握相关技能,实战演练是最有效的办法。
为了做到工作人员及时响应,合肥市少年儿童图书馆对技术部工作人员进行严格要求,手机24小时开机,本部门工作人员离开本市,需向本部门主任请假,主任离开本市,需向馆领导请假。
进行岗位培训,增加安全意识。应让工作人员了解自己岗位要求,知道自己的责任与义务,增加安全意识,提高工作的责任心,知道在系统运行期间如何规范性使用系统开展工作,及时发现系统运行的异常。
总之,没有绝对安全的网络,但如果我们网络的拓扑合理,安全措施布置到位,人员管理严格,相关制度完善,构建一个相对安全的数字图书馆还是可以实现的。