常春梅

(河南省信息管理學(xué)校，河南鄭州450012)

數(shù)字圖書館信息安全保護(hù)的困境與對策

常春梅

(河南省信息管理學(xué)校，河南鄭州450012)

隨著網(wǎng)絡(luò)化和數(shù)字化的迅猛發(fā)展，以對數(shù)字資源的制作、存儲、管理、傳輸和服務(wù)為主要特征的數(shù)字圖書館，正在逐步取代傳統(tǒng)介質(zhì)的圖書館，并發(fā)揮出更加方便快捷的優(yōu)勢。但是數(shù)字圖書館信息安全面臨著許多困境，如網(wǎng)絡(luò)黑客攻擊、病毒入侵、物理設(shè)備隱患等等，因此，強(qiáng)化技術(shù)和管理雙重保證、走信息安全保護(hù)的困境，必須構(gòu)建成熟的信息安全防御體系和強(qiáng)化管理意識健全管理制度。

數(shù)字圖書館;信息安全;困境;對策

隨著網(wǎng)絡(luò)化和數(shù)字化的迅猛發(fā)展，數(shù)字圖書館隨之產(chǎn)生，成為數(shù)字信息傳播的主要途徑。但作為一種新生事物，在給人們帶來極大便利的同時(shí)，其本身的安全保護(hù)還面臨諸多困境。因此，如何消除隱患，走出困境，這是當(dāng)前迫切需要研究的一個(gè)課題。

一、數(shù)字圖書館信息安全保護(hù)面臨的困境

1．網(wǎng)絡(luò)黑客攻擊。數(shù)字圖書館是一個(gè)和因特網(wǎng)互通的特殊的網(wǎng)絡(luò)系統(tǒng)，因此遭遇網(wǎng)絡(luò)黑客的攻擊在所難免。黑客攻擊方式分為主動攻擊和被動攻擊兩類，主動攻擊指通過各種方式有選擇地破壞信息，如篡改、刪除、擾亂秩序、隨意添加等行為。被動攻擊指的是在不影響正常使用的條件下，截獲、竊取信息。對于數(shù)字圖書館的信息安全來說，黑客攻擊的內(nèi)容有:第一，竊取數(shù)據(jù)。隨著有償數(shù)字服務(wù)的開展，特色數(shù)字館藏和巨資購買的數(shù)據(jù)庫資源都會成為黑客竊取的目標(biāo)。第二，惡意破壞。黑客出于某種不可告人的目的，通過傳遞病毒對網(wǎng)絡(luò)設(shè)備和信息進(jìn)行攻擊或發(fā)送大量的垃圾郵件信息，造成圖書館的服務(wù)中斷。另外，黑客還有可能直接侵入圖書館的文件服務(wù)器，刪除、篡改數(shù)據(jù)，導(dǎo)致系統(tǒng)癱瘓，甚至造成不可逆的系統(tǒng)崩潰。第三，非法使用網(wǎng)絡(luò)資源。黑客通過對圖書館網(wǎng)絡(luò)系統(tǒng)的控制，能夠無限制地使用圖書館的資源而不需要交付任何費(fèi)用。數(shù)字圖書館開展的有償服務(wù)對傳統(tǒng)的圖書館體制改革是一個(gè)巨大的沖擊，而一旦這些有償服務(wù)信息資源被無償使用，圖書館將收不到費(fèi)用而無法付給數(shù)字文獻(xiàn)作者應(yīng)有的報(bào)酬，數(shù)字圖書館的建設(shè)將會受到嚴(yán)重影響。

2．病毒入侵。計(jì)算機(jī)病毒是一種人為制造的、隱藏在計(jì)算機(jī)系統(tǒng)數(shù)據(jù)資源中的、能夠自我復(fù)制進(jìn)行傳播并對計(jì)算機(jī)系統(tǒng)進(jìn)行破壞的程序，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點(diǎn)。特別是通過寬帶網(wǎng)泛濫的速度之快、蔓延之廣、危害之大，為有史以來任何一種公害所無可比擬的，幾乎80%的計(jì)算機(jī)用戶都受到過來自網(wǎng)絡(luò)上的病毒攻擊。很多學(xué)校的圖書館在遭受病毒破壞后，會造成系統(tǒng)癱瘓，給學(xué)習(xí)工作帶來很大的不便，病毒已經(jīng)成為校園網(wǎng)絡(luò)安全的潛在威脅。病毒的危害主要有:第一，病毒通過格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件等手段，達(dá)到破壞計(jì)算機(jī)數(shù)據(jù)信息的目的。第二，一些文件型病毒傳染速度很快，在短時(shí)間內(nèi)感染大量文件，使每個(gè)文件都不同程度地加長，造成磁盤空間的嚴(yán)重浪費(fèi)。第三，病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，使某些軟件不能正常運(yùn)行。第四，有些病毒(如CIH病毒)通過改寫B(tài)IOS中的內(nèi)容，使主板遭到毀滅性的破壞。第五，病毒通過自我復(fù)制傳染到正在運(yùn)行的系統(tǒng)，并與其爭奪系統(tǒng)資源，很可能會導(dǎo)致圖書館的網(wǎng)絡(luò)系統(tǒng)癱瘓。

3．物理設(shè)備隱患。物理設(shè)備指的是網(wǎng)絡(luò)連接需要的交換機(jī)、路由器、服務(wù)器、網(wǎng)絡(luò)終端、電源等，由于其位置安放比較分散，因此，給管理造成很大難度。而物理設(shè)備隱患主要是指這些網(wǎng)絡(luò)所需的硬件設(shè)備遭到破壞或出現(xiàn)故障。這些故障主要分為兩種情況，硬件自身故障和使用故障。硬件自身故障指的是由于硬件本身的元器件損壞造成的故障，使用故障指的是由于使用過程中的錯(cuò)誤操作造成的設(shè)備故障。數(shù)字圖書館提供的是全天候的服務(wù)，支持其運(yùn)行的服務(wù)器、路由器、交換機(jī)負(fù)荷過大，容易出現(xiàn)故障，造成設(shè)備損壞。另外，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)對外部環(huán)境也有要求。外部環(huán)境不符合標(biāo)準(zhǔn)也會對圖書館的信息安全造成一定的危害。如，圖書館網(wǎng)絡(luò)控制中心機(jī)房場地和工作站安置環(huán)境不符合要求，機(jī)房設(shè)計(jì)不合理，電源質(zhì)量差，溫度、濕度不適應(yīng)以及無抗靜電、抗磁場干擾等設(shè)施，這些都是網(wǎng)絡(luò)信息系統(tǒng)的不安全因素。

4．網(wǎng)絡(luò)配置安全。網(wǎng)絡(luò)配置安全指的是對取得硬件設(shè)備的使用權(quán)而進(jìn)行的相關(guān)設(shè)置，如服務(wù)器、防火墻、路由器等的密碼，如果密碼設(shè)置得過于簡單，極有可能被他人猜對進(jìn)行篡改，從而獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，進(jìn)行私自改動設(shè)備的配置，造成網(wǎng)絡(luò)運(yùn)行障礙，嚴(yán)重時(shí)甚至?xí)斐上到y(tǒng)癱瘓。網(wǎng)絡(luò)安全設(shè)備和技術(shù)并不是萬能的，過分依賴會適得其反。例如，防火墻就有明顯的局限，第一，難防內(nèi)部攻擊。防火墻很難防止內(nèi)部人員對網(wǎng)絡(luò)的攻擊，而網(wǎng)絡(luò)的攻擊卻大多都來自于內(nèi)部。第二，難防程序漏洞，易被人利用。第三，難配置管理。防火墻管理和配置比較復(fù)雜，需要有相當(dāng)?shù)膶I(yè)知識，否則，不當(dāng)?shù)呐渲煤驮O(shè)定也會造成隱患。

5．人為因素。數(shù)字圖書館擁有功能非常強(qiáng)大的網(wǎng)絡(luò)信息系統(tǒng)和最先進(jìn)的安全技術(shù)設(shè)施，但卻有可能緣于人而產(chǎn)生失誤，致使安全管理存在諸多隱患和不足，從而導(dǎo)致數(shù)字圖書館網(wǎng)絡(luò)信息系統(tǒng)面臨一系列信息安全問題。有一項(xiàng)調(diào)研數(shù)據(jù)顯示，2009年我國30家數(shù)字圖書館發(fā)生的信息安全事件中，三分之一是由安全管理機(jī)制不夠完善引起的，而在事件發(fā)生原因中，管理因素高達(dá)70%以上?？梢?，安全管理上的缺失已成為數(shù)字圖書館整個(gè)網(wǎng)絡(luò)信息系統(tǒng)不安全因素中的主要因素之一，對數(shù)字圖書館產(chǎn)生的危害遠(yuǎn)大于其他方面。當(dāng)前在管理方面存在的主要問題有:第一，圖書館管理者的安全管理理念的滯后，對安全管理的重要性缺乏深層的認(rèn)識，導(dǎo)致決策上的失誤或管理不足，給數(shù)字圖書館的網(wǎng)絡(luò)信息安全帶來不可估量的損失。第二，信息安全責(zé)任人的責(zé)任分配不清楚。圖書館管理者制定的員工崗位責(zé)任書，責(zé)任劃分不明、工作內(nèi)容描述不清，導(dǎo)致館員不清楚應(yīng)在什么范圍和限度內(nèi)對自己的職業(yè)行為負(fù)有責(zé)任，應(yīng)該承擔(dān)何種責(zé)任和義務(wù)，致使出現(xiàn)安全管理問題時(shí)，不是相互推諉，就是聽之任之。第三，不重視對高素養(yǎng)、高技能安全管理技術(shù)人才的引進(jìn)與培養(yǎng)，一些圖書館的館內(nèi)安全管理工作多為業(yè)務(wù)培訓(xùn)，缺乏全面的安全管理知識和技能，對不斷發(fā)展的新技術(shù)缺少深入和細(xì)致的了解和掌握，應(yīng)付網(wǎng)絡(luò)安全突發(fā)事件的能力不強(qiáng)。

二、強(qiáng)化技術(shù)和管理雙重保證，走出信息安全保護(hù)的困境

網(wǎng)絡(luò)安全是一個(gè)整體性很強(qiáng)的體系，包括技術(shù)、管理、人員等多個(gè)環(huán)節(jié)，保護(hù)信息安全需要標(biāo)本兼治，綜合解決。

1．構(gòu)建成熟的信息安全防御體系。第一，加強(qiáng)安全技術(shù)的研究與應(yīng)用。一是數(shù)據(jù)加密。數(shù)據(jù)加密過程由眾多具體的加密方法實(shí)現(xiàn)，常用的有兩種:對稱密鑰加密法和公共密鑰加密法。數(shù)據(jù)加密主要分為數(shù)據(jù)傳輸、存儲、數(shù)據(jù)完整性鑒別及密鑰管理等幾方面。二是入侵檢測技術(shù)(IDS)。該技術(shù)用于保護(hù)應(yīng)用網(wǎng)絡(luò)連接的主要服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接和非法訪問的闖入，并對各種入侵行為立即做出反應(yīng)，如斷開網(wǎng)絡(luò)連接等。三是誘捕反擊。通過故意設(shè)置含有某種漏洞且令入侵者感興趣的系統(tǒng)來耗費(fèi)入侵者的精力，并誘使入侵者不斷深入以獲得更進(jìn)一步的入侵特征和證據(jù)。反擊是在系統(tǒng)發(fā)現(xiàn)入侵行為時(shí)采取的各種防衛(wèi)手段。四是VPN虛擬專用網(wǎng)絡(luò)基于Internet等公用開放的傳輸媒體，通過加密和認(rèn)證等安全機(jī)制建立虛擬的數(shù)據(jù)傳輸通道，以保障在公共網(wǎng)上傳輸私有數(shù)據(jù)信息的安全，從而向用戶提供相當(dāng)于專用網(wǎng)絡(luò)的安全服務(wù)，目前已廣泛應(yīng)用于電子政務(wù)、電子商務(wù)等領(lǐng)域。第二，堵塞系統(tǒng)漏洞。系統(tǒng)漏洞又分為操作系統(tǒng)漏洞和應(yīng)用系統(tǒng)漏洞。數(shù)字圖書館使用的操作系統(tǒng)或多或少都存在系統(tǒng)漏洞，對網(wǎng)絡(luò)信息安全造成了威脅。因此，數(shù)字圖書館管理維護(hù)人員要時(shí)刻關(guān)注微軟官方網(wǎng)站的動態(tài)，并及時(shí)為系統(tǒng)安裝補(bǔ)丁，升級程序。對于系統(tǒng)方面存在的漏洞，可以采取使用補(bǔ)丁的方式對漏洞進(jìn)行修復(fù)，而對于應(yīng)用系統(tǒng)的安全設(shè)置，則需要在系統(tǒng)建立之前就對相關(guān)配置做好研究和優(yōu)化，提前降低安全隱患的發(fā)生率。第三，制訂應(yīng)急處理計(jì)劃。做好備份和恢復(fù)是圖書館網(wǎng)絡(luò)安全的后方陣地。一旦發(fā)生安全事故，能盡量地減少損失，根據(jù)事先制訂的應(yīng)急處理計(jì)劃，在最短時(shí)間內(nèi)恢復(fù)正常的通信和服務(wù)。要實(shí)現(xiàn)這一理想狀況的前提就是平時(shí)做好系統(tǒng)的備份，包括數(shù)據(jù)備份、配置備份等，并充分測試備份的有效性，這樣才能在突發(fā)安全事件時(shí)做到有備無患。第四，嚴(yán)格管理網(wǎng)絡(luò)配置使用權(quán)限。網(wǎng)絡(luò)的安全問題很大程度上是由使用權(quán)限決定的，在網(wǎng)絡(luò)運(yùn)行范圍內(nèi)執(zhí)行越權(quán)操作就很容易對網(wǎng)絡(luò)安全帶來隱患，因此，科學(xué)管理網(wǎng)絡(luò)用戶的賬號及權(quán)限是保證數(shù)字圖書館信息安全的重要保證。為此，我們可以從做好以下幾方面的工作:一是科學(xué)分配網(wǎng)絡(luò)使用者的權(quán)限;二是限制高權(quán)限用戶的數(shù)量，用戶越多，漏洞越多;三是網(wǎng)絡(luò)管理員要對網(wǎng)絡(luò)用戶及其賬號進(jìn)行統(tǒng)一管理;四是賬戶密碼不可設(shè)置的過于簡單;五是網(wǎng)絡(luò)管理員賬戶要設(shè)定專人使用，不可隨意轉(zhuǎn)借給他人;六是限制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)權(quán)限的使用時(shí)間。

2．強(qiáng)化管理意識，健全管理制度。第一，加強(qiáng)網(wǎng)絡(luò)信息安全教育與培訓(xùn)，樹立安全責(zé)任意識。針對圖書館館員以及讀者安全意識淡薄、安全措施不落實(shí)等現(xiàn)狀，組織開展多層次、多方位的網(wǎng)絡(luò)信息安全宣傳工作。要加大對安全防范措施檢查的力度，開展崗前培訓(xùn)、現(xiàn)場網(wǎng)絡(luò)安全教育與技能培訓(xùn)，定期或不定期舉辦網(wǎng)絡(luò)信息安全教育與技能培訓(xùn)講座，促使館員熟知圖書館相關(guān)的安全管理規(guī)章制度，掌握相關(guān)設(shè)備的正確操作規(guī)程，以及確保系統(tǒng)和數(shù)據(jù)安全的操作方法。第二，強(qiáng)化制度建設(shè)，提高制度執(zhí)行力。一是建立健全圖書館信息安全管理制度。數(shù)字圖書館要不斷根據(jù)網(wǎng)絡(luò)信息安全發(fā)展中出現(xiàn)的新問題、新情況，對不合時(shí)宜的制度及時(shí)進(jìn)行修正和補(bǔ)充。制度完善不能盲目跟風(fēng)，各個(gè)圖書館必須結(jié)合自身特點(diǎn)，不斷總結(jié)制度建設(shè)中的經(jīng)驗(yàn)教訓(xùn)，改革創(chuàng)新完善制度建設(shè)的內(nèi)容，力求實(shí)現(xiàn)制度的可持續(xù)發(fā)展。技術(shù)研發(fā)部門要建立信息安全管理制度，并嚴(yán)格按照規(guī)定執(zhí)行，規(guī)范各項(xiàng)工作的操作程序，控制技術(shù)人員的使用權(quán)限，建立并完善硬件和軟件管理制度、安全防護(hù)制度、審核制度等，在規(guī)范的制度保證下實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的正確開發(fā)。特別是必須建立監(jiān)督審計(jì)機(jī)制，強(qiáng)化責(zé)任監(jiān)督，確保網(wǎng)絡(luò)信息安全管理效能。數(shù)字圖書館安全防護(hù)體系要做到“事前防范、事中控制、事后審計(jì)”，在制度上就必須做出預(yù)先的安排，以檢測危機(jī)事件，并作出預(yù)警準(zhǔn)備，以事前預(yù)防和控制替代事后的責(zé)任威懾。設(shè)立專門的主管部門，通過網(wǎng)絡(luò)信息安全主管部門這一監(jiān)督主體，加大對安全管理制度的監(jiān)督審計(jì)，通過及時(shí)修正完善各項(xiàng)安全管理規(guī)章制度，加強(qiáng)對安全工作的督查檢查，以提高相關(guān)工作人員遵章守紀(jì)的安全意識。二是提高制度的執(zhí)行力。首先，要強(qiáng)化制度認(rèn)知。對制度有準(zhǔn)確認(rèn)知，制度才有可能落在實(shí)處。為此，數(shù)字圖書館要特別組織相關(guān)負(fù)責(zé)人員及館員認(rèn)真學(xué)習(xí)相關(guān)的政策、法律法規(guī)和安全管理規(guī)章制度，使他們對制度的實(shí)現(xiàn)目標(biāo)、內(nèi)容、作用、邊界等準(zhǔn)確認(rèn)知。如，明確崗位職責(zé)，使每一位管理人員按照自己的崗位和職權(quán)管理使用系統(tǒng)。其次，增強(qiáng)對制度認(rèn)同。通過自主學(xué)習(xí)、教育培訓(xùn)、有針對性的實(shí)踐活動不斷提高制度主體的素質(zhì)，提高執(zhí)行制度能力水平，從而增強(qiáng)全體館員特別是安全管理技術(shù)人員對管理制度中包含操作規(guī)程、技術(shù)要求、安全條例等內(nèi)容的硬性管理規(guī)章制度的認(rèn)同。如，對系統(tǒng)安全責(zé)任與監(jiān)管制度、重要軟件系統(tǒng)和關(guān)鍵硬件設(shè)備的操作制度、系統(tǒng)管理人員、操作人員責(zé)任制度、用戶權(quán)限分配和管理制度、系統(tǒng)災(zāi)難應(yīng)急預(yù)案及事故責(zé)任認(rèn)定和責(zé)任追究制度等制度的認(rèn)同。再次，堅(jiān)持說服教育與強(qiáng)制執(zhí)行相結(jié)合，綜合利用多種執(zhí)行手段，有效地推動制度執(zhí)行。

［責(zé)任編輯 徐 寧］

G250．76

A

1671－6701(2012)03－0082－03

2012－05－10

常春梅(1975－)，女，河南民權(quán)人，本科，河南省信息管理學(xué)校助理館員。