數字圖書館建設中的安全保障策略研究

賈疏桐

（重慶大學，重慶 400044）

0 引 言

數字圖書館指以數字化形式存在的文獻平臺，包括數字化圖書館以及數字圖書館系統兩個范疇：前者將紙質文獻轉換成數字形式，后者綜合加工數字化的文獻，保存后檢索、利用。在討論數字圖書館的信息安全保障時，側重的是信息安全層面，因此安全保障的對象是圖書館的數字化信息。

1 數字化圖書館信息安全概述

圖書館信息安全通常指館內各種硬件設備、軟件系統以及館藏數據不會因為各種原因產生丟失、損壞以及泄露等問題，在此基礎上還要保證數字化系統的安全穩定運行。宏觀上講，數字圖書館實現信息安全需要滿足硬件設備安全、數據庫及操作系統安全、應用系統安全以及數據安全。只要能夠保證以上幾方面的安全，數字圖書館就可以正常提供服務。隨著數字圖書館的資源越來越多，在提供給用戶使用時通常只能借助資源共享的方式。但是，資源共享通常會引發信息安全問題，特別是在數字圖書館的共享資源增加以及共享程度加大時。

數字圖書館的安全威脅主要包括以下幾方面。①物理安全。服務器、網絡設備、路由器等各種硬件設備會受到諸如火災、停電以及各種人為因素的干擾，這種物理層面的安全威脅會直接導致數字圖書館數據丟失或損壞。②傳輸安全。開放網絡環境下的信息傳輸通常都是明文的，如果不進行專門的控制數字資源就有可能被任何能夠監測通信的人非法獲取。另外，即使是內網環境也難以保證絕對的安全，也存在數據竊取、偽造等攻擊。③服務端口安全。數字圖書館的資源異步是以Web站點的形式提供服務的，因此需要開通相應的服務端口及權限，這些開放的端口及權限就是一種不安全因素。④系統安全。操作系統以及數據庫系統都存在一定的安全隱患，雖然目前數字圖書館系統采用的多為Windows server 2008及2012等專門的服務器系統，但是還是不如Linux系統安全，一旦Windows系統的漏洞被惡意攻擊者利用，容易導致整個數字圖書館出現安全隱患。另外，如果管理員的安全意識不足，也會使各種安全措施形同虛設。⑤應用層風險。圖書館的信息管理系統通常是定制開發的，大多以實現業務功能為目標，很少綜合考慮各種安全因素。較少的安全防范手段必然會引起更多的安全漏洞，比如在身份認證、DNS服務以及Web服務等方面。

2 數字化圖書館信息安全技術及管理體系

在實現數字圖書館信息安全過程中，常見的信息安全技術包括防護技術、入侵檢測技術、應急響應及時以及數據備份和恢復技術等。防護技術主要是保證訪問控制以及數字資源的安全，引入防護技術能夠直接增加入侵數字圖書館的時間及成本，降低數字系統被侵入的概率。數字簽名技術可以附加在數據單元上，避免傳輸的數字信息被偽造；在內網和外網間可以配置防火墻，掃描所有流經的網絡數據包并進行訪問控制，以過濾掉來自不安全地址的數據包，從而使內部網絡避免受到來自開放網絡環境的安全隱患。在數字圖書館的內網，可以采取防病毒技術，通過檢測、清除等手段有效查殺內網存在的各類計算機病毒，提高數字圖書館系統的健壯性。數字圖書館系統越復雜，安全隱患就越多。入侵檢測技術通過收集各種系統運行信息的方式檢查系統的整體運行情況，以此發現數字圖書館系統中的安全隱患及漏洞。由于入侵檢測技術會收集并分析系統的安全日志、各種網絡行為信息、用戶操作記錄、核心系統文件等，并跟蹤分析各種非正常行為，因此可以將其作為拒絕內外部攻擊等不安全操作的安全閘門。防護技術、入侵檢測技術做得再好也難保證數字圖書館不會被侵入，此時數字圖書館系統所采取的主動出擊或被動防御等行為就是應急響應技術。應急響應技術的目的是在數字圖書館系統被入侵后仍然可以正常運行，并在確定攻擊源頭后及時阻斷或隔離攻擊。數據備份及恢復技術是最后一道防線，平時進行各種資源備份，這樣在出現嚴重的安全問題后，如果數字圖書館的各種數字資源有所丟失，就可以借助數據備份進行恢復，從而最小化數據資源的損失。可以把各種不同的信息安全技術結合起來，形成一個適用于數字圖書館的信息安全管理體系，如圖1所示。需要注意的是，單獨使用實體安全技術、運行安全技術以及數據安全技術并不能全面保護數字圖書館資源，還需要整合各種安全技術。

圖1 數字圖書館信息安全管理體系

3 數字化圖書館信息安全配置方案

服務器的防范措施直接影響數字圖書館的安全性，對于常見的Windows server 2018及2012服務器來說，可以將數字圖書館相關服務器的IP設置為固定IP，外網的固定IP以映射方式接入內網。由于只需要提供Web服務，所以內網的服務器端口僅開放80端口。另外，數字圖書館通常只由校園用戶或某些網段的用戶訪問，因此可以通過IP地址過濾的方式，阻止非授權用戶訪問數字圖書館資源。數字圖書館系統管理員可以強制要求訪問館藏資源的客戶端安裝或配置統一的防病毒策略。每次更新客戶端的同時，也一起更新防病毒引擎，只要用戶網絡在線就能夠實時防治新病毒。防火墻是最常見的信息安全保障方式，特點是防外不防內。可以同時配置硬件防火墻以及軟件防火墻，前者的作用是防止來自開放網絡環境的威脅，后者的目的是防止內網環境的安全隱患。硬件防火墻位于開放網絡環境與數字圖書館中心機房，防火墻運行后還需進行內外網地址轉換。內部防火墻通常指服務器系統自帶的防火墻，可以阻止內部用戶的非授權訪問，另外也能夠阻止攻擊前的Ping以及Telnet等嘗試性探測操作。值得注意的是，防火墻的防護功能有一定的限制，假如攻擊者攻破或繞過防火墻或存在內部攻擊，就需要做好入侵檢測，并對數據庫系統進行安全防護。

在Web應用服務之前需要做好數據庫系統的安全防范措施，主要指用戶授權登錄以及數據庫訪問權限等。首先，需要保持最新的數據庫軟件版本，避免安全漏洞。其次，不同的數據庫系統都有默認的服務端口，默認的服務端口對攻擊者而言是最容易入侵的，如果數據庫服務端口變為非默認端口，那么攻擊者就無法直接攻擊數據庫，只能花費大量的時間探測實際的數據庫服務端口。再次，還需要限制數據庫用戶的權限，只允許用戶具有最基本的權限。用戶的登錄密碼需要滿足一定的復雜性，以避免攻擊者進行字典攻擊。最后，數據庫內置的存儲過程也有一定的安全隱患，如果處理不當會被攻擊者作為后門，如果內置存儲過程不是必要的，則可以將其刪除。

4 結 語

本文對數字圖書館建設中相關的信息安全保障策略進行研究。首先，對數字圖書館信息安全進行了簡要概述；其次，在此基礎上介紹了數字圖書館的信息安全技術及安全管理體系；最后，說明了實際應用中數字圖書館常見的信息安全配置方案。本文的研究對數字圖書館建設的安全保障策略有一定的指導意義。