引論:我們為您整理了1篇高校圖書館網絡安全架構設計研究范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
《中華人民共和國網絡安全法》第一章第十條中規定:建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性[1]。高等學校圖書館是學校的文獻信息資源中心,是為人才培養和科學研究服務的學術性機構,是學校信息化建設的重要組成部分,是校園文化和社會文化建設的重要基地[2],更應當注重網絡安全建設工作,加強網絡的安全性、可靠性和穩定性,為充分發揮其功能提供保障。
目前,高校圖書館在網絡安全建設工作中主要存在以下五類問題:1)網絡安全重視不足。高校圖書館在高校建設規劃中的地位呈逐漸下降的趨勢[3],或因為一些客觀原因導致經濟下行壓力加大,高校圖書館信息化建設的投入受到一定限制,網絡安全作為信息化建設中一個需要長期投入又難以顯現成效的子項目,很大程度上未得到足夠的重視。2)防御手段單一。高校圖書館發展的重心一直是各類型紙質和數字資源建設及以其為基礎的文獻信息服務,服務平臺中的網絡安全設備投入較少,網安防御組件通常只使用防火墻和殺毒軟件,導致防御手段十分單一。事實上,網絡安全防御技術包括防病毒技術、身份認證、IPS入侵檢測、流量可視化分析、日志審計、安全態勢感知等多種技術手段[4]。3)防御縱深不足。部分高校圖書館信息服務平臺建設和網絡維護人員的專業背景和網絡安全貼合度較低,在運維圖書館網絡時通常僅使用傳統的網絡安全設備,迭代更新遲緩,并且未能發揮各網安組件的聯動功能,導致網絡系統的防御縱深不足。4)對網絡攻擊的敏感度差。傳統的網絡安全設備如防火墻、病毒檢測系統等,都是基于簽名匹配的原理來檢測攻擊,可以應對那些存在于特征庫中的網絡攻擊,但對于零日漏洞、APT(AdvancedPersistentThreat,高級持續性威脅)攻擊以及缺乏簽名的攻擊則無能為力。網絡攻擊并非總是立即生成破壞力,而是隱藏于網絡中不斷地竊取系統內的重要信息,只使用傳統網絡安全設備的網絡架構將很難發現這樣的網絡攻擊[5]。5)網絡架構混亂。高校圖書館網絡服務的對象包含且不限于學生、教師、職工等校內外讀者,對于不同的角色需要使用不同的網絡管理策略,同時讀者基于學習和教學科研等需要會將自己的設備接入圖書館的網絡中,這樣動態的變化給圖書館的網絡架構設計尤其是網絡安全帶來了嚴峻的挑戰,而很多高校圖書館并沒有完美地應對這種挑戰。
2高校圖書館網絡安全建設關鍵點
2.1確保網絡邊界安全高校圖書館的網絡系統通常隸屬于校園主干網,如圖1所示,高校圖書館內網通過防火墻和核心路由器接入校園主干網。雖然校園主干網會提供一定的安全防護機制,但這并不意味著圖書館的網絡系統可以高枕無憂地呆在“保護傘”下,相反,校園網是非常容易遭受網絡攻擊的對象,一旦校園網被突破,缺乏防御機制的圖書館內網將直接暴露在攻擊者面前。因此,高校圖書館在設計其網絡架構時更應當嚴格劃分網絡安全職責,確保網絡邊界安全。
2.2網絡架構分層良好的層次架構能給日常的網絡安全維護工作和日后的架構升級工作帶來巨大的便利[6],在設計高校圖書館網絡的層次架構時,應當遵循以下基本原則:1)每一層的業務邏輯獨立,最大限度地減少系統耦合性;2)除相鄰兩層外,其余各層之間的互相交流少;3)相鄰層分為上下兩層,下層應當實現更為基礎的功能,并為上層提供服務。一種典型的高校圖書館網絡架構如圖2所示,整個架構分為4層,由上至下分別是核心層、匯聚層、接入層和終端層。核心層的功能是接入校園主干網,高效、可靠地轉發內網和外網的交互流量;匯聚層的功能是匯聚整個網絡系統的流量,對流量進行監控和管理;接入層負責接入不同組織的終端設備;終端層則是用戶直接使用的硬件或軟件設備。
2.3內網組織架構劃分與管理高校圖書館網絡需要為各種類型的對象提供服務,業務邏輯紛雜繁多,如果使用統一的規則來管理所有用戶、終端和服務器,將導致整個網絡混亂不堪,信息資產毫無安全性可言,因此,合理地劃分組織架構,對不同的組織架構使用不同的網絡管理策略是至關重要的。
2.4網絡狀況實時監控與態勢感知我國公共圖書館的網絡安全防御存在防御手段單一、防御縱深不足、對網絡攻擊的敏感度差等特點,因此,對圖書館內部的網絡狀態進行實時監控和態勢感知勢在必行。為了解決防御手段單一的問題,可以在圖書館網絡架構中部署防火墻、IPS入侵檢測系統、漏洞掃描系統、日志審計系統、流量分析系統等不同功能的網絡安全設備。為了解決防御縱深不足的問題,可以將自動防御設備和人工結合在一起,將網絡狀態可視化,人為地監測自動防御設備漏報的威脅。為了解決對網絡攻擊敏感度差的問題,應當讓不同功能的網絡安全設備形成聯動,分步把關,盡最大努力對網絡中的流量進行安全檢測。
3系統總體架構
高校圖書館的網絡系統承擔著豐富高校師生讀者的精神生活、為教學和科研工作提供便捷的基礎服務、繁榮發展中國特色社會主義文化等職能,因此,建設一個容錯高、可靠性大、效率高、速度快的高校圖書館網絡系統迫在眉睫。基于此背景,本文提出一個分層建設、可擴展性大、安全性高且能提供高效網絡服務的網絡架構設計。如圖3所示,系統一共分為4層,由上至下分別是核心層、匯聚層、接入層和設備層。核心層負責將圖書館內網和校園主干網進行互聯,提供內網和外網的快速流量轉發。它的主要組成設備有防火墻和核心路由器,防火墻清晰地將校園主干網和圖書館內網劃分開,對進出圖書館內網的流量進行了初步的監管,能一定程度地排除不安全的流量。匯聚層匯聚了整個圖書館內網所有流量,對這些流量進行系統的分析和管控是保證整個網絡安全性的重中之重。因此,在匯聚層的交換機上可以旁路部署多種多樣的網絡安全設備和組件,如漏洞掃描、IPS入侵檢測、日志審計、網絡安全態勢感知、數據庫審計等,這些組件并非各自為戰,而是相輔相成、互相聯動,共同捍衛整個系統的網絡安全。接入層負責將各個組織的終端接入網絡系統中,它的主要設備是防火墻和交換機,可以在防火墻上對具體的組織設置具體的網絡使用規則。終端層是用戶直接使用的硬件或軟件設備。為了讓整個網絡系統在日常網絡管理、網絡安全維護和系統動態擴展、策略動態配置方面更加便利,需要對整個圖書館內網的組織進行合理的劃分。根據使用對象的不同,終端層的組成主要分為核心業務服務器、DMZ區服務器、員工終端、非員工終端和業務機終端。核心業務服務器主要包括電子資源數據庫服務器、讀者借還管理服務器、員工及讀者信息管理服務器等所有存儲信息價值重大的服務器。DMZ區服務器主要部署圖書館門戶網站、館藏查詢網站等需要對高校讀者公開的服務站點。員工終端是圖書館在職員工所使用的終端設備,非員工終端則是讀者為了學習任務自行帶入圖書館且需要接入圖書館網絡的終端設備,而業務機終端則是分布在各樓層的瘦客戶端、查詢機、智能機器人等。不同組織的終端設備接入圖書館后應當使用不同的管理策略,一刀切的管理策略會讓圖書館的網絡服務混亂不堪。
4結語
高校圖書館提供的網絡服務必須具有穩定性、高效性和安全性,肩負的責任重大,而高校圖書館網絡用戶類型多樣,管理難度大,網絡安全維護工作異常艱巨。本文在分析了高校圖書館的網絡安全建設現狀和建設難點后,針對現有網絡架構的各種安全性能問題,提出了一種分層設計、安全性高、穩定性強且擴展性高的網絡架構,能為圖書館日常的網絡安全維護工作、動態安全策略部署工作和網絡系統的升級工作帶來極大的便利。
參考文獻:
[1]中華人民共和國網絡安全法[EB/OL].(2016-11-07)[2022-12-09].
[2]教育部關于印發《普通高等學校圖書館規程》的通知(教高[2015]14號)[EB/OL].(2016-01-04)[2021-04-12].
[3]李華群.智慧化建設背景下高校圖書館信息化建設實踐研究:以河南理工大學圖書館為例[J].江蘇科技信息,2022,39(17):31-34.
[4]朱岑園.數字圖書館計算機網絡的安全技術及其防護策略[J].科技創新與應用,2022,12(1):153-155.
[5]吳玉靈.智慧圖書館網絡安全態勢感知平臺建設研究[J].圖書館研究,2022,52(3):93-100.
[6]張元俊.高校圖書館網絡信息安全體系建設[C]//.第十五屆全國信號和智能信息處理與應用學術會議論文集,2022:138-143.
作者:余禮洋 單位:中南大學圖書館
