試論圖書(shū)館信息系統(tǒng)安全策略

高 芹 劉子驥

（濰坊護(hù)理職業(yè)學(xué)院圖書(shū)館 山東 青州 262500）

試論圖書(shū)館信息系統(tǒng)安全策略

高 芹 劉子驥

（濰坊護(hù)理職業(yè)學(xué)院圖書(shū)館 山東 青州 262500）

針對(duì)圖書(shū)館信息系統(tǒng)安全問(wèn)題，本文概述了圖書(shū)館信息系統(tǒng)安全，分析了圖書(shū)館信息系統(tǒng)安全的主要影響因素，提出圖書(shū)館信息系統(tǒng)安全應(yīng)對(duì)策略，主要包括數(shù)據(jù)備份技術(shù)、防火墻技術(shù)、防病毒技術(shù)、訪問(wèn)控制技術(shù)及虛擬專用網(wǎng)技術(shù)。

圖書(shū)館；信息系統(tǒng)；安全策略

隨著信息技術(shù)的迅速發(fā)展，信息系統(tǒng)在圖書(shū)館得到了廣泛應(yīng)用。信息系統(tǒng)在圖書(shū)館的應(yīng)用，將圖書(shū)館工作人員從繁重、重復(fù)的勞動(dòng)中解放出來(lái)，使他們可以有更多的精力從事更高層次的讀者服務(wù)工作，必將對(duì)圖書(shū)館的發(fā)展產(chǎn)生深遠(yuǎn)的影響。任何事物都有其兩面性，圖書(shū)館自動(dòng)化伴隨而來(lái)的信息安全問(wèn)題也日益突出,信息系統(tǒng)安全問(wèn)題已經(jīng)成為圖書(shū)館發(fā)展過(guò)程中必須認(rèn)真面對(duì)的問(wèn)題。

1.信息系統(tǒng)安全概述

信息安全是指信息系統(tǒng)中的硬件、軟件、網(wǎng)絡(luò)、數(shù)據(jù)等受到保護(hù),不因偶然的或故意的原因而遭到刪除、更改、泄露等,系統(tǒng)連續(xù)正常地運(yùn)行,信息系統(tǒng)的服務(wù)不中斷[1]。信息系統(tǒng)安全問(wèn)題主要存在于硬件環(huán)境、軟件、系統(tǒng)配置、用戶管理等多個(gè)層面，具有動(dòng)態(tài)性、時(shí)效性、復(fù)雜性、隱蔽性、多樣性等特征，其內(nèi)容主要包括信息的機(jī)密性、完整性和可用性三個(gè)方面。機(jī)密性是指重要信息不被泄露,不被非授權(quán)的組織、個(gè)人和計(jì)算機(jī)程序使用；完整性是指信息不被篡改或破環(huán)，保證信息的真實(shí)性，否則，一旦信息被篡改或破壞，將帶來(lái)嚴(yán)重的后果；可用性是指合法用戶或程序可以及時(shí)、正常地使用信息。

圖書(shū)館信息系統(tǒng)主要包括館藏書(shū)目數(shù)據(jù)、讀者信息、各種數(shù)據(jù)庫(kù)、圖書(shū)館自動(dòng)化系統(tǒng)、圖書(shū)館自建的特色數(shù)據(jù)等，其中很多數(shù)據(jù)已經(jīng)接入廣域網(wǎng)。圖書(shū)館信息系統(tǒng)是圖書(shū)館幾年甚至是十幾年工作的積累，一旦遭到破壞，損失將會(huì)非常慘重，甚至?xí)斐烧麄€(gè)圖書(shū)館工作的癱瘓。因此，圖書(shū)館對(duì)安全問(wèn)題必須要有足夠的認(rèn)識(shí)和重視,積極采取有效的對(duì)策,保障信息系統(tǒng)的保密性、完整性、可用性等，促進(jìn)圖書(shū)館信息系統(tǒng)持續(xù)健康發(fā)展。

2.影響圖書(shū)館信息系統(tǒng)安全的主要因素

2.1 管理不當(dāng)

首先是圖書(shū)館領(lǐng)導(dǎo)的安全意識(shí)薄弱。許多圖書(shū)館的主要領(lǐng)導(dǎo)缺乏計(jì)算機(jī)及網(wǎng)絡(luò)知識(shí)，思想上沒(méi)有意識(shí)到信息安全的重要性。圖書(shū)館購(gòu)入的軟硬件設(shè)備在安裝、調(diào)試完成后，往往只管使用，疏于定期的維護(hù)和升級(jí)，時(shí)間一長(zhǎng)，就容易出現(xiàn)漏洞而受到攻擊。對(duì)于承擔(dān)安全職責(zé)的技術(shù)人員很少進(jìn)行培訓(xùn)，導(dǎo)致他們不能很好的勝任工作。其次是沒(méi)有建立一套嚴(yán)格科學(xué)的安全制度。許多圖書(shū)館圖書(shū)采編、典藏、流通等傳統(tǒng)的規(guī)章制度非常健全，信息系統(tǒng)方面的制度制定的比較簡(jiǎn)單，很多細(xì)節(jié)方面的問(wèn)題都沒(méi)有規(guī)定，由此造成管理上的漏洞。第三是缺乏專業(yè)技術(shù)人員。缺乏高層次的信息安全方面的專業(yè)人才是圖書(shū)館目前面臨的普遍現(xiàn)象，很多圖書(shū)館信息安全方面的專業(yè)人員和管理人員是由其他專業(yè)改行而來(lái)的，知識(shí)的缺乏導(dǎo)致了他們?nèi)粘Ｊ褂煤途S護(hù)工作存在很多漏洞，不能及時(shí)發(fā)現(xiàn)安全隱患。

2.2 信息系統(tǒng)的硬件及軟件環(huán)境

硬件環(huán)境包括系統(tǒng)所處的外界環(huán)境、硬件設(shè)備安全等。圖書(shū)館機(jī)房應(yīng)有合適的、符合規(guī)定的工作溫度、溫度、穩(wěn)定的供電系統(tǒng)、可靠的不間斷電源等，以保證系統(tǒng)安全運(yùn)行。硬件設(shè)備安全主要包括硬件的材料、集成電路與總線設(shè)計(jì)、制作工藝、電磁輻射、信號(hào)屏蔽、設(shè)備安裝等方面。硬件存在缺陷可直接影響其使用壽命和信息信息系統(tǒng)的安全，甚至造成信息系統(tǒng)不可修復(fù)的物理?yè)p毀。因此，在購(gòu)買硬件設(shè)備時(shí)，一定要把好質(zhì)量關(guān)，為信息系統(tǒng)安全打下基礎(chǔ)。

軟件系統(tǒng)環(huán)境主要包括操作系統(tǒng)、應(yīng)用軟件及數(shù)據(jù)庫(kù)設(shè)計(jì)等方面。操作系統(tǒng)控制和管理系統(tǒng)所有硬件和軟件資源，是計(jì)算機(jī)操作的核心,技術(shù)人員要對(duì)每種操作系統(tǒng)的特點(diǎn)有充分的了解，尤其是每種操作系統(tǒng)存在的漏洞要引起重視，在服務(wù)器上選用適合本館的操作系統(tǒng)。圖書(shū)館管理信息系統(tǒng)是圖書(shū)館主要的應(yīng)用軟件之一，目前的各種管理系統(tǒng)在設(shè)計(jì)與使用中都有不同程度的缺陷，一旦被人非法利用,將會(huì)對(duì)系統(tǒng)安全造成重大威脅。因此對(duì)軟件存在的Bug，要及時(shí)打補(bǔ)丁,更新版本。在數(shù)據(jù)庫(kù)軟件方面,應(yīng)重視用戶授權(quán)、身份識(shí)別、訪問(wèn)控制、數(shù)據(jù)加密等安全問(wèn)題,目前常用的ORACLE、SQL等都具有較高的可靠性與安全性。

2.3 信息系統(tǒng)遭受攻擊

黑客主要是利用計(jì)算機(jī)網(wǎng)絡(luò)軟硬件的漏洞、缺陷以及操作者的專業(yè)知識(shí)不足等攻擊信息系統(tǒng)，主要有植入病毒、木馬、口令入侵、虛假網(wǎng)頁(yè)、發(fā)送大量垃圾郵件、攻擊計(jì)算機(jī)系統(tǒng)的安全漏洞等方式。病毒具有破壞性、復(fù)制性和傳染性，一旦感染病毒很容易造成數(shù)據(jù)丟失、系統(tǒng)崩潰等；信息系統(tǒng)中一旦被植入了木馬,非授權(quán)人員可遠(yuǎn)程控制計(jì)算機(jī),而且非常隱蔽,很難被發(fā)現(xiàn)。口令入侵是通過(guò)利用目的主機(jī)某些合法的賬號(hào)或口令，實(shí)施攻擊。黑客可以向用戶發(fā)送某些已經(jīng)修改過(guò)的網(wǎng)頁(yè)，當(dāng)用戶瀏覽惡意網(wǎng)頁(yè)的時(shí)候，網(wǎng)頁(yè)就會(huì)自動(dòng)向黑客的服務(wù)器發(fā)出請(qǐng)求，黑客就可以利用這些惡意網(wǎng)頁(yè)欺騙用戶。攻擊者可向目標(biāo)的郵箱發(fā)送大量垃圾郵件，導(dǎo)致郵箱無(wú)法正常運(yùn)行和使用。有的攻擊者利用操作系統(tǒng)或應(yīng)用軟件本身具有安全漏洞，特別準(zhǔn)備攻擊字符，達(dá)到訪問(wèn)計(jì)算機(jī)的根目錄的目的，甚至能掌握?qǐng)D書(shū)館網(wǎng)絡(luò)的絕對(duì)控制權(quán)。

3.圖書(shū)館信息系統(tǒng)安全應(yīng)對(duì)策略

要解決信息系統(tǒng)的安全問(wèn)題，必須建立一支高素質(zhì)的信息安全維護(hù)隊(duì)伍，加強(qiáng)對(duì)技術(shù)人員的培訓(xùn)，努力學(xué)習(xí)先進(jìn)的技術(shù)，做到與時(shí)俱進(jìn)，能夠隨時(shí)解決信息系統(tǒng)中的安全問(wèn)題。還應(yīng)該規(guī)范各種規(guī)章制度，并嚴(yán)格執(zhí)行，做到對(duì)不同的工作人員明確定義其工作職責(zé)，能在出現(xiàn)問(wèn)題時(shí)找到第一責(zé)任人；要做到嚴(yán)把權(quán)限關(guān),圖書(shū)館工作人員的帳號(hào)密碼要妥善保管，嚴(yán)防機(jī)密文件被隨意訪問(wèn)；要制定清晰完善的操作流程,規(guī)范計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用和操作。以下重點(diǎn)從技術(shù)角度來(lái)分析信息系統(tǒng)安全問(wèn)題的應(yīng)對(duì)策略：

3.1 數(shù)據(jù)備份

數(shù)據(jù)是圖書(shū)館信息系統(tǒng)中最重要的部分，軟硬件故障及病毒、木馬等都可能造成數(shù)據(jù)的破壞、丟失，建立并嚴(yán)格執(zhí)行數(shù)據(jù)備份與恢復(fù)制度是信息系統(tǒng)安全保障的基本要求。圖書(shū)館信息系統(tǒng)中數(shù)據(jù)備份應(yīng)做到及時(shí)、準(zhǔn)確、完整。常用的備份策略主要有三種:完全備份、增量備份和差分備份,不同的圖書(shū)館可以根據(jù)實(shí)際情況來(lái)選擇相應(yīng)的備份策略。備份的數(shù)據(jù)還應(yīng)注意進(jìn)行恢復(fù)測(cè)試,保證在需要恢復(fù)時(shí)能夠完整準(zhǔn)確地恢復(fù)。

3.2 防火墻技術(shù)

防火墻是建立在被保護(hù)網(wǎng)絡(luò)和外網(wǎng)之間的一道屏障，依照某種特定的規(guī)則,允許或限制網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸，盡可能地屏蔽外部非法入侵，具有很好的保護(hù)作用，在很大程度上防止了受保護(hù)網(wǎng)絡(luò)受到黑客的攻擊[2]，但是防火墻無(wú)法阻攔網(wǎng)絡(luò)內(nèi)部的非法操作。防火墻的類型主要有網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻,圖書(shū)館可根據(jù)具體情況進(jìn)行配置,以維護(hù)信息系統(tǒng)的安全運(yùn)行。

3.3 防病毒技術(shù)

安裝正版殺毒軟件并定期升級(jí),開(kāi)啟殺毒軟件的實(shí)時(shí)監(jiān)控程序；從網(wǎng)上下載軟件要慎重，選擇信譽(yù)較好的大型網(wǎng)站下載；下載的軟件在安裝之前要先進(jìn)行查毒；來(lái)歷不明的電子郵件不要隨意打開(kāi)，防止病毒郵件感染計(jì)算機(jī)；不要瀏覽非法網(wǎng)站等；定期用殺毒軟件進(jìn)行全盤掃描；該升級(jí)和打補(bǔ)丁的軟件要及時(shí)升級(jí)和打補(bǔ)丁；在插U盤或光盤的時(shí)候，先進(jìn)行查毒。通過(guò)以上措施，基本上可以預(yù)防病毒和木馬。

3.4 訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)是指用戶在進(jìn)入系統(tǒng)時(shí)，先要進(jìn)行身份識(shí)別，獲得合法性之后，方可登錄系統(tǒng)，主要目的是防止非法用戶進(jìn)入[3]。身份識(shí)別的技術(shù)主要有用戶口令、密鑰、用戶識(shí)別卡(光卡、磁卡等)、體貌特征(含指紋、簽字等)等。信息系統(tǒng)管理者對(duì)不同的用戶設(shè)置不同的訪問(wèn)權(quán)限，定義可使用的系統(tǒng)功能和資源，防止權(quán)限濫用。

3.5 虛擬專用網(wǎng)技術(shù)(VPN)

VPN采用隧道技術(shù)在公共網(wǎng)絡(luò)中建立專用通道，數(shù)據(jù)經(jīng)加密封裝后，通過(guò)虛擬的專用隧道在公共網(wǎng)絡(luò)中傳輸，提高數(shù)據(jù)傳輸?shù)陌踩?保護(hù)網(wǎng)絡(luò)免受病毒感染。VPN技術(shù)通過(guò)對(duì)通信雙方的身份認(rèn)證，確保數(shù)據(jù)加密、傳輸?shù)耐暾?達(dá)到較高的安全性、可靠性和可管理性。現(xiàn)在許多圖書(shū)館都有分館，使用統(tǒng)一的信息系統(tǒng)，所有分館的數(shù)據(jù)都要通過(guò)總館共享，采用VPN技術(shù)可以有效的保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

[1]王娟.圖書(shū)館的網(wǎng)絡(luò)安全隱患的分析與防范措施[J].甘肅科技,2007,(23):259-260.

[2]資蕓,鄧忠英.高校圖書(shū)館計(jì)算機(jī)網(wǎng)絡(luò)的安全管理[J].數(shù)字圖書(shū)館論壇,2005,(3):38-40.

[3]吳景貴.淺談數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全問(wèn)題[J].圖書(shū)館工作與研究,2002,(5):37-40.

高芹（1964-），女，山東濰坊，大學(xué)本科，副研究館員，主要從事圖書(shū)情報(bào)工作。