吳 旻

(西北大學(xué)圖書(shū)館，陜西 西安 710069)

隨著高校信息化建設(shè)的逐漸完善，高校圖書(shū)館承擔(dān)著校園網(wǎng)絕大多數(shù)數(shù)據(jù)的傳輸和信息發(fā)布，為讀者提供網(wǎng)上瀏覽、信息查詢(xún)、數(shù)據(jù)庫(kù)檢索、信息咨詢(xún)等服務(wù)。通過(guò)已建成的信息系統(tǒng)(如圖書(shū)管理系統(tǒng)、OA系統(tǒng)、數(shù)字圖書(shū)資源、文獻(xiàn)數(shù)據(jù)庫(kù)等)，校園網(wǎng)內(nèi)讀者可以通過(guò)網(wǎng)絡(luò)迅速地獲取信息。然而，為了提高服務(wù)質(zhì)量，讀者需要異地、移動(dòng)等多種遠(yuǎn)程訪(fǎng)問(wèn)的場(chǎng)合越來(lái)越多。本文通過(guò)分析VPN(虛擬專(zhuān)用網(wǎng))的技術(shù)特點(diǎn)與原理，結(jié)合圖書(shū)館數(shù)字資源網(wǎng)絡(luò)服務(wù)的實(shí)際工作特點(diǎn)，介紹一種利用VPN技術(shù)做好高校數(shù)字資源共享的方法。

1 VPN技術(shù)用于高校數(shù)字資源網(wǎng)絡(luò)服務(wù)的必要性

1.1 外聯(lián)信息交換面臨的安全威脅

由于Internet網(wǎng)采用的TCP/IP協(xié)議對(duì)任何數(shù)據(jù)都以明文的方式進(jìn)行傳輸，整個(gè)信息服務(wù)都暴露在Internet網(wǎng)上，很容易被入侵者竊取或篡改，造成以下安全威脅。

(1)非授權(quán)訪(fǎng)問(wèn)：分支機(jī)構(gòu)、在外工作人員基于互聯(lián)網(wǎng)來(lái)訪(fǎng)問(wèn)校園網(wǎng)內(nèi)圖書(shū)館的信息網(wǎng)絡(luò)，傳輸?shù)目诹罨蛎艽a沒(méi)有采取任何加密措施的情況下，容易造成泄露，被攻擊者利用，造成非授權(quán)訪(fǎng)問(wèn)。

(2)信息篡改：總校區(qū)或分校區(qū)的分支機(jī)構(gòu)和在外工作人員進(jìn)行數(shù)據(jù)訪(fǎng)問(wèn)的過(guò)程中，數(shù)據(jù)以明文的方式傳遞，容易被竊聽(tīng)和篡改。

(3)訪(fǎng)問(wèn)行為抵賴(lài)：部分分支機(jī)構(gòu)、在外工作人員存在IP地址不固定現(xiàn)象，易造成抵賴(lài)行為。

1.2 分校區(qū)辦公和在外工作人員的安全接入

對(duì)于圖書(shū)館來(lái)說(shuō)，文獻(xiàn)信息資源并不是無(wú)限制地對(duì)外開(kāi)放，我們購(gòu)買(mǎi)的數(shù)據(jù)庫(kù)資源必須是校園網(wǎng)的合法用戶(hù)(訪(fǎng)問(wèn)者的IP地址作為合法用戶(hù)的依據(jù))才能使用。但是隨著寬帶網(wǎng)絡(luò)的大范圍普及，更多的教師希望能夠在家或出差在外以及各個(gè)分校和主校區(qū)之間都能實(shí)現(xiàn)對(duì)校園網(wǎng)內(nèi)圖書(shū)館資源的訪(fǎng)問(wèn)。數(shù)字圖書(shū)館遠(yuǎn)程訪(fǎng)問(wèn)系統(tǒng)VPN的出現(xiàn)很好地解決了這個(gè)問(wèn)題。

2 VPN在高校數(shù)字資源共享中的解決方案

2.1 VPN技術(shù)

VPN是一種公用網(wǎng)絡(luò)，綜合運(yùn)用隧道封裝、認(rèn)證、加密、訪(fǎng)問(wèn)控制等多種網(wǎng)絡(luò)安全技術(shù)，實(shí)現(xiàn)企業(yè)總部、分支機(jī)構(gòu)、合作伙伴及移動(dòng)辦公人員之間互聯(lián)互通和資源共享技術(shù)。VPN技術(shù)包括基于二層的PPTP/L2TP;基于三層的 IPSEC VPN;基于七層的SSL VPN技術(shù)。IPSEC VPN和SSL VPN應(yīng)用廣泛。

IPSEC VPN：IPSEC VPN是在特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源進(jìn)行驗(yàn)證，保證數(shù)據(jù)包在公網(wǎng)上傳輸時(shí)的保密性、完整性和真實(shí)性，適用于在局域網(wǎng)之間，建立基于互聯(lián)網(wǎng)之間的安全傳輸通道。

SSL VPN：主要的瀏覽器和WEB服務(wù)器都支持SSL VPN，對(duì)于Web信息傳輸通道的機(jī)密性及完整性，SSL是最佳的解決方案，無(wú)需被加載到終端設(shè)備上，無(wú)需終端用戶(hù)配置，無(wú)需限制終端，只需標(biāo)準(zhǔn)瀏覽器即可。

2.2 技術(shù)方案分析

IPSEC VPN和SSL VPN各具特色，IPSEC VPN的普遍適用性、SSL VPN的方便性等，我們將從以下方面進(jìn)行分析。

2.2.1 選擇合適的接入方式

SSL VPN設(shè)備通常以并聯(lián)的方式接入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)不會(huì)產(chǎn)生影響;IPSEC VPN存在兩種方式：串聯(lián)，設(shè)備串在網(wǎng)絡(luò)中，網(wǎng)絡(luò)流量貫穿其中，設(shè)備故障將導(dǎo)致傳輸中斷。并聯(lián)，旁路方式接入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)不產(chǎn)生影響。因此，盡可能選擇并聯(lián)接入方式。

2.2.2 選擇便于擴(kuò)展的設(shè)備及結(jié)構(gòu)

VPN設(shè)備因性能問(wèn)題存在接入數(shù)量的限制，IPSEC VPN限制隧道數(shù)和移動(dòng)用戶(hù)接入數(shù);SSL VPN限制用戶(hù)接入數(shù)量。選擇設(shè)備時(shí)，須考慮設(shè)備的擴(kuò)展性，同時(shí)選擇便于擴(kuò)展的網(wǎng)絡(luò)結(jié)構(gòu)，并聯(lián)方式不影響網(wǎng)絡(luò)結(jié)構(gòu)便于擴(kuò)展。

2.2.3 選擇多種VPN技術(shù)以適應(yīng)情況變化

IPSEC VPN為網(wǎng)絡(luò)層加密隧道，屬全網(wǎng)接入方式，分支局域網(wǎng)通過(guò)網(wǎng)絡(luò)建立隧道或者用戶(hù)通過(guò)移動(dòng)客戶(hù)端接入后，能夠?qū)?nèi)網(wǎng)的網(wǎng)絡(luò)資源進(jìn)行訪(fǎng)問(wèn)，不受業(yè)務(wù)提供方式限制。當(dāng)某些用戶(hù)在沒(méi)有移動(dòng)客戶(hù)端的情況下，SSL VPN凸顯了不需要安裝客戶(hù)端的特點(diǎn)。因此，最好的方式是以IPSEC VPN接入為主，SSL VPN為輔。

2.3 系統(tǒng)安全策略設(shè)計(jì)思路

VPN設(shè)備實(shí)現(xiàn)身份認(rèn)證和訪(fǎng)問(wèn)授權(quán)：保證合法用戶(hù)的合法接入，并且只能訪(fǎng)問(wèn)授權(quán)內(nèi)的辦公資源用戶(hù)進(jìn)行身份認(rèn)證和訪(fǎng)問(wèn)授權(quán)。IPSEC VPN和SSL VPN技術(shù)都采用安全加密技術(shù)和身份認(rèn)證技術(shù)保障數(shù)據(jù)的加密傳輸。

VPN安全技術(shù)實(shí)現(xiàn)通信內(nèi)容安全：選擇具有防火墻、防病毒和內(nèi)容過(guò)濾等功能的VPN網(wǎng)關(guān)，并且各功能相互融合，VPN數(shù)據(jù)進(jìn)行檢查從而攔截病毒、蠕蟲(chóng)、木馬、惡意代碼等有害數(shù)據(jù)，徹底保證了VPN通信的安全。

圖1 VNP方案設(shè)計(jì)拓?fù)鋱D

3 VPN方案設(shè)計(jì)

3.1 設(shè)備部署

VPN網(wǎng)關(guān)設(shè)備部署：VPN網(wǎng)關(guān)設(shè)備并聯(lián)部署在中心機(jī)房各分支機(jī)構(gòu)的防火墻之上(如圖1所示)。

VPN客戶(hù)端部署：在每臺(tái)移動(dòng)辦公設(shè)備上統(tǒng)一安裝客戶(hù)端軟件。

VPN集中管理軟件：軟件分為服務(wù)器、管理控制器和數(shù)據(jù)庫(kù)三部分，分別部署在圖書(shū)館中心機(jī)房安全服務(wù)器區(qū)的服務(wù)器上。

3.2 方案安全性策略描述

(1)結(jié)構(gòu)保障系統(tǒng)可用性：VPN網(wǎng)關(guān)并聯(lián)接入，當(dāng)設(shè)備斷電或故障時(shí)，不影響各局域網(wǎng)員工訪(fǎng)問(wèn)互聯(lián)網(wǎng)資源;并聯(lián)方式便于擴(kuò)充，通過(guò)簡(jiǎn)單的加入交換設(shè)備進(jìn)行設(shè)備擴(kuò)充。

(2)技術(shù)選擇保障系統(tǒng)可用性：IPSEC VPN與SSL VPN的混合使用。正常情況下使用IPSEC VPN，任何種類(lèi)的應(yīng)用。在缺少VPN網(wǎng)關(guān)和客戶(hù)端的時(shí)候使用SSL VPN臨時(shí)接入，無(wú)條件支持B/S服務(wù);采用端口轉(zhuǎn)發(fā)、全網(wǎng)接入等技術(shù)，通過(guò)插件實(shí)現(xiàn)對(duì)C/S服務(wù)訪(fǎng)問(wèn)。

(3)管理保障系統(tǒng)可用性：通過(guò)集中管理軟件的幫助，實(shí)現(xiàn)客戶(hù)端自動(dòng)部署，提高了自動(dòng)部署的機(jī)動(dòng)性和靈活性;增大管理容量。

(4)VPN隧道安全技術(shù)組合：利用IPSEC VPN和SSL VPN二合一網(wǎng)關(guān)上的IPSEC VPN功能建立與數(shù)據(jù)中心、各分支機(jī)構(gòu)和移動(dòng)辦公終端的VPN通道，實(shí)現(xiàn)數(shù)據(jù)通信的機(jī)密性、完整性;在沒(méi)有VPN網(wǎng)關(guān)設(shè)備和VPN客戶(hù)端的情況下，通過(guò)瀏覽器與圖書(shū)館數(shù)據(jù)中心建立SSL VPN隧道，實(shí)現(xiàn)安全數(shù)據(jù)通信;利用身份認(rèn)證功能，實(shí)現(xiàn)對(duì)訪(fǎng)問(wèn)校園網(wǎng)的用戶(hù)、局域網(wǎng)的訪(fǎng)問(wèn)的身份認(rèn)證和授權(quán);利用防火墻、病毒防護(hù)、內(nèi)容過(guò)濾等功能，對(duì)訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行過(guò)濾，實(shí)現(xiàn)VPN的安全控制和功能。

3.3 方案效果

通過(guò)VPN設(shè)備的部署和安全策略設(shè)置，使圖書(shū)館網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn)了基于互聯(lián)網(wǎng)的安全延伸，并具有以下良好效果：旁路接入的方式，對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的影響減少到最小，有效保障網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定性并具有良好的擴(kuò)展性;通過(guò)綜合使用IPSEC VPN和SSL VPN技術(shù)，覆蓋了各種情況下的遠(yuǎn)程接入，具有良好的環(huán)境適應(yīng)能力;通過(guò)VPN設(shè)備上的病毒過(guò)濾功能的啟動(dòng)，盡量減少移動(dòng)用戶(hù)對(duì)內(nèi)網(wǎng)的影響;通過(guò)認(rèn)證技術(shù)具有一定的抗抵賴(lài)性，通過(guò)加密技術(shù)保障數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?/p>

4 制定方案需要注意的問(wèn)題

4.1 保證校園網(wǎng)及圖書(shū)館網(wǎng)絡(luò)的安全

產(chǎn)品在客戶(hù)端與網(wǎng)關(guān)進(jìn)行連接時(shí)，采用應(yīng)用層進(jìn)行控制，防止病毒、木馬、蠕蟲(chóng)通過(guò)遠(yuǎn)程訪(fǎng)問(wèn)方式進(jìn)入校園網(wǎng)進(jìn)行傳播;其次是在用戶(hù)組和用戶(hù)管理方面對(duì)用戶(hù)組權(quán)限可以做詳細(xì)的劃分，用戶(hù)只能瀏覽和運(yùn)行我們授權(quán)其使用的校園網(wǎng)和電子資源。

4.2 保護(hù)數(shù)據(jù)庫(kù)提供商的數(shù)字版權(quán)

在建設(shè)遠(yuǎn)程訪(fǎng)問(wèn)時(shí)，我們也必須考慮到數(shù)據(jù)版權(quán)方面的糾紛，應(yīng)該做到對(duì)用戶(hù)身份的強(qiáng)認(rèn)證，保證每一個(gè)遠(yuǎn)程訪(fǎng)問(wèn)的使用者都是學(xué)校的合法用戶(hù)。

4.3 有效預(yù)防惡意下載數(shù)字資源的情況發(fā)生

有些學(xué)校曾經(jīng)遇到由于無(wú)法限制用戶(hù)的下載流量，而經(jīng)常發(fā)生惡意下載，影響了廣大師生的正常訪(fǎng)問(wèn)秩序，并給大學(xué)的聲譽(yù)帶來(lái)了負(fù)面的影響，而且事后的警告并不會(huì)減少其他用戶(hù)惡意下載的發(fā)生。對(duì)此，學(xué)校在使用了遠(yuǎn)程訪(fǎng)問(wèn)系統(tǒng)之后，可以在設(shè)置用戶(hù)組權(quán)限時(shí)，給不同的用戶(hù)組設(shè)置不同的在線(xiàn)時(shí)長(zhǎng)、最大流量、平均流量等幾個(gè)指標(biāo)來(lái)綜合限制用戶(hù)的下載流量。當(dāng)用戶(hù)發(fā)生大流量下載時(shí)，系統(tǒng)會(huì)自動(dòng)中斷客戶(hù)端與網(wǎng)關(guān)之間的連接，并將用戶(hù)掛起，待管理員重新激活該用戶(hù)時(shí)此用戶(hù)才能正常使用。

4.4 方便用戶(hù)申請(qǐng)、下載客戶(hù)端、使用客戶(hù)端

由于現(xiàn)在的大學(xué)規(guī)模越來(lái)越大，有遠(yuǎn)程訪(fǎng)問(wèn)使用需求的人員也越來(lái)越多，如果所有的人員都需要手工審核用戶(hù)、建立用戶(hù)、分發(fā)密碼、安裝客戶(hù)端，必須考慮VPN產(chǎn)品可以方便快捷地解決這個(gè)問(wèn)題。

4.5 監(jiān)控用戶(hù)的下載流量、資源使用情況

用戶(hù)日志也是很多大學(xué)所關(guān)心的問(wèn)題，通過(guò)用戶(hù)活動(dòng)記錄可以隨時(shí)調(diào)整系統(tǒng)設(shè)定和工作進(jìn)程。所以，遠(yuǎn)程訪(fǎng)問(wèn)系統(tǒng)應(yīng)該具有完備的網(wǎng)關(guān)流量審計(jì)、用戶(hù)流量和行為審計(jì)，并且增加資源訪(fǎng)問(wèn)審計(jì)系統(tǒng)可以統(tǒng)計(jì)管理員設(shè)定的各種電子資源的訪(fǎng)問(wèn)流量和訪(fǎng)問(wèn)次數(shù)，為購(gòu)買(mǎi)數(shù)據(jù)和資源整合提供依據(jù)。

4.6 擴(kuò)展遠(yuǎn)程訪(fǎng)問(wèn)的應(yīng)用，服務(wù)于學(xué)校自建數(shù)據(jù)庫(kù)的推廣

各個(gè)大學(xué)圖書(shū)館有相應(yīng)的辦公系統(tǒng)、自動(dòng)化系統(tǒng)、自建特色庫(kù)和專(zhuān)題庫(kù)等等，通過(guò)遠(yuǎn)程訪(fǎng)問(wèn)系統(tǒng)自身先進(jìn)的網(wǎng)絡(luò)協(xié)議去完全承載各種形式的辦公系統(tǒng)軟件。使學(xué)校的老師在授權(quán)的范圍內(nèi)可以方便的做到遠(yuǎn)程辦公、遠(yuǎn)程查重、遠(yuǎn)程借還書(shū)等等工作，擴(kuò)展了遠(yuǎn)程訪(fǎng)問(wèn)系統(tǒng)使用空間，并且對(duì)自建數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)用戶(hù)進(jìn)行嚴(yán)格的權(quán)限控制、嚴(yán)格的身份認(rèn)證以及較高的加密強(qiáng)度，以便對(duì)自建庫(kù)進(jìn)行推廣，使其發(fā)揮更大的作用。

5 結(jié)語(yǔ)

VPN利用公用網(wǎng)組建虛擬的專(zhuān)用網(wǎng)，使用計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)在校園網(wǎng)外就可以對(duì)數(shù)字資源隨時(shí)進(jìn)行訪(fǎng)問(wèn)，提高了數(shù)字資源的利用率，為讀者提供數(shù)字資源共享服務(wù)。目前，市場(chǎng)上有多個(gè)公司的多種VPN產(chǎn)品，這些產(chǎn)品提供的功能和網(wǎng)絡(luò)性能也不盡相同。我們可以根據(jù)本單位的具體情況。選擇不同的產(chǎn)品，實(shí)現(xiàn)數(shù)字資源安全、低成本的遠(yuǎn)程訪(fǎng)問(wèn)。

[1]劉洋.IPSEC VPN和SSL VPN的分析比較[J].電腦知識(shí)與技術(shù)，2009(4).

[2]張穎.利用VPN技術(shù)實(shí)現(xiàn)圖書(shū)館信息資源遠(yuǎn)程訪(fǎng)問(wèn)[J].情報(bào)探索，2008(7).

[3]王健.利用VPN技術(shù)實(shí)現(xiàn)高校圖書(shū)館數(shù)字資源的遠(yuǎn)程訪(fǎng)問(wèn)[J].圖書(shū)館建設(shè)，2006(5).

[4]張文豐.VPN技術(shù)在檔案信息化中的應(yīng)用[J]. 科技資訊，2007(25).

[5]鄧永紅.虛擬專(zhuān)用網(wǎng)技術(shù)綜述[J].有線(xiàn)電視技術(shù)，2005(2).