【摘要】網(wǎng)絡(luò)是當(dāng)前高校圖書館重要的服務(wù)手段和方式，圖書館信息系統(tǒng)的安全是數(shù)字圖書館正常運(yùn)行發(fā)展的關(guān)鍵，也是圖書館順利提供服務(wù)的保證。如何在開放的網(wǎng)絡(luò)環(huán)境中保證信息資源和信息系統(tǒng)的安全性已經(jīng)成為圖書館建設(shè)的重要內(nèi)容。本文分析了圖書館信息系統(tǒng)安全層次和安全風(fēng)險，探討了信息系統(tǒng)安全體系。

【關(guān)鍵詞】圖書館；信息安全；技術(shù)體系

所謂信息安全就是采取技術(shù)、管理等綜合配套的安全保護(hù)措施，保護(hù)信息網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)正常運(yùn)行，保護(hù)各種信息資源不因自然或人為的因素而遭到破壞、更改、泄露或非法占用。圖書館信息安全是指數(shù)字圖書館網(wǎng)絡(luò)的硬件設(shè)備、網(wǎng)絡(luò)通信以及軟件系統(tǒng)和數(shù)據(jù)不受偶然的或惡意的原因而出現(xiàn)丟失、破壞、篡改和泄露，并且確保圖書館信息系統(tǒng)能連續(xù)正常的運(yùn)行，其最終目的是要達(dá)到圖書館數(shù)字化文獻(xiàn)信息處理和傳輸過程中可以保持較高的機(jī)密性、完整性、可用性和可控性。本文從數(shù)字化的圖書館信息系統(tǒng)的安全層次、安全風(fēng)險以及信息安全技術(shù)等方面分析圖書館信息安全體系，為保障現(xiàn)代圖書館信息安全提供初步參考。

1.圖書館信息系統(tǒng)安全層次

目前，高校圖書館信息系統(tǒng)主要包括館藏書目信息、讀者信息、各種電子文獻(xiàn)數(shù)據(jù)庫、光盤數(shù)據(jù)庫檢索系統(tǒng)、圖書管理系統(tǒng)、特藏數(shù)據(jù)庫等內(nèi)容。這些電子資源如果受到破壞，那么損失將會非常慘重，很可能會造成整個圖書館系統(tǒng)癱瘓。因此，數(shù)字圖書館的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全性，方便、快捷、安全地為授權(quán)用戶提供大量數(shù)字化信息。就目前的狀況來看，面向數(shù)字化資源的圖書館信息系統(tǒng)所面臨的安全問題主要包括三個層面：

（1）物理安全層。保證計算機(jī)設(shè)備、網(wǎng)絡(luò)通信設(shè)備以及其他各種硬件自身的安全，就是圖書館信息系統(tǒng)所涉及的硬件的運(yùn)行穩(wěn)定性，它是圖書館數(shù)字化信息系統(tǒng)正常運(yùn)行所必需的物質(zhì)基礎(chǔ)。

（2）軟件安全層。是指在計算機(jī)與網(wǎng)絡(luò)通信設(shè)備上運(yùn)行的系統(tǒng)的安全，這些軟件系統(tǒng)包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和圖書館數(shù)字化信息系統(tǒng)的安全穩(wěn)定運(yùn)行，它是圖書館數(shù)字化信息安全的核心部分。

（3）數(shù)據(jù)安全層。是指圖書館數(shù)字化信息系統(tǒng)中操作的對象，圖書館數(shù)字化了的文獻(xiàn)信息在被存儲、復(fù)制、傳輸?shù)冗^程出可能出現(xiàn)的數(shù)據(jù)的泄漏、假冒、抵賴以及篡改的情況，這是整個圖書館數(shù)字化文獻(xiàn)信息的最寶貴資源，包括元數(shù)據(jù)、對象數(shù)據(jù)等。

2.圖書館信息系統(tǒng)安全風(fēng)險分析

圖書館信息化資源數(shù)量越來越大，提供給讀者的服務(wù)基本是基于網(wǎng)絡(luò)信息傳輸?shù)模S著圖書館數(shù)字化資源的共享進(jìn)一步加強(qiáng)，不安全因素變越顯突出。這些安全風(fēng)險來自方方面面，可以歸納為以下幾個方面：

（1）物理層安全風(fēng)險分析

物理層安全是指各種硬件設(shè)備，比如服務(wù)器、交換機(jī)、路由器、通信線路等硬件設(shè)備的安全?？赡艽嬖诘陌踩[患來自多個方面，如火災(zāi)、雷擊、長時間停電等意外災(zāi)害，管理不善導(dǎo)致的人為損壞，外界的電磁干擾，設(shè)備本身存在的缺陷等等。物理安全的威脅可以直接造成設(shè)備的損毀，網(wǎng)絡(luò)或者系統(tǒng)的完全崩潰，數(shù)據(jù)的直接損壞或丟失等等，這類損害帶來的后果是災(zāi)難性。

（2）網(wǎng)絡(luò)層安全風(fēng)險分析

①數(shù)據(jù)傳輸風(fēng)險分析

圖書館的信息服務(wù)平臺是開放在互聯(lián)網(wǎng)環(huán)境中的。數(shù)據(jù)傳輸采用TCP/IP協(xié)議，由于該協(xié)議采用明文傳輸，如果沒有專門的軟件或硬件對數(shù)據(jù)進(jìn)行控制，所有的廣域網(wǎng)通信都將不受限制地進(jìn)行傳輸，因此任何一個對通信進(jìn)行監(jiān)測的人都可以對通信數(shù)據(jù)進(jìn)行截取。

②開放端口風(fēng)險分析

圖書館的數(shù)字化信息通常是以Web站點(diǎn)的形式對外開放服務(wù)的，必須開放一些服務(wù)端口，同時系統(tǒng)的服務(wù)器一般存放在專門的服務(wù)器中心，管理人員需要對服務(wù)器進(jìn)行操作基本都會采取遠(yuǎn)程控制等手段，也必須開放一些服務(wù)端口和訪問權(quán)限，而在進(jìn)行這些正常的數(shù)據(jù)交換時，賬號信息可能被中間者嗅探、破解，造成安全威脅。

③系統(tǒng)層安全風(fēng)險分析

系統(tǒng)層的安全風(fēng)險通常來自操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等?，F(xiàn)在圖書館的信息資源服務(wù)系統(tǒng)通常采用Windows server 2000或2003，數(shù)據(jù)庫系統(tǒng)也以SQL sever系列應(yīng)用最為廣泛。由于這些系統(tǒng)本身在安全方面就會存在這樣那樣的漏洞，造成整個系統(tǒng)極大的安全隱患。

④應(yīng)用層安全風(fēng)險分析

身份認(rèn)證風(fēng)險。服務(wù)系統(tǒng)登錄和主機(jī)登錄一般都是使用固定口令，甚至有時候很多人都是用同一種口令，且在數(shù)據(jù)庫中有存儲記錄，可重復(fù)使用。這樣非法用戶通過窮舉攻擊等手段往往很容易得到這種靜態(tài)口令，可對資源的安全造成嚴(yán)重威脅。甚至有的系統(tǒng)就一直使用默認(rèn)的用戶名及密碼，比如admin等。Web服務(wù)漏洞。Web Server是目前圖書館信息系統(tǒng)服務(wù)主要的方式，入侵者可能利用服務(wù)的漏洞對服務(wù)器系統(tǒng)的正常工作加以破壞。DNS服務(wù)漏洞。DNS域名服務(wù)為網(wǎng)絡(luò)應(yīng)用提供了極大的靈活性，但域名服務(wù)通常為黑客提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP操作系統(tǒng)信息等。病毒侵害。網(wǎng)絡(luò)中一旦有主機(jī)感染病毒，則病毒程序完全可能在極短的時間被迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

⑤管理層安全風(fēng)險分析

設(shè)備的安全、網(wǎng)絡(luò)的安全、系統(tǒng)的安全都離不開人的管理，再好的安全策略最終要靠人來實(shí)現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復(fù)雜安全體系設(shè)計的網(wǎng)絡(luò)，管理則顯得更為重要。因此，認(rèn)真地分析管理所帶來的安全風(fēng)險，并采取相應(yīng)的安全措施是十分必要的。管理安全的風(fēng)險可能有權(quán)責(zé)不明確、安全管理制度不健全等引起。比如外來人員可以進(jìn)入網(wǎng)絡(luò)機(jī)房重地，或者員工泄漏他們所管理的安全問題上的重要信息，都是在管理上沒有明確的制度造成的。

3.圖書館信息系統(tǒng)安全技術(shù)體系

根據(jù)圖書館信息系統(tǒng)安全保障需要，把分離的、屬于不同層面的技術(shù)，通過合理的篩選、組織和協(xié)調(diào)，形成一個信息安全體系，以最大程度地發(fā)揮技術(shù)在信息安全保障系統(tǒng)的作用。首先對圖書館信息系統(tǒng)進(jìn)行全面的風(fēng)險評估，評估系統(tǒng)可能面臨的各種威脅，通過確定信息系統(tǒng)提供的服務(wù)方式?jīng)Q定采取何種安全措施，再考慮技術(shù)實(shí)現(xiàn)上的成本因素，選擇合適的安全技術(shù)，從而集成各種應(yīng)用廣泛的安全技術(shù)，形成一個比較全面的安全系統(tǒng)。根據(jù)技術(shù)整合策略，把信息安全技術(shù)在不同的層面使用，分別為實(shí)體安全技術(shù)、運(yùn)行安全技術(shù)和數(shù)據(jù)安全技術(shù)。這三類技術(shù)單獨(dú)使用也能達(dá)到一定的安全防范效果，但是還無法全面的保護(hù)圖書館信息系統(tǒng)的安全，本文選擇了三個層面技術(shù)組合而形成的防御系統(tǒng)，經(jīng)過技術(shù)整合加以實(shí)施監(jiān)控系統(tǒng)和應(yīng)急響應(yīng)系統(tǒng)，最后的保障是數(shù)據(jù)備份系統(tǒng)。圖書館信息安全技術(shù)體系如圖1所示。

（1）信息安全防御應(yīng)用系統(tǒng)

由于圖書館數(shù)字化信息系統(tǒng)是面向互聯(lián)網(wǎng)開放的，無法確定可能會來自何方的攻擊，網(wǎng)絡(luò)追蹤也是相當(dāng)具有挑戰(zhàn)的課題，所以信息系統(tǒng)應(yīng)該事先采取各種有效的措施對可能存在的威脅加以防范。要在硬件、網(wǎng)絡(luò)到系統(tǒng)等各個環(huán)節(jié)形成層層防御的信息安全防御系統(tǒng)，能夠在一定程度上降低系統(tǒng)所面臨的風(fēng)險。通過整合信息加密技術(shù)、防火墻技術(shù)、防病毒技術(shù)和入侵檢測技術(shù)，抵御入侵者或者破壞性程序，防止有害信息在網(wǎng)絡(luò)空間的蔓延，同時可以通過建設(shè)公鑰基礎(chǔ)設(shè)施等來增強(qiáng)網(wǎng)絡(luò)用戶身份的真實(shí)性等問題。

（2）信息安全監(jiān)控系統(tǒng)

圖書館信息系統(tǒng)通過信息安全監(jiān)控系統(tǒng)來判斷整個系統(tǒng)是否處于正常的工作狀態(tài)，或者出現(xiàn)了“哪里疼”的癥狀。信息安全檢測系統(tǒng)集成檢測技術(shù)、身份認(rèn)證技術(shù)、審計技術(shù)等措施對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行實(shí)時的監(jiān)控，這樣能夠及時發(fā)現(xiàn)各種威脅或潛在的威脅。

（3）應(yīng)急響應(yīng)系統(tǒng)

圖書館信息系統(tǒng)的應(yīng)急響應(yīng)系統(tǒng)的功能是：當(dāng)遇到不符合安全策略的事件時或者攻擊事件能夠進(jìn)行有效的處置，防止事態(tài)的進(jìn)一步惡化，從而將信息系統(tǒng)的損失降到最低。應(yīng)急響應(yīng)系統(tǒng)集成訪問控制技術(shù)、權(quán)限控制、阻斷隔斷技術(shù)等技術(shù)，在遇到突發(fā)事件時將攻擊者正在進(jìn)行的破壞阻止到信息系統(tǒng)之外，形成有針對的安全事件的應(yīng)急反應(yīng)能力，并記錄來攻擊者所使用的方法、途徑和手段，在事件發(fā)生之后可以對損失進(jìn)行彌補(bǔ)，從而使信息系統(tǒng)的損失減低，增強(qiáng)系統(tǒng)抵御各種風(fēng)險的能力。

（4）備份恢復(fù)系統(tǒng)

備份與恢復(fù)數(shù)據(jù)和數(shù)據(jù)庫是圖書館信息系統(tǒng)的最后一道屏障，可以通過系統(tǒng)及信息數(shù)據(jù)備份的方式，使受到災(zāi)難性攻擊的信息系統(tǒng)能夠在最短的時間恢復(fù)到基本的可用性。整個備份恢復(fù)系統(tǒng)應(yīng)該包含以下三個方面：

①系統(tǒng)的恢復(fù)：使圖書館數(shù)字化信息系統(tǒng)存在的平臺能夠快速恢復(fù)到正常工作狀態(tài)，包括操作系統(tǒng)恢復(fù)、數(shù)據(jù)庫系統(tǒng)恢復(fù)等，讓系統(tǒng)平臺重新穩(wěn)定運(yùn)行。

②數(shù)據(jù)的恢復(fù)：信息系統(tǒng)（主要是數(shù)據(jù)庫系統(tǒng)）的重新啟動恢復(fù)工作，通過完善的備份機(jī)制，確保重要的信息數(shù)據(jù)的安全，這也是備份恢復(fù)工作中的重中之重。

③應(yīng)用的恢復(fù)：對整個應(yīng)用系統(tǒng)所提供的服務(wù)進(jìn)行恢復(fù)，是整個信息系統(tǒng)能夠恢復(fù)到被破壞前的狀態(tài)，恢復(fù)所有的服務(wù)功能。

參考文獻(xiàn)

[1]張建標(biāo)，賴英旭.信息安全體系結(jié)構(gòu)[M].北京：北京工業(yè)大學(xué)出版社，2011.

[2]馬曉亭，陳臣.數(shù)字圖書館云計算安全分析及管理策略研究[J].情報科學(xué)，2011（8）.

[3]黃永躍.數(shù)字圖書館的安全防護(hù)技術(shù)[J].現(xiàn)代情報，2005 （3）.

[4]龍文.淺談高校數(shù)字圖書館信息安全[J].科技情報開發(fā)與經(jīng)濟(jì)，2010（20）.

作者簡介：

郭琳（1986—），女，山東平邑人，助理館員，現(xiàn)供職于解放軍裝備學(xué)院圖書館，研究方向：圖書館學(xué)。

張文靜，女，山東平邑人，圖書館員，現(xiàn)供職于解放軍裝備學(xué)院圖書館，研究方向：圖書館學(xué)。