摘 要:随着计算机网络及高校校园网的普及,许多高校都想依托已有的高速校园网建立数字化图书馆。在数字化图书馆规划建设阶段,网络安全是一个令人头痛和难以解决的问题。本文将从保证网络接入安全、保证干路畅通和划分子网、保证软件系统的安全及健全的管理机制四个方面论述在数字化图书馆建设中如何进行安全性的保障。
关键词:接入安全;子网划分;操作系统安全;管理机制
数字化图书馆是一个文献信息中心,能为读者提供电子期刊服务、图书书目数据服务、图书光盘点播和视频点播服务,并且能够拥有自己的部分特色数据资源。要求提供的服务比较多,各特色服务所用的平台也是五花八门,同时,影响网络安全的因素比较多(通常有人的因素,自然因素,病毒因素),因此,如果对这些主要因素防范不得力,将影响网络硬件、网络数据传输、数据服务器的安全。在对其进行安全设计时,单一的技术或设备保护难以保证网络的安全,所以,可能通过采用保证Internet的接入的安全、保证干路畅通和合理划分子网、保证软件系统系统的安全、健全管理机制等措施来设计图书馆网络。这种切合实际、低成本、高技术的设计方案实施后,使网络安全性大大增强,而网络的性能并未受到太大的影响。
一、保证接入的安全
一些攻击往往来自外网,而某些数字图书馆中购买的电子图书管理系统,如超星电子图书系统、Web Science等数据库需要访问外网;同时,外网的授权用户需要能够访问电子图书馆中数据。所以必须保证接入部分稳定与安全。在外网连接上租用2条光纤线路分别连接ISP与学校,使用路由器接入,然后用一台Sun spark操作系统为Solaris的服务器做防火墙将外网和内网划分开;同时用其做策略路由服务器,使校园网内的用户可以快捷地访问外网资源。在外部用户访问时,首先用Sun spark服务器防火墙进行IP地址过滤,过滤掉非法的IP地址,然后通过用户名+密码模式登录,才能通过防火墙访问内部资源。
二、保证干路畅通和划分子网
网络干路是指各楼的骨干网、骨干网汇接形成的交换中心及连接Internet的接入线路。它的不畅通必定导致大规模的网络瘫痪,使得外部付费用户无法访问内部资源,从而造成极坏的影响。
在光纤干路上采用光纤连接主校区的各大教学楼、校区。主干路使用3对光纤做冗余。由于有些学校有其他分校区而且距离比较远,光纤连入费用较高,因此,可以采用拨号接入的方式连接。可以采用3Com RAS3500作为拨号服务器,分配32个校内电话给该服务器,用户只需要拨这32个号码中的一个,通过认证后,就可以动态分配一个校内的合法IP来访问校内的资源。干路上的安全隐患也有可能来自非技术因素,例如,道路施工光纤被人为挖断;由于某路段起火烧掉部分光纤。对于这种情况,可以采用租用微波通信线路和将策略路由指向ISP线路的办法来保障网络的畅通。
由于有些学校规模较大,地理位置十分分散,各大单位为相对独立的机构,所以需要进行子网划分以便于管理。
三、保证软件系统的安全
由于操作系统是软件系统的基础,所以,保护好操作系统是必需的,对于Windows系统(提供CNKI和VIP镜像等服务)的保护,可以采取取消Guest帐号、取消不必要的服务(如远程注册表操作)、安装诺顿防火墙和相应的杀毒软件、定时查看有无异常的程序运行等方式保证其安全。对Linux或Unix(提供邮件、网络计费、主页、论坛等服务),可以采取关闭许多不必要的端口,定时对系统打包升级等措施来保证其安全。
四、健全的管理机制
数字化图书馆的工作状态在很大程序上取决于是否有良好的管理机制。如果制度合理、管理得当、执行得力,就能有效地预防和控制安全事故的发生。反之,则可能引发各种安全隐患。
在网络管理中规定工作人员必须定期检查服务器的日志,通过日志可以清楚地看到有无外来人员登录服务器,以及做了何种修改。对于重要的数据服务器,每日必须做异地备份。管理员的密码必须达到一定的长度并且建议每周修改一次。
一般而言,网络安全是网络服务效率的保障。没有了数据安全,网络服务将成为无源之水;没有网络系统的安全,网络服务将成为无本之木。当然,没有效率的网络传输是得不偿失的。所以,要规划好网络及软、硬件的合理利用。
在接入方面,由于在一个学校有几千台机器要通过防火墙的服务器接入Internet,因此会给该服务器造成较大的负担,同时在数据传输量大时,该服务器处理速度将成为瓶颈。为此,可以使用两台Spark主机做代理服务器,代理服务器同时启动用户认证服务,由于代理服务器的缓存保证出校的流量大大减少,同时认证功能使得非法用户无法登录网络,因此,这样的冗余设计使得网络的安全性能和效能得到大幅度的提高。
在子网划分方面,连接各教学单位过来的交换机之间用光纤进行串连,这样跨子网间的传输数据的瓶颈问题消失。
在数据存储方面,由于在数字化图书馆中提供了CNKI和VIP等服务,对服务器的访问量、存储的数据量都十分庞大,单个的数据检索查询都会占据大量的CPU时间,因此使用SAN和NAS存储大量的数据,当用户提出一个检索的申请时,检索服务将在服务器上运行,当用户提出一个下载的申请时,下载的服务由SAN和NAS去完成,从而使SAN和NAS的性能比磁盘阵列高。
数字化图书馆网络的安全管理不是引进一个硬件和软件就能得到大幅度的提高的;这是一个长期的、动态的过程。在建设数字化图书馆过程中可能会遇到许多的问题。有些问题是从技术上无法解决的,必须建立一套严格有效的操作规程和管理制度,避免人为因素破坏,这样才能建立一个高效、安全、低成本的数字化的图书馆。
参考文献:
[1]刘云霞 数字化图书馆安全性探讨 2009
[2]马晓绛主编 计算机网络安全技术,科学出版社,2004
[3]施游 张友生主编 网络规划设计师考试全程指导 2009