美国高校图书馆信息安全管理分析与启示

林 新 （海南师范大学图书馆 海南 海口 571158）

目前，国内高校图书馆信息安全管理水平相对较低，大多数高校图书馆还停留在依赖技术提供安全保障的阶段。美国高校图书馆经过多年发展，积累了十分丰富的信息安全管理经验，取得了良好的成效。许多美国高校图书馆建立了一套完善的信息安全管理体系，具有健全的管理制度和组织机构，能够有效应对各类突发信息安全问题。本文选取了美国几所著名高校的图书馆，如斯坦福大学、哈佛大学和伯克利大学的图书馆等作为实证分析对象，对其信息安全管理进行深入分析，对其组织架构、管理制度、管理文化等方面开展具体讨论，以期为国内高校图书馆加强信息安全管理提供有益的指导建议，不断促进其综合管理水平的提升。

1 图书馆信息安全管理的发展

随着信息化水平的不断提高，国内高校图书馆信息化建设步入了一个新的发展阶段。信息是高校图书馆重要的无形资产，高校图书馆拥有众多数字化知识产权作品，如何保障其安全是新时期高校图书馆管理的重要工作内容之一。高校图书馆的读者众多、业务面分布广泛、运营环境复杂多变，这对信息安全管理提出了严格的要求。信息安全工作的主要宗旨是保证信息不受任何非法盗取、复制和损害的威胁，为高校图书馆运行提供坚实的安全保障。信息安全工作的重点是不断提高数字化信息的稳定性和保密性[1]。随着信息安全问题的日益突出和严峻，高校图书馆开始高度重视信息安全管理工作，其信息安全管理水平不断提高。总体而言，高校图书馆信息安全管理主要经历了3个发展阶段：

第一阶段，技术保障阶段。该阶段主要通过技术手段来构建信息安全体系，如登录密码、操作权限及限制访问等。这时的图书馆信息安全管理过度强调技术手段的应用，对管理方法重视不足，没有充分考虑信息安全策略和意识方面的因素。相应地，人们也没有树立正确的信息安全观念，认为那只是专业技术人员的工作，与自己无关。

第二阶段，管理保障阶段。随着互联网技术的不断发展和进步，高校图书馆开始重视信息安全防范问题，国内学者对信息安全的研究也逐渐丰富起来，取得了大量具有参考价值的信息安全管理研究成果。同技术阶段相比，该阶段信息安全管理强调各级管理人员的积极参与，图书馆在组织架构方面进行了相应的调整，设置了专门的信息安全管理岗位。

第三阶段，制度保障阶段。随着信息化水平的不断提高，图书馆相比其他部门和组织更加重视信息安全管理工作，由此引发了第三次图书馆信息安全管理浪潮，即采用制度规范的方式来加强信息安全管理。其主要包含以下4个方面的内容：①信息安全标准化。图书馆采用国际通用的信息安全技术标准开展管理工作。通过参考安全标准，不断健全和完善自身信息安全管理机制，切实提高信息安全管理水平[2]。②信息安全认证。安全认证可以很好地回答“什么是图书馆信息安全”或者“怎样才能够最大程度地保障图书馆信息安全”等问题[3]。③建立图书馆信息安全文化。通过发挥文化的制约和规范作用，图书馆引导人们重视信息安全管理工作，不断提高信息安全防范的总体水平[4]。④采用持续跟踪手段和技术来提高图书馆信息安全管理水平。图书馆采用网络信息监控系统来密切跟踪数字化信息流向和变化，及时发出安全预警。

2 美国高校图书馆信息安全管理部门情况

2.1 信息安全管理部门名称

随着信息安全意识不断增强，美国高校图书馆基本上都成立了专门的信息安全管理部门。由于不同高校管理体制和文化存在较大差异，导致图书馆信息安全管理部门的名称也各异，但是大多都包含了“information”、“security”等关键词，此外，诸如“privacy”、“technology”等名词也频繁出现，详见表1。

2.2 部门隶属关系

20世纪90年代中期，美国高校开始探索CIO制度，并进行了大量实践。1990年，美国麻省理工学院教授Kenneth C Green第一次提出了“校园信息化”的概念，并启动了高校信息化科研课题：Campus Computing Project（简称CCP）[5]。至今该项目已运行了20多年，是当前全球高校最具代表意义的信息化科研项目。根据2010年CCP公布的一份报告显示：有七成的美国高校建立了基于CIO的信息化管理架构[6]。本文选取的几所美国高校都建立了完善的CIO体系，因此，本文将从信息安全管理部门在CIO体系中的功能和作用、与图书馆内部管理架构之间的关系两个角度来探讨图书馆信息安全管理部门的隶属关系。通过分析美国5所高校（具体见表1）的CIO组织体系结构图发现，这5所高校图书馆信息安全管理部门都是直接隶属于学校最高管理机构，与图书馆技术部门是上级或平级关系。例如，斯坦福大学图书馆的信息安全部直接对CIO负责，通过后者向学校董事会汇报工作；伯克利大学图书馆的信息安全和隐私保护部直接对分管副校长负责，由后者向校董事会汇报工作；而印第安纳大学图书馆的信息技术安全部直接向学校CIO或信息技术安全管理办公室负责。

2.3 部门组织结构

受管理制度和文化等因素的影响，各高校图书馆信息安全管理部门组织架构存在较大差异。大多数高校图书馆信息安全管理部门都是一个实体机构，拥有完善的人员编制和职责体系。有些高校还将IT技术人员和系统维护人员纳入到图书馆信息安全管理部门，以强化该部门的系统开发和维护工作。一般而言，美国高校图书馆主要采用了以下几种运行模式：①图书馆信息安全管理部门直接对CIO负责，由后者协调各项工作，制定行之有效的技术解决方案，提供技术支持，不断提高图书馆信息安全管理部门应对各种信息安全问题的能力。② 图书馆信息安全管理部门直接对校董事会和CIO负责，由图书馆信息安全管理部门向CIO提供技术解决方案，校董会负责协调各方工作关系，配置相关管理资源。③其他IT信息部门同时向CIO负责，这类机构具有充足的信息安全管理资源，一旦遇到安全问题就会提供必要的支持，解决图书馆遇到的各种安全问题。

除此之外，还有一些高校图书馆没有建立固定的信息安全管理队伍，其信息安全管理工作主要通过委员会来组织和开展。例如，伯克利大学图书馆信息安全管理工作由CIO统筹和指挥，每届委员会任期1年。委员会成员由民主投票产生，执行主席任期为两年，届满后重新选举新的主席。所有重大决议都由委员会全体成员投票表决，参与投票的成员超过委员会总人数的2/3为有效决议。另外，图书馆信息安全管理部门还对投票表决程序和流程做出了明确规定。

表1 美国部分高校图书馆的信息安全管理部门名称及其隶属关系

表2 德克萨斯大学达拉斯分校图书馆和哈佛大学图书馆的信息安全策略和操作规范比较

3 美国高校图书馆信息安全管理部门职责

美国高校图书馆信息安全管理部门的业务范围十分广泛，包括应用软件、数字化作品、水印加密、信息保密以及IDC（Internet Date Center，互联网数据中心）维护、服务器管理和信息网络维护等。一般而言，图书馆信息安全管理部门主要是通过风险评估、建立预防机制和主动干预的方式来加强信息安全风险管理。不同高校图书馆信息安全管理部门的职责内容存在较大区别，但是基本上都涉及到信息系统维护、信息风险评估、风险预防机制建设、安全文化建设及系统维护等几个方面：（1）信息安全体系建设，根据图书馆数字化资源管理的特点，构建一套科学、完善的安全体系；（2）信息安全措施和流程制定，结合图书馆信息安全管理现状，制定一套完备的信息安全管理流程和架构；（3）安全风险预防，针对图书馆存在的重大信息安全隐患进行评估和分析，制定行之有效的信息安全预防体系；（4）信息分级管理，根据信息重要性，对不同数字化信息进行科学分类、分级，并制定有针对性的预防措施和方案；（5）安全事件预警系统，针对不同等级的安全事故建立相应的预警系统；（6）信息安全文化建设，通过开展培训、讲座等活动，建立浓厚的信息安全管理文化氛围。一般而言，信息安全管理部门会建立一套完善的信息安全预防体系，如应对措施和操作策略，针对电子邮件的信息安全防护，制定一系列信息安全管理措施等，如表2所示。

从表2中可以看出，高校图书馆信息安全管理策略存在较大差异。德克萨斯大学达拉斯分校图书馆主要强调从法律层面加强信息安全保护，并对保护对象进行了分类和分级管理，再制定相应的管理规范；哈佛大学图书馆则制定了统一的信息安全管理策略，从技术层面制定了一套完善的信息风险预防体系，明确各部门风险预防职责，建立了一套信息安全风险预防联动机制。

4 分析与启示

通过全面深入地分析美国5所高校图书馆信息安全管理现状，我们可以总结出以下几方面有益经验：（1）建立专门的信息安全管理部门，由其负责向学校领导层汇报相关工作开展情况，提高了部门信息安全管理的执行效率。（2）将信息安全管理体系纳入到高校图书馆综合管理目标体系当中，基于具体业务风险构建一套行之有效的信息安全管理机制。（3）要强化信息安全管理，不仅要制定一套完善的管理制度，还要明确各部门的工作职责和操作策略，加强监督，确保各项工作措施落到实处。

在研究过程中，我们发现美国高校图书馆有以下几方面工作经验值得借鉴：（1）做好数据分类和分级管理工作。图书馆数据具有不同的重要性，因此要采用分级管理来提高安全管理效率，针对不同管理级别的数据制定对应的管理规范和规则，在保证数据安全的同时，降低安全管理成本。例如，核心数据、机密信息要采取最高级别的防范措施，而对于一些常见的、普遍性的信息可以通过限制访问对象来实现安全保护。（2）集中管理关键数据。针对关键数据信息的安全管理，图书馆要建立一套集中化管理系统，采取特别的安全防范措施。这样既可以有效地提高重要数据的安全管理水平，又可以提高信息安全管理效益。（3）大力普及和推广安全规范。图书馆要在全校范围内加强信息安全宣传教育工作，不断提高广大师生的信息安全意识；通过举办各种培训活动，不断提高师生信息安全防范水平和技能，树立良好的信息安全管理观念。例如，图书馆可以通过安全教育引导学生养成良好的数据安全管理习惯等。（4）加强监督和审计工作。图书馆信息安全管理部门不仅要努力构建一个安全的信息使用环境，还要加强对图书馆用户行为的监督和审计，及时发现安全隐患，并采取有效的措施加以应对。

[1]王东波,张宏涛.数字图书馆数据安全技术的新进展及应用研究[J].图书馆学研究,2008(6):7-10,14.

[2]丁小文.网络时代的图书馆信息安全理论与技术问题研究[J].中国图书馆学报,1998(5): 38-41.

[3]Thompson S T C. Helping the Hacker? Library Information, Security,and Social Engineering[J]. Information Technology and Libraries,2013,25(4):222-225.

[4]Shuman B A. Library Security and Safety Handbook: Prevention,Policies and Procedures[M]. Chicago:ALA Store,1999:55.

[5]Green K C. Campus Computing, 2000: The 11th National Survey of Computing and Information Technology in American Higher Education[J]. American Educational Research Journal,2001(5):15.

[6]Green K C. The 2010 Campus Computing Survey[J].Retrieved October,2010(6):2011.

[7]Library Policies[EB/OL].[2013-12-16].http://www.utdallas.edu/library/.