李鎮(zhèn)偉

關(guān)鍵字：開(kāi)源軟件；數(shù)字圖書(shū)館；網(wǎng)絡(luò)安全；防護(hù)

摘 要：隨著數(shù)字圖書(shū)的建設(shè)與發(fā)展，因網(wǎng)絡(luò)開(kāi)放而出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題也日顯突出，但由于經(jīng)費(fèi)的原因，很多圖書(shū)館都只購(gòu)買(mǎi)一部分的網(wǎng)絡(luò)安全軟件進(jìn)行網(wǎng)絡(luò)防護(hù)。文章通過(guò)對(duì)數(shù)字圖書(shū)網(wǎng)絡(luò)安全的隱患問(wèn)題、保護(hù)技術(shù)及開(kāi)源軟件的安全性進(jìn)行分析，提出利用免費(fèi)的開(kāi)源軟件構(gòu)建數(shù)字圖書(shū)館網(wǎng)絡(luò)安全多層防護(hù)體系的解決方案。

中圖分類(lèi)號(hào)：G250.7文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-1588（2009）02-0105-03

The Research on Multi-protect System in Network Security

ofOSSfor Digital Library

Li Zhenwei

(Library, Jieyang vocational and technical college Jieyang522051,China)

Key Words: OSS, Digital Library, Network Security, protection

Abstract：With the Digital Library in the construction and development, the emergence of network security issues as the more obvious each day because of an open network. Due to financial reasons,many of the library only purchase a part of the network security software for network protection. This article analysis the network security vulnerability ofthe Digital Library、network?Security Protection Technology and the security of open source software. Also, the author gives a Multi-protect System solutions in Network Security base on the open source software for the Digital Library.

隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展，很多圖書(shū)館正逐步開(kāi)展文獻(xiàn)資源數(shù)字化、讀者服務(wù)網(wǎng)絡(luò)化等全方位的網(wǎng)絡(luò)信息服務(wù)，建設(shè)數(shù)字圖書(shū)館。隨著這些應(yīng)用的推進(jìn)，數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全問(wèn)題也日顯突出，建立一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)安全防護(hù)體系，對(duì)數(shù)字圖書(shū)的建設(shè)與發(fā)展尤為重要。眾所周知，很多圖書(shū)館的發(fā)展一直都受到經(jīng)費(fèi)短缺的困擾［1］［2］，而數(shù)字圖書(shū)館的建設(shè)，需要新購(gòu)許多的基礎(chǔ)設(shè)施，如計(jì)算機(jī)、數(shù)字化設(shè)備、通訊設(shè)備、存儲(chǔ)設(shè)備等等，經(jīng)費(fèi)問(wèn)題更是制約其發(fā)展的一個(gè)重要因素［3］。因此，免費(fèi)的開(kāi)源軟件為數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全建設(shè)提供了一個(gè)選擇，本文借此對(duì)使用開(kāi)源軟件構(gòu)建數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行了探討，以期為經(jīng)費(fèi)短缺的圖書(shū)

館進(jìn)行網(wǎng)絡(luò)安全建設(shè)提供多一個(gè)參考方案。

1 數(shù)字圖書(shū)館網(wǎng)絡(luò)安全隱患及保護(hù)技術(shù)

數(shù)字圖書(shū)館網(wǎng)絡(luò)安全是指數(shù)字圖書(shū)館網(wǎng)絡(luò)系統(tǒng)的各個(gè)組成部分不受偶然的或惡意的原因而遭到破壞、篡改和泄露，并且確保數(shù)字圖書(shū)館網(wǎng)絡(luò)系統(tǒng)能連續(xù)正常運(yùn)行的機(jī)制，其最終目的是要達(dá)到數(shù)字圖書(shū)館網(wǎng)絡(luò)信息處理和傳輸過(guò)程中保持可靠的機(jī)密性、完整性、可用性和可控性［4］。數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全技術(shù)就是指為數(shù)字圖書(shū)館數(shù)據(jù)處理系統(tǒng)的建立和正常運(yùn)行所采用的安全保護(hù)技術(shù)。當(dāng)前，在數(shù)字圖書(shū)館建設(shè)中主要存在以下幾個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題：

（1）網(wǎng)絡(luò)設(shè)備安全。網(wǎng)絡(luò)設(shè)備是數(shù)字圖書(shū)館網(wǎng)絡(luò)正常運(yùn)行的物質(zhì)基礎(chǔ)。其安全主要包括：各類(lèi)計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)通訊設(shè)備以及各種存儲(chǔ)介質(zhì)（磁盤(pán)、磁帶、硬盤(pán)和CD-ROM）的安全。主要涉及信息及信息系統(tǒng)的電磁輻射、抗惡劣工作環(huán)境等方面的問(wèn)題。面對(duì)的威脅主要有自然災(zāi)害、電磁泄露、通信干擾等。主要的計(jì)算機(jī)保護(hù)技術(shù)有數(shù)據(jù)和系統(tǒng)備份、容錯(cuò)等。

（2）網(wǎng)絡(luò)運(yùn)行安全。網(wǎng)絡(luò)的正常運(yùn)行是數(shù)字圖書(shū)館服務(wù)的效率保證，其運(yùn)行安全主要是網(wǎng)絡(luò)與信息系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用系統(tǒng)）的運(yùn)行過(guò)程和運(yùn)行狀態(tài)的安全。主要涉及信息系統(tǒng)的正常運(yùn)行與有效的訪問(wèn)控制等方面的問(wèn)題。面對(duì)的威脅包括網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊、漏洞利用等。主要的計(jì)算機(jī)保護(hù)技術(shù)有訪問(wèn)控制、病毒防治、漏洞掃描、入侵檢測(cè)等。

（3）網(wǎng)絡(luò)數(shù)據(jù)安全。網(wǎng)絡(luò)的數(shù)據(jù)安全是數(shù)字圖書(shū)館服務(wù)的質(zhì)量保證，其安全主要是數(shù)據(jù)(信息)的生成、處理、傳輸、存儲(chǔ)等環(huán)節(jié)中的安全。主要包括：元數(shù)據(jù)、對(duì)象數(shù)據(jù)和用戶數(shù)據(jù)等的泄密、破壞、偽造、否認(rèn)等方面的問(wèn)題。面對(duì)的威脅主要包括對(duì)數(shù)據(jù)(信息)的竊取、篡改、冒充、抵賴、破譯、越權(quán)訪問(wèn)等。主要的計(jì)算機(jī)保護(hù)技術(shù)有加密、認(rèn)證、訪問(wèn)控制、簽名等。

為了確保數(shù)字圖書(shū)館網(wǎng)絡(luò)的安全，保證信息服務(wù)的順利開(kāi)展，必須對(duì)數(shù)字圖書(shū)館信息網(wǎng)絡(luò)實(shí)施多層的保護(hù)，加強(qiáng)安全防范［5］。

2 開(kāi)源軟件的安全性

軟件的安全分析工程師都秉承這樣一個(gè)理論，就是復(fù)雜系統(tǒng)應(yīng)具備約105h的平均無(wú)故障時(shí)間(mean time before failure，MTBF)，這必須經(jīng)過(guò)很多時(shí)間的測(cè)試，這種可靠度增長(zhǎng)模型同樣也應(yīng)用在系統(tǒng)漏洞的測(cè)試評(píng)估中。開(kāi)源軟件提供源代碼給使用者的這種方法，使得系統(tǒng)可以比專利系統(tǒng)有更多的時(shí)間不停測(cè)試、有越多的眼睛盯著，這就越能發(fā)現(xiàn)開(kāi)源軟件中的漏洞（many eyes原理），開(kāi)源軟件開(kāi)發(fā)過(guò)程中的這種同行評(píng)審使其安全性獲得了更高的保障［6］。代碼分析企業(yè)Coverity的一份報(bào)告顯示，他們?cè)贚inux內(nèi)核的570萬(wàn)行語(yǔ)句中只發(fā)現(xiàn)了985個(gè)bug；可以比較的是，卡耐基梅隆大學(xué)的CyLab實(shí)驗(yàn)室所進(jìn)行的一個(gè)研究顯示，具代表性的商業(yè)性閉源程序每一千行語(yǔ)句平均就帶有20-30個(gè)bug。在另一次調(diào)查中顯示，美國(guó)國(guó)防部已經(jīng)部署有251個(gè)Linux或者開(kāi)源軟件。所有這些，我們雖然無(wú)法直接證明開(kāi)源軟件擁有著很高的安全性，但至少可以說(shuō)明一點(diǎn)：開(kāi)源軟件的安全性不比商業(yè)性閉源軟件的差。

3 開(kāi)源的數(shù)字圖書(shū)館網(wǎng)絡(luò)安全多層防護(hù)體系

多層防護(hù)就是在網(wǎng)絡(luò)的各個(gè)層次上，如在用戶桌面、服務(wù)器、Internet網(wǎng)關(guān)及防火墻等位置部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品，實(shí)現(xiàn)對(duì)數(shù)字圖書(shū)館網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)應(yīng)用進(jìn)行全方位安全保護(hù)。

3.1 使用SmoothWall Express創(chuàng)建一道安全的防火墻

防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它實(shí)質(zhì)就是為了保證網(wǎng)絡(luò)的安全性而在網(wǎng)絡(luò)內(nèi)部和外部之間的界面上構(gòu)造一個(gè)保護(hù)層，所有的內(nèi)外網(wǎng)連接都強(qiáng)制性地經(jīng)這個(gè)保護(hù)層接受檢查過(guò)濾，以阻止外部網(wǎng)絡(luò)的入侵。在數(shù)字圖書(shū)館中，它是圖書(shū)館內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)制定的安全策略控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流。

SmoothWall Express是一個(gè)開(kāi)源、并基于GNU/Linux操作系統(tǒng)的防火墻軟件。它內(nèi)置了Linux系統(tǒng)的內(nèi)核，可以直接安裝在服務(wù)器上，布署于網(wǎng)關(guān)上。SmoothWall同時(shí)支持ISDN、ASDL/Cable和多網(wǎng)卡等網(wǎng)絡(luò)設(shè)備，出于易于操作的原因，SmoothWall可以使用web界面來(lái)配置和管理安全策略與規(guī)則。

3.2 使用Snort創(chuàng)建一個(gè)安全的入侵檢測(cè)系統(tǒng)

利用防火墻技術(shù)通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，但是，如當(dāng)發(fā)生來(lái)自網(wǎng)絡(luò)外部的入侵者穿透防火墻而進(jìn)入內(nèi)部網(wǎng)或當(dāng)攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部時(shí)，防火墻就無(wú)法對(duì)攻擊進(jìn)行響應(yīng)或阻斷。入侵檢測(cè)系統(tǒng)(IDS)是網(wǎng)絡(luò)的防盜警報(bào)，它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或遭到入侵的跡象，并依據(jù)既定的策略采取一定措施的技術(shù)。

開(kāi)源入侵檢測(cè)系統(tǒng)Snort是一個(gè)跨平臺(tái)的軟件，提供實(shí)時(shí)分析網(wǎng)絡(luò)流量、比較報(bào)文內(nèi)容、檢測(cè)各種網(wǎng)絡(luò)攻擊及探測(cè)，例如：0S辯識(shí)、緩沖溢出(buffer overflow)、秘密探測(cè)(stealth probe)、CGI攻擊等。它的外部采用模塊化外掛程序架構(gòu)，當(dāng)取得新包時(shí)，先用預(yù)處理程序(preprocessor)處理，再和規(guī)則作對(duì)比，如果發(fā)現(xiàn)攻擊則發(fā)出警告。由于它的入侵檢測(cè)規(guī)則是完全開(kāi)放的，也就是說(shuō)，在布署時(shí)可以針對(duì)自己的網(wǎng)絡(luò)系統(tǒng)，設(shè)計(jì)自己的入侵檢測(cè)規(guī)則，不像其它入侵檢測(cè)系統(tǒng)一樣，其入侵檢測(cè)規(guī)則是由設(shè)計(jì)公司寫(xiě)死的，你要修改或增加都沒(méi)辦法。

3.3 使用OpenVPN創(chuàng)建一個(gè)安全訪問(wèn)接口

VPN（Virtual Private Network）即虛擬專用網(wǎng)，是指利用公用網(wǎng)絡(luò)為用戶提供專用網(wǎng)的所有各種功能。VPN技術(shù)的核心是采用隧道技術(shù)，主要負(fù)責(zé)將內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)經(jīng)過(guò)加密、協(xié)議封裝和壓縮處理后再嵌套入另一種協(xié)議的數(shù)據(jù)包，送入虛擬公網(wǎng)隧道中，像普通數(shù)據(jù)包一樣進(jìn)行傳輸。當(dāng)前，數(shù)字圖書(shū)館大部分的數(shù)字資源出于版權(quán)保護(hù)與有償使用的需求，對(duì)資源采取了限制IP地址范圍訪問(wèn)的手段，這樣導(dǎo)致了大部分的電子資源僅能在校園網(wǎng)范圍內(nèi)訪問(wèn)，VPN可為數(shù)字圖書(shū)館提供一個(gè)可管理、可認(rèn)證、安全的遠(yuǎn)程訪問(wèn)電子資源的解決方案，從而滿足更多師生在校處訪問(wèn)館藏電子資源的需求。

OpenVPN是一個(gè)具備完全特征的SSLVPN開(kāi)源軟件，能夠進(jìn)行大范圍的配置操作，包括遠(yuǎn)程訪問(wèn)、站點(diǎn)-站點(diǎn)間VPN、WiFi安全及企業(yè)級(jí)遠(yuǎn)程訪問(wèn)解決方案，支持負(fù)載均衡，錯(cuò)誤恢復(fù)及細(xì)粒度的訪問(wèn)控制。OpenVPN通過(guò)使用工業(yè)標(biāo)準(zhǔn)SSL/TLS協(xié)議，實(shí)現(xiàn)了OSI2層及3層安全網(wǎng)絡(luò)擴(kuò)展，支持靈活的基于證書(shū)、智能卡的客戶端認(rèn)證方法，它同時(shí)允許通過(guò)在VPN虛擬接口上應(yīng)用防火墻規(guī)則實(shí)現(xiàn)用戶及組訪問(wèn)控制策略。

3.4 使用ClawAV創(chuàng)建一個(gè)無(wú)病毒的網(wǎng)絡(luò)環(huán)境

計(jì)算機(jī)病毒是一種能對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行破壞的程序，如果系統(tǒng)感染病毒，小則破壞工作站操作系統(tǒng)，大則攻擊服務(wù)器導(dǎo)致整個(gè)信息系統(tǒng)的數(shù)據(jù)丟失、服務(wù)中止、系統(tǒng)癱瘓。數(shù)字圖書(shū)館從編目到流通都依賴于計(jì)算機(jī)應(yīng)用系統(tǒng)，如果因病毒而引起網(wǎng)絡(luò)安全問(wèn)題，不但圖書(shū)館的日常工作、服務(wù)不能開(kāi)展，還可能因?yàn)閿?shù)據(jù)的丟失造成經(jīng)濟(jì)上、人力上的損失，嚴(yán)重的話，后果可能不堪設(shè)想。因此，防范病毒也是確保數(shù)字圖書(shū)館網(wǎng)絡(luò)安全的一個(gè)重要環(huán)節(jié)。

ClamAV全名是ClamAntiVirus，是一套功能非常優(yōu)秀的開(kāi)源防毒軟件。它擁有定時(shí)掃描、在線更新病毒庫(kù)、實(shí)時(shí)監(jiān)控等功能，和市面上知名商業(yè)防毒軟件比起來(lái)一點(diǎn)也不遜色。ClamAV目前可以檢測(cè)超過(guò)500,000種以上的病毒、蠕蟲(chóng)、木馬程序，并且有一組分布在世界各地的病毒專家，24小時(shí)維護(hù)病毒庫(kù)，任何人發(fā)現(xiàn)可疑病毒可以隨時(shí)跟他們?nèi)〉寐?lián)系，立刻更新病毒庫(kù)。ClamAV可以安裝于數(shù)字圖書(shū)館網(wǎng)絡(luò)中的工作站及服務(wù)器上進(jìn)行病毒防范。

3.5 使用Amanda創(chuàng)建一個(gè)安全的數(shù)據(jù)備份

在數(shù)字圖書(shū)館這樣一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境中，隨時(shí)會(huì)因?yàn)楦鞣N原因而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)拒絕服務(wù)。這種原因可能來(lái)自硬件，也可能來(lái)自軟件；可能是人為的，也可能是客觀因素造成的。不管怎樣，當(dāng)這種災(zāi)難來(lái)臨時(shí)，我們要做的就是盡快恢復(fù)系統(tǒng)的運(yùn)行，為讀者提供正常的服務(wù)，而做到這一點(diǎn)的前提就是系統(tǒng)和數(shù)據(jù)的備份。

Amanda(Advanced Maryland Automatic Network Disk Archiver，馬里蘭高級(jí)自動(dòng)網(wǎng)絡(luò)磁盤(pán)存檔工具)是一個(gè)開(kāi)源的、復(fù)雜的網(wǎng)絡(luò)備份系統(tǒng)。Amanda可以綜合使用完全備份和增量備份把局域網(wǎng)中所有計(jì)算機(jī)的數(shù)據(jù)備份到一臺(tái)服務(wù)器的存儲(chǔ)器上；它通過(guò)建立“archive sets”的一組磁帶，用來(lái)備份在Amanda的配置文件中所列出的完整的文件系統(tǒng)，它同時(shí)能夠使用臨時(shí)保存磁盤(pán)作為備份存檔的中間存儲(chǔ)媒介，以優(yōu)化磁帶的寫(xiě)入性能并保證在磁帶出錯(cuò)時(shí)也能備份數(shù)據(jù)。

3.6 使用OpenCA創(chuàng)建一座安全的認(rèn)證中心

PKI是“Public Key Infrastructure”的縮寫(xiě)，通常被譯為“公鑰基礎(chǔ)設(shè)施”，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)。它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系，簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是網(wǎng)絡(luò)信息安全的關(guān)鍵和基礎(chǔ)技術(shù)。

OpenCA是OpenCA Labs開(kāi)源組織一直在致力開(kāi)發(fā)的一套免費(fèi)PKI軟件，通過(guò)使用OpenCA，單位可以構(gòu)建自己的PKI系統(tǒng)。OpenCA由四個(gè)主要部分組成，即CA，RA，PUB，NODE；簡(jiǎn)單來(lái)說(shuō)PUB是對(duì)外提供服務(wù)的接口，用戶可以在PUB的WEB界面提交自己的注冊(cè)請(qǐng)求、查詢請(qǐng)求等等；RA主要負(fù)責(zé)來(lái)處理經(jīng)由PUB提交過(guò)來(lái)的用戶請(qǐng)求，來(lái)決斷是否批準(zhǔn)這些請(qǐng)求；CA則根據(jù)RA批準(zhǔn)的請(qǐng)求來(lái)最終簽發(fā)證書(shū)；NODE負(fù)責(zé)在RA和CA之間傳輸數(shù)據(jù)。

4 小結(jié)

通過(guò)對(duì)開(kāi)源軟件中源碼的應(yīng)用研究，我們也能進(jìn)行新技術(shù)的學(xué)習(xí)與研究，有可能使圖書(shū)館掌握軟件開(kāi)發(fā)的核心技術(shù)并構(gòu)建成熟穩(wěn)定的系統(tǒng)；同時(shí)，使用開(kāi)源軟件可以明顯節(jié)約圖書(shū)館的經(jīng)費(fèi)［7］。因此，在數(shù)字圖書(shū)館網(wǎng)絡(luò)安全防護(hù)體系建設(shè)中布署免費(fèi)、安全、功能豐富的開(kāi)源軟件是行之有效的，并且也是一個(gè)值得提倡的好選擇。

參考文獻(xiàn)：

［1］ 趙懷生.未來(lái)圖書(shū)館法中圖書(shū)館經(jīng)費(fèi)規(guī)定的思考［J］.河南圖書(shū)館學(xué)刊，2003,(1).

［2］ 陳振興等.論圖書(shū)館經(jīng)費(fèi)短缺的問(wèn)題與對(duì)策［J］.黔東南民族師范高等?？茖W(xué)校學(xué)報(bào)，2003，(1).

［3］ 曹東.我國(guó)數(shù)字圖書(shū)館建設(shè)現(xiàn)狀及存在的問(wèn)題［J］.晉圖學(xué)刊，2005，(2).

［4］ 陳靜科等.數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全與防范［J］. 情報(bào)雜志，2003，(5).

［5］ 王志紅.談圖書(shū)館網(wǎng)絡(luò)安全［J］.中國(guó)圖書(shū)館學(xué)報(bào)，2005，(5).

［6］ 徐行.開(kāi)放源碼軟件的安全性分析及政府應(yīng)對(duì)策略［J］.Internet:共創(chuàng)軟件，2002，(5).

［7］ 林敏.試論圖書(shū)館使用開(kāi)源軟件的益處及注意事項(xiàng)［J］.大學(xué)圖書(shū)館學(xué)報(bào)，2006，(3).