云環境下的圖書館信息安全風險與防范

朱生輝

（涼州區圖書館，甘肅　武威　733000）

云環境下的圖書館信息安全風險與防范

朱生輝

（涼州區圖書館，甘肅武威733000）

云計算平臺在圖書館界的普及和應用，使得在為圖書館帶來便捷的數據存儲與獲取、高速的運算與應用的同時，也加大了圖書館面臨的信息安全風險，特別是隨著大數據時代的來臨，使得引發圖書館信息安全事故的途徑、方式與內容更加多源與多樣，圖書館必須做好應對之策加以防范。本文認為云環境下的圖書館信息安全風險主要有基于圖書館應用的信息安全風險、基于云運營商管理的信息安全風險與基于云平臺技術保障的信息安全風險三類，而對云環境下圖書館信息安全風險的防范需要從云計算產業、圖書館及政府層面的供應鏈政策標準制定三個方面進行有效治理。

圖書館；信息安全；云計算；風險防范；信息供應鏈治理

隨著現代科學技術的發展和社會管理細節的疏忽，個人信息泄露事件頻發，對社會造成了極大的危害，近來發生的大學生上當受騙以致自殺等事件也都不在無時無刻提醒我們面臨的信息環境之危險，以致無論在現代信息科學、信息管理學視野中，還是在現代社會的公共管理中，信息安全都成為了衡量管理水平的一個重要考量指標。圖書館是社會最主要的信息存儲機構，豐富的讀者服務活動使得其不僅承擔著大量的館藏數據信息保存責任，也承擔著大量的讀者信息保存之責任，而大數據時代的帶來和圖書館數據信息的云存儲趨勢，則使得圖書館面臨的信息安全風險越來越高，如何辨識云環境下的圖書館信息安全風險和有效防范也成為了新時期圖書館人的研究話題之一。基于上述背景，本文在分析當前云計算環境下圖書館信息安全面臨的主要風險基礎上，從云計算產業、圖書館及政府層面的供應鏈政策標準制定三個層面進行治理提出了防范之策。

1　云環境下圖書館面臨的信息安全風險

盡管實現云端信息存儲及計算已成為了當下企業信息機構的重要信息存儲方式，但對圖書館來說，由于受體制、技術及人才等限制，圖書館的信息云存儲還主要是租用云平臺進行一定的館藏數據保存與用戶服務，對云平臺的管理與監管也都主要由云平臺運營商來完成。因此，盡管相較于以為用戶提供文獻借閱、知識組織的圖書館來說，云運營商在技術、經驗上遠遠勝于普通的圖書館員，但也不可否認的是，缺少圖書館人特有的信息素養和基于商業利益考慮的云平臺運營商泄露信息的風險遠遠高于圖書館員。同時，云計算技術還存在的防火漏洞也都可能致使其保存的圖書館信息得到泄露。

總體來說，云環境下的圖書館信息安全風險主要有：

第一，基于圖書館應用的信息安全風險。盡管圖書館的云平臺應用主要以對信息的存儲及計算為主，云計算運營商也給予了圖書館計算平臺與技術保障支撐，但圖書館信息的獲取、保存、應用則主要由圖書館員來完成，這也就在圖書館應用云計算平臺的過程之中使其存在著安全風險。如典型的管理賬號及密碼泄露、圖書館館藏數據格式的轉換致使說明這些信息數據的元數據損壞、對云計算平臺應用的管理與規范不到位、記錄了應用云平臺的Cooki信息的復制與商業化買賣，等等。

第二，基于云運營商管理的信息安全風險。正如前文所述，為圖書館提供了信息計算與儲存的運營商，在既為圖書館提供便利的同時，也有可能因為實現了對圖書館信息的壟斷而出現上述人為安全風險后也出現因格式的損壞、數據的災備失敗而出現的災難性信息風險。同時，在前期的基礎設施建設成功之后易于出現的價格肆意提升、行業壟斷等也成為圖書館信息安全的潛在威脅，甚至都影響到了圖書館事業和云計算產業的發展。第三，基于云平臺技術保障的安全風險。雖然云平臺的信息數據存儲技術已經非常完善，但云計算平臺本身具有的優先訪問、異地存取、數據清洗等也為所存數據信息的黑客攻擊留下了端口與可能。

2　云環境下圖書館信息安全風險的防范舉措

從云計算產業的發展與成功經驗來看，在云計算技術被廣泛運用之前，美國與歐盟采用的不同形式的行業自律與規范制度以來維護個人信息安全。然而自進入云計算時代后，歐美為應對云技術運用所致的信息安全風險，在注重通過制定法律這樣的正式制度來優化治理效果，也注重通過維護利益相關者之間的權益來調和和平衡利益主體之間可能存在的利益沖突，進而促使他們共同應對信息安全風險。

從圖書館應用云計算的實踐與事業發展角度來看，美國圖書館特別是美國國會圖書館應用云計算平臺的經驗也為我國圖書館的云計算應用提供了成功的借鑒經驗：首先，客觀對待影響和提升圖書館資源保存與計算能力的云計算，其在發揮安全可靠、低成本、快速高效、服務泛在化、以用戶為中心等特點的同時，也具有存在優先訪問權、管理權限、數據處所、數據隔離、數據恢復、調查支持和長期發展等方面的風險。其次，客觀面對云計算可能存在的風險，即：一是根據自身需求，做好云計算戰略規劃，區分哪些資源存儲在“云”中，并做好安全控制工作；二是評估風險，比較資源存儲在“云”中和內部系統中的風險，以及不同云服務提供方的優缺點；三是選擇合適的云服務提供方，通過試驗降低圖書館云計算實施的風險，并積累實施云計算的經驗。

再次，根據供應鏈治理理論，在圖書館應用云計算的供應鏈上每一個運行障礙所導致的圖書館信息安全風險得以被應對治理的根本途徑，就在于供應鏈得到有效管控與治理。因此，就需對這條供應鏈上的信息行為主體 （包括圖書館用戶信息主體、圖書館員信息主體、提供云計算平臺服務的營運商信息主體等）通過合理的制度安排和規范、標準來實現有效治理。具體來說，就是要：（1）為每一利益相關者設計和制定權利保護制度，從而滿足圖書館信息的真實與隱秘安全要求。如制定圖書館、圖書館用戶及云計算運營商等信息主體的行為的主體規范與標準等。（2）構建利益確認制度，并引導利益相關者之間的利益平衡、分配及分享，從而滿足信息可用的安全要求。在圖書館的云計算應用生態圈中，利益相關者主要有圖書館、圖書館用戶、云計算運營商，因此就需對這三者的責任與義務、受益的分配與調整等進行機制約束，進而使得鏈接與三者之間的信息實現更快速的流通、增值與開發。

3　結束語

隨著云計算技術的推廣運用，越來越多的圖書館也加入到了云計算這一技術應用陣營之中，然而在云平臺為圖書館用戶和圖書館提供了對海量信息的收集、加工、存儲和處理便利環境下，也還需進一步思考云環境下圖書館信息安全的風險與防范，以使在應用云平臺提高了信息流通效率的同時也有充足的風險防備方案。而筆者以為，讓圖書館、圖書館用戶及云計算運營商的利益一致和規范的數據異地備份、標準的操作規范等是實現信息安全的基礎與保障，需要圖書館界的努力，但也更需要政府及社會各界的重視與行動。

［1］ 高兵，董素芹.“云”環境下的圖書館“微”服務研究［J］.圖書與情報，2014（1）：128-130.

［2］ 劉煒.圖書館需要一朵怎樣的“云”［J］.大學圖書館學報，2009（4）：2-6.

［3］ Gartner：seven potential security risks of cloud service［EB/ OL］.［2015-11-12］.http：//www.022net.com/2009/2-18/ 494123282312212.html.

［4］ 邱慶東.知識資源建設中的圖書館員需求能力分析［J］.圖書與情報，2016（3）：90-92.

［5］ 余凌.“互聯網＋”背景下的圖書館業務重組內容與方向研究［J］.圖書與情報，2016（3）：79-82.

［6］ Migration to cloud：how do companies reduce the risks of cloud computing［EB/OL］.［2015-11-12］.http：//wenku.baidu. com/view/1e9138a5f524ccbff1218489.html.

［7］ 蔣潔，王思義，何亮亮.云端鑒識取證的障礙分析與應對策略［J］.圖書與情報，2015（3）：72-76.

［8］ 李維安，李勇建，石丹.供應鏈治理理論研究：概念、內涵與規范性分析框架［J］.南開管理評論，2016（1）：4-15.

G258.89