融入校园网安全认证体系的图书馆网络改造实践
开篇:润墨网以专业的文秘视角,为您筛选了一篇融入校园网安全认证体系的图书馆网络改造实践范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:文章关注较早开展网络建设的高校图书馆网络改造问题,着重探讨了发起改造的原因,并阐述了新时期这类图书馆网络建设的基本思路,梳理了在改造实践中产生的共性问题。
关键词:高校图书馆;图书馆网络;网络改造;校园网
中图分类号:G250.7 文献标识码:B 文章编号:1008-0821(2012)07-0024-05
随着网络技术的不断发展及图书馆数字化建设的推进,网络己成为数字图书馆的重要基础设施,只有高性能、高带宽、高稳定性的网络服务,才能满足读者方便、快捷的数字资源使用需求。网络建设起步较早的高校图书馆,经过十余年建设,其网络设备逐步进入更新换代期,网络结构形式、带宽分配方式与网络安全管理也不能适应新的网络应用需求,必须着手对网络进行改造和升级,使之能持续、高效、稳定的运行。本文拟以扬州大学图书馆为例,说明图书馆网络改造中所涉及的一些普遍性问题。
1、为什么要改造
1.1 主力设备亟需更新
我国高校图书馆的大规模网络建设约起步于上世纪末本世纪初,这一时期,许多高校图书馆购进路由与交换设备,将原有的非标准的局域网通过校园网联入因特网,实现了网络建设的第一次跨越,形成了校园网中的图书馆子网,拥有了自己的网络核心层、汇聚层、接入层及服务器群,并基于校园网平台,开展自己的资源组织与服务。十余年来。网络技术一直在进步,表现在网络设备上,无论是核心还是接入层,均经过了若干次更新换代,而许多图书馆限于经费体制,上一轮建设中引进的主力设备却一直未能得到更新,超期服役或带病服役的现象较为明显。扬州大学图书馆于2001年主馆落成之际,引进思科6509核心交换机及一批3500系列与2900系列接入交换机,至改造前使用年限已超10年,远远超出电子设备4~8年的使用年限。因此必须对老旧设备进行更新换代,才能保证最基本网络应用。进而促进形成稳定高效的网络使用环境,实现图书馆网络建设的新跨越。
1.2 结构形式不适应新的网络应用
在校园网中,图书馆子网一般有这样几种结构形式:①依托校园网的开放结构:不同校区图书馆内部所有的工作机、服务器均配置公网IP,图书馆内的用户可以直接访问互联网,图书馆外的用户也可以直接访问内部服务器。该方案未能充分考虑数据安全问题。适合于IP地址需求不大的高校图书馆;②独立子网结构:多个分馆与总馆之间通过光纤直连,自成一个独立子网络,图书馆内部的设备全部配置私网IP,不与校园网有任何物理或逻辑上的连接,提供Web等公共信息服务通过服务器和防火墙与校园网连接。适合IP地址需求较大的高校图书馆。③VIAN半开放:通过校网络中心,将不同校区的图书馆用户、对内服务器群与对外服务器群划分在不同的VLAN(虚拟网技术)里,工作机根据需要配有两种IP,或是公网IP,或是私网IP。内部服务器则只配私网IP,外部Web服务器只配公网IP。这样,图书馆内的用户可以访问内部的服务器。也可以直接访问互联网,而图书馆外的用户只能访问外部的Web服务器等。④VPN:仅借助校园网的线路,采用隧道技术以及加密、身份认证等方法,在校园上构建VPN(虚拟专用网)。VPN技术实现了内部信息在外部网络中的传输,就如同在茫茫的广域网中拉一条专线,对于图书馆内部来讲校园网起到了“虚拟专用”的效果。⑤NAT逻辑封闭结构:仅借助校园网的线路,图书馆内的工作机与服务器只配有私网IP,每个校区均安装路由器,通过路由器设置服务器私网IP与公网IP的转发功能,同时在路由器上设置只能让本部门的计算机访问内部专用的服务器。这样,图书馆内的用户通过路由器可以访问内部的服务器,也可以访问互联网;图书馆外的用户只能访问对外的服务器,无法进入内部网络。
以上5种结构形式,尽管都解决了图书馆子网联入校园网的问题,但均存在局限性,要么IP需求过多,要么数据安全存在问题。要么受制于隧道与加密技术,要么适用于小型的单校区高校,要么成本过高。其中尤以全面依托校园网结构、VIAN形式、NAT结构应用最广,专线与VPN应用相对较少。5种结构形式的比较如表1。
扬州大学图书馆是一个规模较大的合并高校图书馆,现拥有4个馆舍,总面积达9万平米,其中超过3万平米的馆舍有2个,服务学校3万在校师生员工。图书馆子网采用了独立子网结构,并使用VLAN技术将图书馆子网划分为服务器群区、办公功能区、查询功能区、电子阅览功能区等几个虚拟专网;图书馆独立子网有相对独立的核心层、汇聚层及接入层;信息中心分配了1个C类公网地址,供图书馆通过私网与公网IP结合的方法将该馆600多台服务器与工作站全部联入校园网,并提供相应的网络服务。这种形式尽管在较长时间里解决了图书馆网络应用的需求,但存在耗费公网II,多、配置复杂及端口平均带宽低等弊端,在今天建设高性能、高带宽、高稳定性网络的背景下,显得越来越不适应网络技术与时代的发展,与设备老化因素夹缠,亟待通过应用新技术及方案来改造现有网络。
1.3 网络安全审计一直被诟病
按照上级主管部门及公安部对网络的统一管理要求,入网用户须经过实名认证,1人1个账号,用户IP实行动态分配,对用户的上网行为要求记录备案可查。同时,网络管理者或运营者必须记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名等信息,能够记录并留存用户使用互联网网络地址和内部网络地址对应关系,并保留3个月上上网日志信息备查,以便公安机关公共信息网络安全监察部门在需要时进行追查。图书馆子网必须在信息安全方面达到公安部门、上级主管部门的技术要求,保证网络的稳定良好运行,因此必须严格实行网络实名制管理,倡导规范上网、文明上网、健康上网,营造良好的校园网络环境。
以扬州大学为例,在2007年实施校园网改造时。该校在部分区域及办公楼部署了锐捷CSN全局安全网络解决方案。该方案由认证计费管理平台(RG-SAM)、安全策略平台(RG-SMP)、安全修复平台、入侵防御系统(IDS)、安全交换机(RG-Switch)、安全客户端(SU)等几部分组成。在新校区建设中,为保证系统的稳定性和可靠性,将认证计费管理平台升级成集群版(两套SAM),主要用于新校区与老校区部分楼宇用户的认证计费和管理,目前这种管理方式已经在学校全面推开,校信息中心力图在一定时期内通过这种管理方式,将全校用户及网络终端全部纳入这种管理范畴中去。上文所述,图书馆子网一直采用VLAN方式组网,在某些功能区域,实名认证及安全审计方面未能达到信息安全保护规定要求,同时,图书馆的一些重要服务器在学校全局安全策略、安全修复、IDS、安全防火墙、安全客户端保护之外。必须进行整改。
1.4 静态IPv4管理方式存在局限性
由于目前网络使用的协议是IPv4,该协议本身具有一定的缺陷;这种管理方式复杂,盗用现象严重。同时多校区高校已是普遍现象。这类高校图书馆除了内部业务用机、OPAC检索用机、IC场所用机外,电子阅览室用机是很大一块,部分高校图书馆大机房可能多达3~4个。在数字化程度越来越高的今天,图书馆的馆藏将由纸质型向E-ON-LY过渡,图书馆电子资源的多途径组织与揭示、校内外无缝访问将需要更多的IP地址。学校信息中心不可能给足图书馆IP,一般来说图书馆所得的IP接近于一个C段,IP地址远远不够。据APNIC报道,2011年4月15日,亚太地区互联网协议第4版(IPv4)地址资源仅剩下最后一组,标志着该地区的IPv4地址即将全部耗尽。该地区国家与组织将很难再得到新的IPv4地址。就目前国内外情况而言,也不可能一下过度到IPv6,这是困扰图书馆发展的一个现实问题。通过改造,引进动态IP管理形式,成为图书馆网络建设的一个必由之路。
2、改造的预期目标与基本思路
预期通过网络改造,图书馆网络全面融入校园网,纳入校园网管理,将服务器区按“等级保护”要求建设。图书馆子网的架构符合图书馆现有业务及服务要求,同时兼顾馆舍功能调整因素,不因调整和馆舍功能变化造成不必要的浪费。改造后网络架构符合图书馆按照功能布局分区、分层控制要求,网络层面确保图书馆的网络安全;应用层面按照公安部信息安全等级保护要求进行控制。具体可分解为:对现有网络进行功能划分,可分为对内服务器区、对外服务器区、办公及管理系统区、无线区、电子查询区(IC)、电子阅览室、OPAC查询区等功能性区域;根据各区域的要求,制订不同的认证、计费、管理策略;根据各区域现有计算机数、IP地址及域名,以及将来可能扩展的数量,制订、细化网络方案。改造后的网络结构如图2。
(1)在设备配置上,将原来的图书馆核心——汇聚——接人3个层次改为图书馆汇聚——接人两个层次。图书馆各区域汇聚直接接入学校核心交换层,服务器群区域接入到防火墙内。这种改变至少有4方面的好处。一是节省了图书馆购置核心交换设备的投入;二是使图书馆原结构中馆核心与学校核心之间的瓶颈不复存在;三是减少了层次,利于优化结构;四是将服务器区纳入了校园网安全防范体系中,有利于校园网整体的安全策略、安全修复、IDS、安全防火墙、安全客户端规划与实施。网络结构如图1、图2所示。需要说明的是,扬州大学信息中心利用新校区网络建设的契机,对扬州大学校园网核心交换层、出口管理系统和认证管理系统进行了整体规划,建成由6台锐捷8610交换机及原有的两台思科7609构成校园网万兆核心交换层,大大提高网络的稳定性。图书馆网络可直接接入校园网核心交换区域。
(2)在区域规划上,网络改造后,服务器区与用户区物理分开,服务器区和其它用户区域直接上联校园网核心。这样不仅有利于网络控制与管理,不影响将来可能的搬迁和功能的再划分,更有利增加安全设备对应用服务系统的防护,达到信息安全等级保护要求。另外,各种用户区域严格分开,这样不仅有利于管理各种不同的用户,更有利于适应不同应用对网络的需求。
(3)在用户管理方式上,全员采用实名认证,1人,1个账号,用户IP由静态变为DHCP动态分配,对用户的上网行为记录备案并可查询。网络管理系统记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名等信息,能够记录并留存用户使用互联网网络地址和内部网络地址对应关系,并保留3个月以上上网日志信息备查,以便公安机关公共信息网络安全监察部门在需要时进行追查。
(4)在网络规划上。有线与无线、IPv4和IPv6通盘考虑。扬州大学图书馆于2006年建设了一套无线控制器加瘦AP为基本构成的无线网络,部署于主馆与各个分馆,采用厂商提供的web-portal方式认证,后台认证使用学校RG-SAM系统,在学校未整体建设WLAN的情况下,由图书馆自行开户并进行用户管理。通过网络改造,实现了原有认证与RG-SAM的数据联动,读者只需拥有1套账号。即可在图书馆任何位置上有线或无线网,同时出校园网按时计费,面向全校读者开放。所有更新设备全部兼容IPv4和IPv6。
(5)在工作程序上,协调各方、精心安排。在确保原有网络正常工作的前提下,第一步先将用户从服务器区分离出来,以确保管理信息系统服务器和应用服务器的正常服务,同时信息中心做好开户工作;第二步切换办公业务区;第三步切换主要面对学生的查询区域;最后再解决电子阅览室及无线区域。
3、必须注意的相关问题
3.1 经费保障是关键
相当多高校的信息化建设采用项目驱动形式,并无正常比例的经费保障。只有在建设新校区、新馆或迎接评优评估定级之时,或垂直“戴帽”项目经费下达之时,学校才会考虑信息化建设的经费。图书馆的设备经费也是如此,学校除正常拨付年文献资源建设经费外,并无设备设施的维护费用科目,这就会造成图书馆信息化系统、设备与网络设施总是处于仅能维持的状态,谈不上定期更新、步入良性循环之预期,扬州大学图书馆网络主力设备lO年未能更新,就是这种投资体制的直接反映。因此一定要通过各种途径争取学校经费支持。最理想是将信息化建设的费用纳入经常性支出项目,至少也要取得相关项目的专项经费,否则是无法谈规划谈改造谈建设。正是由于争取了学校的专项经费支持,才有扬大图书馆的网络改造一说。
3.2 规划工作先行
对于较早开展网络建设的图书馆,进行网络改造等于启动了新一轮的网络建设,是一项复杂的系统工程,对外涉及学校信息与网络主管部门、学校设备主管部门,对内牵扯馆内各管理及业务部门;并涉及许多要素,包括设备、工程、用户管理,还需综合考虑各个馆舍的未来规划。网络建设与改造不能凭空想象,要进行总体考察,与图书馆事业规划以及学校信息化规划相衔接、相一致,明确网络的性质,科学制定图书馆网络建设发展战略。规划要高起点,规划过程一定要慎之又慎,要提早考虑,谋定而后动;要与校信息中心保持沟通,组成联合工作班子,共同开展工作。扬州大学图书馆网络的改造规划起始于2011年初,经过近一年时间的酝酿,图书馆上上下下召开多次会议,与信息中心进行多次沟通,最终于2011年底进行。
3.3 改造时机选择
图书馆网络改造工作从时间节点上看。当是闭馆时间相对较长的寒暑假期间最为适宜,这样的安排影响面较小。因为在实际改造过程中,两套系统并行一段时间是必须保证的,即使在寒暑假期间也必须如此,这是一种可靠的操作方式。寒暑假期间不会有开放的压力,可以从容地不改变原有系统基础上加新系统,在新系统完全调试成功后再拆除老系统。由于多种原因,扬州大学图书馆的网络改造错过了这样的时机,不得以选择了最不利的时机,对我们精心组织工作、稳妥地推进切换工作的能力提出挑战。在这种背景下,大部分切换工作必须放在夜间与节假日,这是十分考验专业人员的奉献意识的。
3.4 微观上先易后难,分批次切换
在网络改造中,高校图书馆内不仅存在各种各样的网络功能区域,还存在着不同校区的馆舍,每个区域又有各自不同的特色,因此必须综合考察各区域的差异。采取先易后难,分批次切换的方式。各个解决问题。在功能区批次上,可先解决相对固定的服务器与部门办公区。再解决功能单一的查询机。进而解决一线服务区。最后再解决相对复杂的Ic区与电子阅览室;在各馆舍批次上,可先解决一些小型馆舍、服务对象少的馆舍、功能单一的馆舍。最后解决功能复杂、服务对象多的主馆舍。
3.5 宏观上分步实施,难点不求一步到位
在总体把握上,应遵循分步实施的原则,对于条件不成熟的不求一步到位,条件成熟的应坚决实行。如在扬州大学的改造实践中,通过新设备。全员认证已完全能够在管理中实现,以此可提高用户端口带宽,但由于部分用户存在不同理解,认为认证麻烦,不如原先上网方便,因此存在抵触情绪,应通过改造前后的对比,打消用户疑虑,使他们积极配合改造。电子阅览室是改造中的一个难点,表现为用户管理方式发生变化,改造后产生了二次认证问题;原有设备老化,很难适应新管理方式;认证系统未升级前用户数授权不足,是图书馆单方面无法解决的问题。对类似问题应采取变通方案,待条件成熟时一并解决。
4、改造效果展望
实践表明,只要精心规划、实施有力,图书馆网络完全可以全面融入校园网,纳入校园网管理。经过改造,图书馆子网的架构将更符合图书馆现有业务及服务要求,有效避免传统校园网建设模式中,不同的业务流量都通过同一个路由交换设备上联的弊端。同时兼顾馆舍功能调整因素,未来不会因调整和馆舍功能变化造成不必要的浪费。经过改造,完全可形成一个纯路由、可根据校内外流量进行有效负载分流、服务质量安全可靠的高校图书馆新型网络。