論數字圖書館的常見安全問題及對策分析

謝鵬 沈楊芳

[摘 要] 隨著21世紀互聯網的迅猛發展，數字化圖書館也迎來了新的發展空間。無線局域網技術和數字化圖書館網絡軟硬件產品不斷成熟，再加上現有的數字化圖書館網絡安全管理相對滯后，由此導致的諸多隱患和安全威脅盲點已成為數字化圖書館迫切需要改進的方向。筆者以數字圖書館的常見安全問題作為主要研究目的，試圖通過分析和研究數字圖書館的常見安全問題，最終提出完善數字化圖書館網絡安全管理的建議。

[關鍵詞] 數字圖書館 安全問題 安全管理

中圖分類號：G250.76 文獻標志碼：A

數字化圖書館是基于信息源與圖書館、讀者與圖書館之間的信息交流方式，是基于互聯網技術與圖書館自動化發展的結合方式。國家政府大力扶持數字圖書館建設，但同時因為復雜的網絡問題給中國的數字圖書館帶來了許多挑戰，尤其是數字化圖書館網絡安全問題，給許多圖書館和個人帶來很多威脅。近幾年，人們對信息安全的關注度越來越高，數字圖書館需要完善網絡安全管理。

一、數字圖書館的常見安全問題

（一）數字化圖書館硬件漏洞

網卡（網絡適配器）、貓（調制解調器）、路由器三者在我國數字化圖書館發展中扮演著十分重要的角色。網絡硬件市場龐大，導致越來越多的廠商開始從事這方面的業務。品牌、廠商不同，直接導致操作方法差別較大，同時每個品牌又有多種型號，導致數字圖書館的網卡（網絡適配器）、貓（調制解調器）、路由器三者各不相同。

近年來因為硬件產生的安全問題有很多，我國路由器市場發展較快，但是相應的監管制度不夠完善，部分路由器存在一些已知的安全風險。據金山毒霸安全中心統計，全國3.3%的路由器DNS曾經遭到惡意篡改；除此之外，還有一些路由器的生產技術較為落后，采用過時的WEP加密協議（主流家用路由器的標準配置是WPA2協議），密碼很容易被黑客破解。

（二）數字化圖書館弱密碼安全威脅[1]

很多管理者在圖書館的密碼依然采用原始密碼，沒有進行修改，這也是非常大的安全威脅。因為密碼一旦泄露，黑客就可以通過后臺來更改數字化圖書館接入密碼，甚至可以在后臺植入網絡病毒篡改DNS，劫持網民訪問釣魚網站，直接威脅到用戶的財產安全。

（三）數字化圖書館DNS劫持威脅

數字化圖書館的用戶可能因為釣魚網站而被詐騙，這是因為攻擊者劫持了用戶的網頁，用戶以為自己登錄的是熟悉的網絡，但其實已經被黑客所接管，用戶就進入了攻擊者所精心布置的網絡騙局中，在輸入密碼時被盜取信息還不自知。同時，軟件安全非常重要，譬如使用802.11的服務群標識符 SSID每年允許進行兩次基本群標識符的人工修改，這個防護手段其實有很多尷尬之處，因為不能經常修改，很容易被一些技術成熟的黑客攻擊；WEP（Wired Equivalent Privacy）其實就是通過采用RC4算法進行加密，可以有效對進入數字化圖書館的用戶身份進行驗證，但是這種對網絡資源進行加密的情況僅僅適用于較少的場景，現有的驗證方式還是通過網絡適配器驗證[2]。

（四）缺乏專職網絡維護管理人員

現有中國數字圖書館的安全管理辦法主要有以下幾種：（1）圖書館內部設立網絡部門，部門設立數字圖書館網絡管理專職人員，通過專職人員實現對圖書館網絡的安全管理。（2）將數字圖書館的網絡維護、維修及安全管理外包給專業的網絡公司。（3）無專職人員也無外包公司，無人管理數字網絡問題。

事實上，除了第一種情況之外，第二種和第三種都是因為數字化圖書館網絡安全管理結構都不夠完善，即使是外包公司的專職網絡安全人員，也不可能根據每個圖書館的實際情況設立出一套完善的接入、訪問、網絡限制體系，完全是聽從領導者的安排。而圖書館領導很多情況下對網絡安全又不了解，其下達的命令不夠科學，導致很多數字化圖書館網絡安全管理產生問題。

二、解決數字圖書館安全問題的對策

（一）提升硬件設備的安全性能

數字化圖書館硬件設備如路由器、貓、服務器、機房相關設備等這些都是非常重要的數字化圖書館設備，保護數字化圖書館網絡安全的最基礎手段是保證這些設備的安全，使用更安全的硬件設備即可大大減少數字化圖書館被發現、被攻擊的可能性。

大多數數字化圖書館支持SNMP，而攻擊者利用SNMP很容易得知關于數字化圖書館的相關信息，這是導致數字化圖書館信息泄露的重大安全威脅。想要解決這些也不難，可以通過修改SNMP或者以直接禁用來解決，尤其是對數字化圖書館SNMP公開及專用的共用字符串進行修改，會大大提升數字化圖書館網絡安全性能。

（二）部署封閉的局域網網絡

數字化圖書館被攻擊的一個因素是黑客不用進入圖書館內部，部署封閉的無線訪問網絡之后，圖書館需要經常對公司數字化圖書館進行勘測，并反映在圖書館的網絡拓撲圖里，保證公司的數字化圖書館信號范圍在掌控中。部署的封閉無線訪問網絡，導致攻擊者根本無法發現數字化圖書館，自然會大大減少對數字化圖書館的攻擊[3]。

（三）增加維護數字化圖書館網絡安全的專業人員

當前中國數字圖書館發展迅速，大型數字圖書館可以考慮增加專門維護數字化圖書館網絡安全人員。當然，對于很多的中小型圖書館來說并不需要專業的網絡安全人員，圖書館的網絡相對來說也很少被攻擊。即使是對于一些大圖書館來說，配備專業的數字化圖書館網絡安全從業員工也不現實，因為這需要耗費一定的人力資源。但如果連基本的定期檢查也沒有，很容易導致圖書館網絡出現漏洞也不自知的情況。

比如很多圖書館雖然沒有財務人員，但是會請專業的財務圖書館來審計圖書館財務，避免出現財務問題；很多圖書館沒有電力設備安全人員，但是他們會定期將電力檢修外包給專業的電力安全圖書館，這些都有效杜絕了一些不良事件的發生。但是我國專業從事數字化圖書館網絡安全的人員較少、從事數字化圖書館網絡安全的圖書館較少，導致了數字化圖書館網絡安全威脅的不斷累積，不管對圖書館還是對社會來說，這都是較大的信息安全隱患[4]。

事實上數字化圖書館網絡安全管理維度包含了很多內容，比如安全防護管理、應急調度中心、審核平臺。對于一些有專業網絡部門的公司來說，不僅要設立專職的網絡安全人員進行數字化圖書館防護，還需要做好應急準備。當網絡被攻擊的時候能及時進行調度，根據數字化圖書館威脅程度進行預警和處理，同時還應該設立專門的數字化圖書館管理平臺，通過此類平臺可以對檢測到的數字化圖書館網絡安全數據進行統計和分析[5]。

（四）提升管理員及用戶密碼等級

管理員及用戶如果提升對數字化圖書館網絡安全問題的重視程度，將會大大降低管理員及用戶密碼泄露的可能性。而管理員及用戶可能對于數字化圖書館網絡安全技術不是很了解，但是這些也無傷大雅，因為對于管理員及用戶來說，可以通過提升密碼破解難度、定時修改密碼來避免被攻擊的危險。

具體來說也非常簡單，首先來說，管理員需要設置相對復雜的密碼，避免弱密碼；其次要定時修改密碼，不僅僅是接入密碼，還要定時修改路由器的登錄密碼，因為路由器密碼被破解之后很容易被植入病毒或劫持網頁；其次，要經常登錄路由器后臺查看家庭網絡使用情況，如果發現陌生設備接入，可以對其進行限制。

如果用戶提升對數字化圖書館網絡安全問題的重視程度，不主動用陌生數字化圖書館，那也將大大降低數字化圖書館網絡安全威脅，想要提升個人用戶和家庭用戶對數字化圖書館網絡安全的重視程度，一方面是靠媒體，另一方面是靠數字化圖書館網絡安全教育。媒體的宣傳能提升普通大眾的數字化圖書館網絡安全意識，但是如果只是宣傳數字化圖書館網絡安全事件，不提供數字化圖書館網絡安全事件解決辦法，那也不能從根本上解決問題，所以另外一個非常重要的問題就是提升數字化圖書館網絡安全教育。這對提升我國數字化圖書館網絡安全，甚至是提升我國互聯網安全都有著非常重大的意義。

三、結語

綜上，當前中國數字圖書館遇到的安全問題主要是軟件問題、硬件問題、安全管理問題與安全知識普及問題。基于此，筆者以為，對于數字化圖書館網絡建設相關方來說，應該主動提升軟件和硬件安全水平，同時加強對數字化圖書館網絡安全的重視，配備相關的專業人員定時定期對數字圖書館網絡安全問題進行檢查和維護；同時也要做好宣傳教育工作，提升用戶對數字圖書館安全問題的重視，避免因弱密碼而導致的安全問題。

參考文獻：

[1]國愛民.大數據環境下數字圖書館安全威脅與對策研究[J].科技資訊，2017， 15（6）：219- 220.

[2]孟猛，朱慶華，袁勤儉等.基于非線性規劃的數字圖書館信息安全風險組合評估研究[J].情報雜志，2017（6）：128- 133.

[3]孟猛，朱慶華，袁勤儉等.數字圖書館信息安全風險組合評估研究——基于非線性規劃法[J].情報雜志，2017，36（6）.

[4]胡昌平.云環境下數字圖書館信息資源安全[J].數字圖書館論壇，2017（7）：1- 1.

[5]顧海峰.分析數字圖書館網絡系統安全與數據安全問題[J].中國高新區，2017（15）.