淺議高校圖書館信息安全

摘要：高校圖書館遇到的信息安全問題是多方面的，信息安全工作人員應綜合考慮各種因素，采取一系列措施來保障圖書館的信息安全。

關鍵詞：信息安全網絡安全災備業務持續性入侵檢測

目前，高校圖書館大多實現了圖書館業務的信息化，這使得圖書館的各項服務都依托于計算機網絡。信息化在給圖書館、讀者帶來便利的同時也帶來了各種脆弱性和威脅。信息安全問題已成為高校圖書館不容回避的嚴峻問題。

1 高校圖書館信息安全面臨的挑戰

高校圖書館面臨各種各樣的信息安全問題，網絡可能不通，軟硬件可能失效，讀者隱私可能泄露，辦公數據可能丟失等等。任何信息安全問題一旦發生，輕則造成不良影響，重則可能是圖書館服務中斷甚至停止，造成圖書館經濟、聲譽上的損失。最近天涯、csdn等著名網站的用戶密碼泄露事件影響很惡劣，這也給我們高校圖書館界敲響了警鐘。

高校圖書館信息安全面臨的挑戰主要有如下幾個方面：

1.1 病毒、蠕蟲、木馬等惡意軟件

病毒如熊貓燒香、威金等經常在電子閱覽室肆虐。由于可以訪問互聯網和使用U盤，電子閱覽室的閱覽機器經常會感染病毒，不僅會導致閱覽室里的機器不能正常使用，還會造成讀者的手機、MP3、U盤中毒，給圖書館聲譽造成損失。蠕蟲如紅色代碼、沖擊波、震蕩波等對服務器和網絡會造成巨大危害。如果沒有打相應的補丁，蠕蟲能造成網絡中斷，機器不斷重啟的惡劣后果。木馬如灰鴿子等，能讓黑客遠程控制電腦，會造成賬號丟失、信息泄露的后果。

1.2 軟硬件因素

據報道，2011年，由于EBS（彈性塊存儲）軟件中的一個錯誤，亞馬遜的云服務因故障停止工作了幾天。因為軟件錯誤讓使用亞馬遜云服務的用戶蒙受了巨大的損失。

任何操作系統有漏洞，很容易遭到計算機病毒或人為因素的破壞。這其中給人印象最深刻的就是沖擊波和震蕩波利用windows系統漏洞所帶來的災難性破壞。雖然軟件公司不定期發布系統安全漏洞補丁，由于補丁發布和系統打補丁之間還有個時間差，這也給了黑客攻擊和病毒傳播以可乘之機。

從服務應用軟件來說，高校圖書館所使用的軟件各種各樣，安全性方面也存在著各種差異。軟件的質量和開發水平的高低，直接影響著軟件本身的安全性能。另外，數據庫的可靠性問題也影響著數據安全。

硬件因素包括硬件系統性能和配置不合理，網絡通信線路故障，硬件元器件破損、老化，零配件質量、供應不足、停產等等。因此，對老化或破損比較厲害的硬件要及時進行更換，出現的系統故障也要盡早解決。否則任何一個小小的問題都可能造成系統故障，甚至整個網絡的癱瘓。有些網絡設備因為出廠配置不合理，直接在默認條件下安裝使用會出現嚴重的安全漏洞。

1.3 人為因素

內部工作人員的工作技能、職業道德與信息安全密切相關。主要表現為：管理者安全意識淡薄，對系統安全認知不足；網絡管理人員和技術人員責任心不強，缺乏必備的專業技能，不能很好地管理配置網絡資源；安全管理體制不完善或執行力度不足，導致數據信息泄露，給攻擊者以可乘之機。

對外部人員來說主要是一些道德水準低下的用戶破壞以及某些網絡黑客的蓄意攻擊而造成的系統故障。典型的黑客攻擊有入侵系統攻擊、欺騙攻擊、拒絕服務攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊、社交工程攻擊等。操作系統、數據庫管理軟件等都可以成為黑客攻擊的對象。由于黑客的攻擊范圍大大，隱蔽性強，往往難以察覺，對圖書館網絡信息造成嚴重破壞，甚至使整個系統癱瘓。目前黑客工具種類繁多。容易獲取，容易使用，掌握一定計算機知識的人都可以利用這些工具發動攻擊。

1.4 自然環境因素

08年給附近高校帶來了極為嚴重損失的汶川大地震，提醒我們像火災、地震、水災、雷電、震動、供電、靜電、灰塵、強磁場、腐蝕性物質、生物災害等諸多因素都可能影響信息安全。

2 高校圖書館解決信息安全問題的措施

高校圖書館應對上述的信息安全問題，應從以下三個方面著手：

2.1 信息安全制度、規定的建立和實施

高校圖書館應在信息安全方面首先建立一套完善的規章制度，完善安全管理體系。其中包括完善的管理制度、有效的管理機構、針對性培訓和明確的安全責任體系等，做到信息安全、人人有責。圖書館可以參考國際、國內、行業的相關標準如ISO/IEC 27001 、ISO/IEC 17799 、BS779等等，結合實際情況完善、規范圖書館信息安全工作。需要強調的是一定要重視業務持續性計劃、災備計劃、應急計劃的制定、實施和演練。

2.2 加強員工法律法規和職業道德的教育和信息安全意識的培養

人的安全意識觀念決定著信息安全工作的順利開展。除了加強信息安全技術培訓和網絡安全意識的教育以外，高校圖書館可以學習相應的法律法規如1994年中華人民共和國計算機信息系統安全保護條例、1997年中華人民共和國計算機信息網絡國際聯網管理暫行規定、1997年計算機信息網絡國際聯網安全保護管理辦法、2000年互聯網信息服務管理辦法等，同時還可以學習國際國內的相應的信息安全案例如著名黑客米特尼克被捕。這些可以使員工和讀者明了信息安全的重要性和違反法律的后果。職業道德方面的教育讓員工明白自己的工作職責，加強道德約束。

2.3 部署合適的軟硬件信息安全產品，形成一個統一的防護體系

合適的軟硬件信息安全產品是實施信息安全工作的物質基礎。目前主要有這些與信息安全相關的軟硬件設備：

認證設備，主要用于鑒別用戶，授權認證用戶。確保用戶與實際身份相符。

防火墻，主要用于內部網絡與外部網絡之間或兩個信任程度不同的網絡之間信息流動的過濾。作為不同網絡或網絡安全域之間信息的唯一出入口，防火墻根據網絡安全策略控制(允許、拒絕、監測)出入的信息流，盡可能對外部屏蔽內部的信息、結構和運行情況，以防止潛在破壞性的入侵發生。

防毒墻、企業版殺毒軟件，用于防范、查殺潛藏于硬盤、U盤、網絡、郵件的病毒和木馬。

IDS/IPS，包括基于主機的入侵檢測技術和基于網絡的入侵檢測技術兩種?？梢杂糜诒Ｗo應用網絡連接的主要服務器。實時監視可疑的連接和非法訪問的闖入，并對各種入侵行為立即做出反應，如記錄證據，追蹤侵入痕跡、斷開網絡連接等。

上網行為管理系統和流量監控管理系統，可以來制定個性化的網頁訪問策略，過濾非工作相關的網頁；制定有效的網絡應用控制策略，封堵與業務無關的網絡應用，引導員工、讀者在合適的時間做合適的事；制定精細的帶寬管理策略，對不同員工、讀者、不同網絡應用劃分帶寬通道，并設定優先級，合理利用有限的帶寬資源，節省投入成本；可以制定全面的信息收發監控策略，有效控制關鍵信息的傳播范圍，以及避免可能引起的法律風險；可以實時了解、統計、分析互聯網使用狀況，并根據分析結果對管理策略做調整和優化。

漏洞管理系統，主要用于軟件補丁的分發和安裝。

災備系統和數據備份系統，用于數據備份和在災難條件下維持和恢復業務的正常運營。

內網審計和日志管理系統，用于審查日志和管理用戶記錄。

其他保障如配置UPS保障電力供應，使電源系統處于穩定狀態，保證避免電力造成的數據丟失，設備損壞等，同時還應注意數據中心的防火、防盜、防塵、防水、防腐蝕、防靜電的保障設備的建設。為最大限度防范環境因素影響，高校圖書館還要考慮災備中心的規劃和建設。

3 結語

隨著信息化建設的發展，高校圖書館將更加開放、更加高效，同時這也意味著在信息安全方面將面臨更多的挑戰。信息安全管理作為一項復雜的系統工程，需要信息安全管理人員考慮眾多因素，權衡利弊，不斷地改進和完善信息安全工作，以較好的費效比，盡可能地防御信息安全問題。

參考文獻：

[1]李冠華.高校數字圖書館網絡安全與防御[J].科技情報開發與經濟，2008，18(15)：3—4.

[2]韋文輝.淺議圖書館網絡信息安全體系的構建[J].中國現代教育裝備，2O06(7)：48—50.

[3]段瑩.網絡信息安全問題及對策[J].情報探索，2006(12)：65—66.