资料

绝天灭地 收藏 9 36
导读:资料

图书馆电脑和网络安全

引进

建立一个安全网,更重要的是图书和电脑比以往任何时候都更加复杂. 同时,网络管理员要保障图书馆的网络系统,保证市民可以随时进入电脑,让合法进入图书馆的订阅资源. 要大规模、多方面的努力和管理图书馆计算机网络安全,涉及每个人从管理、计算机技术、图书馆工作人员.

要有广泛的认识 图书馆安全原则 这体现了图书馆的政策和程序,包括建立一个多层次的安全体系,针对 一般安全 以及问题 用户安全 , 工作站保安 , 服务器安全 以及 网络安全 . 此外,这一系统必须 时刻监视 更新和新出现的威胁.

这些图书在计算机、网络安全页是用来帮助你和你的图书馆在这个过程中. 由于普遍存在的窗口型电脑图书馆,这些页重点利用计算机和网络安全的家庭作业窗口桌面操作系统和服务器. 基本原则,可以适用于所有操作系统. 麦金塔的良好起点,Linux操作系统,见 Linux与Linux在互联网上的资源安全 以及麦金塔安全,Novell公司网络,见 Novell公司安全信息。

大多数图书馆已有部分担保制度,但有很好的机会,通过这些工作后,你就会发现页你必须多加层. 你创造的制度将你独有的图书馆; 这页使用安全为蓝本,并根据你的具体需要,增减永远无法全部保护你的电脑,你只能使坏人放慢下来,这绝对值得!

图书馆安全原则 :

概况

争取在任何一个图书馆计算机没有任何妥协,必须达到三个基本概念:公务员、用户隐私和法律手段. 在办公室或商业环境的安全问题,以确保交易的文件和尚未篡改,保障企业信息、员工个人资料保密、数据业务时,必须要求. 图书馆和计算机网络的安全环境面临着一些新的挑战和同样的问题.


公共服务


公共图书馆利用计算机和网络必须具备能够经受长时间的连续使用(滥用常)计算机技术在图书馆的注意,他们往往过度,甚至根本不存在. 这种方法是由网络管理和供应,保证数据的完整性. 大众利用电脑提供给我们的顾客作为公共服务. 如果顾客的电脑使用经验,是因为沮丧者实施了安全政策或者在线目录没有需要时,顾客的看法是图书馆的消极影响. 今天比以往任何时候都更加重要,顾客的经验是积极的电脑.


隐私


当顾客用电脑公众留下的消息. 网站浏览本地电脑记录资料,包括代理服务器访问网站的记录,当用户使用公共预订系统文件进入计算机. 保护用户资料的名义存图书馆的工作.


获得法律


终于,一个新的图书馆面临的安全问题,是利用法律. 现在,许多图书馆提供因特网电脑,他们必须决定如何处理过滤儿童上网. 此外,许多图书馆提供的资源和互联网系统. 获得控制,必须认真遵守有关的许可证限制. 顾客管理认证,必须按照认购数据库许可协议是否得到赞助标志的公共图书馆或家里的电脑.


一个好的安全体系的目标


有三个主要目标安全:


保密私人资料保密保证.

确保数据完整,避免数据被不当删除或修改.

确保数据的供应,并确保提供不间断的服务,数据可在有需要时,数据可迅速恢复.

保密方式,至少保存了密码坏人手中; 阻止信息流通和金融信息; 私人赞助和保护数据文件和电子邮件等. 你要始终遵循最少特权,其中指出用户只给予特权,他们必须履行职务或工作. 例如,如果用户只需要打印出检验或电子邮件的使用图书馆的上网,实在没必要(应无能力)查阅档案操作系统,打印服务器.


保护手段保证数据的完整性,你可以恢复过来,并承认违反诚信,你可以从电脑系统维护、蠕虫、木马、马. 这也意味着你应该避免蓄意篡改文件、网页、档案操作系统,更意味着你应该只让适当的身体接触电脑. 确保获得的数据说明你应该知道如何认识和防范攻击切断服务、病毒、寄生虫、用好备份和恢复程序,并确保服务不中断,在硬件和软件的例行保养.


因此,公众必须至少确保计算机安全:


供应 :

电脑维修需求很少能提供任何人想要用在图书馆开幕.

用户将无法删除或更改(或增加)申请及档案系统,并有可能导致计算机突然发生故障.

计算机将免受病毒蔓延的赞助或网路磁碟传染病毒和木马,不但会造成损害,而且对当地的电脑伺服器.

完整:

顾客可以相信自己的文件不会感染病毒或其他恶意程序代码马匹.

顾客可以预料和其他应用软件的正常运作,文件不会变.

隐私:

顾客可以相信,他们的隐私是受到电子:别人看不到的文件,其使用电子邮件,或认为互联网搜索的记录.

员工相信自己可以文件、资料和应用不会使用不当的顾客.

所有网络用户的隐私能有合理的假设. 这不能隐私权不安adware,间谍程式,或利用网络黑客攻击的工具.

进入:

网络将免受攻击,缓慢的爬上网,甚至更差,它完全否定.

图书馆能保护他们的资源,并遵守联邦法律,确保用户只能使用电脑数据或应用所获得的机会. 如果图书馆的政策规定,儿童不得在网上浏览未加过滤已明确赋予权的父母.

用户将无法在数据库日志没有满足图书馆的准入条件.

安全规划:


安全不能在一夜之间; 它需要大量规划. 图书馆,认真改进自己的安全应准备:


创建或修改政策和程序

研究灾后复原计划

充足的资金保证

员工培训和教育

生命安全政策和程序


图书馆工作人员和信息系统的人员一起完成了两项非常重要的任务:


进行 风险评估 ,其中包括 威胁和脆弱性 面对图书馆的电脑和网络.

营造 安全政策 具体包括 保护战略 .

风险评估:


风险评估,识别资产、威胁和脆弱性. 资产的价值是你的组织; 在信息技术方面,可以资讯、电脑(硬件和软件)或人民. 风险评估将有助于图书馆决定,最重要的原因是其资产. 必须记住,风险不可能被消灭,安全的目标是降低到可以接受的水平.


计算机资产不断受到威胁和伤害. 威胁是什么情况,有人故意损害保密性、完整性和供应. 缺点是脆弱的软件代码可以用来进行攻击的计算机网络,或使用该软件. 上市的威胁和伤害了图书馆的一个重要组成部分,是计算机和网络进行风险评估.


安全政策:


目前已进行风险评估后,才能创造一个或多个图书馆的安全政策. 安全政策应该建立一个团队的成员,也包括体制、管理和各部门的代表. 要制定政策说明使用,可以互相分开,或者是一个重大的政策,如接受使用的政策,或者是利用互联网政策. 从安全政策的审查小组与组织(说到底,为什么从头做起?) 按自己的想法和环境. 还应包括用户角色和责任,并授权给那些负责处理违反安全规定.


安全政策的一个重要组成部分应制订保护战略. 这些保护战略的政策和程序,包括诸如程序备份,灾难恢复计划,培训人员指引、程序和特殊保护. 这可能包括贯彻所有最荣幸服务器、隔离等公众网络服务器系统从大型应用系统,如书目数据库,需要强有力的认证.


安全政策应该是活的文件,不断检讨及调整. 要更新或安全攻击事件之后,在网络环境变化、面对新技术.


灾难复原计划:


灾难恢复计划还应建立(如果不存在),包括:


应遵循的程序,在出现网络攻击或失败

现场位置安装媒体和备份储存媒体

备份文件和安装程序文件

技术资产清单

核定人员名单,并能恢复系统(包括多啊!)

资金:

建立一个安全网,需要钱,培训、安全软件和硬件、监视器、甚至第三者评估. 一个重要手段就是安全管理,确保资金投入的. 保持原来显示系统或网络故障,故障估计费用. 这些费用包括了劳动生产率和参与恢复系统或网络.

训练并且教育职员:

保证您的图书馆职员了解安全的重要性。 当他们发生,一位机敏的图书管理员在一个繁忙的图书馆的地板上能经常察觉问题。 请务必职员知道什么在安全事件的情况下做通过火车他们在您的图书馆的安全策略和规程。 它在最新的安全威胁和弱点雇用职员应该跟上, 记录问题与您的图书馆的安装的软件有关, 并且补丁如需要。

合并安全生命周期:

安全是一个无休止的过程。 如果您对安全在系统的生命周期的每步计划, 然后您修造固体, 巩固基础。 当就一个产品而论为购买, 考虑到产品的已知的弱点, 并且合并您的安全要求到制品技术规范里。 当安装产品时, 考虑到普通安全措施例如取消未使用的服务和使用强的密码。

并且考虑合并测试入实施过程的安全, 特别是为脆弱的系统例如网或电子邮件服务器。 在操作和维护阶段期间, 应该连续地监测和更新系统, 并且周期性地验核。 终于, 当一个新的系统取代一个系统, 应该做每一努力保证信息被移动, 归档, 删掉或毁坏,在老硬件实际上被处理之前。 这是经常被忽略的重要步, 但它可以有帮助保持您的网络信息私有。 攻击者从未坐直, 并且充电以保护图书馆的信息财产的人民不应该坐直, 二者之一。


图书馆安全原则风险评估

概况

风险评估是一个进程,有利于组织他们更加了解,什么是最重要的. 从理论上说,应该让整个组织一起找出所有的信息技术资产,优先分配给各等

级,确定这些资产的威胁和伤害. 事实上,一个团队,通常由管理人员和工作人员聚集、图书馆管理人员和其他部门的成员.


可能是有人或有可利用或有意无意地或电脑系统造成破坏,资产. 绝不能完全消除风险; 它只能缓解和减少到可接受的水平. 这一级将视该组

织的重要资产. 风险评估将帮助他们更好地了解了图书馆的风险衡量可能的资产将被攻击的价值与保护相对于它的成本.


你确定资产


资产的价值是你的组织. 在信息技术方面,可以:


信息和知识产权

电脑硬件

计算机软件

知识产权资产和信息的例子包括:原在整理图书的书目数据库; 建立索引数据库和本地; 在当地设立网站; 员工的电子邮件; 图书馆程序和政策

; 工作人员证件; 数据流通; 和财务记录. 服务器应该包括所有的计算机硬件、通信设备、台式电脑、打印机、备用设备和电缆. 软件资产可

能包括桌面或Windows2000操作系统,如麦金塔OS9; 如四季厅申请生产力; 服务器操作系统; 和服务器软件. 最后,人力资产不应被忽视. 这些

可能包括人员,人员和catalogers索引、参考人员、技术服务人员等.


一旦名单图书馆的资产已设立应分配的"威胁等级"的评价,他们在自己重视图书馆的使命.


你们图书馆将蒙受重大损失,扰乱了金融、法律、资产攻击. 没有这个重要资产,您会图书馆就足以损害不再能够完成其使命.

中型

你会受到轻微破坏,图书馆法律或经济损失的资产,如果受到攻击. 没有这个重要的资产,图书馆也能完成任务,但在能力减弱.

图书馆你会受到如法律、金融资产损失的攻击. 在图书馆你能圆满完成任务,这个小的财富.

计算机资产不断受到威胁和伤害. 威胁是什么情况,有人故意损害保密性、完整性和供应. 缺点是脆弱的软件代码可以用来进行攻击的计算机网络,或使用该软件. 上市的威胁和伤害了图书馆的一个重要组成部分,是计算机和网络进行风险评估. 更多的威胁和伤害,见 共同安全威胁和伤害.


最后,重要的是,风险评估一旦完成,将投入使用. 现在你更清楚地知道组织的资产是保护,应该如何保护他们的决策. 风险评估问题的答案是什么,为什么. 在风险评估工作提供帮助,见 "八度"信息安全风险评估 一个旨在帮助核对从CERT组织评估其风险.

图书馆安全原则,建立安全政策

概况

安全政策是一项政策或征收政策,国家图书馆所应保护,应该如何保护,如何对安全的威胁,而应参与这项反应.


先决条件


初步形成了涉及安全政策措施:


营造安全团队

开发使用政策声明

审查其他类似组织安全政策

进行风险评估

保安队应该小组,不仅创造了,而且是负责政策的执行. 小组成员应包括图书馆管理人员,负责图书系统和计算机,它负责人员及电脑系统,并与工作人员协助市民使用电脑. 从理论上说,每个部门的代表将包括在内.


有两大类用法的政策声明:对国家图书馆的作用和责任,说明使用者的角色和责任. 有些国家可能会存在,例如偏远准入政策,政策和密码可接受使用政策. 这只能审查(如有必要,更新). 图书馆应国家安全政策的作用和责任是什么图书馆资源,保护和维持的原因. 例如,政策可说图书馆台式安全措施、防病毒软件、网络过滤(与否)等. 这些措施应说明理由.


用户多政策的作用和责任. 他们的声明可能包括例如:


什么是可以接受的图书馆网络,包括人员和公众使用电脑

拥有电脑和网络的图书馆,他们是:

为公众提供具体列举的理由

具体规定为员工,列举理由

联邦法律和地方性法规,要按照最终用户在使用图书馆网络包括:

利用规律出版品

规律和儿童色情淫秽

什么是不可以:

利用电子邮件或体内任何骚扰

密码管理主管

安装盗版软件或无牌

把档案分享

流媒体应用管理

是否监测系统

图书馆如何执行政策; 万一有人被打破规则

尽可能从其他类似组织安全政策的审查,毕竟,为什么从头做起. 多数大学都提供网上安全政策. 最后,进行 风险评估 确定要保护资产的图书馆,为什么. 你想要把这个作为安全政策的努力.


安全政策的组成部分


安全政策的基本内容有以下几点:


客观或抽象

范围

责任

人身安全

网络安全

安全软件

灾害应变计划

可接受使用政策

安全意识

遵守

应该是抽象的、客观的任务说明,把政策目标. 这说明什么是重要的资产,为什么要保护这些图书,并总结了应遵循的程序,以保护资产. 具体范围界定资产的保护政策,根据风险评估. 他们还确定了必须遵循的政策,如市民、雇员、外部承包商、供应商. 谁的责任的内容描述负责保护资产的界定范围,如何. 这说明一般使用者安全的责任,但也包括特定用户的角色,例如,部门经理和管理人员.


人身安全部分国家图书馆如何将保护其人身和财产设施. 但也有国家限制进入的领域,例如电信室和厕所服务器. 国家图书馆网络安全如何保障网络数据的存储(s). 它应包括下列资料:


工作站保安

管制措施,并取得认证

档案系统安全

备份

远程访问控制

监测网络

港口限制

过滤

防火墙、代理服务器和边界路由器

如何保障国家图书馆软件将利用互联网和商业软件在服务器、工作站和网络设备. 他形容这是可以购买和安装软件,可以从网上下载,如何处理违法者. 灾害应变计划应包括硬件和软件(关于这个问题更见 规划计算机和网络的灾难 ). 部分硬件设备清单应予以保留; 硬件的详细清单与关键资产所需的硬件规格; 人员名单必须恢复服务器. 恢复和优先项目. 软件部分应包括关于软件/数据备份、异地存放地点、资料备份、数据恢复所需人员,优先恢复.


可接受的使用政策的细节接受网络如何可以用,包括可以使用因特网,可以使用的电脑,限制使用计算机(如时间限制或限制过滤)、实行制裁,如果可以用不符合标准. 国家安全意识,认识安全问题,哪一级人员预计有. 包括执行细节,如果实施制裁,是违反安全政策. 制裁可能包括:


网络连线

失去特权网

人事处分

法律行动

安全政策是不容易建立. 他们需要很多努力,很多人. 此外,还必须不断检讨,并针对变化更新组织更多的硬件或软件,破解新的弱点和新的威胁. 又向:


用户安全手册

俄从2504年网络集团是"为了向用户提供他们所需要的信息网络系统,以帮助他们保持可靠"

工地安全手册

俄从2196年网络组"指导计算机安全政策和程序制定的地点,在互联网系统. "

无安全政策的项目

网站专门制定安全政策的了解; 包括模板,可用于各种快速发展的政策.

引导发展信息技术系统的安全计划(NIST) (PDF档案)

总规划过程的安全


图书馆安全原则

共同的威胁和脆弱性

概况

电脑和网络的威胁,因为这个问题已经开始得到广泛使用电脑的市民. 如今,个人电脑、网络,连接因特网正处于危险之中. CERT(计算机紧急反应小组,由卡内基梅隆大学)警告说:


"攻击组合剧本和发展,彼此之间有着怎样的弱点,恶意利用系统. 花时间去攻击程式开发,以开发性和共享信息. 他们有自己的刊物,定期举行会议,专门讨论的工具和技术,电脑系统的保安措施,挫败. " 在CERT/CC及互联网社区

违反图书馆计算机安全通常由好奇而持续地引起用户的,有时还故意和恶意黑客的知识. 更具威胁的是,这些软件可能已经安装不当、软件密码,先天的缺陷(故障)或不安全的程序.


基本类型的威胁


基本类型的攻击包括:


扫描探针和,试图进入远程计算机或发现资料

到妥协的发现及其用户密码

包天的记录数据,整个网络发送; 这些数据都含有敏感的信息如口令

拒绝服务网络与洪水的要求,才能最终战胜它使电脑或放慢最终坠毁

恶意代码木马马、寄生虫、病毒

苏宁决策电脑像"信任计算机"

扫描探针和


探头的特点是不寻常的尝试获得系统或资料系统发现. 其中一个例子是试图在一个用木帐户. 探索试验是电子相当于doorknobs容易找到一个没有锁上大门进入. 有时探测器之后更严重的安全事件,但他们往往因好奇或混淆. 扫描方式进行了多方面的探索,是用自动化工具. 最常见的就是扫描"扫描港口" 这种扫描问题听取港口远程计算机. 扫描往往是攻击的前奏更直接系统,发现受到侵扰.


到妥协


到妥协,他们发现用户的密码系统. 它允许擅自进入用户的全部资源,使用户帐户授权. 有可能使受害严重损害数据丢失、数据盗窃、盗窃或服务. 限制用户帐户的数量,从别的机会可能损害或减少行政特权; 然而,进入用户级别帐户往往更容易取得入学资格制度.


一种折衷地了解Unix系统被称为 根妥协 . 传统的Unix系统管理帐户被称为"根" 这不仅是用户的名称,但它指的最高层次的目录服务器. 如果有机会也根部,通常都能得到整个系统. 他们成功地侵入了妥协根本就什么都可以做的只是被害人的系统,包括管理自己的节目,如何改变体系工程、隐匿其侵入痕迹.


包嗅探


是一包毒程式从资料收集数据包,因为他们对旅游网络. 这可能包括用户的姓名资料,密码、专利信息,对旅游网络. 如果数据记录器是一个加密包(见 加密重要性 ),很难有人能发现任何敏感资料. 但是,如果没有数据加密,只是发出的信息很容易受到任何损害. 安装炸药包不一定要使用特权; 不过,它需要获得一些网络接口卡的通讯线.


拒绝服务


拒绝服务攻击的目标不是在未经许可情况下使用仪器或数据,而是要防止合法用户使用它的服务. 拒绝服务攻击可以多种形式. 攻击者可"洪水"网络与消耗大量数据,或故意或稀少的资源有限,如过程控制在区块或网络连接. 他们也破坏身体组成部分的铁路网、数据操纵,包括数据加密. 根本拒绝服务攻击的目的是为了减少制度弹性太大,给它足够的信息迅速处理.


恶意代码


恶意代码是一个统称为节目,当执行,结果可能导致不良的制度. 用户通常并不知道系统的计划,直到他们发现有损坏. 恶意代码包括特洛伊木马马、病毒和寄生虫. 马、木马病毒通常隐藏在合法程序或档案,袭击者改变比预期多. 一批具备自我复制的节目,没有传播人类才开始介入. 病毒也自我复制程序,但通常需要一些行动,无意中传播给其他用户或系统程式. 这类节目可能导致严重的数据丢失、故障、拒绝服务等多种不良后果. 见 防病毒软件 .


苏宁


计算机网络往往对彼此的信任关系. 例如,在执行一些指令,检查了一套电脑档案,在电脑网络的其他规定允许使用的指令. 如果攻击者能伪造自己的身份,显然是利用计算机信任,他们能够获得非法进入其它电脑.


基本型弱点


尽管有不少弱点,今天计算机系统和网络的主要弱点,最容易造成损害的是你:


软件设施公司

不使用认证

大棚不适用

过多开放口岸管理和服务

不包来袭剖析

如此坚持,不核实

缺乏防止恶意代码

软件设施公司


违约是一种操作系统软件安装、应用软件安装使用所有的建筑公司的设计环境. 在安装公司从事电脑软件的数据不正确做法,尤其是当有可能选择的软件有很多人用,如利用电脑或在公共网络服务器.


伺服器安装公司用户. 因此必须:


失去 客人 帐户

失效 人人 Windows组帐户Nt/2000/xp

重要的是根本不会产生daemons(inetd)

管理员帐户改名

树立强烈的管理员帐户密码

不使用认证


认证过程证明谁是你的一个或多个认证系统使用方法. 认证可以根据你所知(如密码),根据您(如智能卡),或根据你是谁(生物等). 大多数组织依靠密码认证通过. 可以比较安全的密码认证方式时产生正确(当然,如果不使用密码EfaultD). 这是令人容易,为人民创造者密码. 如何创造更多的好"强"密码见 有效使用密码 .


大棚不适用


常常对已知的安全问题,不是大棚在不安装应用. 准予,日益复杂的软件商写代码,就变得更难为他们提供必要的大棚跟上. 但服务器和系统管理 要 尽力保持系统补丁. 在信息系统和软件大棚找见 卖主特定大棚 .,过多开放口岸管理和服务


港口标签,确定服务方式,特别是在机器运行. 其中包括港口身份证号码或传输控制协议UDP每包. 服务机是在经营计划要提高警觉,以"听"包,到其它计算机配套的港口号码. 因此,已开放各类口岸服务器你可以走了很多资料. 另外,你的服务器已开放更多的港口,有更多的选择,连接到服务器.


不包来袭剖析


一包 是信息的最小单位,是跨越网络. 全部信息网页,电子邮件等,再细分为包转发. 每包的传输服务的一些港口、寄件人的IP地址,目的地IP地址,一包多. 所有这些都包在传输顺序编号. 分析包来袭让你淘汰包装不符合规定,已建成的网络设备的表接受交通等模仿或包错包利用港口服务. 你也可以用手表的活动表示拒绝服务攻击. 你不能接受的交通网络交通分析通常只有等到有涉嫌违反安全. 先发制人地分析交通网络的功能,通常只进行了极为敏感的数据网络.


0
回复主贴

相关推荐

更多 >>
聚焦 国际 历史 社会 军事 精选
9条评论
点击加载更多

发表评论

更多精彩内容

热门话题

更多

经典聚焦

更多
发帖 向上 向下