數(shù)字化圖書館信息安全問題及對策探析

摘 要 隨著信息時(shí)代的到來，數(shù)字化圖書館受到越來越多的信息安全方面的威脅，而訪問控制技術(shù)、防火墻技術(shù)等能夠保證系統(tǒng)網(wǎng)絡(luò)資源不被非法使用和訪問，是一種解決圖書館管理系統(tǒng)資源的信息安全問題的有效途徑。本文首先分析了數(shù)字化圖書館所面臨的信息安全問題，然后給出了如何使用訪問控制技術(shù)、防火墻技術(shù)、病毒防范技術(shù)等應(yīng)對這些信息安全問題的措施。

關(guān)鍵詞 信息安全 圖書館 訪問控制技術(shù)

一、引言

近年來，隨著互聯(lián)網(wǎng)的發(fā)展而出現(xiàn)的信息安全事件屢見不鮮。例如，2017年3月，由于58同城招聘網(wǎng)對求職者簡歷毫無防護(hù)，平臺存在多個(gè)漏洞，黑客通過采集工具就能輕易獲取后臺數(shù)據(jù)。甚至有商家在網(wǎng)上出售700元一套的爬蟲軟件，可采集全國430多個(gè)城市的464個(gè)職業(yè)的簡歷數(shù)據(jù)，求職者的個(gè)人信息可能遭到不法分子的利用。這種信息安全問題對于依托計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)的數(shù)字化圖書館同樣存在。

隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，以及國家對信息高速公路的建設(shè)為大規(guī)模的圖書館系統(tǒng)、信息管理系統(tǒng)的發(fā)展提供了有利條件和環(huán)境，數(shù)字化圖書館就是在此背景下應(yīng)運(yùn)而生。相對于傳統(tǒng)的圖書館，數(shù)字化圖書館具有工作效率高、存儲信息量大、圖書信息檢索快等特點(diǎn)。數(shù)字圖書館以計(jì)算機(jī)網(wǎng)絡(luò)和高性能計(jì)算機(jī)設(shè)備、存儲設(shè)備為基礎(chǔ)，因此能向讀者和用戶提供比傳統(tǒng)圖書館更廣泛、更便捷、更先進(jìn)的服務(wù)，并且從根本上改變了人們獲取信息、使用信息的方法。從文獻(xiàn)存儲上看，傳統(tǒng)圖書館的館藏載體主要是紙質(zhì)文獻(xiàn)，在查詢紙質(zhì)文獻(xiàn)的時(shí)候需要耗費(fèi)大量的人力。與之相比，數(shù)字圖書館對藏書載體在大容量的存儲介質(zhì)上（如磁盤、磁帶、光盤等），而且存儲的信息類型全面（如書目信息、全文信息、圖像、音頻、視頻等），因而使得數(shù)字圖書館所能收藏的書刊等資料的數(shù)量沒有空間制約。從檢索方式上看，用傳統(tǒng)的檢索方法，讀者往往要在眾多的紙質(zhì)材料中花費(fèi)不少的時(shí)間去查找自己想要的東西，十分不便。而數(shù)字化圖書館借助圖書管理系統(tǒng)，讀者能以毫秒級別檢索到自己想要的文獻(xiàn)等信息。數(shù)字化圖書館在給我們帶來便捷的同時(shí)，信息安全問題也是我們需要考慮的。

圖書館信息安全問題引起了學(xué)者的關(guān)注。劉超（2009）分析了數(shù)字圖書館的信息安全現(xiàn)狀，就數(shù)字圖書館出現(xiàn)的信息安全問題，提出加強(qiáng)圖書館信息安全的相關(guān)對策。[1]王長全（2010）認(rèn)為應(yīng)采用技術(shù)手段、統(tǒng)一身份認(rèn)證、嚴(yán)格控制訪問權(quán)限、加快信息安全基礎(chǔ)設(shè)施建設(shè)、制定相關(guān)標(biāo)準(zhǔn)及政策法規(guī)等措施，來解決云計(jì)算時(shí)代數(shù)字圖書館的信息安全問題。[2]劉艷君（2015）闡述了圖書館用戶數(shù)據(jù)泄露、計(jì)算機(jī)病毒入侵以及黑客惡意攻擊及版權(quán)歸屬等信息安全問題，提出了加強(qiáng)網(wǎng)絡(luò)環(huán)境下圖書館信息安全建設(shè)措施。[3]曾子明等（2017）構(gòu)建了智慧圖書館MVS服務(wù)模型，并提出了智慧圖書館基于ROI定位、語義鴻溝和情境融合的MVS技術(shù)框架。[4]但這些研究并沒有就圖書館的訪問控制安全問題進(jìn)行深入研究，因此，本文針對數(shù)字圖書館的訪問控制安全問題，提出從訪問控制機(jī)制、防火墻技術(shù)、病毒防范技術(shù)、檢測技術(shù)這四個(gè)方面加強(qiáng)數(shù)字化圖書館的信息安全建設(shè)。

二、數(shù)字圖書館訪問控制安全面臨的問題

（一）圖書館數(shù)據(jù)安全問題

圖書館的數(shù)據(jù)信息主要存儲在數(shù)據(jù)庫中，不僅包括文獻(xiàn)、圖書、期刊等數(shù)據(jù)，用戶的身份信息也存儲在數(shù)據(jù)庫中。由于數(shù)據(jù)庫支持查詢、插入、刪除、更新等操作，而且存儲的數(shù)據(jù)量大、時(shí)間長等，其成為不法分子攻擊的主要目標(biāo)。數(shù)據(jù)庫受到的攻擊方式主要有基于WEB的SQL注入攻擊、合法的用戶執(zhí)行違規(guī)操作、統(tǒng)計(jì)分析攻擊等。攻擊者通過WEB的SQL注入對數(shù)據(jù)庫的攻擊可以獲取用戶的基本信息和身份信息、圖書館館藏信息。而合法用戶的違規(guī)操作就是一種訪問控制安全問題，用戶的違規(guī)操作會對數(shù)據(jù)進(jìn)行插入、刪除、更新等，使圖書館相關(guān)信息丟失或者與原信息不相匹配。

（二）人為惡意攻擊問題

黑客利用系統(tǒng)漏洞獲取信息和植入病毒，破壞圖書館管理系統(tǒng)。其中就有拒絕服務(wù)攻擊（分布式DOS攻擊），[5]它是使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用系統(tǒng)、帶寬資源，致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。數(shù)字化圖書館很容易遭到拒絕服務(wù)的攻擊，首先攻擊者通過各種手段入侵一批電腦，然后在電腦中安裝一個(gè)特殊指令來控制進(jìn)程，最后攻擊者通過遠(yuǎn)程控制這批電腦不斷對圖書館服務(wù)器發(fā)送訪問服務(wù)，由于某一時(shí)間段內(nèi)訪問服務(wù)器的計(jì)算機(jī)數(shù)量過多，互聯(lián)網(wǎng)和圖書館局域網(wǎng)之間的帶寬的大量消耗不僅影響服務(wù)器，而且也會影響局域網(wǎng)中其他電腦。如果攻擊的規(guī)模很大，還能導(dǎo)致服務(wù)器癱瘓，影響巨大。

（三）計(jì)算機(jī)病毒的侵?jǐn)_

計(jì)算機(jī)病毒是指在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，并自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒有傳染性、非授權(quán)性、隱蔽性、破壞性、不可預(yù)見性等特點(diǎn)，常見的計(jì)算機(jī)網(wǎng)絡(luò)病毒有：蠕蟲病毒、核心大戰(zhàn)病毒（Zombie）、邏輯炸彈病毒、特洛伊木馬病毒、陷阱（后門）等。圖書館是一個(gè)公共部門，合法用戶均可訪問圖書館系統(tǒng)，而用戶的有意或無意操作可能導(dǎo)致圖書館系統(tǒng)感染到計(jì)算機(jī)病毒。病毒會對圖書館的計(jì)算機(jī)系統(tǒng)造成嚴(yán)重的破壞，其表現(xiàn)為：一是破壞文件，病毒破壞文件的方式主要包括重命名、刪除、替換內(nèi)容、顛倒或復(fù)制內(nèi)容、丟失部分程序代碼、寫入時(shí)間空白、分割或假冒文件、丟失文件簇和丟失數(shù)據(jù)文件等，受到病毒破壞的文件如果不及時(shí)殺毒將不能使用。二是占用計(jì)算機(jī)資源，病毒在電腦中一旦被激活就會不停地運(yùn)行，占用電腦大量的系統(tǒng)資源，使電腦的運(yùn)行速度明顯減慢。三是破壞硬盤，電腦病毒攻擊硬盤的主要表現(xiàn)包括破壞硬盤中存儲的數(shù)據(jù)、不讀/寫盤、交換操作和不完全寫盤等。四是破壞系統(tǒng)數(shù)據(jù)區(qū)，由于硬盤的數(shù)據(jù)區(qū)中保存了很多的文件及重要數(shù)據(jù)，電腦病毒對其進(jìn)行破壞通常會引起毀滅性的后果。病毒主要攻擊的是硬盤主引導(dǎo)扇區(qū)、BOOT扇區(qū)、FAT表和文件目錄等區(qū)域，這些位置被病毒破壞后只能通過專業(yè)的數(shù)據(jù)恢復(fù)來還原數(shù)據(jù)。

三、解決數(shù)字圖書館信息安全問題的措施

（一）健全訪問控制機(jī)制

訪問控制（Access Control）指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。[6]訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，主要功能是保證網(wǎng)絡(luò)資源不被非法使用和訪問。

訪問控制技術(shù)能夠?qū)D書館中網(wǎng)絡(luò)的非法操作采取安全保護(hù)措施。訪問控制技術(shù)會賦予數(shù)字圖書館用戶和用戶組一定的權(quán)限，并控制圖書館用戶和用戶組在某段時(shí)間內(nèi)可以訪問哪些目錄、文件和其他資源，還可以指定圖書館的用戶有哪些權(quán)限對這些文件、目錄、設(shè)備執(zhí)行操作。這能夠有效防止普通管理員和用戶對圖書館系統(tǒng)進(jìn)行非法操作，如普通管理員有權(quán)限刪除圖書信息，普通用戶能夠?qū)?shù)據(jù)庫的數(shù)據(jù)條目進(jìn)行修改等。

（二）設(shè)立網(wǎng)絡(luò)防火墻

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，它可以在安全可信的內(nèi)部網(wǎng)和不安全可信的外部網(wǎng)之間構(gòu)成一道防御墻，阻擋外部不安全的環(huán)境威脅內(nèi)部網(wǎng)絡(luò)安全。

防火墻功能強(qiáng)大，能提供一個(gè)監(jiān)視各種安全事件的位置，因此可以在防火墻上實(shí)現(xiàn)審計(jì)和報(bào)警。對于有些Internet功能，防火墻也可以是一個(gè)理想的平臺，包括地址轉(zhuǎn)換、Internet日志、審計(jì)，甚至計(jì)費(fèi)功能。除了以上功能外，防火墻提供安全決策的集中控制點(diǎn)，使所有進(jìn)出網(wǎng)絡(luò)的信息都通過這個(gè)檢查點(diǎn)，形成信息進(jìn)出網(wǎng)絡(luò)的一道關(guān)口。也就是說，防火墻不僅能夠屏蔽內(nèi)部網(wǎng)的結(jié)構(gòu)，而且還能限制內(nèi)部用戶訪問特殊站點(diǎn)。建立防火墻能有效抵制數(shù)字圖書館遭遇外部網(wǎng)絡(luò)的威脅，并且能阻止內(nèi)部人員訪問危險(xiǎn)網(wǎng)站使圖書館系統(tǒng)受到病毒的攻擊。

（三）利用病毒防范技術(shù)

網(wǎng)絡(luò)上對病毒的防范技術(shù)有四點(diǎn)：一是預(yù)防病毒技術(shù)。在第一時(shí)間阻止病毒進(jìn)入系統(tǒng)，但一般來說不可能實(shí)現(xiàn)。二是病毒檢測技術(shù)。如果系統(tǒng)被病毒感染，就立即檢測出病毒的存在并對其進(jìn)行精準(zhǔn)定位。三是病毒鑒別技術(shù)。檢測到病毒的存在后，辨別該病毒的具體類型。四是病毒消除技術(shù)。在確定病毒的類型后，從受染文件中刪除所有病毒并恢復(fù)程序正常狀態(tài)。清除被感染系統(tǒng)中的所有病毒的目的是阻止病毒的進(jìn)一步傳染。

如果對病毒檢測成功但鑒別或清除失敗，則必須刪除受感染文件并重新裝入無毒文件的備份。針對各種計(jì)算機(jī)病毒，圖書館管理員需要做的有：一是安裝防病毒軟件，及時(shí)更新病毒庫；二是對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；三是加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；四是不輕易打開不明的電子郵件及其附件；五是避免在無防毒軟件的機(jī)器上使用可移動磁盤；六是關(guān)閉不必要的計(jì)算機(jī)端口。

（四）使用入侵檢測技術(shù)

入侵檢測（Intrusion Detection）是指主動保護(hù)系統(tǒng)免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，不僅拓展了系統(tǒng)管理員的安全管理能力，而且還提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。因此，入侵檢測作為系統(tǒng)動態(tài)安全的核心技術(shù)之一，是保障數(shù)字化圖書館信息安全的必要技術(shù)手段。

常見的入侵檢測步驟：一是信息收集。收集可靠、正確和完備的信息對入侵檢測十分必要。收集可靠信息的前提是確保收集這些信息的軟件工具的可靠性，防止軟件工具被篡改而收集到錯誤的信息。二是數(shù)據(jù)分析。這是入侵檢測系統(tǒng)的核心，分為異常入侵檢測和誤用入侵檢測兩類，它的效率直接決定了整個(gè)入侵檢測系統(tǒng)的性能。三是響應(yīng)。將數(shù)據(jù)分析結(jié)果記錄到日志文件中，并產(chǎn)生相應(yīng)的報(bào)告。四是觸發(fā)警報(bào)。可以在圖書館系統(tǒng)管理員的桌面上安裝一個(gè)警報(bào)系統(tǒng)，當(dāng)系統(tǒng)收到入侵信息時(shí)能及時(shí)通知管理員。

四、結(jié)語

面對信息安全問題，不僅需要加強(qiáng)圖書館館員的信息安全防范意識，更重要的是需要從技術(shù)上防范信息安全事故的發(fā)生，將管理和技術(shù)相結(jié)合才能有效解決數(shù)字化圖書館的信息安全問題。本文認(rèn)為數(shù)字化圖書館所面臨的訪問控制信息安全問題，主要集中在圖書館數(shù)據(jù)安全問題、人為惡意攻擊問題、計(jì)算機(jī)病毒的侵?jǐn)_等方面，并針對這些問題給出了如何使用訪問控制技術(shù)、防火墻技術(shù)、病毒防范技術(shù)等應(yīng)對策略。

（作者單位為黃岡師范學(xué)院圖書館）

[作者簡介：陳適（1973—），女，湖北黃石人，助理館員，研究方向：圖書情報(bào)。]

參考文獻(xiàn)

[1] 劉超.數(shù)字圖書館的信息安全分析[J].現(xiàn)代情報(bào)，2009，29（6）：72-75.

[2] 王長全.云計(jì)算時(shí)代的數(shù)字圖書館信息安全思考[J].圖書館建設(shè)，2010（1）：50-52.

[3] 劉艷君.試論網(wǎng)絡(luò)環(huán)境下圖書館的信息安全建設(shè)[J].圖書館工作研究，2015，25（15）：25-27.

[4] 曾子明，秦思琪.智慧圖書館移動視覺搜索服務(wù)及其技術(shù)框架研究[J].情報(bào)資料工作，2017（4）：61-67.

[5] 李禾，王述洋.拒絕服務(wù)攻擊/分布式拒絕服務(wù)攻擊防范技術(shù)的研究[J].中國安全科學(xué)學(xué)報(bào)，2009（01）：132-136.

[6] 賈鐵軍.網(wǎng)絡(luò)安全實(shí)用技術(shù)[M].清華大學(xué)出版社，2011.