谢鹏 沈杨芳
[摘 要] 随着21世纪互联网的迅猛发展,数字化图书馆也迎来了新的发展空间。无线局域网技术和数字化图书馆网络软硬件产品不断成熟,再加上现有的数字化图书馆网络安全管理相对滞后,由此导致的诸多隐患和安全威胁盲点已成为数字化图书馆迫切需要改进的方向。笔者以数字图书馆的常见安全问题作为主要研究目的,试图通过分析和研究数字图书馆的常见安全问题,最终提出完善数字化图书馆网络安全管理的建议。
[关键词] 数字图书馆 安全问题 安全管理
中图分类号:G250.76 文献标志码:A
数字化图书馆是基于信息源与图书馆、读者与图书馆之间的信息交流方式,是基于互联网技术与图书馆自动化发展的结合方式。国家政府大力扶持数字图书馆建设,但同时因为复杂的网络问题给中国的数字图书馆带来了许多挑战,尤其是数字化图书馆网络安全问题,给许多图书馆和个人带来很多威胁。近几年,人们对信息安全的关注度越来越高,数字图书馆需要完善网络安全管理。
一、数字图书馆的常见安全问题
(一)数字化图书馆硬件漏洞
网卡(网络适配器)、猫(调制解调器)、路由器三者在我国数字化图书馆发展中扮演着十分重要的角色。网络硬件市场庞大,导致越来越多的厂商开始从事这方面的业务。品牌、厂商不同,直接导致操作方法差别较大,同时每个品牌又有多种型号,导致数字图书馆的网卡(网络适配器)、猫(调制解调器)、路由器三者各不相同。
近年来因为硬件产生的安全问题有很多,我国路由器市场发展较快,但是相应的监管制度不够完善,部分路由器存在一些已知的安全风险。据金山毒霸安全中心统计,全国3.3%的路由器DNS曾经遭到恶意篡改;除此之外,还有一些路由器的生产技术较为落后,采用过时的WEP加密协议(主流家用路由器的标准配置是WPA2协议),密码很容易被黑客破解。
(二)数字化图书馆弱密码安全威胁[1]
很多管理者在图书馆的密码依然采用原始密码,没有进行修改,这也是非常大的安全威胁。因为密码一旦泄露,黑客就可以通过后台来更改数字化图书馆接入密码,甚至可以在后台植入网络病毒篡改DNS,劫持网民访问钓鱼网站,直接威胁到用户的财产安全。
(三)数字化图书馆DNS劫持威胁
数字化图书馆的用户可能因为钓鱼网站而被诈骗,这是因为攻击者劫持了用户的网页,用户以为自己登录的是熟悉的网络,但其实已经被黑客所接管,用户就进入了攻击者所精心布置的网络骗局中,在输入密码时被盗取信息还不自知。同时,软件安全非常重要,譬如使用802.11的服务群标识符 SSID每年允许进行两次基本群标识符的人工修改,这个防护手段其实有很多尴尬之处,因为不能经常修改,很容易被一些技术成熟的黑客攻击;WEP(Wired Equivalent Privacy)其实就是通过采用RC4算法进行加密,可以有效对进入数字化图书馆的用户身份進行验证,但是这种对网络资源进行加密的情况仅仅适用于较少的场景,现有的验证方式还是通过网络适配器验证[2]。
(四)缺乏专职网络维护管理人员
现有中国数字图书馆的安全管理办法主要有以下几种:(1)图书馆内部设立网络部门,部门设立数字图书馆网络管理专职人员,通过专职人员实现对图书馆网络的安全管理。(2)将数字图书馆的网络维护、维修及安全管理外包给专业的网络公司。(3)无专职人员也无外包公司,无人管理数字网络问题。
事实上,除了第一种情况之外,第二种和第三种都是因为数字化图书馆网络安全管理结构都不够完善,即使是外包公司的专职网络安全人员,也不可能根据每个图书馆的实际情况设立出一套完善的接入、访问、网络限制体系,完全是听从领导者的安排。而图书馆领导很多情况下对网络安全又不了解,其下达的命令不够科学,导致很多数字化图书馆网络安全管理产生问题。
二、解决数字图书馆安全问题的对策
(一)提升硬件设备的安全性能
数字化图书馆硬件设备如路由器、猫、服务器、机房相关设备等这些都是非常重要的数字化图书馆设备,保护数字化图书馆网络安全的最基础手段是保证这些设备的安全,使用更安全的硬件设备即可大大减少数字化图书馆被发现、被攻击的可能性。
大多数数字化图书馆支持SNMP,而攻击者利用SNMP很容易得知关于数字化图书馆的相关信息,这是导致数字化图书馆信息泄露的重大安全威胁。想要解决这些也不难,可以通过修改SNMP或者以直接禁用来解决,尤其是对数字化图书馆SNMP公开及专用的共用字符串进行修改,会大大提升数字化图书馆网络安全性能。
(二)部署封闭的局域网网络
数字化图书馆被攻击的一个因素是黑客不用进入图书馆内部,部署封闭的无线访问网络之后,图书馆需要经常对公司数字化图书馆进行勘测,并反映在图书馆的网络拓扑图里,保证公司的数字化图书馆信号范围在掌控中。部署的封闭无线访问网络,导致攻击者根本无法发现数字化图书馆,自然会大大减少对数字化图书馆的攻击[3]。
(三)增加维护数字化图书馆网络安全的专业人员
当前中国数字图书馆发展迅速,大型数字图书馆可以考虑增加专门维护数字化图书馆网络安全人员。当然,对于很多的中小型图书馆来说并不需要专业的网络安全人员,图书馆的网络相对来说也很少被攻击。即使是对于一些大图书馆来说,配备专业的数字化图书馆网络安全从业员工也不现实,因为这需要耗费一定的人力资源。但如果连基本的定期检查也没有,很容易导致图书馆网络出现漏洞也不自知的情况。
比如很多图书馆虽然没有财务人员,但是会请专业的财务图书馆来审计图书馆财务,避免出现财务问题;很多图书馆没有电力设备安全人员,但是他们会定期将电力检修外包给专业的电力安全图书馆,这些都有效杜绝了一些不良事件的发生。但是我国专业从事数字化图书馆网络安全的人员较少、从事数字化图书馆网络安全的图书馆较少,导致了数字化图书馆网络安全威胁的不断累积,不管对图书馆还是对社会来说,这都是较大的信息安全隐患[4]。
事实上数字化图书馆网络安全管理维度包含了很多内容,比如安全防护管理、应急调度中心、审核平台。对于一些有专业网络部门的公司来说,不仅要设立专职的网络安全人员进行数字化图书馆防护,还需要做好应急准备。当网络被攻击的时候能及时进行调度,根据数字化图书馆威胁程度进行预警和处理,同时还应该设立专门的数字化图书馆管理平台,通过此类平台可以对检测到的数字化图书馆网络安全数据进行统计和分析[5]。
(四)提升管理员及用户密码等级
管理员及用户如果提升对数字化图书馆网络安全问题的重视程度,将会大大降低管理员及用户密码泄露的可能性。而管理员及用户可能对于数字化图书馆网络安全技术不是很了解,但是这些也无伤大雅,因为对于管理员及用户来说,可以通过提升密码破解难度、定时修改密码来避免被攻击的危险。
具体来说也非常简单,首先来说,管理员需要设置相对复杂的密码,避免弱密码;其次要定时修改密码,不仅仅是接入密码,还要定时修改路由器的登录密码,因为路由器密码被破解之后很容易被植入病毒或劫持网页;其次,要经常登录路由器后台查看家庭网络使用情况,如果发现陌生设备接入,可以对其进行限制。
如果用户提升对数字化图书馆网络安全问题的重视程度,不主动用陌生数字化图书馆,那也将大大降低数字化图书馆网络安全威胁,想要提升个人用户和家庭用户对数字化图书馆网络安全的重视程度,一方面是靠媒体,另一方面是靠数字化图书馆网络安全教育。媒体的宣传能提升普通大众的数字化圖书馆网络安全意识,但是如果只是宣传数字化图书馆网络安全事件,不提供数字化图书馆网络安全事件解决办法,那也不能从根本上解决问题,所以另外一个非常重要的问题就是提升数字化图书馆网络安全教育。这对提升我国数字化图书馆网络安全,甚至是提升我国互联网安全都有着非常重大的意义。
三、结语
综上,当前中国数字图书馆遇到的安全问题主要是软件问题、硬件问题、安全管理问题与安全知识普及问题。基于此,笔者以为,对于数字化图书馆网络建设相关方来说,应该主动提升软件和硬件安全水平,同时加强对数字化图书馆网络安全的重视,配备相关的专业人员定时定期对数字图书馆网络安全问题进行检查和维护;同时也要做好宣传教育工作,提升用户对数字图书馆安全问题的重视,避免因弱密码而导致的安全问题。
参考文献:
[1]国爱民.大数据环境下数字图书馆安全威胁与对策研究[J].科技资讯,2017, 15(6):219- 220.
[2]孟猛,朱庆华,袁勤俭等.基于非线性规划的数字图书馆信息安全风险组合评估研究[J].情报杂志,2017(6):128- 133.
[3]孟猛,朱庆华,袁勤俭等.数字图书馆信息安全风险组合评估研究——基于非线性规划法[J].情报杂志,2017,36(6).
[4]胡昌平.云环境下数字图书馆信息资源安全[J].数字图书馆论坛,2017(7):1- 1.
[5]顾海峰.分析数字图书馆网络系统安全与数据安全问题[J].中国高新区,2017(15).