吳 旻

(西北大學圖書館，陜西 西安 710069)

隨著高校信息化建設的逐漸完善，高校圖書館承擔著校園網絕大多數(shù)數(shù)據(jù)的傳輸和信息發(fā)布，為讀者提供網上瀏覽、信息查詢、數(shù)據(jù)庫檢索、信息咨詢等服務。通過已建成的信息系統(tǒng)(如圖書管理系統(tǒng)、OA系統(tǒng)、數(shù)字圖書資源、文獻數(shù)據(jù)庫等)，校園網內讀者可以通過網絡迅速地獲取信息。然而，為了提高服務質量，讀者需要異地、移動等多種遠程訪問的場合越來越多。本文通過分析VPN(虛擬專用網)的技術特點與原理，結合圖書館數(shù)字資源網絡服務的實際工作特點，介紹一種利用VPN技術做好高校數(shù)字資源共享的方法。

1 VPN技術用于高校數(shù)字資源網絡服務的必要性

1.1 外聯(lián)信息交換面臨的安全威脅

由于Internet網采用的TCP/IP協(xié)議對任何數(shù)據(jù)都以明文的方式進行傳輸，整個信息服務都暴露在Internet網上，很容易被入侵者竊取或篡改，造成以下安全威脅。

(1)非授權訪問：分支機構、在外工作人員基于互聯(lián)網來訪問校園網內圖書館的信息網絡，傳輸?shù)目诹罨蛎艽a沒有采取任何加密措施的情況下，容易造成泄露，被攻擊者利用，造成非授權訪問。

(2)信息篡改：總校區(qū)或分校區(qū)的分支機構和在外工作人員進行數(shù)據(jù)訪問的過程中，數(shù)據(jù)以明文的方式傳遞，容易被竊聽和篡改。

(3)訪問行為抵賴：部分分支機構、在外工作人員存在IP地址不固定現(xiàn)象，易造成抵賴行為。

1.2 分校區(qū)辦公和在外工作人員的安全接入

對于圖書館來說，文獻信息資源并不是無限制地對外開放，我們購買的數(shù)據(jù)庫資源必須是校園網的合法用戶(訪問者的IP地址作為合法用戶的依據(jù))才能使用。但是隨著寬帶網絡的大范圍普及，更多的教師希望能夠在家或出差在外以及各個分校和主校區(qū)之間都能實現(xiàn)對校園網內圖書館資源的訪問。數(shù)字圖書館遠程訪問系統(tǒng)VPN的出現(xiàn)很好地解決了這個問題。

2 VPN在高校數(shù)字資源共享中的解決方案

2.1 VPN技術

VPN是一種公用網絡，綜合運用隧道封裝、認證、加密、訪問控制等多種網絡安全技術，實現(xiàn)企業(yè)總部、分支機構、合作伙伴及移動辦公人員之間互聯(lián)互通和資源共享技術。VPN技術包括基于二層的PPTP/L2TP;基于三層的 IPSEC VPN;基于七層的SSL VPN技術。IPSEC VPN和SSL VPN應用廣泛。

IPSEC VPN：IPSEC VPN是在特定的通信方之間在IP層通過加密與數(shù)據(jù)源進行驗證，保證數(shù)據(jù)包在公網上傳輸時的保密性、完整性和真實性，適用于在局域網之間，建立基于互聯(lián)網之間的安全傳輸通道。

SSL VPN：主要的瀏覽器和WEB服務器都支持SSL VPN，對于Web信息傳輸通道的機密性及完整性，SSL是最佳的解決方案，無需被加載到終端設備上，無需終端用戶配置，無需限制終端，只需標準瀏覽器即可。

2.2 技術方案分析

IPSEC VPN和SSL VPN各具特色，IPSEC VPN的普遍適用性、SSL VPN的方便性等，我們將從以下方面進行分析。

2.2.1 選擇合適的接入方式

SSL VPN設備通常以并聯(lián)的方式接入網絡，對網絡結構不會產生影響;IPSEC VPN存在兩種方式：串聯(lián)，設備串在網絡中，網絡流量貫穿其中，設備故障將導致傳輸中斷。并聯(lián)，旁路方式接入網絡，對網絡結構不產生影響。因此，盡可能選擇并聯(lián)接入方式。

2.2.2 選擇便于擴展的設備及結構

VPN設備因性能問題存在接入數(shù)量的限制，IPSEC VPN限制隧道數(shù)和移動用戶接入數(shù);SSL VPN限制用戶接入數(shù)量。選擇設備時，須考慮設備的擴展性，同時選擇便于擴展的網絡結構，并聯(lián)方式不影響網絡結構便于擴展。

2.2.3 選擇多種VPN技術以適應情況變化

IPSEC VPN為網絡層加密隧道，屬全網接入方式，分支局域網通過網絡建立隧道或者用戶通過移動客戶端接入后，能夠對內網的網絡資源進行訪問，不受業(yè)務提供方式限制。當某些用戶在沒有移動客戶端的情況下，SSL VPN凸顯了不需要安裝客戶端的特點。因此，最好的方式是以IPSEC VPN接入為主，SSL VPN為輔。

2.3 系統(tǒng)安全策略設計思路

VPN設備實現(xiàn)身份認證和訪問授權：保證合法用戶的合法接入，并且只能訪問授權內的辦公資源用戶進行身份認證和訪問授權。IPSEC VPN和SSL VPN技術都采用安全加密技術和身份認證技術保障數(shù)據(jù)的加密傳輸。

VPN安全技術實現(xiàn)通信內容安全：選擇具有防火墻、防病毒和內容過濾等功能的VPN網關，并且各功能相互融合，VPN數(shù)據(jù)進行檢查從而攔截病毒、蠕蟲、木馬、惡意代碼等有害數(shù)據(jù)，徹底保證了VPN通信的安全。

圖1 VNP方案設計拓撲圖

3 VPN方案設計

3.1 設備部署

VPN網關設備部署：VPN網關設備并聯(lián)部署在中心機房各分支機構的防火墻之上(如圖1所示)。

VPN客戶端部署：在每臺移動辦公設備上統(tǒng)一安裝客戶端軟件。

VPN集中管理軟件：軟件分為服務器、管理控制器和數(shù)據(jù)庫三部分，分別部署在圖書館中心機房安全服務器區(qū)的服務器上。

3.2 方案安全性策略描述

(1)結構保障系統(tǒng)可用性：VPN網關并聯(lián)接入，當設備斷電或故障時，不影響各局域網員工訪問互聯(lián)網資源;并聯(lián)方式便于擴充，通過簡單的加入交換設備進行設備擴充。

(2)技術選擇保障系統(tǒng)可用性：IPSEC VPN與SSL VPN的混合使用。正常情況下使用IPSEC VPN，任何種類的應用。在缺少VPN網關和客戶端的時候使用SSL VPN臨時接入，無條件支持B/S服務;采用端口轉發(fā)、全網接入等技術，通過插件實現(xiàn)對C/S服務訪問。

(3)管理保障系統(tǒng)可用性：通過集中管理軟件的幫助，實現(xiàn)客戶端自動部署，提高了自動部署的機動性和靈活性;增大管理容量。

(4)VPN隧道安全技術組合：利用IPSEC VPN和SSL VPN二合一網關上的IPSEC VPN功能建立與數(shù)據(jù)中心、各分支機構和移動辦公終端的VPN通道，實現(xiàn)數(shù)據(jù)通信的機密性、完整性;在沒有VPN網關設備和VPN客戶端的情況下，通過瀏覽器與圖書館數(shù)據(jù)中心建立SSL VPN隧道，實現(xiàn)安全數(shù)據(jù)通信;利用身份認證功能，實現(xiàn)對訪問校園網的用戶、局域網的訪問的身份認證和授權;利用防火墻、病毒防護、內容過濾等功能，對訪問數(shù)據(jù)進行過濾，實現(xiàn)VPN的安全控制和功能。

3.3 方案效果

通過VPN設備的部署和安全策略設置，使圖書館網絡服務實現(xiàn)了基于互聯(lián)網的安全延伸，并具有以下良好效果：旁路接入的方式，對現(xiàn)有網絡結構的影響減少到最小，有效保障網絡結構的穩(wěn)定性并具有良好的擴展性;通過綜合使用IPSEC VPN和SSL VPN技術，覆蓋了各種情況下的遠程接入，具有良好的環(huán)境適應能力;通過VPN設備上的病毒過濾功能的啟動，盡量減少移動用戶對內網的影響;通過認證技術具有一定的抗抵賴性，通過加密技術保障數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?/p>

4 制定方案需要注意的問題

4.1 保證校園網及圖書館網絡的安全

產品在客戶端與網關進行連接時，采用應用層進行控制，防止病毒、木馬、蠕蟲通過遠程訪問方式進入校園網進行傳播;其次是在用戶組和用戶管理方面對用戶組權限可以做詳細的劃分，用戶只能瀏覽和運行我們授權其使用的校園網和電子資源。

4.2 保護數(shù)據(jù)庫提供商的數(shù)字版權

在建設遠程訪問時，我們也必須考慮到數(shù)據(jù)版權方面的糾紛，應該做到對用戶身份的強認證，保證每一個遠程訪問的使用者都是學校的合法用戶。

4.3 有效預防惡意下載數(shù)字資源的情況發(fā)生

有些學校曾經遇到由于無法限制用戶的下載流量，而經常發(fā)生惡意下載，影響了廣大師生的正常訪問秩序，并給大學的聲譽帶來了負面的影響，而且事后的警告并不會減少其他用戶惡意下載的發(fā)生。對此，學校在使用了遠程訪問系統(tǒng)之后，可以在設置用戶組權限時，給不同的用戶組設置不同的在線時長、最大流量、平均流量等幾個指標來綜合限制用戶的下載流量。當用戶發(fā)生大流量下載時，系統(tǒng)會自動中斷客戶端與網關之間的連接，并將用戶掛起，待管理員重新激活該用戶時此用戶才能正常使用。

4.4 方便用戶申請、下載客戶端、使用客戶端

由于現(xiàn)在的大學規(guī)模越來越大，有遠程訪問使用需求的人員也越來越多，如果所有的人員都需要手工審核用戶、建立用戶、分發(fā)密碼、安裝客戶端，必須考慮VPN產品可以方便快捷地解決這個問題。

4.5 監(jiān)控用戶的下載流量、資源使用情況

用戶日志也是很多大學所關心的問題，通過用戶活動記錄可以隨時調整系統(tǒng)設定和工作進程。所以，遠程訪問系統(tǒng)應該具有完備的網關流量審計、用戶流量和行為審計，并且增加資源訪問審計系統(tǒng)可以統(tǒng)計管理員設定的各種電子資源的訪問流量和訪問次數(shù)，為購買數(shù)據(jù)和資源整合提供依據(jù)。

4.6 擴展遠程訪問的應用，服務于學校自建數(shù)據(jù)庫的推廣

各個大學圖書館有相應的辦公系統(tǒng)、自動化系統(tǒng)、自建特色庫和專題庫等等，通過遠程訪問系統(tǒng)自身先進的網絡協(xié)議去完全承載各種形式的辦公系統(tǒng)軟件。使學校的老師在授權的范圍內可以方便的做到遠程辦公、遠程查重、遠程借還書等等工作，擴展了遠程訪問系統(tǒng)使用空間，并且對自建數(shù)據(jù)庫的訪問用戶進行嚴格的權限控制、嚴格的身份認證以及較高的加密強度，以便對自建庫進行推廣，使其發(fā)揮更大的作用。

5 結語

VPN利用公用網組建虛擬的專用網，使用計算機和計算機網絡在校園網外就可以對數(shù)字資源隨時進行訪問，提高了數(shù)字資源的利用率，為讀者提供數(shù)字資源共享服務。目前，市場上有多個公司的多種VPN產品，這些產品提供的功能和網絡性能也不盡相同。我們可以根據(jù)本單位的具體情況。選擇不同的產品，實現(xiàn)數(shù)字資源安全、低成本的遠程訪問。

[1]劉洋.IPSEC VPN和SSL VPN的分析比較[J].電腦知識與技術，2009(4).

[2]張穎.利用VPN技術實現(xiàn)圖書館信息資源遠程訪問[J].情報探索，2008(7).

[3]王健.利用VPN技術實現(xiàn)高校圖書館數(shù)字資源的遠程訪問[J].圖書館建設，2006(5).

[4]張文豐.VPN技術在檔案信息化中的應用[J]. 科技資訊，2007(25).

[5]鄧永紅.虛擬專用網技術綜述[J].有線電視技術，2005(2).