信息技術(shù)環(huán)境下圖書館信息安全及對策研究

劉 念

（西安建筑科技大學(xué)圖書館 陜西 西安 710055）

信息技術(shù)在圖書館的廣泛應(yīng)用，給圖書館信息資源的開發(fā)和利用帶來了諸多方便，各類信息技術(shù)日益成為圖書館服務(wù)的必要保障，也使信息安全問題變得十分突出。因此，信息技術(shù)環(huán)境下圖書館必須充分認(rèn)識現(xiàn)代信息技術(shù)，尤其是信息網(wǎng)絡(luò)的發(fā)展對信息安全的影響，采取多種措施保障圖書館信息系統(tǒng)安全。

1 信息技術(shù)環(huán)境下圖書館服務(wù)的實現(xiàn)途徑

1.1 手機(jī)圖書館

手機(jī)圖書館系統(tǒng)是無線移動通信技術(shù)在圖書館領(lǐng)域的應(yīng)用，它可以很好地與數(shù)字圖書館業(yè)務(wù)管理系統(tǒng)相結(jié)合，并將數(shù)字圖書館的服務(wù)延伸到手機(jī)終端，把數(shù)字圖書館的讀者服務(wù)功能盡可能多的在手機(jī)上實現(xiàn)。手機(jī)圖書館最大的優(yōu)勢在于其訪問方便靈活，不受時間和空間限制，讀者可以隨時隨地訪問圖書館的資源。還可以按照個人喜好來定制各種信息服務(wù)，如綁定手機(jī)、短信提醒服務(wù)等個性化服務(wù)。讀者可以在數(shù)字圖書館業(yè)務(wù)系統(tǒng)的WEB網(wǎng)站設(shè)定與當(dāng)前讀者相關(guān)聯(lián)的手機(jī)號，同時系統(tǒng)會發(fā)送自動生成的驗證碼到讀者手機(jī)，以確認(rèn)讀者身份，完成手機(jī)號碼的綁定。

1.2 數(shù)字電視圖書館

數(shù)字電視的發(fā)展為信息技術(shù)服務(wù)的實現(xiàn)提供了良好的機(jī)遇。圖書館可以利用數(shù)字電視的交互功能開發(fā)相應(yīng)的接口，將數(shù)字圖書館與數(shù)字電視連接起來，用戶只要打開電視通過遙控器就可以享受數(shù)字圖書館的便利服務(wù)。如“國圖空間”是全球首家國家圖書館的數(shù)字電視應(yīng)用服務(wù)，現(xiàn)已覆蓋北京地區(qū)360余萬戶家庭，用戶足不出戶即可享受國家數(shù)字圖書館的資源和服務(wù)。服務(wù)內(nèi)容包括館況介紹、館內(nèi)動態(tài)、新書快遞、圖書續(xù)借等7個欄目，用戶可通過電視訪問圖書館的數(shù)字資源，完成圖書的檢索與續(xù)借，瀏覽文化共享工程的多媒體資源等。

1.3 圖書館聯(lián)盟

信息網(wǎng)絡(luò)技術(shù)為圖書館服務(wù)聯(lián)盟的實現(xiàn)提供了技術(shù)保障。通過組建圖書館服務(wù)聯(lián)盟可以充分發(fā)揮圖書館資源共建共享的整體優(yōu)勢。我國圖書館服務(wù)聯(lián)盟發(fā)展已初具規(guī)模，形成了全國性的、區(qū)域性的和專業(yè)性的圖書館聯(lián)盟。其主要的服務(wù)有文獻(xiàn)傳遞，館際互借等［1］。

2 信息技術(shù)環(huán)境下圖書館信息安全問題

信息技術(shù)環(huán)境下圖書館的信息服務(wù)具有基于網(wǎng)絡(luò)、開放獲取等顯著特點，其面臨的安全問題較之傳統(tǒng)圖書館更多，主要包括非法用戶通過網(wǎng)絡(luò)進(jìn)行的網(wǎng)絡(luò)攻擊和開放獲取階段的版權(quán)管理問題。

2.1 用戶數(shù)據(jù)及身份的保密性、泄露風(fēng)險

用戶在使用圖書館檢索終端進(jìn)行咨詢時，需要一定的身份注冊和驗證，往往會產(chǎn)生Cookie數(shù)據(jù)，記錄下用戶的檢索歷史等信息，這便涉及到用戶的身份及隱私。如果黑客等一些非授權(quán)訪問的主體利用自己的計算機(jī)技能實施入侵系統(tǒng)，破壞系統(tǒng)，或者一些不法分子將用戶的數(shù)據(jù)隱私記錄或分析后盜賣給他人，使用戶的操作信息、獲取資料、賬號密碼等個人信息外泄。圖書館的信息安全將會遭到破壞。

2.2 開放端口風(fēng)險

圖書館的數(shù)字化信息通常是以Web站點的形式對外開放服務(wù)的，因此必須開放一些服務(wù)端口，同時系統(tǒng)的服務(wù)器一般存放在專門的服務(wù)器中心，管理人員需要對服務(wù)器進(jìn)行操作基本都會采取遠(yuǎn)程控制等手段，也必須開放一些服務(wù)端口和訪問權(quán)限，而在進(jìn)行這些正常數(shù)據(jù)交換時，數(shù)據(jù)信息可能被中間者跟蹤、破解，造成安全威脅［2］。

2.3 身份認(rèn)證風(fēng)險

服務(wù)器系統(tǒng)登錄和主機(jī)登錄一般都是使用固定口令，甚至有時候很多人都是用同一種口令，如有的系統(tǒng)就一直使用默認(rèn)的用戶名及密碼，如admin等，且在數(shù)據(jù)庫中有存儲記錄，可重復(fù)使用。這樣非法用戶通過窮舉攻擊等手段往往很容易得到這種靜態(tài)口令，可對資源的安全造成嚴(yán)重威脅［3］。

2.4 館藏文獻(xiàn)的數(shù)字化和提供帶來的風(fēng)險

隨著圖書館聯(lián)盟的推廣，數(shù)字圖書館檢索平臺可以幫助用戶進(jìn)行瀏覽、查詢、文獻(xiàn)請求，下載乃至上載文獻(xiàn)，即館藏文獻(xiàn)數(shù)字化。這些平臺的建設(shè)與維護(hù)存在著知識產(chǎn)權(quán)和版權(quán)的風(fēng)險。比如館際互借和文獻(xiàn)傳遞，在館際互借和文獻(xiàn)傳遞之前，一般會發(fā)生復(fù)制行為。如數(shù)字化、錄入、掃描等，之后再向用戶傳遞。那么這些資源的版權(quán)將受到威脅。

3 信息技術(shù)環(huán)境下圖書館信息安全問題對策

針對信息技術(shù)環(huán)境下圖書館的安全問題，需要分別從技術(shù)、運(yùn)行、管理等3個方面提出解決對策，如圖1所示。

圖1 信息技術(shù)環(huán)境下圖書館安全保障

3.1 數(shù)據(jù)安全問題對策

3.1.1 提高數(shù)據(jù)安全技術(shù)

（1）身份認(rèn)證技術(shù)。隨著智能手機(jī)和平板電腦等移動終端的廣泛流行，手機(jī)等移動終端登陸圖書館是泛在圖書館實現(xiàn)的重要途徑之一。可采取短信密碼的形式，當(dāng)用戶登錄圖書館資源時，身份認(rèn)證系統(tǒng)以短信形式發(fā)送隨機(jī)的6位密碼到用戶的手機(jī)上。用戶在登錄認(rèn)證時候輸入此動態(tài)密碼，從而確保系統(tǒng)身份認(rèn)證的安全性。由于手機(jī)與用戶綁定比較緊密，短信密碼生成與使用場景是物理隔絕的，因此密碼在通路上被截取幾率降至最低。

（2）防火墻技術(shù)。防火墻具有很好的保護(hù)作用。首先，入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計算機(jī)。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計算機(jī)上被執(zhí)行。其次，防火墻還可以關(guān)閉不使用的端口，而且還能禁止特定端口流出通信，封鎖特洛伊木馬。第三，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

（3）入侵檢測與系統(tǒng)審計技術(shù)。通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。在發(fā)現(xiàn)入侵后會及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。對互聯(lián)網(wǎng)進(jìn)行有效監(jiān)督，預(yù)防、制止數(shù)據(jù)泄密。

（4）加密技術(shù)。用加密來保護(hù)信息。利用密碼變換將明文變換成只有合法者才能恢復(fù)的密文，在信息傳輸過程中加密。

3.1.2 運(yùn)行控制

（1）訪問控制。按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源，允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源，并阻止用戶對非授權(quán)網(wǎng)絡(luò)資源進(jìn)行訪問。

（2）數(shù)據(jù)備份與容災(zāi)。將海量數(shù)據(jù)以某種方式保存，當(dāng)數(shù)據(jù)遭到破壞時，可迅速恢復(fù)，重新加以利用［4］。

3.1.3 加強(qiáng)管理

（1）安全管理制度。信息技術(shù)環(huán)境下圖書館安全管理制度是系統(tǒng)管理的一個重要內(nèi)容，是保障系統(tǒng)按照目標(biāo)運(yùn)行、效益最大化的必要條件和保障措施。安全管理制度必須建立圖書館運(yùn)行的安全管理組織和系統(tǒng)安全等級，制定嚴(yán)格的技術(shù)文件管理制度、規(guī)范的系統(tǒng)操作程序，針對系統(tǒng)運(yùn)行可能遇到的故障、災(zāi)難和攻擊，建立完善的系統(tǒng)運(yùn)行災(zāi)備制度和審計制度。

（2）授權(quán)管理。在信息技術(shù)環(huán)境中，用戶權(quán)限的分配必須遵循“最小特權(quán)”原則。最小特權(quán)原則要求信息系統(tǒng)中每個用戶所必須的最小特權(quán)，確保可能由事故、錯誤、系統(tǒng)部件的篡改等原因造成的損失最?。?］。

（3）角色管理。信息技術(shù)環(huán)境條下，用戶可以運(yùn)用各類工具訪問數(shù)據(jù)資源和設(shè)備資源，因此識別資源使用者的角色，及時發(fā)現(xiàn)混淆在正常用戶中的非授權(quán)者和黑客也變得更加重要，這一任務(wù)的技術(shù)難度也不斷提高。信息技術(shù)環(huán)境下的角色管理，訪問工具差異很大，安全管理人員不能籠統(tǒng)定義用戶角色，而應(yīng)針對各類訪問工具的特征進(jìn)行角色定義，并分析工具之間的差異，明晰角色之間的對應(yīng)關(guān)系，對用戶角色集合劃分同類項，依據(jù)同類項定義角色管理策略。

（4）安全培訓(xùn)。圖書館應(yīng)根據(jù)涉及的業(yè)務(wù)范圍，分別對管理層、系統(tǒng)管理員和使用者進(jìn)行信息安全的教育培訓(xùn)。培訓(xùn)內(nèi)容主要包括：安全意識和法律意識的培養(yǎng)、泛在圖書館正確使用的程序培訓(xùn)、系統(tǒng)災(zāi)備程序培訓(xùn)、系統(tǒng)審計制度的培訓(xùn)［6］。

3.2 知識產(chǎn)權(quán)風(fēng)險問題對策

如何避免圖書館聯(lián)盟后圖書館服務(wù)模式中知識產(chǎn)權(quán)的風(fēng)險，如文獻(xiàn)傳遞，館際互借所帶來的版權(quán)問題。應(yīng)采取如下措施：（1）將文獻(xiàn)傳遞控制在合理的使用范圍內(nèi)。對文獻(xiàn)的傳遞，要限定在著作權(quán)法規(guī)定的范圍內(nèi)，文獻(xiàn)傳遞的承擔(dān)人有義務(wù)提醒其服務(wù)對象不能將傳輸?shù)奈墨I(xiàn)用于商業(yè)目的，只能用于個人學(xué)習(xí)，研究的目的。（2）各高校圖書館應(yīng)制定自己的館際互借版權(quán)政策（多個圖書館聯(lián)合制定的），在政策允許的前提下進(jìn)行館際互借。

4 結(jié)束語

目前，信息技術(shù)環(huán)境下的圖書館服務(wù)模式創(chuàng)新取得了一些成績，信息安全管理是服務(wù)模式創(chuàng)新的關(guān)鍵影響因素。本文分析了信息技術(shù)環(huán)境下圖書館運(yùn)行中存在的新安全問題，并分別從技術(shù)、運(yùn)行、管理、版權(quán)等4個層面重點論述了破解這些問題、實現(xiàn)新型圖書館服務(wù)模式高效運(yùn)行的策略和舉措。希望這些信息安全技術(shù)及管理策略能起到“拋磚引玉”的作用，引發(fā)國內(nèi)各圖書館信息管理者關(guān)注信息技術(shù)環(huán)境，思考和討論新技術(shù)環(huán)境和服務(wù)模式下圖書館安全管理問題，推動圖書館安全管理的實踐工作創(chuàng)新，實現(xiàn)科學(xué)發(fā)展、高效安全的圖書館用戶服務(wù)。

［1］申彥舒.國內(nèi)泛在圖書館建設(shè)現(xiàn)狀調(diào)查研究［J］.四川圖書館學(xué)報，2012，（5）：40－43.

［2］鄭慶勝.數(shù)字圖書館網(wǎng)絡(luò)系統(tǒng)安全與數(shù)據(jù)安全問題探討［D］.導(dǎo)師：陳佩華.湘潭大學(xué)，2004：33－40.

［3］駱永成.數(shù)字圖書館敏感數(shù)據(jù)匿名發(fā)布若干關(guān)鍵技術(shù)研究［D］.導(dǎo)師：樂嘉錦.東華大學(xué)，2011：2－3.

［4］高萬斌.圖書館數(shù)字化信息的安全保障策略研究［D］.導(dǎo)師：余世明.浙江工業(yè)大學(xué)，2012：20－25.

［5］Ben Mankin.The Formalisation of Protection Systems［D］.UK：University of Bath，2004.

［6］柳純錄.系統(tǒng)集成項目管理工程師教程［M］.北京：清華大學(xué)出版社，2009：452－453.