數字環境下高校圖書館信息安全問題探討

程羅德 袁媛 部先紅 蘇顯屹

摘 要：文章簡述了高校數字圖書館網絡及信息安全建設的現狀、內涵、特點、意義等，分析了數字環境下高校數字圖書館面臨的信息安全威脅，提出了信息安全教育及管理的體系內容和模式，并構建了信息安全技術建設、信息安全管理體制建設、信息安全標準與法律法規建設等數字信息安全體系。

關鍵詞：網絡；信息安全；數字化；高校圖書館

中圖分類號：G258.6 文獻標識碼：A 文章編號：1003-1588（2019）05-0032-03

高校數字化圖書館建設是數字化校園建設的重要組成部分，如何充分發揮數字圖書館信息資源的優勢，保障數字圖書館建設網絡安全運行、數據庫資源不被非法獲取或篡改、應用系統不被入侵等，已成為高校圖書館在數字化建設進程中亟須關注和研究的重要課題。

1 高校圖書館信息安全現狀

網絡安全問題最早是在計算機科學領域出現的，該領域對網絡安全方面的研究也比較全面和深入。在圖書館學領域，專家學者對圖書館的網絡設計、數據加密防護、信息硬件設備安全、數據存儲安全、角色安全控制策略等進行了研究[1]，同時從物理層面對圖書館建筑安全、智能控制、容災容備等方面進行了探索。

國外高校圖書館對信息安全概念沒有進行過多的辨析，重點研究信息服務模式在圖書館服務的應用及其產生的影響和效能，對數據安全、系統安全、知識產權保護及網絡安全等主要采取數據備份、軟件更新、參數設置、用戶認證、訪問授權及保護原創等多種方法和措施[2]。我國高校圖書館對信息安全方面的研究對策和技術各有側重，但將二者結合起來進行研究和應用的比較少。目前，我國很多高校圖書館在數字化建設過程中的防護措施比較單一和被動，已無法滿足新時代網絡信息環境下圖書館數字化建設和服務管理的安全需求。隨著高校圖書館信息服務建設及服務水平的不斷提升，其信息安全隱患和威脅也在增大。以大連海洋大學圖書館為例，該館信息安全面臨的威脅及相關數據影響指標見圖1。

2 數字圖書館信息安全內涵與特征

2.1 數字圖書館信息安全內涵

數字圖書館從信息安全層次劃分可分為物理安全層、軟件安全層、數據安全層等。其中，物理安全層保障網絡通信設備、計算機設備、媒體設備的安全穩定運行，是數字圖書館正常運行的前提；軟件安全層保障操作系統、應用系統及數據庫系統的穩定運行，是數字圖書館運行的業務核心；數據安全層保障數據庫中元數據、對象數據及用戶數據的安全存儲，防止數據在網絡處理或傳輸過程中被泄露、破壞、篡改和仿冒，是數字圖書館正常運行的服務資源。數字圖書館信息安全是一個涉及傳輸、處理、應用等多環節，具有可靠性、保密性、可用性、完整性、真實可控性等特征的多要素內涵[3]。

2.2 數字圖書館信息安全特征

數字圖書館信息安全具有保密性、完整性、可用性等特征，其有很多開放資源，也有需授權才能訪問和使用的信息資源，如自建專題庫、自建特色庫、自建學位論文庫等。為了防止數據和信息被篡改，數字圖書館在網絡環境下進行數據信息存儲或傳輸時，會拒絕向未經授權的用戶提供訪問信息和系統服務。此外，數字圖書館信息安全還具有普遍性、復雜性、相對性等特征[4]。

3 數字圖書館信息安全風險計算與分析

3.1 數字圖書館信息安全風險分析

數字圖書館的物理層主要包括路由器、防火墻、交換機、服務器、存儲設備及通信鏈路等，引發物理層安全風險的因素主要有火災、雷擊、地震、水災等災害，以及設備自身存在的缺陷、不足或人為蓄意破壞、誤操作等。物理層是數字圖書館信息運行的基礎，一旦遭到破壞或干擾，將會造成整個圖書館業務體系的中斷。數字圖書館的數據層存在傳輸風險，數據在傳輸過程中很容易被截獲和篡改，造成泄密。數據包在鏈路傳輸時采用TCP/IP協議，如果沒有加密軟硬件控制，很容易被“包檢測偵聽”軟件截獲，相關的信息數據一旦被不法分子竊取，將帶來嚴重的后果。數字圖書館還面臨操作系統及數據庫安全漏洞和病毒威脅等風險。數字圖書館操作系統包括Windows Server All、Windows All、Linux等，數據庫包括SQL Server、Oracle、MYSQL等。在網絡環境下運行的操作系統或數據庫存在安全漏洞，如未進行定期安全升級更新、補丁修復及權限設置，將會造成嚴重的威脅。數字圖書館應用層的安全風險主要是身份認證、郵件服務、DNS服務、WWW服務等漏洞風險，具體表現為訪問口令不加密、靜態、簡單，e-mail被黑客跟蹤或植入惡意木馬病毒，DNS緩存溢出，Web Server Dos 或DDOS被惡意攻擊，蠕蟲病毒等。造成數字圖書館管理層安全風險的主要是人為原因，一旦出現內部人員違規操作，將無法進行實時的安全監控、檢測、預警及追蹤。因此，如果數字圖書館沒有完善的安全管理機制，就會造成責權不明、管理混亂等，進而引發管理安全風險。高校數字圖書館信息安全分層風險安全模型見圖2。

3.2 數字圖書館信息安全風險計算

根據IS0027001風險評估及分析方法說明，風險分析計算范式為：風險值=R（A，T，V）=R（L（T，V），F（Ia，Va）。其中，R表示風險值，A表示資產，V表示薄弱點，T表示威脅，Ia表示資產價值，Va表示目前薄弱點，L表示安全事件發生的可能性。威脅等級可根據威脅強度和威脅發生可能性兩個參數屬性值進行判斷，信息安全事件發生的可能性與威脅出現的頻率關聯，安全事件產生的影響與威脅強度相關。數字圖書館某項資產面臨的單個威脅綜合計算公式為：t=intTs+Ti2。其中，t為單個威脅綜合值，Ts為威脅強度，Ti為威脅發生的可能性，其值∈[1，5]整數[5]。數字圖書館利用風險計算公式評估信息安全風險等級，要對資產的重要性和薄弱點進行識別，并分析每一個薄弱點引發安全風險的可能性，同時根據資產的重要程度，結合安全風險發生的可能性綜合判斷風險值。數字圖書館應根據計算得到的風險值，對照風險等級的劃分標準確定不同風險的優先級或等級，做出風險威脅評估預警，為進一步制定控制安全風險措施提供依據。

4 高校數字圖書館信息安全建設策略

4.1 信息安全技術防護體系建設

根據信息安全不同層面的風險分析和計算，信息安全問題在各個層面表現均不同，數字圖書館應針對不同的安全需求，采用相關技術，開發應用不同的技術安全工具，以滿足各層級的安全需求。

信息安全常見的防護措施主要包括認證、訪問控制、內容安全，以及防火墻技術、防病毒技術、數字簽名技術、入侵檢測系統、信息過濾技術、應急響應技術、備份恢復技術、VPN技術等。在信息安全防護體系構建中，入侵檢測系統和防火墻是實現網絡和信息安全的基礎條件，對于高校數字圖書館構建安全的網絡信息環境非常重要。防火墻數據包過濾、實時鏈路狀態偵測、行為分析、IP及端口限制、會話監測等功能，能夠實時保障內網與外網之間進行信息存取和交換。入侵檢測系統對數據包進行監測檢查，一旦發現某個數據包對系統有攻擊動作，就會及時斷開會話鏈接，并由管理員預設值定義處理單元獲取侵入者的詳細信息，為事件處理提供依據。高校數字圖書館安全技術信息風險防控體系見圖3。

4.2 信息安全管理體制建設

高校數字圖書館要制定合理的網絡信息安全管理策略，健全安全管理制度，完善操作規程，明確信息安全保護工作目標和對象；成立信息安全領導小組，根據國家法律法規制定相應的管理制度，如操作人員管理制度、設備管理制度、技術管理制度、用戶管理制度、軟件和數據管理制度及安全責任制度等；加強對數字圖書館工作人員和校園讀者的信息安全知識培訓，增強他們的信息安全保密意識；加強數字圖書館工作人員的業務培訓和綜合能力培養，全面提升他們的政治覺悟、職業道德、技術水平和服務水平。此外，高校數字圖書館還應制定和完善安全保護制度，做好軟硬件的安全管理工作。其中，硬件安全管理制度主要是保護硬件設備，如在機房配置專業技術人員進行管理，做好防水、防火、防雷等措施，定期對設備進行維護等；軟件安全管理制度主要是針對軟件系統的管理和購置制定的，購置軟件要考慮其適用性、可靠性及維護性等因素。

4.3 信息安全標準與法律法規建設

目前，我國高校數字圖書館的信息安全主要依靠技術進行保障，只能被動解決問題，而無法全面、持續地保障網絡信息的安全，因此，加快制定包含圖書館信息安全規劃與建設、圖書館信息安全管理與服務、圖書館信息系統安全、圖書館知識產權保護、圖書館個人數據保護等內容的法律法規勢在必行。信息安全標準和法律法規能夠提供有效的信息安全管理建議、規范信息安全管理的方法和程序。作為高校的信息資源中心，高校數字圖書館在網絡環境下應以信息安全標準和法律法規為保障，遵循信息安全管理標準，結合自身安全管理建設特點，設計數字圖書館信息安全風險評估與控制模型。

5 結語

在網絡環境下，信息安全意識非常重要，人是圖書館信息安全的核心要素。無論信息安全工作多么復雜，信息環境如何改變，只要高校圖書館時刻保持對網絡脆弱性和潛在威脅的清醒認識和警惕，采取多種保障措施，科學制定安全防護策略，就能保證其安全、高效、平穩地運行，為讀者提供高品質的信息資源服務。

參考文獻：

[1] 劉萬國，張浩然，付希金.圖書館信息安全應用技術述評[J].現代情報，2010（10）：71-73.

[2] 程羅德，于曉明，房文革，等.新信息環境下高校圖書資源建設轉型的探討[J].河南圖書館學刊，2018（6）：74-76.

[3] 周威平.圖書館信息安全管理架構與實踐[J].高校圖書館工作，2010（5）：70-73.

[4] 羅繪秀.圖書館網絡資源信息安全保障體系研究[J].河南圖書館學刊，2015（12）：115-117.

[5] 翁建華.數字圖書館信息安全對策研究[J].圖書館學刊，2012（4）：108-110.

（編校：徐黎娟）