程羅德 袁媛 部先紅 蘇顯屹

摘 要：文章簡(jiǎn)述了高校數(shù)字圖書(shū)館網(wǎng)絡(luò)及信息安全建設(shè)的現(xiàn)狀、內(nèi)涵、特點(diǎn)、意義等，分析了數(shù)字環(huán)境下高校數(shù)字圖書(shū)館面臨的信息安全威脅，提出了信息安全教育及管理的體系內(nèi)容和模式，并構(gòu)建了信息安全技術(shù)建設(shè)、信息安全管理體制建設(shè)、信息安全標(biāo)準(zhǔn)與法律法規(guī)建設(shè)等數(shù)字信息安全體系。

關(guān)鍵詞：網(wǎng)絡(luò)；信息安全；數(shù)字化；高校圖書(shū)館

中圖分類號(hào)：G258.6 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-1588（2019）05-0032-03

高校數(shù)字化圖書(shū)館建設(shè)是數(shù)字化校園建設(shè)的重要組成部分，如何充分發(fā)揮數(shù)字圖書(shū)館信息資源的優(yōu)勢(shì)，保障數(shù)字圖書(shū)館建設(shè)網(wǎng)絡(luò)安全運(yùn)行、數(shù)據(jù)庫(kù)資源不被非法獲取或篡改、應(yīng)用系統(tǒng)不被入侵等，已成為高校圖書(shū)館在數(shù)字化建設(shè)進(jìn)程中亟須關(guān)注和研究的重要課題。

1 高校圖書(shū)館信息安全現(xiàn)狀

網(wǎng)絡(luò)安全問(wèn)題最早是在計(jì)算機(jī)科學(xué)領(lǐng)域出現(xiàn)的，該領(lǐng)域?qū)W(wǎng)絡(luò)安全方面的研究也比較全面和深入。在圖書(shū)館學(xué)領(lǐng)域，專家學(xué)者對(duì)圖書(shū)館的網(wǎng)絡(luò)設(shè)計(jì)、數(shù)據(jù)加密防護(hù)、信息硬件設(shè)備安全、數(shù)據(jù)存儲(chǔ)安全、角色安全控制策略等進(jìn)行了研究[1]，同時(shí)從物理層面對(duì)圖書(shū)館建筑安全、智能控制、容災(zāi)容備等方面進(jìn)行了探索。

國(guó)外高校圖書(shū)館對(duì)信息安全概念沒(méi)有進(jìn)行過(guò)多的辨析，重點(diǎn)研究信息服務(wù)模式在圖書(shū)館服務(wù)的應(yīng)用及其產(chǎn)生的影響和效能，對(duì)數(shù)據(jù)安全、系統(tǒng)安全、知識(shí)產(chǎn)權(quán)保護(hù)及網(wǎng)絡(luò)安全等主要采取數(shù)據(jù)備份、軟件更新、參數(shù)設(shè)置、用戶認(rèn)證、訪問(wèn)授權(quán)及保護(hù)原創(chuàng)等多種方法和措施[2]。我國(guó)高校圖書(shū)館對(duì)信息安全方面的研究對(duì)策和技術(shù)各有側(cè)重，但將二者結(jié)合起來(lái)進(jìn)行研究和應(yīng)用的比較少。目前，我國(guó)很多高校圖書(shū)館在數(shù)字化建設(shè)過(guò)程中的防護(hù)措施比較單一和被動(dòng)，已無(wú)法滿足新時(shí)代網(wǎng)絡(luò)信息環(huán)境下圖書(shū)館數(shù)字化建設(shè)和服務(wù)管理的安全需求。隨著高校圖書(shū)館信息服務(wù)建設(shè)及服務(wù)水平的不斷提升，其信息安全隱患和威脅也在增大。以大連海洋大學(xué)圖書(shū)館為例，該館信息安全面臨的威脅及相關(guān)數(shù)據(jù)影響指標(biāo)見(jiàn)圖1。

2 數(shù)字圖書(shū)館信息安全內(nèi)涵與特征

2.1 數(shù)字圖書(shū)館信息安全內(nèi)涵

數(shù)字圖書(shū)館從信息安全層次劃分可分為物理安全層、軟件安全層、數(shù)據(jù)安全層等。其中，物理安全層保障網(wǎng)絡(luò)通信設(shè)備、計(jì)算機(jī)設(shè)備、媒體設(shè)備的安全穩(wěn)定運(yùn)行，是數(shù)字圖書(shū)館正常運(yùn)行的前提；軟件安全層保障操作系統(tǒng)、應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的穩(wěn)定運(yùn)行，是數(shù)字圖書(shū)館運(yùn)行的業(yè)務(wù)核心；數(shù)據(jù)安全層保障數(shù)據(jù)庫(kù)中元數(shù)據(jù)、對(duì)象數(shù)據(jù)及用戶數(shù)據(jù)的安全存儲(chǔ)，防止數(shù)據(jù)在網(wǎng)絡(luò)處理或傳輸過(guò)程中被泄露、破壞、篡改和仿冒，是數(shù)字圖書(shū)館正常運(yùn)行的服務(wù)資源。數(shù)字圖書(shū)館信息安全是一個(gè)涉及傳輸、處理、應(yīng)用等多環(huán)節(jié)，具有可靠性、保密性、可用性、完整性、真實(shí)可控性等特征的多要素內(nèi)涵[3]。

2.2 數(shù)字圖書(shū)館信息安全特征

數(shù)字圖書(shū)館信息安全具有保密性、完整性、可用性等特征，其有很多開(kāi)放資源，也有需授權(quán)才能訪問(wèn)和使用的信息資源，如自建專題庫(kù)、自建特色庫(kù)、自建學(xué)位論文庫(kù)等。為了防止數(shù)據(jù)和信息被篡改，數(shù)字圖書(shū)館在網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)信息存儲(chǔ)或傳輸時(shí)，會(huì)拒絕向未經(jīng)授權(quán)的用戶提供訪問(wèn)信息和系統(tǒng)服務(wù)。此外，數(shù)字圖書(shū)館信息安全還具有普遍性、復(fù)雜性、相對(duì)性等特征[4]。

3 數(shù)字圖書(shū)館信息安全風(fēng)險(xiǎn)計(jì)算與分析

3.1 數(shù)字圖書(shū)館信息安全風(fēng)險(xiǎn)分析

數(shù)字圖書(shū)館的物理層主要包括路由器、防火墻、交換機(jī)、服務(wù)器、存儲(chǔ)設(shè)備及通信鏈路等，引發(fā)物理層安全風(fēng)險(xiǎn)的因素主要有火災(zāi)、雷擊、地震、水災(zāi)等災(zāi)害，以及設(shè)備自身存在的缺陷、不足或人為蓄意破壞、誤操作等。物理層是數(shù)字圖書(shū)館信息運(yùn)行的基礎(chǔ)，一旦遭到破壞或干擾，將會(huì)造成整個(gè)圖書(shū)館業(yè)務(wù)體系的中斷。數(shù)字圖書(shū)館的數(shù)據(jù)層存在傳輸風(fēng)險(xiǎn)，數(shù)據(jù)在傳輸過(guò)程中很容易被截獲和篡改，造成泄密。數(shù)據(jù)包在鏈路傳輸時(shí)采用TCP/IP協(xié)議，如果沒(méi)有加密軟硬件控制，很容易被“包檢測(cè)偵聽(tīng)”軟件截獲，相關(guān)的信息數(shù)據(jù)一旦被不法分子竊取，將帶來(lái)嚴(yán)重的后果。數(shù)字圖書(shū)館還面臨操作系統(tǒng)及數(shù)據(jù)庫(kù)安全漏洞和病毒威脅等風(fēng)險(xiǎn)。數(shù)字圖書(shū)館操作系統(tǒng)包括Windows Server All、Windows All、Linux等，數(shù)據(jù)庫(kù)包括SQL Server、Oracle、MYSQL等。在網(wǎng)絡(luò)環(huán)境下運(yùn)行的操作系統(tǒng)或數(shù)據(jù)庫(kù)存在安全漏洞，如未進(jìn)行定期安全升級(jí)更新、補(bǔ)丁修復(fù)及權(quán)限設(shè)置，將會(huì)造成嚴(yán)重的威脅。數(shù)字圖書(shū)館應(yīng)用層的安全風(fēng)險(xiǎn)主要是身份認(rèn)證、郵件服務(wù)、DNS服務(wù)、WWW服務(wù)等漏洞風(fēng)險(xiǎn)，具體表現(xiàn)為訪問(wèn)口令不加密、靜態(tài)、簡(jiǎn)單，e-mail被黑客跟蹤或植入惡意木馬病毒，DNS緩存溢出，Web Server Dos 或DDOS被惡意攻擊，蠕蟲(chóng)病毒等。造成數(shù)字圖書(shū)館管理層安全風(fēng)險(xiǎn)的主要是人為原因，一旦出現(xiàn)內(nèi)部人員違規(guī)操作，將無(wú)法進(jìn)行實(shí)時(shí)的安全監(jiān)控、檢測(cè)、預(yù)警及追蹤。因此，如果數(shù)字圖書(shū)館沒(méi)有完善的安全管理機(jī)制，就會(huì)造成責(zé)權(quán)不明、管理混亂等，進(jìn)而引發(fā)管理安全風(fēng)險(xiǎn)。高校數(shù)字圖書(shū)館信息安全分層風(fēng)險(xiǎn)安全模型見(jiàn)圖2。

3.2 數(shù)字圖書(shū)館信息安全風(fēng)險(xiǎn)計(jì)算

根據(jù)IS0027001風(fēng)險(xiǎn)評(píng)估及分析方法說(shuō)明，風(fēng)險(xiǎn)分析計(jì)算范式為：風(fēng)險(xiǎn)值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va）。其中，R表示風(fēng)險(xiǎn)值，A表示資產(chǎn)，V表示薄弱點(diǎn)，T表示威脅，Ia表示資產(chǎn)價(jià)值，Va表示目前薄弱點(diǎn)，L表示安全事件發(fā)生的可能性。威脅等級(jí)可根據(jù)威脅強(qiáng)度和威脅發(fā)生可能性兩個(gè)參數(shù)屬性值進(jìn)行判斷，信息安全事件發(fā)生的可能性與威脅出現(xiàn)的頻率關(guān)聯(lián)，安全事件產(chǎn)生的影響與威脅強(qiáng)度相關(guān)。數(shù)字圖書(shū)館某項(xiàng)資產(chǎn)面臨的單個(gè)威脅綜合計(jì)算公式為：t=intTs+Ti2。其中，t為單個(gè)威脅綜合值，Ts為威脅強(qiáng)度，Ti為威脅發(fā)生的可能性，其值∈[1，5]整數(shù)[5]。數(shù)字圖書(shū)館利用風(fēng)險(xiǎn)計(jì)算公式評(píng)估信息安全風(fēng)險(xiǎn)等級(jí)，要對(duì)資產(chǎn)的重要性和薄弱點(diǎn)進(jìn)行識(shí)別，并分析每一個(gè)薄弱點(diǎn)引發(fā)安全風(fēng)險(xiǎn)的可能性，同時(shí)根據(jù)資產(chǎn)的重要程度，結(jié)合安全風(fēng)險(xiǎn)發(fā)生的可能性綜合判斷風(fēng)險(xiǎn)值。數(shù)字圖書(shū)館應(yīng)根據(jù)計(jì)算得到的風(fēng)險(xiǎn)值，對(duì)照風(fēng)險(xiǎn)等級(jí)的劃分標(biāo)準(zhǔn)確定不同風(fēng)險(xiǎn)的優(yōu)先級(jí)或等級(jí)，做出風(fēng)險(xiǎn)威脅評(píng)估預(yù)警，為進(jìn)一步制定控制安全風(fēng)險(xiǎn)措施提供依據(jù)。

4 高校數(shù)字圖書(shū)館信息安全建設(shè)策略

4.1 信息安全技術(shù)防護(hù)體系建設(shè)

根據(jù)信息安全不同層面的風(fēng)險(xiǎn)分析和計(jì)算，信息安全問(wèn)題在各個(gè)層面表現(xiàn)均不同，數(shù)字圖書(shū)館應(yīng)針對(duì)不同的安全需求，采用相關(guān)技術(shù)，開(kāi)發(fā)應(yīng)用不同的技術(shù)安全工具，以滿足各層級(jí)的安全需求。

信息安全常見(jiàn)的防護(hù)措施主要包括認(rèn)證、訪問(wèn)控制、內(nèi)容安全，以及防火墻技術(shù)、防病毒技術(shù)、數(shù)字簽名技術(shù)、入侵檢測(cè)系統(tǒng)、信息過(guò)濾技術(shù)、應(yīng)急響應(yīng)技術(shù)、備份恢復(fù)技術(shù)、VPN技術(shù)等。在信息安全防護(hù)體系構(gòu)建中，入侵檢測(cè)系統(tǒng)和防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)條件，對(duì)于高校數(shù)字圖書(shū)館構(gòu)建安全的網(wǎng)絡(luò)信息環(huán)境非常重要。防火墻數(shù)據(jù)包過(guò)濾、實(shí)時(shí)鏈路狀態(tài)偵測(cè)、行為分析、IP及端口限制、會(huì)話監(jiān)測(cè)等功能，能夠?qū)崟r(shí)保障內(nèi)網(wǎng)與外網(wǎng)之間進(jìn)行信息存取和交換。入侵檢測(cè)系統(tǒng)對(duì)數(shù)據(jù)包進(jìn)行監(jiān)測(cè)檢查，一旦發(fā)現(xiàn)某個(gè)數(shù)據(jù)包對(duì)系統(tǒng)有攻擊動(dòng)作，就會(huì)及時(shí)斷開(kāi)會(huì)話鏈接，并由管理員預(yù)設(shè)值定義處理單元獲取侵入者的詳細(xì)信息，為事件處理提供依據(jù)。高校數(shù)字圖書(shū)館安全技術(shù)信息風(fēng)險(xiǎn)防控體系見(jiàn)圖3。

4.2 信息安全管理體制建設(shè)

高校數(shù)字圖書(shū)館要制定合理的網(wǎng)絡(luò)信息安全管理策略，健全安全管理制度，完善操作規(guī)程，明確信息安全保護(hù)工作目標(biāo)和對(duì)象；成立信息安全領(lǐng)導(dǎo)小組，根據(jù)國(guó)家法律法規(guī)制定相應(yīng)的管理制度，如操作人員管理制度、設(shè)備管理制度、技術(shù)管理制度、用戶管理制度、軟件和數(shù)據(jù)管理制度及安全責(zé)任制度等；加強(qiáng)對(duì)數(shù)字圖書(shū)館工作人員和校園讀者的信息安全知識(shí)培訓(xùn)，增強(qiáng)他們的信息安全保密意識(shí)；加強(qiáng)數(shù)字圖書(shū)館工作人員的業(yè)務(wù)培訓(xùn)和綜合能力培養(yǎng)，全面提升他們的政治覺(jué)悟、職業(yè)道德、技術(shù)水平和服務(wù)水平。此外，高校數(shù)字圖書(shū)館還應(yīng)制定和完善安全保護(hù)制度，做好軟硬件的安全管理工作。其中，硬件安全管理制度主要是保護(hù)硬件設(shè)備，如在機(jī)房配置專業(yè)技術(shù)人員進(jìn)行管理，做好防水、防火、防雷等措施，定期對(duì)設(shè)備進(jìn)行維護(hù)等；軟件安全管理制度主要是針對(duì)軟件系統(tǒng)的管理和購(gòu)置制定的，購(gòu)置軟件要考慮其適用性、可靠性及維護(hù)性等因素。

4.3 信息安全標(biāo)準(zhǔn)與法律法規(guī)建設(shè)

目前，我國(guó)高校數(shù)字圖書(shū)館的信息安全主要依靠技術(shù)進(jìn)行保障，只能被動(dòng)解決問(wèn)題，而無(wú)法全面、持續(xù)地保障網(wǎng)絡(luò)信息的安全，因此，加快制定包含圖書(shū)館信息安全規(guī)劃與建設(shè)、圖書(shū)館信息安全管理與服務(wù)、圖書(shū)館信息系統(tǒng)安全、圖書(shū)館知識(shí)產(chǎn)權(quán)保護(hù)、圖書(shū)館個(gè)人數(shù)據(jù)保護(hù)等內(nèi)容的法律法規(guī)勢(shì)在必行。信息安全標(biāo)準(zhǔn)和法律法規(guī)能夠提供有效的信息安全管理建議、規(guī)范信息安全管理的方法和程序。作為高校的信息資源中心，高校數(shù)字圖書(shū)館在網(wǎng)絡(luò)環(huán)境下應(yīng)以信息安全標(biāo)準(zhǔn)和法律法規(guī)為保障，遵循信息安全管理標(biāo)準(zhǔn)，結(jié)合自身安全管理建設(shè)特點(diǎn)，設(shè)計(jì)數(shù)字圖書(shū)館信息安全風(fēng)險(xiǎn)評(píng)估與控制模型。

5 結(jié)語(yǔ)

在網(wǎng)絡(luò)環(huán)境下，信息安全意識(shí)非常重要，人是圖書(shū)館信息安全的核心要素。無(wú)論信息安全工作多么復(fù)雜，信息環(huán)境如何改變，只要高校圖書(shū)館時(shí)刻保持對(duì)網(wǎng)絡(luò)脆弱性和潛在威脅的清醒認(rèn)識(shí)和警惕，采取多種保障措施，科學(xué)制定安全防護(hù)策略，就能保證其安全、高效、平穩(wěn)地運(yùn)行，為讀者提供高品質(zhì)的信息資源服務(wù)。

參考文獻(xiàn)：

[1] 劉萬(wàn)國(guó)，張浩然，付希金.圖書(shū)館信息安全應(yīng)用技術(shù)述評(píng)[J].現(xiàn)代情報(bào)，2010（10）：71-73.

[2] 程羅德，于曉明，房文革，等.新信息環(huán)境下高校圖書(shū)資源建設(shè)轉(zhuǎn)型的探討[J].河南圖書(shū)館學(xué)刊，2018（6）：74-76.

[3] 周威平.圖書(shū)館信息安全管理架構(gòu)與實(shí)踐[J].高校圖書(shū)館工作，2010（5）：70-73.

[4] 羅繪秀.圖書(shū)館網(wǎng)絡(luò)資源信息安全保障體系研究[J].河南圖書(shū)館學(xué)刊，2015（12）：115-117.

[5] 翁建華.數(shù)字圖書(shū)館信息安全對(duì)策研究[J].圖書(shū)館學(xué)刊，2012（4）：108-110.

（編校：徐黎娟）