图书馆利用现代信息技术推进共享工程及自身业务拓展的应用与实践

李　铮

关键词:共享工程;图书馆;信息技术

摘要:本文结合工作中的实际经验,利用各种现代信息技术为城市公共图书馆推进共享工程及自身业务拓展提供可行解决方案,以实现城市内的图书馆覆盖。

中图分类号:G259.23文献标识码:A 文章编号:1003-1588(2009)03-0045-03

The applications and practices of library in pushing National Cultural Information Resources Sharing Project and expanding librarys traditional operations using modern information technology

Li Zheng

(Jinling Library, Nanjing 210018, China)

Key words: National Cultural Information Resources Sharing Project; library; information technology

Abstract: Based on his work experience and practices, using modern information technology, the author provide feasible projects for city library to push National Cultural Information Resources Sharing Project and expand librarys traditional operations, and achieve the goal of spread librarys services everywhere in the city.

1 任务分析

1.1 图书馆业务延伸需求

当代城市公共图书馆在经历了传统业务自动化、信息资源数字化的长足发展后,已经具备了强大的纸型及数字化文献服务能力。但随着城市规模的扩大、互联网上中文信息的丰富,读者与深藏于图书馆的文献资源之间的信息鸿沟相对越来越深。为充分发挥公共图书馆在文化教育方面的社会职能,实现社会效益的最大化,市级公共图书馆作为城市的中心图书馆,除了加强自身建设以外,在城市各街道、社区建立分馆的需求也越来越迫切。

1.2 共享工程建设需求

在全国范围内实施的“全国文化信息资源共享工程”是充分利用现代高新技术手段,将中华民族几千年来积淀的各种类型的文化信息资源精华以及贴近大众生活的现代社会文化信息资源,进行数字化加工处理与整合;建成互联网上的中华文化信息中心和网络中心,并通过覆盖全国所有省、自治区、直辖市和大部分地(市)、县(市)以及部分乡镇、街道(社区)的文化信息资源网络传输系统,以实现优秀文化信息在全国范围内的共建共享。

市级公共图书馆作为共享工程支中心,承担着向分布于本市各乡镇、街道、社区的共享工程基层点提供资源同步、服务器维护、本地资源共享的职能。建立以市级公共图书馆为中心、覆盖全市的共享工程网络已逐步提上议事日程。

为满足图书馆业务延伸和共享工程建设的需求,我们利用相关技术手段在全市统一规划建立了以市级公共图书馆为中心节点的图书馆网络。

2中心节点

2.1 链路层VLAN划分

当代城市公共图书馆核心网络设备大多已具备二层或三层交换能力,利用核心网络设备将图书馆网络划分成多个VLAN,减少网络风暴和病毒扩散,已经是常规手段。按照常规做法,网络从内到外划分为内网、DMZ区和外网,安全级别由高到低。但是鉴于互联网发展迅速,网络病毒的泛滥成灾,对内网和外网的理解,我们认为应该做这样的调整:数据库等核心服务位于“内网”,各应用的Web服务位于“DMZ区”,图书馆办公网、电子阅览室、编目流通等业务用机、OPAC工作站这些位于图书馆内的网络,与互联网一起视作“外网”。

基于以上考虑,我们把图书馆内的服务器分为4类:1-4类服务器,工作站也分为4类:1-4类工作站,安全级别由高到低。与类别相对应,图书馆内部网络分为服务器1-4网和工作站1-4网。

服务器1网,即“内网”,主要是Oracle、SQL、KBASE、TRS等,可靠性、可用性和安全性级别最高,访问受到严格控制,只接受“DMZ区”的访问请求,不能被“外网”直接访问。

服务器2网,“DMZ1区”,主要是各应用的Web服务器,只接受“外网”的HTTP、SMTP、POP等访问请求。“外网”对服务器2网的访问请求要经过防火墙和入侵检测(IPS)系统的过滤,服务器上只有应用,没有数据,可靠性要求不高,可用性和安全性要求较高。

服务器3网,“DMZ2区”,主要是域控制器、文件服务器等为图书馆内部工作站提供CIFS/SMB等服务。这类服务较易传播病毒。

服务器4网,“DMZ3区”,主要是终端服务器。

工作站1网,图书馆内部工作人员使用的编目、流通用工作站,安全级别较高,不允许访问互联网。

工作站2网,图书馆内部工作人员使用的普通办公用工作站,安全级别较低,允许访问互联网。但2类工作站对互联网的访问需经过上网行为管理、防病毒网关等安全系统的过滤。

工作站3网为OPAC等读者使用的公共检索用工作站,安全级别较低,不允许访问互联网。

工作站4网为电子阅览室。读者使用电子阅览室的工作站可以任意访问互联网,安全级别最低。

2.2 网络层IP规划

为便于管理,我们在C类保留地址的基础上采用了变长掩码(VLSM)划分各个子网,根据各个子网主机数量分配地址段,原则上保证各子网可用IP约等于主机数量的两倍。

按照上述原则,由于服务器1-4网主机数量不会很多,我们把一个C类网段分成4个等长网段,每段的掩码均为26位。对于电子阅览室这样的主机数量比较多的子网,直接分配一个C类网段。工作站1-3网共同占用一个C类网段,掩码长度分别为25、26、26。

采用变长掩码好处在于可以减少路由器静态路由表的记录数,也可以方便地在防火墙入包、出包和转发链表中引用各子网。

例如192.168.1.0/26为服务器1网,192.168.1.0/25就可以表示服务器1-2网,192.168.1.128/25则表示服务器3-4网。

2.3 安全策略

根据图书馆具体网络设备情况,可利用路由器或三层交换机的出入包和转发包过滤功能,实现各子网间的访问策略与控制。

采用最小权限原则,对于服务器1网,只开放来自服务器2-3网的数据库访问连接,具体各个数据库应开放端口可查阅相关资料,如SQLServer的tcp 1433和udp1434;服务器2网只开放来自各“外网”的http、smtp、pop(tcp80、25、110)访问请求;服务器3网只开放来自工作站1-2网的CIFS/SMB(TCP 139、445和UDP137、138)访问请求;服务器4网只开放来自分馆、汽车图书馆和工作站1网的RDP(TCP 3389)访问连接。

2.4 应用结构规划

C/S应用:目前公共图书馆业务自动化系统还有不少是C/S模式的应用,比如汇文系统。由于本身不具备三层结构,为减少C/S应用的客户端延伸到分散于全市各街道社区的分馆后带来的安全风险,我们利用RDP和Ctrix等远程终端类服务,在客户端和数据库服务器之间人为地增加了一层中间层。位于安全级别最低的“外网”的分馆工作站通过终端服务的客户端软件或浏览器,连到位于“DMZ3区”的终端服务器或者Ctrix服务器,在终端窗口内运行C/S应用的客户端,连接位于“内网”的数据库服务器,实现“伪三层结构”。

这种“伪三层结构”不但增强了整个应用系统的安全性,还间接降低了C/S应用对网络性能的依赖性。我们做过测试,基于Oracle的C/S应用至少需要50KB/S的带宽才能运行得比较顺畅,而在“伪三层结构”下,利用终端服务将对网络性能要求较高的C/S连接留在图书馆内,终端客户与终端服务器间的通讯只需要5KB/S的带宽、5%以下的丢包率,就可以顺畅地运行。在此基础上我们利用南京电信的小灵通无线网络(带宽64kbps),为汽车图书馆流动办证、借还提供了可靠网络解决方案。

在“伪三层结构”下,终端服务器成为整个C/S应用中的可用性瓶颈,为增强终端服务的可用性,至少应部署两台以上终端服务器。更进一步,还可以采用在每台服务器上运行多台虚拟机,利用虚拟机提供终端服务,利用虚拟机自身备份、恢复、迁移的便利性,实现可用性的提高。虽然虚拟机会降低终端服务器的性能,但经过我们的测试,一台DELL2950级别的机架式服务器同时运行2个微软的VM2007虚拟机,宿主操作系统也部署为终端服务,2个虚拟机分别同时连接2个终端客户,宿主机同时连接4个终端用户,各个终端并发操作的运行性能在操作人员可以接受的范围内。如果需要更高效的虚拟机,则需购买专业的虚拟机软件。

B/S应用:文化信息资源共享工程、视频点播、电子图书、电子期刊、自建资源等以Web形式发布的B/S类数字资源,本身就具备三层结构,只要按照前述原则将发布和数据分别置于“DMZ区”和“内网”即可。

3 分支节点

南京市各区县馆、市馆分馆、共享工程基层点和县级支中心,在市图书馆的技术和业务指导下,分别进行了不同程度的网络改造,均已实现VLAN划分、IP地址统一规划,并通过互联网与市馆建立VPN链路连接。

区县馆作为共享工程县级支中心,一般通过VLAN划分为服务器1网、服务器2网、办公子网、业务子网、电子阅览室、共享工程阅览室、盲人阅览室等。一个区县馆占用一个C类网段,各子网在同一个C类网段内再通过VLSM细分,利用路由器的过滤规则限制各子网间互访及对互联网的访问。

分馆工作站较少,一般1-2台流通用机、1-2台OPAC用机,故不再划分VLAN,而是利用多端口桌面路由器(Mikrotik RB130、150、450等)或路由器提供的PPPoE服务,把分馆内部网络物理上或逻辑上分隔成业务子网和OPAC子网。这样既做到链路层网络划分,又避免了VLAN交换机的设备投入。

由于江苏省文化厅对共享工程基层点计算机台数有不超过五台的明确规定,因此我们按照基层点所属行政区县,采用28位子网掩码,每十六个基层点平分一个C类网段,每个基层点除了路由器占用一个IP地址以外,最多还有13个IP可以分配给工作站使用。

汽车图书馆配备了笔记本计算机,通过电信小灵通无线网络链路连接到互联网,VPN拨号到市图书馆中心节点,运行终端服务客户端,实现流动办证、借还。汽车图书馆还配备了车载UPS,解决笔记本计算机的供电问题。

区县馆、分馆和基层点的内部网络通过VPN网关,利用电信的ADSL链路和互联网可以与市图书馆的中心节点直接连通,也可以连接到具有固定互联网IP的区县馆或支中心。所有分支节点的路由器、交换机、服务器等核心网络设备,均可由市图书馆技术人员远程提供日常维护。

截至2008年底,以金陵图书馆为中心节点的南京市图书馆,共享工程网络已具有74个节点的规模(1个VPN核心网关、69个VPN接入网关、4个软件拨号节点)。各共享工程基层点除了国家中心提供的共享工程资源以外,还可以访问市图书馆和各区县图书馆自建的数字化资源。

4 结语

现代计算机网络通信技术在图书馆事业发展中的重要任务之一就是铺路架桥,网络通到哪里,图书馆的业务就可以延伸到哪里。从理论上讲,在南京市图书馆网目前的网络结构中,凡通过VPN接入市馆的外部节点,不仅可以使用市馆所有数字资源,运行市馆自动化业务,成为市馆分馆,在市馆的网络协调下,各节点之间也可以互相访问对方的资源,互为分馆,从而实现南京地区图书馆网,在南京现代化城市建设中发挥公共图书馆应有的作用,实现公共图书馆的社会效益。

参考文献:

[1] 罗琳.图书馆电子阅览室网络访问控制的设计与实现[J].现代图书情报技术,2008,(4).

[2] 杨子伍.VLAN技术在图书馆网络中的应用[J].大学图书情报学刊,2006,(3).

[3] 丁宁.VPN技术在公共图书馆总分馆体系网络互联中的应用[J].图书馆建设,2008,(3).