高校图书馆电子阅览室网络安全问题及对策

黎邦群

惠州学院图书馆 广东 516017

0 前言

高校图书馆电子阅览室是指以计算机技术、网络通信技术为基础，集电子型文献(如磁盘、光盘、网络服务等)阅览、咨询、培训、服务为一体的现代化多功能阅览室。随着网络信息技术的飞速发展，电子阅览室已进入数字时代的发展进程，并以其特有的快速、高效和便捷改变着人们学习和生活的方式。然而，电子阅览室所面临的网络安全问题却不容忽视，如果不采取相应的对策，电子阅览室可能会影响正常的开放使用，影响校园网其他部(室)的网络稳定，甚至造成整个局域网瘫痪。

1 电子阅览室所面临的网络安全问题

1.1 计算机病毒

用户通过携带U盘到电子阅览室使用、WEB访问、收发邮件及其他网络应用而使计算机感染各种病毒。其中木马是一种基于远程控制的黑客工具，它通常寄生于用户的计算机系统中。木马成为威胁计算机网络安全的“主力军”，利用各种漏洞进行攻击的恶意代码，以及 ARP 欺骗是黑客常用的攻击手段之一。有的学生网络安全意识淡薄，随意下载、安装软件或上网聊天、玩网络游戏，不经意间进入了极易感染病毒的网站，把木马和蠕虫等病毒带入系统。当其中一台计算机中病毒后就会成为病毒传染的源头，以各种方式传染其它计算机，导致其它计算机或整个局域网瘫痪。

1.2 人为因素

即人为造成的安全问题，包括人为失误、人为恶意攻击等。人为失误如由于管理员的疏忽，设置的账户密码过于简单脆弱极容易被破解、安装了有安全隐患的软件，以及开放了多余的服务与端口等。人为恶意攻击包括来自内部的攻击和来自外部的攻击，近些年来，一些在网络上从事窃取、破坏资料的攻击者变得异常活跃。越来越多的病毒，心怀不轨的黑客都将服务器作为了自己的练手、攻击目标。人为因素还包括管理制度不健全，安全技术不过关等问题。

1.3 软件漏洞

电子阅览室安装的操作系统大多是Windiws的，其存在的各种漏洞已成为网络攻击的一大目标。网络设备和计算机软件不可能是十全十美的，在设计和开发的过程中，不可避免会出现一些缺陷和漏洞。包括网络架构的漏洞威胁、操作系统的安全漏动、机房软件系统的漏洞问题等。

由于网络协议(如TCP/IP协议)的设计弱点、网络操作系统的漏洞、应用系统设计的漏洞、网络系统设计的缺陷、互联网的开放性等特性，电子阅览室所面临的网络安全问题，绝不容忽视，需要总结出一套相应的管理与维护的对策。

2 管理与维护的对策

2.1 网络设备的管理与维护

2.1.1 交换机

交换机通常是整个网络的核心所在，但这一地位使它成为黑客入侵和病毒肆虐的重点对象。交换机作为整个网络的接入层核心，如果能对连入该交换机进行访问和存取网络信息的用户进行区分和权限控制，并配合其他设备，对非授权访问和网络攻击进行有效的监控和阻止。把网络安全的策略尽可能地实施于接入层的交换机上，这样更能及时发现并解决问题，提高整个局域网的安全性能。

(1) 划分虚拟局域网VLAN

VLAN可以在二层或者三层交换机上实现有限的广播域，它可以把网络分成一个个独立的区域，可以控制这些区域是否可以通信。VLAN 可能跨越一个或多个交换机，与它们的物理位置无关，设备之间好像在同一个网络间通信一样，如表1。通过VLAN划分来控制广播风暴的产生，从而提高整个网络的整体性能。

表1 电子阅览室VLAN划分示意图

(2) IP地址、MAC与端口绑定

使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问将被拒绝。当前局域网的ARP欺骗病毒十分普遍，ARP攻击能使局域网大面积地出现网络掉线。通过IP地址、MAC与端口的绑定，是防止ARP攻击最简单也是最有效的方法。以H3C E-352为例，将其端口1划分到Vlan 6，并进行IP地址、MAC与端口绑定的命令如下：

＜H3C＞system-view

[H3C]port access vlan 5

[H3C-Ethernet1/0/1]port access vlan 5

[H3C-Ethernet1/0/1]am user-bind mac-addr 001a-a920-970f ip-addr 192.168.250.6

(3) 进行流量控制

交换机的流量控制技术把流经端口的异常流量限制在一定范围内，避免交换机的带宽被无限制滥用。流量控制功能能够实现对异常流量的控制，避免网络堵塞。

(4) 创建访问控制列表ACL

ACL不但可以让网络管理者用来制定网络策略，针对个别用户或特定的数据流进行允许或者拒绝的控制，也可以用来加强网络的安全屏蔽，让黑客找不到网络中的特定主机进行探测，从而无法发动攻击。以锐捷 S3550-24为例，创建ACL1，仅允许TCP端口为80的数据通过的ACL，并将其应用到交换机端口2的命令如下：

RJ3550＞enable

RJ3550#configure

RJ3550(config)#ip access-list extended ACL1

RJ3550(config-ext-nacl)#permit tcp any any eq 80

RJ3550(config-ext-nacl)#exit

RJ3550(config)#interface FastEthernet 0/2

RJ3550(config-if)#ip access-group ACL1 in

2.1.2 防火墙

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入。防火墙是网络安全的屏障，可以强化网络安全策略，对网络存取和访问进行监控审计，防止内部信息的外泄。防火墙可以减少外部入侵者突破电子阅览室网络系统的可能性，也能阻止电子阅览室的内部用户发送未加密的数据，从而达到保护网络安全的目的。电子阅览室的防火墙示意图如图1所示。

图1 电子阅览室的防火墙示意图

2.1.3 利用网管工具进行网络监控与诊断

可利用系统自带的网络诊断工具如ping、netstat等命令来进行网络监控与诊断。条件允许的情况下，还可以购买IPS等专业的网管硬件。IPS能对电子阅览室用户的上网行为进行监控与记录。对不符合规则的行为进行阻断、减速、警告及记录。并利用其日志进行网络安全隐患的可靠诊断。

2.1.4 服务器

在配置各类服务器时，选择安装最少的系统组件、网络协议与系统服务，仅开放必须的端口。如WEB服务器，仅需安装TCP/IP协议、仅开放TCP端口80端口、并禁用所有的IP端口。加密系统文件、设置足够强的系统账号、限制普通用户登录权限、安装服务器版的杀毒软件、及时打上操作系统漏洞补丁等，尽量减少服务器的网络风险。

2.2 电子阅览室的管理与维护

2.2.1 硬件管理与维护

硬盘保护卡也称硬盘还原卡，它可以使计算机硬盘在病毒、误改、误删、故意破坏硬盘的内容等非物理损坏的情况下，恢复到最初的样子，给机房管理和维护带来了极大的方便。在每台工作站装硬盘保护卡：将工作站硬盘划分为多个分区，利用硬盘保护卡来保护系统盘及其他需要保护的区域。硬盘保护卡的工作原理是通过插在主板上的硬件芯片与硬盘的MBR 协同工作。作为硬盘保护的一种有效工具，硬盘保护卡可以有效地防范病毒、防止对硬盘的删、写操作，在退出系统后会完全恢复到上机前的状态，从而大大减少网络机房维护的工作量。

2.2.2 软件管理与维护

(1) 终端机操作系统管理

可以对电子阅览室终端机的操作系统进行个性化的安全优化配置。首先必须打上最新的系统与软件的漏洞补丁，通过打补丁可大大增强计算机系统的防病毒和黑客入侵的能力。设置足够强度的管理员口令、删除不必要的系统组件与网络协议、禁用不需要的系统服务，利用组策略与修改注册表作出必要的安全策略设置。通过这些措施，可以使得系统本身具备一定的安全防范能力。

(2) 网络杀毒软件

随着计算机网络的发展，病毒的危害和传播已经脱离了单机的模式，单机版的病毒防杀系统已经无法适应网络病毒的防杀要求。尽管现在各大单机版杀毒软件厂商都纷纷宣布永久免费，但是在电子阅览室中，往往集中了几十上百台计算机，集中式网络病毒防杀系统，不仅具有病毒防杀范围广，病毒库更新及时、方便，而且具有防杀行动统一、彻底，系统稳定、可靠，用户参与少，整体投资效益高等优点，所以条件允许的情况下，还是要尽量选择网络版杀毒软件。

2.2.3 人员管理

(1) 增强管理员的安全保护意识，提高技术水平

电子阅览室的维护与管理需要一支高素质的专业人才队伍。管理主体是人，无论是设计和构建安全、可靠的网络系统，还是日常的教学网络的科学管理，都需要业务精通、技术水平高的专业人才。一支技术过硬、责任心强的专业队伍是必不可少的。

(2) 进行上机登记，对用户加强安全宣传与普及教育

对来电子阅览室上机的用户要进行引导与培训，并进行网络安全方面的宣传教育。通过在醒目位置粘贴“上机需知”告示等措施，提醒用户遵守阅览室各项规则制度，不要从事危害网络安全方面的活动。

(3) 制定完善的维护制度，做到定期维护

健全网络安全防范的规章制度，在管理上应该积极主动，采取行之有效的管理方法，把技术手段和管理机制紧密结合起来，从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度。

3 总结

高校图书馆电子阅览室的网络安全管理与维护，是一项长期而复杂的工作，需要在实际工作中不断探索，不断总结经验，需要学习新的知识与技术，在新形式下对其做出安全评估，作出新的安全防护措施，从而保证电子阅览室的正常高效使用。本文总结了电子阅览室日常实践经验，以求抛砖引玉，望各同行批评指正。

[1]杨小刚.计算机木马病毒检测与防范[J].计算机与信息技术.2010.

[2]赵日峰.服务器的安全防护措施[J].网络与信息.2005.

[3] 冯凯.关于计算机房网络安全的研究与探讨[J].全国商情(理论研究).2010.

[4]杨林海.局域网安全交换机的应用探讨[J].办公自动化.2010.

[5]宋京红.计算机公共机房硬盘保护卡的应用[J].北华航天工业学院学报.2010.