易炳明

摘 要：目前我國的大多數(shù)圖書館都邁向了數(shù)字化的時(shí)代，如何保障信息安全是數(shù)字化圖書館所要面臨的新的挑戰(zhàn)。通過建立數(shù)字化圖書館信息安全保障體系來保障讀者既可以充分使用圖書館的信息資源也可以充分的保證數(shù)字化圖書館的信息和網(wǎng)絡(luò)安全。建立數(shù)字化圖書館信息安全保障體系不是一個(gè)簡(jiǎn)單的程序而是一個(gè)復(fù)雜的系統(tǒng)工程，涉及的方面也有很多，比如組織管理、信息安全技術(shù)、安全基礎(chǔ)設(shè)施等，本文對(duì)數(shù)字化圖書館信息安全保障體系的建立進(jìn)行了探討。

關(guān)鍵詞：數(shù)字化圖書館；信息安全技術(shù)；信息安全保障

伴隨我國網(wǎng)絡(luò)技術(shù)的深入發(fā)展，我國圖書館領(lǐng)域也逐漸轉(zhuǎn)向了數(shù)字化、現(xiàn)代化的新時(shí)代，如何保障信息安全已經(jīng)成為數(shù)字化圖書館所要面臨的新的挑戰(zhàn)。新時(shí)代的圖書館信息安全保障和傳統(tǒng)方式的圖書館防偷、防盜存在著差異，傳統(tǒng)的圖書館可能只是丟幾本書，但是現(xiàn)代化圖書館丟掉的則是數(shù)據(jù)信息，嚴(yán)重時(shí)可能導(dǎo)致整個(gè)圖書館信息系統(tǒng)的癱瘓，所以一定要做好數(shù)字化圖書館的信息安全保障工作，盡快建立起安全保障體系。

1 信息安全發(fā)展的現(xiàn)狀

我國的信息安全正逐漸走向成熟，信息安全所經(jīng)歷的階段主要有三個(gè)節(jié)點(diǎn)：通信保密階段、計(jì)算機(jī)安全和信息安全階段、信息保障階段。

在20世紀(jì)40年代產(chǎn)生了通信保密階段，加密數(shù)據(jù)是這個(gè)階段的主要工作；從20世紀(jì)70年代起，保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件以及處理、存儲(chǔ)、傳輸信息的保密性成為了關(guān)注的重點(diǎn)，并在這個(gè)階段相關(guān)的技術(shù)得到了穩(wěn)定得到發(fā)展。

從20世紀(jì)90年代以來，鑒于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和通信技術(shù)的快速發(fā)展，大眾開始將關(guān)注的重點(diǎn)轉(zhuǎn)移到了信息本身，不再只是關(guān)注計(jì)算機(jī)的安全性，這個(gè)過程是質(zhì)的轉(zhuǎn)變，信息的關(guān)注主要體現(xiàn)在對(duì)信息存儲(chǔ)、處理、傳輸這個(gè)過程中的保護(hù)，保證它們不被非法入侵和更改，保證信息的安全。在這個(gè)階段既含有計(jì)算機(jī)安全也包括了信息安全，由于這兩者在時(shí)間上并沒有明確的界限，所以將這個(gè)階段稱為計(jì)算機(jī)安全和信息安全階段。

到目前為止，以美國為首的發(fā)達(dá)國家提出了“信息保障”的說法，即“保護(hù)和防御信息及信息系統(tǒng)的安全不受侵害，保證信息的安全性、完整性、保密性等。這意味著可以在信息系統(tǒng)中加入保護(hù)、檢測(cè)、反應(yīng)功能，并且提供了信息系統(tǒng)的恢復(fù)功能”，這個(gè)概念的提出標(biāo)志著信息安全進(jìn)入了信息安全保障階段。目前我國關(guān)于信息安全保障方面的研究還不是很深入，整體處于探索階段，但是已經(jīng)引起了國家有關(guān)領(lǐng)導(dǎo)人的高度重視。做好信息安全保障工作，推進(jìn)信息化進(jìn)程的發(fā)展，是建設(shè)信息安全保障體現(xiàn)的前提。

這幾年，我國圖書館數(shù)字化進(jìn)程發(fā)展的很快，但是目前的數(shù)字化圖書館在安全技術(shù)方面對(duì)信息安全的研究還不是很多，就信息安全技術(shù)這方面而言，信息安全保障系統(tǒng)還沒有建設(shè)完成。通過使用信息安全技術(shù)來分析和探究數(shù)字化圖書館的信息安全保障工作，為接下來的信息安全保障系統(tǒng)的研究打好基礎(chǔ)，盡可能的提高數(shù)字化圖書館的信息安全水平，切實(shí)做好數(shù)字化圖書館的信息安全保障工作，避免信息外泄，保護(hù)使用者的合法權(quán)益。

2 信息安全的要素和威脅

2.1 信息安全要素

構(gòu)成信息安全的要素通常具備機(jī)密性、完整性、可用性、可控性與可審查性這5個(gè)基本的要素。第一，機(jī)密性，要保證信息不泄露給未授權(quán)的用戶或者進(jìn)程；第二，完整性，只有經(jīng)過授權(quán)的用戶才能對(duì)數(shù)據(jù)進(jìn)行修改，并且可以檢測(cè)數(shù)據(jù)是不是已經(jīng)被修改；第三，可用性，經(jīng)過授權(quán)的用戶可以在需要的時(shí)候進(jìn)行數(shù)據(jù)訪問，攻擊者不可以占用所有的資源并且阻礙授權(quán)者的工作；第四，可控性，可以對(duì)授權(quán)范圍之內(nèi)的信息流向以及行為方式進(jìn)行控制，避免出現(xiàn)不可控現(xiàn)象的出現(xiàn)；第五，可審查性，當(dāng)網(wǎng)絡(luò)出現(xiàn)安全問題的時(shí)候，可以提供有利的調(diào)查依據(jù)和手段。

2.2 網(wǎng)絡(luò)存在的威脅

當(dāng)前網(wǎng)絡(luò)存在的威脅通常體現(xiàn)在以下幾個(gè)方面：第一，非授權(quán)訪問，沒有經(jīng)過同意，就使用網(wǎng)絡(luò)或著計(jì)算機(jī)資源這被看作是非授權(quán)訪問，比如故意避開系統(tǒng)的訪問控制機(jī)制，非正常使用網(wǎng)絡(luò)設(shè)備以及相關(guān)資源，此外有些用戶會(huì)擅自擴(kuò)大自己的使用權(quán)限，訪問一些未被授權(quán)的信息，主要有下面幾種方式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作等。第二，信息泄漏或著丟失，一般指具有敏感性質(zhì)的數(shù)據(jù)在有意或者無意的情況下被泄漏或者被丟失，主要表現(xiàn)在：在傳輸?shù)倪^程中，信息丟失或者泄漏；在存儲(chǔ)環(huán)節(jié)中，信息丟失或者泄漏，擅自搭建隱蔽隧道對(duì)敏感數(shù)據(jù)進(jìn)行盜取。第三，破壞信息完整性。通過使用不正當(dāng)?shù)氖侄蝸慝@取數(shù)據(jù)的使用權(quán)，并對(duì)數(shù)據(jù)進(jìn)行刪除、修改、插入等以實(shí)現(xiàn)不法者的目的；或者對(duì)數(shù)據(jù)進(jìn)行惡意添加，修改以妨礙用戶的正常使用。第四，拒絕服務(wù)攻擊。對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)通過持續(xù)的攻擊進(jìn)行干擾，對(duì)其合規(guī)的作業(yè)流程進(jìn)行干擾，肆意運(yùn)行無關(guān)的程序以致系統(tǒng)運(yùn)行減慢或者癱瘓，嚴(yán)重影響了用戶的正常使用。

3 研究的基本思路和方法

根據(jù)以上所提到的信息安全要素和威脅因素，對(duì)于提高信息安全技術(shù)水平，我們可以從以下幾個(gè)方面著手，加強(qiáng)研究數(shù)字化圖書館的信息安全保障系統(tǒng)。

第一，信息安全策略。在研究安全策略方面的時(shí)候，可以從數(shù)據(jù)的完整性、數(shù)據(jù)的真實(shí)性、數(shù)據(jù)的容易獲得性以及數(shù)據(jù)的安全性等方面進(jìn)行研究。第二，授權(quán)。明確指出哪些用戶是系統(tǒng)訪問的合法使用者，具體有哪些訪問權(quán)限。認(rèn)證的前提是授權(quán)，認(rèn)證的目的是為了驗(yàn)證授權(quán)。目前的系統(tǒng)中通常會(huì)設(shè)有角色這個(gè)概念，那些具備相對(duì)固定權(quán)限的用戶可以設(shè)置為一個(gè)角色。第三，身份認(rèn)證。當(dāng)使用者在訪問系統(tǒng)資源的時(shí)候，系統(tǒng)為了確保使用者的身份是不是真實(shí)的，這個(gè)過程就是認(rèn)證。第四，數(shù)字水印技術(shù)和指紋技術(shù)。隨著科技的發(fā)展，先進(jìn)的數(shù)字水印技術(shù)和指紋技術(shù)都可以對(duì)數(shù)字化著作版權(quán)進(jìn)行保護(hù)。在多媒體數(shù)據(jù)庫里保存那些數(shù)字、序列號(hào)、文字、圖像標(biāo)志等有關(guān)的信息這就是數(shù)字水印技術(shù)的核心內(nèi)容，它的目的是將文件信息和圖形來源等合法使用人擁有這些信息的使用權(quán)和有關(guān)權(quán)限來保護(hù)版權(quán)和數(shù)據(jù)文件的安全和真實(shí)；給被保護(hù)的作品賦予一個(gè)身份記號(hào)并且是唯一的這就是指紋技術(shù)的應(yīng)用原理，可以對(duì)不法拷貝行為進(jìn)行鑒別，倘若有兩個(gè)不同的作品且它們的指紋一樣，那么就可以斷定其中有一個(gè)是非法的拷貝。當(dāng)前的指紋技術(shù)所使用的大多是非對(duì)稱密碼體制，當(dāng)客戶買回一件作品的時(shí)候，還可以得到一些與指紋有關(guān)的信息，但是非法拷貝的用戶并不知道這件事，以明確的判斷哪一個(gè)才是合法合規(guī)的使用者。

經(jīng)過上面種種技術(shù)的分析，在最后對(duì)研究進(jìn)行整合，在這個(gè)過程中不僅要將種種的技術(shù)進(jìn)行整合，本質(zhì)上也是一個(gè)復(fù)雜的系統(tǒng)工程。各種信息安全技術(shù)經(jīng)過系統(tǒng)的工程進(jìn)行集合整理，最終實(shí)現(xiàn)效果的最佳，這樣可以給數(shù)字化圖書館信息安全保障體系的建立打下堅(jiān)實(shí)的理論基礎(chǔ)，給數(shù)字化圖書館安全保障體系管理系統(tǒng)的建設(shè)做好前期準(zhǔn)備。

4 結(jié)語

綜上所述，通過建立數(shù)字化圖書館信息安全保障體系來保障讀者既可以充分使用圖書館的信息資源也可以充分的保證數(shù)字化圖書館的信息和網(wǎng)絡(luò)安全。依據(jù)有關(guān)的信息安全保障體系概念，可以使用多種技術(shù)進(jìn)行信息安全的保護(hù)，比如授權(quán)訪問、認(rèn)證技術(shù)、數(shù)字水印技術(shù)等，給數(shù)字化圖書館安全保障體系管理系統(tǒng)的建設(shè)做好前期準(zhǔn)備。

參考文獻(xiàn)

[1]數(shù)字圖書館信息安全與容災(zāi)[J].胡風(fēng)娥，吳曉波.圖書館.2008（06）.

[2]數(shù)字化過程中圖書館數(shù)據(jù)信息安全問題研究[J].劉賽君，胡曉雯.圖書情報(bào)工作.2006（S1）.

[3]高校圖書館的信息安全問題研究[J].張學(xué)宏，張振圣.圖書情報(bào)工作.2006（S1）.endprint