數字圖書館網絡信息安全分析

　　
　　【摘要】目前，對數字圖書館網絡信息安全問題的研究，大多注重技術性方面，對安全管理的保障措施如制度、人員的責任意識等關注較少，致使安全管理滯后于技術發(fā)展。搞好網絡信息安全管理除技術建設外，還應該強化圖書館館員、用戶的安全教育，完善安全管理制度和制度的落實，提升網絡信息安全主體的責任意識。
　　
　　【關鍵詞】數字圖書館 網絡安全 信息安全 管理責任 措施
　　
　　目前，我國國內數字圖書館網絡信息安全（以下簡稱為網絡信息安全）應用研究方面，大多都側重于技術，認為信息安全是一個技術性的問題，其所有出現的問題都依賴于先進技術。但信息技術無論多么完善，它都無法回答如下問題：管理主體、制度在信息安全中的責任；技術、人、制度三者之間的關系；如何能夠解決信息安全可持續(xù)發(fā)展問題；為什么在信息技術很發(fā)達的情況下，信息安全問題依然存在，事故依然頻繁發(fā)生等等?？梢姡畔踩诵畔⒓夹g影響之外必有其他方面深層次的原因。僅側重于技術的應用研究，還不能適應信息安全實踐發(fā)展的需求，信息安全研究仍有繼續(xù)深化的必要。
　　網絡信息安全分析
　　網絡信息安全包括信息的安全和網絡系統(tǒng)的安全兩層意思，信息的安全是指保護基礎運行信息、服務器信息、用戶信息、網絡信息資源等信息或數據的機密性、完整性和可用性，同時還需要對信息風險和信息控制之間的最優(yōu)平衡有非凡的理解。機密性要求保證信息不泄露給未經授權的人。完整性要求防止信息被未經授權的篡改和破壞?？捎眯允侵副ＷC訪問信息的用戶可以在不受干涉和阻礙的情況下對信息進行訪問和使用。網絡系統(tǒng)安全是指保護網絡信息系統(tǒng)設備中的硬件、軟件和網絡系統(tǒng)的正常狀態(tài)和安全運行。概括地講，網絡信息安全就是指采用技術、管理等多種措施，保護網絡系統(tǒng)連續(xù)正常運行，保護各種資源不因自然或人為因素遭到破壞、更改、泄露或非法占用。
　　網絡信息安全技術。先進的安全技術是實現信息安全的重要手段，許多網絡信息系統(tǒng)安全性保障都要依靠技術手段來實現。像信息安全所用到的防火墻技術、入侵檢測或流量分析技術、認證控制技術、VLAN技術、加密技術、VPN、病毒防護技術、容災技術等多項安全技術，為確保圖書館網絡信息的保密性、完整性和可用性提供了強有力的支持。
　　制度和制度執(zhí)行力。制定嚴格有效的安全管理制度規(guī)范人的行為，使人遵守規(guī)則，這是技術涉及不到的層面。而信息的保密性、完整性和可用性只有通過技術手段才能得以實現，卻又是制度所不能解決的。在信息安全實踐中，技術與制度二者不能斷然分開，是相輔相成的，技術是一種硬手段，制度是一種規(guī)范性的軟手段。目前，國內數字圖書館在安全管理制度建設方面存在著諸多問題。一是制度不完善。我國數字圖書館安全管理制度還不健全，缺乏嚴格、細致、有效的安全管理規(guī)定與安全技術相配套。二是缺乏安全教育培訓常態(tài)機制。圖書館館員以及用戶安全意識薄弱，網絡安全知識缺乏，知識產權保護意識不強。三是信息安全監(jiān)督審查機制不健全。監(jiān)督審查機制不健全，將導致安全管理制度流于形式，圖書館無法及時找出安全管理漏洞和不足，無法對安全管理漏洞及早采取補救措施。四是制度執(zhí)行不力。從目前圖書館規(guī)章制度的建設來看，不缺少嚴謹細密的典章制度，缺少的是對規(guī)章條款的不折不扣地執(zhí)行。一些圖書館存在有章不循、有規(guī)不依，獎懲不嚴、問責流于形式，安全督查不到位等種種問題。制定的制度是為了執(zhí)行，因為只有執(zhí)行才能把制度確定的各項要求落到實處，得不到執(zhí)行的制度是毫無用處的，制度也就名存實亡。
　　網絡信息安全管理。網絡信息安全的主體是人，客體是網絡信息安全防御體系，網絡信息安全實際上就是主客體互動的過程。技術研究的對象是物，而物是沒有目的、沒有意義可言的，它不涉及人及其行為。技術只是一種手段，網絡信息安全必然涉及到人及其行為和制度問題。安全管理貫穿于整個信息安全防御體系，包括建立安全管理組織、制定安全目標、制定安全防護策略、建立安全管理制度、制定安全規(guī)劃與應急方案、對員工進行安全意識教育培訓等內容。安全技術只有在有效的管理控制之下，才能得以較好地實施?？梢姡瑖栏竦陌踩芾硎蔷W絡信息安全的根本保證。隨著數字圖書館建設的深入，網絡信息安全問題日趨凸顯。目前，國內過多地強調技術的作用，將建設的重點放在技術上，致使安全管理工作跟不上技術發(fā)展的步伐。有人對2009年我國30家數字圖書館信息安全管理現狀進行調研，發(fā)現在已發(fā)生的安全事件中，三分之一的安全事件是由安全管理機制不夠完善引起的，而事件發(fā)生原因中管理因素高達70%以上?？梢?，安全管理上的缺失已成為數字圖書館整個網絡信息系統(tǒng)不安全因素中的主要因素之一，對數字圖書館產生的危害遠大于其他方面。這里主要討論對人的管理問題，人的認識和觀念問題。著名的前黑客凱文·米蒂尼說過，盡管很多公司采取了安全防護措施，但這些安全措施在網絡犯罪面前仍然顯得不堪一擊，原因是他們忽略了網絡安全最為薄弱的環(huán)節(jié)——人的因素。數字圖書館擁有功能非常強大的網絡信息系統(tǒng)和最先進的安全技術設施，但卻有可能緣于人而產生失誤，致使安全管理存在諸多隱患和不足，從而導致數字圖書館網絡信息系統(tǒng)面臨一系列信息安全問題。如引入木馬、病毒或其他危害程序；網絡信息系統(tǒng)運行不正常甚至癱瘓，信息外泄，無法應對新出現的信息安全突發(fā)事件等，這與相關人員特別是一些負責人員對安全管理的不重視、認識不足以及責任感缺失有關。
　　圖書館管理者的安全管理理念的滯后，對安全管理的重要性缺乏深層的認識，導致決策上的失誤或管理不足，將給數字圖書館的網絡信息安全帶來不可估量的損失。如有的管理者的管理理念，還停留在傳統(tǒng)圖書館封閉式內部局域網安全管理模式上，并沒有認識到數字圖書館更為開放的環(huán)境將面臨更趨嚴峻的網絡安全問題，致使在網絡信息安全事件防御方面處于被動狀態(tài)，有的管理者雖然認識到網絡信息安全問題的嚴峻性，但卻認為只要加大對安全產品的投入，購買并安裝了最先進的安全技術產品，就可以高枕無憂了，或誤認為到了信息技術特別發(fā)達的時候，網絡信息安全維護管理是管理員的事情，與其他館員無關。或誤認為安全維護與管理都是服務提供商的事，圖書館只管應用就行了。不重視安全責任意識教育與技能培訓，導致一些安全管理技術人員思想麻痹大意，安全責任意識不強，不知道網絡信息安全的薄弱環(huán)節(jié)，不了解保護網絡信息安全的責任以及在對付入侵行為方面的責任。
　　沒有安全責任和責任分配機制，對信息安全責任人的責任內容、范圍、責任分配不清楚。圖書館管理者制定的員工崗位責任書，責任劃分不明、工作內容描述不清，導致館員不清楚應在什么范圍和限度內對自己的職業(yè)行為負有責任，應該承擔何種責任和義務。致使出現安全管理問題時，不是相互推諉，就是聽之任之。不重視對高素養(yǎng)、高技能安全管理技術人才的引進與培養(yǎng)，一些圖書館的館內安全管理工作多為業(yè)務培訓，但缺乏全面的安全管理知識和技能，對不斷發(fā)展的新技術缺少深入和細致的了解和掌握，應付網絡安全突發(fā)事件的預警能力不夠強。由于安全知識與技能的欠缺，導致他們無法應對新出現的網絡安全突發(fā)事件。應該清楚地看到，人是具有理性和非理性的，要使人的理性服務于信息安全，必須要借助于制度規(guī)范，使人沿著信息安全正確的規(guī)定自覺行動。
　　應該指出，制度只是一種方法，是有邊界的，并不是萬能的。無論多么完善的制度，如果不被執(zhí)行也形同一張廢紙。同時，制度具有剛性，它不能時刻隨著網絡信息安全的變化而變化，落后的制度有可能阻礙網絡信息安全的建設。綜上所述，制度、技術和管理人員的責任意識都有自己的邊界，如若單一運行制度、技術，即便是極為負責任的管理人員，也不可能完善地解決信息安全問題。因此，技術、制度、管理主體（人）的責任應三管齊下，才能真正預防和因減少技術、管理等因素所導致的網絡信息安全問題，最大程度地保護網絡，使其安全運行，并最大限度地挽回網絡信息系統(tǒng)損失。
　　
　　網絡信息安全保障措施
　　網絡信息安全需要技術（支撐）和管理（落實）的雙重保證。從安全防范技術層面上講，國內的數字圖書館都有較為成熟的防御體系，但在安全管理方面，數字圖書館還須做諸多努力。
　　加強網絡信息安全教育與培訓，樹立安全責任意識。圖書館管理者應改變重技術輕管理的觀念，樹立全新的安全管理理念，針對圖書館館員以及讀者安全意識薄弱、安全措施不落實等現狀，組織開展多層次、多方位的網絡信息安全宣傳工作。要加大對安全防范措施檢查的力度，開展崗前培訓、現場網絡安全教育與技能培訓，提倡自主學習，派送技術骨干再深造等。定期或不定期舉辦網絡信息安全教育與技能培訓講座，將促使館員熟知圖書館相關的安全管理規(guī)章制度，掌握相關設備的正確操作規(guī)程，以及確保系統(tǒng)和數據安全的操作方法。定期或不定期地組織館內工作人員學習相關的法律法規(guī)和政策，使他們具有較強的安全防范意識，以及執(zhí)行制度的意識和能力。圖書館要經常派遣館內重點培養(yǎng)的年輕技術管理骨干參加國內外信息安全方面的技術培訓，鼓勵他們自主學習，及早掌握安全技術與管理新理論、新技術、新方法，掌握新的網絡及安全產品的功能，了解網絡病毒、密碼攻擊、分組竊聽、IP欺騙、拒絕服務、端口攻擊等多樣化攻擊手段。安全管理員要定期對網絡信息安全狀況進行風險評估，及時修正安全缺陷、評估缺失，及早采取補救措施。安全維護僅僅依靠館內為數不多的安全管理技術人員是遠遠不夠的，它還需要依靠全體館員、用戶（讀者）的同心協力。通過安全意識教育，使全體館員及用戶明確自身權限和義務，嚴格、自覺地遵守圖書館上網規(guī)定，不越權、不隨意下載和安裝盜版或共享軟件，同時保管好自己的密碼，經常加固系統(tǒng)，提高系統(tǒng)的安全性。
　　強化制度建設，提高制度執(zhí)行力。制度的貫徹落實，不但要求制度本身的科學合理，還要求對制度的不折不扣地執(zhí)行。提高制度的執(zhí)行力，首先要不斷創(chuàng)新與完善安全管理工作制度。制度本身是否科學合理，對制度執(zhí)行力大小有著根本性的影響。因此，對具有嚴肅性和不可違反性的包含有操作程序、技術要求、安全條例等項內容的規(guī)章制度，數字圖書館要不斷根據網絡信息安全發(fā)展中出現的新問題、新情況，對不合時宜的制度及時進行修正和補充。制度完善不能盲目跟風，各個圖書館必須結合自身特點，不斷總結制度建設中的經驗教訓，改革創(chuàng)新完善制度建設的內容，力求實現制度的可持續(xù)發(fā)展。另外，建立監(jiān)督審計機制，強化責任監(jiān)督，確保網絡信息安全管理效能。數字圖書館安全防護體系要做到“事前防范、事中控制、事后審計”，在制度上就必須做出預先的安排，以檢測危機事件，并做出預警準備，以事前預防和控制替代事后的責任威懾。設立專門的主管部門，通過網絡信息安全主管部門這一監(jiān)督主體，加大對安全管理制度的監(jiān)督審計，通過及時修正完善各項安全管理規(guī)章制度，加強對安全工作的督查檢查，以提高相關工作人員遵章守紀的安全意識。其次，要提高制度主體（人）的執(zhí)行力。任何制度要達到有效的管理效能，就必須通過制度主體相關人員的具體行為實現。而相關人員的責任心、態(tài)度、素質及能力水平，直接影響著制度執(zhí)行行為和方式的選擇，直接關系著制度執(zhí)行力的高低。主體要提高執(zhí)行力，就必須強化制度認知。網絡信息安全管理體系的建設，離不開不斷創(chuàng)新和完善的規(guī)章制度和制度的落實。對制度有準確認知，制度才有可能落在實處。為此，數字圖書館要特別組織相關負責人員及館員認真學習相b9c92e440c2e164f63289d5e2b129904關的政策、法律法規(guī)和安全管理規(guī)章制度，使他們對制度的實現目標、內容、作用、邊界等準確認知。特別是對各自的責任和義務等的準確認知，如明確崗位職責，使每一位管理人員按照自己的崗位和職權管理使用系統(tǒng)；明確責任，使安全管理技術人員懂得他們是技術責任第一人，懂得自己責任邊界及范圍。使圖書館管理者明確他們是安全管理責任第一人，是安全制度的制定者又是安全制度的督察者。主體對制度內容、邊界等準確認知，才能對照制度找差距，發(fā)現薄弱環(huán)節(jié)和問題，及時糾正，才能將責任認識內化為行為準則，最終上升為自覺行為。主體要提高執(zhí)行力，需增強對制度認同。通過自主學習、教育培訓、有針對性的實踐活動不斷提高制度主體的素質，提高執(zhí)行制度能力水平，從而增強全體館員特別是安全管理技術人員對管理制度中包含操作規(guī)程、技術要求、安全條例等項內容的硬性管理規(guī)章制度的認同。如系統(tǒng)安全責任與監(jiān)管制度；重要軟件系統(tǒng)和關鍵硬件設備的操作制度；系統(tǒng)管理人員、操作人員責任制度；用戶權限分配和管理制度；系統(tǒng)災難應急預案；事故責任認定和責任追究制度等制度的認同。主體要提高執(zhí)行力，還需堅持說服教育與強制執(zhí)行相結合，綜合利用多種執(zhí)行手段，有效推動制度執(zhí)行。
　　 強化制度執(zhí)行意識，實現人與制度的良性互動，把學習、執(zhí)行、維護制度內化為一種素質，這樣，圖書館才能真正創(chuàng)設個個嚴守制度的良好氛圍。
　　信息安全主體的責任。網絡信息安全所關涉到的技術和管理都有自己的責任邊界和范圍。技術確保信息安全實現，管理確保信息安全落實。如管理制度中的具有明確責任規(guī)定和追究措施的問責制，就進一步明確了問責的范圍和對象，以及崗位責任的邊界和范圍。比如規(guī)定輔助維護人員只能對設備和服務器進行一定范圍內的更改，而關鍵及核心的改動則必須由主要維護人員來完成。規(guī)定系統(tǒng)管理員必須按技術規(guī)程操作，定期檢查系統(tǒng)與設備運行狀況，并隨時根據系統(tǒng)運行狀況調整安全策略。另外，技術與管理的疏漏很大程度上只有在出現安全問題時才能顯現出來，這就要求數字圖書館信息安全主管部門必須從技術和管理上做出預先的安排，以檢測危機事件，做出預警準備。圖書館主管安全的各級領導必須承擔起管理責任，定期督查制度的執(zhí)行，修正不合理的制度。安全管理技術人員必須承擔起安全技術保障的技術責任，把好安全管理技術關。（作者分別為：西北農林科技大學圖書館館員；副研究館員）