張 芳

（安徽省圖書館 報刊部，合肥 230001）

信息安全技術被寫入《“十二五”下一代信息技術產業(yè)發(fā)展規(guī)劃》，標志著網絡信息安全已經上升到國家戰(zhàn)略的高度。隨著云計算和虛擬化的迅猛發(fā)展，由網絡化而衍生的圖書館信息安全問題也日益突出。因此，為了使圖書館充分發(fā)揮信息優(yōu)勢，實現資源共享，保證圖書館網絡信息安全和高效運行已經成為當今圖書館建設中的關鍵任務。

一、目前圖書館中存在的主要網絡信息安全隱患

圖書館網絡信息資源和傳統(tǒng)的紙質印刷圖書一樣，需要依附于能長久保存信息的載體，目前圖書館中的數字信息存儲的媒體主要有硬盤、光盤、磁盤等，它們都有自己的存儲方式及工作環(huán)境，一旦操作失誤或者維護不當，就會丟失信息內容，難以恢復。如果網絡信息資源存儲不分主次，存儲載體和存儲環(huán)境混亂，訪問技術不規(guī)范等都會給圖書館日常工作的開展造成不便，甚至給網絡信息安全帶來巨大的威脅?，F今我國對網絡信息資源的長期保存及維護技術還不完善，需要不斷摸索、學習和改進，降低數字信息資源存儲風險[1］。

隨著網絡信息資源的用戶不斷增加，圖書館為滿足讀者需求，需要在開設新的服務類別及服務方式的同時不斷創(chuàng)新，從而越來越依賴于網絡。然而網絡的脆弱性也增加了圖書館網絡信息資源的危險性。例如眾所周知的計算機病毒感染與“黑客”攻擊，它們不僅能對圖書館信息系統(tǒng)造成破壞，也能竊取用戶的個人隱私，進而對其信息進行利用或修改，嚴重損害了著作者和圖書館的利益，這些危害大大破壞了整個圖書館的網絡信息資源的完整性和機密性。圖書館網絡環(huán)境及數據等的不安全，容易對用戶造成不穩(wěn)定心理，嚴重遏制了圖書館網絡化的進程[2］。

二、影響圖書館網絡信息安全的因素

1.物理安全因素

物理安全是影響圖書館數字信息安全的基本要素，主要包括計算機的硬件、軟件和外部環(huán)境條件。計算機硬件因素主要體現在計算機的各類服務器、網絡互聯設備以及相關配套設施等，它們構成了網絡信息系統(tǒng)的物質基礎，是保證網絡正常運行的前提條件。如果不能正確規(guī)范地安裝及操作，不采取定期檢查與維護的防范措施，一旦服務器連接失敗、網絡運行出現錯誤和硬件器件出現磨損或者老化等都會無法使得系統(tǒng)安全得到保障。計算機軟件因素主要表現在操作系統(tǒng)與應用軟件這兩個方面。目前市場上主流的windows等操作系統(tǒng)還存在很多漏洞，需要定期對數據庫及時更新與升級，對操作系統(tǒng)的不合理設置、軟件質量的不合格和系統(tǒng)對軟件的支持力度不夠都會使得網絡信息系統(tǒng)受到攻擊。此外，在外部環(huán)境條件方面，圖書館機房環(huán)境配套設施的不合理設置，網絡管理控制中心惡劣的環(huán)境條件也無法保證網絡信息的安全，比如室內溫度濕度不適宜、對磁場與電磁波抗干擾能力薄弱、電源電力配置落后等[3］。

2.人文因素

人文因素是影響圖書館信息安全的主觀因素，影響后果大，且具有不確定性。主要體現在兩類人群，一類是圖書館工作人員，另一類是用戶。個別圖書館工作人員信息安全意識薄弱，缺乏責任心，專業(yè)背景差以及操作能力不夠，加上管理人員的維護執(zhí)行效果差，在對系統(tǒng)的操作過程中容易造成系統(tǒng)故障，從而影響信息安全。用戶是圖書館數字化過程中比較活躍的使用者，他們對圖書館的使用能力及需求影響著數字圖書館建設的進程。用戶若不能妥善保管個人的終端使用賬號與密碼，隨意轉借他人及與他人共享，并且濫用圖書館網絡信息資源，下載不安全軟件或查看網絡不安全信息等不恰當的操作方式，都會給網絡操作系統(tǒng)帶來威脅。比如我們熟知的黑客惡性入侵，雖然大多數圖書館涉及機密信息不多，但依然有黑客針對系統(tǒng)設置問題、操作系統(tǒng)與軟件漏洞等方面進行攻擊，從而竊取圖書館信息，篡改數據，甚至造成系統(tǒng)癱瘓，嚴重影響圖書館信息資源的共享。

3.技術因素

技術升級是圖書館網絡信息安全的技術保障。我國的信息技術發(fā)展還遠遠滯后于國外技術水平發(fā)達國家，圖書館的數字化發(fā)展也不例外，尤其是社會影響力較大的圖書館，網絡應用系統(tǒng)與日常業(yè)務服務系統(tǒng)很容易由于技術上存在較大漏洞而遭到各類惡性攻擊，以致損壞圖書館良好的社會形象。具有代表性的感染性很強的計算機病毒，是一種人為編制的程序編碼或指令，其占用計算機系統(tǒng)存儲空間，潛伏在系統(tǒng)中，一旦被激活，其破壞力度極大，傳播速度很快，感染范圍廣?！度珖讉€計算機病毒已40歲》指出，從1990年的1 300個，到2000年的5萬個，再到2010年的2億個，在過去四十年里，計算機病毒呈現了爆炸式增長[4］。爆發(fā)的病毒使一些圖書館丟失數據、網絡服務系統(tǒng)癱瘓，給圖書館界造成巨大損失和心理畏懼。另一個尚未得到有效技術遏制的是網絡信息污染，它主要由于網絡上一些無效的信息對有用信息的干擾造成的，這樣就影響了讀者對信息的鑒別難度，降低了信息的利用價值。如今由于網絡開放性及無效信息的增加，網絡信息污染越來越嚴重，主要表現為一些垃圾郵件、虛假信息以及不文明信息等。根據美國IBM公司的測定，很多企業(yè)花費很大精力與資金建立的數據庫由于信息污染問題，可用信息只有10%是真正有價值的。因此，由網絡技術漏洞造成的信息不安全應受到圖書館的高度重視[5］。

4.管理因素

管理機制是圖書館網絡信息安全的關鍵因素，主要是要完善管理體系和制定法律法規(guī)對違規(guī)行為進行約束。如果圖書館不能形成完善的信息安全管理體系，不能加大管理力度，圖書館的網絡信息資源安全問題就很難得到保證。目前很多圖書館的管理人員和技術人員缺乏網絡管理和系統(tǒng)安全配置方面的知識，對網絡信息安全的認識還很模糊，在管理中不能有效發(fā)揮自己的工作職能，對計算機中已存在的問題或者可能出現的問題不能很好地解決及預防，面對信息安全危機時手足無措。另外，圖書館網絡化建設還面臨法律風險，網絡侵權、網絡犯罪的事件時有發(fā)生，甚至超過了傳統(tǒng)法律法規(guī)的管轄范圍。網絡的開放性使得讀者無序地進行網絡信息交流，隨之面臨的將是網絡版權保護問題。雖然數字化的網絡信息資源使用便捷，但部分授權內容若未經過著作權人的同意而被濫用也成為圖書館數字化進程中信息不安全管理因素的一部分，建立健全法律法規(guī)已經刻不容緩。

三、圖書館網絡信息安全問題的解決策略

1.建立嚴格的安全管理制度

（1）加強安全教育，提高圖書館工作人員及讀者的安全意識 網絡信息安全意識不僅僅是圖書館管理人員和技術人員應該關注的事情，圖書館所有的工作人員都要加強安全意識培訓，對用戶的要求也要制定使用規(guī)范。首先，要定期舉辦加強工作人員和用戶信息安全意識的教育培訓，學習相關安全防護知識，增強工作人員的工作效率，培養(yǎng)用戶的使用技能，糾正習慣性錯誤，還要加強大家對信息的保密教育，同圖書館簽署信息保密協(xié)議，增強大家的責任心。其次，加大圖書館信息安全宣傳力度，組織交流活動，發(fā)揮圖書館的主動性，調動用戶對信息的防護意識，成立緊急信息不安全事件自救小組，開展對存在及預測實例研討會，加強對緊急信息不安全事件的處理能力，緩解由于各種因素造成的信息不安全的破壞程度，減輕補救難度。再次，要加強圖書館各部門、管理人員與工作人員、圖書館與用戶之間的監(jiān)督與牽制，采取獎懲措施，進一步提高圖書館工作人員與用戶的信息資源安全意識[6］。

（2）健全法律法規(guī)，形成信息安全制度保障 網絡信息安全不僅僅依靠工作人員和用戶個人的道德修養(yǎng)進行維護，還要制定相應的法律法規(guī)進行規(guī)范[7］。主要體現在：第一，保護用戶個人隱私。2012年，我國第一部圖書館專門法《中華人民共和國公共圖書館法》已進入征求意見階段，其中就明確提出對讀者的個人隱私進行保護。相對于國外而言，我國的圖書館保密政策尚處在初級階段，需要盡快制定相關法律政策，強化對個人隱私的保護。第二，對著作權人知識產權的保護。我國《司法解釋》第2條中規(guī)定：“受著作權法保護的作品，包括著作權法第三條規(guī)定的各類作品的數字化形式。在網絡環(huán)境下無法歸于著作權法第三條列舉的作品范圍，但在文學、藝術和科學領域內具有獨創(chuàng)性并能以某種有形形式復制的其他智力創(chuàng)作成果，人民法院應當予以保護?！钡谌?，懲治網絡犯罪。我國針對網絡犯罪的規(guī)范框架已經基本形成，2012年12月24日十一屆全國人大常委會第三十次會議審議了《全國人民代表大會常務委員會關于加強網絡信息保護的決定（草案）》的議案。草案突出強調國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。與其他犯罪相比，我國對網絡犯罪規(guī)定的法定刑相對偏輕，需要進一步完善，并加大懲處力度?？傊贫ㄏ嚓P網絡信息安全的法律法規(guī)政策，可以幫助圖書館對用戶進行信息保密，保護著作者的知識產權，懲治網絡犯罪行為，完善圖書館信息安全保障體系，塑造良好的社會形象，促進圖書館自身的和諧健康發(fā)展。

（3）培養(yǎng)專業(yè)人才，提供信息安全技術支持 圖書館信息含量大，覆蓋范圍廣，其不僅要保護文化遺產，還要對科學文化知識進行普及，服務于教育科研工作，社會影響力極強。隨著網絡進程步伐的加快，對圖書館網絡技術人才的要求也越來越高。專業(yè)人才的職業(yè)技能與個人素質直接體現了圖書館網絡信息資源的安全程度。在具備相關基礎專業(yè)操作技術的基礎上，他們還需要隨著數字化過程的發(fā)展不斷地充電學習，積極參加圖書館信息安全知識培訓，增強業(yè)務素質與技能水平，并能夠充分地將所學的知識與技能運用于實踐中，做到與時俱進。這不僅僅是個人工作能力的體現，也是為讀者建設良好讀書環(huán)境的要求。因此，不管是公共圖書館還是高校圖書館，一定要培養(yǎng)高素質、高業(yè)務能力的專門人才，并對他們進行定期的、針對性的培訓，打造屬于自己的安全隊伍[8］。

2.制定縝密的技術防范策略

（1）使用安全性網絡設備，加大機房環(huán)境的安全防護力度 我國的技術水平與管理機制一定程度上落后于發(fā)達國家，在引進外國先進設備時由于對產品的認識不夠，很容易造成系統(tǒng)安全隱患，還要花費大量的精力與金錢去研究或聘請外國專家進行檢測與改進，這不是提高網絡設備安全的良好措施。在復雜的網絡環(huán)境中，我們要根據自身安全需求，開發(fā)自己的網絡軟硬件配置，同時吸收外國可利用的先進技術，減少系統(tǒng)漏洞與缺陷的產生。此外，對于計算機工作環(huán)境也要做到合理設計，要有適宜的機房溫度、濕度，保持環(huán)境的清潔，要有抗靜電、電磁波等干擾的能力，還要有防火防水等的設施設備。計算機軟硬件及工作環(huán)境是信息安全的最基本保證，只有使用安全性的網絡設備，建設舒適的機房環(huán)境，才能從根本上減少網絡信息不安全因子[9］。

（2）堅固防火墻技術，加強病毒防范 防火墻技術是目前使用比較廣泛的網絡信息過濾技術，它是內網和外網之間的保護層，內部網絡與外部網絡之間的信息連接需要經過它的檢查與審核才能決定是否傳輸，能夠阻止非法信息的干擾，是網絡信息傳遞與訪問的監(jiān)督者。網絡信息的廣泛傳播與病毒的入侵是相輔相成的，目前對病毒的防御還是我國網絡建設中比較薄弱的環(huán)節(jié)。建立服務器與用戶防御病毒體系，設置專門病毒隔離區(qū)域，定期對防火墻技術與病毒系統(tǒng)進行升級，能夠增強網絡信息系統(tǒng)對病毒的防范能力。此外，還要及時關注最新病毒情況并進行有效抵御，防止病毒進行深層次的毒害，保護網絡信息資源安全[10］。

（3）應用操作權限管理平臺，規(guī)范用戶訪問控制 對于圖書館領域來說，目前相對成熟的權限管理與控制技術是PMI（Privilege Management Infrastructure）即特權管理基礎設施，該技術是以PKI體系為基礎，基于屬性證書（AC），向用戶提供相關的授權服務，并及時進行權限驗證的授權管理平臺。通過單點登錄的統(tǒng)一身份認證與PMI權限控制技術，能夠根據不同用戶的層級對應地設置不同的資源層級訪問權限，二者形成匹配性，從而嚴格控制用戶對資源的訪問，以有效地保證數據與服務安全[11］。因此，圖書館可充分運用這一技術加強權限管理，一方面可以加強對管理人員的培訓，提升操作技能，做好日常的數據維護工作；另一方面，可以根據用戶對信息需求的不同來劃分級別，并對其授予相應訪問級別的權限，使被授權的用戶依據單點登錄進行身份認證，認證有效后方能允許訪問相關資源，確保從用戶端進行信息安全防范。

（4）引入“下一代安全”，提升圖書館安全等級 “下一代安全”是以“智能安全”為核心，兼具高性能、應用感知以及虛擬化支持，對未知威脅和新攻擊形態(tài)實行有效防護的安全解決方案。其特點主要表現為統(tǒng)一平臺及協(xié)同機制、性能更加強勁、應用感知與逃逸防護、第一時間快速服務。邁克菲安全專家指出“下一代安全應該是所有線路的集合、應該具有動態(tài)的、自適應的和不斷演化的特性，它需要具備高性能，同時支持虛擬化環(huán)境防護的部署?！碑斍埃瑖鴥葓D書館由于規(guī)模及自身性質等原因，普遍存在對新安全技術的重視不足、安全意識薄弱等問題，已經不能適應形勢發(fā)展的需要。這就需要在所采用的傳統(tǒng)安全產品的基礎上，引入和掌握諸如“下一代安全”等最新的安全技術，逐步提升圖書館的安全等級，從根本上確保圖書館信息安全，滿足客戶對當前的安全形勢的要求。

[1]袁 梅.復合型圖書館信息安全及策略[J］.現代情報，2005，（6）：19－21.

[2]李 媛.近五年來數字圖書館信息安全問題研究綜述[J］.圖書館學研究，2005，（12）：11－15.

[3]張媛媛，王勝利.論高校圖書館網絡信息安全與防御體系構建[J］.科技情報開發(fā)與經濟，2007，（18）：58－59.

[4]全球首個計算機病毒已40歲[EB／OL］.（2011－03－18）[2013－12－12］.http：／／net security.51cto.com.

[5]李 昕.論圖書館的網絡信息安全[J］.農業(yè)圖書情報學刊，2005，（8）：98－101.

[6]高紅燕.高校圖書館安全防護工作中的問題及對策[J］.科技信息，2013，（4）：486－487.

[7]劉 超.數字圖書館的信息安全分析[J］.現代情報，2009，（6）：72－75.

[8]夏 亮.公共圖書館人才培養(yǎng)建設之淺見——關于太原市圖書館人才培養(yǎng)的思考[J］.科技情報開發(fā)與經濟，2011，（30）：90－93.

[9]趙 巍.淺談圖書館信息安全[J］.法律文獻信息與研究，2008，（2）：67－69.

[10]周威平.圖書館信息安全管理架構與實踐[J］.高校圖書館工作，2010，（5）：70－73.

[11]王長全，艾雨分，姚建文.云計算環(huán)境下數字圖書館信息資源安全策略研究[J］.情報雜志，2010，（3）：184－186.