關(guān)云云

(中原工學(xué)院,鄭州 450007)

網(wǎng)絡(luò)取證技術(shù)在網(wǎng)絡(luò)圖書(shū)館中的應(yīng)用研究

關(guān)云云

(中原工學(xué)院,鄭州 450007)

在分析圖書(shū)館網(wǎng)絡(luò)數(shù)據(jù)資源特點(diǎn)的基礎(chǔ)上,綜合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù),提出了針對(duì)圖書(shū)館網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵取證設(shè)計(jì)方案及關(guān)鍵技術(shù),通過(guò)保存原始證據(jù)及對(duì)已有證據(jù)的關(guān)聯(lián)分析,發(fā)現(xiàn)并證明入侵行為的過(guò)程,并對(duì)其在圖書(shū)館網(wǎng)絡(luò)中的應(yīng)用進(jìn)行了研究.

網(wǎng)絡(luò)取證;圖書(shū)館網(wǎng)絡(luò)數(shù)據(jù)資源;關(guān)聯(lián)分析

信息技術(shù)特別是網(wǎng)絡(luò)通信技術(shù)的發(fā)展極大促進(jìn)了當(dāng)今的社會(huì)經(jīng)濟(jì)的發(fā)展,信息技術(shù)特別是網(wǎng)絡(luò)技術(shù)的革新在在圖書(shū)館工作的各個(gè)領(lǐng)域建設(shè)中得到廣泛運(yùn)用,同時(shí)也改變了用戶(hù)對(duì)圖書(shū)館的認(rèn)識(shí)和使用方式.計(jì)算機(jī)網(wǎng)絡(luò)給圖書(shū)館的藏書(shū)管理、服務(wù)模式、資源共建共享、數(shù)字化圖書(shū)館建設(shè)等許多方面帶來(lái)了深刻的影響.但是,圖書(shū)館網(wǎng)絡(luò)系統(tǒng)的安全也面臨各種威脅.圖書(shū)館的數(shù)據(jù)資源容量大、種類(lèi)多,一旦遭到破壞,圖書(shū)館各項(xiàng)工作將陷入癱瘓 ,并可能造成重大的財(cái)產(chǎn)損失.因此,必須重視計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題.本文主要從網(wǎng)絡(luò)取證的角度分析網(wǎng)絡(luò)入侵技術(shù),以期為圖書(shū)館網(wǎng)絡(luò)系統(tǒng)能夠長(zhǎng)期安全可靠地運(yùn)行提供幫助.

1 圖書(shū)館網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全問(wèn)題

1.1 圖書(shū)館網(wǎng)絡(luò)特點(diǎn)分析

高校數(shù)字圖書(shū)館建設(shè)為學(xué)生、教師、相關(guān)部門(mén)和社會(huì)提供電子資源服務(wù),以提高教學(xué)水平,增強(qiáng)科研能力,促進(jìn)師資建設(shè).與普通的計(jì)算機(jī)網(wǎng)絡(luò)不同,圖書(shū)館網(wǎng)絡(luò)有其獨(dú)有的特點(diǎn).

圖書(shū)館網(wǎng)絡(luò)主要面向?qū)W校師生,為教學(xué)和科研服務(wù).圖書(shū)館作為大學(xué)的重要學(xué)術(shù)支撐機(jī)構(gòu),擔(dān)負(fù)著為學(xué)校的人才培養(yǎng)、學(xué)科建設(shè)、科學(xué)研究提供信息服務(wù)的重要職責(zé),同時(shí)也是一個(gè)大學(xué)文化傳承和文化精神的體現(xiàn)[1].圖書(shū)館網(wǎng)絡(luò)則是圖書(shū)館的一個(gè)重要窗口,同時(shí)要擔(dān)負(fù)圖書(shū)館的這些功能.圖書(shū)館運(yùn)行環(huán)境主要為校園內(nèi)部網(wǎng),它提供局域網(wǎng)范圍內(nèi)的服務(wù),在用戶(hù)認(rèn)證的基礎(chǔ)上,也可以通過(guò) Internet提供對(duì)少量用戶(hù)有差別的服務(wù).而且一般屬于公益類(lèi)型的數(shù)字圖書(shū)館,閱讀下載沒(méi)有收費(fèi)要求.

圖書(shū)館網(wǎng)絡(luò)具有強(qiáng)大的數(shù)據(jù)庫(kù)資源.在為教學(xué)、科研提供優(yōu)質(zhì)服務(wù)的前提下,高校圖書(shū)館需要外購(gòu)數(shù)據(jù)庫(kù)資源,提供外購(gòu)數(shù)據(jù)庫(kù)鏡像資源[2],如中國(guó)知網(wǎng)數(shù)據(jù)庫(kù)、EI檢索數(shù)據(jù)庫(kù)ACM數(shù)據(jù)庫(kù)等;同時(shí)圖書(shū)館網(wǎng)絡(luò)還應(yīng)有自己的特色館藏網(wǎng)絡(luò)資源以體現(xiàn)學(xué)校的辦學(xué)特點(diǎn)、優(yōu)勢(shì)及個(gè)性,如本校學(xué)位論文數(shù)據(jù)庫(kù)、教師學(xué)術(shù)成果數(shù)據(jù)庫(kù)、專(zhuān)家學(xué)者信息庫(kù)等.這就需要設(shè)計(jì)性能良好、功能強(qiáng)大的數(shù)據(jù)庫(kù)集成管理軟件來(lái)管理維護(hù)這些數(shù)據(jù)庫(kù)資源.數(shù)字資源的類(lèi)型主要包括電子圖書(shū)、期刊、報(bào)紙與會(huì)議論文、影音資源、光盤(pán)資源、特色館藏資源.

圖書(shū)館網(wǎng)絡(luò)主要提供通過(guò)網(wǎng)絡(luò)的檢索服務(wù),信息檢索的特征體現(xiàn)為智能化、高速化.傳統(tǒng)圖書(shū)館的資料查詢(xún)、檢索和借閱全都是手工操作,效率低、速度慢.數(shù)字圖書(shū)館將圖書(shū)、期刊、照片、數(shù)據(jù)庫(kù)、網(wǎng)頁(yè)、媒體資料等各類(lèi)信息載體與信息來(lái)源在知識(shí)無(wú)序的基礎(chǔ)上有機(jī)地組織并鏈接起來(lái),以動(dòng)態(tài)分布式的方式為用戶(hù)提供服務(wù),讀者只要點(diǎn)擊計(jì)算機(jī)鍵盤(pán)、鼠標(biāo),就可以從海量的數(shù)字信息庫(kù)中迅速選取自己所需要的信息.

1.2 圖書(shū)館網(wǎng)絡(luò)面臨的各種網(wǎng)絡(luò)威脅

圖書(shū)館網(wǎng)絡(luò)的特點(diǎn)決定了圖書(shū)館網(wǎng)絡(luò)特有的網(wǎng)絡(luò)安全需求[3].非法的授權(quán)可能影響到整個(gè)系統(tǒng)的穩(wěn)定運(yùn)行,或者影響圖書(shū)館網(wǎng)絡(luò)內(nèi)龐大用戶(hù)的合法權(quán)利.影響圖書(shū)館網(wǎng)絡(luò)安全的因素也很多,歸結(jié)起來(lái),針對(duì)圖書(shū)館網(wǎng)絡(luò)安全的威脅主要有如下幾個(gè)方面:

(1)網(wǎng)絡(luò)物理設(shè)備的安全隱患.圖書(shū)館各網(wǎng)絡(luò)物理設(shè)備分布在不同的地理位置,管理起來(lái)非常困難.數(shù)字圖書(shū)館需要提供全天24小時(shí)服務(wù),對(duì)于交換機(jī)、服務(wù)器、存儲(chǔ)設(shè)備來(lái)說(shuō),工作負(fù)荷過(guò)大,容易造成硬件故障,導(dǎo)致部分設(shè)備損壞.

(2)黑客攻擊.數(shù)字圖書(shū)館通常同時(shí)與教育網(wǎng)、因特網(wǎng)相連,有時(shí)也通過(guò)教育網(wǎng)與因特網(wǎng)相連,面臨遭遇黑客攻擊的風(fēng)險(xiǎn)較高.同時(shí)高校圖書(shū)館網(wǎng)絡(luò)由于要適應(yīng)學(xué)校的教學(xué)和科研的特點(diǎn),所以是開(kāi)放的,管理也是比較寬松的.一般高校圖書(shū)館網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)和外部網(wǎng)設(shè)置的訪問(wèn)權(quán)限不同,兩種網(wǎng)絡(luò)的攻擊方式不同:①外部網(wǎng)攻擊主要面臨的威脅是黑客會(huì)對(duì)高校圖書(shū)館網(wǎng)絡(luò)設(shè)備進(jìn)行信息轟炸,致使服務(wù)中斷,或者入侵Web或其他文件服務(wù)器,刪除或篡改數(shù)據(jù),致使系統(tǒng)癱瘓甚至完全崩潰.典型的黑客攻擊有入侵系統(tǒng)攻擊、欺騙攻擊、拒絕服務(wù)攻擊、對(duì)防火墻的攻擊、木馬程序攻擊、后門(mén)攻擊等;②內(nèi)部攻擊的攻擊主體一般是學(xué)生,少數(shù)學(xué)生可能把圖書(shū)館網(wǎng)絡(luò)作為練習(xí)攻擊技術(shù)的對(duì)象.學(xué)生選擇攻擊圖書(shū)館網(wǎng)絡(luò)可以直接定點(diǎn)攻擊,攻擊效果一般比較明顯;同時(shí),由于是內(nèi)部網(wǎng)絡(luò),攻擊者可以運(yùn)用ARP欺騙等攻擊手段.來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊威脅是更為嚴(yán)重的.

(3)計(jì)算機(jī)病毒.危害網(wǎng)絡(luò)安全的另一大隱患是計(jì)算機(jī)病毒,網(wǎng)絡(luò)時(shí)代下,計(jì)算機(jī)病毒尤其明顯.網(wǎng)絡(luò)的普及為病毒的快速傳播創(chuàng)造了便利的條件,近年來(lái)出現(xiàn)的多種惡性病毒都是基于網(wǎng)絡(luò)進(jìn)行傳播的.網(wǎng)絡(luò)病毒破壞性很大,圖書(shū)館的計(jì)算機(jī)系統(tǒng)如果遭到網(wǎng)絡(luò)病毒的破壞,輕則系統(tǒng)崩潰,運(yùn)行癱瘓,重則全部數(shù)據(jù)庫(kù)遭到損毀,數(shù)據(jù)丟失,將給圖書(shū)館帶來(lái)災(zāi)難性的打擊.

(4)網(wǎng)絡(luò)管理.常言道:“三分技術(shù),七分管理”.網(wǎng)絡(luò)技術(shù)再先進(jìn),網(wǎng)絡(luò)安全設(shè)置再?lài)?yán)密,如果缺失網(wǎng)絡(luò)管理,一切努力都是白費(fèi).網(wǎng)絡(luò)管理主要包括網(wǎng)絡(luò)安全管理意識(shí)是否強(qiáng)化,制度是否健全,分工是否明確,督促檢查措施是否得力等.

2 圖書(shū)館網(wǎng)絡(luò)取證模型

計(jì)算機(jī)取證是指對(duì)能夠?yàn)榉ㄍソ邮艿摹⒆銐蚩煽亢陀姓f(shuō)服性的、存在于計(jì)算機(jī)和相關(guān)外設(shè)系統(tǒng)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過(guò)程.對(duì)網(wǎng)絡(luò)攻擊取證而言,就是針對(duì)計(jì)算機(jī)入侵與犯罪進(jìn)行證據(jù)獲取、保存、分析和出示,從而對(duì)入侵事件進(jìn)行重建的過(guò)程[4].

計(jì)算機(jī)取證技術(shù)主要分為靜態(tài)取證和動(dòng)態(tài)取證.傳統(tǒng)的取證方法一般是采用靜態(tài)取證 ,它是在事發(fā)后對(duì)硬盤(pán)、光盤(pán)、軟盤(pán)、內(nèi)存緩沖以及其他形式的儲(chǔ)存介質(zhì)進(jìn)行數(shù)據(jù)提取、分析,抽取有效數(shù)據(jù)以發(fā)現(xiàn)犯罪證據(jù)的過(guò)程.采用靜態(tài)取證方法對(duì)于針對(duì)網(wǎng)絡(luò)協(xié)議的入侵行為,取證能力較弱.

動(dòng)態(tài)取證是將入侵檢測(cè)系統(tǒng)、防火墻、HoneyPot等網(wǎng)絡(luò)安全技術(shù)緊密結(jié)合起來(lái),實(shí)時(shí)獲取數(shù)據(jù)并采用智能分析技術(shù),實(shí)時(shí)檢測(cè)入侵,分析入侵企圖,采取相應(yīng)的響應(yīng)措施,在確保安全的情況下,獲取入侵者的攻擊證據(jù),從而追蹤攻擊者,給予攻擊者應(yīng)有的懲罰.

針對(duì)以上分析,根據(jù)圖書(shū)館的網(wǎng)絡(luò)特點(diǎn),考慮到網(wǎng)絡(luò)取證的需求,結(jié)合當(dāng)前廣泛使用的網(wǎng)絡(luò)安全技術(shù),我們提出如圖1所示的圖書(shū)館網(wǎng)絡(luò)取證模型,其各部分的作用如下.

圖1 網(wǎng)絡(luò)取證模型

(1)安全審計(jì).網(wǎng)絡(luò)安全審計(jì)是在一個(gè)圖書(shū)館網(wǎng)絡(luò)環(huán)境下,為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外網(wǎng)和內(nèi)網(wǎng)用戶(hù)的入侵和破壞,而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件,以便集中報(bào)警、分析、處理的一種技術(shù)手段.圖書(shū)館網(wǎng)絡(luò)安全審計(jì)包括:①對(duì)網(wǎng)絡(luò)設(shè)備的安全審計(jì):需要從中收集日志,以便對(duì)網(wǎng)絡(luò)流量和運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和事后查詢(xún);②對(duì)服務(wù)器的安全審計(jì):為了安全目的,審計(jì)服務(wù)器的安全漏洞,監(jiān)控對(duì)服務(wù)器的任何合法和非法操作,以便發(fā)現(xiàn)問(wèn)題后查找原因.本模型中,安全審計(jì)將審計(jì)結(jié)果以及審計(jì)所使用的原始記錄交給網(wǎng)絡(luò)取證系統(tǒng)進(jìn)一步分析和作為原始證據(jù)保存.

(2)防火墻.防火墻是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間,或者是內(nèi)部網(wǎng)的各部分之間實(shí)施安全防護(hù)的一種應(yīng)用系統(tǒng),通常是由硬件設(shè)備和防護(hù)軟件組成.在網(wǎng)絡(luò)中,防火墻保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入,過(guò)濾不良信息,阻止對(duì)信息資源的未授權(quán)訪問(wèn).防火墻能阻止大部分非法入侵,但也存在不足,如內(nèi)部攻擊.同時(shí),防火墻是攻擊者必須突破的一道關(guān)口,防火墻日志中記錄了大量的異常流量信息,因此其日志系統(tǒng)總會(huì)記錄入侵者的蛛絲馬跡,這也是入侵的重要證據(jù).取證時(shí),需要將防火墻分析的日志提交網(wǎng)絡(luò)取證系統(tǒng)進(jìn)一步分析和保存.

(3)防病毒系統(tǒng).網(wǎng)絡(luò)防病毒軟件可以安裝在服務(wù)器上,并對(duì)服務(wù)器進(jìn)行病毒掃描及病毒實(shí)時(shí)監(jiān)控.網(wǎng)絡(luò)版的防病毒軟件應(yīng)具備遠(yuǎn)程化管理(遠(yuǎn)程殺毒、遠(yuǎn)程報(bào)警、遠(yuǎn)程操作)、自動(dòng)化管理(自動(dòng)化安裝、自動(dòng)化升級(jí)、自動(dòng)化卸載)、全網(wǎng)查殺病毒、日志統(tǒng)計(jì)、腳本監(jiān)控等功能.對(duì)于病毒破壞的文件、數(shù)據(jù),能夠最大限度地修復(fù),盡可能地減少用戶(hù)的損失.防病毒系統(tǒng)也需要將分析的結(jié)果提交網(wǎng)絡(luò)取證系統(tǒng)進(jìn)一步分析.

(4)入侵檢測(cè)系統(tǒng).入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備.它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于,它是一種積極主動(dòng)的安全防護(hù)技術(shù).通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊現(xiàn)象.入侵檢測(cè)系統(tǒng)需要將收集的原始信息以及分析結(jié)果提交取證系統(tǒng).

(5)日志數(shù)據(jù)庫(kù).日志數(shù)據(jù)庫(kù)記錄了大量用戶(hù)登錄網(wǎng)絡(luò)數(shù)據(jù)庫(kù),以及檢索和下載論文等用戶(hù)使用網(wǎng)絡(luò)過(guò)程的信息.因此日志數(shù)據(jù)庫(kù)是發(fā)現(xiàn)用戶(hù)是否提升權(quán)限或者非法使用數(shù)據(jù)庫(kù)的重要地方,甚至也可以用來(lái)發(fā)現(xiàn)用戶(hù)的入侵行為,也是入侵或犯罪的重要證據(jù).日志數(shù)據(jù)庫(kù)將這些記錄提交網(wǎng)絡(luò)取證系統(tǒng)進(jìn)一步分析.

(6)網(wǎng)絡(luò)取證系統(tǒng).網(wǎng)絡(luò)取證系統(tǒng)的主要功能是保存犯罪證據(jù),對(duì)犯罪證據(jù)以加密認(rèn)證的方式保存,以保證證據(jù)的原始性.將各個(gè)安全系統(tǒng)提交的結(jié)果或中間過(guò)程進(jìn)一步分析關(guān)聯(lián),構(gòu)成入侵或犯罪證據(jù)的證據(jù)鏈,追蹤定位犯罪分子,或者發(fā)現(xiàn)入侵行為.

(7)取證分析展示.將分析結(jié)果形成證據(jù)報(bào)告,提交用戶(hù).

3 結(jié) 語(yǔ)

將網(wǎng)絡(luò)取證系統(tǒng)應(yīng)用在圖書(shū)館網(wǎng)絡(luò)中,對(duì)于發(fā)現(xiàn)針對(duì)圖書(shū)館數(shù)據(jù)資源的非法入侵和犯罪行為,追蹤定位犯罪分子,以及將來(lái)作為證據(jù)提交司法處理或者給予其相應(yīng)的懲罰都有重要的意義.高校圖書(shū)館數(shù)字信息資源的安全是一項(xiàng)復(fù)雜的工程,除了應(yīng)用各種技術(shù)手段防范外,更重要的是要加強(qiáng)圖書(shū)館的內(nèi)部管理,制定相應(yīng)的規(guī)章制度,共同維護(hù)和諧安全的圖書(shū)館資源.

[1] 崔愛(ài)軍.高校圖書(shū)館網(wǎng)絡(luò)安全建設(shè)[J].中國(guó)科技信息,2009(2):190-192.

[2] 翟中文.網(wǎng)絡(luò)環(huán)境下圖書(shū)館資源信息資源建設(shè)之我見(jiàn)[J].信息系統(tǒng)工程,2009(11):103-105.

[3] 王國(guó)莊.高校圖書(shū)館內(nèi)網(wǎng)安全隱患與防范策略探討[J].信息安全與通信保密,2009(12):77-79..

[4] 王玲,錢(qián)華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].軟件學(xué)報(bào),2003(9):1635-1644.

The Application Network Forensic in Network L ibrary

GUAN Yun-yun
(Zhongyuan University of Technology,Zhengzhou 450007,China)

Network Forensic is an importantmeasure to punish intruder and criminals.Based on analysis of the characteristic of library netwo rk resource,a design scheme on netwo rk fo rensic system,w hich integrating other network security system,is p roposed.The p rocedure of intrusion action is found and p roved by the collected evidence.Finally,the research on the app lication of library netwo rk security is carried on.

network forensic;library network resource;association analysis

TP393.08

A DO I:10.3969/j.issn.1671-6906.2010.04.008

1671-6906(2010)04-0030-03

2010-07-16

河南省科技攻關(guān)計(jì)劃項(xiàng)目(082102210082;082102210092);河南省教育廳自然科學(xué)基金項(xiàng)目(2008B520045)

關(guān)云云(1974-),女,河南尹川人.