高 宏

(西北農(nóng)林科技大學(xué)圖書館，陜西 咸陽 712100)

1 序言

目前，國(guó)內(nèi)數(shù)字圖書館在網(wǎng)絡(luò)信息安全應(yīng)用研究方面(即數(shù)據(jù)安全、系統(tǒng)安全、知識(shí)產(chǎn)權(quán)維護(hù)和網(wǎng)絡(luò)安全等)絕大多數(shù)都側(cè)重于技術(shù)，在網(wǎng)絡(luò)信息安全實(shí)踐中，往往過多重視技術(shù)方面的問題，認(rèn)為所有的網(wǎng)絡(luò)信息安全問題依賴先進(jìn)的技術(shù)手段都能得以解決;其實(shí)不然，即使我們采用最先進(jìn)的技術(shù)手段，安全管理缺失，網(wǎng)絡(luò)信息安全事故依然頻繁發(fā)生。因此，網(wǎng)絡(luò)信息安全不僅是技術(shù)問題，更是人的問題，即管理問題。數(shù)字圖書館的安全保障不僅需要技術(shù)的支撐，更需要以人為對(duì)象的安全管理的落實(shí)。安全管理包括：安全意識(shí)、相應(yīng)的規(guī)章制度和館員的責(zé)任感等。只有安全技術(shù)與管理的有機(jī)結(jié)合，數(shù)字圖書館才能在實(shí)現(xiàn)資源共享的同時(shí)，最大限度地減少網(wǎng)絡(luò)信息安全事故的發(fā)生，并將網(wǎng)絡(luò)信息安全事故的影響與損失降到最低。

2 管理技術(shù)在數(shù)字圖書館安全保障中的作用

數(shù)字圖書館安全保障是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)，使其不因自然災(zāi)害和人為無意或惡意等原因，而導(dǎo)致各種資源的破壞、更改、丟失或者泄密，從而保障網(wǎng)絡(luò)服務(wù)不中斷，圖書館工作正常持續(xù)進(jìn)行。數(shù)字圖書館基于Internet網(wǎng)絡(luò)化信息檢索、信息加工和信息服務(wù)，使圖書館讀者服務(wù)范圍和內(nèi)容得以延伸和擴(kuò)展。但其網(wǎng)絡(luò)系統(tǒng)具有的分布廣域性、結(jié)構(gòu)開放性、資源共享性和公用性等特點(diǎn)，以及數(shù)字化信息的共享和易于擴(kuò)散等特性，造成安全不穩(wěn)定因素增多，風(fēng)險(xiǎn)增大。而數(shù)字圖書館要做到既要使網(wǎng)絡(luò)信息系統(tǒng)為滿足多元化讀者服務(wù)需要，又要使信息在傳遞和使用過程中更為安全，就必須采取技術(shù)、管理等綜合措施來保障網(wǎng)絡(luò)信息安全。先進(jìn)的安全技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的重要手段，數(shù)字圖書館要確保其網(wǎng)絡(luò)上信息的保密性、完整性和可用性;確保在出現(xiàn)突發(fā)故障時(shí)能快速提供應(yīng)急故障的響應(yīng)手段，快速重組被破壞了的文件或應(yīng)用，并能有效地防御惡意攻擊和破壞，實(shí)現(xiàn)對(duì)非法入侵的審計(jì)與跟蹤等，這些就必須依靠技術(shù)手段來實(shí)現(xiàn)。嚴(yán)格有效的安全管理是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的根本，它較好地解決了技術(shù)無法涉及到的由人的問題所引發(fā)的安全事故或隱患，并在其有效管控下使技術(shù)得以較好地實(shí)施。

目前，我國(guó)安全技術(shù)的應(yīng)用研究取得顯著成果，不少新興產(chǎn)品和技術(shù)逐漸發(fā)展成熟，并被不斷地應(yīng)用在圖書館安全防御體系中。囿于篇幅，本文在此就不予贅述。然而以人為對(duì)象的安全管理應(yīng)用研究，卻滯后于技術(shù)發(fā)展的步伐，管理的瓶頸大大削弱了安全技術(shù)產(chǎn)品所本應(yīng)產(chǎn)生的防護(hù)效果，導(dǎo)致疏于管理所引發(fā)的安全事故和安全隱患頻繁發(fā)生，這對(duì)圖書館網(wǎng)絡(luò)信息資源、網(wǎng)絡(luò)系統(tǒng)的危害也遠(yuǎn)遠(yuǎn)大于其它方面造成的危害?？梢?，僅僅依靠安全技術(shù)措施進(jìn)行防護(hù)，防護(hù)效果常常不盡如人意。數(shù)字圖書館要做到對(duì)行為可控、資源可管、事件可查、運(yùn)行環(huán)境可靠，不僅僅取決于安全技術(shù)手段，還取決于嚴(yán)格有效的安全管理。只有安全技術(shù)手段與嚴(yán)格有效的安全管理有機(jī)結(jié)合，數(shù)字圖書館才能真正保障網(wǎng)絡(luò)信息系統(tǒng)安全、健康運(yùn)行，確保重要信息(書目數(shù)據(jù)、讀者個(gè)人信息、有償資源等)不被非法讀取、復(fù)制、修改、假冒、否認(rèn)、丟失，甚至毀滅，保證有償資源不被非法使用。

3 數(shù)字圖書館網(wǎng)絡(luò)信息安全管理措施

3.1 強(qiáng)化圖書館工作人員及讀者的安全責(zé)任意識(shí)

安全意識(shí)的提升對(duì)于數(shù)字圖書館網(wǎng)絡(luò)信息安全來說十分重要。在網(wǎng)絡(luò)信息安全管理過程中，安全意識(shí)起著至關(guān)重要的作用。盡管數(shù)字圖書館的網(wǎng)絡(luò)設(shè)置了多道關(guān)卡防止病毒、黑客的入侵以及破壞性行為的發(fā)生，但無論多么完善的安全設(shè)備都無法完全抵御人為因素所造成的危害。為此，圖書館工作人員，特別是相關(guān)技術(shù)人員應(yīng)從思想上高度重視網(wǎng)絡(luò)信息安全的重要性，充分認(rèn)識(shí)到數(shù)字圖書館Internet/Intranet服務(wù)模式所面臨的安全問題，減少認(rèn)識(shí)上的模糊性、籠統(tǒng)性及誤區(qū)，克服麻痹和僥幸心理，以全新的安全管理理念和高度的責(zé)任心做好圖書館計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)資源的安全工作。

另外，我們還要看到員工自身網(wǎng)絡(luò)安全知識(shí)的不足，關(guān)于這點(diǎn)，不同崗位的員工有不同的提高途徑。安全管理技術(shù)人員，他們具有很高的權(quán)限，可直接操作關(guān)鍵設(shè)備。因此，他們自身應(yīng)加強(qiáng)相關(guān)法律法規(guī)和政策的學(xué)習(xí)，嚴(yán)格遵守館內(nèi)各項(xiàng)安全操作規(guī)則，積極主動(dòng)深入地研究和掌握安全管理新技術(shù)，并有針對(duì)性地進(jìn)行系統(tǒng)與數(shù)據(jù)恢復(fù)的演練，做到心中有數(shù)。同時(shí)，圖書館應(yīng)經(jīng)常派遣他們參加國(guó)內(nèi)外網(wǎng)絡(luò)信息安全方面的技術(shù)培訓(xùn)，充實(shí)他們的網(wǎng)絡(luò)知識(shí)、管理知識(shí)，做好網(wǎng)絡(luò)信息安全的防毒、防黑等技術(shù)工作。針對(duì)業(yè)務(wù)服務(wù)工作人員，圖書館應(yīng)通過組織定期或不定期的安全知識(shí)教育與安全技能的培訓(xùn)，提高其自我防范意識(shí)和能力，使他們自覺遵守館內(nèi)上網(wǎng)管理規(guī)定。如在工作機(jī)上不隨意安裝外掛程序或不明軟件，不隨意打開不明郵件，不瀏覽非法網(wǎng)站。同時(shí)，保管好自己的用戶名和密碼，做好保密工作，對(duì)操作系統(tǒng)要定期進(jìn)行安全檢查、掃描和補(bǔ)漏，定期更改系統(tǒng)登錄密碼等。一些工作人員對(duì)制定的安全措施不落實(shí)，認(rèn)為配備最優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品，就可以高枕無憂了。圖書館應(yīng)加大檢查力度，對(duì)相關(guān)技術(shù)人員可能因安全知識(shí)和管理知識(shí)不足而導(dǎo)致出現(xiàn)的操作失誤、組織管理失誤和維護(hù)失誤的問題進(jìn)行預(yù)防，加大系統(tǒng)安全教育技能培訓(xùn)的投入。

對(duì)于讀者安全意識(shí)薄弱或網(wǎng)絡(luò)安全知識(shí)貧瘠出現(xiàn)的不規(guī)范、不負(fù)責(zé)的操作行為，圖書館應(yīng)開展多層次、多方位網(wǎng)絡(luò)信息安全宣傳工作。如：發(fā)放有關(guān)網(wǎng)絡(luò)安全知識(shí)的宣傳手冊(cè);在電子閱覽登機(jī)頁面溫馨提示讀者如何安全進(jìn)行網(wǎng)絡(luò)操作;設(shè)立有問必答網(wǎng)絡(luò)宣傳欄，使讀者和安全管理人員有效交流，從而讓讀者能夠更安全的操作網(wǎng)絡(luò)，圖書館相關(guān)工作人員也能及時(shí)了解讀者的需求并改進(jìn)工作。

3.2 健全安全管理規(guī)章制度，強(qiáng)化制度的落實(shí)

制定全面、細(xì)致、嚴(yán)格、有效的安全管理規(guī)章制度并加以落實(shí)，是數(shù)字圖書館安全保障的有力手段，要做到用制度規(guī)范行為，按職責(zé)實(shí)施管理，從制度上防范安全問題的發(fā)生。首先，從自身實(shí)際出發(fā)，引進(jìn)行業(yè)先進(jìn)的安全管理經(jīng)驗(yàn)和理論，并根據(jù)國(guó)家、行業(yè)相關(guān)法律法規(guī)，改革、創(chuàng)新現(xiàn)有的圖書館安全管理規(guī)章制度。所謂的制度就是在一定范圍內(nèi)“要求成員共同遵守的，按一定程序辦事的規(guī)程”，科學(xué)、細(xì)致的安全管理制度，將有利于促使圖書館安全管理工作的責(zé)任明確化與具體化。通過強(qiáng)化制度，更有利于調(diào)動(dòng)全體館員工作主動(dòng)性、積極性、創(chuàng)造性，更能體現(xiàn)人文關(guān)懷的柔性管理，促進(jìn)管理制度與人性化結(jié)合，使制度的建立更科學(xué)、更合理、更規(guī)范、更“人本位”。其次，把制度確定的各項(xiàng)要求落到實(shí)處，圖書館工作人員應(yīng)對(duì)各自的責(zé)任和義務(wù)等有準(zhǔn)確的認(rèn)知，只有對(duì)制度內(nèi)容等準(zhǔn)確認(rèn)知，才能將責(zé)任認(rèn)識(shí)轉(zhuǎn)化為行為準(zhǔn)則，最終上升為自覺行為。另外，承擔(dān)安全管理主管責(zé)任的分管領(lǐng)導(dǎo)，應(yīng)定期督查館內(nèi)各項(xiàng)規(guī)章制度執(zhí)行情況，獎(jiǎng)罰分明，不合適宜的制度及時(shí)修正。

總之，再好的制度單一運(yùn)行是不能完善地解決網(wǎng)絡(luò)信息安全問題的。數(shù)字圖書館要真正預(yù)防和減少來自內(nèi)外的安全威脅，最大程度地保護(hù)網(wǎng)絡(luò)，最大限度挽回網(wǎng)絡(luò)信息系統(tǒng)損失，使其安全運(yùn)行，還需將技術(shù)、制度、管理主體(人)的責(zé)任相統(tǒng)一，三管齊下。同時(shí)，加快網(wǎng)絡(luò)安全管理人才的引進(jìn)與培養(yǎng)，最大限度為圖書館的各項(xiàng)業(yè)務(wù)工作以及信息服務(wù)提供保障。

［1］許晉軍，倪波.網(wǎng)絡(luò)信息安全研究［J］.現(xiàn)代圖書情報(bào)技術(shù)，2008(1).

［2］劉超.數(shù)字圖書館的信息安全分析［J］.現(xiàn)代情報(bào)，2009(6).

［3］郭洪剛，劉克勝.入侵檢測(cè)技術(shù)及其脆弱性分析［J］.信息安全技術(shù)，2004(5).

［4］韓毅，李融等.數(shù)字高校圖書館的安全威脅和控制措施［J］.高校圖書館數(shù)字化技術(shù)平臺(tái)，2004(2).

［5］王以群等.網(wǎng)絡(luò)信息安全中的人因失誤分析［J］.情報(bào)學(xué)科，2007(11).