在图书馆的应用管理及安全策略

WLAN在图书馆的应用管理及安全策略——以四川大学图书馆为例^[1]

向　忠　雷若寒

摘　要:探讨WLAN在图书馆的应用管理，包括用户管理和无线网络的管理问题，进行了WLAN安全策略分析，并以四川大学图书馆为例，阐述了在高校图书馆进行无线网络接入时，采用神州数码无线AC控制器、NAT服务器、认证服务器和DCSM内网安全管理系统解决无线局域网安全和管理问题。

关键词:WLAN;无线局域网;应用管理;安全策略

无线局域网WLAN(Wireless Local Area Net)属于一种短距离的无线通信技术，它是以无线信道为传输媒介构成的计算机局域网络，通过无线射频技术(RF)在空中传输数据、语音和视频信号。随着现代图书馆网络化、自动化、数字化建设的发展，许多高校图书馆出于内网安全和稳定运行的考虑，都有意减少了有线网络信息点的接入，从而建立了自己的无线局域网WLAN，它弥补了有线网接入点数量少、覆盖面窄和连线繁琐的不足。读者使用带有无线网卡的笔记本电脑等移动设备接入图书馆WLAN，就可在馆内任何无线信号覆盖的位置方便地查阅或下载图书馆的各种网络信息及数据库资源，图书馆员也可以方便地利用WLAN进行各种管理工作。

但是，在享受无线网络灵活、方便的同时，由于无线网络介质的特殊性，不可避免地出现了一些新问题，如无线网络的安全和管理问题等。高校图书馆无线局域网具有覆盖范围广、用户数较多且不固定、不易管理等特点，对网络性能、网络安全、用户和设备管理等都有较高要求。所以，图书馆必须要构建有效的无线网络应用管理系统，以保障图书馆无线局域网的安全高效运行。

一、WLAN应用管理分析

WLAN应用管理包括用户管理和无线网络管理两方面，如果没有完善的用户管理就会出现以下几个问题。

(1)非授权用户通过接入W LAN使用网络资源，损害了合法用户的利益。

(2)用户没有合理分级，网络带宽等资源得不到合理使用，网络服务稳定性和质量都无法保证。

(3)管理方无法监控用户上网行为，一旦发生网络滥用、网络泄密等问题，将承担相应管理责任。

针对这些问题，WLAN用户管理功能应该包括对接入用户数限制、用户带宽控制、用户访问控制、用户访问日志和安全管理等。

而WLAN的管理主要内容包括:对WLAN设备集中修改和配置参数，如无线AP的SSID、信道、接入点等;基于WLAN拓扑图进行网络监视，在性能、报警、配置等方面动态反映网络的变化;提供WLAN拓扑发现和管理，直观地反映出无线AP、交换机和其他相关设备之间的对应关系;采用标准网管协议(SNMP)，对无线设备进行配置管理、性能和故障数据的采集与分析。

二、WLAN安全策略分析

(一)WLAN安全问题

WLAN安全问题，主要表现在4个方面。

(1)所有常规的有线网络存在的安全威胁和隐患WALN同样存在。

(2)WLAN易被拒绝服务DOS攻击和干扰。

(3)非法的无线AP接入导致网络安全出现漏洞。

(4)外部人员可以通过WLAN绕过网络防火墙，对网络资源进行非授权存取。

(二)WLAN常见的安全对策

无线网络安全主要包括系统安全、网络安全和应用安全等内容，按照安全风险分析、安全结构设计和安全策略确定的规划方案实施。无线网络的开放性特点增加了确定WLAN安全机制的难度，形成了与有线网络系统完全不同的实现安全目标的方式。

WLAN常见的安全对策有以下几种。

(1)隐藏WALN设备的服务集合标识符(ESSID)。

(2)建立介质访问控制地址(MAC)控制表。

(3)采用有线对等保密(WEP)加密技术。

目前很多WLAN都采用灵活、方便的安全机制，如用IEEE802.1x身份验证技术、无线安全网关和WIFI保护接入WPA技术来实现用户接入控制和身份认证。

三、四川大学图书馆WLAN建设策略分析

四川大学图书馆在工学分馆和医学分馆正式实施有安全策略认证的WLAN无线网络部署，通过神州数码公司产品DCWL-ZD-1025无线AC控制器，以及DCWL-ZF-2942无线AP，采用神州数码DCSM内网安全管理系统，同时配置1台认证服务器和1台NAT网络地址转换服务器，搭建WLAN安全服务管理平台(如图1所示)。

图1　四川大学图书馆网络及WLAN结构

无线AC控制器DCWL-ZD-1025系列一般作为神州数码网络企业级智能无线接入点AP(DCWL-ZF系列产品)的中央控制系统来进行使用。无线控制器提供了简化的配置以及更新，包括无线局域网安全控制、射频管理以及对所连接以太网AP的自动调节(如图2所示)。

图2　无线控制器AC概况显示

无线控制器在一个单一系统之中，同时整合了网络、射频管理以及定位管理。而用户认证既可以通过内部数据库以及集成中央门户来完成，也可以转发到现有的AAA服务器上，例如RADIUS服务器或者Active Directory服务器，同时也可以与神州数码的认证管理系统配合使用。一旦用户认证完毕，客户端的通信就无需再通过无线控制器，这样也就消除了更高速度无线技术(例如802.11n)的潜在瓶颈。

此外，该无线控制器还支持对盗用AP的检测，并拥有黑名单的能力，可以在网络中屏蔽相关设备，而这所有的一切都很易用，配置起来也极其简单。当多台AP彼此位置很接近时，无线控制器会自动地控制电源以及每台AP上的信道设置，以提供最佳的总体覆盖范围和最佳的系统弹性(如图3所示)。

图3　无线控制器AC监控状况

DCSM是神州数码网络公司针对内网安全管理现状、自主研发的一款软件产品。DCSM提供多种手段，完整地实现了对用户内部网络的终端、用户的管理功能，使得只有终端健康、身份合法的用户才可以接入网络中。而对于不满足条件的用户则允许修复后接入。DCSM支持复杂的使用方式，在有无交换机支持的情况下都能得到很好的应用。

DCSM后台运行在Linux服务器上，其管理模块在Windows下运行，以灵活的方式实现对服务器数据的管理。DCSM系统支持安全策略定制，灵活方便;采用模板开户技术，高效快捷;支持802.1x接入方式，与交换机联动，安全可靠;支持灵活绑定规则，有效防止IP盗用;基于Linux平台，性能卓著;认证参数全内存方式，以获得最快认证速度;管理子系统基于Java技术，系统稳定并且具有良好的跨平台特性。DCSM采用的协议与标准包括:RADIUS、802.1x、PPPoE、EAP-TNC、XACML等。

DCSM服务端系统是整个网络运营的核心模块，运行在服务器端Linux环境下，支持用户认证上网、管理端的配置管理、HA双机热备、Web自服务网站运营，具有高稳定性、高安全可靠性等突出特点。系统还支持Oracle及MySQL两种版本的数据库，为用户提供了更丰富的方案选择。

NAT网络地址转换(NetworkAddressTranslation)属接入广域网(WAN)技术，是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中，实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机(如图4所示)。

图4　Web认证无线上网使用方法图示

四川大学图书馆无线网络的规划方案，基本实现了高效、安全的总体设计目标，易于使用，用户界面和身份认证也得到了有效统一。整体方案具有较好开放性，通过进一步的应用管理和安全策略研究，以后可以在江安分馆和文理分馆移植、扩展和推广，为读者提供更加安全稳定的公共上网平台，从而多渠道得到图书馆的数据库网络资源服务。

参考文献:

［1］关鑫.高校图书馆无线局域网的安全研究［J］.农业图书情报学刊，2010(12).

［2］李合飞.无线局域网技术在高校图书馆的应用［J］.高校图书情报论坛，2006(2).

［3］向忠.W LAN技术在高校图书馆网络建设中的应用［M］//姚乐野.面向创新的图书馆资源建设与知识服务.成都:四川大学出版社，2007.

［4］耶健，邵晶等.WLAN安全与网管技术在大学图书馆无线局域网的应用［J］.现代图书情报技术，2006(7).

【注释】

[1]本文系“四川大学2011年度图书馆、情报与文献学科研项目”研究成果。