黎邦群

惠州學(xué)院圖書(shū)館 廣東 516017

0 前言

高校圖書(shū)館電子閱覽室是指以計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)為基礎(chǔ)，集電子型文獻(xiàn)(如磁盤(pán)、光盤(pán)、網(wǎng)絡(luò)服務(wù)等)閱覽、咨詢(xún)、培訓(xùn)、服務(wù)為一體的現(xiàn)代化多功能閱覽室。隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，電子閱覽室已進(jìn)入數(shù)字時(shí)代的發(fā)展進(jìn)程，并以其特有的快速、高效和便捷改變著人們學(xué)習(xí)和生活的方式。然而，電子閱覽室所面臨的網(wǎng)絡(luò)安全問(wèn)題卻不容忽視，如果不采取相應(yīng)的對(duì)策，電子閱覽室可能會(huì)影響正常的開(kāi)放使用，影響校園網(wǎng)其他部(室)的網(wǎng)絡(luò)穩(wěn)定，甚至造成整個(gè)局域網(wǎng)癱瘓。

1 電子閱覽室所面臨的網(wǎng)絡(luò)安全問(wèn)題

1.1 計(jì)算機(jī)病毒

用戶(hù)通過(guò)攜帶U盤(pán)到電子閱覽室使用、WEB訪問(wèn)、收發(fā)郵件及其他網(wǎng)絡(luò)應(yīng)用而使計(jì)算機(jī)感染各種病毒。其中木馬是一種基于遠(yuǎn)程控制的黑客工具，它通常寄生于用戶(hù)的計(jì)算機(jī)系統(tǒng)中。木馬成為威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的“主力軍”，利用各種漏洞進(jìn)行攻擊的惡意代碼，以及 ARP 欺騙是黑客常用的攻擊手段之一。有的學(xué)生網(wǎng)絡(luò)安全意識(shí)淡薄，隨意下載、安裝軟件或上網(wǎng)聊天、玩網(wǎng)絡(luò)游戲，不經(jīng)意間進(jìn)入了極易感染病毒的網(wǎng)站，把木馬和蠕蟲(chóng)等病毒帶入系統(tǒng)。當(dāng)其中一臺(tái)計(jì)算機(jī)中病毒后就會(huì)成為病毒傳染的源頭，以各種方式傳染其它計(jì)算機(jī)，導(dǎo)致其它計(jì)算機(jī)或整個(gè)局域網(wǎng)癱瘓。

1.2 人為因素

即人為造成的安全問(wèn)題，包括人為失誤、人為惡意攻擊等。人為失誤如由于管理員的疏忽，設(shè)置的賬戶(hù)密碼過(guò)于簡(jiǎn)單脆弱極容易被破解、安裝了有安全隱患的軟件，以及開(kāi)放了多余的服務(wù)與端口等。人為惡意攻擊包括來(lái)自?xún)?nèi)部的攻擊和來(lái)自外部的攻擊，近些年來(lái)，一些在網(wǎng)絡(luò)上從事竊取、破壞資料的攻擊者變得異?；钴S。越來(lái)越多的病毒，心懷不軌的黑客都將服務(wù)器作為了自己的練手、攻擊目標(biāo)。人為因素還包括管理制度不健全，安全技術(shù)不過(guò)關(guān)等問(wèn)題。

1.3 軟件漏洞

電子閱覽室安裝的操作系統(tǒng)大多是Windiws的，其存在的各種漏洞已成為網(wǎng)絡(luò)攻擊的一大目標(biāo)。網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)軟件不可能是十全十美的，在設(shè)計(jì)和開(kāi)發(fā)的過(guò)程中，不可避免會(huì)出現(xiàn)一些缺陷和漏洞。包括網(wǎng)絡(luò)架構(gòu)的漏洞威脅、操作系統(tǒng)的安全漏動(dòng)、機(jī)房軟件系統(tǒng)的漏洞問(wèn)題等。

由于網(wǎng)絡(luò)協(xié)議(如TCP/IP協(xié)議)的設(shè)計(jì)弱點(diǎn)、網(wǎng)絡(luò)操作系統(tǒng)的漏洞、應(yīng)用系統(tǒng)設(shè)計(jì)的漏洞、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷、互聯(lián)網(wǎng)的開(kāi)放性等特性，電子閱覽室所面臨的網(wǎng)絡(luò)安全問(wèn)題，絕不容忽視，需要總結(jié)出一套相應(yīng)的管理與維護(hù)的對(duì)策。

2 管理與維護(hù)的對(duì)策

2.1 網(wǎng)絡(luò)設(shè)備的管理與維護(hù)

2.1.1 交換機(jī)

交換機(jī)通常是整個(gè)網(wǎng)絡(luò)的核心所在，但這一地位使它成為黑客入侵和病毒肆虐的重點(diǎn)對(duì)象。交換機(jī)作為整個(gè)網(wǎng)絡(luò)的接入層核心，如果能對(duì)連入該交換機(jī)進(jìn)行訪問(wèn)和存取網(wǎng)絡(luò)信息的用戶(hù)進(jìn)行區(qū)分和權(quán)限控制，并配合其他設(shè)備，對(duì)非授權(quán)訪問(wèn)和網(wǎng)絡(luò)攻擊進(jìn)行有效的監(jiān)控和阻止。把網(wǎng)絡(luò)安全的策略盡可能地實(shí)施于接入層的交換機(jī)上，這樣更能及時(shí)發(fā)現(xiàn)并解決問(wèn)題，提高整個(gè)局域網(wǎng)的安全性能。

(1) 劃分虛擬局域網(wǎng)VLAN

VLAN可以在二層或者三層交換機(jī)上實(shí)現(xiàn)有限的廣播域，它可以把網(wǎng)絡(luò)分成一個(gè)個(gè)獨(dú)立的區(qū)域，可以控制這些區(qū)域是否可以通信。VLAN 可能跨越一個(gè)或多個(gè)交換機(jī)，與它們的物理位置無(wú)關(guān)，設(shè)備之間好像在同一個(gè)網(wǎng)絡(luò)間通信一樣，如表1。通過(guò)VLAN劃分來(lái)控制廣播風(fēng)暴的產(chǎn)生，從而提高整個(gè)網(wǎng)絡(luò)的整體性能。

表1 電子閱覽室VLAN劃分示意圖

(2) IP地址、MAC與端口綁定

使用交換機(jī)提供的端口的單地址工作模式，即交換機(jī)的每一個(gè)端口只允許一臺(tái)主機(jī)通過(guò)該端口訪問(wèn)網(wǎng)絡(luò)，任何其它地址的主機(jī)的訪問(wèn)將被拒絕。當(dāng)前局域網(wǎng)的ARP欺騙病毒十分普遍，ARP攻擊能使局域網(wǎng)大面積地出現(xiàn)網(wǎng)絡(luò)掉線。通過(guò)IP地址、MAC與端口的綁定，是防止ARP攻擊最簡(jiǎn)單也是最有效的方法。以H3C E-352為例，將其端口1劃分到Vlan 6，并進(jìn)行IP地址、MAC與端口綁定的命令如下：

＜H3C＞system-view

[H3C]port access vlan 5

[H3C-Ethernet1/0/1]port access vlan 5

[H3C-Ethernet1/0/1]am user-bind mac-addr 001a-a920-970f ip-addr 192.168.250.6

(3) 進(jìn)行流量控制

交換機(jī)的流量控制技術(shù)把流經(jīng)端口的異常流量限制在一定范圍內(nèi)，避免交換機(jī)的帶寬被無(wú)限制濫用。流量控制功能能夠?qū)崿F(xiàn)對(duì)異常流量的控制，避免網(wǎng)絡(luò)堵塞。

(4) 創(chuàng)建訪問(wèn)控制列表ACL

ACL不但可以讓網(wǎng)絡(luò)管理者用來(lái)制定網(wǎng)絡(luò)策略，針對(duì)個(gè)別用戶(hù)或特定的數(shù)據(jù)流進(jìn)行允許或者拒絕的控制，也可以用來(lái)加強(qiáng)網(wǎng)絡(luò)的安全屏蔽，讓黑客找不到網(wǎng)絡(luò)中的特定主機(jī)進(jìn)行探測(cè)，從而無(wú)法發(fā)動(dòng)攻擊。以銳捷 S3550-24為例，創(chuàng)建ACL1，僅允許TCP端口為80的數(shù)據(jù)通過(guò)的ACL，并將其應(yīng)用到交換機(jī)端口2的命令如下：

RJ3550＞enable

RJ3550#configure

RJ3550(config)#ip access-list extended ACL1

RJ3550(config-ext-nacl)#permit tcp any any eq 80

RJ3550(config-ext-nacl)#exit

RJ3550(config)#interface FastEthernet 0/2

RJ3550(config-if)#ip access-group ACL1 in

2.1.2 防火墻

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入。防火墻是網(wǎng)絡(luò)安全的屏障，可以強(qiáng)化網(wǎng)絡(luò)安全策略，對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)，防止內(nèi)部信息的外泄。防火墻可以減少外部入侵者突破電子閱覽室網(wǎng)絡(luò)系統(tǒng)的可能性，也能阻止電子閱覽室的內(nèi)部用戶(hù)發(fā)送未加密的數(shù)據(jù)，從而達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。電子閱覽室的防火墻示意圖如圖1所示。

圖1 電子閱覽室的防火墻示意圖

2.1.3 利用網(wǎng)管工具進(jìn)行網(wǎng)絡(luò)監(jiān)控與診斷

可利用系統(tǒng)自帶的網(wǎng)絡(luò)診斷工具如ping、netstat等命令來(lái)進(jìn)行網(wǎng)絡(luò)監(jiān)控與診斷。條件允許的情況下，還可以購(gòu)買(mǎi)IPS等專(zhuān)業(yè)的網(wǎng)管硬件。IPS能對(duì)電子閱覽室用戶(hù)的上網(wǎng)行為進(jìn)行監(jiān)控與記錄。對(duì)不符合規(guī)則的行為進(jìn)行阻斷、減速、警告及記錄。并利用其日志進(jìn)行網(wǎng)絡(luò)安全隱患的可靠診斷。

2.1.4 服務(wù)器

在配置各類(lèi)服務(wù)器時(shí)，選擇安裝最少的系統(tǒng)組件、網(wǎng)絡(luò)協(xié)議與系統(tǒng)服務(wù)，僅開(kāi)放必須的端口。如WEB服務(wù)器，僅需安裝TCP/IP協(xié)議、僅開(kāi)放TCP端口80端口、并禁用所有的IP端口。加密系統(tǒng)文件、設(shè)置足夠強(qiáng)的系統(tǒng)賬號(hào)、限制普通用戶(hù)登錄權(quán)限、安裝服務(wù)器版的殺毒軟件、及時(shí)打上操作系統(tǒng)漏洞補(bǔ)丁等，盡量減少服務(wù)器的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

2.2 電子閱覽室的管理與維護(hù)

2.2.1 硬件管理與維護(hù)

硬盤(pán)保護(hù)卡也稱(chēng)硬盤(pán)還原卡，它可以使計(jì)算機(jī)硬盤(pán)在病毒、誤改、誤刪、故意破壞硬盤(pán)的內(nèi)容等非物理?yè)p壞的情況下，恢復(fù)到最初的樣子，給機(jī)房管理和維護(hù)帶來(lái)了極大的方便。在每臺(tái)工作站裝硬盤(pán)保護(hù)卡：將工作站硬盤(pán)劃分為多個(gè)分區(qū)，利用硬盤(pán)保護(hù)卡來(lái)保護(hù)系統(tǒng)盤(pán)及其他需要保護(hù)的區(qū)域。硬盤(pán)保護(hù)卡的工作原理是通過(guò)插在主板上的硬件芯片與硬盤(pán)的MBR 協(xié)同工作。作為硬盤(pán)保護(hù)的一種有效工具，硬盤(pán)保護(hù)卡可以有效地防范病毒、防止對(duì)硬盤(pán)的刪、寫(xiě)操作，在退出系統(tǒng)后會(huì)完全恢復(fù)到上機(jī)前的狀態(tài)，從而大大減少網(wǎng)絡(luò)機(jī)房維護(hù)的工作量。

2.2.2 軟件管理與維護(hù)

(1) 終端機(jī)操作系統(tǒng)管理

可以對(duì)電子閱覽室終端機(jī)的操作系統(tǒng)進(jìn)行個(gè)性化的安全優(yōu)化配置。首先必須打上最新的系統(tǒng)與軟件的漏洞補(bǔ)丁，通過(guò)打補(bǔ)丁可大大增強(qiáng)計(jì)算機(jī)系統(tǒng)的防病毒和黑客入侵的能力。設(shè)置足夠強(qiáng)度的管理員口令、刪除不必要的系統(tǒng)組件與網(wǎng)絡(luò)協(xié)議、禁用不需要的系統(tǒng)服務(wù)，利用組策略與修改注冊(cè)表作出必要的安全策略設(shè)置。通過(guò)這些措施，可以使得系統(tǒng)本身具備一定的安全防范能力。

(2) 網(wǎng)絡(luò)殺毒軟件

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，病毒的危害和傳播已經(jīng)脫離了單機(jī)的模式，單機(jī)版的病毒防殺系統(tǒng)已經(jīng)無(wú)法適應(yīng)網(wǎng)絡(luò)病毒的防殺要求。盡管現(xiàn)在各大單機(jī)版殺毒軟件廠商都紛紛宣布永久免費(fèi)，但是在電子閱覽室中，往往集中了幾十上百臺(tái)計(jì)算機(jī)，集中式網(wǎng)絡(luò)病毒防殺系統(tǒng)，不僅具有病毒防殺范圍廣，病毒庫(kù)更新及時(shí)、方便，而且具有防殺行動(dòng)統(tǒng)一、徹底，系統(tǒng)穩(wěn)定、可靠，用戶(hù)參與少，整體投資效益高等優(yōu)點(diǎn)，所以條件允許的情況下，還是要盡量選擇網(wǎng)絡(luò)版殺毒軟件。

2.2.3 人員管理

(1) 增強(qiáng)管理員的安全保護(hù)意識(shí)，提高技術(shù)水平

電子閱覽室的維護(hù)與管理需要一支高素質(zhì)的專(zhuān)業(yè)人才隊(duì)伍。管理主體是人，無(wú)論是設(shè)計(jì)和構(gòu)建安全、可靠的網(wǎng)絡(luò)系統(tǒng)，還是日常的教學(xué)網(wǎng)絡(luò)的科學(xué)管理，都需要業(yè)務(wù)精通、技術(shù)水平高的專(zhuān)業(yè)人才。一支技術(shù)過(guò)硬、責(zé)任心強(qiáng)的專(zhuān)業(yè)隊(duì)伍是必不可少的。

(2) 進(jìn)行上機(jī)登記，對(duì)用戶(hù)加強(qiáng)安全宣傳與普及教育

對(duì)來(lái)電子閱覽室上機(jī)的用戶(hù)要進(jìn)行引導(dǎo)與培訓(xùn)，并進(jìn)行網(wǎng)絡(luò)安全方面的宣傳教育。通過(guò)在醒目位置粘貼“上機(jī)需知”告示等措施，提醒用戶(hù)遵守閱覽室各項(xiàng)規(guī)則制度，不要從事危害網(wǎng)絡(luò)安全方面的活動(dòng)。

(3) 制定完善的維護(hù)制度，做到定期維護(hù)

健全網(wǎng)絡(luò)安全防范的規(guī)章制度，在管理上應(yīng)該積極主動(dòng)，采取行之有效的管理方法，把技術(shù)手段和管理機(jī)制緊密結(jié)合起來(lái)，從硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度。

3 總結(jié)

高校圖書(shū)館電子閱覽室的網(wǎng)絡(luò)安全管理與維護(hù)，是一項(xiàng)長(zhǎng)期而復(fù)雜的工作，需要在實(shí)際工作中不斷探索，不斷總結(jié)經(jīng)驗(yàn)，需要學(xué)習(xí)新的知識(shí)與技術(shù)，在新形式下對(duì)其做出安全評(píng)估，作出新的安全防護(hù)措施，從而保證電子閱覽室的正常高效使用。本文總結(jié)了電子閱覽室日常實(shí)踐經(jīng)驗(yàn)，以求拋磚引玉，望各同行批評(píng)指正。

[1]楊小剛.計(jì)算機(jī)木馬病毒檢測(cè)與防范[J].計(jì)算機(jī)與信息技術(shù).2010.

[2]趙日峰.服務(wù)器的安全防護(hù)措施[J].網(wǎng)絡(luò)與信息.2005.

[3] 馮凱.關(guān)于計(jì)算機(jī)房網(wǎng)絡(luò)安全的研究與探討[J].全國(guó)商情(理論研究).2010.

[4]楊林海.局域網(wǎng)安全交換機(jī)的應(yīng)用探討[J].辦公自動(dòng)化.2010.

[5]宋京紅.計(jì)算機(jī)公共機(jī)房硬盤(pán)保護(hù)卡的應(yīng)用[J].北華航天工業(yè)學(xué)院學(xué)報(bào).2010.