数字图书馆信息安全保护的困境与对策

常春梅

(河南省信息管理学校，河南郑州450012)

数字图书馆信息安全保护的困境与对策

常春梅

(河南省信息管理学校，河南郑州450012)

随着网络化和数字化的迅猛发展，以对数字资源的制作、存储、管理、传输和服务为主要特征的数字图书馆，正在逐步取代传统介质的图书馆，并发挥出更加方便快捷的优势。但是数字图书馆信息安全面临着许多困境，如网络黑客攻击、病毒入侵、物理设备隐患等等，因此，强化技术和管理双重保证、走信息安全保护的困境，必须构建成熟的信息安全防御体系和强化管理意识健全管理制度。

数字图书馆;信息安全;困境;对策

随着网络化和数字化的迅猛发展，数字图书馆随之产生，成为数字信息传播的主要途径。但作为一种新生事物，在给人们带来极大便利的同时，其本身的安全保护还面临诸多困境。因此，如何消除隐患，走出困境，这是当前迫切需要研究的一个课题。

一、数字图书馆信息安全保护面临的困境

1．网络黑客攻击。数字图书馆是一个和因特网互通的特殊的网络系统，因此遭遇网络黑客的攻击在所难免。黑客攻击方式分为主动攻击和被动攻击两类，主动攻击指通过各种方式有选择地破坏信息，如篡改、删除、扰乱秩序、随意添加等行为。被动攻击指的是在不影响正常使用的条件下，截获、窃取信息。对于数字图书馆的信息安全来说，黑客攻击的内容有:第一，窃取数据。随着有偿数字服务的开展，特色数字馆藏和巨资购买的数据库资源都会成为黑客窃取的目标。第二，恶意破坏。黑客出于某种不可告人的目的，通过传递病毒对网络设备和信息进行攻击或发送大量的垃圾邮件信息，造成图书馆的服务中断。另外，黑客还有可能直接侵入图书馆的文件服务器，删除、篡改数据，导致系统瘫痪，甚至造成不可逆的系统崩溃。第三，非法使用网络资源。黑客通过对图书馆网络系统的控制，能够无限制地使用图书馆的资源而不需要交付任何费用。数字图书馆开展的有偿服务对传统的图书馆体制改革是一个巨大的冲击，而一旦这些有偿服务信息资源被无偿使用，图书馆将收不到费用而无法付给数字文献作者应有的报酬，数字图书馆的建设将会受到严重影响。

2．病毒入侵。计算机病毒是一种人为制造的、隐藏在计算机系统数据资源中的、能够自我复制进行传播并对计算机系统进行破坏的程序，它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。特别是通过宽带网泛滥的速度之快、蔓延之广、危害之大，为有史以来任何一种公害所无可比拟的，几乎80%的计算机用户都受到过来自网络上的病毒攻击。很多学校的图书馆在遭受病毒破坏后，会造成系统瘫痪，给学习工作带来很大的不便，病毒已经成为校园网络安全的潜在威胁。病毒的危害主要有:第一，病毒通过格式化磁盘、改写文件分配表和目录区、删除重要文件等手段，达到破坏计算机数据信息的目的。第二，一些文件型病毒传染速度很快，在短时间内感染大量文件，使每个文件都不同程度地加长，造成磁盘空间的严重浪费。第三，病毒抢占内存，导致内存减少，使某些软件不能正常运行。第四，有些病毒(如CIH病毒)通过改写BIOS中的内容，使主板遭到毁灭性的破坏。第五，病毒通过自我复制传染到正在运行的系统，并与其争夺系统资源，很可能会导致图书馆的网络系统瘫痪。

3．物理设备隐患。物理设备指的是网络连接需要的交换机、路由器、服务器、网络终端、电源等，由于其位置安放比较分散，因此，给管理造成很大难度。而物理设备隐患主要是指这些网络所需的硬件设备遭到破坏或出现故障。这些故障主要分为两种情况，硬件自身故障和使用故障。硬件自身故障指的是由于硬件本身的元器件损坏造成的故障，使用故障指的是由于使用过程中的错误操作造成的设备故障。数字图书馆提供的是全天候的服务，支持其运行的服务器、路由器、交换机负荷过大，容易出现故障，造成设备损坏。另外，计算机网络系统对外部环境也有要求。外部环境不符合标准也会对图书馆的信息安全造成一定的危害。如，图书馆网络控制中心机房场地和工作站安置环境不符合要求，机房设计不合理，电源质量差，温度、湿度不适应以及无抗静电、抗磁场干扰等设施，这些都是网络信息系统的不安全因素。

4．网络配置安全。网络配置安全指的是对取得硬件设备的使用权而进行的相关设置，如服务器、防火墙、路由器等的密码，如果密码设置得过于简单，极有可能被他人猜对进行篡改，从而获得网络设备的控制权，进行私自改动设备的配置，造成网络运行障碍，严重时甚至会造成系统瘫痪。网络安全设备和技术并不是万能的，过分依赖会适得其反。例如，防火墙就有明显的局限，第一，难防内部攻击。防火墙很难防止内部人员对网络的攻击，而网络的攻击却大多都来自于内部。第二，难防程序漏洞，易被人利用。第三，难配置管理。防火墙管理和配置比较复杂，需要有相当的专业知识，否则，不当的配置和设定也会造成隐患。

5．人为因素。数字图书馆拥有功能非常强大的网络信息系统和最先进的安全技术设施，但却有可能缘于人而产生失误，致使安全管理存在诸多隐患和不足，从而导致数字图书馆网络信息系统面临一系列信息安全问题。有一项调研数据显示，2009年我国30家数字图书馆发生的信息安全事件中，三分之一是由安全管理机制不够完善引起的，而在事件发生原因中，管理因素高达70%以上。可见，安全管理上的缺失已成为数字图书馆整个网络信息系统不安全因素中的主要因素之一，对数字图书馆产生的危害远大于其他方面。当前在管理方面存在的主要问题有:第一，图书馆管理者的安全管理理念的滞后，对安全管理的重要性缺乏深层的认识，导致决策上的失误或管理不足，给数字图书馆的网络信息安全带来不可估量的损失。第二，信息安全责任人的责任分配不清楚。图书馆管理者制定的员工岗位责任书，责任划分不明、工作内容描述不清，导致馆员不清楚应在什么范围和限度内对自己的职业行为负有责任，应该承担何种责任和义务，致使出现安全管理问题时，不是相互推诿，就是听之任之。第三，不重视对高素养、高技能安全管理技术人才的引进与培养，一些图书馆的馆内安全管理工作多为业务培训，缺乏全面的安全管理知识和技能，对不断发展的新技术缺少深入和细致的了解和掌握，应付网络安全突发事件的能力不强。

二、强化技术和管理双重保证，走出信息安全保护的困境

网络安全是一个整体性很强的体系，包括技术、管理、人员等多个环节，保护信息安全需要标本兼治，综合解决。

1．构建成熟的信息安全防御体系。第一，加强安全技术的研究与应用。一是数据加密。数据加密过程由众多具体的加密方法实现，常用的有两种:对称密钥加密法和公共密钥加密法。数据加密主要分为数据传输、存储、数据完整性鉴别及密钥管理等几方面。二是入侵检测技术(IDS)。该技术用于保护应用网络连接的主要服务器，实时监视可疑的连接和非法访问的闯入，并对各种入侵行为立即做出反应，如断开网络连接等。三是诱捕反击。通过故意设置含有某种漏洞且令入侵者感兴趣的系统来耗费入侵者的精力，并诱使入侵者不断深入以获得更进一步的入侵特征和证据。反击是在系统发现入侵行为时采取的各种防卫手段。四是VPN虚拟专用网络基于Internet等公用开放的传输媒体，通过加密和认证等安全机制建立虚拟的数据传输通道，以保障在公共网上传输私有数据信息的安全，从而向用户提供相当于专用网络的安全服务，目前已广泛应用于电子政务、电子商务等领域。第二，堵塞系统漏洞。系统漏洞又分为操作系统漏洞和应用系统漏洞。数字图书馆使用的操作系统或多或少都存在系统漏洞，对网络信息安全造成了威胁。因此，数字图书馆管理维护人员要时刻关注微软官方网站的动态，并及时为系统安装补丁，升级程序。对于系统方面存在的漏洞，可以采取使用补丁的方式对漏洞进行修复，而对于应用系统的安全设置，则需要在系统建立之前就对相关配置做好研究和优化，提前降低安全隐患的发生率。第三，制订应急处理计划。做好备份和恢复是图书馆网络安全的后方阵地。一旦发生安全事故，能尽量地减少损失，根据事先制订的应急处理计划，在最短时间内恢复正常的通信和服务。要实现这一理想状况的前提就是平时做好系统的备份，包括数据备份、配置备份等，并充分测试备份的有效性，这样才能在突发安全事件时做到有备无患。第四，严格管理网络配置使用权限。网络的安全问题很大程度上是由使用权限决定的，在网络运行范围内执行越权操作就很容易对网络安全带来隐患，因此，科学管理网络用户的账号及权限是保证数字图书馆信息安全的重要保证。为此，我们可以从做好以下几方面的工作:一是科学分配网络使用者的权限;二是限制高权限用户的数量，用户越多，漏洞越多;三是网络管理员要对网络用户及其账号进行统一管理;四是账户密码不可设置的过于简单;五是网络管理员账户要设定专人使用，不可随意转借给他人;六是限制网络用户对网络权限的使用时间。

2．强化管理意识，健全管理制度。第一，加强网络信息安全教育与培训，树立安全责任意识。针对图书馆馆员以及读者安全意识淡薄、安全措施不落实等现状，组织开展多层次、多方位的网络信息安全宣传工作。要加大对安全防范措施检查的力度，开展岗前培训、现场网络安全教育与技能培训，定期或不定期举办网络信息安全教育与技能培训讲座，促使馆员熟知图书馆相关的安全管理规章制度，掌握相关设备的正确操作规程，以及确保系统和数据安全的操作方法。第二，强化制度建设，提高制度执行力。一是建立健全图书馆信息安全管理制度。数字图书馆要不断根据网络信息安全发展中出现的新问题、新情况，对不合时宜的制度及时进行修正和补充。制度完善不能盲目跟风，各个图书馆必须结合自身特点，不断总结制度建设中的经验教训，改革创新完善制度建设的内容，力求实现制度的可持续发展。技术研发部门要建立信息安全管理制度，并严格按照规定执行，规范各项工作的操作程序，控制技术人员的使用权限，建立并完善硬件和软件管理制度、安全防护制度、审核制度等，在规范的制度保证下实现网络系统的正确开发。特别是必须建立监督审计机制，强化责任监督，确保网络信息安全管理效能。数字图书馆安全防护体系要做到“事前防范、事中控制、事后审计”，在制度上就必须做出预先的安排，以检测危机事件，并作出预警准备，以事前预防和控制替代事后的责任威慑。设立专门的主管部门，通过网络信息安全主管部门这一监督主体，加大对安全管理制度的监督审计，通过及时修正完善各项安全管理规章制度，加强对安全工作的督查检查，以提高相关工作人员遵章守纪的安全意识。二是提高制度的执行力。首先，要强化制度认知。对制度有准确认知，制度才有可能落在实处。为此，数字图书馆要特别组织相关负责人员及馆员认真学习相关的政策、法律法规和安全管理规章制度，使他们对制度的实现目标、内容、作用、边界等准确认知。如，明确岗位职责，使每一位管理人员按照自己的岗位和职权管理使用系统。其次，增强对制度认同。通过自主学习、教育培训、有针对性的实践活动不断提高制度主体的素质，提高执行制度能力水平，从而增强全体馆员特别是安全管理技术人员对管理制度中包含操作规程、技术要求、安全条例等内容的硬性管理规章制度的认同。如，对系统安全责任与监管制度、重要软件系统和关键硬件设备的操作制度、系统管理人员、操作人员责任制度、用户权限分配和管理制度、系统灾难应急预案及事故责任认定和责任追究制度等制度的认同。再次，坚持说服教育与强制执行相结合，综合利用多种执行手段，有效地推动制度执行。

［责任编辑 徐 宁］

G250．76

A

1671－6701(2012)03－0082－03

2012－05－10

常春梅(1975－)，女，河南民权人，本科，河南省信息管理学校助理馆员。