摘要：隨著數(shù)字圖書館的不斷發(fā)展，數(shù)字圖書館的網(wǎng)絡(luò)信息安全問題逐漸凸顯。系統(tǒng)地解決網(wǎng)絡(luò)信息安全問題已經(jīng)成為數(shù)字圖書館繼續(xù)發(fā)展的當(dāng)務(wù)之急。針對目前數(shù)字圖書館網(wǎng)絡(luò)信息安全問題的現(xiàn)狀及特點，從構(gòu)建數(shù)字圖書館網(wǎng)絡(luò)體系、建立應(yīng)急處理機制、加強管理人員技術(shù)素質(zhì)、制定并落實管理制度等幾個方面入手，提出系統(tǒng)解決數(shù)字圖書館網(wǎng)絡(luò)信息安全問題的對策。

關(guān)鍵詞：數(shù)字圖書館；網(wǎng)絡(luò)信息安全；網(wǎng)絡(luò)體系

DOIDOI：10.11907/rjdk.151166

中圖分類號：TP309

文獻標(biāo)識碼：A 文章編號：16727800（2015）006016703

作者簡介作者簡介：彭歡（1983-），男，湖北武漢人，碩士，中南民族大學(xué)圖書館助理實驗師，研究方向為數(shù)字圖書館與網(wǎng)絡(luò)安全。

0 引言

20世紀90年代以來，伴隨著計算機技術(shù)和信息技術(shù)的發(fā)展，有“信息倉庫”之稱的圖書館，邁入了數(shù)字圖書館高速發(fā)展與建設(shè)期。目前，數(shù)字圖書館建設(shè)已經(jīng)成為我國圖書館工作的重點，各圖書館都投入了大量的人力和財力[1]。同時，現(xiàn)代信息技術(shù)帶來的網(wǎng)絡(luò)信息安全問題，幾乎無一例外地出現(xiàn)在數(shù)字圖書館中，并且在數(shù)字圖書館這個特定的領(lǐng)域表現(xiàn)出一些鮮明的特點。研究圖書館領(lǐng)域的網(wǎng)絡(luò)信息安全問題并制定相關(guān)對策，成為數(shù)字圖書館建設(shè)的當(dāng)務(wù)之急。

1 數(shù)字圖書館概述

1988年，美國學(xué)者伍爾夫（W.Wulf）首次提出了Digital Library這一概念[2]。在中國，數(shù)字圖書館這一概念則是在1996年北京召開的第62屆國際圖聯(lián)（IFLA）大會上首次提出，IBM公司和清華大學(xué)圖書館聯(lián)手展示了“IBM數(shù)字圖書館方案”。從此，數(shù)字圖書館進入到國家扶持和大規(guī)模研發(fā)階段。21世紀初，國家重點科技項目“中國試驗型數(shù)字圖書館”通過專家技術(shù)鑒定，預(yù)示著中國的數(shù)字圖書館研究、建設(shè)已經(jīng)初具規(guī)模[3]。

目前，數(shù)字圖書館尚無一個業(yè)界公認的定義，但通過與傳統(tǒng)圖書館的對比可以幫助人們更好地理解數(shù)字圖書館這一概念[4]。

從表1可以看出，數(shù)字圖書館具有如下基本特征：

（1）館藏資源數(shù)字化。在信息載體上，傳統(tǒng)圖書館完全依賴于紙質(zhì)印刷的書刊、報紙等，數(shù)字圖書館則依托于電子書、聲音、圖像等多媒體數(shù)字資源；在存儲方式上，傳統(tǒng)圖書館需要大容量的物理館藏空間，而數(shù)字圖書館則將數(shù)字資源存儲在光盤、硬盤或者專業(yè)的存儲服務(wù)器上[5]。

（2）服務(wù)推送方式網(wǎng)絡(luò)化。傳統(tǒng)圖書館以館藏資源為中心，讀者需要到圖書館查詢和獲取館藏資源，接受圖書館的特定服務(wù)；而數(shù)字圖書館以讀者為中心，根據(jù)讀者的需求為讀者定制個性化服務(wù)，讀者足不出戶就可以獲取各種圖書館資源。

（3）管理方式高效化。包括對館藏資源的管理、對讀者享有的借閱權(quán)限的管理、對館內(nèi)各類館員的權(quán)限管理等。這在傳統(tǒng)圖書館時代完全依賴于人工、容易出錯且不易控制和監(jiān)督；而在數(shù)字圖書館時代，則可以借助專業(yè)的管理軟件輕松完成，不易出錯且便于監(jiān)督。

2 數(shù)字圖書館網(wǎng)絡(luò)信息安全現(xiàn)狀

2.1 網(wǎng)絡(luò)信息安全概念及特征

網(wǎng)絡(luò)信息安全可以分為網(wǎng)絡(luò)安全和信息安全兩個層面，網(wǎng)絡(luò)安全包含系統(tǒng)安全和應(yīng)用服務(wù)安全；信息安全主要指數(shù)據(jù)安全，包含數(shù)據(jù)、加密、程序等。對于數(shù)字圖書館而言，網(wǎng)絡(luò)信息安全尤為重要，它是數(shù)字圖書館提供優(yōu)質(zhì)、高效、連續(xù)服務(wù)的前提。網(wǎng)絡(luò)信息安全根據(jù)其本質(zhì)界定，具有以下幾個特征[6]：

（1）完整性。信息在傳輸、存儲、處理過程中保持原樣性，這是網(wǎng)絡(luò)信息安全最基本的安全特征。

（2）保密性。保密性指信息不泄漏給非授權(quán)人或?qū)嶓w。

（3）可用性?？捎眯灾感畔⒖梢员皇跈?quán)實體正確訪問，并按要求能正常訪問或在非正常情況下能恢復(fù)使用的特征，即在系統(tǒng)正常運行時能正確存取所需信息，當(dāng)系統(tǒng)遭受攻擊或破壞時能迅速恢復(fù)并投入使用。

（4）可審查性。通信雙方在交互過程中不能抵賴所做出的行為，也不能否認所接受到的對方的信息。

2.2 高校數(shù)字圖書館網(wǎng)絡(luò)信息安全問題

文獻[2]以30家各類數(shù)字圖書館作為樣本，對我國數(shù)字圖書館的網(wǎng)絡(luò)信息安全問題進行了詳細調(diào)查。從調(diào)查結(jié)果來看，現(xiàn)階段，我國數(shù)字圖書館無一例外地發(fā)生過網(wǎng)絡(luò)信息安全事件，網(wǎng)絡(luò)信息安全存在著諸多隱患[7]。

從發(fā)生的安全事件來看，我國數(shù)字圖書館存在的網(wǎng)絡(luò)信息安全問題可分為內(nèi)部安全風(fēng)險和外部安全風(fēng)險兩個方面。

2.2.1 外部安全風(fēng)險

外部安全風(fēng)險主要有：

（1）黑客破壞。對于數(shù)字圖書館而言，黑客可以制造的危害主要體現(xiàn)在3個方面：①惡意破壞數(shù)字圖書館的信息管理系統(tǒng)?，F(xiàn)代數(shù)字圖書館高度依賴信息管理系統(tǒng)，如果信息管理系統(tǒng)遭到惡意破壞，最嚴重的情況將是整個圖書館服務(wù)的癱瘓以及無法挽回的經(jīng)濟損失；②竊取數(shù)字圖書館所擁有的一些特色電子館藏資源和花巨資購買的數(shù)據(jù)庫資源?，F(xiàn)代數(shù)字圖書館已經(jīng)邁入了有償商業(yè)化管理模式，正因為如此，這些有償使用的信息資源就存在被黑客竊取的風(fēng)險；③黑客利用非法手段來使用數(shù)字圖書館專享的網(wǎng)絡(luò)資源。如果黑客控制了數(shù)字圖書館的網(wǎng)絡(luò)系統(tǒng)，就可以不受任何限制的竊用數(shù)字圖書館精密的信息資源，嚴重危害數(shù)字圖書館的建設(shè)、維護和信息安全[8]。

（2）網(wǎng)絡(luò)病毒。在數(shù)字圖書館時代，圖書館內(nèi)部局域網(wǎng)與Internet之間的聯(lián)系越來越緊密，使得圖書館的網(wǎng)絡(luò)設(shè)備和服務(wù)器感染網(wǎng)絡(luò)病毒的風(fēng)險日益增加[9]。如果有網(wǎng)絡(luò)設(shè)備或者服務(wù)器感染病毒，則數(shù)字圖書館的服務(wù)質(zhì)量會大受影響；情況嚴重時，會造成數(shù)字圖書館的網(wǎng)絡(luò)或服務(wù)器的癱瘓、網(wǎng)絡(luò)信息服務(wù)無法開展，甚至?xí)茐膱D書館信息管理系統(tǒng)，造成無法挽回的損失。

2.2.2 內(nèi)部安全風(fēng)險

內(nèi)部安全風(fēng)險主要有：

（1）軟件風(fēng)險。主要指操作系統(tǒng)和應(yīng)用系統(tǒng)本身存在的安全漏洞，這些安全漏洞給黑客和網(wǎng)絡(luò)病毒留下了可乘之機[10]。

（2）管理人員技術(shù)素質(zhì)不足。目前仍有相當(dāng)部分數(shù)字圖書館網(wǎng)絡(luò)管理人員不是計算機網(wǎng)絡(luò)專門人才。一方面，這些管理人員不能及時發(fā)現(xiàn)并排除網(wǎng)絡(luò)信息安全隱患，另一方面，他們在進行網(wǎng)絡(luò)配制和權(quán)限管理時容易留下安全漏洞。

（3）管理制度欠缺，執(zhí)行不到位。當(dāng)前，很多高校圖書館存在網(wǎng)絡(luò)安全管理制度不健全或執(zhí)行力度不夠等問題，這使得網(wǎng)絡(luò)安全體系的安全控制措施不能充分、有效地發(fā)揮其效能，從而給攻擊者提供了可乘之機[11]。

綜上可知，內(nèi)部安全風(fēng)險和外部安全風(fēng)險是一種相互抑制、滋生的關(guān)系。任何一方面的安全風(fēng)險如果暴露在網(wǎng)絡(luò)環(huán)境里，都會被無限放大，并有可能導(dǎo)致其它安全風(fēng)險。

3 解決對策

鑒于以上特點，筆者認為，要從根本上解決數(shù)字圖書館的網(wǎng)絡(luò)信息安全問題，需要從以下3個方面入手：①構(gòu)建一個安全的網(wǎng)絡(luò)體系，保障網(wǎng)絡(luò)自身安全和網(wǎng)絡(luò)業(yè)務(wù)安全；②建立完善信息安全管理的應(yīng)急處理機制；③加強管理人員技術(shù)素質(zhì)，制定并落實管理制度。

3.1 構(gòu)建安全的數(shù)字圖書館網(wǎng)絡(luò)體系

構(gòu)建一個安全的網(wǎng)絡(luò)體系是維護整個數(shù)字圖書館網(wǎng)絡(luò)信息安全的基礎(chǔ)，而這恰恰是很多數(shù)字圖書館建設(shè)中的薄弱環(huán)節(jié)。

圖1展示了一個典型的數(shù)字圖書館網(wǎng)絡(luò)安全拓撲。一套完整的數(shù)字圖書館網(wǎng)絡(luò)安全體系至少應(yīng)該兼顧以下要素：遠程接入安全、邊界安全、內(nèi)網(wǎng)安全、信息中心安全、上網(wǎng)行為安全與統(tǒng)一安全管理[12]。針對這些要素制定網(wǎng)絡(luò)安全方案，設(shè)計合理的網(wǎng)絡(luò)拓撲是構(gòu)建數(shù)字圖書館網(wǎng)絡(luò)安全體系的關(guān)鍵。

（1）遠程接入安全。目前主要有兩大遠程接入安全技術(shù)：IPSec VPN和SSL VPN。IPSec VPN的優(yōu)勢在于保護點對點之間的通信安全；SSL VPN的優(yōu)勢在于Web，它注重的是應(yīng)用軟件的安全性，更多應(yīng)用于Web的遠程安全接入方面。對于數(shù)字圖書館而言，鑒于遠程接入的移動性特點，可以考慮SSL VPN的安全產(chǎn)品。但同時也要考慮接入安全保障、安全管理平臺以及可靠性方面的因素。

（2）邊界安全。數(shù)字圖書館的網(wǎng)絡(luò)體系和其它網(wǎng)絡(luò)體系一樣，需要對網(wǎng)絡(luò)邊界進行有效的管理的控制，以防范黑客、網(wǎng)絡(luò)病毒和其它方面的網(wǎng)絡(luò)入侵。數(shù)字圖書館在選購邊界安全產(chǎn)品時除了要考慮產(chǎn)品的攻擊防范能力外，還要考慮網(wǎng)絡(luò)隔離需求、網(wǎng)絡(luò)優(yōu)化需求、用戶管理需求等。

（3）內(nèi)網(wǎng)安全。內(nèi)網(wǎng)安全是最容易被忽視的一個環(huán)節(jié)。對于目前的網(wǎng)絡(luò)管理者而言，更多的工作是預(yù)防來自外部的攻擊，并進行檢測和處理，而授予內(nèi)部網(wǎng)絡(luò)更多的信任。但統(tǒng)計數(shù)字表明，相當(dāng)多的安全事件是內(nèi)網(wǎng)用戶有意或無意的操作而造成。對于內(nèi)網(wǎng)安全，筆者認為，應(yīng)當(dāng)利用交換機和其它內(nèi)網(wǎng)安全設(shè)備，強制終端用戶在接入網(wǎng)絡(luò)前通過入網(wǎng)強制技術(shù)進行身份認證和安全狀態(tài)評估，幫助管理員實施安全策略，確保終端病毒庫和系統(tǒng)補丁得到及時更新，降低病毒和蠕蟲蔓延的風(fēng)險，阻止來自用戶內(nèi)部的安全威脅。

（4）信息中心安全。信息中心是數(shù)字圖書館中數(shù)據(jù)流動最為頻繁的區(qū)域，任何軟硬件故障或其它安全問題都會導(dǎo)致不可預(yù)估的損失。對于信息中心安全，可以設(shè)置防火墻來應(yīng)對面向網(wǎng)絡(luò)層的攻擊，部署入侵檢測/防御設(shè)備來對抗應(yīng)用層攻擊。還有不可忽視的一點是，信息中心數(shù)據(jù)一定要做好冗余備份，制定災(zāi)難恢復(fù)策略。

（5）上網(wǎng)行為安全。通過部署上網(wǎng)行為管理（AC），可為不同部門、不同用戶、基于時間段進行權(quán)限分配；在安全方面，通過安全網(wǎng)關(guān)的代理功能，保障內(nèi)網(wǎng)用戶的上網(wǎng)安全，在內(nèi)網(wǎng)和外網(wǎng)之間設(shè)立一道安全屏障，使得外網(wǎng)威脅無法滲透到內(nèi)網(wǎng)。

（6）統(tǒng)一安全管理。統(tǒng)一管理主要立足于對全網(wǎng)設(shè)備進行主動監(jiān)控，提前采取主動的干預(yù)動作解決網(wǎng)絡(luò)中的安全問題。在數(shù)字圖書館中部署統(tǒng)一管理平臺，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端、網(wǎng)絡(luò)服務(wù)等納入一個緊密的統(tǒng)一管理平臺中，可以提高整個數(shù)字圖書館網(wǎng)絡(luò)的關(guān)聯(lián)分析和整體防御能力。

3.2 建立應(yīng)急處理機制

在數(shù)字圖書館網(wǎng)絡(luò)信息安全管理過程中，如何應(yīng)對網(wǎng)絡(luò)信息安全管理突發(fā)事件尤為重要。通過建立信息安全突發(fā)事件應(yīng)急預(yù)案、強化科學(xué)處理信息安全突發(fā)事件等措施來完善信息安全應(yīng)急處理機制，將對數(shù)字圖書館的信息安全管理工作起到關(guān)鍵性作用[13]。

首先要做好網(wǎng)絡(luò)信息安全風(fēng)險評估工作。一旦信息系統(tǒng)遭受攻擊，就要對遭受攻擊后的負面結(jié)果有一個預(yù)判，根據(jù)預(yù)判做好補救措施準備；根據(jù)安全事件發(fā)生的可能性和因此造成后果的嚴重程度來識別信息系統(tǒng)的安全風(fēng)險，從而盡可能采取相應(yīng)措施，減少弱點，避免攻擊，保護信息系統(tǒng)免受損害。

其次要建立信息安全突發(fā)事件的應(yīng)急預(yù)案。應(yīng)急預(yù)案應(yīng)當(dāng)包括信息安全事件發(fā)生前采取的危機預(yù)警和檢測以及預(yù)防等措施，還應(yīng)包括信息安全事件發(fā)生后采取的應(yīng)急處理和恢復(fù)措施。這將是處理信息安全事件成功的關(guān)鍵。

最后要科學(xué)處理信息安全突發(fā)事件。處理信息安全突發(fā)事件時要明確處理流程，落實相關(guān)處理人員，根據(jù)風(fēng)險評估以及相對應(yīng)的應(yīng)急處理預(yù)案對號操作，根據(jù)預(yù)案制定相應(yīng)的應(yīng)急處理方案并加以處理。

3.3 加強管理人員技術(shù)素質(zhì)，制定并落實管理制度

國內(nèi)的數(shù)字圖書館大多缺乏專業(yè)的信息安全管理人員，或者說管理人員缺乏全面的信息安全管理知識和技能。因此，數(shù)字圖書館應(yīng)適量引進信息安全管理方面的專門人才并對現(xiàn)有管理人員進行全面、系統(tǒng)、科學(xué)的安全管理培訓(xùn)，從管理人員素質(zhì)入手，提高信息安全管理水平[14]。

此外，數(shù)字圖書館網(wǎng)絡(luò)信息安全管理也離不開管理制度的建設(shè)和相應(yīng)的制度執(zhí)行力。一方面要制定有效的管理措施，對現(xiàn)階段的管理現(xiàn)狀進行改善，防范于未然；另一方面要提高網(wǎng)絡(luò)信息安全管理工作中的制度執(zhí)行力，加強管理人員對管理制度的執(zhí)行意識，并落實監(jiān)督機制，從而確保整個網(wǎng)絡(luò)信息安全管理工作和基本效用和基礎(chǔ)功能。

4 結(jié)語

網(wǎng)絡(luò)信息安全是數(shù)字圖書館各項管理工作的基礎(chǔ)，它將貫穿于數(shù)字圖書館建設(shè)和發(fā)展的全過程[15]。要解決數(shù)字圖書館的網(wǎng)絡(luò)信息安全問題，就必須從數(shù)字圖書館的實際出發(fā)，分析數(shù)字圖書館網(wǎng)絡(luò)信息安全問題的特點，找到一個系統(tǒng)的解決方法。監(jiān)于此，本文提出了系統(tǒng)解決數(shù)字圖書館網(wǎng)絡(luò)信息安全問題的一套方法。

目前，網(wǎng)絡(luò)技術(shù)和計算機技術(shù)依然處于高速發(fā)展時期，在此大環(huán)境下，數(shù)字圖書館的網(wǎng)絡(luò)信息安全也將面臨一些新的問題和挑戰(zhàn)。如何發(fā)現(xiàn)和解決新的問題、如何改進數(shù)字圖書館的網(wǎng)絡(luò)信息架構(gòu)，將是后續(xù)研究的重點。

參考文獻：

[1] 邱均平，樓雯.我國電子圖書數(shù)字圖書館建設(shè)現(xiàn)狀的調(diào)查分析[J].圖書情報工作，2014，58（5）：2228.

[2] 王運景，王林毅.淺析高校數(shù)字圖書館建設(shè)[J].教育教學(xué)論壇，2014（1）：89.

[3] 魏曉萍.我國數(shù)字圖書館研究回顧與展望（19982011）[J].圖書館，2013（4）：7290.

[4] 楊瑩.數(shù)字化圖書館的概念界定與要素分析[J].現(xiàn)代情報，2007（11）：8789.

[5] 劉芝奇.數(shù)字圖書館建設(shè)與發(fā)展[J].信息系統(tǒng)工程，2013（1）：115116.

[6] 禹玲.解讀數(shù)字圖書館的網(wǎng)絡(luò)安全目標(biāo)與保障體系[J].漯河職業(yè)技術(shù)學(xué)院學(xué)報，2014，13（5）：8586.

[7] 鄭德俊，任妮，熊健，黃水清.我國數(shù)字圖書館信息安全管理現(xiàn)狀[J].數(shù)字圖書館，2010（7）：2732.

[8] 保洪才.數(shù)字化圖書館網(wǎng)絡(luò)安全分析與對策探討[J].蘭臺世界，2013（1）：7273.

[9] 黃革.淺談數(shù)字圖書館網(wǎng)絡(luò)信息安全[J].黑龍江檔案，2013（1）：127127.

[10] 馬敏，劉芳蘭，寧嬌麗.高校數(shù)字圖書館網(wǎng)絡(luò)安全風(fēng)險分析與策略[J].中國安全科學(xué)學(xué)報，2010，20（4）：130135.

[11] 段春樂.數(shù)字圖書館主控機房安全分析[J].內(nèi)蒙古科技與經(jīng)濟，2013（18）：6972.

[12] 於建偉.數(shù)字圖書館網(wǎng)絡(luò)安全體系研究[J].武漢船舶職業(yè)技術(shù)學(xué)院學(xué)報，2014（1）：4649.

[13] 張明震.淺析如何完善高校網(wǎng)絡(luò)信息安全管理應(yīng)急處理機制[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（3）：141144.

[14] 肖錕，盧玉，周力軍.數(shù)字圖書館的網(wǎng)絡(luò)信息安全[J].信息通信，2013（10）：125126.

[15] 高琦.數(shù)字圖書館網(wǎng)絡(luò)信息安全分析及對策研究[J].圖書館學(xué)刊，2012（6）：132133.

責(zé)任編輯（責(zé)任編輯：孫 娟）