高校图书馆网络安全问题及防护策略

高校图书馆网络安全问题及防护策略

摘要：分析了当前高校图书馆网络安全所面临的几大问题：软件自身的安全问题，内、外网所面临的攻击，病毒和管理不善等，并根据这些问题，针对性地提出了相应的防护策略。着重给出了软件防护、入侵防御系统、防病毒体系等的具体实施方法。

关键词：高校图书馆；网络安全；防护策略

0 引言

近年来，随着高校数字化及网络化建设的不断发展，数字化图书馆也迅速发展起来。总体上说，支撑数字图书馆的关键技术主要有信息处理、信息存储和信息传输3个方面。这种由新技术所带来的新的信息资源形态（数字化）和新的信息资源使用方式（网络传输），必然存在许多网络隐患，易受网络黑客攻击。同时，高校图书馆网络系统具有体系结构开放、资源共享和信道公用等特性,这使得高校图书馆网络安全问题更加突出。

1 高校图书馆网络面临的安全问题

随着高校图书馆的不断发展，我国大部分高校图书馆基本上实现了网络化、自动化和数字化，高校图书馆在校园建设中已形成了相当大的规模，这使得高校图书馆逐渐脱离了传统的DMZ，在校园网中占有独立的区域，以一个独立的网络形式存在。但随之而来的便是网络安全的问题，图书馆面临着来自内网和外网的双重安全威胁。

1.1 软件自身的安全问题

目前，大部分数字图书馆的信息服务器主要采用Web界面和基于TCP/IP协议的信息技术系统。其程序的基本构架基于客户机——服务器结构，服务器端一般用Windows Server的操作系统，并且多数系统要求安装使用IIS服务器。众所周知，Windows系列是Microsoft 公司的产品，以图形化界面和易操作闻名，但也存在数之不尽的安全漏洞。另一方面，当前应用软件都存在着漏洞或者缺陷。这也给黑客提供了攻击的突破口。例如，数据库是图书馆重要组成部分之一，常用的有SQL、Oracle等。而事实上，一个未打全补丁的数据库系统就是一个隐藏着的定时炸弹，网络上专门针对此的扫描和攻击工具不胜枚举。

因此，无论系统软件或者应用软件，黑客一旦攻破其漏洞，其造成的后果将不堪设想。例如，窃取用户个人信息及图书馆已购买或自建的数据库资源、删除或篡改数据致使服务中断、系统瘫痪甚至崩溃等。

1.2 来自内网的安全问题

图书馆网络架设在内网，通过三层交换机与校园网连接。交换设备是网络工作的常用设备，几乎任何网络中都离不开交换设备。因此，交换设备成为了内网网络攻击的首个对象。例如：学生对交换机密码破解，通过Telnet方式，以管理员身份登录交换机，对交换机配置进

行私自更改，影响网络的正常运行等。

因图书馆具有开放性、共享性等特点，如果图书馆网络防御功能简单，则很有可能遭受到来自内网的网络层攻击。如学生使用网络扫

描、密码破解等多种方式对图书馆网络中的服务器进行渗透、破坏或者盗取保密数据。

1.3 来自内网和互联网的应用层攻击

Internet/Intranet是基于TCP/IP协议簇的计算机网络。TCP/IP协议是网络中使用的基本通信协议。应用层向用户层提供的使用最广泛的协议有TELNET、FTP、SMTP、DNS等。由于TCP/IP协议是在可信的环境下建立的，因此其自身就存在着一些安全性问题。例如FTP、SMTP、POP3、TELNET等为明文密码，容易被sniffer监听到；SMTP，HTTP等缺乏客户端有效认证，导致服务器资源能力被恶意使用；而图书馆一些必要的远程服务，因只看IP地址就提供访问权限，更给

黑客们提供了攻击机会。

现在网上充斥着各类针对服务器数据的应用层攻击，包括:黑客入侵、木马程序、漏洞扫描、恶意程序等，这也对图书馆网络造成非常大的安全威胁。

1.4 计算机病毒的威胁

高校图书馆网络安全的另一大威胁就是计算机病毒。金山网络正式发布的《2011-2012中国互联网安全研究报告》显示，2011年每天有4%-8%的电脑上会发现病毒。因此外网的病毒入侵图书馆内网的几率大大增加。计算机病毒具有破坏性大、传播速度快、扩散面广等特点，它可以以多种方式侵入计算机网络，并不断繁殖，然后扩散到图书馆内部网上的计算机。一旦病毒入侵，图书馆网络可能会在短时间内瘫痪，致使服务难以进行，甚至可能破坏数据及计算机硬件，给

图书馆造成巨大损失。

1.5 管理因素

据统计,解决计算机安全问题的技术措施和非技术措施相比,大部分还是非技术措施,管理的因素占58%,物理的因素占20%,技术的因素仅占12%,其它占10%。可见，管理因素在整个计算机管理中是至关重要的。目前，高校图书馆在网络安全管理上，和技术因素相比，得到的重视度明显不够。主要有以下几个方面的问题：安全管理制度不完善；人员的安全意识淡薄；管理人员相关的培训学习较少，无法

及时发现网络的更新和变化等。

2 高校图书馆网络安全管理策略

2.1 软件防护

在高校图书馆中，操作系统（如Windows系列）和应用软件在安装时，一般都是采用默认安装，不进行正确的安全配置，致使其安全性非常低。操作系统的安全问题是当前网络安全中非常重要的,也

是较为复杂的。由此，给出一些软件防护建议。

(1)服务安装。美国最著名的“黑客”米特尼科说过，他可以进入任何一台默认安装的服务器。这就说明了默认安装的服务器操作系统是极度危险的。因此，在安装时，应该先了解有关数据库运行与提供服务的功能，只安装确实需要的服务。根据“最少的服务+最小的权限=最大的安全”这样的安全原则来安装相关服务。

(2)补丁更新。漏洞是软件致命的安全缺陷，尤其是操作系统。因此，管理员要加强安全意识，及时打好补丁。另外，补丁的安装应

该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到

应有的效果。

(3)账号管理。账号的安全是另一个重点。高校图书馆的服务器，每一台都会有相应的密码。但是，一个远程用户可以使用黑客软件破解用户密码。其次，系统内建的administrator也是一个漏洞，如果使用系统默认的administrator作为用户名，很容易被黑客识别。因此系统管理员应该将默认的用户名进行修改，同时不可忽略的是选择密码要足够长，且要定期更换。

2.2 入侵防御系统（IPS）

入侵防御系统，它是集成了防火墙、入侵检测、入侵防御的三合一立体安全网关设备。入侵防御系统能够有效防止各类网络层和应用层攻击，包括Dos/DDoS攻击、TCP/UDP端口扫描、Syn fragments、IP欺骗攻击等攻击手段。其主要功能有：①文件类型过滤功能：IPS 对SMTP、HTTP、FTP协议传输的文件类型进行控制，从而提供严格的访问控制手段，通过严格的控制可以更加有效地保证用户网络安全和有效防止病毒的扩散；②强悍的抵御攻击功能：采用类似代理技术进行攻击防范，攻击者必须首先与安全网关建立起标准的TCP连接，安全网关才会再与服务器进行连接，确保服务器的安全；③攻击后“自愈”能力：在任何情况下，安全网关的CPU利用率不能到达

100％，不死机，确保攻击停止后，网络正常运行。

2.3 建立防病毒体系