浅析数字图书馆网络安全防御体系

时间：2018-04-29 20:06:47 作者：晚安後離開综合材料收藏本文下载本文

“晚安後離開”通过精心收集，向本站投稿了9篇浅析数字图书馆网络安全防御体系，下面是小编为大家整理后的浅析数字图书馆网络安全防御体系，仅供参考，大家一起来看看吧。

目录
第1篇：浅析数字图书馆网络安全防御体系第2篇：数字图书馆及相关技术问题第3篇：【网络安全】：大势至防御软件是什么？怎么使用？第4篇：【网络安全】：DDoS攻击原理是什么?怎么防御？第5篇：深度防御体系的构建第6篇：网络安全体系及其构建研究第7篇：浅谈数字图书馆的建设第8篇：数字图书馆馆藏评价第9篇：数字图书馆馆藏评价

篇1：浅析数字图书馆网络安全防御体系

浅析数字图书馆网络安全防御体系

文章分析了影响数字图书馆网络安全的`主要因素,提出了数字图书馆网络安全防御体系的主要构筑策略.

作者：陈绘新作者单位：中共山东省委党校,山东,济南,250021 刊名：科技信息英文刊名：SCIENCE & TECHNOLOGY INFORMATION 年，卷(期)： “”(15) 分类号：G25 关键词：数字图书馆网络安全安全策略

篇2：数字图书馆及相关技术问题

有关数字图书馆及相关技术问题

文章对数字图书馆及相关技术问题进行了归纳、分析与探讨.

作者：王淑君作者单位：长安大学,图书馆,陕西,西安,710054 刊名：内蒙古科技与经济英文刊名：INNER MONGOLIA SCIENCE TECHNOLOGY AND ECONOMY 年，卷(期)：2009 “”(12) 分类号：G250 关键词：数字图书馆网络技术基础技术标准

篇3：【网络安全】：大势至防御软件是什么？怎么使用？

大势至简介：

大势至网络准入控制系统V9.0版本是大势至公司推出的全新版本，新版本基于C/S架构构建，既可以采取以前的基于单机版架构的网络准入控制方式，也可以通过在局域网电脑安装客户端软件，通过管理端和客户端的协同配合，实现更进一步的局域网终端准入控制功能，从而使得大势至网络接入控制软件成为当前国内最灵活、最有效、功能最全面的局域网接入控制软件。具体设置如下：

一、安装步骤

首先在服务器或管理者的电脑安装管理端LANProtector，点击下一步直至完成安装;

然后运行winpcap，点击下一步直至完成安装;

在被控制电脑安装客户端DszLanClient，点击下一步直至完成安装;

二、配置方法

依次点击开始-程序-大势至网络准入控制系统，初次使用需要配置网段，点击软件左上角“网段配置”，如果是单网段环境，选择“配置单网段”，然后将网络适配器选择为当前上网所用的网卡，最后点击确定。

如果是三层交换机划分多网段的环境，则只需要将大势至网络准入控制系统安装在三层交换机级联上层路由器或防火墙的网段，同时将安装大势至网络准入控制系统的电脑的默认网关改为路由器或防火墙的IP地址(内网)。如下图所示：

然后在配置网段时选择“配置多网段”，填写“默认网关IP”和“默认网关MAC”，即上图中的接口IP和MAC地址。如下图所示

添加完毕之后，点击“确定”，然后点击“启动管理”即可，点击后面的”停止管理“即可实时停止控制。

三、功能说明

1、黑名单与白名单

启动管理后，即可扫描到所有主机，扫描到的主机默认都在白名单，可以选中单个或多个主机，然后点击“移至黑名单”即可将这些主机移动到黑名单，反之也可以将单个或多个主机选中后点击“移至白名单”即可移动回白名单。如下图所示：

注：MAC地址前的小图标根据主机状态会显示不同颜色：绿色代表在线(启用客户端)，蓝色代表在线(未启用客户端)，黑色代表离线，黄色代表隔离中。

选中某个主机后点击右键可以呼出右键菜单：

①编辑主机信息：可修改主机名、类型、姓名、部门、电话。

②修改设备类型：可直接修改设备类型(PC、手机、无线路由)。

③查找主机：可通过查询条件快速找到相应主机。

④不再检测此主机和重新检测此主机：两者配合使用，可以对信任主机不再检测或重新检测。

⑤发送广播消息：对安装客户端的用户发送消息。如下图：

⑥ 设置白名单MAC：可以设置允许此电脑访问的白名单MAC地址列表，然后即可实现只让此电脑访问白名单的MAC地址;同时，也只允许白名单的电脑主动访问此主机。其他未在白名单的MAC地址将无法访问此主机或被此主机访问。除非用户将其加入到白名单方可访问。如下图：

⑦唤出客户端界面和隐藏客户端界面：两者配合使用，可以唤出或隐藏客户端。

⑧设置客户端密码：设置客户端唤出界面密码。

⑨不再验证此主机客户端和重新验证此主机客户端：配合白名单客户端验证功能，可以隔离未安装客户端的主机。

⑩远程卸载客户端：卸载客户端。

⑪查看硬件资产和软件资产：可查询安装客户端主机的硬件配置和已安装程序，如下图：

2、隔离选项

可选择“禁止白名单主动访问黑名单”和“禁止黑名单访问外网”。其中“禁止白名单主动访问黑名单”不仅可以阻止黑名单电脑访问白名单电脑，而且还可以阻止白名单电脑主动访问黑名单电脑，从而实现双向隔离;而“禁止黑名单电脑访问外网”是禁止黑名单电脑访问互联网。

3、隔离强度

这里可以选择：强、中、弱、智能、仅驱动隔离五个选项，分别代表不同的隔离强度。

4、IP变更时自动隔离

启用此功能后，一旦白名单电脑修改IP地址，则自动将其放入黑名单并隔离，以此实现禁止电脑修改IP地址的目的。

5、静态绑定IP和MAC

勾选“静态绑定IP和MAC”并点击“管理”，弹出“IP和MAC静态绑定表”，如果点击“从白名单获取”，则系统自动获取当前白名单电脑的IP和MAC地址，也可点击“手工添加绑定”并自行输入要绑定的IP地址和MAC地址，最后点击“保存配置”即可。如下图所示：

值得注意的是，在启用IP和MAC地址绑定功能后，对于白名单电脑IP地址变更时会验证两次。也就是白名单电脑如果修改IP地址后软件会因为勾选了“IP地址变更时自动隔离”而将其放入黑名单隔离;而如果同时启用IP和MAC地址绑定后，白名单电脑修改的IP地址恰恰是绑定的IP地址，则不会隔离，因为其符合绑定规则。此外，还可以手动修改IP和MAC地址绑定表的电脑IP地址，修改后不符合绑定规则的电脑将自动放入黑名单将其隔离。

6、增强绑定IP和MAC

启用此功能后，软件将会自动增强对白名单电脑IP和MAC地址的绑定，并进行动态的引导和防护，以防止局域网ARP攻击或IP冲突攻击的行为，进一步保护网络安全。但也会在一定程度上增加软件负荷，故本功能建议在局域网发生ARP攻击的情况下启用，常规情况不建议启用。

7、自动禁用手机和平板

启用此功能后，将实时监测局域网内的手机或平板电脑接入，一旦发现将实时将其隔离，防止蹭网，防止手机连接公司wifi随意上网的行为，保护网络资源，防止蹭网、抢网速、抢流量的行为。

8、自动禁用无线路由器

启用此功能后，将实时监测局域网私自接入的无线路由器，一旦发现后将实时隔离，防止员工私自接入无线路由器的行为，防止通过无线路由器为手机、平板电脑或其他移动设备提供上网的行为，保护网络资源，防止网络不适当扩展。

9、自动禁用局域网代理

启用此功能后，将自动识别局域网内的代理服务器，自动检测局域网HTTP代理或Socket代理，防止电脑充当代理服务器、防止电脑代理上网的行为。

10、自动隔离混杂网卡

启用此功能后，系统可自动检测局域网内处于混杂模式的网卡，从而防止局域网运行黑客软件、网络嗅探软件、局域网监听软件、网络抓包软件的行为，规范网络管理，保护网络通信安全，防止信息泄密的行为。

11、自动隔离ARP攻击主机

启用此功能后，系统可自动检测局域网ARP攻击主机并隔离，从而防止局域网ARP攻击行为，保护局域网网络安全，同时也便于网管员实时查找和定位局域网ARP攻击源主机，便于更及时杜绝网络攻击行为。

12、实时记录安全日志

启用此功能后，系统可以详细记录各种网络安全日志，自动滚动更新显示100条日志。同时，系统每天都会创建一个日志文件，可以点击“打开日志文件夹”查看历史记录。系统也会自动清理一周前的日志，便于节省磁盘空间。

13、白名单客户端验证

启用此功能后，系统将自动隔离白名单中未安装客户端的主机，防止用户私自卸载客户端。

四、注册正版

付款后，点击软件顶部的“注册正版”，然后将机器码发送给大势至公司，然后输入大势至公司提供的注册码即可为您注册成正式版。

五、技术支持

您可以点击软件界面上的“使用帮助”和“常见问题”获取相关帮助文档。如果相关文档无法解决您的问题，也可以点击软件界面的“远程协助”，则会自动弹出一个远程协助软件，然后请将远程协助软件自动生成的ID和密码发送给我们，即可为您提供“人工现场”服务，便于迅速解决您使用过程中的问题。如下图所示：

注：远程协助期间不能关闭此软件，否则将实时中断远程协助。

篇4：【网络安全】：DDoS攻击原理是什么?怎么防御？

DDoS攻击原理及防护措施介绍：

一、DDoS攻击的工作原理

1.1 DDoS的定义

DDos的前身 DoS (DenialofService)攻击，其含义是拒绝服务攻击，这种攻击行为使网站服务器充斥大量的要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷而停止提供正常的网络服务。而DDoS分布式拒绝服务，则主要利用 Internet上现有机器及系统的漏洞，攻占大量联网主机，使其成为攻击者的代理。当被控制的机器达到一定数量后，攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起DoS攻击，大量消耗其网络带和系统资源，导致该网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特征，它具有了比Dos远为强大的攻击力和破坏性。

1.2 DDoS的攻击原理

如图1所示，一个比较完善的DDos攻击体系分成四大部分，分别是攻击者( attacker也可以称为master)、控制傀儡机( handler)、攻击傀儡机( demon，又可称agent)和受害着( victim)。第2和第3部分，分别用做控制和实际发起攻击。第2部分的控制机只发布令而不参与实际的攻击，第3部分攻击傀儡机上发出DDoS的实际攻击包。对第2和第3部分计算机，攻击者有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自攻击者的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦攻击者连接到它们进行控制，并发出指令的时候，攻击愧儡机就成为攻击者去发起攻击了。

之所以采用这样的结构，一个重要目的是隔离网络联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪。同时也能够更好地协调进攻，因为攻击执行器的数目太多，同时由一个系统来发布命令会造成控制系统的网络阻塞，影响攻击的突然性和协同性。而且，流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为：

1)扫描大量主机以寻找可入侵主机目标;

2)有安全漏洞的主机并获取控制权;

3)入侵主机中安装攻击程序;

4)用己入侵主机继续进行扫描和入侵。

当受控制的攻击代理机达到攻击者满意的数量时，攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽以定位。一旦攻击的命令传送到攻击操纵机，主控机就可以关闭或脱离网络，以逃避追踪要着，攻击操纵机将命令发布到各个攻击代理机。在攻击代理机接到攻击命令后，就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装，使被攻击者无法识别它的来源面且，这些包所请求的服务往往要消耗较大的系统资源，如CP或网络带宽。如果数百台甚至上千台攻击代理机同时攻击一个目标，就会导致目标主机网络和系统资源的耗尽，从而停止服务。有时，甚至会导致系统崩溃。

另外，这样还可以阻塞目标网络的防火墙和路由器等网络设备，进一步加重网络拥塞状况。于是，目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样，系统管理员就难于区分恶意请求和正连接请求，从而无法有效分离出攻击数据包

二、DDoS攻击识别

DDoS ( Denial of Service，分布式拒绝服务) 攻击的主要目的是让指定目标无注提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击方式之一。

2.1 DDoS表现形式

DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击，主要是针对服务器主机的政击，即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务。

2.2 攻击识别

流量攻击识别主要有以下2种方法：

1) Ping测试：若发现Ping超时或丢包严重，则可能遭受攻击，若发现相同交换机上的服务器也无法访问，基本可以确定为流量攻击。测试前提是受害主机到服务器间的ICMP协议没有被路由器和防火墙等设备屏蔽;

2) Telnet测试：其显著特征是远程终端连接服务器失败，相对流量攻击，资源耗尽攻击易判断，若网站访问突然非常缓慢或无法访问，但可Ping通，则很可能遭受攻击，若在服务器上用Netstat-na命令观察到大量 SYN_RECEIVED、TIME_WAIT， FIN_ WAIT_1等状态，而EASTBLISHED很少，可判定为资源耗尽攻击，特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常，则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令，但因仍有带宽，可ping通相同交换机上主机。

三、DDoS攻击方式

DDoS攻击方式及其变种繁多，就其攻击方式面言，有三种最为流行的DDoS攻击方式。

3.1 SYN/ACK Flood攻击

这种攻击方法是经典有效的DDoS攻击方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源P和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伤造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持，少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用 Netstat-na命令会观察到存在大量的 SYN RECEIVED状态，大量的这种攻击会导致Ping失败，TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

攻击流程如图2所示，正常TCP连接为3次握手，系统B向系统A发送完 SYN/ACK分组后，停在 SYN RECV状态，等待系统A返回ACK分组;此时系统B已经为准备建立该连接分配了资源，若攻击者系统A，使用伪造源IP，系统B始终处于“半连接”等待状态，直至超时将该连接从连接队列中清除;因定时器设置及连接队列满等原因，系统A在很短时间内，只要持续高速发送伪造源IP的连接请求至系统B，便可成功攻击系统B，而系统B己不能相应其他正常连接请求。

3.2 TCP全连接攻击

这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤 TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如：IIS、Apache等Web服务器)能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽面被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOs攻击方容易被追踪。

3.3 TCP刷 Script脚本攻击

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用 MSSQL Server、My SQL Server、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Poxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些代理会暴露DDOS攻击者的IP地址。

四、DDoS的防护策略

DDoS的防护是个系统工程，想仅仅依靠某种系统或产品防住DDoS是不现实的，可以肯定的说，完全杜绝DDoS目前是不可能的，但通过适当的措施抵御大多数的DDoS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDoS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。

4.1 采用高性能的网络设备

抗DDoS攻击首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

4.2 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT的使用，除了必须使用NAT，因为采用此技术会较大降低网络通信能力，原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间。

4.3 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅有10M带宽，无论采取何种措施都很难对抗现在的 SYNFlood攻击，当前至少要选择100M的共享带宽,1000M的带宽会更好，但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M。

4.4 升级主机服务器硬件

在有网络带宽保证的前提下，尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，要保障硬件性能高并且稳定，否则会付出高昂的性能代价。

4.5 把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，到现在为止还没有出现关于HTML的溢出的情况，新浪、搜狐、网易等门户网站主要都是静态页面。

此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问我们网站的80%属于恶意行为。

总结

DDoS攻击正在不断演化，变得日益强大、隐密，更具针对性且更复杂，它已成为互联网安全的重大威胁，同时随着系统的更新换代，新的系统漏洞不断地出现，DDoS的攻击技巧的提高，也给DDoS防护增加了难度，有效地对付这种攻击是一个系统工程，不仅需要技术人员去探索防护的手段，网络的使用者也要具备网络攻击基本的防护意识和手段，只有将技术手段和人员素质结合到一起才能最大限度的发挥网络防护的效能。

篇5：深度防御体系的构建

随着计算机系统软件、硬件的不断升级，产品多样化的出现，网络的扩充，病毒的泛滥，活动的无目的、无组织性，使得网络安全变的越来越复杂，曾经为科研人员服务的小型网络现在发展为覆盖全球的互联网络。对于许多组织来说，网络用户已经打破传统的网络界限，不仅指企业内部人员，还包括企业的顾客、商业伙伴等。维护企业网络资源的完整性、一致性和可靠性成为一件艰巨的任务，实现这个目标的首要步骤是使用网络段和访问控制机制。

1、建立深度防御

深度防御的含义就是在层防御的基础上提供更深一层的保护，增加网络的安全性。它在攻击者和企业的信息资源之间建立多层屏障，攻击者欲想深入系统，他面临的困难越大。这些屏障阻止了攻击者对系统重要资源的攻击，同时也防止了攻击者对网络系统的侦察。此外，深度防御策略为入侵检测系统（IDS）的实施提供自然的区域。

在许多环境中，深度防御的实施仅需增加很少的设备费用。大部分的路由器和交换机厂商在他们的产品中都提供了访问控制机制。虽然许多安全专业人不会纯粹的依靠VLANs和路由器访问控制列表，但是这些方法作为内部控制来讲还是有价值的。关键问题是要根据企业的实际情况来实施这些机制。

2、划分网络安全域

为了实施网络访问控制（例如：防火墙），你必须定义企业安全区域的界限，每个网络安全域共享一样的安全策略。大部分公司仅仅在他们接入Internet时才开始定义网络安全域。这样做是远远不够的。因为现在的商业模式需要在物理上和逻辑上具有连通性。你的企业和你的商业伙伴的网络之间，信息提供者和顾客之间等等，这些关系千丝万缕，十分复杂。

如果简单的把网络分成两域的网络安全模式（如图1所示），就不能满足上述具有复杂关系的网络的安全需求。从安全性的视角来看，网络之间的不同比“内部”和“非内部”要复杂的多。因此，不同的网络有不同的安全需求，特别是那些服务对象多的网络，更是增加了安全的复杂性。例如，一个HR（人力资源）网络需要建立员工自我服务的内部网，要让员工看的到工作计划、薪金的变更等。

当你为企业定义网络安全域时，检查域之间的相互作用是必要的，这包括交通和数据流还有访问需求。访问控制技术用于在网络安全域之间的边界管理安全策略的实施，网络入侵检测技术用于监测攻击和其它的侵犯。然后你就要寻找方法来保护那些提供给授权用户访问的数据。

3、DMZ

DMZ术语来自于军事方面，这个区域禁止任何军事行为。在技术领域，DMZ最初被定义为防火墙的外部接口和外部路由器的内部接口之间的网络段。后来DMZ的定义进一步演化，是指为不信任系统提供服务的孤立网络段。现在IT人员用这个术语来指两个防火墙之间的网段，或是连接防火墙的“死端”的网络（如图2和图3所示）。

不管DMZ的种种定义，它的目的就是把敏感的内部网络和其它提供访问服务的网络分离开，为网络层提供深度的防御，

防火墙上的策略和访问控制系统定义限制了通过DMZ的全部通信数据。相反，在Internet和企业内部网之间的通信数据通常是不受限制的。

4、DMZ的主要作用

DMZ的主要作用是减少为不信任客户提供服务而引发的危险。DMZ可以为你的主机环境提供网络级的保护，它还把公众主机设备和私有网络设施分离开来。例如，如果你公司有一个WEB站点，任何人可以通过浏览器和它连接。没有DMZ配置时，你的主机系统位于防火墙的外部（暴露在Internet上）或位于公司内部网中的网络段上。前一种情况你的WEB主机对所有攻击都是开放的，没有任何防御。后一种情况会导致其它的内部资源受到攻击。通过DMZ可以在保护内部网络时，同时保护到Internet服务器。

DMZ在保护企业内部其它资源的安全方面也发挥重要作用，当有些资源仅供少数人访问时，可以把相应系统隔离，从而提供安全性。

一个内部的DMZ是上面我们提及的自我服务的HR企业内部互联网的理想模型（如图4所示）。DMZ保护了WEB应用程序服务器和数据库系统。

大多数人认为防火墙提供的是坚固无比的防护，实际上，内部网络和主机的安全通常并不是那样的坚固。在一个非DMZ系统中，提供给Interent的服务产生了许多漏洞，使其它主机极易受到攻击。

解决问题的方法之一是把没有包含敏感数据，担当代理数据访问职责的主机放置于DMZ中。通过应用程序的接口（例如：WEB站点），或通过网络协议（例如：HTTP或SQLnet）可以实现上述方法。在网络中数据从应用层分离提供了附加的安全，因为实施DMZ的系统不会把包含商业数据的内部系统直接暴露给网络攻击。攻击者取得初步入侵成功后要面临DMZ设置的新的障碍。

5、主机加固

一个DMZ配置提供了实施附加安全措施的自然层，诸如主机加固和网络或基于主机的入侵检测。主机加固是配置主机系统的过程，因此他们比默认的配置要安全的多。主机安全的实施提高了攻击者入侵的难度。

作为一个IT管理者，你可以要求企业中的所有系统符合严格的加固的安全需求。然而，你也可以坚持基于DMZ系统这样的需求，因为它们是现存系统的一个小子集，因而在管理和维护这样高安全配置的系统，不需要付出太多努力。

6、边界巡查

一个带有入侵检测的DMZ配置可以添加重要的安全利益。最显著的一点是，DMZ为管理人员节省了响应攻击的时间，因为通过网络访问控制攻击被隔离在内部系统外面，数据资源和设备在其它的地方，因此攻击者必须花费时间寻找方法进入它们。通过使用检测和响应过程可以实现数据资料和系统的保护。关键的问题是你要协调你的IDS系统，你的事件响应过程要很好的定义。

7、限制出口通信量

DMZ也可以限制内部对外部网和Internet的访问。DMZ限制了来自DMZ主机的对外访问，增加了内部系统的安全性，阻止了入侵者把你的网络作为工具对其他人进行攻击。如果你的DMZ仅允许有效的向外的通讯量，你的系统作为攻击的第三方的机会将大大减少。

意识到DMZ的好处的关键是理解它仅是广义上的深度防御的一部分。通过入侵检测系统和基于主机的安全措施可以增加DMZ的价值。控制和监测技术的结合体可以很大程度上减少那些对数据提供广泛访问的系统的安全性。

篇6：网络安全体系及其构建研究

网络安全体系及其构建研究

摘要：计算机网络系统依靠信息技术和网络技术得以迅猛发展，其全球化进程拓宽了各国用户信息共享的平台和空间，在带来广阔信息资源和数据文件的同时也产生了一系列安全问题。计算机网络系统安全性能的高低直接影响用户信息的安全和终端运行的好坏，因而构建安全性能高、防御性强的网络体系迫在眉睫。深入分析了网络安全特征和网络安全体系结构，从真实性、保密性、可靠性等特征出发探讨了公共通信网络保护用户、设置安全屏障的途径。网络安全体系的三维结构通过安全服务、实体单元、协议层次来解决外界的安全威胁问题，帮助计算机网络打造一个科学、有效的安全空间。针对网络安全体系的构建问题还应该从访问控制策略、防火墙技术、信息加密技术、病毒防范体系等方面出发，真正意义上实现有效安全管理，为用户提供一个可靠、安全的网络平台。

关键词：网络安全体系;信息加密技术;防火墙技术

引言

互联网的迅猛发展和广泛应用推进了数据信息在全球范围的共享，人们通过客户端即可搜索和获取所需信息，并通过计算机技术上传。公共通信网络具备丰富的传输和存储功能，在为人们提供有效信息的同时也增添了信息泄露的风险，存在不法分子利用通信平台来毁坏或偷听相关信息，使得个人和隐秘信息遭遇泄露，造成财产或文化上的种种损失。政府、银行等事业单位系统对数据安全的要求极高，一旦传输和存储过程出现问题即会引发重大的信息泄露隐患，将客户或部门信息置于危险的边缘，所以构建敏感系统和部门的网络安全体系至关重要。数据信息安全问题并不是阻止人们使用互联网的原因，为了正确看待网络的利与弊，需要在资源利用和效率提高上深入分析，进一步研发更科学、有效的安全系统。在网络信息化过程中缩短服务端和用户端之间的距离，使得全球用户能够随时随地获取自己所需的资源和信息。网络信息系统在早期建设过程中并未考虑用户的身份和目的，所以埋下了一定的安全隐患，而现阶段只有真正意识到问题的重要性并投入研究和设计才能解决用户安全问题，不断提高人们对互联网技术的信心。

1、网络安全特征与网络安全体系结构

计算机网络安全特征众多，为用户安全设置了多层保障。最基本的真实性、保密性是技术运用的基础，除授权用户外其他人不能接触到相关信息。可用性和可靠性是实行保密性的前提，可控性和不可否认性是为网络使用的后续工作提供借鉴和属性，七项网络主要安全特征决定了其安全体系结构的好坏。

真实性要求使用网络的用户身份得到确认，网络并不会单纯相信用户口头或单方面的身份承认，因为要考虑到冒充和鉴别问题，所以真实性要重点致力于用户实体身份的确定。完整性要求用户在未授权的情况下不能修改、删除、破坏网络信息，进一步保证信息的安全性和正确性，这提高了网络系统的警惕度，当出现人为攻击、设备故障、误码等情况时能及时阻止和调整过来。对可靠性的定义更多是从规定范围出发，指在一定条件或时间下实现某类功能达到的程度，网络信息系统稳定运行和投入建设都需要极强的可靠性才能实现。被授权实体或用户在拥有访问需求时会选择所需功能或模块，可用性决定了用户能否实现自身需求的机会，在安全性上也有所保障，满足用户在时间、实体等方面的要求。为了有效判断实用性，一般对比工作时间和系统正常使用时间的差值，以便做出准确判断。不可否认性是指用户与用户之间如果参与了信息交互活动，那么要对参与者信任并配合，保证彼此的真实统一性，不能对完成的操作或承诺做出否认，而为了防止一方用户抵赖的事情发生，可以将所持证据和信息保存传输给终端，帮助解决纠葛，而现阶段常用数字签名技术来予以保护。可控性重点把握控制范围，将不良内容或信息阻止在外，保证和控制公共网络的清洁度、科学性。

计算机网络安全体系结构侧重功能的实现与服务的安排，使得安全机制和安全服务符合相关法律法规，同时能真正提供有效数据信息和维护用户信息安全。系统安全元素是组成整个系统的根基之一，所以不但要保证各个元素的实现，还要联系和维护好元素之间的关系。无论是国家公众信息网还是企业内外联网，都需要一个完善的`安全机制来提供服务，安全机制和安全服务之间已经搭建起了稳定的桥梁，两者相辅相成、相得益彰。安全服务能够有效地处理数据及数据传输问题，要利用信息网络来保证安全性。安全功能汇总起来即为安全服务，底层协议会保证安全服务的如序进行，对进入系统的信息实施屏蔽活动，让安全体系稳定运行，而这个过程实现了五类安全服务，以数据保密、认证、访问控制等服务为主。安全管理并不是单纯从安全或管理角度出发，而是两者的综合体，实现安全的管理和管理的安全并重，为用户提供分配密钥参数及认证服务，针对有激活加密要求的客户进行相关介绍和配合，而为了保证管理的安全，要从系统和信息两方面出发，真正意义上打造可靠的计算机网络安全体系结构。

2、网络安全体系的三维结构

设计出合理的网络安全体系框架才能实现用户和终端需求的安全需求。网络安全主要是指软件或系统数据的安全问题，网络安全结构的构建并不是从体系或功能上就能实现的，而需要从安全服务、实体单元、协议层次3个方面共同完成。图1所示的计算机网络安全体系三维结构模式很清晰地罗列出了三者及其分支项目的关系，以进一步巩固安全体系。

(1)国际标准组织早期推出的一款安全体系结构模型就罗列了安全服务平面这一项，而安全服务一项在认证、抗抵赖的基础上增加了可用性。应用环境会在用户动态要求或市场变化中发生变化，而这种变化会直接导致安全服务需求的改变。但是考虑到安全服务之间的依赖性，所以完全独立和依赖的情况都不可能出现，当出现特殊情况时不同安全服务之间会根据具体要求进行组合，保证最终提供的服务能满足终端和用户的双层要求。

(2)网络通讯协议为协议层次平面提供了分层基础，分层的安全管理主要从物理层、网络层、应用层等方面出发，形成环环相扣的联系和服务。虽然提供的安全服务不同，可因为各项之间的依赖性而彼此存在着。 (3)实体安全单元管理从应用系统、计算机系统、计算机网络三方面出发来设计和执行。基本单元的分层为安全技术和系统运行提供了有效条件，使其成为三维结构中的基础工程。

(4)安全管理包括安全服务和安全机制、协议层次三方面，但它并不处于正常通信的范围内，而是一类为正常通信业务提供安全索引和保障的服务。执行安全机制或平面管理都需要依靠安全管理展开活动，保证整个网络信息系统的有序运行。

计算机网络安全体系三维结构模型依靠三个平面来形成稳固的结构。为了提供最科学、有效的用户身份验证服务，客户会选择随意的3个坐标来表明自身身份，这项服务在初始进入网络系统时就会出现，用户直接输入用户名和用户口令，验证正确后就能顺利进入下一个界面。网络层会提供计算机系统有效的身份验证服务，使得用户端和服务端能形成良好的互动和契合，使得对IP地址的认证变得更加简单便捷。对防火墙系统的应用通常会采取访问控制模式，使得计算机网络系统授权范围安全可靠。

3、网络安全体系构建

3.1 加强访问控制策略

访问控制是为用户和终端做出的强制性行为，旨在进一步防范不良信息的侵入，这种保护措施从源头就掐断了危险，防止非法访问对网络系统或用户造成伤害。访问控制的目的是为了构建起一层网络系统安全屏障，被授权用户拥有自己的账号和口令，以此作为鉴别授权和非授权用户之间区别的标志，网络访问权限将无访问权的用户排除在外，针对设备、目录、文件都会设置不同的访问空间，而并非全部开放给用户。通过加强访问控制策略来保护网络资源，对互联网的长期、稳定发展都是有益的，不断从内部防御上寻找方法，形成有效的验证和甄别功能。

3.2 信息加密技术

对网络安全体系的构建不仅要从策略上加强，还需要开发出具有强大功能的信息加密技术，真正意义上做到对有效网络资源的保护。为了解决非法用户截取、删除、修改、打乱网络数据的问题，应该使用密码、口令、文件的形式来设置屏障，而信息加密技术正是为了阻止传输过程中的不法行为，经常使用节点、端点、链路3种加密方式来提升网络系统可靠性。信息数据的安全性尤为重要，所以从资源上进行保护是首要选择。windows XP系统是微软公司重点推出的一款产品，它在信息加密上的作用十分显著，一旦出现非法截获的情况，信息传输并未完全受到非法影响，此时解密规则会建立起相应的保护屏障，非法截获者在无解密规则的前提下无法对传输的任何信息实施不良的措施，通过信息加密技术来保障计算机网络安全无疑是一种科学、有效的方式。

3.3 病毒防范体系

为了解决系统漏洞问题，建立起相应的病毒防范系统很有必要，预防信息泄露、系统崩溃的情况出现。现阶段网络技术快速发展，病毒侵入的概率也越来越大，为研究和开发专门针对病毒的检测软件提供了巨大的空间。网络系统中的病毒防范体系涉及多方面的工作，最基本的功能包括病毒的预防、清理和查杀，还需要定时或不定时地检测和修补漏洞，降低和组织病毒入侵系统的概率。针对病毒库的管理也不是单纯检测或修补可以完成的，还应该不断更新换代，以便提高对新型病毒的防御能力，同时能快速地处理好顽固病毒，以免出现二次传播的情况，构建病毒防范体系无疑对提高系统安全性有重要作用。

3.4 防火墙技术

防火墙是一类解决不同区域网络保护问题的技术，通过屏蔽路由器、代理服务器来形成一道关卡，使得本地和外地网络能抵抗非法访问和控制。代理防火墙和包过滤防火墙最为常见，在企业网络安全体系中应用广泛，而双穴防火墙较少使用。包过滤防火墙的优点在于能有效地对网络信息流进行调配，缺点是不具备内容检查功能。代理防火墙则具备了良好的内容检查功能，因此将两种防火墙技术结合起来能很好地保护企业计算机网络系统。

3.5 建立安全实时防御和恢复系统

计算机系统附带的检测系统漏洞、查杀病毒功能并不能完全将所有病毒阻挡在外，目前病毒更新的速度极快，无疑增加了系统被病毒侵入的风险。网络资源作为一个对多数用户开放的空间，要完全做到保密是不切实际的，而为了提高网络系统安全性，建立安全实时防御和恢复系统很有必要，使系统在意外遭受病毒侵害时能最快速、有效地恢复传输信息和数据，降低系统侵入损失程度。首先要建立安全反映机制，使得系统第一时间接收入侵部分信息，通过入侵检测机制和安全检测预警机制来构建预防系统，继而发挥安全恢复机制的作用，保证信息恢复的速度和质量。

4、结语

网络技术的快速发展促进了各种应用软件和程序的研究和开发，帮助计算机网络系统扩宽了涉足领域，网络技术在各大领域的广泛使用促进了网络安全体系的构建，使得网络信息安全管理变得至关重要。近年来，网络系统遭遇非法用户入侵和破坏的事情屡见不鲜，病毒的更新换代更是增加了安全检查和修补的难度，为了从真正意义上保护网络资源和用户信息安全，从源头和结构上构建起双重安全保护体系很有必要，要通过多个安全服务机制来加强防范，形成用户信赖的异构安全管理体系。

篇7：浅谈数字图书馆的建设

浅谈数字图书馆的建设

数字图书馆的建设是图书馆的'发展方向,数字图书馆是未来图书馆的存在形式.着重介绍了数字图书馆的定义、数字图书馆的内涵和特点、建立数字图书馆的意义、数字图书馆人才培养的途径等问题.

作者：张媛作者单位：平顶山教育学院,河南,平顶山,467000 刊名：黑龙江科技信息英文刊名：HEILONGJIANG SCIENCE AND TECHNOLOGY INFORMATION 年，卷(期)： “”(12) 分类号：G25 关键词：数字图书馆意义人才培养

篇8：数字图书馆馆藏评价

数字图书馆馆藏是存贮在图书馆服务器上的所有资源，或者是所有能通过图书馆界面实现访问的资源，即使这些资源在物理位置上是分布式的[1]。也就是说，数字图书馆馆藏是数字图书馆所拥有和存取的所有电子资源。它常常被划分为实体馆藏与虚拟馆藏两部分，前者包括数字图书馆自建或购买的安装在本地服务器上的各种类型的数据库，后者包括购买或租赁使用的远地数据库和与本地服务器实现了连接的网上资源。美国博物馆与图书馆服务协会（IMLS）认为，数字馆藏是经过选择和组织起来的附有元数据描述和一个以上访问界面的数字对象集[2]。Andy Powell把数字图书馆馆藏分为文本、图像、声音、数据集、软件、交互式资源（interactive resource）、事件（event）、实体对象（physical object）。这里所说的“文本”馆藏主要是指阅读文字，如书籍、信函、学位论文、诗、报纸、文章等，文本的传真或图像仍属于“文本”类；“图像”馆藏主要是指除了文本外的视觉符号表示，如物质对象的图像与照片、油画、印章、图画（素描）、其它图像与图形、运动图像、电影、图表、地图、音乐符号等；“声音”馆藏包括音乐、演说、录音等；“数据集”馆藏主要是指以明细表、表格、数据库等方式编制的适宜于计算机直接处理的结构化信息，如电子数据表、数据库、地理信息系统数据、数码音响数据等；“交互式资源”馆藏是指需要与用户的交互才能理解、执行或实验的数字资源，如网页、Java程序、多媒体学习对象、聊天、虚拟现实等；“事件”馆藏是某个时候发生的事情；“实体对象”馆藏是指不属于“文本”、“图像”及上述其它类型的三维对象或物质，如计算机、雕塑品等[3]。同样，Candy Schwartz认为馆藏数字对象可以是文本、图像、声音、移动图像、多媒体、数据集、软件、三维文件（three-dimensional files）和其它现在还未知类型的数据，而且每种数字对象在描述格式上也可以多种多样，如纯文本、多功能文本、Word、Postscript、PDF、HTML、XML或SGML[4]。

一般说来，每个数字图书馆馆藏都有其特色，如不列颠图书馆（The British Library）的数字馆藏包括电子化的书目、图书、期刊、报纸、手稿、地图、音乐、集邮、音响资料、珍贵馆藏、图片、新闻、年度报告、专利与网址等[5]；我国国家图书馆的数字馆藏包括电子化的图书、期刊、报纸、书目、音像资料、图像、新闻、古籍、家谱、学位论文、影视资料、网址、CD-ROM与数据库等；美国农业图书馆的数字馆藏包括电子化的图书、期刊、书目、报纸、图像、缩微胶片、年度报告、新闻、时事通讯、有关农业的娱乐页面资料、日历、网址、CD-ROM与数据库等[6]；北京大学图书馆的数字馆藏包括电子化的.图书、期刊、报纸、新闻、学位论文、网址、古文献特藏、视频资料、VCD与CD-ROM、网络数据库等。

上述数字图书馆馆藏可以分为5类，即永久保存级、服务级、镜像级、链接级与代理级[7-8]。所谓永久保存级，是指数字资源保存在本地数字图书馆，其他地方不可获得，其内容建立、维护和存取由该数字图书馆负责，如自建的书目数据库、特藏数据库；所谓服务级，是指数字资源保存在本地数字图书馆，是面向用户服务的，但它们并不象永久保存级资源一样就其内容进行维护与存取，如新闻；所谓镜像级，是指数字资源是通过复制其他数字化数据而保存在本地数字图书馆中，但该数字图书馆不对其内容和维护承担主要责任，如某些电子期刊数据库；所谓链接级，是指数字资源是分布在网上通过链路实现信息共享的，对这类信息资源，数字图书馆无权控制，也不对其内容和维护负责，如网络导航数据；所谓代理级，是指数字资源保存在异地且由异地机构负责管理和维护，本地数字图书馆购买或租赁其使用权，如国外网络数据库。