书城社会科学现代图书馆人丛书-图书馆的管理
15793100000024

第24章 图书馆自动化管理(5)

四、图书馆技术人员要尽可能地保证网络实全上面提到了图书馆计算机系统的安全隐患包括人员素质落后,计算机硬件差,这些部可以通过购买、培训达到目的,假设硬件比较到位的情况下,技术人员如何尽可能地保证网络安全。应包括以下两个方面:(一)内部操作客户96(CLIENT)人员及软件的管理目前绝大多数图书馆自动化管理局域网均采用服务器(WINDOWSNT SERVER)+客户机(工作站)的工作方式。在网络环境下工作站与服务器之间通过网年、双绞线、集线器实现互连。网络工作环境决定了工作人员只能进行与工作有关的操作,而且只能介入与自己有关的工作行为。网络环境下工作用机的设置可从系统管理员在服务器上通过使用管理工具来实现。单机环境下允许工作人员执行绝大多数操作,该工作方式下要禁止用户更改系统设置(如CMOS、桌面、系统、显示器)。当然更要禁止用户从工作站上安装、删除软件。

虽然系统管理员可以通过服务器来管理工作站,但如果工作人员按ESC键跳过登录到NT域或从软盘启机,或按F8键启动到MSDOS模式下、遇到以上情况,服务器管理将对工作站失去任何意义,因此应有以下要求:1禁止工作人员从软盘启机。

工作人员可以使用软盘启机直接进入单机环境操作,因此需要在CMOS设置中将引导顺序改为从C到A,并设置Supe RvisoR超级用户口令,防止工作人员修改CMOS设置。

2禁止工作人员在WIN95启动时按功能键切换到MSDOS模式为此,需要打开C盘根目录下的系统文件MSDOS.SYS,并对其中的[options]节作如下更改:BootDelay=0(即禁止WIN95启动延迟)

BootCUI=0(启动WIN95至图形界面)

BootKeys=0(禁止在启动时使用功能键)

通过以上设置可以防止工作人员将工作站启动到DOS下进行操作。

3工作人员极限设定

系统管理员需要为每一用户建立帐号,输入用户名、口令、并为每一个工作人员设置相应的操作极限,这些均由系统管理员在NT服务器上使用管理工具来完成。

4要求在启动到桌面时用户必须登录

需要使用注册表编辑器来进行设置,首先在开始菜单的运行项中运行C:\\WINDOWS\\Rege dir exe文件,启动注册表编辑器,它的左窗口显示设置项目即主键,右边窗口显示设置项目取值即键值。

通过以上要求可以基本杜绝不登录到WINDOWSNT域的现象发生。

(二)外部网络环境

包括图书馆管理服务器、WWW服务器(SERVER)数据的管理、用户的管理及硬件的管理。这里主要涉及到三个方面的内容:首先是网络硬件即服务器的管理、路由器的管理;第二是网络操作系统、即对于网络硬件的操作与控制;第三就是网络中的应用系统。若要实现网络的整体安全,考虑上述三方面的安全问题也就足够了。但事实上这种分析和归纳是不完整和不全面的、因为无论是网络本身还是操作系统与应用程序,它们最终都是要由人来操作和使用的,所以还有—个重要的安全问题就是用户的安全性。

目前,五层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持。按照此理论,在考虑网络安全问题的过程中,应该主要考虑以下五个方面的问题:1网络层的安全性网络层安全性问题的核心在于网络是否得到控制,即是不是任何一个IP地址来源的用户都能够进入网络,通过网络远近对网络系统进行访问的时候,每一个用户都会拥有一个独立的IP地址,这个IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析,便能够初步判断来自这个IP的数据是否安全,是否会对本网络系统造成危害,以及来自这个IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外。并是大多数系统能够自动记录那些曾经造成过危害的IP地址,使得它们的数据将无法第二次造成危害。

用于解决网络层安全性问题的产品主要有防火墙产品和VPN——虚拟专用网。防火是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。VPN主要解决的是数据传输的安全问题,如果公司各部在地域上跨度较大,使用专网、专线过于昂贵、则可以考虑使用VPN。其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行文换。对于上面提到的两个网段共享一批数据的问题,除了可以采用防火墙以外,还可以采用诸如路由器设置、双网卡等来加以安全保证。

2系统的安全性

在系统安全性问题中,主要考虑的问题有两个:一是病毒对于网络的威胁;二是黑客对于网络的破坏和侵入。

病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够将自身在网络上进行复制。这些病毒在网络上进行传播和破坏的多种途径和手段,使得网络环境中的防病毒工作变得更加复杂,网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。

对于网络黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二便是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。

3用户的安全性

对用户的安全性问题,所要考虑的问题是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据。

首先要做的是应该对用户进行分组管理。并且这种分组管理应该是针对安全性问题而考虑的分组,也就是说,应该根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。

在大型的应用系统之中,有时会存在多重的登录体系,用户如需进入最高层的应用,往往需要多次输入多个不同的密码,如果管理不严,多重密码的存在也会造成安全问题上的漏洞。所以在某些先进的登录系统中,用户只需要输入一个密码,系统就能够自动识别用户的安全级别,从而使用户进入不同的应用层次。这种单一登录体系要比多重登录体系能够提供更大的系统安全性。

4应用程序的安全性

这其中涉及两个方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。例如,在单位内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般不应该允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,例如,同一部门不同业务的应用程序也不应该互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是安全方面的考虑。

5数据的安全性

数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态。

在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃、偷盗者(如网络黑客)也读不懂其中的内容。这是一种比较被动的安全手段,但往往能够收到最好的效果。这里可以采用一些信息密存与备份产品如RSA公司的SearPc、CA公司的Arcserver等。提供信息的加密和系统数据备份功能。

在建立网络化的图书馆自动化系统进程中,除去考虑网络的高性能、高可靠性和可用性。丰富的应用系统和信息资源时,千万不要忘记系统的安全,用户使用制度和相应的管理制度。安全系统的用户身份认证、系统审计和系统安全监测的功能、只有在完整的管理制度和在对其切实认真执行的情况下,才能对整个系统的安全提供可靠的保证。