謝鵬 沈楊芳

[摘 要] 隨著21世紀(jì)互聯(lián)網(wǎng)的迅猛發(fā)展，數(shù)字化圖書(shū)館也迎來(lái)了新的發(fā)展空間。無(wú)線局域網(wǎng)技術(shù)和數(shù)字化圖書(shū)館網(wǎng)絡(luò)軟硬件產(chǎn)品不斷成熟，再加上現(xiàn)有的數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全管理相對(duì)滯后，由此導(dǎo)致的諸多隱患和安全威脅盲點(diǎn)已成為數(shù)字化圖書(shū)館迫切需要改進(jìn)的方向。筆者以數(shù)字圖書(shū)館的常見(jiàn)安全問(wèn)題作為主要研究目的，試圖通過(guò)分析和研究數(shù)字圖書(shū)館的常見(jiàn)安全問(wèn)題，最終提出完善數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全管理的建議。

[關(guān)鍵詞] 數(shù)字圖書(shū)館 安全問(wèn)題 安全管理

中圖分類號(hào)：G250.76 文獻(xiàn)標(biāo)志碼：A

數(shù)字化圖書(shū)館是基于信息源與圖書(shū)館、讀者與圖書(shū)館之間的信息交流方式，是基于互聯(lián)網(wǎng)技術(shù)與圖書(shū)館自動(dòng)化發(fā)展的結(jié)合方式。國(guó)家政府大力扶持?jǐn)?shù)字圖書(shū)館建設(shè)，但同時(shí)因?yàn)閺?fù)雜的網(wǎng)絡(luò)問(wèn)題給中國(guó)的數(shù)字圖書(shū)館帶來(lái)了許多挑戰(zhàn)，尤其是數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全問(wèn)題，給許多圖書(shū)館和個(gè)人帶來(lái)很多威脅。近幾年，人們對(duì)信息安全的關(guān)注度越來(lái)越高，數(shù)字圖書(shū)館需要完善網(wǎng)絡(luò)安全管理。

一、數(shù)字圖書(shū)館的常見(jiàn)安全問(wèn)題

（一）數(shù)字化圖書(shū)館硬件漏洞

網(wǎng)卡（網(wǎng)絡(luò)適配器）、貓（調(diào)制解調(diào)器）、路由器三者在我國(guó)數(shù)字化圖書(shū)館發(fā)展中扮演著十分重要的角色。網(wǎng)絡(luò)硬件市場(chǎng)龐大，導(dǎo)致越來(lái)越多的廠商開(kāi)始從事這方面的業(yè)務(wù)。品牌、廠商不同，直接導(dǎo)致操作方法差別較大，同時(shí)每個(gè)品牌又有多種型號(hào)，導(dǎo)致數(shù)字圖書(shū)館的網(wǎng)卡（網(wǎng)絡(luò)適配器）、貓（調(diào)制解調(diào)器）、路由器三者各不相同。

近年來(lái)因?yàn)橛布a(chǎn)生的安全問(wèn)題有很多，我國(guó)路由器市場(chǎng)發(fā)展較快，但是相應(yīng)的監(jiān)管制度不夠完善，部分路由器存在一些已知的安全風(fēng)險(xiǎn)。據(jù)金山毒霸安全中心統(tǒng)計(jì)，全國(guó)3.3%的路由器DNS曾經(jīng)遭到惡意篡改；除此之外，還有一些路由器的生產(chǎn)技術(shù)較為落后，采用過(guò)時(shí)的WEP加密協(xié)議（主流家用路由器的標(biāo)準(zhǔn)配置是WPA2協(xié)議），密碼很容易被黑客破解。

（二）數(shù)字化圖書(shū)館弱密碼安全威脅[1]

很多管理者在圖書(shū)館的密碼依然采用原始密碼，沒(méi)有進(jìn)行修改，這也是非常大的安全威脅。因?yàn)槊艽a一旦泄露，黑客就可以通過(guò)后臺(tái)來(lái)更改數(shù)字化圖書(shū)館接入密碼，甚至可以在后臺(tái)植入網(wǎng)絡(luò)病毒篡改DNS，劫持網(wǎng)民訪問(wèn)釣魚(yú)網(wǎng)站，直接威脅到用戶的財(cái)產(chǎn)安全。

（三）數(shù)字化圖書(shū)館DNS劫持威脅

數(shù)字化圖書(shū)館的用戶可能因?yàn)獒烎~(yú)網(wǎng)站而被詐騙，這是因?yàn)楣粽呓俪至擞脩舻木W(wǎng)頁(yè)，用戶以為自己登錄的是熟悉的網(wǎng)絡(luò)，但其實(shí)已經(jīng)被黑客所接管，用戶就進(jìn)入了攻擊者所精心布置的網(wǎng)絡(luò)騙局中，在輸入密碼時(shí)被盜取信息還不自知。同時(shí)，軟件安全非常重要，譬如使用802.11的服務(wù)群標(biāo)識(shí)符 SSID每年允許進(jìn)行兩次基本群標(biāo)識(shí)符的人工修改，這個(gè)防護(hù)手段其實(shí)有很多尷尬之處，因?yàn)椴荒芙?jīng)常修改，很容易被一些技術(shù)成熟的黑客攻擊；WEP（Wired Equivalent Privacy）其實(shí)就是通過(guò)采用RC4算法進(jìn)行加密，可以有效對(duì)進(jìn)入數(shù)字化圖書(shū)館的用戶身份進(jìn)行驗(yàn)證，但是這種對(duì)網(wǎng)絡(luò)資源進(jìn)行加密的情況僅僅適用于較少的場(chǎng)景，現(xiàn)有的驗(yàn)證方式還是通過(guò)網(wǎng)絡(luò)適配器驗(yàn)證[2]。

（四）缺乏專職網(wǎng)絡(luò)維護(hù)管理人員

現(xiàn)有中國(guó)數(shù)字圖書(shū)館的安全管理辦法主要有以下幾種：（1）圖書(shū)館內(nèi)部設(shè)立網(wǎng)絡(luò)部門，部門設(shè)立數(shù)字圖書(shū)館網(wǎng)絡(luò)管理專職人員，通過(guò)專職人員實(shí)現(xiàn)對(duì)圖書(shū)館網(wǎng)絡(luò)的安全管理。（2）將數(shù)字圖書(shū)館的網(wǎng)絡(luò)維護(hù)、維修及安全管理外包給專業(yè)的網(wǎng)絡(luò)公司。（3）無(wú)專職人員也無(wú)外包公司，無(wú)人管理數(shù)字網(wǎng)絡(luò)問(wèn)題。

事實(shí)上，除了第一種情況之外，第二種和第三種都是因?yàn)閿?shù)字化圖書(shū)館網(wǎng)絡(luò)安全管理結(jié)構(gòu)都不夠完善，即使是外包公司的專職網(wǎng)絡(luò)安全人員，也不可能根據(jù)每個(gè)圖書(shū)館的實(shí)際情況設(shè)立出一套完善的接入、訪問(wèn)、網(wǎng)絡(luò)限制體系，完全是聽(tīng)從領(lǐng)導(dǎo)者的安排。而圖書(shū)館領(lǐng)導(dǎo)很多情況下對(duì)網(wǎng)絡(luò)安全又不了解，其下達(dá)的命令不夠科學(xué)，導(dǎo)致很多數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全管理產(chǎn)生問(wèn)題。

二、解決數(shù)字圖書(shū)館安全問(wèn)題的對(duì)策

（一）提升硬件設(shè)備的安全性能

數(shù)字化圖書(shū)館硬件設(shè)備如路由器、貓、服務(wù)器、機(jī)房相關(guān)設(shè)備等這些都是非常重要的數(shù)字化圖書(shū)館設(shè)備，保護(hù)數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全的最基礎(chǔ)手段是保證這些設(shè)備的安全，使用更安全的硬件設(shè)備即可大大減少數(shù)字化圖書(shū)館被發(fā)現(xiàn)、被攻擊的可能性。

大多數(shù)數(shù)字化圖書(shū)館支持SNMP，而攻擊者利用SNMP很容易得知關(guān)于數(shù)字化圖書(shū)館的相關(guān)信息，這是導(dǎo)致數(shù)字化圖書(shū)館信息泄露的重大安全威脅。想要解決這些也不難，可以通過(guò)修改SNMP或者以直接禁用來(lái)解決，尤其是對(duì)數(shù)字化圖書(shū)館SNMP公開(kāi)及專用的共用字符串進(jìn)行修改，會(huì)大大提升數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全性能。

（二）部署封閉的局域網(wǎng)網(wǎng)絡(luò)

數(shù)字化圖書(shū)館被攻擊的一個(gè)因素是黑客不用進(jìn)入圖書(shū)館內(nèi)部，部署封閉的無(wú)線訪問(wèn)網(wǎng)絡(luò)之后，圖書(shū)館需要經(jīng)常對(duì)公司數(shù)字化圖書(shū)館進(jìn)行勘測(cè)，并反映在圖書(shū)館的網(wǎng)絡(luò)拓?fù)鋱D里，保證公司的數(shù)字化圖書(shū)館信號(hào)范圍在掌控中。部署的封閉無(wú)線訪問(wèn)網(wǎng)絡(luò)，導(dǎo)致攻擊者根本無(wú)法發(fā)現(xiàn)數(shù)字化圖書(shū)館，自然會(huì)大大減少對(duì)數(shù)字化圖書(shū)館的攻擊[3]。

（三）增加維護(hù)數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全的專業(yè)人員

當(dāng)前中國(guó)數(shù)字圖書(shū)館發(fā)展迅速，大型數(shù)字圖書(shū)館可以考慮增加專門維護(hù)數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全人員。當(dāng)然，對(duì)于很多的中小型圖書(shū)館來(lái)說(shuō)并不需要專業(yè)的網(wǎng)絡(luò)安全人員，圖書(shū)館的網(wǎng)絡(luò)相對(duì)來(lái)說(shuō)也很少被攻擊。即使是對(duì)于一些大圖書(shū)館來(lái)說(shuō)，配備專業(yè)的數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全從業(yè)員工也不現(xiàn)實(shí)，因?yàn)檫@需要耗費(fèi)一定的人力資源。但如果連基本的定期檢查也沒(méi)有，很容易導(dǎo)致圖書(shū)館網(wǎng)絡(luò)出現(xiàn)漏洞也不自知的情況。

比如很多圖書(shū)館雖然沒(méi)有財(cái)務(wù)人員，但是會(huì)請(qǐng)專業(yè)的財(cái)務(wù)圖書(shū)館來(lái)審計(jì)圖書(shū)館財(cái)務(wù)，避免出現(xiàn)財(cái)務(wù)問(wèn)題；很多圖書(shū)館沒(méi)有電力設(shè)備安全人員，但是他們會(huì)定期將電力檢修外包給專業(yè)的電力安全圖書(shū)館，這些都有效杜絕了一些不良事件的發(fā)生。但是我國(guó)專業(yè)從事數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全的人員較少、從事數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全的圖書(shū)館較少，導(dǎo)致了數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全威脅的不斷累積，不管對(duì)圖書(shū)館還是對(duì)社會(huì)來(lái)說(shuō)，這都是較大的信息安全隱患[4]。

事實(shí)上數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全管理維度包含了很多內(nèi)容，比如安全防護(hù)管理、應(yīng)急調(diào)度中心、審核平臺(tái)。對(duì)于一些有專業(yè)網(wǎng)絡(luò)部門的公司來(lái)說(shuō)，不僅要設(shè)立專職的網(wǎng)絡(luò)安全人員進(jìn)行數(shù)字化圖書(shū)館防護(hù)，還需要做好應(yīng)急準(zhǔn)備。當(dāng)網(wǎng)絡(luò)被攻擊的時(shí)候能及時(shí)進(jìn)行調(diào)度，根據(jù)數(shù)字化圖書(shū)館威脅程度進(jìn)行預(yù)警和處理，同時(shí)還應(yīng)該設(shè)立專門的數(shù)字化圖書(shū)館管理平臺(tái)，通過(guò)此類平臺(tái)可以對(duì)檢測(cè)到的數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和分析[5]。

（四）提升管理員及用戶密碼等級(jí)

管理員及用戶如果提升對(duì)數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全問(wèn)題的重視程度，將會(huì)大大降低管理員及用戶密碼泄露的可能性。而管理員及用戶可能對(duì)于數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全技術(shù)不是很了解，但是這些也無(wú)傷大雅，因?yàn)閷?duì)于管理員及用戶來(lái)說(shuō)，可以通過(guò)提升密碼破解難度、定時(shí)修改密碼來(lái)避免被攻擊的危險(xiǎn)。

具體來(lái)說(shuō)也非常簡(jiǎn)單，首先來(lái)說(shuō)，管理員需要設(shè)置相對(duì)復(fù)雜的密碼，避免弱密碼；其次要定時(shí)修改密碼，不僅僅是接入密碼，還要定時(shí)修改路由器的登錄密碼，因?yàn)槁酚善髅艽a被破解之后很容易被植入病毒或劫持網(wǎng)頁(yè)；其次，要經(jīng)常登錄路由器后臺(tái)查看家庭網(wǎng)絡(luò)使用情況，如果發(fā)現(xiàn)陌生設(shè)備接入，可以對(duì)其進(jìn)行限制。

如果用戶提升對(duì)數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全問(wèn)題的重視程度，不主動(dòng)用陌生數(shù)字化圖書(shū)館，那也將大大降低數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全威脅，想要提升個(gè)人用戶和家庭用戶對(duì)數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全的重視程度，一方面是靠媒體，另一方面是靠數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全教育。媒體的宣傳能提升普通大眾的數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全意識(shí)，但是如果只是宣傳數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全事件，不提供數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全事件解決辦法，那也不能從根本上解決問(wèn)題，所以另外一個(gè)非常重要的問(wèn)題就是提升數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全教育。這對(duì)提升我國(guó)數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全，甚至是提升我國(guó)互聯(lián)網(wǎng)安全都有著非常重大的意義。

三、結(jié)語(yǔ)

綜上，當(dāng)前中國(guó)數(shù)字圖書(shū)館遇到的安全問(wèn)題主要是軟件問(wèn)題、硬件問(wèn)題、安全管理問(wèn)題與安全知識(shí)普及問(wèn)題?；诖?，筆者以為，對(duì)于數(shù)字化圖書(shū)館網(wǎng)絡(luò)建設(shè)相關(guān)方來(lái)說(shuō)，應(yīng)該主動(dòng)提升軟件和硬件安全水平，同時(shí)加強(qiáng)對(duì)數(shù)字化圖書(shū)館網(wǎng)絡(luò)安全的重視，配備相關(guān)的專業(yè)人員定時(shí)定期對(duì)數(shù)字圖書(shū)館網(wǎng)絡(luò)安全問(wèn)題進(jìn)行檢查和維護(hù)；同時(shí)也要做好宣傳教育工作，提升用戶對(duì)數(shù)字圖書(shū)館安全問(wèn)題的重視，避免因弱密碼而導(dǎo)致的安全問(wèn)題。

參考文獻(xiàn)：

[1]國(guó)愛(ài)民.大數(shù)據(jù)環(huán)境下數(shù)字圖書(shū)館安全威脅與對(duì)策研究[J].科技資訊，2017， 15（6）：219- 220.

[2]孟猛，朱慶華，袁勤儉等.基于非線性規(guī)劃的數(shù)字圖書(shū)館信息安全風(fēng)險(xiǎn)組合評(píng)估研究[J].情報(bào)雜志，2017（6）：128- 133.

[3]孟猛，朱慶華，袁勤儉等.數(shù)字圖書(shū)館信息安全風(fēng)險(xiǎn)組合評(píng)估研究——基于非線性規(guī)劃法[J].情報(bào)雜志，2017，36（6）.

[4]胡昌平.云環(huán)境下數(shù)字圖書(shū)館信息資源安全[J].數(shù)字圖書(shū)館論壇，2017（7）：1- 1.

[5]顧海峰.分析數(shù)字圖書(shū)館網(wǎng)絡(luò)系統(tǒng)安全與數(shù)據(jù)安全問(wèn)題[J].中國(guó)高新區(qū)，2017（15）.