网络环境下高职图书馆信息安全问题探析

越 飞

贵州食品工程职业学院图书馆，贵州 贵阳 551400

互联网技术的高速发展，使信息已无处不在，充斥着人们生活的方方面面，移动互联、大数据、物联网、云计算等，在给人们的工作、学习、生活带来便捷的同时，伴随着严峻的信息安全问题。随着网络与各行业日趋融合，也深刻影响着图书馆的发展进程，高职图书馆逐步实现自动化管理，积累了书目数据、数字资源、读者信息、检索数据等海量数据信息，这些数据信息特别是读者信息具有很高的价值属性，存在被窃取或泄露等安全威胁。由此可见，确保信息安全是图书馆安全管理工作的重点。

一、信息安全概述

（一）信息安全

信息安全是指通过网络运行安全技术、信息内容保护技术、病毒防御技术等技术手段，保护涉及信息系统的硬件设备、软件资源、基础设施、数据中心、机房环境和信息网络中的所有信息资源免遭偶然的或恶意的访问审阅、攻击破坏、篡改控制、泄露扩散和搜集窃取等安全威胁，保证信息管理系统运行的连续性、稳定性及安全性。

（二）信息安全的重要性

信息安全是其他领域安全的基础，既有本身的独立性，又与其他领域具有融合性，是机构乃至个人都不能忽视的重要安全问题。当今时代，人们对信息和网络高度依赖，把工作、学习乃至生活等越来越多的事情通过计算机设备和网络通信来完成，大量信息在计算机上存储、加工、处理并在网络环境下进行传输，在传输过程中，保护信息的机密性、真实性、完整性，使信息在授权访问和加以防范的情况下进行传输显得尤为重要。如果信息得不到安全保证，就容易被网络攻击者获取，产生不可估量的严重后果。

没有信息安全，就没有业务安全。图书馆 信息安全关系到读者信息、书目数据、图书财产账等安全及图书馆业务工作正常开展，也关系到图书馆的数字化建设与发展。高职图书馆作为海量信息的搜集者、加工者、传输者，要加强对信息安全的重视程度。基于此，深入探析图书馆信息安全存在的威胁，并提出解决措施，促进图书馆信息安全工作有序开展。

二、高职图书馆信息安全隐患

（一）系统数据破坏

在使用过程中图书馆数据库可能会遭遇各种不测而导致数据破坏丢失，主要是由于环境因素和病毒攻击。一是环境因素。突发事件具有不确定性和不可预测性，除了雷电、火灾、地震、台风等自然灾害外，对数据信息而言，硬盘故障、电源短路、不当操作等因素都有可能会造成设备损坏、系统瘫痪、数据丢失等问题。二是网络病毒攻击。数据信息的服务和存储大多集中在计算机网络上，而网络本身的开放特征，导致计算机网络环境不安全因素增加。随着木马病毒、敲诈勒索软件、僵尸网络等恶意程序逐渐增加，网络攻击呈现频繁化、多样化、专业化、组织化、规模化、商业化等特点，这使数据信息面临前所未有的安全问题，数据信息一旦遭受病毒的侵蚀和黑客的攻击都将可能在瞬间化为乌有，这严重威胁图书馆信息安全管理防护工作。例如：某县图书馆因遭受勒索软件攻击，数据库软件、系统信息被禁止使用，导致图书馆系统被迫关闭，严重影响图书馆的自动化管理和日常业务工作。网络时代，图书馆开展业务工作愈加依赖计算机和互联网，若图书馆数据信息因各种原因遭遇破坏，读者服务工作只能通过纸笔来完成，将大大降低工作效率和服务质量。可见，数据破坏已是图书馆面临的非常严重的信息安全问题。

（二）读者信息泄露

随着互联网高速发展，个人信息已经成为具有高价值的商业资源，在大数据技术的支持下，社会机构通过各种APP对个人信息、兴趣爱好、关注点进行收集并开展商业活动，同时也给不法分子可乘之机。2018年度《APP个人信息泄露情况调查报告》显示，有85．2%的被访者个人信息曾经被泄露。近年来，全球范围内各领域纷纷爆出大体量数据泄露事件，个人信息泄露事件频发，这说明网络时代个人信息处理不当，就会给用户隐私带来严重的安全威胁。高职图书馆要实现高效的读者服务，需要利用相应渠道和途径对读者信息进行收集和获取，包括读者姓名、身份证号、联系方式等个人重点信息，而这些涉及读者的个人信息，也存在被泄露或窃取的安全风险。在网络大环境下，数据信息不仅能轻易查询、收集、获取，还存在着非法使用和恶意传播的严重问题，可见信息泄露的后果难以想象。

三、信息安全应对措施

（一）数据存储安全

图书馆存储的海量信息作为一种对读者具有重要意义的数据资源，其开放性特征给图书馆数据存储带来严重安全威胁。随着数据量的逐年增加，如何保障这些数据的存储安全成为信息安全防护不容忽视的重要问题。具体可以从三个方面入手。一是双机运行备份。双机运行备份具有容错功能，由两台服务器、交换机、光模块等相关设备组成，其中一台服务器用于运行图书管理系统、自助借还系统等重要程序，向读者提供查询、借阅服务，另一台服务器用于数据备份。技术员根据需求进行定时自动备份设置，在固定时间将运行数据自动传输到备份服务器上，实现数据运行与存储备份分离，一旦运行服务器出现异常，存储服务器能及时发挥作用，从而保证系统数据安全。二是身份认证和授权访问。身份认证作为保障信息安全的第一道防线，主要是为了识别、验证使用系统和访问受限系统资源用户的身份。采用静态密码、动态口令、信息加密、身份甄别等方式进行入门信息检测，阻断非法操作，预防黑客入侵并生成检测日志，长期防护。授权访问的目的是限制用户对数据信息的访问权限，是避免非授权用户越权访问、使用、更改系统信息资源的重要措施。图书馆网络管理员本着最小权限原则、最小泄露原则、多级安全原则，给不同部门管理人员分配系统账号并赋予相应权限，有效避免删除读者数据、修改书目信息、更改系统设置等错误操作，预防网络恶意入侵、修改或盗取数据信息等情况。三是异机存储、妥善保管。为了确保在服务器系统数据丢失之后能够恢复数据，可采取手动备份与自动备份相结合，备份数据的策略根据不同的应用场景来确定。图书馆网络管理员定期检查数据运行情况并手动进行数据备份，是服务器出现异常数据不丢失的解决方案之一，将备份的数据信息保存在不同电脑、移动硬盘等存储器上，即便所有服务器同时遭受崩盘或破坏，也可确保重要信息资源安全，不会因各种意外而遭遇破坏。

（二）网络运行安全

网络安全管理是防御和攻击之间的博弈，是保证系统信息安全，正常开展业务的基础。高职图书馆要根据信息安全问题在不同层面的风险表现，进行有针对性的分析和检测，结合最低等级、中等等级、最高等级的安全防护需求，充分应用相应安全防御技术，达到不同层级的安全需求。一是硬件安全。图书馆运行依赖于外部的硬件系统，突发状况、硬件使用损耗等因素会对信息存储安全带来威胁。如自然灾害可能会造成存储设备的毁坏，电源短路可能会导致计算机之间信息传输中断、数据丢失，硬件系统的使用损耗、老化、无法更新可能会造成图书馆运行的不稳定等。因此，图书馆需要全面考虑系统信息的备份、缺失信息的修复、重要信息的管理，避免因突发性事件造成难以估计的损失，通过建设异地机房、与兄弟院校合作等方式，进行异地备份，确保数据的绝对安全。同时，制定应急措施，当遭遇突发意外，如外部电源阻断、服务器故障、病毒攻击等不利情况时，及时恢复系统运行和备份数据。二是软件系统安全。面对网络病毒攻击的日益频繁，信息安全不再满足于简单的防护，而是对信息资源内容、信息系统运行、网络虚拟空间等整个数字世界进行保护和防御。漏洞扫描修复技术、隔离防护技术能有效提高网络的安全性，有效避免大部分病毒、黑客的攻击。漏洞扫描主要包括入侵检测、硬件检测、软件检测、病毒查杀、补丁修复等内容，软件系统难以避免会存在各种漏洞，不管是软件开发本身存在的漏洞，还是因操作不当或更新不及时产生的漏洞，在网络运行状态下都极易被攻击，图书馆技术员要坚持安全漏洞早发现、早评估、早修复、早消除的原则，定期进行安全检测和漏洞扫描，及时了解系统软件的运行状态、安全指数和服务性能，并修复安全漏洞和更改系统中的错误设置，优化资源管理，提升网络运行速度，尽可能排除安全风险。隔离防护是将系统中安全部分与非安全部分进行隔离的措施，主要技术手段有防火墙、隔离网闸等，其中防火墙主要用于内网和外网的逻辑隔离，而网闸主要用于实现内网和外网的物理隔离。三是图书业务系统安全管理。系统安全管理遵循事前预防、事中控制、事后总结的原则，制定信息安全管理工作方案及突发事件应急防御机制，具体包括制定各类信息管理环节的安全策略及各部门信息安全工作职责，确保各岗位职责明确、目标清晰，建立沟通协调机制，加强各部门之间的相互支持与配合。保持和系统服务商的长期联系，加强沟通合作，不断升级并完善业务管理系统，要求在业务系统设备入网、日常运行维护、定期巡视检查和业务上线、下线整个生命周期的各个环节，检查包括服务器系统、自助借还系统、图书管理系统、网络设备、数据库等在内的各类设备与系统的安全配置是否达到最基本防护要求，提供安全集成、风险评估、渗透测试、合规性咨询、应急保障等专业信息安全服务。确保硬件设施的使用安全，系统和应用软件设置安全，数据信息存储及运输安全。

（三）技术人才保障

信息安全主要靠人、技术和操作三个要素来共同实现，涉及物理层、网络层、应用层、管理层等各层面的安全管理，而技术和操作都离不开人的中心作用。当前高职图书馆存在技术人才数量相对稀少、水平参差不齐、信息安全防范意识不足等问题，导致图书馆数字资源建设、数据分析、信息安全等信息化建设工作相对滞后。图书馆是一个需要复合型人才的部门，应积极的吸收各方面人才，并对自身的在职员工进行深入培养。一是建立网络安全管理人才队伍。图书馆网络信息安全是一项专业性极强的技术行业，因此对于专业人才的选拔、培养非常重要。图书馆的网络安全管理人员需要掌握一定的计算机网络技术、硬件及软件系统知识、图书馆相关理论知识，在不断改善自身管理系统的同时，向其他在图书管理系统方面做得比较好的同行学习，争取能最大程度地提高图书馆业务管理系统的安全指数。二是树立信息安全防范意识。信息安全最脆弱的环节是人。据统计，所有的信息安全事故中，只有20%～30%是自然灾害、黑客攻击等客观原因造成的，70%～80%是由于工作人员的疏忽、不规范操作或有意泄露等主观原因造成的。故图书馆信息安全防范工作，人人有责。图书馆要提升信息安全使用规范要求，借助网络安全技术及隐私保护措施，重点加强读者信息采集、存储、传输过程的安全性及系统登录账号和密码使用的保密性，在不影响读者服务质量的同时确保信息传输的安全性及存储的完整性。为保证图书馆业务工作正常运转，需要加强网络安全运行的监管力度，定期更新计算机操作系统和应用系统，严格设置和排查系统软件，避免黑客或病毒通过系统漏洞进行渗透攻击。经常向相关部门人员了解图书馆数据的完整性及服务器运营的稳定性。同时，与相关软件系统公司签订信息安全保密协议，避免软件公司在系统安装、调试及远程协助过程中，窃取并非法传播读者个人信息。三是强化信息安全教育。技术手段的运用是信息安全的重要保障，而全社会的信息安全防范意识和网络道德意识，则是实现信息安全的根本保证。图书馆要利用讲座、海报、信息素养比赛、走进课堂等多种形式，充分宣传网络时代保护信息安全的重要性，强调信息泄露带来的严重后果，从精神层面灌输信息安全意识，营造人人守则的网络安全氛围。

四、结语

高职图书馆信息安全是一个不断攻防博弈的动态性过程，是一个涉及资金、硬件、软件、数据、网络、技术、人员等诸多因素的系统性工程。加强图书馆信息安全防护，要管理和技术两条腿并行，根据不同的信息管理目标，提出具体管理要求及安全组织保障；落实技术运用手段，保障系统软件自身安全及网络运行安全；加强人员管理，提升其技能水平及安全防范意识，从而促进图书馆安全、稳定、有序地运转，为读者提供高效、优质的信息服务。