劉 念

（西安建筑科技大學圖書館 陜西 西安 710055）

信息技術(shù)在圖書館的廣泛應(yīng)用，給圖書館信息資源的開發(fā)和利用帶來了諸多方便，各類信息技術(shù)日益成為圖書館服務(wù)的必要保障，也使信息安全問題變得十分突出。因此，信息技術(shù)環(huán)境下圖書館必須充分認識現(xiàn)代信息技術(shù)，尤其是信息網(wǎng)絡(luò)的發(fā)展對信息安全的影響，采取多種措施保障圖書館信息系統(tǒng)安全。

1 信息技術(shù)環(huán)境下圖書館服務(wù)的實現(xiàn)途徑

1.1 手機圖書館

手機圖書館系統(tǒng)是無線移動通信技術(shù)在圖書館領(lǐng)域的應(yīng)用，它可以很好地與數(shù)字圖書館業(yè)務(wù)管理系統(tǒng)相結(jié)合，并將數(shù)字圖書館的服務(wù)延伸到手機終端，把數(shù)字圖書館的讀者服務(wù)功能盡可能多的在手機上實現(xiàn)。手機圖書館最大的優(yōu)勢在于其訪問方便靈活，不受時間和空間限制，讀者可以隨時隨地訪問圖書館的資源。還可以按照個人喜好來定制各種信息服務(wù)，如綁定手機、短信提醒服務(wù)等個性化服務(wù)。讀者可以在數(shù)字圖書館業(yè)務(wù)系統(tǒng)的WEB網(wǎng)站設(shè)定與當前讀者相關(guān)聯(lián)的手機號，同時系統(tǒng)會發(fā)送自動生成的驗證碼到讀者手機，以確認讀者身份，完成手機號碼的綁定。

1.2 數(shù)字電視圖書館

數(shù)字電視的發(fā)展為信息技術(shù)服務(wù)的實現(xiàn)提供了良好的機遇。圖書館可以利用數(shù)字電視的交互功能開發(fā)相應(yīng)的接口，將數(shù)字圖書館與數(shù)字電視連接起來，用戶只要打開電視通過遙控器就可以享受數(shù)字圖書館的便利服務(wù)。如“國圖空間”是全球首家國家圖書館的數(shù)字電視應(yīng)用服務(wù)，現(xiàn)已覆蓋北京地區(qū)360余萬戶家庭，用戶足不出戶即可享受國家數(shù)字圖書館的資源和服務(wù)。服務(wù)內(nèi)容包括館況介紹、館內(nèi)動態(tài)、新書快遞、圖書續(xù)借等7個欄目，用戶可通過電視訪問圖書館的數(shù)字資源，完成圖書的檢索與續(xù)借，瀏覽文化共享工程的多媒體資源等。

1.3 圖書館聯(lián)盟

信息網(wǎng)絡(luò)技術(shù)為圖書館服務(wù)聯(lián)盟的實現(xiàn)提供了技術(shù)保障。通過組建圖書館服務(wù)聯(lián)盟可以充分發(fā)揮圖書館資源共建共享的整體優(yōu)勢。我國圖書館服務(wù)聯(lián)盟發(fā)展已初具規(guī)模，形成了全國性的、區(qū)域性的和專業(yè)性的圖書館聯(lián)盟。其主要的服務(wù)有文獻傳遞，館際互借等［1］。

2 信息技術(shù)環(huán)境下圖書館信息安全問題

信息技術(shù)環(huán)境下圖書館的信息服務(wù)具有基于網(wǎng)絡(luò)、開放獲取等顯著特點，其面臨的安全問題較之傳統(tǒng)圖書館更多，主要包括非法用戶通過網(wǎng)絡(luò)進行的網(wǎng)絡(luò)攻擊和開放獲取階段的版權(quán)管理問題。

2.1 用戶數(shù)據(jù)及身份的保密性、泄露風險

用戶在使用圖書館檢索終端進行咨詢時，需要一定的身份注冊和驗證，往往會產(chǎn)生Cookie數(shù)據(jù)，記錄下用戶的檢索歷史等信息，這便涉及到用戶的身份及隱私。如果黑客等一些非授權(quán)訪問的主體利用自己的計算機技能實施入侵系統(tǒng)，破壞系統(tǒng)，或者一些不法分子將用戶的數(shù)據(jù)隱私記錄或分析后盜賣給他人，使用戶的操作信息、獲取資料、賬號密碼等個人信息外泄。圖書館的信息安全將會遭到破壞。

2.2 開放端口風險

圖書館的數(shù)字化信息通常是以Web站點的形式對外開放服務(wù)的，因此必須開放一些服務(wù)端口，同時系統(tǒng)的服務(wù)器一般存放在專門的服務(wù)器中心，管理人員需要對服務(wù)器進行操作基本都會采取遠程控制等手段，也必須開放一些服務(wù)端口和訪問權(quán)限，而在進行這些正常數(shù)據(jù)交換時，數(shù)據(jù)信息可能被中間者跟蹤、破解，造成安全威脅［2］。

2.3 身份認證風險

服務(wù)器系統(tǒng)登錄和主機登錄一般都是使用固定口令，甚至有時候很多人都是用同一種口令，如有的系統(tǒng)就一直使用默認的用戶名及密碼，如admin等，且在數(shù)據(jù)庫中有存儲記錄，可重復(fù)使用。這樣非法用戶通過窮舉攻擊等手段往往很容易得到這種靜態(tài)口令，可對資源的安全造成嚴重威脅［3］。

2.4 館藏文獻的數(shù)字化和提供帶來的風險

隨著圖書館聯(lián)盟的推廣，數(shù)字圖書館檢索平臺可以幫助用戶進行瀏覽、查詢、文獻請求，下載乃至上載文獻，即館藏文獻數(shù)字化。這些平臺的建設(shè)與維護存在著知識產(chǎn)權(quán)和版權(quán)的風險。比如館際互借和文獻傳遞，在館際互借和文獻傳遞之前，一般會發(fā)生復(fù)制行為。如數(shù)字化、錄入、掃描等，之后再向用戶傳遞。那么這些資源的版權(quán)將受到威脅。

3 信息技術(shù)環(huán)境下圖書館信息安全問題對策

針對信息技術(shù)環(huán)境下圖書館的安全問題，需要分別從技術(shù)、運行、管理等3個方面提出解決對策，如圖1所示。

圖1 信息技術(shù)環(huán)境下圖書館安全保障

3.1 數(shù)據(jù)安全問題對策

3.1.1 提高數(shù)據(jù)安全技術(shù)

（1）身份認證技術(shù)。隨著智能手機和平板電腦等移動終端的廣泛流行，手機等移動終端登陸圖書館是泛在圖書館實現(xiàn)的重要途徑之一?？刹扇《绦琶艽a的形式，當用戶登錄圖書館資源時，身份認證系統(tǒng)以短信形式發(fā)送隨機的6位密碼到用戶的手機上。用戶在登錄認證時候輸入此動態(tài)密碼，從而確保系統(tǒng)身份認證的安全性。由于手機與用戶綁定比較緊密，短信密碼生成與使用場景是物理隔絕的，因此密碼在通路上被截取幾率降至最低。

（2）防火墻技術(shù)。防火墻具有很好的保護作用。首先，入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。其次，防火墻還可以關(guān)閉不使用的端口，而且還能禁止特定端口流出通信，封鎖特洛伊木馬。第三，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

（3）入侵檢測與系統(tǒng)審計技術(shù)。通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。在發(fā)現(xiàn)入侵后會及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。對互聯(lián)網(wǎng)進行有效監(jiān)督，預(yù)防、制止數(shù)據(jù)泄密。

（4）加密技術(shù)。用加密來保護信息。利用密碼變換將明文變換成只有合法者才能恢復(fù)的密文，在信息傳輸過程中加密。

3.1.2 運行控制

（1）訪問控制。按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。防止非法的主體進入受保護的網(wǎng)絡(luò)資源，允許合法用戶訪問受保護的網(wǎng)絡(luò)資源，并阻止用戶對非授權(quán)網(wǎng)絡(luò)資源進行訪問。

（2）數(shù)據(jù)備份與容災(zāi)。將海量數(shù)據(jù)以某種方式保存，當數(shù)據(jù)遭到破壞時，可迅速恢復(fù)，重新加以利用［4］。

3.1.3 加強管理

（1）安全管理制度。信息技術(shù)環(huán)境下圖書館安全管理制度是系統(tǒng)管理的一個重要內(nèi)容，是保障系統(tǒng)按照目標運行、效益最大化的必要條件和保障措施。安全管理制度必須建立圖書館運行的安全管理組織和系統(tǒng)安全等級，制定嚴格的技術(shù)文件管理制度、規(guī)范的系統(tǒng)操作程序，針對系統(tǒng)運行可能遇到的故障、災(zāi)難和攻擊，建立完善的系統(tǒng)運行災(zāi)備制度和審計制度。

（2）授權(quán)管理。在信息技術(shù)環(huán)境中，用戶權(quán)限的分配必須遵循“最小特權(quán)”原則。最小特權(quán)原則要求信息系統(tǒng)中每個用戶所必須的最小特權(quán)，確?？赡苡墒鹿?、錯誤、系統(tǒng)部件的篡改等原因造成的損失最?。?］。

（3）角色管理。信息技術(shù)環(huán)境條下，用戶可以運用各類工具訪問數(shù)據(jù)資源和設(shè)備資源，因此識別資源使用者的角色，及時發(fā)現(xiàn)混淆在正常用戶中的非授權(quán)者和黑客也變得更加重要，這一任務(wù)的技術(shù)難度也不斷提高。信息技術(shù)環(huán)境下的角色管理，訪問工具差異很大，安全管理人員不能籠統(tǒng)定義用戶角色，而應(yīng)針對各類訪問工具的特征進行角色定義，并分析工具之間的差異，明晰角色之間的對應(yīng)關(guān)系，對用戶角色集合劃分同類項，依據(jù)同類項定義角色管理策略。

（4）安全培訓。圖書館應(yīng)根據(jù)涉及的業(yè)務(wù)范圍，分別對管理層、系統(tǒng)管理員和使用者進行信息安全的教育培訓。培訓內(nèi)容主要包括：安全意識和法律意識的培養(yǎng)、泛在圖書館正確使用的程序培訓、系統(tǒng)災(zāi)備程序培訓、系統(tǒng)審計制度的培訓［6］。

3.2 知識產(chǎn)權(quán)風險問題對策

如何避免圖書館聯(lián)盟后圖書館服務(wù)模式中知識產(chǎn)權(quán)的風險，如文獻傳遞，館際互借所帶來的版權(quán)問題。應(yīng)采取如下措施：（1）將文獻傳遞控制在合理的使用范圍內(nèi)。對文獻的傳遞，要限定在著作權(quán)法規(guī)定的范圍內(nèi)，文獻傳遞的承擔人有義務(wù)提醒其服務(wù)對象不能將傳輸?shù)奈墨I用于商業(yè)目的，只能用于個人學習，研究的目的。（2）各高校圖書館應(yīng)制定自己的館際互借版權(quán)政策（多個圖書館聯(lián)合制定的），在政策允許的前提下進行館際互借。

4 結(jié)束語

目前，信息技術(shù)環(huán)境下的圖書館服務(wù)模式創(chuàng)新取得了一些成績，信息安全管理是服務(wù)模式創(chuàng)新的關(guān)鍵影響因素。本文分析了信息技術(shù)環(huán)境下圖書館運行中存在的新安全問題，并分別從技術(shù)、運行、管理、版權(quán)等4個層面重點論述了破解這些問題、實現(xiàn)新型圖書館服務(wù)模式高效運行的策略和舉措。希望這些信息安全技術(shù)及管理策略能起到“拋磚引玉”的作用，引發(fā)國內(nèi)各圖書館信息管理者關(guān)注信息技術(shù)環(huán)境，思考和討論新技術(shù)環(huán)境和服務(wù)模式下圖書館安全管理問題，推動圖書館安全管理的實踐工作創(chuàng)新，實現(xiàn)科學發(fā)展、高效安全的圖書館用戶服務(wù)。

［1］申彥舒.國內(nèi)泛在圖書館建設(shè)現(xiàn)狀調(diào)查研究［J］.四川圖書館學報，2012，（5）：40－43.

［2］鄭慶勝.數(shù)字圖書館網(wǎng)絡(luò)系統(tǒng)安全與數(shù)據(jù)安全問題探討［D］.導師：陳佩華.湘潭大學，2004：33－40.

［3］駱永成.數(shù)字圖書館敏感數(shù)據(jù)匿名發(fā)布若干關(guān)鍵技術(shù)研究［D］.導師：樂嘉錦.東華大學，2011：2－3.

［4］高萬斌.圖書館數(shù)字化信息的安全保障策略研究［D］.導師：余世明.浙江工業(yè)大學，2012：20－25.

［5］Ben Mankin.The Formalisation of Protection Systems［D］.UK：University of Bath，2004.

［6］柳純錄.系統(tǒng)集成項目管理工程師教程［M］.北京：清華大學出版社，2009：452－453.