摘要:在2009年12月的《高校數字圖書館網絡安全建設探討》中,作者探討了一些高校數字圖書館網絡安全應該注意的三個方面。雖然當前數字圖書館建設中主要考慮的是這三方面,但是如果要構建一個安全的數字圖書館系統,就還要考多方面的內容。本文是以原文為基礎,增補了一些新的安全考慮,故此能夠更好地維護好高校數字圖書館網絡安全。
關鍵詞:數字圖書館;網絡安全;網絡維護;行為控制
在《高校數字圖書館網絡安全建設探討》中,作者提出了高校建設數字圖書館需要從“系統及網絡的安全”“網頁的安全”“訪問的安全”三個方面加以考慮。雖然這是當前數字圖書館建設時考慮的重點,但是從筆者多年來從事的數字圖書館網絡安全評估經驗來說,這些是遠遠不夠的。故此,筆者從實際數字圖書館系統安全評估方面考慮,提出了:存儲數據的安全、工作人員操作的安全、制度安全、內部人員管理的安全。
1 存儲數據的安全
高校數字圖書館數據安全是指數字圖書館中電子信息資源的存儲安全和存儲讀者信息的數據庫安全。
當前數字圖書館系統大都使用數據庫來存儲數據,國內小型數字圖書館系統常用的有Access和My-SQL,有些大中型數字圖書館系統還使用Oracle、SQL Server、DB2和Sybase。目前許多數字圖書館系統網站存儲著數以TB的電子資源,這些資源是數字圖書館的根本,如果丟失或損壞(被篡改),將是難以彌補的損失。此外,數字圖書館還存儲讀者(客戶)信息,這些個人信息對讀者來說是極其重要且非常敏感的。這些信息的泄露會對讀者(客戶)造成物質和精神上的損害,數字圖書館系統網站難辭其咎。
在構建數字圖書館時,就要確保這些數據庫系統的安全,合理設置用戶及表格權限,在保障正常運行的同時,盡可能地阻止非授權用戶對數據庫中的敏感數據的訪問。要對數據庫進行異地備份,有條件的話讓Web網站與數據庫分開,使用NTFS分區,并啟用EFS,并對數據庫服務器IP地址加密,增加硬件防火墻,加強對數據的保護。對于基于ASP的網站服務器,對ODBC的訪問要有用戶權限限制,并將Web服務器中的配置ODBC的工具進行刪除,加密數據庫訪問配置文件。
現在數字圖書館系統大多都有客戶的虛擬賬號,存有余額。國內高校數字圖書館系統軟件還提供讀者賬戶在線查詢功能,對客戶賬目查詢所提交的信息,幾乎沒有使用任何加密協議,也沒有對查詢數據加密。黑客嗅探并更改查詢信息后,很容易獲得賬戶信息,進而獲得客戶的詳細資料,造成客戶信息的外泄。現今幾乎所有的高校圖書館都有用于與讀者交流的論壇。這些論壇大多是在修改購得的商業軟件后投入使用的,其源代碼在互聯網上多有流傳,軟件開發商編程的疏漏及軟件存在的技術缺陷,都可能導致讀者信息的泄露。
在這種情況下,讀者注冊后,其相關信息可能在論壇上出現;論壇調用數據庫中讀者信息的同時,數據泄漏的風險大大增加;數據庫連接的透明性也使數據庫服務器容易遭受網絡黑客的攻擊。
為確保數據完整及安全,對數字圖書館系統網站數據要做到每星期進行一次完整性檢查;圖書借還信息及電子資源有償下載信息庫自動增量備份要做到30分鐘。如我們可以通過使用軟件(如使用Symantec Backup Exec 12.5服務器版)來完成。此外,數據庫服務器要有足夠的冗余,保證在每一工作時間都有服務器正常運行。
2 工作人員操作的安全
操作的安全是指數字圖書館工作人員其對信息處理中,其操作是正常的,對事件處理是在其授權內的正常工作。這就是說工作人員的操作是經過授權、認證的,其行為和結果經過他人(系統)審核,在他人(系統)監控下操作。對于誤操作,審核人員可以對此進行恢復。防止操作人員懷有一定的目的進行數據的非授權修改。
工作人員要做好日志的保護和分析工作。網絡日志是網絡用戶對網絡的訪問記錄,也是分析網絡安全的重要依據。許多入侵(內外網)都會在系統上留下痕跡,所以日志的保護是相當重要的。數據庫運行日志,是數據庫各種操作的記錄,保存著各種事務運行請求及運行結果。這些日志,對我們監控網絡及服務器運行至關重要。有些日志如數據庫日志可以通過日志回滾來進行對誤操作數據進行恢復,我校2009年就有工作人員誤操作造成數據嚴重丟失現象,就是通過數據庫日志回滾來恢復數據的。目前,比較流行的是遠程存儲單向流。將路由器、防火墻及重要的服務器(包括數據庫服務器)的日志備份到其他網絡中的計算機,此計算機只能接收指定的網絡設備傳來的請求,對網絡中其他計算機的請求予以舍棄,只接受本地用戶本地操作,這樣可以保護日志的安全。
3 建立、健全相關的法律及各項規章制度
目前,高校開放數字圖書館系統,大大提高了圖書館信息資源的利用率。但是,許多的高校圖書館沒有相應的規章制度,造成極大的安全隱患。有的高校圖書館缺乏對網絡管理員的監控、管理,造成其在數字圖書館中的為所欲為。沒有相應的規章制度,當造成網絡安全事件發生時,沒有人具體負責,造成損失時,沒有相應的追責制度。湖北某高校曾出現管理員任意修改系統數據截留有償下載信息的資金情況發生。我校也有因為沒有相關制度,造成責權不明,網絡管理虛位,當網絡安全事件發生時人員相互推諉,造成不能及時響應,致使數據丟失的嚴重后果。因此,高校數字圖書館要有適合自己的一套規章制度來監督、約束工作人員,使責權到個人,使違規人員受到相應的懲罰,使工作積極人員得到相應的表彰。
4 使用基于行為網絡安全控制技術,加強內部人員管理
當前,計算機網絡安全已經不單單局限于計算機病毒和黑客攻擊,更多的人為因素已經上升到首位。上網行為的監控(包括網絡訪問限制、郵件監控、網絡地址認證監控、網絡借入認證等)已經擺在廣大網絡管理員面前,使用適當的行為控制設備(軟硬件)來控制網絡行為,更好地維護網絡及信息安全。
數字圖書館系統中有相當大部分的成功攻擊是來自于圖書館內部人員。他們比較了解系統的構建,熟悉系統的操作,其攻擊大部分都具有相當的目的性。有些是想夸耀自己的計算機技術,有些是對工作、社會的不滿,還有些是想修改信息獲利。有些是離職人員對系統進行破壞。這些人的行為嚴重地影響了數字圖書館的運行。使用基于行為控制技術的網絡安全設備,就可以控制內部人員的上網行為。使其在其職責授權內使用網絡資源,其行為受監控,并有詳細的日志供日后審核。極大限度地制約此類安全事件的發生。
高校有關部門加強對工作人員的管理,使其意識到破壞系統要受到法律的嚴懲。此外,還要對從業人員進行必要的教育,提高網絡管理人員的思想道德水平。維護高校網絡安全不是單純的技術問題,它與網絡管理人員和網絡使用者的思想道德水平關系甚大。若網絡管理人員的思想道德水平較低,任何技術措施都將失去作用;網絡使用者的思想道德水平則與技術防范的必要性及技術要求成反比。因此,必須高度重視對網絡管理人員和網絡使用者的思想道德教育。要有嚴格的工作人員審核制度,并結合規章制度來約束內部人員。最大限度的保護系統的穩定和網絡的安全。
從本文提出的四方面安全注意事項與2009年12月的筆者在《高校數字圖書館網絡安全建設探討》所提出的三方面一起,形成一個相對來說比較完整的“數字圖書館系統”安全防范系統。高校在構建字圖書館時如若考慮到這七個方面來,所建設的數字圖書館就會安全的多。
參考文獻
[1]楊展,張四大.高校數字圖書館數據及網絡安全[C]//中國計算機信息防護文集.呼和浩特:遠方出版社.2008.
[2]張四大.高校數字圖書館數據維護方法[J].金融教學與研究,2007(1).
[3]張四大.高校數字圖書館數據及網絡安全[C]//行業網絡安全優秀論文與方案集.北京:網管員世界雜志社,2007.
本站論文資源均為來自網絡轉載,免費提供給廣大作者參考,不進行任何贏利,如有版權問題,請聯系管理員刪除! 快速論文發表網(www.6scc.cn)本中心和國內數百家期刊雜志社有良好的合作關系,可以幫客戶代發論文投稿.
投稿郵箱:ksfbw@126.com
客服Q Q:
82702382
聯系電話:15295038833
本站論文資源均為來自網絡轉載,免費提供給廣大作者參考,不進行任何贏利,如有版權問題,請聯系管理員刪除!