王彥慈

(河南牧業(yè)經(jīng)濟學院圖書館 河南 鄭州 450000)

圖書館數(shù)字資源安全管理模式與實踐

王彥慈

(河南牧業(yè)經(jīng)濟學院圖書館 河南 鄭州 450000)

隨著數(shù)字資源在圖書館館藏資源占比越來越高，對數(shù)字資源的安全管理也成為圖書館所必須考慮的問題。目前圖書館在數(shù)字資源管理上存在著防范意識薄弱、館員防災訓練不足、數(shù)字資源缺乏備份等缺陷，需要做出很多改進。圖書館應當從數(shù)字環(huán)境出發(fā)，制定有效的防范計劃，落實防范措施，加強館員的災害意識和處理訓練，從而實現(xiàn)對災害的有效預防，災后的有效應對。

圖書館數(shù)字資源；數(shù)字資源安全管理；數(shù)字資源安全管理實踐

1 威脅圖書館數(shù)字資源安全的因素

圖書館的安全管理，指的是為了保證圖書館館藏資源的安全所采取的一系列的方法和措施，圖書館安全在圖書館管理工作中具有十分重要的地位，尤其是隨著數(shù)字化信息資源日益豐富，圖書館自動化管理日益完善，數(shù)字化館藏資源和數(shù)據(jù)安全也成為圖書館安全管理要面對的新的問題。與傳統(tǒng)紙質資源相比，數(shù)字資源面臨的威脅更加復雜，既有來自于外部環(huán)境的威脅，也有新技術應用帶來的隱患。根據(jù)災害產(chǎn)生的原因，大致可分為以下幾類：

(1)傳統(tǒng)災害

傳統(tǒng)災害主要指數(shù)字資源所面臨的各種外部自然災害，包括水災、火災、地震、雷擊以及生物原因(如：鼠害、昆蟲啃咬)等對基礎設施、存儲和服務設備等硬件造成的直接損害[1]。這些傳統(tǒng)形式的災害對圖書館存儲的數(shù)字資源具有較大的危害性，一旦發(fā)生，所造成的損失一般都是不可逆轉的。

(2)技術災害

技術災害主要指因為意外事故或技術故障所造成的軟硬件的損害。如:電力故障造成電子設備突然停止運轉、不正確關機造成軟件的損壞等。這些災害通常會造成信息部分或短暫性損失，有時也會造成存儲信息的永久損失。

(3)人為災害

人為災害主要是指人有意識的行為所造成的損害，這類災害在圖書館數(shù)字資源災害中所占的比重最大，且呈上升的趨勢，如：計算機病毒擴散，電腦黑客襲擊等造成的損失，這些網(wǎng)絡襲擊往往具有很大的隱蔽性，不易發(fā)現(xiàn)危害卻極大，甚至可能造成整個圖書館數(shù)據(jù)資源的損失和網(wǎng)絡服務系統(tǒng)的癱瘓。

2 圖書館數(shù)字資源安全管理的現(xiàn)狀和問題

2.1 圖書館數(shù)字資源安全管理的現(xiàn)狀

數(shù)字資源安全的重要性已經(jīng)得到圖書館的廣泛重視。各圖書館也采取了許多措施加強數(shù)字資源的安全管理，主要有以下幾個方面：(1)在人員監(jiān)管和制度制定方面，加強對讀者和工作人員的監(jiān)管，編訂了嚴格的管理制度，規(guī)范數(shù)字資源管理和使用行為。有的圖書館(如：南京農(nóng)業(yè)大學圖書館)按照目前國際上最為通行的信息安全管理體系指導標準ISO27000信息安全管理標準對圖書館數(shù)字資源進行安全管理[2]；(2)在硬件管理方面，圖書館普遍將服務器、交換機、磁盤列陣等關鍵數(shù)字設備單獨存儲，并且進行嚴格的管理，存儲地點有更完善的防水、防火、防盜系統(tǒng)和為防止突然斷電而設立的UPS電源，為圖書館的數(shù)字資源硬件設施提供安全的環(huán)境；(3)在軟件管理方面，安裝防火墻、殺毒軟件、網(wǎng)絡監(jiān)控軟件等，防止因網(wǎng)絡入侵或不當操作而造成數(shù)字資源的損失，技術人員定期對數(shù)字資源的管理系統(tǒng)進行檢查和優(yōu)化，保證圖書館資源和管理系統(tǒng)的順利運行。

2.2 圖書館數(shù)字資源安全管理存在的問題

(1)數(shù)字資源安全管理計劃不完善

目前，大部分圖書館的災害應對計劃主要針對館藏設備、圖書等硬件設施，而在軟件和數(shù)據(jù)資源災害預防和應對上沒有充分準備。第一，大部分圖書館的災害預防計劃主要局限于紙質館藏和硬件設備的災害預防和日常維護、讀者的疏散等，缺少了災害發(fā)生時如何保護數(shù)字化資源和軟件設施的相關預防計劃；第二，很多災害預防和處理計劃多流于形式，未普及至到基層館員，很多館員并不了解具體內(nèi)容，也不熟悉實際操作。如：2009年溫嶺市圖書館遭遇黑客攻擊，致使圖書館主頁無法正常打開，直到收到讀者的反饋，圖書館才得知此事，并花費較長的時間才讓技術人員解決該問題[3]，說明該圖書館在數(shù)據(jù)資源安全預防和管理措施存在缺陷，且針對災害處理方面的人員訓練有限。

(2)圖書館數(shù)字資源備份不足

圖書館普遍都意識到數(shù)據(jù)備份的重要性，但由于技術、經(jīng)費等原因很多圖書館對數(shù)字資源并沒有做到充分備份。筆者調(diào)查發(fā)現(xiàn)，有的圖書館沒有任何備份，一旦災害發(fā)生，數(shù)據(jù)資源的損失將無法挽回。有的圖書館做了數(shù)據(jù)備份，但備份存儲的距離很近，有些備份甚至就在館內(nèi)的工作計算機中。這樣備份其實并不安全，一旦遭遇災難很有可能受到波及，很多時候無法起到挽救數(shù)字資源的目的。

(3)館員對數(shù)字資源災害處理的措施和訓練不足

根據(jù)調(diào)查，圖書館數(shù)字資源災害很多都是人為錯誤而造成的[5]。一是館員災害防范意識較差，館員在日常信息處理過程中常有不規(guī)范的操作行為，不重視數(shù)字資源的安全保護；二是不重視對館員進行災害預防和處理的訓練，很多館員并不熟悉當數(shù)字災害發(fā)生時應如何處理；三是不注意對數(shù)字資源安全狀況進行定期檢測，造成非法入侵和病毒侵害卻沒有及時發(fā)現(xiàn)處理。

3 圖書館數(shù)字資源安全管理模式

3.1 建立完善的數(shù)字資源安全管理模式

數(shù)字資源的任何事故都可能引發(fā)一場“災難”。圖書館要有完整明確的預防計劃，館員在平時工作中要有災害預防意識，在災害發(fā)生時及時應對，在災害發(fā)生后進行有效的資源恢復，因此，完善的數(shù)字資源安全管理模式，可以分為制定防范計劃、災害預防、災害應對、災后恢復四個部分。如圖1所示。

(1)災害防范計劃：制定數(shù)字資源災害整體防范和糾正計劃，包括對圖書館的數(shù)字災害風險進行詳細分析，制定預防具體工作計劃，制定應對災害的緊急預案，規(guī)范災害處理程序。

(2)災害預防：根據(jù)災害防范計劃，開展各項災害預防工作，包括人員培訓、數(shù)字資源備份、建立數(shù)字防火墻、定期軟硬件檢查等。

(3)災害應對：災害發(fā)生時，啟動災害應對的緊急預案，根據(jù)實際情況和既定計劃對數(shù)字資源進行保護和搶救。

(4)災后恢復：災害發(fā)生后，結合實際情況和既定計劃，根據(jù)災害的損失程度和損失內(nèi)容，提取數(shù)據(jù)資源備份，對圖書館數(shù)字資源進行恢復。

3.2 制定災害防范計劃

提前制定一個完善的災害防范計劃，能大大降低災害發(fā)生的可能性。災害發(fā)生時，有效的計劃和得力的執(zhí)行也會盡可能的減少災害損失。從國內(nèi)外數(shù)字資源安全管理的經(jīng)驗來看，災害防范計劃可以按照以下的步驟制定。

(1)對數(shù)字資源環(huán)境和可能存在的安全隱患進行評估，列出可能遇到的災害和需要重點保護的對象。由于每個圖書館所遇到的數(shù)字安全環(huán)境，如：硬件環(huán)境、訪問人數(shù)、保密級別、人員配置、軟件陪伴、經(jīng)費要求等，并不完全相同，其防護重點和措施也各有所側重，準確的評估可以做到有的放矢，針對自身的安全特點、人員配置和經(jīng)費要求做出不同的選擇，做出可靠、準確、具體的安排。

圖1 數(shù)字資源安全管理模式

(2)根據(jù)評估結果列出相關的計劃，包括設備保護計劃、數(shù)據(jù)保護計劃、災害預防和處理計劃等。設備和數(shù)據(jù)保護計劃目的是避免災害的發(fā)生，例如：館員平時的安全訓練、數(shù)據(jù)資源備份、系統(tǒng)的檢測和維護等方面內(nèi)容；而災害發(fā)生后的應急預案，是在災害發(fā)生后能夠盡可能挽救損失，包括對于不同職位館員的應對預案、數(shù)據(jù)資源恢復、備份數(shù)據(jù)資源的提取、災害損失的評估等方面。

實踐證明，制定和執(zhí)行良好的計劃既可以減少災害所帶來的損失，也能盡可能減少數(shù)據(jù)資源的損失。如在印度，數(shù)字資源在圖書館資源中占有很高的比例，位于孟買的鉆石管理及技術咨詢(印度)圖書館(Diamond Management & Technology Consultants (India) Library)和塔塔紀念醫(yī)院圖書館(Tata Memorial Hospital Library)的館藏資源中數(shù)字資源占比分別為90%和100%，因此他們對于數(shù)字資源的安全管理尤為重視，形成了比較系統(tǒng)的災害預防和災后恢復的數(shù)字資源安全管理模式。這使印度在較多的人為和自然災害條件下，能夠有效避免數(shù)字資源的災害，即使發(fā)生了數(shù)字資源災難也能及時進行搶救[7]，盡可能的降低損失。

3.3 災害預防措施

減少災害，重在預防。在日常工作中，圖書館要根據(jù)災害防范計劃，將各項預防措施嚴格落實到位。

3.3.1 軟硬件設備的預防保護措施

(1)硬件設備保護措施

對于硬件設備的預防措施主要包括以下四個方面。首先，圖書館硬件設備的采購必須來源于知名或標準化公司，而不是組裝公司，以保證硬件設備的穩(wěn)定和維護。其次，保證硬件設備的用電安全，保持連續(xù)穩(wěn)定的電力供應。準備必要的UPS不間斷電源始終連接關鍵服務器和設備；定期檢查電力電纜設施，保證電源供應完好，防止意外停電的發(fā)生；在圖書館外設立一個電源主開關，以便在緊急情況下能夠迅速切斷電源，減少損失。第三，定期做好硬件維護工作，圖書館每年都需要聘請專業(yè)人員定期做硬件維護，對硬件設備進行物理清除，排除硬件故障隱患。第四，保障設備的物理安全。如：數(shù)字存儲設備應放置在無塵、防火、防水的室內(nèi)，盡量保持室內(nèi)溫度恒定；加強關鍵設備的安全防衛(wèi)，安裝攝像頭進行實時監(jiān)控等。

(2)軟件數(shù)據(jù)保護措施

首先，要創(chuàng)造良好的軟件安全環(huán)境，包括安裝和設定反病毒軟件和企業(yè)級別的防火墻、軟件許可證秘鑰的主副本存儲安全等，防止病毒和外部黑客襲擊的發(fā)生。其次，嚴格監(jiān)測網(wǎng)絡的接入和輸出狀況，檢查工作人員和讀者的網(wǎng)絡行為，采取措施防止不安全的地址接入和輸出。第三，將數(shù)字資源和軟件系統(tǒng)列入圖書館的商業(yè)財產(chǎn)保險范圍，詳細記錄圖書館硬件、軟件和數(shù)字資源維護的相關信息，以便在發(fā)生事故時索賠，彌補災害發(fā)生后所造成的經(jīng)濟損失。第四，設置訪問權限，對于賬號密碼，訪問地址等進行分級管理和限定，保證數(shù)字資源的安全訪問。

3.3.2 數(shù)字資源備份存儲

數(shù)字資源備份是圖書館數(shù)字資源安全的最后防線，一旦災害發(fā)生，數(shù)字資源存儲備份就能最大程度挽回損失。數(shù)字資源備份主要遵循以下原則：

(1)設置數(shù)字資源備份程序

數(shù)字資源備份工作是數(shù)字資源保護不可缺少的工作，圖書館工作人員要按月或者按日對數(shù)字資源進行備份。各個圖書館可以根據(jù)自己的軟硬件設備和技術情況開展備份工作，一些技術經(jīng)濟條件較好的圖書館可以設定即時自動備份程序，保證相關數(shù)據(jù)及時保存，沒有這些條件的圖書館，至少應該每個月人工進行一次數(shù)字資源備份。此外，圖書館還應對工作人員進行相關培訓，建立及時備份的意識，了解備份過程。

(2)保證資源備份的安全存儲

首先，要將數(shù)字資源備份存放在安全的位置。圖書館的經(jīng)驗教訓表明，如果資源備份存儲在同一臺計算機或者同一館舍內(nèi)，當災害發(fā)生的時候，這些數(shù)字資源備份很有可能會同時被損壞。因此，應該保證至少一份數(shù)字資源備份存儲在館外。其次，對數(shù)字備份進行定期檢查。例如，定期更新備份軟硬件，必要的時候將數(shù)據(jù)資源遷移至新的存儲平臺上，保證備份數(shù)據(jù)不受軟硬件更新的影響，能夠隨時訪問；定期檢查備份數(shù)據(jù)的保存狀況，保證數(shù)字資源的完整程度，督促相關人員按時進行備份。

數(shù)字資源備份在災后數(shù)據(jù)恢復中發(fā)揮著巨大作用。以中央美術學院圖書館的實踐經(jīng)驗為例，中央美術學院圖書館在燕郊分館設立了異地備份，與主館連接，每半日存儲備份一次，同時在主館設立備份服務器用于存儲即時信息。中央美術學院圖書館曾經(jīng)發(fā)生過突如其來的斷電事故，通過提取燕郊分館的異地備份和主館的即時備份存儲，及時挽救了數(shù)據(jù)資源的損失[4]。

3.3 數(shù)字資源災害應對和災后恢復

一旦發(fā)生災害，圖書館應按照提前制定好的防范計劃采取措施及時反應，重點是盡量搶救、及時轉移，為數(shù)字資源的災后恢復做準備。災害發(fā)生時，首先應立即切斷設備電源，將設備從電源插座上移除，同時，將設備從窗戶、墻壁等損壞機會較大的地方移開；其次，針對不同危害情況和災害類別采取不同的保護和搶救措施，以免造成進一步的損害。例如，如果設備因火災而受損，應注意存儲設施的磁頭組件是否完好；如果設備因水災而受損，則應注意密封設備驅動，同時應注意防止磁盤快速干燥，嚴禁通過烤箱烘干磁盤等不恰當操作。災情平穩(wěn)后，技術人員根據(jù)信息價值和恢復成本對數(shù)字資源進行恢復，如果本身損壞不嚴重，通過提取硬件設備中的數(shù)據(jù)進行恢復，對于無法找回的數(shù)據(jù)資源則通過備份文件進行恢復。例如：2008年，印度某大學圖書館遭遇頻繁的電源故障，導致數(shù)字資源系統(tǒng)完全崩潰，4萬份數(shù)字記錄丟失，由于及時進行了備份，通過數(shù)據(jù)恢復挽回了大部分損失，僅有200份當月未及備份的數(shù)字記錄需要重建[6]。

3.4 館員職責與培訓

不管是災害預防、災害應對還是災后恢復，館員都是保證數(shù)字資源安全的核心要素。圖書館可以從防范意識、工作安排、技術處理三個方面對館員進行培訓，提高館員的災害預防和應對能力。

3.4.1 提高防范意識

數(shù)字資源安全管理不僅體現(xiàn)在圖書館管理制度層面，也體現(xiàn)在館員的能力素養(yǎng)方面。筆者調(diào)查發(fā)現(xiàn)，館員對于數(shù)字資源災害的認識普遍不夠，有一半的館員認為圖書館發(fā)生數(shù)字資源災害的可能性并不高，有60%的館員認為預防和處理數(shù)字資源災害主要是技術人員的責任。因此，提高每個館員的災害防范意識十分必要。在實際工作中，提高防范意識并不僅要加強宣傳，實際的演習和案例分享也是非常有效的方法，通過館員的親身參與增強對數(shù)字資源安全管理的認識。

3.4.2 具體工作安排

在日常的工作中，數(shù)字資源安全管理應該有非常明確的分工和具體的工作安排，館員必須嚴格按照災害防范計劃對數(shù)字資源進行保護。第一，對于設備無法完成自動備份的圖書館，館員必須定期完成數(shù)字資源備份并將備份遞交給指定單位存儲，定期對數(shù)字備份進行檢查；第二，嚴格數(shù)字資源管理制度，設置訪問權限，對賬號密碼、訪問地址等進行分級管理和限定，保證數(shù)字資源的安全訪問；第三，對數(shù)字資源的軟硬件進行定期檢測，排查硬件故障，檢測供電電源，定期升級軟件等。

3.4.3 相關技術培訓

館員必須對數(shù)字資源災害預防措施以及災后資源恢復的方法比較熟悉。圖書館應該做好數(shù)字資源安全管理相關的技術培訓。首先，要熟悉本館數(shù)字資源應急預案、災害處理計劃等，熟悉災害發(fā)生時所要進行的處理和程序步驟；其次，要掌握數(shù)字設備保護措施和應急救援手段，以保證災害發(fā)生時能夠最大程度保護數(shù)據(jù)資源；第三，要具備一定的災后損失評估，簡單的災后數(shù)字恢復技術，避免人為操作不當造成的進一步損失。

圖書館數(shù)字資源安全管理是一個重大的課題,如何建設和完善數(shù)字資源防災救災體系是解決這個課題關鍵,圖書館要綜合考慮數(shù)字資源災害發(fā)生的原因、可能性、應對措施、救災方式等因素, 建立自己的數(shù)字資源安全管理模式，預防為主，防救結合，就能在遇到災害時候臨危不亂,處理得當，為圖書館避免風險和災害、保護數(shù)字資源提供堅實的保障。

[1]溫雅娟.高校圖書館應對災害、事故等突發(fā)事件工作芻議[J].當代圖書館，2011，(2)：10-12.

[2]任妮,黃水清.新版ISO27000要求下的數(shù)字圖書館信息安全管理[J].圖書與情報，2015，(6)：38-46.

[3]溫州在線新聞網(wǎng).溫嶺網(wǎng)絡圖書館一個月遭500次黑客攻擊[EB/OL]. [2016-11-01].http://zjnews.zjol.com.cn/system/2009/01/06/015153730.shtml.2009-1-6.

[4]果慶，倪晶.圖書館數(shù)據(jù)資源容災方案淺析及應用——以中央美術學院總分館容災應用及規(guī)劃方案為例[J].中國現(xiàn)代教育裝備,2010,(23)：152-155.

[5]韓鳳華.高校數(shù)字圖書館容災系統(tǒng)的構建[J].現(xiàn)代情報,2010,(7)：114-115.

[6]Al-Badi. IT disaster recovery:Oman and cyclone Gonu lessons learned[J].Information Management & Computer Security,2009,(2)：114-126.

[7]Parul Zaveri. Digital disaster management in library in India[J].Library Hi Tech, 2015,(33): 230-244.

Resource Security Management Practice

The Mode and Practice of Library Digital Resource Security Management

Wang yan-ci

With the digital resources occupying a higher and higher ratio in the library collection resources, security management of digital resources must be taken into consideration by the library. Currently, there are some deficits in digital resource management: vulnerable awareness of prevention, lack of disaster prevention training, lack of backup of digital resources, and it needs to make a lot of improvement. The paper points out that the libraries should embark from the digital environment, make effective preventive plan, implement preventive measures, strengthen the librarians awareness toward disasters and training, thus to realize the effective prevention before the disaster and the effective response after the disaster.

Library Digital Resources; Digital Resource Security Management; Digital

G250.7

A

10.13897/j.cnki.hbkjty.2017.0015

和數(shù)字圖書館的不斷發(fā)展,數(shù)字資源在圖書館館藏和服務中占有越來越重要的地位。讀者的個人信息、網(wǎng)絡和電子資源、特色數(shù)據(jù)庫以及圖書館管理信息庫等都是以電子形式存在的，這些數(shù)據(jù)維持著圖書館的正常運轉。數(shù)字化存儲、網(wǎng)絡化傳輸、資源廣泛共享給我們帶來便利的同時也帶來了不安全因素,資源網(wǎng)絡和數(shù)據(jù)安全面臨著更大威脅。因此，保障數(shù)字資源安全是圖書館的重要職責。

王彥慈(1974-)，女，河南牧業(yè)經(jīng)濟學院圖書館館員，研究方向：數(shù)據(jù)庫、數(shù)字資源、信息服務。

2016-11-03 責任編輯：張靜茹)