數字圖書館網絡信息安全管理初探

高 宏

(西北農林科技大學圖書館，陜西 咸陽 712100)

1 序言

目前，國內數字圖書館在網絡信息安全應用研究方面(即數據安全、系統安全、知識產權維護和網絡安全等)絕大多數都側重于技術，在網絡信息安全實踐中，往往過多重視技術方面的問題，認為所有的網絡信息安全問題依賴先進的技術手段都能得以解決;其實不然，即使我們采用最先進的技術手段，安全管理缺失，網絡信息安全事故依然頻繁發生。因此，網絡信息安全不僅是技術問題，更是人的問題，即管理問題。數字圖書館的安全保障不僅需要技術的支撐，更需要以人為對象的安全管理的落實。安全管理包括：安全意識、相應的規章制度和館員的責任感等。只有安全技術與管理的有機結合，數字圖書館才能在實現資源共享的同時，最大限度地減少網絡信息安全事故的發生，并將網絡信息安全事故的影響與損失降到最低。

2 管理技術在數字圖書館安全保障中的作用

數字圖書館安全保障是指保護計算機網絡系統的硬件、軟件及系統中的數據，使其不因自然災害和人為無意或惡意等原因，而導致各種資源的破壞、更改、丟失或者泄密，從而保障網絡服務不中斷，圖書館工作正常持續進行。數字圖書館基于Internet網絡化信息檢索、信息加工和信息服務，使圖書館讀者服務范圍和內容得以延伸和擴展。但其網絡系統具有的分布廣域性、結構開放性、資源共享性和公用性等特點，以及數字化信息的共享和易于擴散等特性，造成安全不穩定因素增多，風險增大。而數字圖書館要做到既要使網絡信息系統為滿足多元化讀者服務需要，又要使信息在傳遞和使用過程中更為安全，就必須采取技術、管理等綜合措施來保障網絡信息安全。先進的安全技術是實現網絡信息安全的重要手段，數字圖書館要確保其網絡上信息的保密性、完整性和可用性;確保在出現突發故障時能快速提供應急故障的響應手段，快速重組被破壞了的文件或應用，并能有效地防御惡意攻擊和破壞，實現對非法入侵的審計與跟蹤等，這些就必須依靠技術手段來實現。嚴格有效的安全管理是實現網絡信息安全的根本，它較好地解決了技術無法涉及到的由人的問題所引發的安全事故或隱患，并在其有效管控下使技術得以較好地實施。

目前，我國安全技術的應用研究取得顯著成果，不少新興產品和技術逐漸發展成熟，并被不斷地應用在圖書館安全防御體系中。囿于篇幅，本文在此就不予贅述。然而以人為對象的安全管理應用研究，卻滯后于技術發展的步伐，管理的瓶頸大大削弱了安全技術產品所本應產生的防護效果，導致疏于管理所引發的安全事故和安全隱患頻繁發生，這對圖書館網絡信息資源、網絡系統的危害也遠遠大于其它方面造成的危害。可見，僅僅依靠安全技術措施進行防護，防護效果常常不盡如人意。數字圖書館要做到對行為可控、資源可管、事件可查、運行環境可靠，不僅僅取決于安全技術手段，還取決于嚴格有效的安全管理。只有安全技術手段與嚴格有效的安全管理有機結合，數字圖書館才能真正保障網絡信息系統安全、健康運行，確保重要信息(書目數據、讀者個人信息、有償資源等)不被非法讀取、復制、修改、假冒、否認、丟失，甚至毀滅，保證有償資源不被非法使用。

3 數字圖書館網絡信息安全管理措施

3.1 強化圖書館工作人員及讀者的安全責任意識

安全意識的提升對于數字圖書館網絡信息安全來說十分重要。在網絡信息安全管理過程中，安全意識起著至關重要的作用。盡管數字圖書館的網絡設置了多道關卡防止病毒、黑客的入侵以及破壞性行為的發生，但無論多么完善的安全設備都無法完全抵御人為因素所造成的危害。為此，圖書館工作人員，特別是相關技術人員應從思想上高度重視網絡信息安全的重要性，充分認識到數字圖書館Internet/Intranet服務模式所面臨的安全問題，減少認識上的模糊性、籠統性及誤區，克服麻痹和僥幸心理，以全新的安全管理理念和高度的責任心做好圖書館計算機網絡系統和數據資源的安全工作。

另外，我們還要看到員工自身網絡安全知識的不足，關于這點，不同崗位的員工有不同的提高途徑。安全管理技術人員，他們具有很高的權限，可直接操作關鍵設備。因此，他們自身應加強相關法律法規和政策的學習，嚴格遵守館內各項安全操作規則，積極主動深入地研究和掌握安全管理新技術，并有針對性地進行系統與數據恢復的演練，做到心中有數。同時，圖書館應經常派遣他們參加國內外網絡信息安全方面的技術培訓，充實他們的網絡知識、管理知識，做好網絡信息安全的防毒、防黑等技術工作。針對業務服務工作人員，圖書館應通過組織定期或不定期的安全知識教育與安全技能的培訓，提高其自我防范意識和能力，使他們自覺遵守館內上網管理規定。如在工作機上不隨意安裝外掛程序或不明軟件，不隨意打開不明郵件，不瀏覽非法網站。同時，保管好自己的用戶名和密碼，做好保密工作，對操作系統要定期進行安全檢查、掃描和補漏，定期更改系統登錄密碼等。一些工作人員對制定的安全措施不落實，認為配備最優秀的網絡安全產品，就可以高枕無憂了。圖書館應加大檢查力度，對相關技術人員可能因安全知識和管理知識不足而導致出現的操作失誤、組織管理失誤和維護失誤的問題進行預防，加大系統安全教育技能培訓的投入。

對于讀者安全意識薄弱或網絡安全知識貧瘠出現的不規范、不負責的操作行為，圖書館應開展多層次、多方位網絡信息安全宣傳工作。如：發放有關網絡安全知識的宣傳手冊;在電子閱覽登機頁面溫馨提示讀者如何安全進行網絡操作;設立有問必答網絡宣傳欄，使讀者和安全管理人員有效交流，從而讓讀者能夠更安全的操作網絡，圖書館相關工作人員也能及時了解讀者的需求并改進工作。

3.2 健全安全管理規章制度，強化制度的落實

制定全面、細致、嚴格、有效的安全管理規章制度并加以落實，是數字圖書館安全保障的有力手段，要做到用制度規范行為，按職責實施管理，從制度上防范安全問題的發生。首先，從自身實際出發，引進行業先進的安全管理經驗和理論，并根據國家、行業相關法律法規，改革、創新現有的圖書館安全管理規章制度。所謂的制度就是在一定范圍內“要求成員共同遵守的，按一定程序辦事的規程”，科學、細致的安全管理制度，將有利于促使圖書館安全管理工作的責任明確化與具體化。通過強化制度，更有利于調動全體館員工作主動性、積極性、創造性，更能體現人文關懷的柔性管理，促進管理制度與人性化結合，使制度的建立更科學、更合理、更規范、更“人本位”。其次，把制度確定的各項要求落到實處，圖書館工作人員應對各自的責任和義務等有準確的認知，只有對制度內容等準確認知，才能將責任認識轉化為行為準則，最終上升為自覺行為。另外，承擔安全管理主管責任的分管領導，應定期督查館內各項規章制度執行情況，獎罰分明，不合適宜的制度及時修正。

總之，再好的制度單一運行是不能完善地解決網絡信息安全問題的。數字圖書館要真正預防和減少來自內外的安全威脅，最大程度地保護網絡，最大限度挽回網絡信息系統損失，使其安全運行，還需將技術、制度、管理主體(人)的責任相統一，三管齊下。同時，加快網絡安全管理人才的引進與培養，最大限度為圖書館的各項業務工作以及信息服務提供保障。

［1］許晉軍，倪波.網絡信息安全研究［J］.現代圖書情報技術，2008(1).

［2］劉超.數字圖書館的信息安全分析［J］.現代情報，2009(6).

［3］郭洪剛，劉克勝.入侵檢測技術及其脆弱性分析［J］.信息安全技術，2004(5).

［4］韓毅，李融等.數字高校圖書館的安全威脅和控制措施［J］.高校圖書館數字化技術平臺，2004(2).

［5］王以群等.網絡信息安全中的人因失誤分析［J］.情報學科，2007(11).