高校數字圖書館網絡信息安全策略＊

張 宇

（南陽醫學高等專科學校，河南南陽 473001）

0.引言

2020年初開始，新冠疫情大規模暴發，影響著人們生活的方方面面。新學期開始后，師生無法如期開學，各大高校開啟了線上教學模式，從日常課堂講授、作業批改、畢業答辯等都進入云端模式。高校圖書館作為學習和科研服務重地，面對如此疫情危機也實時轉變服務，選擇集知識分類和精準檢索技術于一體的線上服務模式，開啟方便快捷的數字服務。

然而，數字圖書館的資源存儲、管理方式和服務模式都與信息網絡不可分割，面臨著各式各樣的信息網絡安全威脅。如何確保其網絡信息安全已成為各大高校當下無法回避的問題。

1.數字圖書館網絡安全

1.1 數字圖書館

數字圖書館并非實體圖書館，而是基于網絡平臺的線上圖書館，圖書館將海量的館藏資源轉化成電子數據儲存在數據庫中。讀者可利用數字圖書館，線上檢索獲取所求資源，享受圖書館的信息服務。

1.2 數字圖書館安全

數字圖書館安全是指數字圖書館網絡系統的各個組成部分不受偶然的或惡意的原因而遭到破壞、篡改和泄露，并且確保數字圖書館網絡系統能連續正常運行的機制，其最終目的是要達到數字圖書館網絡信息處理和傳輸過程中保持可靠的機密性、完整性、可用性和可控性[1]。

1.2.1 數字圖書館信息安全內涵

構建安全的數字圖書館歸納起來可分為實體設備層安全、用戶數據資源層安全、軟件層安全。其中，最基礎的為實體設備層安全，是數字圖書館正常運行的源頭。包含機房電腦設備、服務器設備、自助借還設備、檢索機、閱讀本、網絡、電力設備等持續穩定正常運行；最重要的為用戶數據資源層。本層負責讀者數據在數據庫中的安全防護，保障用戶個人信息安全，不被非法入侵者冒充、惡意篡改、隱私信息泄露等。而軟件層安全則是數字圖書館正常運行的命脈所在。負責各物理設備中的操作系統、服務器系統、應用軟件及數據庫服務器軟件功能正常服務。

1.2.2 數字圖書館信息安全特征

數字圖書館信息安全具有機密性、完整性、可用性、不可否認性、可控性等特征[2]。

（1）機密性確保數字圖書館的合法用戶信息不被非法用戶盜用。數字圖書館作為開放程度較高的部門，館藏資源具有共享性，但也有部分資源是要經過授權才能使用的，如數字圖書館自建特色資源和一些有償服務的電子資源。（2）完整性是指保障數字圖書館的資源在系統發布、用戶使用、線上傳遞過程中數據完整、正確不會出現受損、丟包、異常等情況。（3）可用性是指合法的用戶可隨時隨地流暢的享受數字圖書館的線上資源服務，不會因時空不同或其他因素造成服務異常，資源不能訪問的情況。（4）不可否認性保證數字圖書館用戶本人及其填寫的個人信息的真實可靠性。用過留痕且不可抵賴。（5）可控性指數字圖書館對服務系統中存在的及傳遞的信息資源能進行有效控制。一切資源盡在掌控中而非游離不可操縱的狀態。

2.影響網絡安全的因素

網絡安全策略首先要做到“看得見”。看得見即要提升網絡安全感知能力，這是做好網絡安全的基礎。明確影響網絡安全的風險因素在哪里？是什么樣的風險？做到“聰者聽于無聲，明者見于未形”。

2.1 人為因素

影響高校數字圖書館網絡安全的核心因素之一就是人為因素。事實上，高校數字圖書館工作中的絕大部分網絡安全問題都是由人為因素所導致的。其主要包含管理人員信息安全意識淡薄及管理人員缺乏技術手段兩部分。

2.1.1 圖書館網絡信息安全意識淡薄

一方面，由于傳統圖書借還方式和人工管理模式深入人心，高校圖書館信息安全意識淡薄；另一方面，高校圖書館的服務對象網絡安全意識缺乏，隨意下載免費WiFi工具連接不明無線網絡，轉借個人賬號、惡意批量下載電子資源等行為導致數據信息泄露，給圖書館電子資源帶來極大的安全隱患。

2.1.2 圖書館網絡管理人員的技術不足

網絡安全管理人員是一項技術性很強的職位。要求從業者有專業的信息化水平，能嫻熟地使用電腦系統及相關工具軟件，會配置服務器、數據庫相關系統參數，且有洞悉潛在安全風險，并實時處理的能力。而高校圖書館的管理人員缺乏這樣的專業人才。

2.2 軟、硬件環境因素

高校數字圖書館網絡系統環境主要由硬件設備、軟件系統和機房構成。

首先，硬件設備是促進網絡系統穩定運行的必要物質條件。這些設備用于資源檢索、自助借還、電子資源發布和存儲。相比于軟件設備硬件設備的更新周期較長，再加上相關設備的數據互相調用訪問和日常新增需求的負擔，低端配置的硬件設備承受不住就出現死機、服務崩潰、頻繁罷工等故障，影響圖書館的正常服務。其次，數字圖書館選擇的應用軟件、系統軟件、購入的核心數據庫服務軟件是影響網絡信息安全關鍵因素。不正規的途徑獲取及一些不良軟件供應商私綁流氓軟件等行為給圖書館常規選購工作帶來難度的同時，極大地威脅系統后續安全。再次，合理地設計圖書館核心機房、構建各項環境符合國標的安全機房也是保障網絡信息安全的重要因素之一。因此，供電設備是否平穩安全、溫度濕度能否維持、防災報警裝備是否靈敏可用、能否防靜電和抗電磁干擾等都是影響網絡信息安全需要重點關注的細節因素。

2.3 病毒及黑客入侵

計算機病毒具有傳播性強、復制率高、破壞性大等特點一直是威脅信息安全的最大殺手。系統一旦感染病毒，會造成服務器功能受損，數據資源遭到破壞，并迅速蔓延至其他設備。嚴重時會導致服務器崩潰、網絡癱瘓，所有數據丟失等。

黑客是指采取非法手段對計算機網絡系統進行訪問的人員，相對于病毒侵害而言，黑客攻擊往往帶有一定目的，所以對網絡系統造成的危害更加嚴重[3]。黑客攻擊對高校數字圖書館的威脅具體體現在非法盜用資源，刪除或惡意修改用戶信息等隱匿性行為，難以根除。

2.4 自身管理因素、網絡信息安全制度不完善

影響數字圖書館網絡信息安全的因素還有圖書館的自身管理體系。沒有建立完善可行的安全管理制度，且由于責任不明確、執行力度不強、監管不嚴，導致現有的網絡安全制度形同虛設。

2.5 算法安全問題

新技術應用衍生的網絡信息安全問題，部分服務商推出的精準營銷策略非法收集用戶數據，保留用戶瀏覽痕跡都給用戶隱私泄露帶來很大的安全隱患。有的高校盲目追趕新技術新應用，特別是人臉識別技術應用泛濫，人工智能是一種技術，但并非萬能的技術。高校在選擇的過程中需要慎之又慎。

3.數字圖書館提升網絡信息安全的策略

3.1 加強各方網絡安全意識

3.1.1 技術人員

網絡信息安全中要求技術人員要做到政治可靠、作風優良、本領過硬。在傳統工作中，技術人員都在幕后做支撐，隨著數字化的發展和應用，他們承擔的責任越來越大，所需的技能越來越高。高校圖書館技術人員要以身作則，堅守底線，充分認識自身肩負的責任，日常工作不存僥幸心理、增強安全意識，不斷提升專業技能為圖書館網絡信息安全貢獻力量。

3.1.2 教職工

教職工要做到提高認知、嚴守紀律、守土有責。深入學習網絡安全知識，日常工作中不隨意訪問非法網站，發布個人信息。使用電子資源過程中不隨意轉借個人賬號，惡意批量下載數據庫資源，更不得違反販賣電子資源及涉密信息等。

3.1.3 高校圖書館

對于技術人員方面，高校在引進人才時，準入門檻可以設置得高一些，從源頭上解決非專業人士意識不足，專業度不夠的問題。對于已成為高校圖書館網絡信息安全管理方面的工作人員應開展定期培訓。提供更多的外出交流學習機會，不斷提高他們的安全責任意識和專業能力。對于讀者信息，高校數字圖書館要加強技術防控，提高警惕，定制高效可靠的讀者信息安全保障措施，確保讀者隱私不受外界侵擾。

3.2 構建關鍵信息基礎設施安全保障體系

網絡安全策略要做到“防得住”。防得住要提升網絡安全防御能力。重點是關鍵信息基礎設施，要盡快構建關鍵信息基礎防范設施安全保障體系。高校數字圖書館基礎設施防范重點為軟硬件系統兩個方面。硬件方面除了確保硬件配置的選擇外，需要專人專職負責設備的日常監測和維護實時監控設備的運行環境及功能狀態，掌控設備溫度、濕度，及時對老化或受損部件進行更換。

3.3 運用網絡技術安全策略

網絡安全的本質是對抗，對抗的本質是攻防兩端的能力較量。要以技術對技術，以技術管技術，做到魔高一尺，道高一丈。要提升信息領域核心技術突破能力。互聯網的核心技術是最大的“命門”，核心技術受制于人是最大的安全隱患。要加快推進信息領域核心技術突破，實現關鍵核心技術自主可控，把握創新主動權，占領創新制高點。

3.3.1 提高防病毒的能力

高校圖書館以一種半開放的形式存在，需要服務的用戶眾多，病毒感染與黑客的入侵成為威脅數字圖書館網絡信息安全的因素之一。優質的殺毒軟件可以對系統進行全盤掃描，找出潛在的安全隱患。也可通過二次掃描監控網絡文件的傳輸情況，實時處理風險文件。因此，高校圖書館首先需要安裝防護性能高、病毒查殺徹底的防病毒軟件來抵御攻擊。其次，實時更新升級病毒防御方案，提高整個系統防御等級。

3.3.2 完善防火墻功能

在網絡安全防范策略中防火墻技術簡單有效優勢明顯。它不僅可以高效地阻隔風險因素，可以輕松杜絕非法黑客入侵，極大保護服務器數據庫資源安全。還可以通過日志分析技術，追蹤漏網之魚。

3.3.3 加強數據備份與恢復技術

數據備份是為了在意外情況出現時也可以使用備份數據進行快速彌補，最大限度地保障信息正確及完整，保證圖書館各項工作可以繼續有序開展，讀者權益不受影響。作為保證數字圖書館數據安全的最后一道防線，因此，做好數據的備份與恢復必不可少。高校圖書館要對館藏資源、用戶信息等核心數據進行定時備份以防萬一。

3.3.4 控制用戶和權限

當前網絡信息系統最常用的安全保障策略是身份信息驗證和訪問權限的設置。高校數字圖書館系統應根據用戶的級別設置對應訪問權限，從而控制特定用戶訪問特定資源，確保信息的安全。

3.4 多方合作建立多元信息安全體系

通過多方合作建立多元化信息安全體系。如高校制定網絡安全規章制度、完善績效考核體系監督機制和政府協助加強國家網絡安全法律法規。

3.4.1 制定科學、合理、健全的網絡安全規章制度

高校圖書館必須建立一個全面的規范網絡行為和明確網絡操作規程的制度體系。針對不同級別的員工劃分不同的責任清單，制度要做簡單易懂又合情合理。網絡安全管理的專業人員要嚴格按規章制度實施每日安全維護工作，一般管理人員要做到基礎安全防護，部門負責人要做好日常監管。各部門互相配合嚴守制度。

3.4.2 完善績效考核體系，建立監督機制

高校圖書館網絡信息安全管理制度要想發揮效用就必須完善績效考核體系并建立監督機制。要引入多元化的評價主體，打破傳統考核模式，實現各部門交叉互考，互相監督模式。

4.結語

高校圖書館利用數字化、網絡化、智能化技術和手段實現價值創造與服務創新的雙重轉型，促進圖書館從資源能力型向服務能力的轉型[3]。高校數字圖書館的建設風生水起，用戶對數字圖書館的依賴和要求越來越高。然而同樣發展壯大的還有花樣百出的網絡信息威脅方式。面對層出不窮的網絡安全事件，高校圖書館應在實踐中不斷探索、不斷創新，權衡利弊采取有效的網絡安全防護策略，保障網絡安全，更好地服務廣大讀者。