安全需求分析

       高校图书馆网络肩负着整个图书馆系统正常运行、电子阅览室正常使用、馆藏数字资源的正常获取利用、文献检索实习课的正常教学等重要任务，甚至还涉及到学生的缴费金额，图书馆网络一旦瘫痪，可以说图书馆的所有业务即将被迫停止。鉴于图书馆的重要性，作为图书馆网络中的技术人员，必须加强防范意识，加强自身专业技能的培训，不断学习、互相切磋、共同研究，形成一支高素质、高水平的科研团队。

    图书馆安全防护方案

       根据上述图书馆网络建设中出现的问题与需求，中信网安凭借丰富的图书馆网络安全建设经验，提出了高安全、高性能、易管理的高校图书馆网络安全解决方案。

   （1）边界防护建设
       通过部署防火墙实现互联网和教科网双网的接入，根据高校的业务特点、行业背景、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术，实现对出入网络的信息流进行全面的控制。通过部署防火墙有效的防止了黑客对图书馆网络系统的攻击，保护图书馆网络系统，重要信息、相应的电子资源不被入侵、删除、篡改、破坏等。

   （2）VPN接入建设

       通过部署的VPN设备来实现对远程用户接入的需要。多校区图书馆间图书实行通借通还，并要求书目信息、流通信息准确、及时、安全。多校区图书馆可租用本地公网的宽带线路，利用VPN技术，将总馆与各分馆之间构建若干条虚拟专用网络，从而实现图书馆内部管理网络的互联。

   （3）入侵防御建设

       在网络边界，防火墙后端部署入侵防御系统。对访问内部服务区的数据包进行实时监测，当发现异常数据包时，以采取相应阻断或流量控制操作，或采用透明传发或Bypass的方式，并以事件的方式显示在控制台界面上，进行报警。根据高校图书馆的真实环境和应用系统，制定详细的入侵防御策略，保护高校图书馆内部的安全。

   （4）上网行为管理建设

       上网行为可以有效的对上网数据流进行管控。基于帐号、密码的身份认证可以有效的审核终端学生的身份，防止非学校学生接入网络，破坏、利用高校图书馆资源。上网行为管理产品基于用户、时间、应用、带宽等元素对上网行为进行全面而灵活的策略设置，把网络风险管理从“被动式响应管理”提升为“主动式预警管理”，从“防范管理”提升为“控制管理”，把网络的“通信安全”提升为“应用安全”。

   （5）WEB应用防护建设

       在发布服务器群前端架设一台华创云盾Web防火墙。实现对WEB应用全方位的安全防护，阻断常见的应用扫描、应用攻击、应用DoS、应用数据流侦听等恶意行为。

       事前，提供Web应用漏洞扫描功能，检测Web应用程序是否存在SQL注入、跨站脚本漏洞；

       事中，对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、 DDOS攻击进行有效检测、阻断及防护；

       事后，针对当前的安全热点问题，网页篡改及网页挂马，提供珍断功能，降低安全风险，维护网站的公信度。

       图书馆安全防护价值

     中信网安高校数字图书馆整体安全解决方案帯来的价值：

     （1）提供安全的网络边界防护，做到信任授权级别的安全接入；

     （2）提供高效的信息共享方式--VPN技术，让教职工在家或出差时，让学生在寒暑假时，安全便捷接入图书馆网络；

     （3）实现终端用户安全绿色上网，符合绿色校园网络建设的需求；

     （4）实现对各类WEB应用服务器的安全防护，通过事先、事中、事后三位一体的安全防护体系，对来自应用层的动态攻击进行全面的检测、防护以及过滤，保护高校图书馆业务的正常运行；

     （5）提供细粒度用户管理、全面的流量管控、精细化的应用可视化管控及攻击行为可视化的整体解决方案。