張賽男 王 瑜 劉恩濤 曹雪霏

（北京科技大學(xué)圖書館，北京100083）

1 引言

當(dāng)今時代互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，由此帶來的網(wǎng)絡(luò)威脅與安全問題日益增加。隨著數(shù)字圖書館的逐步實現(xiàn)，用戶對高校圖書館網(wǎng)絡(luò)的依賴程度不斷加大。加之圖書館網(wǎng)絡(luò)數(shù)據(jù)量大、影響廣泛與傳播度高的特點，如何保障網(wǎng)絡(luò)安全工作顯得越來越重要。

根據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r及其安全報告（2019）》，以及中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在京發(fā)布的第44次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，互聯(lián)網(wǎng)生態(tài)仍將面臨嚴(yán)峻的安全形勢，黑客以互聯(lián)網(wǎng)為攻擊入口盜取系統(tǒng)信息、非法篡改網(wǎng)頁、植入后臺木馬，從而控制服務(wù)器以達(dá)到其不正當(dāng)目的的行為仍然層出不窮。近年來，網(wǎng)絡(luò)篡改和互聯(lián)網(wǎng)反向傳播等攻擊活動不斷增多，大規(guī)模集團(tuán)網(wǎng)站和政府機(jī)構(gòu)、科研院所以及重要的業(yè)務(wù)部門仍然是黑客攻擊（尤其是APT攻擊）的主要關(guān)注點。數(shù)據(jù)泄露和網(wǎng)站漏洞的風(fēng)險已成為網(wǎng)絡(luò)管理員必須要處理的關(guān)鍵問題，同時，它也成為用戶直接可以感知的安全問題。高校圖書館網(wǎng)絡(luò)服務(wù)器由于系統(tǒng)漏洞、后臺服務(wù)器存在不安全設(shè)置、網(wǎng)站實現(xiàn)代碼缺陷（如SQL注入、跨站腳本等），或網(wǎng)站提供Web服務(wù)的程序漏洞、IIS漏洞、Apache漏洞等，因而面臨極大的網(wǎng)絡(luò)攻擊威脅。

高校圖書館網(wǎng)絡(luò)安全問題是一個亟待解決的問題，需要結(jié)合高?，F(xiàn)實的管理體系，同時，兼顧各學(xué)校自身特點進(jìn)行設(shè)計，在保證圖書館業(yè)務(wù)正常運(yùn)轉(zhuǎn)的同時，提供安全、可靠、高效的防護(hù)保障體系。

2 高校面臨網(wǎng)絡(luò)攻擊的主要流程與手段

針對高校的網(wǎng)絡(luò)攻擊一般被分為兩類：主動攻擊與被動攻擊。主動攻擊是為了獲取訪問信息或達(dá)到某種惡意目的而進(jìn)行的故意行為。例如遠(yuǎn)程登錄到特定機(jī)器端口以獲得服務(wù)器信息，或者對訪問量較大、公網(wǎng)開放的高校網(wǎng)站（例如學(xué)校主站、教務(wù)系統(tǒng)、圖書館網(wǎng)站等）內(nèi)容或格式進(jìn)行非法篡改增刪等。被動攻擊的重點在于信息收集而不是訪問，包括嗅探、信息收集等攻擊方法，因此管理者對于此類攻擊很難察覺。這兩種攻擊方式一般被結(jié)合使用，在入侵時攻擊者會根據(jù)攻擊目的以及結(jié)合實際情況采用多種手段，在不同的入侵時段采用不同的方式。

在預(yù)攻擊階段，攻擊者通常會收集信息，了解攻擊環(huán)境，包括端口環(huán)境、機(jī)器類型、操作系統(tǒng)以及各個端口運(yùn)行哪種服務(wù)等，為下一步攻擊提供必要的情報以及決策信息。進(jìn)入攻擊階段后，攻擊者會通過獲得遠(yuǎn)程權(quán)限進(jìn)入系統(tǒng)，進(jìn)而提升本地權(quán)限，以進(jìn)行上傳程序、下載數(shù)據(jù)等實質(zhì)操作。為了能夠?qū)Ψ?wù)器進(jìn)行持續(xù)訪問，攻擊者一般會通過植入后門木馬、刪除日志等方式故意消除痕跡，從而長期維持一定的權(quán)限以求得進(jìn)一步的滲透擴(kuò)展。整個網(wǎng)絡(luò)攻擊流程如圖1所示。

圖1 網(wǎng)絡(luò)攻擊的一般過程示意

值得一提的是，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，如今的網(wǎng)絡(luò)攻擊逐漸趨向于模式化、工具化，攻擊者不再需要具備極強(qiáng)的計算機(jī)網(wǎng)絡(luò)知識，通過特定的工具軟件或手段便可以輕松地進(jìn)行漏洞掃描、程序植入以及上傳下載。例如，攻擊者首先通過Ping找到網(wǎng)絡(luò)上哪些機(jī)器是活動的，然后使用Scan-Port、Nmap等端口掃描軟件獲取進(jìn)入計算機(jī)系統(tǒng)的入口點。接下來使用Nessus、X-Scan等漏洞掃描軟件找到系統(tǒng)漏洞以及薄弱之處，輔以Queso、Nmap等檢測出操作系統(tǒng)具體情況，最后畫出網(wǎng)絡(luò)圖，制定進(jìn)一步攻擊策略。網(wǎng)絡(luò)攻擊的入手門檻降低、形式與技術(shù)的復(fù)雜化都對高校圖書館等流量站點的安全防護(hù)提出了嚴(yán)峻的考驗。

3 等保2.0標(biāo)準(zhǔn)下高校圖書館網(wǎng)絡(luò)安全防護(hù)的內(nèi)容

3.1 等保2.0與等保1.0變化解讀

網(wǎng)絡(luò)安全的等級保護(hù)是對專有信息及信息系統(tǒng)分等級保護(hù)，對其中的信息安全產(chǎn)品按等級管理，對發(fā)現(xiàn)的安全事件分等級響應(yīng)和處置的一種標(biāo)準(zhǔn)制度。2019年12月1日開始實施的等保2.0是我國網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的基本國策與基本制度。相較于2008年發(fā)布的等保1.0制度，等保2.0延續(xù)了從第一級到第五級的分級認(rèn)證管理模式，5個等級依次是：用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗證保護(hù)級。近年來，隨著新技術(shù)的發(fā)展和安全形勢的變化，等保1.0已經(jīng)無法有效地應(yīng)對新風(fēng)險帶來的安全威脅，等保2.0的出現(xiàn)，從法律法規(guī)、標(biāo)準(zhǔn)要求、安全體系、實施環(huán)節(jié)等方面都進(jìn)行了完善。

《中華人民共和國網(wǎng)絡(luò)安全法》將等保2.0從網(wǎng)絡(luò)安全的條例法規(guī)層面提升到國家法律的層面。任何不開展等級保護(hù)的行為都將被視為違法。另外，為適應(yīng)新時代發(fā)展要求，等保2.0在1.0的基礎(chǔ)上進(jìn)行了優(yōu)化，對云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新興業(yè)態(tài)提出了新的安全擴(kuò)展要求，并且將監(jiān)管對象從體制內(nèi)網(wǎng)絡(luò)空間拓展到了全社會范圍。等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上，更加注重主動防御，從被動防御到事前、事中、事后全流程的安全可信、動態(tài)感知和全面審計，實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級保護(hù)對象的全覆蓋。高校圖書館作為文化教育類互聯(lián)網(wǎng)公共服務(wù)單位，網(wǎng)絡(luò)安全等保認(rèn)證與建設(shè)勢在必行。以下將以北京科技大學(xué)圖書館為例，探討等保2.0標(biāo)準(zhǔn)下高校圖書館網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)建設(shè)與防護(hù)體系構(gòu)建中的一些實施工作。

3.2 高校圖書館網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)建設(shè)

等保2.0中網(wǎng)絡(luò)安全保護(hù)規(guī)定的動作為定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查。依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》以及等保2.0有關(guān)定級對象、侵害客體、侵害程度等測評標(biāo)準(zhǔn)，高校圖書館按照等保標(biāo)準(zhǔn)定級，一般確定網(wǎng)絡(luò)安全等級為第二級或第三級。圖書館網(wǎng)絡(luò)屬于校園網(wǎng)絡(luò)的一部分，館內(nèi)局域網(wǎng)建設(shè)與校園網(wǎng)的主干網(wǎng)互聯(lián)，因此高校圖書館網(wǎng)絡(luò)系統(tǒng)需要按規(guī)定等級安全防護(hù)要求進(jìn)行建設(shè)。目前各大高校圖書館網(wǎng)絡(luò)一般以千兆光纖主干連接，不僅需要承擔(dān)大數(shù)據(jù)傳送業(yè)務(wù)，更要支持語音、視頻等大信息量的多媒體應(yīng)用，對網(wǎng)絡(luò)的響應(yīng)速度以及安全策略都存在較高要求，對內(nèi)要防止“病毒”侵染，對外要防止外部網(wǎng)絡(luò)攻擊。按照等級分類標(biāo)準(zhǔn)，北京科技大學(xué)圖書館網(wǎng)絡(luò)系統(tǒng)應(yīng)確定為第二級。圖書館網(wǎng)絡(luò)實現(xiàn)千兆光纖連接到主干網(wǎng)絡(luò)，百兆到桌面，與學(xué)校教育網(wǎng)高速連接，通過匯聚交換機(jī)連接局域網(wǎng)內(nèi)所有服務(wù)器集群、工作機(jī)以及外圍設(shè)備。在安全防護(hù)上以防火墻隔離，通過學(xué)校網(wǎng)絡(luò)中心代理服務(wù)器實現(xiàn)與外網(wǎng)連接通信。具體網(wǎng)絡(luò)拓?fù)洵h(huán)境如圖2所示。

圖2 圖書館網(wǎng)絡(luò)拓?fù)?/p>

3.3 圖書館網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建

按照國家網(wǎng)絡(luò)安全等級保護(hù)的指導(dǎo)原則，北科大圖書館近年來注重網(wǎng)絡(luò)安全技術(shù)與管理工作，部署了一套完整的網(wǎng)絡(luò)防護(hù)體系，整個體系包括4個層面：Web應(yīng)用防火墻（Web Application Firewall，簡稱“WAF”），防火墻與端口控制，入侵檢測系統(tǒng)（intrusion detection system，簡稱“IDS”）以及安全防護(hù)設(shè)備與軟件等。具體防護(hù)體系如圖3所示。

圖3 圖書館網(wǎng)絡(luò)安全防護(hù)體系

3.3.1 Web應(yīng)用防火墻

Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的系統(tǒng)，作為校園網(wǎng)絡(luò)安全保障體系的第一道防線。在校園網(wǎng)中由學(xué)校網(wǎng)絡(luò)中心統(tǒng)一部署，它允許一個校外網(wǎng)絡(luò)終端（一般為客戶端）通過這個服務(wù)與圖書館網(wǎng)絡(luò)終端（一般為服務(wù)器）進(jìn)行非直接的連接，有利于保障網(wǎng)絡(luò)終端的隱私或安全，防止攻擊。在WAF管理控制臺將圖書館公網(wǎng)開放的網(wǎng)站域名添加并接入WAF后，校園網(wǎng)所有對外開放的公網(wǎng)流量都會先經(jīng)過Web應(yīng)用防火墻對HTTP（S）請求進(jìn)行檢測，識別并阻斷SQL注入、跨站腳本攻擊、網(wǎng)頁木馬上傳、惡意爬蟲掃描、跨站請求偽造等惡意攻擊，并將其在Web應(yīng)用防火墻上檢測過濾，而正常流量返回給圖書館目標(biāo)服務(wù)器IP，保護(hù)圖書館內(nèi)Web服務(wù)的安全穩(wěn)定。整個工作流程如圖4所示。

圖4 Web應(yīng)用防火墻工作流程

3.3.2 防火墻與端口控制

防火墻用于實現(xiàn)圖書館內(nèi)網(wǎng)和校園網(wǎng)之間的訪問控制，具有5大功能：過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包；禁止某些訪問行為；管理進(jìn)出網(wǎng)絡(luò)的行為；記錄通過防火墻的信息內(nèi)容；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和預(yù)警。在圖書館局域網(wǎng)中，服務(wù)器最易受到攻擊，需要根據(jù)實際服務(wù)在防火墻上對端口進(jìn)行嚴(yán)格控制開放，并設(shè)置合理的安全策略，不需要的端口禁止向圖書館外開放，在敏感時期設(shè)置端口開放的時間等，從而有效地防止外網(wǎng)攻擊。

3.3.3 入侵檢測系統(tǒng)

一旦傳輸通過防火墻進(jìn)入圖書館內(nèi)網(wǎng)，入侵檢測系統(tǒng)則將開始實施監(jiān)視。如果被判定為非法傳輸，系統(tǒng)將會觸發(fā)自動報警或采取進(jìn)一步的反制措施。假設(shè)防火墻是圖書館網(wǎng)絡(luò)的一道門鎖，通過大門的傳輸事件還需要接受監(jiān)控系統(tǒng)（IDS）的檢查。因此在分布式交換設(shè)備網(wǎng)絡(luò)中，IDS應(yīng)布置在所有流量都必須經(jīng)過的網(wǎng)絡(luò)上，并且盡可能分布在靠近攻擊源或者受護(hù)源的位置。對于圖書館網(wǎng)絡(luò)來說，這些位置通常是：圖書館各種服務(wù)集群匯集的交換機(jī)上；路由器進(jìn)入圖書館內(nèi)網(wǎng)之后首臺交換機(jī)上；圖書館重點網(wǎng)絡(luò)或業(yè)務(wù)的局域網(wǎng)交換機(jī)上。作為圖書館網(wǎng)絡(luò)防火墻的重要補(bǔ)充，IDS能夠克服傳統(tǒng)防御體系被動過濾的限制，能夠主動監(jiān)測并分析用戶活動及系統(tǒng)狀態(tài)，針對已經(jīng)發(fā)生但尚未引起重大損失的攻擊提前做出報警或強(qiáng)制終止等行動。整個工作流程如圖5所示。

圖5 入侵檢測系統(tǒng)工作流程

3.3.4 安全防護(hù)設(shè)備與軟件

除了在服務(wù)器上安裝必要的殺毒軟件外，圖書館面臨的安全問題主要有網(wǎng)頁內(nèi)容篡改、網(wǎng)站掛盜鏈、掛馬，各種cc攻擊、DDoS攻擊等服務(wù)器安全問題，而應(yīng)用層面上的攻擊又是比較多見的攻擊方式，因此使用云鎖、安全狗、360網(wǎng)站衛(wèi)士等服務(wù)器安全軟件多有防cc、SQL注入、XXS跨站等針對應(yīng)用程序攻擊的防御措施。但在系統(tǒng)層防護(hù)上，卻依然少有服務(wù)器安全軟件具備保護(hù)功能。要實現(xiàn)服務(wù)器的真正安全，則必須做到系統(tǒng)層、應(yīng)用防護(hù)與網(wǎng)絡(luò)層防護(hù)等整個構(gòu)建服務(wù)器安全防護(hù)體系的管理與防護(hù)。

4 基于Web服務(wù)器的安全防護(hù)策略

建立一個安全的Web網(wǎng)站必須要根據(jù)實際情況，從全局出發(fā)制定合適的防護(hù)策略，重點在于對所要防護(hù)的服務(wù)器要有全局認(rèn)識。目前在高校圖書館的網(wǎng)絡(luò)建設(shè)中，使用最多的Web服務(wù)器還是IIS及Apache。由于IIS服務(wù)的方便性與易用性，使它成為高校圖書館自建站點或其他小型服務(wù)常用的Web服務(wù)器軟件，但是IIS的安全問題一直令人擔(dān)憂。而Apache由于其普適性高，可以運(yùn)行在目前所有適用的部署設(shè)備上，并且平臺跨越性好，安全系數(shù)較高，故成為目前最流行的Web服務(wù)器端軟件之一。現(xiàn)實中每個圖書館都或多或少建設(shè)了相當(dāng)數(shù)量的IIS及Apache系統(tǒng)，要做好安全防護(hù)，概括起來應(yīng)該做到以下幾點。

4.1 精簡端口和服務(wù)

首先需要做的就是隱藏服務(wù)器的相關(guān)信息。攻擊者一般會根據(jù)Apache或IIS服務(wù)器的版本號搜索該版本相關(guān)漏洞，從而使用技術(shù)和工具有針對性地進(jìn)行攻擊。為了減少此類威脅產(chǎn)生，應(yīng)該在主配置文件下隱藏操作系統(tǒng)信息和Web服務(wù)器版本信息；同時要合理配置Web服務(wù)器，及時刪除和關(guān)閉沒有必要的端口或服務(wù)，只保留其中有用的，以阻止攻擊者從其他路徑獲取系統(tǒng)信息，進(jìn)而獲取密碼文件。

4.2 正確設(shè)置操作權(quán)限

良好的賬號管理制度十分必要，對于用戶權(quán)限要嚴(yán)格控制，慎重使用Root權(quán)限進(jìn)行遠(yuǎn)程操作，要使口令具有足夠的復(fù)雜度與安全性。對于存儲重要數(shù)據(jù)或發(fā)布重要信息窗口的系統(tǒng)，要為Web站點上不同類型的文件都建立目錄，然后給它們分配適當(dāng)權(quán)限。在設(shè)置時嚴(yán)格遵守拒絕優(yōu)于允許、權(quán)限最小化累加原則和權(quán)限繼承性原則。

4.3 使用安全的協(xié)議與程序

在遠(yuǎn)程管理圖書館服務(wù)器時，最好使用SSL和其他安全協(xié)議程序，盡量不要使用Telnet和FTP，因為這些協(xié)議會采用明文密碼且更易于監(jiān)視。為確保消息在發(fā)送過程中不被篡改，可以對哈希編碼進(jìn)行加密以確保信息的完整性。另外，應(yīng)禁止或限制使用CGI程序以及ASP和PHP腳本程序。因為這些程序會對系統(tǒng)造成安全風(fēng)險，并且某些腳本程序自身具有安全性的限制。

4.4 加強(qiáng)多層次網(wǎng)絡(luò)安全壁壘

在條件允許的情況下建立多層次的防護(hù)系統(tǒng)，可以結(jié)合使用代理服務(wù)、多層防火墻等技術(shù)手段將Web服務(wù)器與外部網(wǎng)絡(luò)隔離，只開放必須的端口及服務(wù)并且加強(qiáng)對訪問數(shù)據(jù)的過濾。簡言之，攻擊者需要突破的障礙越多，攻擊得手的機(jī)會就越少，網(wǎng)絡(luò)安全系數(shù)則會大大提高。

4.5 使用IDS入侵檢測系統(tǒng)

由于網(wǎng)絡(luò)安全本身的復(fù)雜性，各種入侵手段和工具層出不窮，近年來眾多校園網(wǎng)絡(luò)安全事件提示我們，并非所有威脅均來自防火墻外部，攻擊者一旦偽裝滲透攻破防火墻進(jìn)入內(nèi)網(wǎng)，以往被動式的防御方式往往力不從心。IDS入侵檢測系統(tǒng)能夠作為防火墻的有力補(bǔ)充，但是其對管理者知識要求較高，配置、操作和使用較為復(fù)雜，日常維護(hù)要注重事件、安全記錄以及系統(tǒng)日志的查看，發(fā)現(xiàn)異常要及時進(jìn)行阻斷或報警。

4.6 安裝服務(wù)器安全軟件及補(bǔ)丁工具

要保證服務(wù)器的安全，防止黑客和病毒的攻擊，作為管理員需要使用安全性強(qiáng)的軟件進(jìn)行服務(wù)器操作系統(tǒng)防護(hù)，及時掃描系統(tǒng)漏洞并安裝補(bǔ)丁。目前圖書館服務(wù)器使用最多的是微軟公司的Windows操作系統(tǒng)，相較于Linux系統(tǒng)，Windows系統(tǒng)由于使用量大，黑客與病毒入侵的主要手段是操作系統(tǒng)的漏洞，這也使其成為黑客研究的主要方向。如果不能及時的安裝補(bǔ)丁彌補(bǔ)漏洞的話，就算是防火墻和殺毒軟件對服務(wù)器的安全也將無能為力。

4.7 重視系統(tǒng)日志及應(yīng)用日志

日志文件是記錄系統(tǒng)狀態(tài)以及訪問情況的一種有效手段。養(yǎng)成良好的日志管理與查看習(xí)慣，不僅能夠及時處理系統(tǒng)運(yùn)行中的錯誤信息，更有利于在攻擊發(fā)生后追根溯源，制定對應(yīng)的防護(hù)措施。在日常管理中，要根據(jù)情況修改日志的存放路徑，并且修改日志訪問權(quán)限，設(shè)置只有管理員才能訪問。對日志文件的大小進(jìn)行控制，定期清除陳舊無用的日志，防止由于存儲空間不足對系統(tǒng)其他服務(wù)功能產(chǎn)生影響。

4.8 提高安全意識，定期檢查更新

要做好服務(wù)器安全管理，提高管理員的安全意識是重中之重，要充分發(fā)揮管理員的主觀能動性，提高業(yè)務(wù)處置能力和水平。管理員在平時的工作中要做到對負(fù)責(zé)系統(tǒng)熟悉掌握、合理配置，對可能發(fā)生的風(fēng)險防微杜漸、重點加固，對重要文件及數(shù)據(jù)定期備份，做好隔離。多手段、多渠道地做好圖書館網(wǎng)絡(luò)安全管理工作。

5 結(jié)語

圖書館作為高校輔助教學(xué)的重要窗口，其資源優(yōu)勢與服務(wù)優(yōu)勢無可替代。一旦出現(xiàn)重大網(wǎng)絡(luò)安全問題，將會給廣大師生對圖書館資源的使用帶來嚴(yán)重影響。網(wǎng)絡(luò)安全防護(hù)問題是一個系統(tǒng)的、長期的任務(wù)，它需要對系統(tǒng)具有全局的視角以及層次上的考慮。因此，在日常防護(hù)工作中，應(yīng)該做到加強(qiáng)安全意識，明確責(zé)任分工，多層次多角度地構(gòu)建好圖書館網(wǎng)絡(luò)防護(hù)體系，以求構(gòu)建一個健康安全的校園網(wǎng)絡(luò)環(huán)境。