民族图书馆网络安全浅析

2021-04-13 07:01
中文信息 2021年1期
关键词:防火墙数据中心网络安全

(贵州民族文化宫,贵州 贵阳 550001)

当今社会,信息时代的来临,改变了我们的学习、生活、工作习惯,也改变了我们的阅读习惯。信息时代同样给图书馆带来了不小的冲击和改变,图书馆也逐步走向数字化图书的阅读方式,人们用电脑阅读、平板阅读、手机阅读已经成为习惯。民族图书馆与公共图书馆侧重点有些许不一样,公共图书馆的建设特点是以馆藏量大、资源种类丰富且齐全为目的,但是民族图书馆的建设则更侧重于民族文献资源的保存与古籍文献的收藏。许多珍贵的民族古籍文献资料在自然环境中不利于保存,及时通过恒温恒湿等科技手段存放,也不利于观众与读者翻看与研究。因此,只有通过数字化这些珍贵的古籍文献资料,将它们变成电子资源保存,才是最好的还原和展示古籍文献资料的方法和手段。数字化之后的电子资源保存于馆内服务器与存储设备中,通过内部计算机网络到终端触摸屏向馆内的读者展示或者通过网站发布到互联网向全世界展示。那么我们如何来保证我们的电子资源在互联网上的安全性,这是我们所要探究的问题。

一、民族图书馆数字资源的重要性

图书馆开始数字化发展以来,资源众多,种类丰富,各种电子图书阅读软件,各种音视频图片资料几乎都能在互联网上搜索到,但是某些特定的数字资源图书馆是不对互联网开放的,比如说民族图书馆的数字资源就有很多内容未对互联网开放。古籍文献、少数民族语言文字以及音频视频等这些重要资源是民族图书馆的重要馆藏,这些资源如果要在互联网上展示一般都会通过民族图书馆自己的门户网站向世界展示。但通常情况下民族图书馆不会将这些资源放到自己的门户网站,原因一般是担心资源被窃取、复制或者资源服务器被攻击导致数据被破坏。因此保证民族图书馆网络的安全性就显得尤为重要。

二、网络安全的重要因素与防护方法

网络的安全性由几个重要因素决定,第一是外网对内网的威胁需要完善的保护措施,二是制定安全策略,三是内网自身存在的安全隐患需要消除并且防护病毒入侵,四是完善网络安全规章制度、加强网络安全管理。做好这几点,网络相对就会安全很多,我们的数字资源也能得到很好的保护。以下图例是某民族图书馆规划得相对较完善的网络TOP结构图,笔者以此图为例对网络安全的这四个方面进行论述。

1.完善网络安全设施、防御内、外网的安全

民族图书馆的古籍文献数字资源、网站资源等都保存在服务器与磁盘存储上,要保护我们这些存储设备不被攻击入侵,就必须了解当今常见的网络威胁手段。常见来自外网对服务器的威胁有Ddos攻击、勒索病毒、ARP入侵、SQL注入攻击等,这些攻击轻则干扰我们的系统正常运行,重则可以让我们丢失数据、系统瘫痪。魔高一尺,道高一丈,防护这些攻击与病毒的方法也很多。首先,我们要完善我们的网络安全设施,在外网出口增加防护硬件。其次,在数据中心增加防火墙用于保护服务器安全。最后,重要的关键性设备最好做到双机备份。

网络TOP图例

图例中,服务商网络双线接入了图书馆的出口路由器,通过上网行为管理、入侵防御、WEB应用防火墙以及出口防火墙的串联进入内网。我们可以看到,图中外网出口到内网的防御设备还是很周全的,防火墙可以阻止外部非法用户对网络中的主机进行攻击,是一种被动防御体系,它可以防止不可预测的、潜在的破坏性威胁入侵。入侵检测系统可以通过计算机网络的关键点收集信息并分析其中是否有违反安全策略的行为,是一种主动搜索潜在威胁的设备。WAF防火墙是针对HTTP或者HTTPS协议等应用层数据进行防护的设备,主要用来保护架设在数据中心的WEB服务器不受攻击,并且保护网站不被非法篡改。而网络行为管理设备是监控内网用户在访问互联网时所有的上网行为操作并进行记录。四台设备保护了外网到内网的用户安全。

根据国家网络安全等级保护2.0的要求,我们内部网络中还需要添加堡垒主机和日志审计系统,堡垒主机综合了核心系统运维和安全升级管控两大功能,能够拦截非法的访问和恶意攻击,也可以对工作人员的误操作进行记录,以便事后追究责任。日志审计主要是完成对网络中设备、网络运行状态的日志监控、采集、存储、分析等工作,一旦出现问题首先查询日志信息,对网络情况一目了然。

当外网出口的防护做好后,还需要防护内网用户对数据中心的攻击。数据中心服务器并不能保证内网用户是否有潜在的安全威胁,是否会有非法用户攻击服务器,所以在数据中心入口处架设了两台边界防火墙做到双机热备,其中一台如果瘫痪或出现故障,另一台马上启用,核心交换机和数据中心交换机也是为了避免故障同样采用双机热备。这样一来外网黑客想要攻击我们的数字资源就必须通过外网防火墙、数据中心边界防火墙和堡垒主机,困难大大增加。内网用户如果想要攻击服务器资源,服务器也同样受到数据中心防火墙和堡垒机的防护。

2.制定网络安全策略

网络安全除了需要安全设备的部署以外,管理人员还需要对这些设备的网络安全策略进行制定,才能实现他们应有的功能。我们可以在交换机上划分VLAN,把相同用途的终端设备或是办公区域划分到同一个VLAN里,例如根据楼层划分或者根据图书馆的部门划分,建议服务器区域划分在同一个VLAN中方便管理。不同VLAN之间也可以通过ACL(访问控制列表)进行控制,决定哪几个VLAN可以互相访问或是能否通过防火墙访问互联网。防火墙也必须做安全策略,例如禁用135、137、138和445的勒索病毒相关端口,或是采用白名单方式,只有需要的端口才可以放行。服务器区域可以把需要访问互联网的服务器和不需要访问互联网的服务器分开,以便于在防火墙上做安全策略。

无线网络的安全也是不可忽略的,图中的无线网络是直接接入核心交换机的,民族图书馆的读者进入馆内是可以通过无线终端连接进我们的网络,这样我们就需要对连入的这些终端设备进行认证,认证方式也多种多样,一般可以通过手机短信认证登录网络访问内部资源,再通过行为管理记录下登录后访问了哪些资源,开过哪些网页等,一旦出现非法行为,可以把记录下的所有信息移交给公安机关作为证据。

3.预防内网安全威胁,防范病毒入侵

除了防御外网非法用户对我们的攻击以外,我们还要注意内网用户对网络和数据中心构成的不安全因素。比如我们内网中的办公电脑是否插入了带有病毒的U盘和移动硬盘,服务器和终端电脑是否安装了正版的操作系统和应用软件,我们的操作系统是否定期升级补丁和修复漏洞,服务器和终端上是否安装了杀毒软件等等。世界上的计算机病毒达到1000多种,很多病毒进入内网后会在整个网络中传播,或是潜伏在某些程序中等待不知道的用户激活它,这些病毒难以发现也难以清除,我们在使用U盘等介质进入内网时需要严格使用防毒软件进行查杀后再使用。操作系统需要定期升级更新补丁,尤其是微软的Windows server服务器系统一向以Bug和Patch多著称,如果Web服务器架设在windows系统中尤其要注意。如图网络中需要增加防病毒服务器,让所有终端电脑和其他服务器上的杀毒软件客户端通过服务器来更新病毒特征库,以保证安全。

4.制定网络安全规范

图书馆的信息中心需要建立完善的安全防范制度与安全操作规范,避免误操作而造成网络安全与数据丢失的严重后果。首先要做到重要数据定期备份,避免因天灾、断电、设备损坏等因素造成的数据丢失。第二,定期查看防火墙日志信息,保证防火墙反病毒特征库与入侵防御特征库都是最新的版本。定期查看堡垒机、日志审计系统、网络行为管理设备对网络的监测情况。第三,建立用户权限制度,例如图书管理系统的采编、入库,WEB网站中栏目与文章的资料添加,都要根据工作范围或负责栏目版块的不同而分给不一样的工作权限,只有相应工作权限才能对负责的栏目版块进行操作。四、定期修改这些关键系统的登录用户名和密码,预防密码被盗取。五、应建立机房管理制度,工作人员需每天定时对机房进行巡查,机房必须具备防火、防雷、防静电、防尘等措施,必须安装精密空调做到恒温恒湿,安装UPS电源保障在短时间断电的情况下同样有电源提供给设备正常运行,必要时还需要备有柴油发电机,这样才能为设备24小时不间断运行做好保障。

三、学习网络安全知识,增强网络安全意识

在民族图书馆中,网络安全不能只靠网络管理员、机房操作员来维护,所有的工作人员都应该定期学习网络安全知识,提高网络安全意识,当我们在遇到网络安全隐患时,我们才知道如何去应对。比如我们需要知道如何预防点击到钓鱼网站、病毒网站,需要知道病毒入侵后如何用杀毒软件查杀,哪些电脑是涉密电脑不能连接互联网也不能插入外部存储介质,还需要知道单位的网络不能私自搭建小路由器、小交换机,因为这样轻则会将原本网络中的DHCP地址分配搞乱,使IP地址冲突,重则会引起网络环路造成广播风暴。很多人电脑一旦出现任何问题就呼叫网络管理员,结果经常是最基本的电源线没插或者网线没有接这样的低级问题,所以学习网络安全知识提高网络安全意识就会减少很多安全隐患,同时也会降低网络管理人员的工作量,这样我们网络环境也才能更加健康安全。

结语

民族图书馆是少数民族文献与民族音视频、图片等资源存储与保护的重要机构,很多民族古籍文献因保存不善早已泛黄,通过技术手段将这些珍贵文物变为电子资源保存和展示是当今民族图书馆最重要的工作,要长久的保护这些电子资源就需要我们的网络稳定并且安全,这并不是一个或两个网络管理员就能做到的。首先单位每年必须有足够的设备运行维护经费用于防火墙、行为管理、网站等软硬件设备的维护升级,还要有足够的技术维护人员共同协调维护以及全体民族图书馆的工作人员配合才能完成。数据中心管理人员需要定期培训和学习网络安全与网络意识形态相关内容知识,也需要定期走访大型图书馆,借鉴他们的维护经验取长补短,携手共同打造和保护好我们的民族文化资源。

猜你喜欢
防火墙数据中心网络安全
酒泉云计算大数据中心
构建防控金融风险“防火墙”
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
民航绿色云数据中心PUE控制
在舌尖上筑牢抵御“僵尸肉”的防火墙
基于云计算的交通运输数据中心实现与应用
下一代防火墙要做的十件事
Overlay Network技术在云计算数据中心中的应用