高校图书馆网络安全管理策略研究

张赛男 王 瑜 刘恩涛 曹雪霏

（北京科技大学图书馆，北京100083）

1 引言

当今时代互联网技术飞速发展，由此带来的网络威胁与安全问题日益增加。随着数字图书馆的逐步实现，用户对高校图书馆网络的依赖程度不断加大。加之图书馆网络数据量大、影响广泛与传播度高的特点，如何保障网络安全工作显得越来越重要。

根据中国互联网协会发布的《中国互联网络发展状况及其安全报告（2019）》，以及中国互联网络信息中心（CNNIC）在京发布的第44次《中国互联网络发展状况统计报告》显示，互联网生态仍将面临严峻的安全形势，黑客以互联网为攻击入口盗取系统信息、非法篡改网页、植入后台木马，从而控制服务器以达到其不正当目的的行为仍然层出不穷。近年来，网络篡改和互联网反向传播等攻击活动不断增多，大规模集团网站和政府机构、科研院所以及重要的业务部门仍然是黑客攻击（尤其是APT攻击）的主要关注点。数据泄露和网站漏洞的风险已成为网络管理员必须要处理的关键问题，同时，它也成为用户直接可以感知的安全问题。高校图书馆网络服务器由于系统漏洞、后台服务器存在不安全设置、网站实现代码缺陷（如SQL注入、跨站脚本等），或网站提供Web服务的程序漏洞、IIS漏洞、Apache漏洞等，因而面临极大的网络攻击威胁。

高校图书馆网络安全问题是一个亟待解决的问题，需要结合高校现实的管理体系，同时，兼顾各学校自身特点进行设计，在保证图书馆业务正常运转的同时，提供安全、可靠、高效的防护保障体系。

2 高校面临网络攻击的主要流程与手段

针对高校的网络攻击一般被分为两类：主动攻击与被动攻击。主动攻击是为了获取访问信息或达到某种恶意目的而进行的故意行为。例如远程登录到特定机器端口以获得服务器信息，或者对访问量较大、公网开放的高校网站（例如学校主站、教务系统、图书馆网站等）内容或格式进行非法篡改增删等。被动攻击的重点在于信息收集而不是访问，包括嗅探、信息收集等攻击方法，因此管理者对于此类攻击很难察觉。这两种攻击方式一般被结合使用，在入侵时攻击者会根据攻击目的以及结合实际情况采用多种手段，在不同的入侵时段采用不同的方式。

在预攻击阶段，攻击者通常会收集信息，了解攻击环境，包括端口环境、机器类型、操作系统以及各个端口运行哪种服务等，为下一步攻击提供必要的情报以及决策信息。进入攻击阶段后，攻击者会通过获得远程权限进入系统，进而提升本地权限，以进行上传程序、下载数据等实质操作。为了能够对服务器进行持续访问，攻击者一般会通过植入后门木马、删除日志等方式故意消除痕迹，从而长期维持一定的权限以求得进一步的渗透扩展。整个网络攻击流程如图1所示。

图1 网络攻击的一般过程示意

值得一提的是，随着网络技术的发展，如今的网络攻击逐渐趋向于模式化、工具化，攻击者不再需要具备极强的计算机网络知识，通过特定的工具软件或手段便可以轻松地进行漏洞扫描、程序植入以及上传下载。例如，攻击者首先通过Ping找到网络上哪些机器是活动的，然后使用Scan-Port、Nmap等端口扫描软件获取进入计算机系统的入口点。接下来使用Nessus、X-Scan等漏洞扫描软件找到系统漏洞以及薄弱之处，辅以Queso、Nmap等检测出操作系统具体情况，最后画出网络图，制定进一步攻击策略。网络攻击的入手门槛降低、形式与技术的复杂化都对高校图书馆等流量站点的安全防护提出了严峻的考验。

3 等保2.0标准下高校图书馆网络安全防护的内容

3.1 等保2.0与等保1.0变化解读

网络安全的等级保护是对专有信息及信息系统分等级保护，对其中的信息安全产品按等级管理，对发现的安全事件分等级响应和处置的一种标准制度。2019年12月1日开始实施的等保2.0是我国网络安全领域内的基本国策与基本制度。相较于2008年发布的等保1.0制度，等保2.0延续了从第一级到第五级的分级认证管理模式，5个等级依次是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。近年来，随着新技术的发展和安全形势的变化，等保1.0已经无法有效地应对新风险带来的安全威胁，等保2.0的出现，从法律法规、标准要求、安全体系、实施环节等方面都进行了完善。

《中华人民共和国网络安全法》将等保2.0从网络安全的条例法规层面提升到国家法律的层面。任何不开展等级保护的行为都将被视为违法。另外，为适应新时代发展要求，等保2.0在1.0的基础上进行了优化，对云计算、物联网、大数据等新兴业态提出了新的安全扩展要求，并且将监管对象从体制内网络空间拓展到了全社会范围。等保2.0标准在1.0标准的基础上，更加注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。高校图书馆作为文化教育类互联网公共服务单位，网络安全等保认证与建设势在必行。以下将以北京科技大学图书馆为例，探讨等保2.0标准下高校图书馆网络系统结构建设与防护体系构建中的一些实施工作。

3.2 高校图书馆网络系统结构建设

等保2.0中网络安全保护规定的动作为定级、备案、建设整改、等级测评、监督检查。依据《中华人民共和国网络安全法》以及等保2.0有关定级对象、侵害客体、侵害程度等测评标准，高校图书馆按照等保标准定级，一般确定网络安全等级为第二级或第三级。图书馆网络属于校园网络的一部分，馆内局域网建设与校园网的主干网互联，因此高校图书馆网络系统需要按规定等级安全防护要求进行建设。目前各大高校图书馆网络一般以千兆光纤主干连接，不仅需要承担大数据传送业务，更要支持语音、视频等大信息量的多媒体应用，对网络的响应速度以及安全策略都存在较高要求，对内要防止“病毒”侵染，对外要防止外部网络攻击。按照等级分类标准，北京科技大学图书馆网络系统应确定为第二级。图书馆网络实现千兆光纤连接到主干网络，百兆到桌面，与学校教育网高速连接，通过汇聚交换机连接局域网内所有服务器集群、工作机以及外围设备。在安全防护上以防火墙隔离，通过学校网络中心代理服务器实现与外网连接通信。具体网络拓扑环境如图2所示。

图2 图书馆网络拓扑

3.3 图书馆网络安全防护体系的构建

按照国家网络安全等级保护的指导原则，北科大图书馆近年来注重网络安全技术与管理工作，部署了一套完整的网络防护体系，整个体系包括4个层面：Web应用防火墙（Web Application Firewall，简称“WAF”），防火墙与端口控制，入侵检测系统（intrusion detection system，简称“IDS”）以及安全防护设备与软件等。具体防护体系如图3所示。

图3 图书馆网络安全防护体系

3.3.1 Web应用防火墙

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的系统，作为校园网络安全保障体系的第一道防线。在校园网中由学校网络中心统一部署，它允许一个校外网络终端（一般为客户端）通过这个服务与图书馆网络终端（一般为服务器）进行非直接的连接，有利于保障网络终端的隐私或安全，防止攻击。在WAF管理控制台将图书馆公网开放的网站域名添加并接入WAF后，校园网所有对外开放的公网流量都会先经过Web应用防火墙对HTTP（S）请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、恶意爬虫扫描、跨站请求伪造等恶意攻击，并将其在Web应用防火墙上检测过滤，而正常流量返回给图书馆目标服务器IP，保护图书馆内Web服务的安全稳定。整个工作流程如图4所示。

图4 Web应用防火墙工作流程

3.3.2 防火墙与端口控制

防火墙用于实现图书馆内网和校园网之间的访问控制，具有5大功能：过滤进出网络的数据包；禁止某些访问行为；管理进出网络的行为；记录通过防火墙的信息内容；对网络攻击进行检测和预警。在图书馆局域网中，服务器最易受到攻击，需要根据实际服务在防火墙上对端口进行严格控制开放，并设置合理的安全策略，不需要的端口禁止向图书馆外开放，在敏感时期设置端口开放的时间等，从而有效地防止外网攻击。

3.3.3 入侵检测系统

一旦传输通过防火墙进入图书馆内网，入侵检测系统则将开始实施监视。如果被判定为非法传输，系统将会触发自动报警或采取进一步的反制措施。假设防火墙是图书馆网络的一道门锁，通过大门的传输事件还需要接受监控系统（IDS）的检查。因此在分布式交换设备网络中，IDS应布置在所有流量都必须经过的网络上，并且尽可能分布在靠近攻击源或者受护源的位置。对于图书馆网络来说，这些位置通常是：图书馆各种服务集群汇集的交换机上；路由器进入图书馆内网之后首台交换机上；图书馆重点网络或业务的局域网交换机上。作为图书馆网络防火墙的重要补充，IDS能够克服传统防御体系被动过滤的限制，能够主动监测并分析用户活动及系统状态，针对已经发生但尚未引起重大损失的攻击提前做出报警或强制终止等行动。整个工作流程如图5所示。

图5 入侵检测系统工作流程

3.3.4 安全防护设备与软件

除了在服务器上安装必要的杀毒软件外，图书馆面临的安全问题主要有网页内容篡改、网站挂盗链、挂马，各种cc攻击、DDoS攻击等服务器安全问题，而应用层面上的攻击又是比较多见的攻击方式，因此使用云锁、安全狗、360网站卫士等服务器安全软件多有防cc、SQL注入、XXS跨站等针对应用程序攻击的防御措施。但在系统层防护上，却依然少有服务器安全软件具备保护功能。要实现服务器的真正安全，则必须做到系统层、应用防护与网络层防护等整个构建服务器安全防护体系的管理与防护。

4 基于Web服务器的安全防护策略

建立一个安全的Web网站必须要根据实际情况，从全局出发制定合适的防护策略，重点在于对所要防护的服务器要有全局认识。目前在高校图书馆的网络建设中，使用最多的Web服务器还是IIS及Apache。由于IIS服务的方便性与易用性，使它成为高校图书馆自建站点或其他小型服务常用的Web服务器软件，但是IIS的安全问题一直令人担忧。而Apache由于其普适性高，可以运行在目前所有适用的部署设备上，并且平台跨越性好，安全系数较高，故成为目前最流行的Web服务器端软件之一。现实中每个图书馆都或多或少建设了相当数量的IIS及Apache系统，要做好安全防护，概括起来应该做到以下几点。

4.1 精简端口和服务

首先需要做的就是隐藏服务器的相关信息。攻击者一般会根据Apache或IIS服务器的版本号搜索该版本相关漏洞，从而使用技术和工具有针对性地进行攻击。为了减少此类威胁产生，应该在主配置文件下隐藏操作系统信息和Web服务器版本信息；同时要合理配置Web服务器，及时删除和关闭没有必要的端口或服务，只保留其中有用的，以阻止攻击者从其他路径获取系统信息，进而获取密码文件。

4.2 正确设置操作权限

良好的账号管理制度十分必要，对于用户权限要严格控制，慎重使用Root权限进行远程操作，要使口令具有足够的复杂度与安全性。对于存储重要数据或发布重要信息窗口的系统，要为Web站点上不同类型的文件都建立目录，然后给它们分配适当权限。在设置时严格遵守拒绝优于允许、权限最小化累加原则和权限继承性原则。

4.3 使用安全的协议与程序

在远程管理图书馆服务器时，最好使用SSL和其他安全协议程序，尽量不要使用Telnet和FTP，因为这些协议会采用明文密码且更易于监视。为确保消息在发送过程中不被篡改，可以对哈希编码进行加密以确保信息的完整性。另外，应禁止或限制使用CGI程序以及ASP和PHP脚本程序。因为这些程序会对系统造成安全风险，并且某些脚本程序自身具有安全性的限制。

4.4 加强多层次网络安全壁垒

在条件允许的情况下建立多层次的防护系统，可以结合使用代理服务、多层防火墙等技术手段将Web服务器与外部网络隔离，只开放必须的端口及服务并且加强对访问数据的过滤。简言之，攻击者需要突破的障碍越多，攻击得手的机会就越少，网络安全系数则会大大提高。

4.5 使用IDS入侵检测系统

由于网络安全本身的复杂性，各种入侵手段和工具层出不穷，近年来众多校园网络安全事件提示我们，并非所有威胁均来自防火墙外部，攻击者一旦伪装渗透攻破防火墙进入内网，以往被动式的防御方式往往力不从心。IDS入侵检测系统能够作为防火墙的有力补充，但是其对管理者知识要求较高，配置、操作和使用较为复杂，日常维护要注重事件、安全记录以及系统日志的查看，发现异常要及时进行阻断或报警。

4.6 安装服务器安全软件及补丁工具

要保证服务器的安全，防止黑客和病毒的攻击，作为管理员需要使用安全性强的软件进行服务器操作系统防护，及时扫描系统漏洞并安装补丁。目前图书馆服务器使用最多的是微软公司的Windows操作系统，相较于Linux系统，Windows系统由于使用量大，黑客与病毒入侵的主要手段是操作系统的漏洞，这也使其成为黑客研究的主要方向。如果不能及时的安装补丁弥补漏洞的话，就算是防火墙和杀毒软件对服务器的安全也将无能为力。

4.7 重视系统日志及应用日志

日志文件是记录系统状态以及访问情况的一种有效手段。养成良好的日志管理与查看习惯，不仅能够及时处理系统运行中的错误信息，更有利于在攻击发生后追根溯源，制定对应的防护措施。在日常管理中，要根据情况修改日志的存放路径，并且修改日志访问权限，设置只有管理员才能访问。对日志文件的大小进行控制，定期清除陈旧无用的日志，防止由于存储空间不足对系统其他服务功能产生影响。

4.8 提高安全意识，定期检查更新

要做好服务器安全管理，提高管理员的安全意识是重中之重，要充分发挥管理员的主观能动性，提高业务处置能力和水平。管理员在平时的工作中要做到对负责系统熟悉掌握、合理配置，对可能发生的风险防微杜渐、重点加固，对重要文件及数据定期备份，做好隔离。多手段、多渠道地做好图书馆网络安全管理工作。

5 结语

图书馆作为高校辅助教学的重要窗口，其资源优势与服务优势无可替代。一旦出现重大网络安全问题，将会给广大师生对图书馆资源的使用带来严重影响。网络安全防护问题是一个系统的、长期的任务，它需要对系统具有全局的视角以及层次上的考虑。因此，在日常防护工作中，应该做到加强安全意识，明确责任分工，多层次多角度地构建好图书馆网络防护体系，以求构建一个健康安全的校园网络环境。