高校圖書館數(shù)據(jù)資產(chǎn)的安全風(fēng)險(xiǎn)及保護(hù)措施研究

王鵬

摘要：隨著高校圖書館服務(wù)水平的不斷提升，以及服務(wù)內(nèi)容的不斷豐富和深化，包括圖書館電子圖書、期刊、數(shù)據(jù)庫和讀者行為記錄等數(shù)據(jù)資產(chǎn)呈現(xiàn)爆發(fā)式增長。如何有效保護(hù)這些數(shù)據(jù)資產(chǎn)，保證其安全，是今后利用大數(shù)據(jù)建設(shè)智慧圖書館，為讀者提供智慧化、個(gè)性化服務(wù)的基礎(chǔ)，也是履行保衛(wèi)國家信息安全的職責(zé)的必然要求。本文詳細(xì)分析了高校圖書館數(shù)據(jù)資產(chǎn)所面臨的安全風(fēng)險(xiǎn)，并針對(duì)這些風(fēng)險(xiǎn)提出了相應(yīng)的保護(hù)策略，以幫助高校圖書館堵上安全漏洞，保護(hù)數(shù)據(jù)資產(chǎn)安全。

關(guān)鍵詞：高校圖書館;數(shù)據(jù)資產(chǎn);安全風(fēng)險(xiǎn);保護(hù)措施

1 研究背景

在2014年4月15日召開的國家安全委員會(huì)第一次會(huì)議上，習(xí)近平首次提出了國家總體安全觀的概念，共有11種安全，信息安全位列其中。很顯然，在信息社會(huì)里，信息安全關(guān)乎每個(gè)人，也關(guān)乎整個(gè)國家。而且大數(shù)據(jù)時(shí)代，數(shù)據(jù)為王，數(shù)據(jù)是重要的戰(zhàn)略資源，事關(guān)個(gè)人隱私和國家發(fā)展大局[1]。高校是個(gè)半開放的環(huán)境，校內(nèi)與校外有頻繁的人員往來和數(shù)據(jù)交換，而且校內(nèi)用戶上網(wǎng)需求多樣，安全防護(hù)意識(shí)卻相對(duì)來說比較淡薄，導(dǎo)致學(xué)校常常成為病毒程序感染和傳播的高發(fā)區(qū)，2017年WannaCry病毒事件就是很典型的案例[2]。圖書館是高校中重要的數(shù)據(jù)管理、使用部門，產(chǎn)生和保存著大量的數(shù)據(jù)資產(chǎn)。因此，確保數(shù)據(jù)資產(chǎn)安全，維護(hù)國家總體安全，高校圖書館有著重要的作用和職責(zé)。

2 圖書館數(shù)據(jù)資產(chǎn)所面臨的安全風(fēng)險(xiǎn)

數(shù)據(jù)是要依托于介質(zhì)才能得以長期保存的，因此，討論圖書館數(shù)據(jù)資產(chǎn)安全必須首先從介質(zhì)安全和數(shù)據(jù)安全這兩個(gè)角度進(jìn)行，相應(yīng)的，圖書館數(shù)據(jù)資產(chǎn)所面臨的安全風(fēng)險(xiǎn)可以分為兩大類：介質(zhì)安全風(fēng)險(xiǎn)和數(shù)字安全風(fēng)險(xiǎn)。

2.1 介質(zhì)安全風(fēng)險(xiǎn)

人類的遺傳信息是以堿基對(duì)的形式保存的，堿基對(duì)有序排列組成長長的堿基鏈便是DNA，所以DNA也被人們稱為人類遺傳信息的載體。若是DNA這個(gè)載體出了問題，它記載的遺傳信息就會(huì)改變或丟失。數(shù)據(jù)也是如此，介質(zhì)就是數(shù)據(jù)賴以存在的物質(zhì)基礎(chǔ)，一旦介質(zhì)被破壞，那么寫在介質(zhì)中的數(shù)據(jù)也將不復(fù)存在。所以，介質(zhì)安全也可以理解為數(shù)據(jù)存在的物理環(huán)境安全。可能發(fā)生的風(fēng)險(xiǎn)具體包括以下幾種。

2.1.1硬盤達(dá)到報(bào)廢年限

目前市場(chǎng)上的硬盤理論壽命是30000小時(shí)以上。圖書館核心機(jī)房除非遇到區(qū)域性停電或?qū)W校電路檢修這樣的特殊情況，否則將保持24小時(shí)運(yùn)行。換算下來一塊機(jī)械硬盤的使用壽命也就是三年多時(shí)間。超過此時(shí)間，磁頭、盤片磨損越來越嚴(yán)重，壞道數(shù)增加越來越多，硬盤不能正常使用或徹底報(bào)廢的可能性也越來越高。

2.1.2工作環(huán)境不滿足要求

硬盤是極其精密的電子設(shè)備，空氣中的灰塵如果太多，積聚在硬盤的電路板上，極有可能造成短路，硬盤工作時(shí)還會(huì)散發(fā)大量的熱，若無法及時(shí)散熱，硬盤也會(huì)因?yàn)闇囟冗^高而損壞?？諝鉂穸却笸瑯訒?huì)造成硬盤短路。此外，還有酸堿性、強(qiáng)磁性物品，都會(huì)對(duì)硬盤造成破壞。

2.1.3人為蓄意破壞

雖然可能性很低，但是不能完全排除人為蓄意破壞存儲(chǔ)介質(zhì)的情況。比如因合作過程產(chǎn)生矛盾而故意破壞實(shí)施報(bào)復(fù)的，因?qū)ぷ骰蛏钣胁粷M而通過破壞行為泄憤的，或者毫不相干的人趁工作人員不注意搞惡作劇的，等等。

2.1.4意外事故

圖書館核心機(jī)房有很多網(wǎng)絡(luò)設(shè)備升級(jí)改造項(xiàng)目，在施工過程中，若工作人員一時(shí)大意，就可能在線路布置、連接、設(shè)備安裝等步驟上出現(xiàn)紕漏，造成安全隱患，或者因?yàn)槟貌环€(wěn)而使設(shè)備掉落出現(xiàn)故障。如果突然停電，使用年限較長的硬盤很容易受到影響甚至損壞。另外，火災(zāi)等安全事故和地震等自然災(zāi)害一旦發(fā)生，都將對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備造成嚴(yán)重的、不可恢復(fù)的損壞。

2.2 數(shù)據(jù)安全風(fēng)險(xiǎn)

物理安全并不等于數(shù)據(jù)資產(chǎn)安全，因?yàn)檫€有介質(zhì)正常但是保存在介質(zhì)中的數(shù)據(jù)本身遭受安全威脅的情況。就像有機(jī)體生存的環(huán)境雖然沒有改變，但是有機(jī)體卻可能受傷或死亡一樣。因此，還需要專門分析數(shù)據(jù)本身可能存在的安全風(fēng)險(xiǎn)。此類風(fēng)險(xiǎn)并不危及存儲(chǔ)介質(zhì)，只會(huì)造成數(shù)據(jù)丟失、泄露、刪除或修改。

2.2.1病毒、木馬程序

病毒和木馬程序在信息世界廣泛存在而又無法被徹底消滅，它們對(duì)信息安全構(gòu)成巨大的威脅。不法分子經(jīng)常在網(wǎng)絡(luò)上散播病毒和木馬程序，通過它們竊取數(shù)據(jù)、修改數(shù)據(jù)、刪除數(shù)據(jù)、劫持?jǐn)?shù)據(jù)。或者干脆用這些病毒和木馬修改和破壞計(jì)算機(jī)的正常程序，影響計(jì)算機(jī)系統(tǒng)和軟件的穩(wěn)定運(yùn)行，進(jìn)而威脅到數(shù)據(jù)安全。

2.2.2人為復(fù)制、泄露

這類問題可能出現(xiàn)的情況有：商業(yè)公司員工出于經(jīng)濟(jì)利益等目的將接觸到的數(shù)據(jù)復(fù)制、泄露;工作人員由于工作需要復(fù)制數(shù)據(jù)后導(dǎo)致的數(shù)據(jù)泄露，比如移動(dòng)存儲(chǔ)設(shè)備遺失，在不安全或陌生環(huán)境中使用移動(dòng)存儲(chǔ)設(shè)備，其他人借用移動(dòng)存儲(chǔ)設(shè)備后發(fā)現(xiàn)并復(fù)制數(shù)據(jù);前來辦理業(yè)務(wù)的人偶然在工作人員電腦上發(fā)現(xiàn)數(shù)據(jù)，趁工作人員不備私自復(fù)制。

2.2.3工作制度不完善或執(zhí)行不到位

因存儲(chǔ)空間不足或產(chǎn)生年代久遠(yuǎn)清理數(shù)據(jù)時(shí)，沒有對(duì)數(shù)據(jù)進(jìn)行備份造成數(shù)據(jù)丟失。沒有按特別規(guī)定的流程清除或備份已經(jīng)替換下來的舊存儲(chǔ)介質(zhì)里面的數(shù)據(jù)，造成數(shù)據(jù)泄露或丟失。工作人員由于操作失誤，刪除或修改了原始數(shù)據(jù)，比如在數(shù)據(jù)庫上使用了錯(cuò)誤的指令，或者某些系統(tǒng)管理員對(duì)系統(tǒng)不熟悉執(zhí)行錯(cuò)誤操作。業(yè)務(wù)系統(tǒng)特別是數(shù)據(jù)庫的用戶名和密碼泄露，被不法分子得到后違法對(duì)數(shù)據(jù)進(jìn)行操作造成數(shù)據(jù)安全威脅的。工作人員業(yè)務(wù)調(diào)整時(shí)未能將所管轄業(yè)務(wù)的數(shù)據(jù)全面清理、所負(fù)責(zé)工作交代清楚，造成舊人不管、新人不知的局面，進(jìn)而導(dǎo)致數(shù)據(jù)被人遺忘。擅自使用非法或盜版軟件，將計(jì)算機(jī)置于危險(xiǎn)境地，危及數(shù)據(jù)安全。

2.2.4服務(wù)停用、升級(jí)或服務(wù)商倒閉

圖書館的服務(wù)系統(tǒng)升級(jí)后，新系統(tǒng)未能及時(shí)、準(zhǔn)確、完整地收錄舊系統(tǒng)的數(shù)據(jù)而造成數(shù)據(jù)遺失，或因數(shù)據(jù)標(biāo)準(zhǔn)不一致，新系統(tǒng)無法使用而遺棄舊的數(shù)據(jù)。服務(wù)系統(tǒng)不再使用，已停用系統(tǒng)曾產(chǎn)生的數(shù)據(jù)也將不再被使用，則該數(shù)據(jù)被丟棄。此外，服務(wù)商突然倒閉，其提供的服務(wù)系統(tǒng)無人維護(hù)直至被停用，則該系統(tǒng)產(chǎn)生的數(shù)據(jù)也極有可能被丟棄。

3 圖書館數(shù)據(jù)資產(chǎn)的保護(hù)措施

將圖書館數(shù)據(jù)資產(chǎn)所面臨的安全風(fēng)險(xiǎn)逐個(gè)分析之后，就需要相應(yīng)提出有效的保護(hù)策略，以避免風(fēng)險(xiǎn)發(fā)生。對(duì)照第2部分的內(nèi)容，這里將保護(hù)策略也對(duì)應(yīng)分成兩部分：介質(zhì)保護(hù)和數(shù)據(jù)保護(hù)。

3.1 介質(zhì)保護(hù)

（1）加強(qiáng)對(duì)硬盤的管理，定期檢查硬盤工作狀態(tài)。對(duì)于尚在使用中的、已經(jīng)或即將達(dá)到報(bào)廢年限的硬盤，以及出現(xiàn)故障的硬盤，要及時(shí)、有序更換。

（2）按照?qǐng)D書館有關(guān)管理辦法做好防火、防水、防熱、防磁、防盜、防塵、防酸堿、防斷電等工作，保障存儲(chǔ)設(shè)備物理環(huán)境安全。

（3）加強(qiáng)溝通協(xié)調(diào)，發(fā)現(xiàn)有相關(guān)人員情緒不穩(wěn)定的情況要及時(shí)主動(dòng)了解，防止其做出過激行為，造成人員、財(cái)產(chǎn)損失。加強(qiáng)核心機(jī)房安全管理，做到“人走門鎖，門開人在”。核心機(jī)房施工時(shí)，必須有圖書館工作人員在現(xiàn)場(chǎng)陪同，防止人為蓄意破壞，避免施工現(xiàn)場(chǎng)發(fā)生意外。

（4）配備足夠的UPS電源，確保圖書館核心機(jī)房在突然停電或短時(shí)停電期間的電力穩(wěn)定。制定科學(xué)有效、符合圖書館實(shí)際的數(shù)據(jù)備份策略，采購備份系統(tǒng)和設(shè)備，并根據(jù)發(fā)展需要及時(shí)更新、升級(jí)。定期檢查備份系統(tǒng)，一旦發(fā)現(xiàn)故障及時(shí)處理，保障備份系統(tǒng)正常運(yùn)行。根據(jù)情況，考慮采用異地備份或云備份方式，提高容災(zāi)能力。

3.2 數(shù)據(jù)保護(hù)

（1）主控室要安裝防火墻，服務(wù)器（包括物理服務(wù)器和虛擬服務(wù)器）均安裝安全軟件，定期對(duì)圖書館服務(wù)器進(jìn)行檢查，及時(shí)修復(fù)系統(tǒng)漏洞，更新病毒庫，發(fā)現(xiàn)可疑文件立即處理，保障系統(tǒng)中數(shù)據(jù)安全。

（2）拷貝數(shù)據(jù)要用專有的移動(dòng)存儲(chǔ)設(shè)備，并給文件或移動(dòng)存儲(chǔ)設(shè)備設(shè)置密碼。辦公電腦也要設(shè)置密碼，工作人員離開時(shí)要及時(shí)鎖屏。

（3）在清理電腦硬盤或數(shù)據(jù)庫時(shí)，其中的數(shù)據(jù)要謹(jǐn)慎處理。確定已沒有利用價(jià)值的可以直接刪除，現(xiàn)在用不到但是將來可能用得著的數(shù)據(jù)應(yīng)盡可能做好備份。不再使用的存儲(chǔ)介質(zhì)里的數(shù)據(jù)要按規(guī)定備份或刪除，再將介質(zhì)報(bào)廢處理。合理劃定系統(tǒng)管理員和一般使用者的權(quán)限，對(duì)館員進(jìn)行必要的業(yè)務(wù)培訓(xùn)，防止由于操作失誤導(dǎo)致的數(shù)據(jù)安全問題。建立清單制度，將圖書館數(shù)據(jù)資料及業(yè)務(wù)分工詳盡羅列出來，使每個(gè)崗位上新到的館員都能做到心中有數(shù)。服務(wù)器只能用于圖書館業(yè)務(wù)，不得用于其他用途。所安裝軟件均需通過安全檢查或確認(rèn)無風(fēng)險(xiǎn)，不得使用來路不明、風(fēng)險(xiǎn)未知的軟件。

（4）對(duì)于已停用的服務(wù)系統(tǒng)/服務(wù)器以及所屬公司已倒閉的系統(tǒng)，應(yīng)及時(shí)對(duì)該系統(tǒng)/服務(wù)器上的相關(guān)數(shù)據(jù)進(jìn)行整理、歸檔。對(duì)于同一業(yè)務(wù)的新舊兩個(gè)系統(tǒng)，要鼓勵(lì)新系統(tǒng)兼容舊系統(tǒng)數(shù)據(jù)，如不兼容，要及時(shí)將舊系統(tǒng)數(shù)據(jù)整理、歸檔。逐步引入大數(shù)據(jù)管理辦法，將圖書館存量數(shù)據(jù)標(biāo)準(zhǔn)化，所有系統(tǒng)均使用該標(biāo)準(zhǔn)數(shù)據(jù)，從根本上杜絕數(shù)據(jù)差異引起的數(shù)據(jù)資產(chǎn)流失。

4 總結(jié)和展望

傳統(tǒng)上來講，沒有絕對(duì)的安全，只能在工作中不斷提高保護(hù)能力，保障數(shù)據(jù)相對(duì)安全。近些年興起的區(qū)塊鏈技術(shù)，與傳統(tǒng)數(shù)據(jù)庫技術(shù)有明顯的不同，它通過去中心化的方法保證數(shù)據(jù)不可修改[3]。今后圖書館也可以從這個(gè)角度去考慮數(shù)據(jù)的安全保護(hù)工作。

參考文獻(xiàn)：

[1]習(xí)近平在中共中央政治局第二次集體學(xué)習(xí)時(shí)強(qiáng)調(diào) ?審時(shí)度勢(shì)精心謀劃超前布局力爭(zhēng)主動(dòng) ?實(shí)施國家大數(shù)據(jù)戰(zhàn)略加快建設(shè)數(shù)字中國[J].城市規(guī)劃通訊，2017（24）：1-2.

[2]馬也，吳文燦，麥永浩.從WannaCry勒索病毒事件談高校網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（04）：66-68.

[3]李紅艷.基于“區(qū)塊鏈”技術(shù)的高校圖書館特色數(shù)據(jù)庫管理[J].傳播力研究，2019（14）：298.