數字化視域下公共圖書館信息安全分析與對策探討

文/攀枝花市圖書館 王品鑫

隨著信息化、數字化的快速發展，世界各國各個層面的信息安全問題日益嚴峻。2016年11月7日，全國人民代表大會常務委員會通過《中華人民共和國網絡安全法》，2017年6月1日起實施，各行各業信息安全責任越來越沉重。以公共圖書館為例，隨著數字圖書館建設的推進，信息化程度將會逐步提高，為讀者對知識的檢索和利用提供了極大方便，信息的流動性更強，擁有的各種數據資源也愈加龐大，不可避免地存在網絡信息安全問題，因此保障信息安全，需要一并納入公共圖書館數字化建設中，同研究、同部署，建立完善、高效的圖書館信息安全管理機制。

一、數字化視域下公共圖書館信息安全現狀

（一）政策引導。為加強數字圖書館信息安全管理，保障數字圖書館事業的有序進行，2017年10月，《數字圖書館安全管理指南》正式發布，該《指南》對數字圖書館安全的概念進行了界定，指出了信息資源的保密性、完整性和可用性是數字圖書館安全管理的基礎，重點研究了數字圖書館安全管理相關要素，不僅對數字圖書館的安全管理工作提供了一定的參考價值，而且對數字圖書館的運行和保障起到了指導作用。

（二）業務性問題。隨著公共圖書館信息系統網絡化、便捷化的快速發展，公共圖書館資源逐漸演化成了大量的電子書、書目信息、數字期刊、用戶數據等海量數字資源，更加注重知識開放共享和人機交互。個性閱讀和精準服務的推廣應用，需要收集用戶實名信息、閱讀喜好，微信、微博、社交網絡媒體等信息進行針對性服務。數據種類包括結構化、半結構化和非結構化等多種類型，由于不同類型的數據對存儲系統的性能要求不同，加之“重使用、輕管理”的現象普遍，信息存儲與傳播安全問題隨之顯現出來，如非法獲取、虛假信息、用戶隱私泄露、數據竊取、弱口令漏洞等，都是影響圖書館信息安全的潛在因素，如果數據管理得不到重視和有效防護，極易給公共圖書館信息安全埋下隱患。

（三）經濟性問題。無論從圖書館年度工作目標任務制定還是從信息安全經費投入上來看，部分公共圖書館信息安全工作重視程度不夠，很大一部分原因是經費不足，另一個原因是認為信息安全不能提高圖書館的組織收益和服務效能，只會減少損失，因此對待安全問題不重視。例如操作系統未正版化、未開展網絡安全等級保護工作、漏洞補丁未及時完善和相關的安全設備、防護軟件未及時配備到位等。

（四）管理與技術性人才問題。圖書館信息系統問題原因如下：一是很多公共圖書館缺乏信息安全管理制度，具體負責人指定模糊，從上到下缺乏信息安全意識，對信息安全方面法律、法規不夠了解；二是人才招聘過程中沒有提出具體的專業能力要求，導致缺乏具有一定信息安全技術能力的人才做支撐，信息安全管理經驗與技術能力還有很大不足。

二、數字化視域下公共圖書館信息安全對策

近些年來，公共圖書館為了迎合時代潮流和擴大服務半徑，大力發展數字閱讀，降低用戶到館成本的同時，提高服務效能，利用新型技術使圖書館演變成為具有多功能線上線下的數字功能性的圖書館，其具有響應速度快、資源種類多、便捷功能高、網絡服務強的特點。但在大數據、微服務發展的環境下，圖書館的數據資源和用戶信息被不斷收集、開發、存儲和利用。分析和研究數字圖書館面臨的網絡信息安全問題，采取可行的應對策略以保障圖書館的數據和用戶信息安全尤為重要。

（一）信息安全技術應用與訪問控制。1.加強信息安全技術的應用。在公共圖書館信息安全技術應用中，首先需要對各個信息系統安全重要程度進行有效分析和評估，根據不同層級的安全需求，針對性加強相關技術的運用，使各層級安全需求都能夠得到滿足。圖書館信息安全管理是一個系統工程, 要做到應用諸多技術方法監測、記錄網絡運行狀態，按照網絡安全最新規定保存不少于6個月的網絡日志，利用現有信息安全技術檢測并完善系統軟件漏洞，阻止來自網絡的非法訪問和自身重要數據的安全存儲與恢復。2.加強訪問控制。建立全面的用戶訪問控制管理，確保信息資源的合理利用，并告知用戶其被授權的權限及應承擔的責任。同時要使用各類訪問控制技術手段，比如：賬號權限分配、IP地址隔離、內外網訪問限制、VNP技術應用、入侵防護檢測等，防止非法利用與網絡攻擊。

（二）加強用戶隱私安全管理。圖書館信息系統存儲有大量用戶個人數據、借閱信息、訪問頁面記錄等信息，經過數據分析技術，可以得出用戶的閱讀興趣、借閱喜好、查閱的資料等，便于開展個性化和精準服務。隨著信息收集的逐步推進，用戶數據與規模逐漸龐大，涉及隱私信息的數據也在逐年增加。《公共圖書館法》第四十三條規定：“公共圖書館應當妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供。”讀者信息安全關鍵在于讀者基本信息安全和讀者行為信息安全。圖書館在收集用戶個人信息的時候，個人信息就轉化為個人數據，個人信息從私人領域進入公共領域，被搜集并加以利用，用戶會對自身信息的安全性存在懷疑，從而影響其對數字化服務的持續使用意愿。因此我們在收集用戶信息的時候，應當遵循收集限制、使用限制、安全保護等原則，依據數據質量、目的、是否公開、是否個人參加等情況分別進行處理，同時在需要向第三方提供個人用戶信息，或共享、交易、委托處理重要數據的，留存個人同意記錄。

（三）加強讀者證安全管理。在辦理讀者證時，同樣存在信息泄露的風險，為消除用戶安全顧慮，在辦理讀者證的流程上，也應當采取相應的措施。1.讀者信息采集、匯集階段。僅采集公共圖書館服務開展與管理所需的信息，控制信息采集的精度，利用匿名保護技術，從源頭上減少信息泄露的風險。同時在匯集各個分系統既有角色信息和進行權限重構時，在保障訪問權限控制的前提下盡量精簡用戶信息數量，減少不必要的信息添加。2.讀者信息儲存階段。對涉及用戶隱私的信息實行加密和訪問控制，可采用分級加密技術，根據保密等級不同，設定不同的密鑰長度，對長時間未使用的用戶數據進行凍結隔離，禁止互聯網訪問，加強外部系統使用API接口調用用戶數據。3.讀者信息利用階段。采用訪問控制、數據傳輸加密、匿名化、數據脫敏、數據庫防火墻等方式，降低用戶隱私被泄露的風險。4.讀者信息刪除階段。圖書館應該科學管理讀者個人信息，及時處理掉已經注銷的讀者身份信息，這樣既能減少不必要的存儲空間，也能減少需要保護的讀者隱私信息數量。制定完備的信息安全管理制度。提高安全意識，從管理和技術兩方面，確保個人信息安全。實現圖書館員行業規范化，強化行業的職業道德意識，以自律為主、懲罰為輔的方式來確保讀者的隱私安全，從而保障讀者在閱讀活動中的個人信息安全。

（四）執行數據備份與容災工作。數據存儲安全是圖書館信息安全工作最基本的任務之一，圖書館書目數據、讀者個人信息、數據資源以及管理賬號等關鍵性業務數據，是保證數字圖書館正常運行的重要數據。硬件損壞、軟件故障、網絡入侵、操作不當等都有可能造成數據資源的損壞和丟失，這對數字圖書館服務工作的影響是災難性的。在數字資源安全存儲過程中，面臨著數據結構的多樣性、存儲方式的特殊化、數據庫權限等諸多問題，對數據備份工作提出了不少挑戰，要針對不同類型的資源存儲要求，利用不同類型存儲介質之間的優點選擇性存儲或備份，在數據備份方式上，兼顧存儲空間的合理化利用，選擇完全備份、差量備份、增量備份和日常備份；備份時間根據數字資源的重要性，選擇同步實時備份、每日備份和每周備份等；備份地點也可以選擇本機備份、本地異機備份、異地備份、網絡云服務備份等。通過對公共圖書館進行調查，發現公共圖書館的數字資源主要分為表1所示的幾個種類（包括但不限于）。

表1 公共圖書館的數字資源內容

數據容災方面主要表現為一種主動式的預防，而不是在災難發生后的彌補，容災方式有雙機熱備、RAID陣列技術、云存儲服務等，其目的是在災難發生時，能夠保證圖書館系統的不間斷運行，或者盡快地恢復正常運行，可以用備份應用程序和備份數據來快速恢復運行。數據備份與容災相互依存，密不可分。備份是容災的基礎，圖書館在選擇最適合的數據備份與容災策略后，確保數據安全萬無一失的常規策略。

（五）加強信息安全管理與館員信息安全素養與行為規范。1.加強信息安全制度建設。數字圖書館信息安全管理應根據具體的建設目標和各方面網絡安全因素組織建設，要摸清現有系統的情況，制定有效的信息技術安全策略，先明確管理職責，再制定信息安全管理計劃、號召人員響應、事故處理、檢查、總結等。專職人員對數字圖書館運行和維護持續監控，對監控日志認真仔細分析，查找問題原因，對癥下藥，使數字圖書館的安全水平不斷提高，形成完整的規章制度與流程規范，并保持更新，實現安全管理的可持續發展。針對性加強未成年人網絡保護，綜合考慮時長限制、內容審核等因素，開發適合未成年人的使用模式，提供適合未成年人的資源和服務，嚴防不良信息影響未成年人的身心健康。2.加強館員信息安全素養與應急處理能力。一是通過參加地方網絡監管部門信息安全培訓活動，不斷提高圖書館員自身的信息安全能力與素養，從而具備一定的理論知識與操作技能，能對常規的安全隱患進行分析與處理。二是明確每位館員系統功能的操作范圍，使用指定的賬戶和密碼登錄，設置他們的工作權限，出現問題可通過操作日志倒查到具體責任人。三是制定網絡安全事件應急預案并組織定期演練，在發生危害網絡安全的事件時，立即啟動應急預案，及時處理系統漏洞、計算機病毒、網絡攻擊、網絡入侵等突發情況。四是積極借助“外腦”，即聘請信息安全專業服務團隊，但會增加數字圖書館的運作成本，而單個或少量信息安全人才負責圖書館數字資源的優化和建設，又無法應對變幻莫測的網絡攻擊。成本較低且效果較好的一個思路是，利用既有信息化人才的技能與能力，然后對其無法應對的較高技術型信息安全問題進行外包處理，切實保障圖書館信息安全。

（六）推進軟件正版化項目的實施。使用非正版軟件會增加系統癱瘓、感染病毒和黑客入侵的風險，甚至造成圖書館多年來加工和收集的關鍵數據被盜取或損壞，使圖書館承受巨大損失。隨著國家對網絡信息安全的要求進一步提高，提出“沒有網絡安全就沒有國家安全”的指導思想，各省市已逐步推進所使用的服務器和臺式、便攜式計算機上的軟件正版化，重點是普及計算機操作系統、辦公軟件和殺毒軟件的正版化。公共圖書館可利用這次契機，建立硬件、軟件資產臺賬，申請專項經費，實行全館計算機操作系統、辦公軟件和殺毒軟件正版化，并建立完善的升級、更換、使用、培訓、處置等管理工作程序，要求專人負責，確保一切工作嚴格有序進行。

（七）開展網絡安全等級保護工作。信息安全等級保護，是對信息和信息載體按照重要性等級分級別進行保護的一項工作，要求網絡運營者按照網絡安全等級保護制度的規定，履行安全保護義務。借助信息安全等級保護有利于公共圖書館采取科學、規范的管理方式和技術保障措施，保障數據資源和各項信息服務正常運行，有效保障圖書館信息系統安全。公共圖書館應用系統建設需要滿足網絡安全等級保護相關要求，做到同步規劃、同步建設、協同推進，少走彎路。通過信息安全等級保護工作的五個階段（即定級、備案、安全建設整改、信息安全等級測評、信息安全檢查環節）來維護網絡安全等級保護工作，實現數字化建設和信息安全相協調，提高信息安全水平和保障能力，從而進一步保證圖書館的信息安全。

三、結語

公共圖書館作為社會結構中的一個重要組成部分，為了順應時代變化，公共圖書館開展的服務應該更加多元化，在利用云計算、人工智能、大數據、移動互聯網等新技術給公共圖書館信息服務模式和內容帶來深刻變革的同時，信息安全問題在被廣泛應用的信息技術中暴露的越來越多。在網絡環境下，為了給公共圖書館數字化服務保駕護航，我們從網絡安全防護技術加強、用戶隱私數據保護、數據安全存儲、館員信息安全素養、軟件正版化、網絡安全等級保護多方面研究，建立全面的信息安全防御體系，將信息安全貫穿整個公共圖書館數字圖書館建設的各個環節，為廣大用戶提供可靠的數字化服務。