圖書館信息安全風險及應對措施研究

［摘要］研究安全漏洞特征及漏洞引發的風險有助于制訂防范對策。文章從安全漏洞演進態勢、暴露面、風險面與影響面分析圖書館系統安全漏洞特征和引發的風險，并提出應對措施。研究表明，圖書館中高危險漏洞逐年遞增，未修復漏洞、易攻擊漏洞、可遠程攻擊漏洞占比長期處于高位，直接引發圖書館服務、資源、經濟三重安全風險。未來，圖書館應重點提升系統安全漏洞的綜合管控能力，強化圖書館服務與數字資源保障能力。

［關鍵詞］圖書館信息安全；數據安全；網絡攻擊；風險威脅；安全漏洞

［中圖分類號］G250.72"［文獻標志碼］B"［文章編號］1005-6041（2024）01-0067-08

1引言

近年來，互聯網、大數據、云計算、人工智能等信息技術改變了圖書館原有的技術架構、服務體系、運營模式。但信息技術在圖書館的廣泛深度應用也不可避免地帶來了一系列信息安全問題，使圖書館網絡和信息安全受到不同程度的安全威脅"［1-4］"。根據鄭德俊等"［5］30"、周秀霞等"［6］7"的調研可知，圖書館普遍存在不同程度的信息安全問題，安全漏洞攻擊、數據泄露、拒絕服務、篡改網頁、網絡釣魚、木馬植入、端口掃描等惡意信息安全事件時有發生，且呈現明顯增長的態勢。系統安全漏洞是指硬件、軟件存在的弱點或者缺陷，在一定條件下可被攻擊者利用產生危害，是信息安全風險的主要來源，是引發信息安全事件的主要內因"［7-9］"。根據國家信息安全漏洞共享平臺（CNVD）披露的數據顯示，信息安全漏洞在圖書館各軟硬件系統中廣泛存在。截至2021年12月，圖書館領域存在的安全漏洞共191枚，其中高危漏洞與中危漏洞總占比高達96"%"，涉及圖書館重要的軟硬件信息系統。基于上述背景，部分研究者重點圍繞漏洞檢測、風險分析與評估、信息安全防護等方向開展了一系列工作"［10-13］"，形成了較為豐富的研究成果，但整體而言，學者比較關注圖書館特定信息系統的安全漏洞監測、分析與防護或依據等級保護、ISO27001等行業標準將漏洞作為特定風險項納入研究框架下"［10-11］"。專門針對安全漏洞引發的圖書館信息安全風險問題尚未得到學術界的普遍關注，對圖書館信息安全漏洞的特征、趨勢、防護等研究較為少見。基于此，文章分析圖書館系統安全漏洞特征，探討引發的信息安全風險，分析形成原因，有針對性地提出應對措施。

2研究現狀分析

2.1 圖書館信息安全漏洞的研究

系統安全漏洞未及時發現、未進行有效封堵是信息安全事件的主要原因，為確保圖書館信息服務的連續性與穩定性，部分研究者針對圖書館信息安全漏洞進行深入研究。例如，丁嵐"［14］"指出信息安全漏洞是網絡病毒廣泛傳播、黑客攻擊的根本原因。其研究通過對圖書館信息安全漏洞分析，提出漏洞檢索對照法、系統瘦身法、模擬攻擊法等安全漏洞檢測方法，并結合圖書館特點制訂安全防護措施。朱蘭芳"［15］"指出“緩沖區溢出漏洞”引發的攻擊不斷增加，給圖書館帶來潛在安全風險。其研究對緩沖區溢出進行技術性分析并提出針對性解決措施。此外，楊成杰"［16］"針對圖書館數據安全漏洞進行分析并提出應對措施。白莉娜"［17］"分析TCP/IP網絡協議漏洞并提出解決措施與防范方法。

2.2 圖書館信息安全風險的研究

部分研究者更多地將信息安全漏洞作為特定風險項納入風險分析框架，開展系統性分析，提出綜合性防護措施。主要從兩方面展開，一是圖書館自身風險分析，重點分析圖書館面臨的信息安全具體風險。例如，張元俊"［12］129-130"指出高校圖書館存在數字資產存儲量龐大、系統網絡復雜、應用系統來源廣泛、網絡安全技術儲備不足以及安全能力建設不統一、安全薄弱環節多等問題。鄭德俊等"［5］31"指出我國圖書館普遍存在未修補漏洞、網絡或軟件配置錯誤、登錄密碼過于簡單或未修改、缺少訪問控制、內部網絡違規連接互聯網等信息安全風險。周秀霞等"［6］8"指出圖書館普遍存在不同程度的病毒攻擊、木馬植入、網絡釣魚、篡改網頁、系統漏洞、垃圾郵件等安全風險。孫戈等"［18］"結合公共圖書館系統開放性、資源共享性和網絡公用性等特點分析其安全風險并提出防范措施，從環境因素、硬件因素、軟件因素、病毒及黑客入侵、網絡因素、制度及人員因素等6個方面較為全面地分析影響公共圖書館信息安全的因素。多數依照標準風險分析的研究結合環境因素、硬件因素、軟件因素、病毒及黑客入侵、網絡因素、制度及人員，提出圖書館信息安全風險評估模型或開展風險評估。例如，為加強圖書館風險評估的客觀性，減少人為評估帶來的主觀性。黃水清等"［11］44"在信息安全管理國際標準ISO27001基礎上，提出一種基于模糊數學、構建威脅場景、CVSS以及風險矩陣相結合的綜合評估模型。袁錦波等"［19-21］"依照等級保護標準、國內外安全管理標準、圖書館信息安全管理標準等開展信息安全風險分析框架建設。隨著圖書館深度應用云計算、大數據、人工智能等技術，衍生了新型安全風險"［22-26］"。

例如，云計算的引入為圖書館提供高性能、低成本以及彈性持續計算、存儲的空間，但云計算被非法利用時也容易產生個人信息泄露、無法統一安全標準、信息受控于人的安全風險"［9，22-23］"。大數據在給圖書館帶來巨大價值的同時，也帶來了數據安全、隱私安全等問題"［24-25］"。人工智能以智能化的方式與技術降低了其工作的復雜程度，提升了生產效率，但也帶來了數據泄露、開源軟件、程序錯誤等風險"［26］"。

2.3 小結

通過上述研究可以看出，圖書館信息安全風險分析受到越來越多的關注，推動圖書館信息安全風險評估、分析取得了很大進展，

部分學者針對圖書館信息安全漏洞進行詳細分析與總結。但總體而言，學者較為關注圖書館特定信息系統的安全漏洞監測、分析與防護或依據等級保護、ISO27001等行業標準將漏洞作為特定風險項納入研究框架，專門針對安全漏洞引發的圖書館信息安全風險問題尚未得到學術界的普遍關注，對圖書館信息安全漏洞的特征、趨勢、防護等研究較少，與其他行業在漏洞研究方面形成了一定差距。

3研究設計

3.1 數據來源

國家信息安全漏洞共享平臺（CNVD）是由中共中央網絡安全和信息化委員會辦公室直屬單位國家計算機網絡應急技術處理協調中心聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的國家網絡安全漏洞庫，是各領域研究人員開展研究的重要數據來源。"文章采用CNVD為研究數據源，采用高級檢索與人工判斷的方式獲取與圖書館直接相關的漏洞信息。首先，進入CNVD高級檢索，設置檢索詞為圖書，設置截止日期為2021年12月31日"①，獲取初步漏洞數據集；其次，通過人工篩選，去除重復的、與圖書館軟硬系統無關的漏洞；再次，根據漏洞的唯一編號（CVND號）"獲取漏洞標題、危害級別、點擊數、是否提供漏洞解決方案、攻擊復雜度等共19個字段，用于漏洞特征分析。經篩選，共獲得191枚圖書館信息安全漏洞，其中，低危漏洞7枚，中危漏洞110枚，高危漏洞74枚。

3.2 研究框架與研究設計

文章從圖書館領域存在的信息安全漏洞與典型網絡攻擊事件出發，采用定性與定量相結合的分析方法，沿著圖書館信息安全漏洞數據采集、漏洞分析、風險分析以及應對措施的研究路徑展開。首先，從CNVD漏洞庫獲取漏洞標題、類型、報送時間、危害、趨勢、等級等信息；其次，從漏洞趨勢、暴露面、供應鏈以及漏洞影響等4個方面進行風險分析；再次，從管理與技術2個維度，從頂層設計、供應鏈安全、運行機制等方面提出應對安全漏洞引發的圖書館信息安全風險的具體舉措，形成如下研究框架與具體設計（見圖1）。

4信息安全漏洞特征及其引發的圖書館信息安全風險分析

本節從圖書館涉及的軟硬件系統的漏洞趨勢、修復程度、漏洞類型、攻擊方式、危害級別、解決程度、攻擊難易程度等出發，結合圖書館典型的信息安全事件，分析信息安全漏洞特征及其引發的信息安全風險問題。

4.1 圖書館信息安全漏洞發展態勢分析

信息安全漏洞隨時間的變化可反映其整體發展態勢。文章統計了我國圖書館年度漏洞暴露總量、低攻擊復雜度漏洞數量與未修復漏洞數量（見圖2）。從圖2可以看出，我國圖書館信息安全漏洞數量呈現逐年遞增趨勢，易攻擊漏洞、未修復漏洞數量同步增長，普遍存在可造成數據泄露、遠程攻擊、非法訪問的漏洞。結合圖書館信息化建設實踐，對其安全風險形勢進一步分析可以看出：1）圖書館信息系統普遍存在脆弱點，總體安全風險形勢嚴峻。隨著數字圖書館、智慧圖書館等的建設，圖書館軟硬件信息系統的采購、開發數量逐漸增加，圖書館采購、咨詢、借閱等業務基本進入全面信息化階段，數字化、智能化水平快速提高。但國內圖書館信息系統漏洞逐年增長，系統普遍存在脆弱性，安全問題突出，截至2021年12月，圖書館信息安全漏洞共191枚，其中高危漏洞與中危漏洞總占比高達96"%"，這與圖書館開放性、泛在化、智能化的建設目標相疊加，增加了帶有安全漏洞的圖書館信息化資產在互聯網上的暴露程度，帶來了更嚴峻的信息安全風險挑戰。2）圖書館信息系統開發安全基因設計不足。信息安全漏洞通常在發布初期較多，隨著軟件版本不斷更新而減少。但圖書館信息系統漏洞數量整體逐年上漲，且低攻擊復雜度漏洞、高危漏洞占比較高，說明圖書館信息系統安全性設計和測試處于初級階段，信息安全漏洞的危害及影響未在圖書館系統開發中得到充分重視。此外，傳統圖書館信息系統多運營在封閉環境中，設計時較多考慮功能性、可靠性，較少考慮安全性，而在逐漸開放的背景下，傳統圖書館軟件開發“重研發、輕安全”的發展路徑仍未發生實質性轉變，圖書館信息安全能力未與其信息系統開發同步規劃、同步建設、同步實施。

4.2 圖書館信息安全軟硬件供應鏈安全分析

圖書館通常涉及大量的軟硬件采購工作，供應鏈涉及面廣、管理復雜，既有核心數據庫鏡像資源，又有自助借還書系統、視頻監控系統、人臉識別系統等管理系統，既涵蓋第三方采購、研發又涉及自主研發，其供應鏈任何環節的信息安全漏洞都會直接給圖書館帶來信息安全風險。信息安全漏洞修復是反映供應鏈安全的重要標準，指軟件系統、硬件設備供應商對發現漏洞提交解決方案并提出有效的修復方式。文章統計高危漏洞、中危漏洞、低危漏洞的修復情況并結合攻擊復雜度，探究圖書館軟硬件供應鏈導致的信息安全風險（見圖3）。綜合圖3和表1內容可以發現，圖書館存在大量長期未修復的信息安全漏洞。

據統計，圖書館高危漏洞的修復率為18.92"%"，中危漏洞的修復率為40.91"%"，低危漏洞的修復率為57.14"%"，整體修復率為32.98"%"。其中，高危未修復漏洞遠遠高于低危未修復漏洞，且74個高危漏洞中存在62個低攻擊復雜度的漏洞，占高危漏洞比83.78"%"。這可以看出，這些長期大量未修復的信息安全漏洞成為圖書館的薄弱環節，極易被攻擊者入侵形成重大安全事件。

4.3 圖書館信息安全脆弱性分析

圖書館信息安全漏洞類型可反映圖書館信息系統的脆弱點與被攻擊手段。文章根據漏洞標題、漏洞內容、危害級別等信息綜合判斷，參考對漏洞的分類標注漏洞的類型，從而對漏洞的脆弱性進行分析（見表1）。從表1可以看出，圖書館信息安全漏洞類型多樣復雜，危害嚴重，主要包括注入漏洞、跨站腳本漏洞、任意文件操作漏洞、數據泄露漏洞、鏈接重定向漏洞、邏輯缺陷漏洞、認證繞過漏洞、拒絕服務漏洞8種類型。安全漏洞對圖書館的影響主要來自兩方面：一是通過獲取權限、數據庫攻擊等手段竊取、變更圖書館數字資源；二是通過模擬可信身份認證破壞系統的可持續服務，中止圖書館業務系統運行。

數據泄露、更改成為圖書館信息系統最大的脆弱點。從表1可看出，注入漏洞、跨站腳本漏洞、任意文件操作漏洞、數據泄露漏洞等導致數據更改與泄露的信息安全漏洞點比例較高，存在數量較多，分別占到總漏洞數量的46.60"%"、17.28"%"、14.14"%"、7.85"%"。注入漏洞可直接導致圖書館網頁被非法篡改、數據更改等，攻擊者可利用應用系統開發者未對輸入的特殊字符進行過濾或校驗而注入HTML、SQL代碼以獲取服務器數據，容易導致數據被竊取、更改、刪除。此類漏洞是圖書館常見的漏洞類型，占比最大，達到46.60"%"。跨站腳本漏洞占比低于注入漏洞，占17.28"%"，跨站腳本漏洞可通過嵌入Script等代碼更改頁面與服務器的交互方式，使數據被篡改。任意文件操作漏洞、數據泄露漏洞相對占比較小，分別為14.14"%"、7.85"%"，其主要通過獲取權限進行非法操作，直接獲取圖書館敏感信息。此類漏洞雖占比小，但多因開發者不規范操作導致，多存在于數據庫或軟件后臺等服務器端系統中，考慮到調試成本、系統運行成本、系統穩定性等因素，修復難度較大，修復時間長，一旦受到攻擊，產生的影響大。

4.4 圖書館信息安全事件分析

信息安全事件是指攻擊者通過存在的軟硬件漏洞、缺陷，對網絡和信息系統或者其中的數據造成危害的事件。近年來，針對圖書館的網絡攻擊事件層出不窮，給圖書館信息服務的連續性與可用性造成嚴重影響。文章調研了目前圖書館領域公開的信息安全事件（見表2），從中可以看出，圖書館信息安全事件可歸納為網頁非法篡改、勒索軟件攻擊、數據泄露攻擊等類型。其中，網頁非法篡改是利用信息系統原生的脆弱性，如存在注入漏洞、代碼邏輯錯誤漏洞等問題，對相關網頁內容進行非法篡改，在圖書館相關網站上展示不恰當文字，以達到宣傳負面信息，引導輿論的作用；勒索軟件攻擊是攻擊者通過釣魚郵件傳播、網頁木馬傳播、漏洞傳播等方式，通過加密用戶數據與鎖死用戶文件來劫持用戶資產，[JP+1]并以此為條件要求獲取用戶贖金。數據泄漏攻擊是通過非法手段獲取圖書館數字化知識產權作品、珍貴古籍資料、學位論文、讀者個人隱私信息等珍貴數據。

從攻擊目的來看，圖書館網絡安全事件與社會活動、經濟利益密切相關，具有較強的針對性與目的性：1）宣傳負面輿論。在舉辦重大活動時期實施網頁篡改，展示不恰當文字，以引導宣傳負面輿論，影響社會活動正常進行；2）獲取經濟利益。嵌入勒索軟件獲取圖書館服務器權限，鎖死圖書館數據及電腦文件以獲取贖金；3）竊取重要數據。通過任意文件操作漏洞、數據泄露漏洞等非法手段獲取圖書館珍貴古籍資料等高價值數據。

從引發原因來看，圖書館信息安全事件的發生既有內部管理缺失又有外部環境影響。從內部管理來看，內部安全管理缺失，未全面部署有效防護措施成為安全事件的直接原因。圖書館相關漏洞數量持續增加，且未得到及時有效的封堵，部分圖書館未對安全漏洞充分重視，未加強安全能力部署，導致安全管理空白。例如，2018年某圖書館網站遭到黑客攻擊，致使網頁被篡改。通過相關部門認定，其因未采取防范網絡攻擊、網絡侵入等危害網絡安全行為的技術措施，最終導致網頁非法篡改事件。從外部環境來看，圖書館的開放性、泛在化、智能化使越來越多的信息化資產暴露在互聯網上，攻擊者僅通過遠程、攻擊跳板等方式便可實施攻擊。

5安全漏洞引發的圖書館信息安全風險應對措施

圖書館信息安全存在漏洞量逐年上升、未及時有效封堵、高危漏洞易攻擊等問題，且網絡攻擊越來越具有針對性和經濟性。文章從圖書館信息安全漏洞的主要特征出發，結合圖書館信息安全事件特點，提出信息安全漏洞引發的圖書館信息安全風險削減框架（見圖4）。

5.1 優化圖書館信息安全頂層設計

近年來，圖書館信息安全漏洞數量呈現爆發式增長趨勢，且未修復漏洞、易攻擊漏洞占比較高，導致圖書館信息系統的資產暴露面、攻擊面與脆弱面逐漸擴大。為進一步提高圖書館信息安全風險防范能力，應加強圖書館信息安全工作的組織領導、制度約束，明確圖書館信息安全總體目標，形成自上而下的工作推進機制。一是強化組織領導。進一步優化圖書館信息安全組織架構，設置專人負責圖書館信息安全漏洞的收集、監測、發現、研判、采集、驗證、評估、修復以及風險分析等工作，構建與圖書館軟硬件供應商、安全設備供應商常態化聯系機制，第一時間獲取漏洞情報。二是優化信息安全管理制度。將圖書館信息化資產排查、漏洞發現、漏洞評估、漏洞管理、整改、復查等機制納入圖書館信息安全管理制度，并形成可落實、可檢查、可考核的具體保障措施。同時，組織圖書館建設領域漏洞庫，與CNVD、教育系統的漏洞庫充分對接，及時發現、封堵存在的漏洞。三是強化信息安全技術人員的漏洞意識。將培訓教育納入信息安全管理制度，通過專題講座、攻防演練、技術培訓等方式，使信息安全技術人員了解圖書館信息安全常見漏洞以及防護方法，提高信息安全漏洞的管理。

5.2 強化圖書館軟硬件系統供應鏈安全

圖書館供應鏈涉及面廣、管理難度大，即涵蓋第三方采購、研發，又涉及自主研發，在供應鏈任何環節的信息安全漏洞都會傳導至圖書館信息系統，直接給圖書館帶來信息安全風險。根據統計可知，圖書館存在大量長期、未修復、易攻擊的高危漏洞，給圖書館帶來潛在的信息安全風險。在后續工作中，應通過供應商考核管理、項目驗收管理、系統測評等方式進一步加強圖書館軟硬件產品供應鏈管理，削減供應鏈引發的信息安全風險。一是加強項目績效考核與驗收。將網絡安全、系統安全、數據安全納入項目建設目標，與開發工作同步設計、同步實施、同步驗收。與供應商簽訂信息安全開發協議，明確圖書館建設系統信息安全驗收標準，明確安全漏洞的修復、運維要求。二是強化供應商監管。加強圖書館軟硬件系統的開發過程監管，將代碼安全融入軟件的開發過程，從源頭削減圖書館信息安全風險；同時，加強安全性、系統健壯性測試，并要求出具第三方測試報告，響應合同的建設指標。三是建立圖書館軟硬件設備資產臺賬。摸清現有系統互聯網開放情況、漏洞情況，了解其脆弱點、風險點，綜合安全需求，制訂統一的漏洞管理策略，將圖書館對外開放服務系統作為重點約束供應商。

5.3 構建統一安全防護平臺

快速發現漏洞并在第一時間處置漏洞是保障圖書館信息系統的關鍵。密歇根大學研究表明，存在漏洞的服務器進入網絡后，在23分鐘內就會被攻擊者掃描，在56分鐘內開始被漏洞探測，第一次被徹底入侵的平均時間是19小時。為及時有效發現、封堵漏洞，圖書館應在充分考慮信息系統建設現狀的基礎上，加強技術能力建設，構建統一圖書館安全風險管理平臺。一般來講，圖書館包括服務器、交換機等硬件資產，也包括采購系統、人臉識別系統、檢索系統等軟件形態系統，圖書館建設信息化初期，信息系統多面向業務單獨建設，導致安全能力零散、不統一，未形成統一有效的綜合防護體系。為此，應整合圖書館各軟硬件信息系統的安全需求，建設統一漏洞管理平臺，降低因漏洞修補不及時、不全面而導致的風險，同時重點建設以下能力：一是構建漏洞監測能力。加強暴露面監測，重點建設互聯網暴露資產監測能力，有效發現互聯網資產漏洞，對互聯網資產進行針對性防護。同時，構建開放端口監測能力，實時監測開放端口，及時關閉非必要開放的端口、非必要的功能。二是構建主動防御能力。通過主動監測、監測預警、被動誘捕、關聯分析等手段，開展漏洞、風險關聯分析，實時監控漏洞利用情況，并開展預警工作。

5.4 健全漏洞閉環管理機制

除了信息安全漏洞技術手段，還要匹配相關的漏洞處置機制，形成漏洞采集、研判、分發、修復、反饋的閉環管理機制。圖書館應組織相關安全技術人員、安全運維人員以及系統負責人員形成信息安全漏洞處置工作機制，做到及時收集、發現、研判、封堵、修復圖書館信息安全漏洞。1）漏洞收集。與國家信息安全漏洞庫CNVD充分對接，及時獲取最新發布的信息安全漏洞；與圖書館軟硬件系統供應商積極對接，獲取信息安全漏洞的修復策略、修復方法，同時，常態化應用入侵監測系統、漏洞掃描平臺，獲取系統存在的安全漏洞，同步開展信息安全漏洞等級定級與影響資產界定。2）漏洞研判與分發。組織相關技術員根據漏洞所涉及的業務系統等進行風險評估、影響范圍，并通過系統負責人進行系統加固。3）漏洞修復。對漏洞進行驗證與風險確認，系統負責人聯合安全技術人員、系統供應商以及漏洞修復系統根據漏洞的影響范圍、涉及系統與嚴重程度，設定修復時間，進行修復與處置，并向信息安全領導機構反饋漏洞處置與修復情況。

6結語

安全漏洞是信息安全工作的重點，受到各領域研究者的關注。信息技術改變了圖書館原有的技術架構、服務體系、運營模式，帶來了開放式、泛在化、智能化、便捷化的圖書館信息服務，但開放復雜的信息系統也不可避免地帶來了一系列信息安全問題，使圖書館業務系統、數據安全、個人信息受到不同程度的安全威脅。文章在深入分析圖書館領域信息安全漏洞特征及引發風險的基礎上，構建信息安全風險應對機制，提出圖書館信息安全風險應對措施。在后續工作中，筆者將進一步加強圖書館領域信息安全漏洞的特征分析，拓展分析其深度與廣度，以反映安全漏洞引發的圖書館信息安全風險現狀。

［參考文獻］

［1］王彤.大數據時代下的圖書館跨界服務信息安全技術問題及對策［J］.圖書館理論與實踐，2016（6）：99-103.

［2］茆意宏，黃水清.數字圖書館信息安全管理依從標準的選擇［J］.中國圖書館學報，2010，36（4）：54-60.

［3］李媛.近五年來數字圖書館信息安全問題研究綜述［J］.圖書館學研究，2005（12）：10-15.

［4］劉杰，王志成，王薇.淺談數字圖書館的網絡信息安全［J］.現代情報，2005（12）：87-88，92.

［5］鄭德俊，任妮，熊健，等.我國數字圖書館信息安全管理現狀［J］.現代圖書情報技術，2010（Z1）：27-32.

［6］周秀霞，張立新.吉林省高校圖書館信息安全問題及對策研究［J］.圖書館學研究，2016（3）：7-10，63.

［7］宋超臣，黃俊強，王大萌，等.計算機安全漏洞檢測技術綜述［J］.信息網絡安全，2012（1）：77-79.

［8］吳世忠.信息安全漏洞分析回顧與展望［J］.清華大學學報（自然科學版），2009，49（S2）：2065-2072.

［9］文偉平，吳興麗，蔣建春.軟件安全漏洞挖掘的研究思路及發展趨勢［J］.信息網絡安全，2009（10）：78-80.

［10］黃水清，任妮.數字圖書館信息安全風險評估的方法與模型［J］.圖書情報工作，2014，58（2）：14-20.

［11］黃水清，朱曉歡.基于ISO27001的數字圖書館信息資產風險評估［J］.圖書情報工作，2006（11）：79-82，120.

［12］張元俊.高校圖書館網絡信息安全體系建設［C］∥中國高科技產業化研究會智能信息處理產業化分會.第十五屆全國信號和智能信息處理與應用學術會議論文集.出版社，2022：138-143.

［13］黃國彬，鄭霞，王婷.云服務協議引發的信息安全風險及圖情機構的應對措施［J］.圖書情報工作，2020，64（12）：38-48.

［14］丁嵐.高等院校圖書館計算機網絡安全與防范：TCP/IP網絡協議漏洞分析及解決途徑［J］.黑龍江科技信息，2016（16）：161-162.

［15］朱蘭芳.圖書館數據安全漏洞分析［J］.網絡財富，2009（1）：125-127.

［16］楊成杰.安全漏洞檢測方法與圖書館網絡安全防護［J］.高校圖書館工作，2006（4）：35-37，61.

［17］白莉娜.圖書館檢索機系統漏洞與安全解決方案［J］.科技信息，2006（6）：173.

［18］孫戈.公共圖書館網絡信息安全風險與防范策略［J］.圖書館理論與實踐，2018（11）：19-22.

［19］袁錦波，余育仁，劉悅如.高校圖書館網站信息安全等級保護研究［J］.圖書館建設，2020（S1）：110-113.

［20］陳慶標，李風.基于ITBPM模型的圖書館信息安全風險評估［J］.農業圖書情報學刊，2016，28（11）：42-45.

［21］任妮，黃水清.新版ISO 27000要求下的數字圖書館信息安全管理［J］.圖書與情報，2015（6）：38-46.

［22］陳臣.大數據環境下數字圖書館安全威脅與對策研究［J］.圖書館工作與研究，2014（11）：34-38.

［23］李鵬，楊紅玲.云計算環境下的圖書館信息資源安全問題思考［J］.新世紀圖書館，2011（4）：41-42，61.

［24］程羅德.大數據環境下數字圖書館信息安全策略研究［J］.圖書館學刊，2020，42（1）：74-79.

［25］吳蛟鵬.大數據時代圖書館信息安全問題探討［J］.圖書館研究與工作，2017（8）：44-46.

［26］曾子明，孫守強.智慧圖書館人工智能風險分析與防控［J］.圖書館學研究，2020（17）：28-34，15.

［收稿日期］2023-04-20

［作者簡介］王秋云（1986—），女，碩士，館員，湖南圖書館。