林淑湘

關(guān)鍵詞：數(shù)字圖書(shū)館；用戶；個(gè)人電子信息；安全保護(hù)技術(shù)

摘要：文章介紹了數(shù)字圖書(shū)館用戶個(gè)人電子信息的內(nèi)容，分析了數(shù)字圖書(shū)館用戶個(gè)人信息面臨的安全威脅，提出了數(shù)字圖書(shū)館用戶個(gè)人信息安全的保護(hù)策略。

中圖分類號(hào)：G250.76文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1003-1588（2018）01-0109-03

大數(shù)據(jù)環(huán)境下，包括社交網(wǎng)絡(luò)、物聯(lián)網(wǎng)以及移動(dòng)網(wǎng)絡(luò)在內(nèi)的大型互聯(lián)網(wǎng)讓用戶在使用過(guò)程中產(chǎn)生了大量數(shù)據(jù)足跡[1]。信息收集技術(shù)、篩選技術(shù)以及處理技術(shù)的應(yīng)用讓用戶的隱性數(shù)據(jù)無(wú)法得到有效保護(hù)。在商業(yè)利益的誘惑下，社會(huì)上已經(jīng)出現(xiàn)了大量用戶私密信息（包括股民信息、房主信息、患者信息、車(chē)主信息以及商務(wù)人士信息等）的出售活動(dòng)，并且已經(jīng)形成了一條黑色產(chǎn)業(yè)鏈，用戶私密信息的安全問(wèn)題日益嚴(yán)重。用戶信息不僅是數(shù)字圖書(shū)館管理的重要對(duì)象，而且是其進(jìn)行服務(wù)升級(jí)的重要依據(jù)。因此，數(shù)字圖書(shū)館應(yīng)該在用戶信息數(shù)據(jù)安全方面負(fù)起責(zé)任。

1數(shù)字圖書(shū)館用戶個(gè)人電子信息的內(nèi)容

數(shù)字圖書(shū)館的用戶個(gè)人信息是指用戶在使用數(shù)字圖書(shū)館過(guò)程中產(chǎn)生的與用戶有關(guān)的信息資源，這些信息資源是用戶與數(shù)字圖書(shū)館之間的絕密信息，數(shù)字圖書(shū)館應(yīng)該保證個(gè)人信息的安全，有效地保護(hù)用戶的利益，從而獲得他們的信任。

1.1用戶的個(gè)人注冊(cè)信息

當(dāng)用戶在數(shù)字圖書(shū)館上注冊(cè)時(shí)，他們會(huì)被要求填寫(xiě)必需的個(gè)人信息，其中包括個(gè)人學(xué)歷和身份信息等[2]。個(gè)人學(xué)歷信息主要包括用戶的職業(yè)、工作單位、學(xué)歷水平、專業(yè)以及興趣愛(ài)好等，個(gè)人身份信息主要包括用戶姓名、性別、聯(lián)系電話、年齡以及電子郵箱等。

1.2用戶的個(gè)人使用記錄

為了記錄數(shù)字圖書(shū)館的服務(wù)情況和資源使用情況，數(shù)字圖書(shū)館利用Web服務(wù)器記錄用戶使用資源的情況，即以工作日志的方式記錄用戶的訪問(wèn)內(nèi)容、訪問(wèn)時(shí)間、訪問(wèn)結(jié)果以及IP地址等[3]。數(shù)字圖書(shū)館可以將收集到的用戶使用信息進(jìn)行數(shù)據(jù)挖掘和數(shù)據(jù)分析，從而挖掘出用戶的興趣愛(ài)好、訪問(wèn)習(xí)慣以及研究方向等，這些被挖掘出來(lái)的數(shù)據(jù)也屬于私密信息。

2數(shù)字圖書(shū)館用戶個(gè)人信息面臨的安全威脅

2.1網(wǎng)絡(luò)層的安全威脅

網(wǎng)絡(luò)層的路由系統(tǒng)、訪問(wèn)控制系統(tǒng)、遠(yuǎn)程接入系統(tǒng)、身份認(rèn)證系統(tǒng)及域名系統(tǒng)都容易受到病毒或黑客攻擊，網(wǎng)絡(luò)層面臨的安全威脅包括計(jì)算機(jī)病毒威脅、黑客攻擊威脅、網(wǎng)絡(luò)邊界威脅以及數(shù)據(jù)傳輸錯(cuò)誤威脅等[4]。用戶私密信息在網(wǎng)絡(luò)傳輸過(guò)程中有可能受到竊聽(tīng)、截獲、破壞以及篡改等威脅，致使其信息的完整性和安全性無(wú)法得到有效保證。網(wǎng)絡(luò)邊界是數(shù)字圖書(shū)館與互聯(lián)網(wǎng)聯(lián)系的第一道防線，主要包括網(wǎng)絡(luò)與用戶終端之間的邊界以及網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的網(wǎng)關(guān)邊界，其對(duì)應(yīng)的網(wǎng)絡(luò)安全問(wèn)題主要有館域網(wǎng)用戶訪問(wèn)監(jiān)管力度不足、非法侵入、用戶終端能力下降以及非法應(yīng)用軟件安全控制不力等。黑客利用DDoS對(duì)網(wǎng)絡(luò)層進(jìn)行攻擊，達(dá)到網(wǎng)絡(luò)阻塞甚至癱瘓的目的。

2.2應(yīng)用層的安全威脅

應(yīng)用層面臨的安全威脅主要有木馬程序、蠕蟲(chóng)程序、拒絕服務(wù)攻擊、網(wǎng)頁(yè)篡改以及寬帶占用等[5]。應(yīng)用層的各種應(yīng)用型軟件在設(shè)計(jì)方面并沒(méi)有完全參考網(wǎng)絡(luò)上存在的各種安全威脅，都會(huì)存在一定的設(shè)計(jì)缺陷。因此，數(shù)字圖書(shū)館會(huì)經(jīng)常受到病毒或黑客的攻擊，用戶的私密信息也得不到充分的安全保證。目前，黑客大都采用木馬、蠕蟲(chóng)、網(wǎng)絡(luò)釣魚(yú)等攻擊方式，這些方式對(duì)應(yīng)用層的安全威脅巨大。甚至有些黑客采用移動(dòng)代碼和電子郵件的復(fù)合型攻擊方式，其攻擊威脅程度更高。隨著網(wǎng)絡(luò)技術(shù)的不斷推廣，應(yīng)用層的安全威脅已經(jīng)成為數(shù)字圖書(shū)館最大的安全隱患，該隱患具有危害大、輻射范圍廣和發(fā)作時(shí)間快等特點(diǎn)。

2.3管理層的安全威脅

數(shù)字圖書(shū)館以信息資源為核心內(nèi)容，以功能應(yīng)用為服務(wù)手段，擁有較為復(fù)雜的安全體系，它的所有安全策略都需要管理人員制訂，因此管理層在數(shù)字圖書(shū)館中起關(guān)鍵作用。管理層面臨的安全威脅主要有管理人員權(quán)利和職責(zé)不明確、操作不規(guī)范、安全管理制度不完善等[6]。當(dāng)系統(tǒng)受到黑客攻擊或者其他惡意攻擊時(shí)，數(shù)字圖書(shū)館的安全體系無(wú)法進(jìn)行實(shí)時(shí)的監(jiān)控、檢測(cè)、警告、報(bào)告，也無(wú)法準(zhǔn)確提供黑客攻擊行為的追蹤線索。另外，管理人員的安全防護(hù)意識(shí)淡薄，允許用戶使用默認(rèn)用戶名和密碼進(jìn)行登錄，致使安全防護(hù)體系很容易被黑客入侵。管理層的安全威脅可以使整個(gè)數(shù)字圖書(shū)館的安全防護(hù)體系形同虛設(shè)，它是用戶私密信息安全的最大威脅。

3數(shù)字圖書(shū)館用戶個(gè)人信息的安全保護(hù)策略

數(shù)字圖書(shū)館需要加強(qiáng)用戶私密信息的安全保護(hù)力度，維護(hù)好“保護(hù)用戶信息，維護(hù)用戶利益”的良好形象。

3.1用戶信息采集階段

數(shù)字圖書(shū)館對(duì)用戶信息進(jìn)行資源化處理的第一步就是采集用戶信息，這是非常重要的環(huán)節(jié)。但是，數(shù)字圖書(shū)館在采集用戶信息方面存在一些問(wèn)題，并沒(méi)有形成規(guī)范的采集步驟?，F(xiàn)階段，數(shù)字圖書(shū)館主要借助計(jì)算機(jī)采集用戶信息，有兩種方式：用戶主動(dòng)提供私密信息或在用戶知情的狀況下被動(dòng)提供私密信息，系統(tǒng)在用戶不知情的狀況下自動(dòng)采集私密信息。在服務(wù)器幫助下，數(shù)字圖書(shū)館可以利用Cookie技術(shù)將少量用戶信息自動(dòng)存儲(chǔ)到客戶端緩存中，或者讓服務(wù)器直接讀取客戶端的硬盤(pán)數(shù)據(jù)，這就給用戶私密信息的安全性帶來(lái)巨大威脅。因此，數(shù)字圖書(shū)館可以設(shè)立專門(mén)保護(hù)用戶信息的資源化小組，該小組的主要任務(wù)就是負(fù)責(zé)制訂用戶信息采集規(guī)范和采集準(zhǔn)則，提高管理人員保護(hù)用戶信息的能力。采集用戶信息的規(guī)范要根據(jù)國(guó)家相關(guān)法律法規(guī)制訂，其主要內(nèi)容有：①將用戶個(gè)人信息進(jìn)行分類，可分為一般性信息和私密性信息。②規(guī)定采集用戶信息的手段和方式。③規(guī)定采集的具體內(nèi)容和信息保存時(shí)間。④要在公告欄和網(wǎng)站上發(fā)布采集準(zhǔn)則。如：中國(guó)科學(xué)院就專門(mén)公告隱私聲明，并且會(huì)承諾“在未經(jīng)過(guò)您的同意之前，本圖書(shū)館或者網(wǎng)站不會(huì)轉(zhuǎn)載您的任何資料和信息”。中國(guó)科學(xué)院圖書(shū)館也制訂了一些采集信息規(guī)則：盡量不采集用戶敏感信息，如需采集，需要征得用戶同意；不利用間接手段或者隱蔽手段采集用戶個(gè)人信息；對(duì)于智能化和自動(dòng)化的采集方式要嚴(yán)加考核，并保護(hù)個(gè)人信息；不允許管理人員私自采集和處理用戶個(gè)人信息等。endprint

3.2用戶信息組織加工階段

用戶信息只有經(jīng)過(guò)有序化和組織化處理后，才能夠成為真正的資源，否則，不僅不能夠得到有效利用，還會(huì)造成資源浪費(fèi)和信息污染。用戶信息每經(jīng)過(guò)一次處理，就會(huì)增強(qiáng)其針對(duì)性，就會(huì)增大其應(yīng)用價(jià)值，進(jìn)而會(huì)涉及更多的私密信息。如：數(shù)字圖書(shū)館利用用戶閱讀和下載的信息資源類型，就可以獲取他們的興趣愛(ài)好、研究方向以及職業(yè)類型等。因此，數(shù)字圖書(shū)館對(duì)用戶信息進(jìn)行安全設(shè)定是很有必要的，可以在數(shù)據(jù)庫(kù)中添加一個(gè)安全等級(jí)標(biāo)識(shí)，不僅能為數(shù)據(jù)挖掘提供數(shù)據(jù)支持，還能為數(shù)據(jù)共享和發(fā)布提供必要的安全保護(hù)。用戶的基本信息包括用戶的姓名、性別、出生年月、聯(lián)系方式、專業(yè)、登錄密碼等，顯然這些信息不能夠完全公開(kāi)。因此，數(shù)字圖書(shū)館需要設(shè)定安全等級(jí)，主要分為四個(gè)等級(jí)：第一等級(jí)為可以完全公開(kāi)的用戶信息；第二等級(jí)為可以在個(gè)性化服務(wù)、用戶滿意度評(píng)估以及信息管理等模塊中公開(kāi)的用戶信息；第三等級(jí)為僅供管理人員讀取和管理的用戶信息；第四等級(jí)為用戶的安全憑證信息，這類信息一般不對(duì)外公開(kāi)。

3.3用戶信息利用階段

數(shù)字圖書(shū)館采集用戶信息的應(yīng)用領(lǐng)域主要包括信息發(fā)布、學(xué)科服務(wù)、用戶個(gè)性化服務(wù)以及與其他服務(wù)系統(tǒng)的共享等方面。信息的共享性和流動(dòng)性直接決定了信息的應(yīng)用價(jià)值，信息的共享性和流動(dòng)性越強(qiáng)，信息的應(yīng)用價(jià)值就越大。用戶的信息共享模式主要有：①借助數(shù)字圖書(shū)館，用戶可以方便地獲取數(shù)字化信息資源和傳統(tǒng)文獻(xiàn)資源。但是，用戶不能從數(shù)字圖書(shū)館中獲取其他用戶的資源，因?yàn)檫@涉及用戶信息的隱私問(wèn)題。②數(shù)字圖書(shū)館內(nèi)的各個(gè)部門(mén)之間以及數(shù)字圖書(shū)館與其他部門(mén)（如網(wǎng)絡(luò)中心、檔案室、教務(wù)處和科研處等）之間需要實(shí)現(xiàn)信息共享。如：流通部門(mén)需要將接收的用戶信息傳送給系統(tǒng)部門(mén)，以便讓這些用戶獲得訪問(wèn)權(quán)限。③數(shù)字圖書(shū)館可以采用聯(lián)合資訊和館際互傳等方式與其他圖書(shū)館實(shí)現(xiàn)信息共享。數(shù)字圖書(shū)館如果無(wú)法解答用戶提出的問(wèn)題，就可以與其他圖書(shū)館進(jìn)行資訊，以便為他們提供更好的服務(wù)。④數(shù)字圖書(shū)館可以與數(shù)據(jù)庫(kù)提供商、軟硬件提供商、書(shū)商、業(yè)務(wù)外包商及出版社等機(jī)構(gòu)進(jìn)行互動(dòng)交流。如：數(shù)據(jù)庫(kù)提供商、軟硬件提供商和RFID軟件供應(yīng)商會(huì)根據(jù)自身需求訪問(wèn)數(shù)字圖書(shū)館的數(shù)據(jù)庫(kù)或鏡像數(shù)據(jù)庫(kù)。數(shù)字圖書(shū)館與其他部門(mén)或者機(jī)構(gòu)進(jìn)行互動(dòng)交流時(shí)，可以利用匿名化保護(hù)技術(shù)，管理用戶的私密信息，進(jìn)而避免用戶私密信息的泄露。

數(shù)字圖書(shū)館集成服務(wù)系統(tǒng)是整個(gè)數(shù)字圖書(shū)館的主要業(yè)務(wù)系統(tǒng)，主要包括用戶信息、業(yè)務(wù)管理信息和文獻(xiàn)資料信息等[7]。數(shù)字圖書(shū)館可以根據(jù)用戶的借閱記錄和個(gè)人信息，對(duì)用戶的興趣愛(ài)好進(jìn)行定位，從而更好地幫助用戶獲取所需的信息資源。數(shù)字圖書(shū)館還可以利用OLAP分析技術(shù)對(duì)用戶的使用數(shù)據(jù)、系統(tǒng)日志和館藏?cái)?shù)據(jù)進(jìn)行分析和挖掘，并將處理內(nèi)容分為圖書(shū)采購(gòu)分析、用戶需求分析和館藏結(jié)構(gòu)分析，為管理人員提供有效的決策參考。數(shù)字圖書(shū)館針對(duì)不同的應(yīng)用目的，其數(shù)據(jù)屬性也會(huì)顯示不同的等級(jí)。

4結(jié)語(yǔ)

為了提供更好的信息服務(wù)，數(shù)字圖書(shū)館應(yīng)該重視用戶信息的采集、利用和處理環(huán)節(jié)。數(shù)字圖書(shū)館采集的用戶信息越多，為用戶提供信息服務(wù)時(shí)，就越有針對(duì)性。因此，數(shù)字圖書(shū)館處于一種尷尬境地，要想提供優(yōu)質(zhì)信息服務(wù)，就必須采集更多的用戶信息；采集的用戶信息越多，就越可能侵犯用戶隱私。如何在為用戶提供好的信息服務(wù)與保證用戶隱私信息的安全性之間保持平衡是值得探究的課題，筆者提出了以上安全保護(hù)策略，它既能夠采集足夠多的用戶信息，又能夠保障用戶的信息安全。

參考文獻(xiàn)：

[1]易斌.高校圖書(shū)館讀者隱私保護(hù)現(xiàn)狀實(shí)證研究[J].圖書(shū)館論壇，2013（3）：65-68.

[2]王瀅.境外圖書(shū)館個(gè)人信息保護(hù)政策對(duì)我國(guó)圖書(shū)館實(shí)踐的啟示[J].圖書(shū)館學(xué)研究，2012（5）：63-67.

[3]徐敬宏，文利民.論電子商務(wù)消費(fèi)者個(gè)人信息及其保護(hù)[J].圖書(shū)情報(bào)工作，2009（8）：130-133.

[4]程瑤，應(yīng)凌云，焦四輩，等.移動(dòng)社交應(yīng)用的用戶隱私泄漏問(wèn)題研究[J].計(jì)算機(jī)學(xué)報(bào)，2014（1）：87-99.

[5]王皙琛.基于3G的圖書(shū)館信息服務(wù)模式研究[D].哈爾濱：黑龍江大學(xué)，2011.

[6]趙明霞.大學(xué)圖書(shū)館微博與隱私權(quán)及知識(shí)產(chǎn)權(quán)保護(hù)[J].新世紀(jì)圖書(shū)館，2012（8）：32-33.

[7]徐險(xiǎn)峰，馬海群，王海東.圖書(shū)館用戶隱私權(quán)保護(hù)研究綜述[J].圖書(shū)館建設(shè)，2010（7）：30-34.

（編校：孫新梅）endprint