我國高校圖書館信息安全研究進展

李思藝

摘? 要：該文通過檢索中國知網中關于高校圖書館信息安全相關文獻，并對其內容分析，并以文獻綜述的形式表現出來。分析發現我國高校圖書館信息安全研究主要集中于技術安全、物理安全、人員安全和組織安全幾個方面，得出我國高校圖書館信息安全的研究是以組織安全為導向，各種安全技術齊頭并進，同時注重人員與技術管理的結合，并在結尾處提及高校圖書館信息安全研究的不足和展望。

關鍵詞：高校圖書館? 信息安全? 文獻綜述

中圖分類號：G251 ? ?文獻標識碼：A 文章編號：1672-3791（2020）05（c）-0174-03

目前的信息安全，主要包括物理安全和邏輯安全[1]兩個方面。物理安全是指各種信息、通信設備、設施等有形物品不受到如雨淋、雷擊、受潮等自然因素影響和人為失誤造成的安全影響;而邏輯安全則是通常所說的保持信息的完整性、保密性和可用性。物理安全和邏輯安全缺一不可，二者缺其一，信息安全便可能受到影響。

該文以2019年11月5日（SU='高校圖書館'AND（SU='信息安全管理'OR SU='信息安全'））為檢索式對知網進行專業檢索，排除非高校圖書館和非信息安全類文章，同時以被引量從高到低排序，選取被引量大于0的文章，最后得到2篇碩士論文和60篇期刊。

通過對上述文獻進行分類，發現我國高校圖書館信息安全研究主要涉及：（1）技術安全研究;（2）物理安全研究;（3）人員安全研究;（4）組織安全研究。該文將對這幾方面的研究進展進行綜述。

1? 技術安全研究進展

信息安全技術研究是高校圖書館信息安全研究中的熱點和重點，學者們對能夠保障高校圖書館信息安全的技術展開了大量研究。

在安全技術研究中，張靜鵬、周秀霞、楊雨師[1]介紹了HTTPS協議能提升高校圖書館信息安全。HTTPS協議可對交換數據進行加密，使得圖書館學術數據和用戶數據在傳輸時不容易被竊取，從而保障高校圖書館數據傳輸中的信息安全。焦從蓉認為高校圖書館中使用Web應用防火墻可以增加信息安全，其優點在于Web應用防火墻的工作層面在應用層，且其靈活性強，可以根據需求的不同，購買硬件型或軟件型兩種不同類型的防火墻，使得高校圖書館防護作用顯著增強[2]。李琳在數據備份上提及RAID 技術，能對高校圖書館管理系統數據即時鏡像備份，顯著提高數據安全性[3]。此外，張媛媛、王勝利談到網絡信息加密常用的3種方法，包括鏈路加密、端點加密和節點加密，以及使用多網卡綁定技術應用于服務器中的好處[4]。肖榮榮重點介紹了防火墻技術、漏洞掃描技術、入侵檢測技術（IDS）這3種加強高校圖書館信息安全的網絡技術[5]。在虛擬局域網技術（VLAN）方面，楊鈺曼介紹了高校圖書館使用VLAN技術的優勢[6]，張小英也談到采用VLAN劃分技術能使圖書館信息管理服務脫離設備的物理限制，極大地提高圖書館網絡信息安全工作的靈活度[7]。

也有研究者提出高校圖書館信息安全技術應與管理相結合。網絡攻擊事件80%源于網絡內部，這個調查結果來自梁世玲、鄧保國的文章關于高校圖書館信息安全風險和對策的研究。他們強調高校圖書館管理技術需齊頭并進，實行“攘外必先安內”的策略[8]。

2? 物理安全研究進展

高校圖書館的物理安全是指那些存放于圖書館中的服務器、書籍、電子資源等有形和無形資產免受自然災害或人為原因造成的損害。物理安全的進展主要在以下兩個方面。

2.1 實施物理安全措施

鄭志軍認為高校圖書館的物理安全需要做好物理安全區域設定、物理設備設施安全、物理設備設施與安全區域的安全控制措施這3個方面的工作[9]。他認為高校圖書館在設計時就應當考慮安全區域的規劃。一方面能減少物理原因對數據的影響，另一方面防止圖書館的設施與業務在未經授權的訪問情況下發生干擾或破壞。在劉卓然文章中，也談及需要密切注重建筑的排布線路等問題，不要將設備放置于不穩定因素區域內[10]。楊洋、趙玲玲、盧洋[11]晁陽[12]針對物理安全提出了一些建議措施：安裝全覆蓋煙霧感應消防系統和避雷設備;使用UPS不間斷電源應對斷電造成的數據中斷、丟失等情況;采用服務器群集技術對數據備份。也有學者提出使用“三無一禁”的安全防范政策來達到維護信息安全，即無光驅、無軟驅、無保存（硬盤保護卡），禁用USB，只通過內網交換機訪問圖書館系統服務器[13]。此外，許多學者提到使用異地備份、定期自動、不定期手動等方式保障數據安全，同時關注設備的保護，包括防火、防水、防潮、防盜、防磁化等。

2.2 采用云計算技術

有學者提出可使用云計算技術來規避高校圖書館物理安全風險，即通過購買云服務，將高校圖書館重要數據資源托管給云服務商，自己同時備份重要資源，達到雙重保障的目的。金志敏談到云計算會對圖書館的服務模式產生深遠影響。通過云計算模式，使得高校圖書館可以最大發揮“社會資源中心”的作用[14];云計算能保障數據不被泄露且能夠正確無誤地提取所需數據，這是數據安全的兩大表現。所以，云計算能保障高校圖書館信息安全。

3? 人員安全的進展

高校圖書館的人員安全分為圖書館員安全和其他非圖書館員安全。圖書館員的研究傾向于教育培訓、人才培養;其他人員的研究側重于分析安全威脅因素。

3.1 重視圖書館員信息素養和技能培訓

館員安全的研究者中李容、郝麗佳認為館員應具有信息開發利用觀、信息質量觀、信息人本觀、信息超前觀、信息安全觀這5種應有的素質和能力，而不只是安全觀念[15]。李思林強調人才培養的重要性。他談到高校館員缺乏文獻情報教育，缺乏現代情報技術和技能，建議聘請專家對圖書館員進行技能培訓，并納入員工考核項目。同時可以聘請專業信息安全員[16]。此外，周秀霞、張立新[17]通過調研吉林省高校圖書館信息安全，得出安全不能得到良好防護的重要原因有高校圖書館員交流合作少，各成體系;沒有管理、技術、安全管理制度、管理文化等方面的共享。

3.2 非圖書館員的威脅因素

學生是高校圖書館重大信息安全威脅來源之一。宋震指出學生易受好奇心驅使，且易獲得圖書館IP，即可通過ARP欺詐等手段對圖書館網絡進行破壞，且效果很快就會顯現[18]。周莉提出被授權訪問的用戶可能，無意識甚至有意識地對圖書館的資源進行復制和傳播，使高校圖書館的知識產權受到侵犯;更有高端用戶如果通過數據挖掘等技術將高校圖書館的資源整合成新數據產品并買賣，造成知識產權界定不清的問題[19]。周進、熊建武、戴小鵬則談到維修電腦服務器可能造成安全機制曝光，且為方便維護人員檢查而設置的軟件“后門”程序則會嚴重影響高校圖書館的信息安全[20]。張學宏、張振圣不僅提出采購的設備可能就存在安全隱患的安全問題，可能還會對高校圖書館的文化造成影響[21]。

4? 組織安全的研究進展

組織安全的研究主要包括信息安全政策制度研究、信息安全體系構建研究、安全模型研究等，目的在于掌握信息安全的整體狀況，便于統籌協調。

4.1 政策制度研究為導向

政策制度信息安全研究是為高校圖書館提供導向，許多研究者都提到其在高校圖書館的重要性。周秀霞、張立新[17]就談到由于缺乏國家統一的政策文件，致使各高校沒有統一的信息安全定義，造成實際安全效果偏差較大。李琳也提出建立健全圖書館安全管理制度和操作規程是核心，要求做到“實體可信，行為可控，資源可管， 事件可查， 運行可靠”[3]。王元提出可將美國管理學家彼得的“木桶原理”應用于高校數字圖書館信息安全保障，同時指出人才和管理體系建設的重要性[22]。

4.2 信息安全體系框架的建立

霍明月在她的論文中提出引入國際安全標準ISO27001對高校圖書館信息安全管理體系進行構建[23]。南楠[24]提出不能只注重單一技術研究，而應建立一個現代化的，涵蓋技術、管理、資源、法律等多方面內容的綜合信息安全體系;周莉[25]認為要建立起一整套信息安全管理的機制，實行分級管理，逐層負責的方式，設立學校、圖書館、信息安全專業技術人員以及讀者四級管理體系;楊威則以用戶為基礎還是以書籍對用戶的關系為基礎來對信息安全進行分級做了探究，同時建議需以紙質保存數據恢復等程序，并經常培訓和演習[26]。也有研究者提出，信息安全不僅是創建一個完美的信息安全構架，更要為信息提供保護[27]。

4.3 設計實施安全模型

信息安全設計實施安全模型是信息安全研究中重要的一環，通過設計實施安全模型，將風險量化，形成一套實操性強的方案，并提前對高隱患的資產和區域進行檢查，達到降低信息安全風險目的。在這一領域中，嚴莊介紹了WPDRRC動態安全模型的演進歷程和理論基礎， 探討了基于該模型的動態的高校圖書館網絡安全防護體系的構建方法[28]。朱雷、王美蘭、卜世波也運用了灰色層次分析法對圖書館信息安全風險進行評估，為圖書館風險決策管理提供科學依據[29]。

5? 不足與展望

通過對高校圖書館技術安全、物理安全、人員安全和組織安全這四方面的綜述，發現上述4種安全并不是獨立存在的，而是相互融合、相互補充。用一句話總結發展趨勢，那便是我國高校圖書館信息安全研究有重大突破，逐漸形成了以組織研究為導向，各種安全技術齊頭并進，同時重視與人員管理的結合，物理安全則滲透入組織安全、人員安全和技術安全中，在組織、技術、人員的三位一體中尋找易實施、高成效的信息安全管理方案。

當然，事物都有兩面性。上述的研究也存在諸多不足：第一，在技術安全方面：忽視技術在圖書館的實施環境和作用域;對非圖書館領域的技術缺乏測試研究，效用難以鑒定;研究的安全防范技術幾乎各自為政，缺乏統一的安全機制，沒有形成全面可控的安全體系結構[28]，安全技術成本、人工成本、管理成本等因素技術研究中鮮有提及。第二，物理安全方面。物理安全沒有完善的安全體系，措施單一，缺乏實際操作性;云計算技術作為規避安全問題的新方法，卻難以把控云端儲存數據問題，包括數據儲存位置，服務器處于哪個國家，該國家能否保證信息不被泄露也尚未可知[14]。第三，在人員安全方面。研究者傾向于對安全問題和現象的發現和總結，鮮有提出有效措施，難有針對性建議。第四，在組織安全方面。研究的不足主要是其更多在于理論性探討，卻缺乏與高校圖書館實際業務的結合。

該文寫作目的就是如此，通過文獻綜述找出我國高校圖書館信息安全研究熱點，發現其中的創新和不足，希望借由該文讓更多的學者關注高校圖書館信息安全的發展，為高校圖書館信息的安全保護添磚加瓦。

參考文獻

[1] 張靜鵬，周秀霞，楊雨師.淺析HTTPS對高校圖書館安全能力的提升[J].農業圖書情報，2019，31（2）：62-67.

[2] 焦叢蓉.Web應用防火墻在高校圖書館的應用[J].黑龍江史志，2013（15）：178.

[3] 李琳，司守勤.網絡環境下高校圖書館信息安全及對策[J].科技情報開發與經濟，2008（7）：41-42.

[4] 張媛媛，王勝利.論高校圖書館網絡信息安全與防御體系構建[J].科技情報開發與經濟，2007（28）：58-59.

[5] 肖榮榮.高校圖書館網絡信息安全問題及解決方案[J].現代情報，2006（2）：67-68.

[6] 楊鈺曼.高校圖書館網絡信息安全淺論[J].無線互聯科技，2014（12）：196.

[7] 張小英.高校圖書館網絡信息安全問題探討[J].電腦迷，2017（12）：152.

[8] 梁世玲，鄧保國.高校圖書館網絡信息安全的風險與對策[J].農業網絡信息，2006（8）：53-55.

[9] 鄭志軍.基于影響高校圖書館信息安全管理要素及關鍵點的評議[J].戲劇之家，2014（5）：287.