王小娥

关键词:网络攻击形式；电子图书馆；防火墙

摘 要：简要介绍了在网络环境下图书馆网络遭受攻击的形式、提出了电子图书馆相应解决方法及防火墙部署。

中图分类号：G250.7文献标识码：A 文章编号：1003-1588（2009）02-0058-02

由于电子图书馆的公开性和开放性，系统的安全性、可靠性成为电子图书馆建设的重要部分。

以下论述了网上攻击图书馆网络的常见形式以及电子图书馆防火墙部署原则，并从其部署的位置详细阐述了防火墙的选择标准。

1 图书馆网络遭受攻击的常见形式

1.1 利用图书馆网络系统漏洞进行攻击

许多网络系统都存在着这样那样的漏洞，这些漏洞有可能是系统本身所有的，如WindowsNT、UNIX等都有数量不等的漏洞，也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。

对于系统本身的漏洞，可以安装软件补丁；另外，图书馆网络管理者也需要仔细工作，尽量避免因疏忽而使他人有机可乘。

1.2 通过电子邮件进行攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。这一点和“拒绝服务攻击（DDOS）比较相似。

对于遭受此类攻击的邮箱，可以使用一些垃圾邮件清除软件来解决。其中常见的有SpamEater、Spamkiller等，Outlook收信软件同样也能达到此目的。

1.3 解密攻击

在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人，只要有密码，系统就会认为你是经过授权的正常用户，因此，取得密码也是黑客进行攻击的重要手法。

取得密码有多种方法，一种是对网络上的数据进行监听。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而黑客就能在两端之间进行数据监听。

但一般系统在传送密码时都进行了加密处理，即黑客所得到的数据中不会存在明文的密码，这给黑客进行破解又提了一道难题。这种手法一般运用于局域网，一旦成功攻击将会得到很大的操作权益。

另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码，但这项工作十分费时，不过如果用户的密码设置得比较简单，如“12345”、“ABC”等那有可能只需一眨眼的功夫就可破解。

为了防止受到这种攻击的危害，用户在进行密码设置时一定要将其设置得复杂，也可使用多层密码，或者变换思路使用中文密码，并且不要以自己的生日和电话甚至用户名作为密码。因为一些密码破解软件可以让破解者输入与被破解用户相关的信息，如生日等，然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码，这样使其被破解的可能性又下降了不少。

1.4 后门软件攻击

后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法取得用户电脑的超级用户级权利，对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。

后门软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，后门软件的服务器端就安装完成了，而且大部分后门软件的重生能力比较强，给用户进行清除造成一定的麻烦。

1.5 拒绝服务攻击

互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击（DDOS）的难度比较小，但它的破坏性却很大。具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，从而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。

现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强，一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件，使邮件服务器无法承担如此庞大的数据处理量而瘫痪。

2 电子图书馆的防火墙设置

网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，可以有效的防止各种网络攻击，因此最先受到人们重视。就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有优势。应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是图书馆内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果图书馆内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;通过公网连接的高校总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将高校总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是:只要有恶意侵入的可能,无论是校园内部网络还是与外部公网的连接处,都应该安装防火墙。

2.1 防火墙的选择

电子图书馆选择防火墙的标准有很多,但最重要的是以下几条:

2.1.1 作为网络系统的安全屏障,其总拥有成本不应该超过受保护网络系统可能遭受最大损失的成本。以一个图书馆的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于图书馆来说,其所造成的负面影响和连带损失也应考虑在内。

2.1.2 防火墙本身是安全的

作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有安全性可言了。

通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理。这类问题一般图书馆根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对图书馆来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。

2.1.3 管理与培训

我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。图书馆内部人员的培训和日常维护费用通常会占据一定的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

2.1.4 可扩充性

在电子图书馆系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给图书馆足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。

2.1.5 防火墙的安全性

防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以图书馆在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

网络环境下的图书馆信息安全性问题，目前也正处于研究和发展阶段，由于计算机运算速度的不断提高，网络安全技术将成为信息网络发展的关键技术。21世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络安全技术的有力保障，才能形成社会发展的推动力。在我国电子图书馆安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，在大家的一起努力下一定可以建立一个可靠安全的网络机制，以更好的服务读者。

参考文献：

［1］ 刘蕴，郭吴天．计算机网络安全与防火墙技术［J］．农业网络信息，2004，(6).

［2］ 冉晓里．防火墙入侵检测系统和漏洞评估［J］．现代通信，2003，(4)．

［3］ 蔡立军．计算机网络安全技术［M］．北京：中国水利水电出版社，2001.