美國高校圖書館信息安全管理分析與啟示

林 新 （海南師范大學圖書館 海南 海口 571158）

目前，國內高校圖書館信息安全管理水平相對較低，大多數高校圖書館還停留在依賴技術提供安全保障的階段。美國高校圖書館經過多年發展，積累了十分豐富的信息安全管理經驗，取得了良好的成效。許多美國高校圖書館建立了一套完善的信息安全管理體系，具有健全的管理制度和組織機構，能夠有效應對各類突發信息安全問題。本文選取了美國幾所著名高校的圖書館，如斯坦福大學、哈佛大學和伯克利大學的圖書館等作為實證分析對象，對其信息安全管理進行深入分析，對其組織架構、管理制度、管理文化等方面開展具體討論，以期為國內高校圖書館加強信息安全管理提供有益的指導建議，不斷促進其綜合管理水平的提升。

1 圖書館信息安全管理的發展

隨著信息化水平的不斷提高，國內高校圖書館信息化建設步入了一個新的發展階段。信息是高校圖書館重要的無形資產，高校圖書館擁有眾多數字化知識產權作品，如何保障其安全是新時期高校圖書館管理的重要工作內容之一。高校圖書館的讀者眾多、業務面分布廣泛、運營環境復雜多變，這對信息安全管理提出了嚴格的要求。信息安全工作的主要宗旨是保證信息不受任何非法盜取、復制和損害的威脅，為高校圖書館運行提供堅實的安全保障。信息安全工作的重點是不斷提高數字化信息的穩定性和保密性[1]。隨著信息安全問題的日益突出和嚴峻，高校圖書館開始高度重視信息安全管理工作，其信息安全管理水平不斷提高。總體而言，高校圖書館信息安全管理主要經歷了3個發展階段：

第一階段，技術保障階段。該階段主要通過技術手段來構建信息安全體系，如登錄密碼、操作權限及限制訪問等。這時的圖書館信息安全管理過度強調技術手段的應用，對管理方法重視不足，沒有充分考慮信息安全策略和意識方面的因素。相應地，人們也沒有樹立正確的信息安全觀念，認為那只是專業技術人員的工作，與自己無關。

第二階段，管理保障階段。隨著互聯網技術的不斷發展和進步，高校圖書館開始重視信息安全防范問題，國內學者對信息安全的研究也逐漸豐富起來，取得了大量具有參考價值的信息安全管理研究成果。同技術階段相比，該階段信息安全管理強調各級管理人員的積極參與，圖書館在組織架構方面進行了相應的調整，設置了專門的信息安全管理崗位。

第三階段，制度保障階段。隨著信息化水平的不斷提高，圖書館相比其他部門和組織更加重視信息安全管理工作，由此引發了第三次圖書館信息安全管理浪潮，即采用制度規范的方式來加強信息安全管理。其主要包含以下4個方面的內容：①信息安全標準化。圖書館采用國際通用的信息安全技術標準開展管理工作。通過參考安全標準，不斷健全和完善自身信息安全管理機制，切實提高信息安全管理水平[2]。②信息安全認證。安全認證可以很好地回答“什么是圖書館信息安全”或者“怎樣才能夠最大程度地保障圖書館信息安全”等問題[3]。③建立圖書館信息安全文化。通過發揮文化的制約和規范作用，圖書館引導人們重視信息安全管理工作，不斷提高信息安全防范的總體水平[4]。④采用持續跟蹤手段和技術來提高圖書館信息安全管理水平。圖書館采用網絡信息監控系統來密切跟蹤數字化信息流向和變化，及時發出安全預警。

2 美國高校圖書館信息安全管理部門情況

2.1 信息安全管理部門名稱

隨著信息安全意識不斷增強，美國高校圖書館基本上都成立了專門的信息安全管理部門。由于不同高校管理體制和文化存在較大差異，導致圖書館信息安全管理部門的名稱也各異，但是大多都包含了“information”、“security”等關鍵詞，此外，諸如“privacy”、“technology”等名詞也頻繁出現，詳見表1。

2.2 部門隸屬關系

20世紀90年代中期，美國高校開始探索CIO制度，并進行了大量實踐。1990年，美國麻省理工學院教授Kenneth C Green第一次提出了“校園信息化”的概念，并啟動了高校信息化科研課題：Campus Computing Project（簡稱CCP）[5]。至今該項目已運行了20多年，是當前全球高校最具代表意義的信息化科研項目。根據2010年CCP公布的一份報告顯示：有七成的美國高校建立了基于CIO的信息化管理架構[6]。本文選取的幾所美國高校都建立了完善的CIO體系，因此，本文將從信息安全管理部門在CIO體系中的功能和作用、與圖書館內部管理架構之間的關系兩個角度來探討圖書館信息安全管理部門的隸屬關系。通過分析美國5所高校（具體見表1）的CIO組織體系結構圖發現，這5所高校圖書館信息安全管理部門都是直接隸屬于學校最高管理機構，與圖書館技術部門是上級或平級關系。例如，斯坦福大學圖書館的信息安全部直接對CIO負責，通過后者向學校董事會匯報工作；伯克利大學圖書館的信息安全和隱私保護部直接對分管副校長負責，由后者向校董事會匯報工作；而印第安納大學圖書館的信息技術安全部直接向學校CIO或信息技術安全管理辦公室負責。

2.3 部門組織結構

受管理制度和文化等因素的影響，各高校圖書館信息安全管理部門組織架構存在較大差異。大多數高校圖書館信息安全管理部門都是一個實體機構，擁有完善的人員編制和職責體系。有些高校還將IT技術人員和系統維護人員納入到圖書館信息安全管理部門，以強化該部門的系統開發和維護工作。一般而言，美國高校圖書館主要采用了以下幾種運行模式：①圖書館信息安全管理部門直接對CIO負責，由后者協調各項工作，制定行之有效的技術解決方案，提供技術支持，不斷提高圖書館信息安全管理部門應對各種信息安全問題的能力。② 圖書館信息安全管理部門直接對校董事會和CIO負責，由圖書館信息安全管理部門向CIO提供技術解決方案，校董會負責協調各方工作關系，配置相關管理資源。③其他IT信息部門同時向CIO負責，這類機構具有充足的信息安全管理資源，一旦遇到安全問題就會提供必要的支持，解決圖書館遇到的各種安全問題。

除此之外，還有一些高校圖書館沒有建立固定的信息安全管理隊伍，其信息安全管理工作主要通過委員會來組織和開展。例如，伯克利大學圖書館信息安全管理工作由CIO統籌和指揮，每屆委員會任期1年。委員會成員由民主投票產生，執行主席任期為兩年，屆滿后重新選舉新的主席。所有重大決議都由委員會全體成員投票表決，參與投票的成員超過委員會總人數的2/3為有效決議。另外，圖書館信息安全管理部門還對投票表決程序和流程做出了明確規定。

表1 美國部分高校圖書館的信息安全管理部門名稱及其隸屬關系

表2 德克薩斯大學達拉斯分校圖書館和哈佛大學圖書館的信息安全策略和操作規范比較

3 美國高校圖書館信息安全管理部門職責

美國高校圖書館信息安全管理部門的業務范圍十分廣泛，包括應用軟件、數字化作品、水印加密、信息保密以及IDC（Internet Date Center，互聯網數據中心）維護、服務器管理和信息網絡維護等。一般而言，圖書館信息安全管理部門主要是通過風險評估、建立預防機制和主動干預的方式來加強信息安全風險管理。不同高校圖書館信息安全管理部門的職責內容存在較大區別，但是基本上都涉及到信息系統維護、信息風險評估、風險預防機制建設、安全文化建設及系統維護等幾個方面：（1）信息安全體系建設，根據圖書館數字化資源管理的特點，構建一套科學、完善的安全體系；（2）信息安全措施和流程制定，結合圖書館信息安全管理現狀，制定一套完備的信息安全管理流程和架構；（3）安全風險預防，針對圖書館存在的重大信息安全隱患進行評估和分析，制定行之有效的信息安全預防體系；（4）信息分級管理，根據信息重要性，對不同數字化信息進行科學分類、分級，并制定有針對性的預防措施和方案；（5）安全事件預警系統，針對不同等級的安全事故建立相應的預警系統；（6）信息安全文化建設，通過開展培訓、講座等活動，建立濃厚的信息安全管理文化氛圍。一般而言，信息安全管理部門會建立一套完善的信息安全預防體系，如應對措施和操作策略，針對電子郵件的信息安全防護，制定一系列信息安全管理措施等，如表2所示。

從表2中可以看出，高校圖書館信息安全管理策略存在較大差異。德克薩斯大學達拉斯分校圖書館主要強調從法律層面加強信息安全保護，并對保護對象進行了分類和分級管理，再制定相應的管理規范；哈佛大學圖書館則制定了統一的信息安全管理策略，從技術層面制定了一套完善的信息風險預防體系，明確各部門風險預防職責，建立了一套信息安全風險預防聯動機制。

4 分析與啟示

通過全面深入地分析美國5所高校圖書館信息安全管理現狀，我們可以總結出以下幾方面有益經驗：（1）建立專門的信息安全管理部門，由其負責向學校領導層匯報相關工作開展情況，提高了部門信息安全管理的執行效率。（2）將信息安全管理體系納入到高校圖書館綜合管理目標體系當中，基于具體業務風險構建一套行之有效的信息安全管理機制。（3）要強化信息安全管理，不僅要制定一套完善的管理制度，還要明確各部門的工作職責和操作策略，加強監督，確保各項工作措施落到實處。

在研究過程中，我們發現美國高校圖書館有以下幾方面工作經驗值得借鑒：（1）做好數據分類和分級管理工作。圖書館數據具有不同的重要性，因此要采用分級管理來提高安全管理效率，針對不同管理級別的數據制定對應的管理規范和規則，在保證數據安全的同時，降低安全管理成本。例如，核心數據、機密信息要采取最高級別的防范措施，而對于一些常見的、普遍性的信息可以通過限制訪問對象來實現安全保護。（2）集中管理關鍵數據。針對關鍵數據信息的安全管理，圖書館要建立一套集中化管理系統，采取特別的安全防范措施。這樣既可以有效地提高重要數據的安全管理水平，又可以提高信息安全管理效益。（3）大力普及和推廣安全規范。圖書館要在全校范圍內加強信息安全宣傳教育工作，不斷提高廣大師生的信息安全意識；通過舉辦各種培訓活動，不斷提高師生信息安全防范水平和技能，樹立良好的信息安全管理觀念。例如，圖書館可以通過安全教育引導學生養成良好的數據安全管理習慣等。（4）加強監督和審計工作。圖書館信息安全管理部門不僅要努力構建一個安全的信息使用環境，還要加強對圖書館用戶行為的監督和審計，及時發現安全隱患，并采取有效的措施加以應對。

[1]王東波,張宏濤.數字圖書館數據安全技術的新進展及應用研究[J].圖書館學研究,2008(6):7-10,14.

[2]丁小文.網絡時代的圖書館信息安全理論與技術問題研究[J].中國圖書館學報,1998(5): 38-41.

[3]Thompson S T C. Helping the Hacker? Library Information, Security,and Social Engineering[J]. Information Technology and Libraries,2013,25(4):222-225.

[4]Shuman B A. Library Security and Safety Handbook: Prevention,Policies and Procedures[M]. Chicago:ALA Store,1999:55.

[5]Green K C. Campus Computing, 2000: The 11th National Survey of Computing and Information Technology in American Higher Education[J]. American Educational Research Journal,2001(5):15.

[6]Green K C. The 2010 Campus Computing Survey[J].Retrieved October,2010(6):2011.

[7]Library Policies[EB/OL].[2013-12-16].http://www.utdallas.edu/library/.