姚 琳
(湖北文理学院,湖北 襄阳 441000)
网络信息安全问题最早出现在计算机领域,计算机科学对网络信息安全的分析和研究较为全面、深入[1]。对于图书馆学(研究图书馆的形成、发展、组织管理以及图书馆工作规律的科学)而言,专家和学者在图书馆的网络设计、信息硬件设施安全、数据加密防护、数据存储安全以及人员操作安全控制等方面展开了研究,并从物理层面探索了图书馆的建筑安全、容灾容备、智能控制等。国外的高校图书馆在信息安全的概念上没有过多辨析,一般将研究重点放在图书馆服务中信息服务模式的应用及其形成的效能、影响等方面在信息安全、网络安全、系统安全以及知识产权保护等方面主要使用软件更新、用户认证、参数设置、访问授权、数据信息备份和保护原创等方法、策略。国内的高校图书馆在研究信息安全管理的技术与策略方面各有侧重,将两者结合起来分析、研究和应用的却较少。现阶段国内一些高校图书馆在信息化建设进程中使用的防护策略都较为被动、单一,不能很好地适应网络时代信息化环境下的图书馆信息化、数字化建设及信息管理服务的安全要求。如今高校图书馆信息建设与服务的水平越来越高,信息安全隐患增多,信息安全威胁越来越大,信息安全管理形势严峻。例如,某高校图书馆的信息安全威胁和数据影响指标较多,具体如下图1所示。
图1 某高校图书馆信息安全威胁和相关数据影响指标
从高校图书馆的信息安全管理形势来看,信息安全威胁主要和网络系统环境的安全性有关,在实施信息安全管理时需要想办法维护好网络系统安全。
1.1 加强信息安全防护体系建设。按照信息安全管理中各个层面的风险分析与计算,高校图书馆信息安全问题在各个层面都有不同的表现,高校应加快推进数字图书馆建设,按照不同安全需求使用相关技术措施,开发使用不同的安全技术工具,满足各个层面的信息安全需求。常见信息安全防护策略主要有认证、访问控制和内容安全,还有防病毒技术、防火墙技术、入侵检好测技术、数字签名技术、信息过滤技术、备份恢复技术、应急响应技术以及VPN(虚拟专用网络)技术等。在高校图书馆构建信息安全防护体系的环节,防火墙与入侵检测系统是实施网络系统与信息安全管理的基础条件所在,对高校图书馆构建安全的数字化信息环境至关重要[2]。网络防火墙拥有过滤数据包、实时侦测链路状态、分析行为、限制IP和端口、监测会话等功能,可以实时保证校园内网和外网之间的信息存取、信息交换;网络入侵检测进行数据包的监测与检查,只要发现某个数据包有攻击系统的动作,会话链接就会及时断开,同时由管理员通过预设的自定义处理单元来获取详细的入侵者信息,提供处理安全事件的依据。高校图书馆信息安全分层风险防控模型如下图2所示,形成数字图书馆信息安全防控体系。
图2 高校图书馆信息安全分层风险防控模型
1.2 加强信息安全管理机制建设。除了上述信息安全防护技术,高校图书馆在数字化建设中还要制定科学有效的信息安全管理措施,完善安全管理机制,以规范操作规程,进一步明确信息安全管理的目标、对象。同时组建信息安全管理领导小组,例如,某高校图书馆将网络信息中心作为信息安全等级保护的责任部门,完善构建信息安全管理机制,强化制度建设。通常可以从设置机构、实施管理、更新技术、配备人员、完善机制与体制等方面细化落实,在硬件层面形成图书馆信息安全管理机制[3]。
2.1 保护网络系统安全。网络系统的运行、控制会对高校图书馆网络信息系统安全产生重要影响,利用网络硬件中的内置软件或者其他软件对其进行全面监测,或是利用虚拟网络进行网络系统监控,都可以预防网络系统被侵犯。另外,高校图书馆使用网络分割,预防图书馆信息在传输途径中发生安全风险,特别是更好地构建虚拟局域网划分,设置安全性更强的网络系统配置。例如,针对WINDOWS操作系统的网络安全问题,需要及时通过程序管理为网络操作系统安装补丁。对于图书馆电脑安全应用的软件系统则可频繁升级,达到减少应用系统安全漏洞的目的,降低网络安全风险。还可以配合使用备份技术、恢复技术、反病毒技术等,保证网络系统万无一失。对于高校图书馆网络操作系统中的不同工作人员和用户都要完成密码设置,合理限制他们的操作权限,尤其要注意加大系统管理员管控力度,保护好图书馆网络系统的安全性。
2.2 保护网络硬件安全。在高校图书馆较为合理且有较大弹性的网络体系之中,怎样解决好网络安全问题是重中之重,例如网络产品、网络安全技术[4]。用于解决图书馆网络信息安全问题的产品主要有防火墙以及VPN,如上所述,防火墙在图书馆网络硬件设施安全管理中的使用比较突出,经常在节点内部及馆外网络之处放置,对内外部网络所传输的信息进行检查、筛选、过滤、屏蔽等,促使图书馆信息只能在某个控制点发送,预防他人破坏网络信息系统,确保信息安全;VPN以解决分支图书馆和不同系统间的跨区域传输信息安全问题为主,利用公共网络频繁地、安全地更换馆内关键数据信息。
高校图书馆网络硬件设施安全管理就是基于管理系统的开发明确网络设施登记制度、岗位职责登记制度,尽早发现安全隐患,及时妥善处理信息安全问题。其中整个网络系统及硬件设施安全管理由专门安排的人员负责落实,包括网络说明以及网络设施的维护、保修。附带的系统盘安全管理也由专门安排的负责人来落实,形成完善的登记制度,进行网络系统故障处理登记和网络设施定期维护登记、网络操作系统修补或升级的登记。另外,要构建网络结构和网络布线图,任何类型不同的网络系统设施与拓扑文件都要得到行之有效的管理。同时通过按照图书馆网络信息系统设置逐步操作,将责任落实到人头,全面消除侥幸心理,定期有计划地维护网络硬件设施,预防因网络系统硬件设施的安全问题引发图书馆信息安全问题,提高信息的安全性。
高校图书馆在实施信息安全管理时,站在软硬件层面,从安全角度维护管理信息系统的运行。当然图书馆信息安全问题是无处不在的,网络时代下的信息资源环境不断变化、更新,高校图书馆从业者的日常工作发生巨大变化,同时面临图书馆自身环境以及时代环境的挑战,包括工作复杂化、任务复杂化、职能服务化等。
为了从容应对挑战,适应网络时代发展的需要,高校图书馆从业者要积极转变工作观念,改变手工操作模式和封闭式信息资源建设行为,在网络环境下结合传统信息资源模式、现有资源优势,提高信息安全意识,改善信息安全管理行为,防范信息安全。一是完善信息安全岗位的适任评估系统、培训系统,确保图书馆信息安全人员适应安全任务;二是完善信息安全教育培训模式,鼓励馆内全体人员关注信息安全隐患和威胁,鼓励团队协作,提出优化信息安全管理的建议;三是通过绩效考核、知识竞赛、评选先进等方式教育信息安全意识薄弱的人员、激励严格遵守信息安全管理规范的人员,引导全体人员树立信息安全观念;四是大力宣传信息安全的教训、经验,提高整体信息安全意识。
高校图书馆通过在网络时代采取科学有效的技术和手段妥善处理信息安全问题,完善信息管理,极大地提高了实施信息安全管理的实效性,保护了信息安全。今后高校图书馆要顺应信息化和数字化发展趋势,积极推进数字图书馆、智慧图书馆建设,将信息安全管理落到实处,持续提升信息安全管理水平,为优化自身的信息资源管理及信息服务提供强有力的安全保障。