[摘要]為了保證合法用戶對(duì)電子資源的正當(dāng)使用，清華大學(xué)圖書館與信息網(wǎng)絡(luò)工程研究中心合作建立電子資源訪問管理與控制系統(tǒng)。介紹電子資源訪問管理和控制系統(tǒng)的設(shè)計(jì)理念與體系結(jié)構(gòu)，系統(tǒng)實(shí)現(xiàn)方法及功能模塊以及系統(tǒng)實(shí)現(xiàn)過程中出現(xiàn)的主要技術(shù)問題和解決方法；提出本系統(tǒng)的應(yīng)用狀況與需要改進(jìn)的工作。
　　[關(guān)鍵詞]電子資源　違規(guī)訪問　訪問管理與控制　過量下載　圖書館應(yīng)用
　　[分類號(hào)]G250.7
　　
　　1　前言
　　
　　近年來，圖書館購(gòu)買的電子資源數(shù)量有大幅度增長(zhǎng)，為學(xué)校的教學(xué)科研提供了豐富的、便捷的信息服務(wù)，受到廣大師生普遍歡迎。但在電子資源的使用過程中，經(jīng)常有少數(shù)讀者發(fā)生大量下載電子資源的行為，被電子資源出版商視為“違規(guī)”下載，受到出版商懲罰；懲罰措施常常是停止某個(gè)IP段或者整個(gè)學(xué)校IP范圍對(duì)某種資源的訪問，使大批正常使用的用戶受到牽連，也敗壞了學(xué)校的聲譽(yù)。杜絕“違規(guī)”下載，保護(hù)電子資源知識(shí)產(chǎn)權(quán)，保證用戶對(duì)電子資源的正當(dāng)使用權(quán)益是圖書館應(yīng)該考慮的問題。清華圖書館與清華大學(xué)信息網(wǎng)絡(luò)工程研究中心研究開發(fā)了電子資源訪問管理與控制系統(tǒng)，對(duì)用戶訪問電子資源進(jìn)行管理和控制。本文介紹電子資源訪問管理與控制系統(tǒng)在清華大學(xué)圖書館的設(shè)計(jì)和應(yīng)用。
　　
　　2　電子資源訪問管理與控制系統(tǒng)的建Or
　　
　　2.1　訪問管理與控制系統(tǒng)需求分析
　　根據(jù)校園網(wǎng)網(wǎng)絡(luò)環(huán)境和電子資源存放位置把需要控制訪問的資源分為兩類：外部資源和內(nèi)部資源。外部資源指的是校外所有數(shù)據(jù)資源的IP地址域；內(nèi)部資源指的是圖書館用于提供數(shù)據(jù)資源的IP地址域。
　　訪問管理和控制系統(tǒng)設(shè)計(jì)應(yīng)該能夠?qū)崟r(shí)監(jiān)視資源使用情況，防止用戶濫用資源；與身份認(rèn)證系統(tǒng)結(jié)合，獲取用戶信息；可以記錄、統(tǒng)計(jì)用戶資源使用情況，應(yīng)該具備高性能并且能夠?qū)崟r(shí)處理千兆數(shù)據(jù)；并且能夠避免單點(diǎn)故障，盡量減少單機(jī)故障對(duì)整套系統(tǒng)運(yùn)行的影響；為便于管理，還應(yīng)該做到界面友好、配置方便。
　　
　　2.2　訪問管理與控制系統(tǒng)體系結(jié)構(gòu)
　　訪問管理和控制系統(tǒng)是用于規(guī)定如何作出訪問決定的系統(tǒng)。訪問管理和控制系統(tǒng)涵蓋電子資源、用戶和訪問行為，通過對(duì)用戶的控制達(dá)到控制對(duì)電子資源訪問的目的。清華大學(xué)圖書館建立的訪問控制系統(tǒng)結(jié)構(gòu)見圖1。
　　
　　從圖1中可以看到，系統(tǒng)通過千兆交換機(jī)的端口鏡像功能把校園網(wǎng)出口的流量轉(zhuǎn)發(fā)到數(shù)據(jù)采集服務(wù)器，數(shù)據(jù)采集服務(wù)器將相關(guān)網(wǎng)絡(luò)數(shù)據(jù)包完整地轉(zhuǎn)發(fā)給數(shù)據(jù)分析服務(wù)器，用戶必須通過校園網(wǎng)出口網(wǎng)關(guān)以后才能訪問圖書館資源，數(shù)據(jù)分析系統(tǒng)統(tǒng)計(jì)訪問信息，做違規(guī)檢查，對(duì)訪問進(jìn)行控制，并做相關(guān)日志。根據(jù)校園網(wǎng)出口網(wǎng)關(guān)的信息，可以對(duì)用戶進(jìn)行追蹤控制。為了防止單點(diǎn)故障，使用兩臺(tái)數(shù)據(jù)分析服務(wù)器主備方式運(yùn)行，當(dāng)主服務(wù)器發(fā)生故障時(shí)，備份服務(wù)器自動(dòng)接管。管理服務(wù)器為管理員提供Web頁(yè)面供查詢和管理，訪問管理與控制系統(tǒng)數(shù)據(jù)采集、數(shù)據(jù)分析、應(yīng)用管理分布在不同服務(wù)器上，協(xié)同工作。
　　
　　3　電子資源訪問管理與控制系統(tǒng)的功能實(shí)現(xiàn)
　　
　　訪問管理與控制系統(tǒng)對(duì)用戶訪問進(jìn)行實(shí)時(shí)監(jiān)控，基于用戶的訪問流量和頻率來判斷用戶行為是否合理。訪問管理與控制系統(tǒng)除了提供訪問控制外，還提供日志分析。日志是通過審計(jì)訪問記錄實(shí)現(xiàn)的，訪問記錄包括用戶訪問了什么資源和進(jìn)行了什么操作。該系統(tǒng)功能主要是通過幾個(gè)功能模塊來實(shí)現(xiàn)的：資源配置模塊、違規(guī)檢查模塊、控制手段模塊、日志分析模塊。下面分別對(duì)這幾個(gè)功能模塊進(jìn)行介紹。
　　
　　3.1　資源配置
　　圖書館管理員可以增加或刪除需要進(jìn)行訪問管理和控制的電子資源，管理員點(diǎn)擊“增加”、“刪除”或者“修改”功能，就可以增加、刪除或者修改數(shù)據(jù)庫(kù)的配置，如圖2所示：
　　
　　配置完成后，需要點(diǎn)擊“更新”，才能使新配置生效。
　　電子資源是通過資源站點(diǎn)的IP或IP段進(jìn)行定位的，給出資源站點(diǎn)所在IP和子網(wǎng)掩碼，就可以精確定位資源站點(diǎn)了，如圖3所示：
　　
　　
　　3.2　違規(guī)檢查
　　訪問管理與控制系統(tǒng)檢查給定時(shí)間內(nèi)用戶所使用的IP地址與所控制的資源站點(diǎn)之間的通訊，本文把某一用戶與某一個(gè)數(shù)據(jù)庫(kù)資源間的通訊稱為一個(gè)“Ses-sion”，它主要用來統(tǒng)計(jì)某用戶對(duì)某數(shù)據(jù)庫(kù)資源的訪問情況，統(tǒng)計(jì)結(jié)果將作為違規(guī)判斷的依據(jù)。如果“Ses-sion”記錄的用戶訪問行為超過指定界限，系統(tǒng)認(rèn)為該用戶此種訪問行為違規(guī)。管理員可以針對(duì)不同電子資源站點(diǎn)所包含的不同文件類型，設(shè)置不同的違規(guī)規(guī)則，并且檢查給定時(shí)間內(nèi)用戶下載文件的個(gè)數(shù)，超過某個(gè)界限，認(rèn)為違規(guī)。系統(tǒng)支持對(duì)于少量違規(guī)和多次違規(guī)給予不同處理。管理員可以根據(jù)違規(guī)次數(shù)和違規(guī)程度的不同，設(shè)置不同的懲罰措施。
　　系統(tǒng)判定違規(guī)的規(guī)則主要有發(fā)包頻率限制，收包頻率限制，出流量限制，人流量限制，下載頻率限制。而且，每種規(guī)則都可以定義三種不同的違規(guī)程度，設(shè)置不同的懲罰級(jí)別。其中，下載頻率限制主要是針對(duì)數(shù)據(jù)庫(kù)全文數(shù)據(jù)進(jìn)行限制，這是本系統(tǒng)所使用的一個(gè)重要規(guī)則。系統(tǒng)對(duì)用戶和資源站點(diǎn)之間已知協(xié)議(目前為http)進(jìn)行分析，分析用戶請(qǐng)求訪問的內(nèi)容，并根據(jù)其中的文件類型判斷用戶為下載或者閱讀。如何定義某個(gè)站點(diǎn)的全文文件類型是一個(gè)比較復(fù)雜的問題，因?yàn)槊總�(gè)數(shù)據(jù)庫(kù)都有不同類型的全文數(shù)據(jù)，而且每個(gè)數(shù)據(jù)庫(kù)發(fā)布系統(tǒng)在全文發(fā)布時(shí)，在系統(tǒng)URL中并沒有明顯特征。本系統(tǒng)對(duì)于資源站點(diǎn)文件類型的定義主要是通過一個(gè)客戶端軟件Privoxy，進(jìn)行本機(jī)代理，這樣，通過本機(jī)發(fā)出和獲取的URL在該軟件記錄上顯示，從這些URL上提取資源站點(diǎn)全文所獨(dú)有的特征，作為訪問管理和控制系統(tǒng)的判斷依據(jù)。某個(gè)數(shù)據(jù)庫(kù)的違規(guī)檢查參數(shù)設(shè)置部分界面見圖4。
　　
　　
　　3.3　控制手段
　　當(dāng)訪問管理與控制系統(tǒng)檢查到用戶有違規(guī)操作時(shí)，系統(tǒng)將向用戶推送一個(gè)“提醒頁(yè)面”，該頁(yè)面顯示用戶違規(guī)訪問的原因和系統(tǒng)采用的控制方法。
　　系統(tǒng)視違規(guī)情節(jié)的輕重，利用清華大學(xué)現(xiàn)有的網(wǎng)絡(luò)控制，采取如下三種控制手段：①凍結(jié)用戶對(duì)某個(gè)數(shù)據(jù)庫(kù)的訪問權(quán)限；②凍結(jié)用戶對(duì)校外網(wǎng)絡(luò)的訪問權(quán)限；③凍結(jié)用戶的網(wǎng)絡(luò)帳號(hào)。管理員可以根據(jù)需要增加、刪除和更改控制手段。 在系統(tǒng)對(duì)用戶進(jìn)行任何操作之前，“提醒頁(yè)面”都會(huì)通知該用戶系統(tǒng)對(duì)他的控制手段，以便用戶了解并規(guī)范自己的訪問行為。為某個(gè)用戶違規(guī)后所獲得的“提醒頁(yè)面”，系統(tǒng)管理員可以根據(jù)需要和用戶的反饋，調(diào)整控制時(shí)間的長(zhǎng)短，如圖5所示：
　　
　　“提醒頁(yè)面”是系統(tǒng)和用戶交互的一個(gè)重要組成部分，系統(tǒng)在后臺(tái)運(yùn)行，對(duì)于用戶來說，是完全不可見的，所以，如果沒有“提醒頁(yè)面”，用戶可能不能判斷無法訪問資源站點(diǎn)的原因所在，系統(tǒng)就不能達(dá)到警告用戶的目的。
　　
　　3.4　日志分析
　　日志分析是系統(tǒng)的一項(xiàng)基本功能，是用戶了解該系統(tǒng)運(yùn)轉(zhuǎn)的重要部分。分析服務(wù)器將信息記錄在Ora-cle數(shù)據(jù)庫(kù)中。用戶的每條記錄包括時(shí)間，源IP，目的 IP，訪問URL。記錄系統(tǒng)檢查到的用戶違反規(guī)則行為及處理手段記錄包括時(shí)間，用戶IP，數(shù)據(jù)庫(kù)代號(hào)，違規(guī)行為代號(hào)，對(duì)應(yīng)規(guī)則編碼，參數(shù)，處理手段代號(hào)。
　　訪問管理與控制系統(tǒng)記錄用戶的每次請(qǐng)求；記錄系統(tǒng)檢查到的用戶違反規(guī)則行為，記錄對(duì)用戶的處理手段。日志記錄保存在數(shù)據(jù)庫(kù)中，以供管理員查詢和統(tǒng)計(jì)。管理員可以按照各種條件對(duì)違規(guī)情況、處罰情況、資源訪問情況進(jìn)行查詢。系統(tǒng)可以按照時(shí)間、資源站點(diǎn)、用戶IP、用戶名或用戶證件號(hào)等等條件查詢電子資源的訪問情況；查詢系統(tǒng)的違規(guī)與處罰記錄，并且根據(jù)違規(guī)與處罰記錄追蹤到具體用戶，系統(tǒng)管理員還可以根據(jù)違規(guī)與處罰記錄是否合理來判定違規(guī)檢查和控制手段是否合理。
　　根據(jù)系統(tǒng)所記錄的日志，系統(tǒng)可以統(tǒng)計(jì)數(shù)據(jù)庫(kù)訪問狀況。系統(tǒng)可以按照IP地址塊分組對(duì)每個(gè)數(shù)據(jù)庫(kù)在單位時(shí)間內(nèi)的人流量、出流量、入包數(shù)、出包數(shù)、下載次數(shù)進(jìn)行統(tǒng)計(jì)，還可以統(tǒng)計(jì)訪問該庫(kù)的IP個(gè)數(shù)，平均每個(gè)IP的訪問情況(入流量、出流量、入包數(shù)、出包數(shù)、下載次數(shù))，最高訪問情況(入流量、出流量、入包數(shù)、出包數(shù)、下載次數(shù))。并且提供圖表方式顯示統(tǒng)計(jì)結(jié)果。系統(tǒng)可以對(duì)數(shù)據(jù)庫(kù)違規(guī)信息進(jìn)行統(tǒng)計(jì)，可以針對(duì)每個(gè)數(shù)據(jù)庫(kù)統(tǒng)計(jì)總的違規(guī)次數(shù)、每種違規(guī)類型發(fā)生的次數(shù)、每種處理手段發(fā)生的次數(shù)、違規(guī)IP地址數(shù)進(jìn)行統(tǒng)計(jì)。系統(tǒng)可以對(duì)IP違規(guī)情況進(jìn)行統(tǒng)計(jì)，指定時(shí)間內(nèi)違規(guī)次數(shù)最高的N(N代表任意整數(shù))個(gè)IP的情況，包括違規(guī)次數(shù)、各種違規(guī)類型、處罰情況等�？梢葬槍�(duì)所有數(shù)據(jù)庫(kù)統(tǒng)計(jì)，也可以針對(duì)一種數(shù)據(jù)庫(kù)統(tǒng)計(jì)。系統(tǒng)可以對(duì)數(shù)據(jù)庫(kù)下載情況進(jìn)行統(tǒng)計(jì)，統(tǒng)計(jì)指定時(shí)間內(nèi)被訪問次數(shù)排名位于前N位的文件、數(shù)據(jù)庫(kù)、源IP及相關(guān)信息。
　　可以看到，系統(tǒng)日志分析模塊非常重要，根據(jù)日志分析，可以獲取所需要的各種統(tǒng)計(jì)信息。
　　
　　4　電子資源訪問管理與控制系統(tǒng)的應(yīng)用及下一步工作
　　
　　從電子資源訪問管理控制系統(tǒng)的結(jié)構(gòu)和功能可以看到，該系統(tǒng)具有以下特征：①系統(tǒng)采用HA架構(gòu)實(shí)現(xiàn)高可靠性：系統(tǒng)支持HA架構(gòu)，當(dāng)主服務(wù)器發(fā)生故障時(shí)，備份服務(wù)器自動(dòng)接管；②系統(tǒng)具有高性能：通過算法設(shè)計(jì)支持千兆線路的處理能力，可以部署多條千兆線路；③系統(tǒng)具有良好的可擴(kuò)展性：各個(gè)功能按照模塊結(jié)構(gòu)設(shè)計(jì)，可以根據(jù)實(shí)際需求靈活部署；④系統(tǒng)具有靈活的參數(shù)配置：管理員可以根據(jù)資源控制需求進(jìn)行參數(shù)配置；⑤系統(tǒng)具有豐富的統(tǒng)計(jì)信息：可以針對(duì)各個(gè)資源、IP范圍、違規(guī)類型、控制手段等各種信息進(jìn)行統(tǒng)計(jì)分析，系統(tǒng)還具有圖表的顯示方式，能夠給管理員提供豐富直觀的信息；⑥系統(tǒng)具有友好的用戶交互：通過給用戶推提示網(wǎng)頁(yè)的方式，提醒用戶系統(tǒng)對(duì)其做過何種操作，避免中斷用戶對(duì)于資源或網(wǎng)絡(luò)的訪問，導(dǎo)致用戶不知所措。
　　系統(tǒng)目前正在清華大學(xué)圖書館運(yùn)行，取得了良好效果，在本系統(tǒng)運(yùn)行之前，曾經(jīng)發(fā)生過出版商對(duì)清華大學(xué)圖書館提出過違規(guī)警告信息。系統(tǒng)運(yùn)行過程中，由于系統(tǒng)本身對(duì)用戶有規(guī)范和警告功能，從而使用戶能夠意識(shí)到自己訪問行為的不當(dāng)，基本杜絕了用戶有意識(shí)的大量下載電子資源的情況。
　　隨著電子資源的增多和用戶的訪問行為改變，電子資源訪問管理控制系統(tǒng)還需要加強(qiáng)和完善。本系統(tǒng)下一步的改進(jìn)工作重點(diǎn)有以下幾個(gè)方面：①增加用戶認(rèn)證功能，用戶認(rèn)證后才能訪問資源數(shù)據(jù)庫(kù)，如果用戶不認(rèn)證，即使其位于合法訪問的IP范圍內(nèi)，也不能訪問數(shù)據(jù)庫(kù)。②增加用戶管理功能，創(chuàng)建用戶庫(kù)，用戶信息中含有證件號(hào)、院系、年級(jí)等。如果需要，還可以按用戶組進(jìn)行數(shù)據(jù)庫(kù)訪問行為分析。同時(shí)，還需要增加對(duì)用戶賬號(hào)的封禁、增刪等管理功能。③從前文敘述可以看到，所有規(guī)則設(shè)置都是基于IP進(jìn)行的，在進(jìn)一步的改進(jìn)工作中，各個(gè)功能模塊都增加按用戶進(jìn)行閾值設(shè)置的規(guī)則。以IP判斷改為以用戶判斷，如果一個(gè)用戶同時(shí)用多個(gè)IP，則合并到一個(gè)用戶上。④增加所有用戶在一定時(shí)間內(nèi)，訪問某個(gè)數(shù)據(jù)庫(kù)達(dá)到一定數(shù)值，則在其后一段時(shí)間內(nèi)對(duì)訪問該數(shù)據(jù)庫(kù)的用戶推警告信息，并給管理員發(fā)送email通知這個(gè)功能。⑤增加系統(tǒng)日志分析模塊中的統(tǒng)計(jì)功能，使系統(tǒng)能夠按用戶屬性(院系、年級(jí)等)進(jìn)行文獻(xiàn)使用統(tǒng)計(jì)。⑥增加每個(gè)數(shù)據(jù)庫(kù)檢索次數(shù)的規(guī)則設(shè)定。
　　可以看到，這些改進(jìn)的工作在規(guī)范用戶訪問行為上將取得更好的效果；在統(tǒng)計(jì)用戶訪問行為上將提供更詳細(xì)的信息。
　　
　　5　結(jié)語(yǔ)
　　
　　圖書館的電子資源越來越多，圖書館為了保護(hù)電子資源的知識(shí)產(chǎn)權(quán)，維護(hù)學(xué)校的聲譽(yù)，也為了保證廣大合法用戶的正當(dāng)權(quán)益，在對(duì)用戶進(jìn)行電子資源知識(shí)產(chǎn)權(quán)教育的同時(shí)，建立電子資源訪問控制和管理系統(tǒng)也是必要的。電子資源訪問控制和管理系統(tǒng)可以規(guī)范用戶的訪問行為，對(duì)有可能被資源提供商視為大量下載電子資源的用戶給予提醒和及時(shí)制止，防止用戶無意識(shí)的違反電子資源知識(shí)產(chǎn)權(quán)。運(yùn)行電子資源訪問控制和管理系統(tǒng)，用戶將更規(guī)范、更有效的使用電子資源。本系統(tǒng)是構(gòu)建在清華大學(xué)網(wǎng)絡(luò)環(huán)境基礎(chǔ)之上，其他圖書館可以根據(jù)自己的網(wǎng)絡(luò)情況，建立適合于本圖書館的電子資源管理和控制系統(tǒng)。

相關(guān)熱詞搜索：控制系統(tǒng) 訪問 設(shè)計(jì) 電子資源訪問管理與控制系統(tǒng)的設(shè)計(jì)及應(yīng)用 汽車電子排擋控制系統(tǒng)設(shè)計(jì) 別克君越電子排擋演示