數字圖書館是伴隨著數字技術和網絡技術發展起來的，從總體上說，支撐數字圖書館的關鍵技術主要有信息處理、信息存儲和信息傳輸三個方面。這種由新技術所帶來的新的信息資源形態（數字化）和新的信息資源使用方式（網絡傳輸），必然存在許多網絡隱患，易受網絡黑客攻擊。目前大部分數字圖書館的信息服務器主要采用Web界面和基于TCP/IP協議的信息技術系統。其程序的基本構架基于Client-Server (客戶機-服務器)結構，服務器端一般用Winnt4.0或者Windows 2000 Advance Server (現在以后一種為多)，并且多數系統要求安裝使用IIS服務器（Internet Information Servers）。眾所周知， Windows系列是Microsoft公司的產品， 以圖形化界面和易操作聞名， 但也存在數之不盡的安全漏洞。

數字圖書館購置的數字化文獻數據庫如重慶維普《中國科技期刊全文數據庫》(簡稱VIP)、清華《中國學術期刊全文數據庫》（簡稱CNKI），要求在Windows 2000 環境下運行。如果圖書館工作人員在安裝Windows 2000 時，只選擇默認方式安裝，而不進行正確的安全配置的話，其安全性幾乎等于零。鑒于此，筆者對數字圖書館服務器的一些基本網絡安全及其配置提出自己的一些看法和建議，供同仁參考。

1組件的安裝和定制

windows 2000在默認情況下會安裝一些常用的組件，但是正是這個默認安裝是極度危險的。美國最著名的“黑客”米特尼科說過，他可以進入任何一臺默認安裝的服務器。筆者認為應該先了解有關數據庫運行與提供服務的功能，只安裝確實需要的服務。根據一般安全原則：最少的服務+最小的權限=最大的安全，典型的Web服務器需要的最小組件選擇是：只安裝IIS的Common Files，IIS Snap-In，WWW Server組件。目前大多數圖書館使用的信息檢索系統（VIP，CNKI）只需要安裝IIS即可。

如果你確實需要安裝其他組件，請慎重，特別是：Indexing Service， FrontPage 2000 Server Extensions， Internet Service Manager (HTML)這幾個危險服務，極易留下安全隱患。

2分區和邏輯盤的分配

有一些技術人員為了省事，將硬盤僅分為一個邏輯盤，所有的軟件都裝在C驅上，這是很不科學的，建議最少建立兩個分區，一個系統分區，一個應用程序分區，這是因為，微軟的IIS經常會有泄漏源碼/溢出的漏洞，如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取Administrator（超級管理員賬號）。推薦的安全配置是建立三個邏輯驅動器，第一個大于2GB，用來裝系統和重要的日志文件，第二個放IIS，第三個放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。要知道，IIS和FTP是對外服務的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者通過FTP上傳程序并在IIS中運行。

3補丁的更新

尼姆達病毒正是利用了Windows 的一系列網絡安全漏洞進行傳播，它的破壞力也是有目共睹的。IIS6.0版服務器不容易感染上尼姆達病毒，但是IIS5.0及其更早版本要注意及早下載Q269862(微軟提供的防尼姆達病毒補丁名) 。同尼姆達病毒同樣臭名昭著的紅色代碼也是如此，可以打上微軟的Q300972補丁，或者可以給整個操作系統打上最新的Windows 2000 advance SP3 補丁，但請注意有些數據庫并不支持最新的SP3，我們只能下載單獨補丁補上安全漏洞。另外，補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換/修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。

4端口的設置

端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全。一般來說，僅打開你需要使用的端口會比較安全。配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選。不過對于Windows 2000的端口過濾來說，有一個不好的特性：只能規定開哪些端口，不能規定關閉哪些端口，這樣對于需要開大量端口的數據庫系統運行就比較麻煩，碰上這種情況應該跟有關數據庫廠商協調，共同解決問題。

5IIS漏洞的解決方案

IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點。首先，把C盤Inetpub目錄徹底刪掉，在D盤建一個Inetpub（要是你不放心用默認目錄名也可以改一個名字，但是自己要記得），在IIS管理器中將主目錄指向D:＼Inetpub。 其次，將IIS安裝時默認的scripts等虛擬目錄一概刪除，如果需要什么權限的目錄可以自己慢慢建，需要什么權限開什么。特別注意寫權限和執行程序的權限，沒有絕對的必要千萬不要開。

6MS SQL Server 的配置

清華CNKI全文數據庫要求安裝MS SQL Server。在安裝MS SQL Server后，MS SQL Server會產生一個默認的SA（System Admin）用戶，而且初始密碼在管理員沒有設置的情況下為空。但是SA是SQL Server中非常重要的安全模塊成員，這樣一來黑客們就可以通過SQL Server的客戶端進行數據庫遠程鏈接，然后再通過SQL的遠程數據庫管理命令Xp_cmdshell stored procedure(擴展存儲過程)來進行命令操作，命令格式如下：

Xp_cmdshell "net user id password /add"

Xp_cmdshell "net localgroup Administrators id /add"

根據以上兩條簡單的命令，入侵者就能在MS SQL Server的服務器上立即新建一個管理員級別的Administrators組的用戶。需要提醒圖書館網管技術人員的是，在安裝好SQL Server后，您需要做的第一件事就是把SA的空密碼立即進行設置，然后打上SP3。這里需要特別強調的是，一定要經常留意微軟最新的補丁包文件，并且注意及時給系統和軟件打最新的補丁。

7賬號管理

Windows 2000的賬號安全是另一個重點。首先，Windows 2000的默認安裝允許任何用戶通過空用戶得到系統所有賬號和共享列表，這個本來是為了方便局域網用戶共享文件的，但是一個遠程用戶也可以得到你的用戶列表并使用黑客軟件用暴力法破解用戶密碼。很多網管技術人員都知道可以通過更改注冊表中的Local_Machine＼System＼CurrentControlSet＼Control＼LSA-RestrictAnonymous = 1。來禁止139空鏈接，實際上Windows 2000的本地安全策略（如果是域服務器就是在域服務器安全和域安全策略中）就有這樣的選項RestrictAnonymous（匿名鏈接的額外限制），這個選項有三個值：

0：None. Rely on default permissions（無，取決于默認的權限）

1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享）

2：No access without explicit anonymous permissions（沒有顯式匿名權限就不允許訪問）

“0”這個值是系統默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網絡傳輸列表（NetServerTransportEnum）等等，對服務器來說這樣的設置非常危險。“1”這個值是只允許合法的用戶存取SAM賬號信息和共享信息。“2”這個值是在windows 2000中才支持的，需要注意的是，如果你一旦使用了這個值，將杜絕所有的共享，使一些數據庫無法正常運行，筆者建議設為1較佳。

其次，系統內建的administrator也是一個漏洞（容易被黑客用暴力法破解），我們還應該加以修改，系統管理員可以在服務器上的計算機管理―〉用戶賬號中右擊administrator然后改名，改什么都可以，只要能記得住就行。同時不可忽略的是選擇密碼要足夠長，且要定期更換。

第三，即使系統管理員做了以上兩點，對于防范技高的黑客仍然還不夠，因為黑客還可以通過本地或終端登陸界面看到所需要的信息。我們可以再將注冊表做如下修改：

①HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon項中的Don"t Display Last User Name串數據改成1，這樣系統不會自動顯示上次的登錄用戶名。

②HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon項中的Don"t Display Last User Name串數據修改成1，隱藏上次登陸控制臺的用戶名。

綜上所述，數字圖書館通過海量存儲服務器，依托網絡環境進行數字化文獻的檢索和傳輸，服務器的安全防范措施必不可少。目前較流行的服務器操作系統Windows 2000 Advance Server 存在許多的漏洞和易被攻擊的問題。而大多數攻擊又是屬于一般性攻擊，基于網絡安全人員對服務器的不正確配置，密碼問題，和沒有及時更新最新補丁。黑客們可以使用黑客程序自動掃描發現有這些漏洞的服務器并對它發動攻擊。筆者認為認真執行上述的幾點措施及日后及時打Windows 2000 補丁和定期更換密碼（要有一定的長度和復雜性），那么數字化圖書館的網絡安全率就可以達到85%左右。