我国数字图书馆信息安全研究进展（2005～2013）

何文美

（广西中医药大学图书馆 南宁 530001）

我国数字图书馆信息安全研究进展（2005～2013）

何文美

（广西中医药大学图书馆 南宁 530001）

基于对超星发现系统中关于数字图书馆信息安全文献的内容分析，揭示2005～2013年我国数字图书馆信息安全研究取得的进展：技术研究走向纵深化和体系化；管理依从标准成为研究热点，制度建设、馆员管理、用户管理和协调图书馆与数字出版保存机构关系的理论也得到丰富；版权、知识产权和用户隐私权保护是法律法规与政策研究的主要着力点；信息伦理学为解决数字图书馆信息安全问题提供了新的研究角度；信息安全保障体系的提出。存在的不足有两点：研究内容上有理论短板，信息安全保障体系建设尚未完善。

数字图书馆 信息安全 信息伦理学

1 引言

数字图书馆信息安全即保持数字图书馆各项信息的保密性、完整性和可用性，使得数字图书馆传递给用户的信息的具有真实性、可核查性、抗抵赖和可靠性[1]。其主要涉及系统安全、设备安全、数据安全、用户隐私安全等方面的内容。作者于2014年6月16日在超星发现系统中以“题名=数字图书馆信息安全or主题=数字图书馆信息安全or关键词=数字图书馆信息安全”为检索式进行检索，文献发表时间设置为2005年1月1日至2013年12月31日，剔除非学术类文章，共检索出81篇期刊论文和9篇学位论文。

李媛概括了2000～2004年数字图书馆信息安全研究的成果，理清了数字图书馆信息安全的概念、特点，并将威胁信息安全的因素归纳为硬件和软件因素、环境因素、网络的开放性所导致的计算机病毒和黑客及黑客程序、管理因素、人文因素、法规和政策因素；解决数字图书馆信息安全问题的对策有技术手段、管理手段、法规政策三个方面[2]。这种划分方式对后续研究产生了较为深远的影响，例如杨木锐[3]、安玉洁[4]、李朝锋[5]等学者依据这一划分方法建立起数字图书馆信息安全保障体系。

本文概括分析2005～2013年数字图书馆信息安全技术、管理、法律法规及政策这三个传统研究主题和信息伦理学、信息安全保障体系两个新研究领域的研究进展与成就，以期理清数字图书馆信息安全理论发展脉络和未来方向，为数字图书馆信息安全理论进一步创新奠定基础。

2 研究进展与成就

在数字图书馆信息安全研究之初，概念、特点、危害等是讨论的焦点。随着数字图书馆的不断发展，又取得了一些新的研究进展。

2.1 数字图书馆信息安全技术研究

数字图书馆信息安全技术研究主要包括知识产权保护技术、数据安全技术、网络安全技术与系统安全技术等方面。

从目前的研究趋势来看，其中一个趋势是数字图书馆信息安全技术的研究已从简单技术介绍走向纵深研究，主张综合运用安全技术以实现优势互补。例如，用四层体系结构的分布式数据库系统解决传统三层体系结构在安全性上存在的不足[6]、包含内容过滤与协作过滤的混合型过滤模型[7]等研究。另一个趋势是从对个别技术的研究转向综合集成和二次开发的体系化研究。体系化研究开始的动因是各种信息安全技术产品的单独使用或简单堆砌，都无法全面确保数字图书馆安全性，另外将先进的信息安全产品应用到数字图书馆信息安全建设中也非易事。因此，有学者提出了体系化研究。杨木锐主张针对不同的安全需求，应采用相关技术，建设配套的信息安全应用设施，同时通过信息安全技术的综合集成和二次开发等手段来构成建立在技术层面的信息安全保障体系[3]。在新背景下，有研究者认为信息安全技术保障体系是云计算环境下构建数字图书馆信息安全保障体系的基础，应该与信息安全管理保障体系、信息安全法律保障体系一起构成数字图书馆整体的信息安全保障体系[5]。

2.2 数字图书馆信息安全管理研究

信息安全管理在数字图书馆信息安全研究中已占重要地位，其主要内容涉及管理依从标准的选择，图书馆制度建设，馆员管理、用户管理和协调图书馆与数字出版保存机构的关系等。

2.2.1 管理依从标准成为研究热点 信息安全管理标准是组织建立并实施信息安全管理体系的指导性准则，主要目的是为组织实施有效的信息安全管理所需的控制提供通用的规则[8]。在我国得到认可的ISO27000系列标准被引入到数字图书馆信息安全管理领域,为数字图书馆信息安全的风险评估和风险控制等管理工作构建起理论体系和实践防范体系[8-11]。赵坚在分析了基于ISO 27000的数字图书馆信息安全风险评估辅助工具的流程的基础上，设计并实现了基于ISO27000的数字图书馆信息安全风险评估辅助工具[12]。尽管ISO27000系列标准成为数字图书馆信息安全管理标准的主角，但仍有研究在依从标准的选择上持有不同观点。曾思慧认为ISO27000系列标准存在局限性，而德国IT基线保护手册提出的“资产-威胁-保障措施”模型不但能避免穷举威胁和讨论时间的浪费，更能善用国际信息安全专家的智慧，确保组织风险识别无所遗漏[13]。信息安全管理体系标准是另一重要标准，有研究按BS7799的思想为南京农业大学数字图书馆流通部构建了一套信息安全管理体系[14]。几年后，这一主张在学术界有了应和声，例如王艳玮等通过对BS7799和等级保护系列标准、SSECMM进行对比研究，从标准涉及的内容、发展历程、实施流程、涵盖范围、实施对象及应用现状等五个方面分析了两类标准的差异，提出两类标准相互借鉴的建议[15-16]。

2.2.2 数字图书馆的制度建设研究 从图书馆管理的角度来看，数字图书馆应根据信息安全目标，建立相应的信息安全管理制度，主要包括操作人员管理制度、操作技术管理制度、病毒防护制度、设备管理维护制度、软件和数据管理制度等，凡事做到有章可循，操作规范[17]。在国家信息安全规划层面上，要了解数字信息资源在国家、机构、个人等层面所存在的安全威胁，分析数字信息资源安全的国家规划与管理，从而构建包括强制报案制度、认证制度、等级保护制度的数字信息资源安全保障制度[18]。从制度与法律相互补充的角度上，完善数字图书馆的合理使用制度，以期在实现图书馆数字化建设顺利进行的同时，又可以有效维护著作权人的利益，更好的促进资源共享[19]。

2.2.3 馆员管理、用户管理和协调与数字出版保存机构关系的研究 图书馆管理方面，要建立起一套让专业的技术人员和非技术人员都能够有章可循的规章制度，做到职责分明，以杜绝由于管理不当造成的违反安全的行为[20]。人才的引进与馆员培训成为图书馆信息安全管理的重要内容。图书馆通过引进专业技术人员，或者对现有信息管理人员进行系统、科学的培训，以提高他们的信息安全素养[17]。此外，馆员间的相互监督也是管理手段之一。用户管理方面，培养用户正确的网络价值观和良好的自我约束与信息素养能力，能让用户避免受到各类信息安全问题的困扰[2]。目前的用户管理研究已经突破了用户信息素养的培养和规范用户不当行为两方面的内容，用户被看成是数字图书馆系统模型中的重要组成部分，有学者通过调研分析各商业公司在用户管理方面的措施、方法及不足之处，构建了数字图书馆用户管理的三层模型结构，着重研究数字图书馆在用户管理方面存在的问题，并在用户认证、资源传输等方面提出自己的解决方案及安全性分析[21]。图书馆与数字出版保存机构（如数据开发商、信息托管方）的合作方面容易出现由安全问题引发的信任问题。为缓解这一问题，较早提出对数字图书馆“云计算”服务参与方进行协议管理的观点是通过制定服务等级协议（SLA）的条款来保证信息的安全[22]。

2.3 数字图书馆信息安全法律法规与政策研究

2.3.1 版权保护 在信息技术日新月异的新环境中，对云存储服务模式下馆藏数据迁移引发的诸如馆藏数据丢失、馆藏数据未经授权被访问或泄漏、馆藏数据迁移引发的监护权和控制权的无形改变、馆藏数据被厂商锁定等问题都会引发一系列的法律隐患。常雅红提出了建立完善有效的风险评估体系、对迁移的馆藏数据进行加密与安全存储、选择安全的云存储服务商进行馆藏数据迁移、明确云服务提供商存储馆藏数据的地点、规避侵权、完善服务协议的签订五个解决策略[23]。由于我国现实情况的局限，有关技术措施的立法亟需借鉴国外先进的立法经验。我国立法可借鉴国外立法要实现的目标和应遵循的原则，并建立四方面的制度：行政豁免制度、合理使用制度、禁止滥用制度和“安全港”制度[24]。

2.3.2 知识产权风险管理 数字图书馆知识产权风险管理是指以可以接受的费用识别、控制、降低或消除可能影响数字图书馆建设和发展的知识产权风险的过程，其主要步骤为风险识别、风险分析、风险决策、效果评价、反馈控制等[25]。知识产权风险管理中风险评估模型成为研究的重点，其主要的三种构建评估模型方式有：①将信息安全风险评估模型应用到数字图书馆的知识产权风险评估，从安全资产、威胁、薄弱点、安全措施的分析入手构建数字图书馆的知识产权风险评估体系[26]。②对数字图书馆知识产权风险研究的文献进行检索、将影响知识产权风险的因素进行归类分析，结合数字图书馆的建设流程，从影响数字图书馆知识产权风险的资源、环境、人员三个方面入手构建数字图书馆知识产权风险评估的指标体系[27]。③在描述信息数据在数字图书馆中的运行轨迹和分析数字图书馆知识产权风险的影响因素基础上，采用面向任务的工作流模型评估数字图书馆知识产权风险中的威胁因素，建立风险评估模型[28]。除风险评估模型研究外，李婵、张文德采用等级全息建模法（HHM）的原理和方法，建立了数字图书馆知识产权风险识别模型[29]；借鉴企业风险管理理论构建数字图书馆知识产权风险管理框架[25，30]。也有学者从用户角度出发研究图书馆用户知识产权风险管理问题[31]。

知识产权保护只是数字图书馆信息安全管理内容之一，所以与前文中有学者主张将管理依从标准运用到数字图书馆整体信息安全问题的评估与控制不同，知识产权风险评估模型关注的是知识产权保护领域。

2.3.3 用户隐私保护 我国当今的法律体系还不太适应数字图书馆环境下的读者个人隐私的法律保护。为了构建一个比较完备的读者个人信息法律保护屏障，应加快立法进程，完善配套法律、罪名体系、监管机构和救济体系[32]。要保护用户合法权益，应建立健全数字参考咨询个性化服务用户隐私权保护机制。针对数字参考咨询个性化服务实现过程中涉及的用户隐私问题，有研究者提出从行业自律、政策标准、法律法规、用户自身隐私保护、网络安全环境、隐私权保护的限制六个方面构建数字参考咨询个性化服务中的隐私权保护机制，以维护用户权益[33]。也有人认为应该从行业自律、法律法规、信息控制、技术软件安全和宣传培训五个方面采取措施,进而完善数字参考咨询隐私权保护机制[34]。

2.4 信息伦理学成为新的研究角度

信息伦理主要研究在信息生产、加工、存储、传播和利用过程中的伦理要求与伦理规范[35]。信息伦理的内容主要涉及信息隐私权、信息准确性、知识产权、信息获取、信息安全、信息传播与控制等[36-37]。目前，我国数字图书馆信息安全领域中信息伦理研究成果主要涉及图书馆伦理建设和从信息伦理角度来讨论图书馆法律法规和政策的制定。

信息伦理学研究为数字图书馆伦理建设奠定了理论基础，为数字图书馆行业中的各类信息活动提供了道德规范的基本精神[38]。图书馆信息伦理建设的主要内容为保证用户公平获取信息的权利、保护用户的信息隐私、杜绝馆员滥用信息权力等[39]。通过进行伦理道德方面的教育，可以提高图书馆员的道德观念，使数字图书馆的安全从根本上得到解决[40]。另外，图书馆员要认清自己的社会价值和职业价值，遵循伦理与法律的基本要求，保障用户财产，保守用户隐私，并且不断提高自身专业技能。

信息伦理与图书馆法律法规、政策都以规范和约束人的信息行为为目的，且为互相补充的关系。从信息伦理指标的角度来看，我国19个地方性数字图书馆法律法规存在着隐私权内容单一、知识产权范围有限、信息安全内涵不足、职业伦理未受重视的问题[41]。因此，在今后的数字图书馆立法中要更关注与信息伦理相关的问题。

2.5 信息安全保障体系的提出

数字图书馆的信息安全问题不仅仅是技术、管理或法规政策等方面中的一个或几个问题，而是一个相互关联、相互制约的有机体系。

国内数字图书馆信息安全保障体系的构建主要有两种方式：一是从技术手段、管理手段、法律法规及政策的制定三方面来组织构建[3，5，42]；二是从数字图书馆用户信息需求出发来构建，例如划分三层信息需求用户，并设置相应的访问权限；以层次性的系统分析方法为基础，不同层次间相互配合形成数字图书馆安全保障体系[43]。此外，也有学者从其它角度研究，例如对预防机制的研究，提出包括管理预防和技术预防两个方面的预防机制的信息安全保障体系方案[20]。

3 结语与展望

基于前文的分析，我们可以得出以下结论：与2000～2004年相比,在2005～2013年我国数字图书馆信息安全研究又取得了新的进展。

第一，技术研究呈现现出两大趋势：一是突破简单笼统的理论介绍走向细致专深的实证研究；二是从个别技术研究转向综合集成和二次开发的体系化研究。

第二，管理研究方面，管理依从标准成为研究热点，图书馆制度建设、馆员管理、用户管理和协调第三方关系方面的研究逐渐丰富。

第三，法律法规与政策研究方面，版权保护、知识产权风险评估和用户隐私权的保护成为主要内容。版权保护方面，讨论了新环境下的具体保护措施，借鉴了外国的先进经验；知识产权研究则更进一步，构建起了风险评估模型；数字参考咨询中的用户隐私保护是讨论的重点内容之一。

第四，信息伦理学的研究丰富了数字图书馆信息安全领域的理论，为解决数字图书馆信息安全问题提供了新思路。

第五，提出了数字图书馆信息安全保障体系。

然而，在取得新进展的同时，也存在两点不足：一是研究内容短板明显。例如，法律法规及政策、信息伦理方面的探讨只占极少数且停留在理论探讨阶段，这已成为制约数字图书馆信息安全研究的理论短板。二是虽然有学者提出了信息安全保障体系，但目前只是理论探讨，未来的建设尚待完善。目前数字图书馆信息安全的保障体系由技术、管理、法律法规及政策三个方面构成，信息伦理研究未能在图书馆信息安全领域引起足够的重视，图书馆信息伦理建设没有被纳入数字图书馆信息安全保障体系中。因此，为保护数字图书馆信息安全，补齐理论短板与构建健全的信息安全保障体系势在必行。

［1］ 郑德俊，任 妮，熊 健，等.我国数字图书馆信息安全管理现状［J］.现代图书情报技术，2010（Z1）：27-32.

［2］ 李 媛.近五年来数字图书馆信息安全问题研究综述［J］.图书馆学研究，2005（12）：10-15.

［3］ 杨木锐.数字图书馆信息安全保障体系研究［D］.长春：东北师范大学，2007.

［4］ 安玉洁.网络环境下高校图书馆信息安全保障体系研究［D］.湘潭：湘潭大学，2008.

［5］ 李朝锋.云计算环境下构建数字图书馆信息安全保障体系的研究［J］.河南科技，2012（11）：54-55.

［6］ 田 华，鄢喜爱.图书馆分布式数据库安全技术研究［J］.现代情报，2007（4）：161-163.

［7］ 焦玉英，王 娜.信息过滤技术在数字图书馆的应用［J］.中国图书馆学报，2006（3）：46-49.

［8］ 茆意宏，黄水清.数字图书馆信息安全管理依从标准的选择［J］.中国图书馆学报，2010（4）：54-60.

［9］ 黄水清，茆意宏，熊 健.数字图书馆信息安全风险评估［J］.现代图书情报技术，2010（Z1）：33-38.

［10］ 黄水清，任 妮.数字图书馆信息安全风险控制［J］.现代图书情报技术，2010（Z1）：39-44.

［11］ 黄水清，陈双喜，任 妮.基于ISO27001的数字图书馆信息安全风险评估模型研究［J］.现代图书情报技术，2009（6）：44-49.

［12］ 赵 坚.数字图书馆信息安全风险评估辅助工具的开发与设计［D］.南京：南京农业大学，2008.

［13］ 曾思慧.基于ITBPM的图书馆信息安全风险评估研究［D］.西安：陕西师范大学，2012.

［14］ 王艳玮，王闪闪.BS7799与等级保护系列标准对比研究［J］.图书馆理论与实践，2010（4）：34-36，43.

［15］ 黄水清，程 旭.BS7799在图书馆中的应用［J］.大学图书馆学报，2004（1）：60-64.

［16］ 王艳玮，王 娟.BS7799与SSE-CMM的对比研究［J］.图书馆理论与实践，2012（4）：22-25.

［17］ 黎平国，钟守机.数字图书馆的信息安全问题与相关对策的探讨［J］.现代情报，2005（9）：75-76，79.

［18］ 马海群.数字信息资源安全的国家干预与制度建设［J］.图书馆论坛，2010（6）：264-267.

［19］ 王建娜.论数字图书馆合理使用制度［D］.北京：北方工业大学，2011.

［20］ 王 猛.数字图书馆信息安全保障体系研究［J］.电子世界，2012（5）：151-152.

［21］ 高继明.数字图书馆中的用户管理问题研究［D］.兰州：西北师范大学，2006.

［22］ 邓仲华，涂海燕，李志芳，等.基于SLA的图书馆云服务参与方的信任管理［J］.图书与情报，2012（4）：16-20.

［23］ 常雅红.云存储服务模式下馆藏数据迁移引发的法律隐患［J］.图书馆学研究，2011（5）：28-30，37.

［24］ 汪晓方.技术措施版权法保护的国际调查与立法借鉴［D］.武汉：武汉大学，2009.

［25］ 李婵，张文德.数字图书馆知识产权风险管理研究［J］.情报理论与实践，2011（11）：31-35.

［26］ 张文德，袁 圆.数字图书馆知识产权风险评估［J］.情报理论与实践，2012（5）：28-32.

［27］ 袁 圆，张文德.数字图书馆知识产权风险评估指标体系构建［J］.图书馆论坛，2012（1）：11-14.

［28］ 林 煌.数字图书馆知识产权风险评估模型研究［J］.情报探索，2011（3）：20-22.

［29］ 张文德，李 婵.数字图书馆知识产权风险识别研究［J］.情报杂志，2011（3）：39-44.

［30］ 李 婵，张文德.数字图书馆知识产权风险智能模型的构建研究［J］.图书馆学研究，2013（17）：35-39.

［31］ 陈传夫，王云娣.图书馆用户知识产权风险管理策略［J］.图书馆论坛，2008（6）：16-20.

［32］ 谢一维.数字图书馆环境下的读者个人信息法律保护研究［J］.图书馆，2010（5）：14-16，19.

［33］ 宁耀莉.数字参考咨询个性化服务中用户隐私权保护机制的构建［J］.图书馆建设，2010（3）：63-65，69.

［34］ 王晓艳.数字参考咨询隐私权保护机制探究［J］.图书馆学研究，2008（12）：64-67.

［35］ 沙勇忠.信息伦理学［M］.北京：北京图书馆出版社，2004：9.

［36］ Mason R O.Four ethical issues of the information age［J］.Management Information Systems Quarterly，1986（1）：5-12.

［37］ 李 萍.关于信息伦理学构建的思考［J］.图书馆论坛，2006（10）：26-29.

［38］ 杨绍兰.信息伦理学与图书馆伦理建设［J］.图书馆论坛，2006（2）：29-32.

［39］ 张政宝，朱美华.网络环境下图书馆信息伦理探析［J］.图书馆论坛，2007（2）：52-53，56.

［40］ 邢兰英.网络环境中高校图书馆信息伦理系统的构建研究［J］.图书馆学刊，2008（4）：60-62.

［41］ 王少薇，高 波.我国地方性图书馆法规有关信息伦理的考察与分析［J］.图书情报工作，2013（11）：19-25.

［42］ 孔凡晶，刘万国，周 利.数字图书馆安全保障体系研究［J］.现代情报，2008（12）：92-94.

［43］ 赵海霞，刘万国，洛凤军.数字图书馆安全的用户分级研究[J］.图书馆学研究，2008（11）：50-52.

（责任编校 田丽丽）

Advances in Research on the Information Security of Digital Libraries in China from 2005 to 2013

He Wenmei
Guangxi University of Chinese Medicine Library,Nanning 530001,China

An analysis of the content of the academic literature about the information security of digital libraries from the Chaoxing academic resource database shows that progress has been made in this research field in China from 2005 to 2013.The research on information security technology has been deepened and systematized.Management compliance standards have become hot issues and theories of institutional improvement,librarian management,user management and coordination of the relationship between libraries and digital publishing and preservation agencies have been enriched.The protection of copyrights,intellectual property rights and users’privacy has been the main focus of laws and regulations and policy research.Information ethics has been employed to solve information security problems.The information security system has been established.However,there still exist two problems such as inadequacy in theoretical study and lack of a sound information security system.

digital library;information security;information ethics

G250

何文美，女，1989年生，硕士，助理馆员，发表论文1篇。