王政軍

〔摘 要〕為解決當前圖書館網(wǎng)絡(luò)安全事件頻發(fā)的問題，設(shè)計了基于策略網(wǎng)絡(luò)的安全解決方案。引入基于角色的策略和動態(tài)入侵響應的設(shè)計思想，提出基于策略的網(wǎng)絡(luò)安全管理的策略模型。以大連理工大學圖書館網(wǎng)絡(luò)方案為例，闡述了基于策略網(wǎng)絡(luò)的技術(shù)支撐原理、設(shè)計思路及應用方法。實踐證明，基于策略的網(wǎng)絡(luò)管理方案能有效保障圖書館網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性，實現(xiàn)了網(wǎng)絡(luò)安全管理的簡易化、智能化及自動化，提高了網(wǎng)絡(luò)資源的使用效率。

〔關(guān)鍵詞〕圖書館網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；入侵防御；策略網(wǎng)絡(luò)

DOI：10.3969/j.issn.1008-0821.2015.11.011

〔中圖分類號〕TP3168 〔文獻標識碼〕A 〔文章編號〕1008-0821（2015）11-0064-05

The Network Manager of Library Based on Policy-based Network Security

Wang Zhengjun Jin Yuling Yu Xiaoyi

（Library，Dalian University of Technology，Dalian 116023，China）

〔Abstract〕Technology development and extensive application of network has brought tremendous impact to network security，so network security issues in the library are becoming new information security hotspots.Different from the theoretical introduction of network security management based on strategy，in connection with the security and reliability issues existing in the library network system，this paper introduced the technology achieve of network security in Dalian University of Technology Library，and also discussed the network of dynamic intrusion response and support policy.

〔Key words〕library；network security；intrusion prevention；network strategy

隨著數(shù)字化圖書館的迅速發(fā)展，計算機網(wǎng)絡(luò)在圖書館的應用越來越廣泛，網(wǎng)絡(luò)安全成為新信息安全的熱點[1]。數(shù)字化圖書館作為向教學科研提供先進、便捷、廣泛地獲取知識的平臺，需要保證網(wǎng)絡(luò)信息化服務的穩(wěn)定、安全及可靠。圖書館網(wǎng)絡(luò)安全的主要目的是實現(xiàn)對整個圖書館網(wǎng)絡(luò)用戶可訪問資源的完全控制、抵御內(nèi)外網(wǎng)絡(luò)的惡意訪問，同時保證關(guān)鍵業(yè)務的高質(zhì)量網(wǎng)絡(luò)服務[2]。

大連理工大學圖書館（以下簡稱大工圖書館）近幾年注重提升網(wǎng)絡(luò)安全，不斷探索適應圖書館網(wǎng)絡(luò)信息安全的管理方式。通過多年的理論研究和實踐總結(jié)，設(shè)計部署了一套基于策略的網(wǎng)絡(luò)安全解決方案。該方案采用先進的安全技術(shù)手段，將動態(tài)入侵響應與基于角色的策略進行聯(lián)動，在保證網(wǎng)絡(luò)安全穩(wěn)定可靠的前提下，實現(xiàn)網(wǎng)絡(luò)管理的智能化自動化。

1 策略網(wǎng)絡(luò)的關(guān)鍵技術(shù)

策略網(wǎng)絡(luò)將基于角色的策略和動態(tài)入侵響應兩項關(guān)鍵技術(shù)有機地結(jié)合起來，主要體現(xiàn)了網(wǎng)絡(luò)體系的安全性和管理上的便捷性。

11 基于角色的策略

雖然路由器和交換機具有一定的管理功能，但交換機只能對局域網(wǎng)中的帶寬分配和訪問權(quán)限做簡單決定。而網(wǎng)絡(luò)中的管理要面對簡化網(wǎng)絡(luò)運作、應用優(yōu)先權(quán)分配、靈活的體系結(jié)構(gòu)、多廠商支持等4個關(guān)鍵業(yè)務領(lǐng)域的需求[5]。策略管理的目的就是以簡化的、自動化的方式，實現(xiàn)業(yè)務驅(qū)動的網(wǎng)絡(luò)，幫助降低運行成本。因此，基于多元化應用需求，在網(wǎng)絡(luò)設(shè)備上安裝、使用策略管理器的解決方案應運而生。

研究表明，角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對慢，而且委派用戶到角色不需要很多技術(shù)，可以由行政管理人員來執(zhí)行。配置權(quán)限到角色的工作比較復雜，需要一定的技術(shù)，要由專門的技術(shù)人員來承擔。不給他們委派用戶的權(quán)限，也與現(xiàn)實中情況相一致?；诮巧脑L問控制方法可以很好地描述角色層次關(guān)系，方便權(quán)限管理，實現(xiàn)最少權(quán)限原則和職責分離的原則。

網(wǎng)絡(luò)管理員在策略管理器上定義具體的策略，決定怎樣利用網(wǎng)絡(luò)資源。這些策略由一套規(guī)則構(gòu)成，規(guī)則與業(yè)務優(yōu)先級有關(guān)，能夠在逐個用戶或分組基礎(chǔ)上設(shè)置所需的服務水平，以及進行封鎖或訪問控制。

2015年11月 第35卷第11期 現(xiàn)?"代?"情?"報 Journal of Modern Information Nov，2015 Vol35 No11

2015年11月 第35卷第11期 基于策略網(wǎng)絡(luò)的圖書館網(wǎng)絡(luò)安全管理方案 Nov，2015 Vol35 No11

12 動態(tài)入侵響應

很多圖書館通過在網(wǎng)絡(luò)邊界部署防火墻、企業(yè)級防病毒軟件、對服務器安裝各種補丁程序等方法來保護其IT基礎(chǔ)架構(gòu)。但是，這些預防措施并沒有阻止出現(xiàn)在互聯(lián)網(wǎng)上的蠕蟲和惡意用戶的不斷攻擊。動態(tài)入侵響應（DIR）是一種安全網(wǎng)絡(luò)解決方案，它能夠檢測網(wǎng)絡(luò)當中的異常行為，然后干預、隔離異常用戶或故障設(shè)備。動態(tài)入侵響應隔離了每一種安全威脅并用列表分類，識別安全威脅來源并自動配置網(wǎng)絡(luò)，降低網(wǎng)絡(luò)威脅產(chǎn)生的損失，從而保護網(wǎng)絡(luò)免受已知和未知安全威脅的侵害。endprint