信息技术环境下图书馆信息安全及对策研究

刘 念

（西安建筑科技大学图书馆 陕西 西安 710055）

信息技术在图书馆的广泛应用，给图书馆信息资源的开发和利用带来了诸多方便，各类信息技术日益成为图书馆服务的必要保障，也使信息安全问题变得十分突出。因此，信息技术环境下图书馆必须充分认识现代信息技术，尤其是信息网络的发展对信息安全的影响，采取多种措施保障图书馆信息系统安全。

1 信息技术环境下图书馆服务的实现途径

1.1 手机图书馆

手机图书馆系统是无线移动通信技术在图书馆领域的应用，它可以很好地与数字图书馆业务管理系统相结合，并将数字图书馆的服务延伸到手机终端，把数字图书馆的读者服务功能尽可能多的在手机上实现。手机图书馆最大的优势在于其访问方便灵活，不受时间和空间限制，读者可以随时随地访问图书馆的资源。还可以按照个人喜好来定制各种信息服务，如绑定手机、短信提醒服务等个性化服务。读者可以在数字图书馆业务系统的WEB网站设定与当前读者相关联的手机号，同时系统会发送自动生成的验证码到读者手机，以确认读者身份，完成手机号码的绑定。

1.2 数字电视图书馆

数字电视的发展为信息技术服务的实现提供了良好的机遇。图书馆可以利用数字电视的交互功能开发相应的接口，将数字图书馆与数字电视连接起来，用户只要打开电视通过遥控器就可以享受数字图书馆的便利服务。如“国图空间”是全球首家国家图书馆的数字电视应用服务，现已覆盖北京地区360余万户家庭，用户足不出户即可享受国家数字图书馆的资源和服务。服务内容包括馆况介绍、馆内动态、新书快递、图书续借等7个栏目，用户可通过电视访问图书馆的数字资源，完成图书的检索与续借，浏览文化共享工程的多媒体资源等。

1.3 图书馆联盟

信息网络技术为图书馆服务联盟的实现提供了技术保障。通过组建图书馆服务联盟可以充分发挥图书馆资源共建共享的整体优势。我国图书馆服务联盟发展已初具规模，形成了全国性的、区域性的和专业性的图书馆联盟。其主要的服务有文献传递，馆际互借等［1］。

2 信息技术环境下图书馆信息安全问题

信息技术环境下图书馆的信息服务具有基于网络、开放获取等显著特点，其面临的安全问题较之传统图书馆更多，主要包括非法用户通过网络进行的网络攻击和开放获取阶段的版权管理问题。

2.1 用户数据及身份的保密性、泄露风险

用户在使用图书馆检索终端进行咨询时，需要一定的身份注册和验证，往往会产生Cookie数据，记录下用户的检索历史等信息，这便涉及到用户的身份及隐私。如果黑客等一些非授权访问的主体利用自己的计算机技能实施入侵系统，破坏系统，或者一些不法分子将用户的数据隐私记录或分析后盗卖给他人，使用户的操作信息、获取资料、账号密码等个人信息外泄。图书馆的信息安全将会遭到破坏。

2.2 开放端口风险

图书馆的数字化信息通常是以Web站点的形式对外开放服务的，因此必须开放一些服务端口，同时系统的服务器一般存放在专门的服务器中心，管理人员需要对服务器进行操作基本都会采取远程控制等手段，也必须开放一些服务端口和访问权限，而在进行这些正常数据交换时，数据信息可能被中间者跟踪、破解，造成安全威胁［2］。

2.3 身份认证风险

服务器系统登录和主机登录一般都是使用固定口令，甚至有时候很多人都是用同一种口令，如有的系统就一直使用默认的用户名及密码，如admin等，且在数据库中有存储记录，可重复使用。这样非法用户通过穷举攻击等手段往往很容易得到这种静态口令，可对资源的安全造成严重威胁［3］。

2.4 馆藏文献的数字化和提供带来的风险

随着图书馆联盟的推广，数字图书馆检索平台可以帮助用户进行浏览、查询、文献请求，下载乃至上载文献，即馆藏文献数字化。这些平台的建设与维护存在着知识产权和版权的风险。比如馆际互借和文献传递，在馆际互借和文献传递之前，一般会发生复制行为。如数字化、录入、扫描等，之后再向用户传递。那么这些资源的版权将受到威胁。

3 信息技术环境下图书馆信息安全问题对策

针对信息技术环境下图书馆的安全问题，需要分别从技术、运行、管理等3个方面提出解决对策，如图1所示。

图1 信息技术环境下图书馆安全保障

3.1 数据安全问题对策

3.1.1 提高数据安全技术

（1）身份认证技术。随着智能手机和平板电脑等移动终端的广泛流行，手机等移动终端登陆图书馆是泛在图书馆实现的重要途径之一。可采取短信密码的形式，当用户登录图书馆资源时，身份认证系统以短信形式发送随机的6位密码到用户的手机上。用户在登录认证时候输入此动态密码，从而确保系统身份认证的安全性。由于手机与用户绑定比较紧密，短信密码生成与使用场景是物理隔绝的，因此密码在通路上被截取几率降至最低。

（2）防火墙技术。防火墙具有很好的保护作用。首先，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。其次，防火墙还可以关闭不使用的端口，而且还能禁止特定端口流出通信，封锁特洛伊木马。第三，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

（3）入侵检测与系统审计技术。通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。在发现入侵后会及时做出响应，包括切断网络连接、记录事件和报警等。对互联网进行有效监督，预防、制止数据泄密。

（4）加密技术。用加密来保护信息。利用密码变换将明文变换成只有合法者才能恢复的密文，在信息传输过程中加密。

3.1.2 运行控制

（1）访问控制。按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。防止非法的主体进入受保护的网络资源，允许合法用户访问受保护的网络资源，并阻止用户对非授权网络资源进行访问。

（2）数据备份与容灾。将海量数据以某种方式保存，当数据遭到破坏时，可迅速恢复，重新加以利用［4］。

3.1.3 加强管理

（1）安全管理制度。信息技术环境下图书馆安全管理制度是系统管理的一个重要内容，是保障系统按照目标运行、效益最大化的必要条件和保障措施。安全管理制度必须建立图书馆运行的安全管理组织和系统安全等级，制定严格的技术文件管理制度、规范的系统操作程序，针对系统运行可能遇到的故障、灾难和攻击，建立完善的系统运行灾备制度和审计制度。

（2）授权管理。在信息技术环境中，用户权限的分配必须遵循“最小特权”原则。最小特权原则要求信息系统中每个用户所必须的最小特权，确保可能由事故、错误、系统部件的篡改等原因造成的损失最小［5］。

（3）角色管理。信息技术环境条下，用户可以运用各类工具访问数据资源和设备资源，因此识别资源使用者的角色，及时发现混淆在正常用户中的非授权者和黑客也变得更加重要，这一任务的技术难度也不断提高。信息技术环境下的角色管理，访问工具差异很大，安全管理人员不能笼统定义用户角色，而应针对各类访问工具的特征进行角色定义，并分析工具之间的差异，明晰角色之间的对应关系，对用户角色集合划分同类项，依据同类项定义角色管理策略。

（4）安全培训。图书馆应根据涉及的业务范围，分别对管理层、系统管理员和使用者进行信息安全的教育培训。培训内容主要包括：安全意识和法律意识的培养、泛在图书馆正确使用的程序培训、系统灾备程序培训、系统审计制度的培训［6］。

3.2 知识产权风险问题对策

如何避免图书馆联盟后图书馆服务模式中知识产权的风险，如文献传递，馆际互借所带来的版权问题。应采取如下措施：（1）将文献传递控制在合理的使用范围内。对文献的传递，要限定在著作权法规定的范围内，文献传递的承担人有义务提醒其服务对象不能将传输的文献用于商业目的，只能用于个人学习，研究的目的。（2）各高校图书馆应制定自己的馆际互借版权政策（多个图书馆联合制定的），在政策允许的前提下进行馆际互借。

4 结束语

目前，信息技术环境下的图书馆服务模式创新取得了一些成绩，信息安全管理是服务模式创新的关键影响因素。本文分析了信息技术环境下图书馆运行中存在的新安全问题，并分别从技术、运行、管理、版权等4个层面重点论述了破解这些问题、实现新型图书馆服务模式高效运行的策略和举措。希望这些信息安全技术及管理策略能起到“抛砖引玉”的作用，引发国内各图书馆信息管理者关注信息技术环境，思考和讨论新技术环境和服务模式下图书馆安全管理问题，推动图书馆安全管理的实践工作创新，实现科学发展、高效安全的图书馆用户服务。

［1］申彦舒.国内泛在图书馆建设现状调查研究［J］.四川图书馆学报，2012，（5）：40－43.

［2］郑庆胜.数字图书馆网络系统安全与数据安全问题探讨［D］.导师：陈佩华.湘潭大学，2004：33－40.

［3］骆永成.数字图书馆敏感数据匿名发布若干关键技术研究［D］.导师：乐嘉锦.东华大学，2011：2－3.

［4］高万斌.图书馆数字化信息的安全保障策略研究［D］.导师：余世明.浙江工业大学，2012：20－25.

［5］Ben Mankin.The Formalisation of Protection Systems［D］.UK：University of Bath，2004.

［6］柳纯录.系统集成项目管理工程师教程［M］.北京：清华大学出版社，2009：452－453.