張 芳

（安徽省圖書館 報刊部，合肥 230001）

信息安全技術(shù)被寫入《“十二五”下一代信息技術(shù)產(chǎn)業(yè)發(fā)展規(guī)劃》，標(biāo)志著網(wǎng)絡(luò)信息安全已經(jīng)上升到國家戰(zhàn)略的高度。隨著云計算和虛擬化的迅猛發(fā)展，由網(wǎng)絡(luò)化而衍生的圖書館信息安全問題也日益突出。因此，為了使圖書館充分發(fā)揮信息優(yōu)勢，實(shí)現(xiàn)資源共享，保證圖書館網(wǎng)絡(luò)信息安全和高效運(yùn)行已經(jīng)成為當(dāng)今圖書館建設(shè)中的關(guān)鍵任務(wù)。

一、目前圖書館中存在的主要網(wǎng)絡(luò)信息安全隱患

圖書館網(wǎng)絡(luò)信息資源和傳統(tǒng)的紙質(zhì)印刷圖書一樣，需要依附于能長久保存信息的載體，目前圖書館中的數(shù)字信息存儲的媒體主要有硬盤、光盤、磁盤等，它們都有自己的存儲方式及工作環(huán)境，一旦操作失誤或者維護(hù)不當(dāng)，就會丟失信息內(nèi)容，難以恢復(fù)。如果網(wǎng)絡(luò)信息資源存儲不分主次，存儲載體和存儲環(huán)境混亂，訪問技術(shù)不規(guī)范等都會給圖書館日常工作的開展造成不便，甚至給網(wǎng)絡(luò)信息安全帶來巨大的威脅?，F(xiàn)今我國對網(wǎng)絡(luò)信息資源的長期保存及維護(hù)技術(shù)還不完善，需要不斷摸索、學(xué)習(xí)和改進(jìn)，降低數(shù)字信息資源存儲風(fēng)險[1］。

隨著網(wǎng)絡(luò)信息資源的用戶不斷增加，圖書館為滿足讀者需求，需要在開設(shè)新的服務(wù)類別及服務(wù)方式的同時不斷創(chuàng)新，從而越來越依賴于網(wǎng)絡(luò)。然而網(wǎng)絡(luò)的脆弱性也增加了圖書館網(wǎng)絡(luò)信息資源的危險性。例如眾所周知的計算機(jī)病毒感染與“黑客”攻擊，它們不僅能對圖書館信息系統(tǒng)造成破壞，也能竊取用戶的個人隱私，進(jìn)而對其信息進(jìn)行利用或修改，嚴(yán)重?fù)p害了著作者和圖書館的利益，這些危害大大破壞了整個圖書館的網(wǎng)絡(luò)信息資源的完整性和機(jī)密性。圖書館網(wǎng)絡(luò)環(huán)境及數(shù)據(jù)等的不安全，容易對用戶造成不穩(wěn)定心理，嚴(yán)重遏制了圖書館網(wǎng)絡(luò)化的進(jìn)程[2］。

二、影響圖書館網(wǎng)絡(luò)信息安全的因素

1.物理安全因素

物理安全是影響圖書館數(shù)字信息安全的基本要素，主要包括計算機(jī)的硬件、軟件和外部環(huán)境條件。計算機(jī)硬件因素主要體現(xiàn)在計算機(jī)的各類服務(wù)器、網(wǎng)絡(luò)互聯(lián)設(shè)備以及相關(guān)配套設(shè)施等，它們構(gòu)成了網(wǎng)絡(luò)信息系統(tǒng)的物質(zhì)基礎(chǔ)，是保證網(wǎng)絡(luò)正常運(yùn)行的前提條件。如果不能正確規(guī)范地安裝及操作，不采取定期檢查與維護(hù)的防范措施，一旦服務(wù)器連接失敗、網(wǎng)絡(luò)運(yùn)行出現(xiàn)錯誤和硬件器件出現(xiàn)磨損或者老化等都會無法使得系統(tǒng)安全得到保障。計算機(jī)軟件因素主要表現(xiàn)在操作系統(tǒng)與應(yīng)用軟件這兩個方面。目前市場上主流的windows等操作系統(tǒng)還存在很多漏洞，需要定期對數(shù)據(jù)庫及時更新與升級，對操作系統(tǒng)的不合理設(shè)置、軟件質(zhì)量的不合格和系統(tǒng)對軟件的支持力度不夠都會使得網(wǎng)絡(luò)信息系統(tǒng)受到攻擊。此外，在外部環(huán)境條件方面，圖書館機(jī)房環(huán)境配套設(shè)施的不合理設(shè)置，網(wǎng)絡(luò)管理控制中心惡劣的環(huán)境條件也無法保證網(wǎng)絡(luò)信息的安全，比如室內(nèi)溫度濕度不適宜、對磁場與電磁波抗干擾能力薄弱、電源電力配置落后等[3］。

2.人文因素

人文因素是影響圖書館信息安全的主觀因素，影響后果大，且具有不確定性。主要體現(xiàn)在兩類人群，一類是圖書館工作人員，另一類是用戶。個別圖書館工作人員信息安全意識薄弱，缺乏責(zé)任心，專業(yè)背景差以及操作能力不夠，加上管理人員的維護(hù)執(zhí)行效果差，在對系統(tǒng)的操作過程中容易造成系統(tǒng)故障，從而影響信息安全。用戶是圖書館數(shù)字化過程中比較活躍的使用者，他們對圖書館的使用能力及需求影響著數(shù)字圖書館建設(shè)的進(jìn)程。用戶若不能妥善保管個人的終端使用賬號與密碼，隨意轉(zhuǎn)借他人及與他人共享，并且濫用圖書館網(wǎng)絡(luò)信息資源，下載不安全軟件或查看網(wǎng)絡(luò)不安全信息等不恰當(dāng)?shù)牟僮鞣绞?，都會給網(wǎng)絡(luò)操作系統(tǒng)帶來威脅。比如我們熟知的黑客惡性入侵，雖然大多數(shù)圖書館涉及機(jī)密信息不多，但依然有黑客針對系統(tǒng)設(shè)置問題、操作系統(tǒng)與軟件漏洞等方面進(jìn)行攻擊，從而竊取圖書館信息，篡改數(shù)據(jù)，甚至造成系統(tǒng)癱瘓，嚴(yán)重影響圖書館信息資源的共享。

3.技術(shù)因素

技術(shù)升級是圖書館網(wǎng)絡(luò)信息安全的技術(shù)保障。我國的信息技術(shù)發(fā)展還遠(yuǎn)遠(yuǎn)滯后于國外技術(shù)水平發(fā)達(dá)國家，圖書館的數(shù)字化發(fā)展也不例外，尤其是社會影響力較大的圖書館，網(wǎng)絡(luò)應(yīng)用系統(tǒng)與日常業(yè)務(wù)服務(wù)系統(tǒng)很容易由于技術(shù)上存在較大漏洞而遭到各類惡性攻擊，以致?lián)p壞圖書館良好的社會形象。具有代表性的感染性很強(qiáng)的計算機(jī)病毒，是一種人為編制的程序編碼或指令，其占用計算機(jī)系統(tǒng)存儲空間，潛伏在系統(tǒng)中，一旦被激活，其破壞力度極大，傳播速度很快，感染范圍廣。《全國首個計算機(jī)病毒已40歲》指出，從1990年的1 300個，到2000年的5萬個，再到2010年的2億個，在過去四十年里，計算機(jī)病毒呈現(xiàn)了爆炸式增長[4］。爆發(fā)的病毒使一些圖書館丟失數(shù)據(jù)、網(wǎng)絡(luò)服務(wù)系統(tǒng)癱瘓，給圖書館界造成巨大損失和心理畏懼。另一個尚未得到有效技術(shù)遏制的是網(wǎng)絡(luò)信息污染，它主要由于網(wǎng)絡(luò)上一些無效的信息對有用信息的干擾造成的，這樣就影響了讀者對信息的鑒別難度，降低了信息的利用價值。如今由于網(wǎng)絡(luò)開放性及無效信息的增加，網(wǎng)絡(luò)信息污染越來越嚴(yán)重，主要表現(xiàn)為一些垃圾郵件、虛假信息以及不文明信息等。根據(jù)美國IBM公司的測定，很多企業(yè)花費(fèi)很大精力與資金建立的數(shù)據(jù)庫由于信息污染問題，可用信息只有10%是真正有價值的。因此，由網(wǎng)絡(luò)技術(shù)漏洞造成的信息不安全應(yīng)受到圖書館的高度重視[5］。

4.管理因素

管理機(jī)制是圖書館網(wǎng)絡(luò)信息安全的關(guān)鍵因素，主要是要完善管理體系和制定法律法規(guī)對違規(guī)行為進(jìn)行約束。如果圖書館不能形成完善的信息安全管理體系，不能加大管理力度，圖書館的網(wǎng)絡(luò)信息資源安全問題就很難得到保證。目前很多圖書館的管理人員和技術(shù)人員缺乏網(wǎng)絡(luò)管理和系統(tǒng)安全配置方面的知識，對網(wǎng)絡(luò)信息安全的認(rèn)識還很模糊，在管理中不能有效發(fā)揮自己的工作職能，對計算機(jī)中已存在的問題或者可能出現(xiàn)的問題不能很好地解決及預(yù)防，面對信息安全危機(jī)時手足無措。另外，圖書館網(wǎng)絡(luò)化建設(shè)還面臨法律風(fēng)險，網(wǎng)絡(luò)侵權(quán)、網(wǎng)絡(luò)犯罪的事件時有發(fā)生，甚至超過了傳統(tǒng)法律法規(guī)的管轄范圍。網(wǎng)絡(luò)的開放性使得讀者無序地進(jìn)行網(wǎng)絡(luò)信息交流，隨之面臨的將是網(wǎng)絡(luò)版權(quán)保護(hù)問題。雖然數(shù)字化的網(wǎng)絡(luò)信息資源使用便捷，但部分授權(quán)內(nèi)容若未經(jīng)過著作權(quán)人的同意而被濫用也成為圖書館數(shù)字化進(jìn)程中信息不安全管理因素的一部分，建立健全法律法規(guī)已經(jīng)刻不容緩。

三、圖書館網(wǎng)絡(luò)信息安全問題的解決策略

1.建立嚴(yán)格的安全管理制度

（1）加強(qiáng)安全教育，提高圖書館工作人員及讀者的安全意識 網(wǎng)絡(luò)信息安全意識不僅僅是圖書館管理人員和技術(shù)人員應(yīng)該關(guān)注的事情，圖書館所有的工作人員都要加強(qiáng)安全意識培訓(xùn)，對用戶的要求也要制定使用規(guī)范。首先，要定期舉辦加強(qiáng)工作人員和用戶信息安全意識的教育培訓(xùn)，學(xué)習(xí)相關(guān)安全防護(hù)知識，增強(qiáng)工作人員的工作效率，培養(yǎng)用戶的使用技能，糾正習(xí)慣性錯誤，還要加強(qiáng)大家對信息的保密教育，同圖書館簽署信息保密協(xié)議，增強(qiáng)大家的責(zé)任心。其次，加大圖書館信息安全宣傳力度，組織交流活動，發(fā)揮圖書館的主動性，調(diào)動用戶對信息的防護(hù)意識，成立緊急信息不安全事件自救小組，開展對存在及預(yù)測實(shí)例研討會，加強(qiáng)對緊急信息不安全事件的處理能力，緩解由于各種因素造成的信息不安全的破壞程度，減輕補(bǔ)救難度。再次，要加強(qiáng)圖書館各部門、管理人員與工作人員、圖書館與用戶之間的監(jiān)督與牽制，采取獎懲措施，進(jìn)一步提高圖書館工作人員與用戶的信息資源安全意識[6］。

（2）健全法律法規(guī)，形成信息安全制度保障 網(wǎng)絡(luò)信息安全不僅僅依靠工作人員和用戶個人的道德修養(yǎng)進(jìn)行維護(hù)，還要制定相應(yīng)的法律法規(guī)進(jìn)行規(guī)范[7］。主要體現(xiàn)在：第一，保護(hù)用戶個人隱私。2012年，我國第一部圖書館專門法《中華人民共和國公共圖書館法》已進(jìn)入征求意見階段，其中就明確提出對讀者的個人隱私進(jìn)行保護(hù)。相對于國外而言，我國的圖書館保密政策尚處在初級階段，需要盡快制定相關(guān)法律政策，強(qiáng)化對個人隱私的保護(hù)。第二，對著作權(quán)人知識產(chǎn)權(quán)的保護(hù)。我國《司法解釋》第2條中規(guī)定：“受著作權(quán)法保護(hù)的作品，包括著作權(quán)法第三條規(guī)定的各類作品的數(shù)字化形式。在網(wǎng)絡(luò)環(huán)境下無法歸于著作權(quán)法第三條列舉的作品范圍，但在文學(xué)、藝術(shù)和科學(xué)領(lǐng)域內(nèi)具有獨(dú)創(chuàng)性并能以某種有形形式復(fù)制的其他智力創(chuàng)作成果，人民法院應(yīng)當(dāng)予以保護(hù)?！钡谌?，懲治網(wǎng)絡(luò)犯罪。我國針對網(wǎng)絡(luò)犯罪的規(guī)范框架已經(jīng)基本形成，2012年12月24日十一屆全國人大常委會第三十次會議審議了《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定（草案）》的議案。草案突出強(qiáng)調(diào)國家保護(hù)能夠識別公民個人身份和涉及公民個人隱私的電子信息。與其他犯罪相比，我國對網(wǎng)絡(luò)犯罪規(guī)定的法定刑相對偏輕，需要進(jìn)一步完善，并加大懲處力度?？傊?，制定相關(guān)網(wǎng)絡(luò)信息安全的法律法規(guī)政策，可以幫助圖書館對用戶進(jìn)行信息保密，保護(hù)著作者的知識產(chǎn)權(quán)，懲治網(wǎng)絡(luò)犯罪行為，完善圖書館信息安全保障體系，塑造良好的社會形象，促進(jìn)圖書館自身的和諧健康發(fā)展。

（3）培養(yǎng)專業(yè)人才，提供信息安全技術(shù)支持 圖書館信息含量大，覆蓋范圍廣，其不僅要保護(hù)文化遺產(chǎn)，還要對科學(xué)文化知識進(jìn)行普及，服務(wù)于教育科研工作，社會影響力極強(qiáng)。隨著網(wǎng)絡(luò)進(jìn)程步伐的加快，對圖書館網(wǎng)絡(luò)技術(shù)人才的要求也越來越高。專業(yè)人才的職業(yè)技能與個人素質(zhì)直接體現(xiàn)了圖書館網(wǎng)絡(luò)信息資源的安全程度。在具備相關(guān)基礎(chǔ)專業(yè)操作技術(shù)的基礎(chǔ)上，他們還需要隨著數(shù)字化過程的發(fā)展不斷地充電學(xué)習(xí)，積極參加圖書館信息安全知識培訓(xùn)，增強(qiáng)業(yè)務(wù)素質(zhì)與技能水平，并能夠充分地將所學(xué)的知識與技能運(yùn)用于實(shí)踐中，做到與時俱進(jìn)。這不僅僅是個人工作能力的體現(xiàn)，也是為讀者建設(shè)良好讀書環(huán)境的要求。因此，不管是公共圖書館還是高校圖書館，一定要培養(yǎng)高素質(zhì)、高業(yè)務(wù)能力的專門人才，并對他們進(jìn)行定期的、針對性的培訓(xùn)，打造屬于自己的安全隊(duì)伍[8］。

2.制定縝密的技術(shù)防范策略

（1）使用安全性網(wǎng)絡(luò)設(shè)備，加大機(jī)房環(huán)境的安全防護(hù)力度 我國的技術(shù)水平與管理機(jī)制一定程度上落后于發(fā)達(dá)國家，在引進(jìn)外國先進(jìn)設(shè)備時由于對產(chǎn)品的認(rèn)識不夠，很容易造成系統(tǒng)安全隱患，還要花費(fèi)大量的精力與金錢去研究或聘請外國專家進(jìn)行檢測與改進(jìn)，這不是提高網(wǎng)絡(luò)設(shè)備安全的良好措施。在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，我們要根據(jù)自身安全需求，開發(fā)自己的網(wǎng)絡(luò)軟硬件配置，同時吸收外國可利用的先進(jìn)技術(shù)，減少系統(tǒng)漏洞與缺陷的產(chǎn)生。此外，對于計算機(jī)工作環(huán)境也要做到合理設(shè)計，要有適宜的機(jī)房溫度、濕度，保持環(huán)境的清潔，要有抗靜電、電磁波等干擾的能力，還要有防火防水等的設(shè)施設(shè)備。計算機(jī)軟硬件及工作環(huán)境是信息安全的最基本保證，只有使用安全性的網(wǎng)絡(luò)設(shè)備，建設(shè)舒適的機(jī)房環(huán)境，才能從根本上減少網(wǎng)絡(luò)信息不安全因子[9］。

（2）堅(jiān)固防火墻技術(shù)，加強(qiáng)病毒防范 防火墻技術(shù)是目前使用比較廣泛的網(wǎng)絡(luò)信息過濾技術(shù)，它是內(nèi)網(wǎng)和外網(wǎng)之間的保護(hù)層，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的信息連接需要經(jīng)過它的檢查與審核才能決定是否傳輸，能夠阻止非法信息的干擾，是網(wǎng)絡(luò)信息傳遞與訪問的監(jiān)督者。網(wǎng)絡(luò)信息的廣泛傳播與病毒的入侵是相輔相成的，目前對病毒的防御還是我國網(wǎng)絡(luò)建設(shè)中比較薄弱的環(huán)節(jié)。建立服務(wù)器與用戶防御病毒體系，設(shè)置專門病毒隔離區(qū)域，定期對防火墻技術(shù)與病毒系統(tǒng)進(jìn)行升級，能夠增強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)對病毒的防范能力。此外，還要及時關(guān)注最新病毒情況并進(jìn)行有效抵御，防止病毒進(jìn)行深層次的毒害，保護(hù)網(wǎng)絡(luò)信息資源安全[10］。

（3）應(yīng)用操作權(quán)限管理平臺，規(guī)范用戶訪問控制 對于圖書館領(lǐng)域來說，目前相對成熟的權(quán)限管理與控制技術(shù)是PMI（Privilege Management Infrastructure）即特權(quán)管理基礎(chǔ)設(shè)施，該技術(shù)是以PKI體系為基礎(chǔ)，基于屬性證書（AC），向用戶提供相關(guān)的授權(quán)服務(wù)，并及時進(jìn)行權(quán)限驗(yàn)證的授權(quán)管理平臺。通過單點(diǎn)登錄的統(tǒng)一身份認(rèn)證與PMI權(quán)限控制技術(shù)，能夠根據(jù)不同用戶的層級對應(yīng)地設(shè)置不同的資源層級訪問權(quán)限，二者形成匹配性，從而嚴(yán)格控制用戶對資源的訪問，以有效地保證數(shù)據(jù)與服務(wù)安全[11］。因此，圖書館可充分運(yùn)用這一技術(shù)加強(qiáng)權(quán)限管理，一方面可以加強(qiáng)對管理人員的培訓(xùn)，提升操作技能，做好日常的數(shù)據(jù)維護(hù)工作；另一方面，可以根據(jù)用戶對信息需求的不同來劃分級別，并對其授予相應(yīng)訪問級別的權(quán)限，使被授權(quán)的用戶依據(jù)單點(diǎn)登錄進(jìn)行身份認(rèn)證，認(rèn)證有效后方能允許訪問相關(guān)資源，確保從用戶端進(jìn)行信息安全防范。

（4）引入“下一代安全”，提升圖書館安全等級 “下一代安全”是以“智能安全”為核心，兼具高性能、應(yīng)用感知以及虛擬化支持，對未知威脅和新攻擊形態(tài)實(shí)行有效防護(hù)的安全解決方案。其特點(diǎn)主要表現(xiàn)為統(tǒng)一平臺及協(xié)同機(jī)制、性能更加強(qiáng)勁、應(yīng)用感知與逃逸防護(hù)、第一時間快速服務(wù)。邁克菲安全專家指出“下一代安全應(yīng)該是所有線路的集合、應(yīng)該具有動態(tài)的、自適應(yīng)的和不斷演化的特性，它需要具備高性能，同時支持虛擬化環(huán)境防護(hù)的部署?！碑?dāng)前，國內(nèi)圖書館由于規(guī)模及自身性質(zhì)等原因，普遍存在對新安全技術(shù)的重視不足、安全意識薄弱等問題，已經(jīng)不能適應(yīng)形勢發(fā)展的需要。這就需要在所采用的傳統(tǒng)安全產(chǎn)品的基礎(chǔ)上，引入和掌握諸如“下一代安全”等最新的安全技術(shù)，逐步提升圖書館的安全等級，從根本上確保圖書館信息安全，滿足客戶對當(dāng)前的安全形勢的要求。

[1]袁 梅.復(fù)合型圖書館信息安全及策略[J］.現(xiàn)代情報，2005，（6）：19－21.

[2]李 媛.近五年來數(shù)字圖書館信息安全問題研究綜述[J］.圖書館學(xué)研究，2005，（12）：11－15.

[3]張媛媛，王勝利.論高校圖書館網(wǎng)絡(luò)信息安全與防御體系構(gòu)建[J］.科技情報開發(fā)與經(jīng)濟(jì)，2007，（18）：58－59.

[4]全球首個計算機(jī)病毒已40歲[EB／OL］.（2011－03－18）[2013－12－12］.http：／／net security.51cto.com.

[5]李 昕.論圖書館的網(wǎng)絡(luò)信息安全[J］.農(nóng)業(yè)圖書情報學(xué)刊，2005，（8）：98－101.

[6]高紅燕.高校圖書館安全防護(hù)工作中的問題及對策[J］.科技信息，2013，（4）：486－487.

[7]劉 超.數(shù)字圖書館的信息安全分析[J］.現(xiàn)代情報，2009，（6）：72－75.

[8]夏 亮.公共圖書館人才培養(yǎng)建設(shè)之淺見——關(guān)于太原市圖書館人才培養(yǎng)的思考[J］.科技情報開發(fā)與經(jīng)濟(jì)，2011，（30）：90－93.

[9]趙 巍.淺談圖書館信息安全[J］.法律文獻(xiàn)信息與研究，2008，（2）：67－69.

[10]周威平.圖書館信息安全管理架構(gòu)與實(shí)踐[J］.高校圖書館工作，2010，（5）：70－73.

[11]王長全，艾雨分，姚建文.云計算環(huán)境下數(shù)字圖書館信息資源安全策略研究[J］.情報雜志，2010，（3）：184－186.