易炳明

摘 要：目前我國(guó)的大多數(shù)圖書(shū)館都邁向了數(shù)字化的時(shí)代，如何保障信息安全是數(shù)字化圖書(shū)館所要面臨的新的挑戰(zhàn)。通過(guò)建立數(shù)字化圖書(shū)館信息安全保障體系來(lái)保障讀者既可以充分使用圖書(shū)館的信息資源也可以充分的保證數(shù)字化圖書(shū)館的信息和網(wǎng)絡(luò)安全。建立數(shù)字化圖書(shū)館信息安全保障體系不是一個(gè)簡(jiǎn)單的程序而是一個(gè)復(fù)雜的系統(tǒng)工程，涉及的方面也有很多，比如組織管理、信息安全技術(shù)、安全基礎(chǔ)設(shè)施等，本文對(duì)數(shù)字化圖書(shū)館信息安全保障體系的建立進(jìn)行了探討。

關(guān)鍵詞：數(shù)字化圖書(shū)館；信息安全技術(shù)；信息安全保障

伴隨我國(guó)網(wǎng)絡(luò)技術(shù)的深入發(fā)展，我國(guó)圖書(shū)館領(lǐng)域也逐漸轉(zhuǎn)向了數(shù)字化、現(xiàn)代化的新時(shí)代，如何保障信息安全已經(jīng)成為數(shù)字化圖書(shū)館所要面臨的新的挑戰(zhàn)。新時(shí)代的圖書(shū)館信息安全保障和傳統(tǒng)方式的圖書(shū)館防偷、防盜存在著差異，傳統(tǒng)的圖書(shū)館可能只是丟幾本書(shū)，但是現(xiàn)代化圖書(shū)館丟掉的則是數(shù)據(jù)信息，嚴(yán)重時(shí)可能導(dǎo)致整個(gè)圖書(shū)館信息系統(tǒng)的癱瘓，所以一定要做好數(shù)字化圖書(shū)館的信息安全保障工作，盡快建立起安全保障體系。

1 信息安全發(fā)展的現(xiàn)狀

我國(guó)的信息安全正逐漸走向成熟，信息安全所經(jīng)歷的階段主要有三個(gè)節(jié)點(diǎn)：通信保密階段、計(jì)算機(jī)安全和信息安全階段、信息保障階段。

在20世紀(jì)40年代產(chǎn)生了通信保密階段，加密數(shù)據(jù)是這個(gè)階段的主要工作；從20世紀(jì)70年代起，保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件以及處理、存儲(chǔ)、傳輸信息的保密性成為了關(guān)注的重點(diǎn)，并在這個(gè)階段相關(guān)的技術(shù)得到了穩(wěn)定得到發(fā)展。

從20世紀(jì)90年代以來(lái)，鑒于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和通信技術(shù)的快速發(fā)展，大眾開(kāi)始將關(guān)注的重點(diǎn)轉(zhuǎn)移到了信息本身，不再只是關(guān)注計(jì)算機(jī)的安全性，這個(gè)過(guò)程是質(zhì)的轉(zhuǎn)變，信息的關(guān)注主要體現(xiàn)在對(duì)信息存儲(chǔ)、處理、傳輸這個(gè)過(guò)程中的保護(hù)，保證它們不被非法入侵和更改，保證信息的安全。在這個(gè)階段既含有計(jì)算機(jī)安全也包括了信息安全，由于這兩者在時(shí)間上并沒(méi)有明確的界限，所以將這個(gè)階段稱為計(jì)算機(jī)安全和信息安全階段。

到目前為止，以美國(guó)為首的發(fā)達(dá)國(guó)家提出了“信息保障”的說(shuō)法，即“保護(hù)和防御信息及信息系統(tǒng)的安全不受侵害，保證信息的安全性、完整性、保密性等。這意味著可以在信息系統(tǒng)中加入保護(hù)、檢測(cè)、反應(yīng)功能，并且提供了信息系統(tǒng)的恢復(fù)功能”，這個(gè)概念的提出標(biāo)志著信息安全進(jìn)入了信息安全保障階段。目前我國(guó)關(guān)于信息安全保障方面的研究還不是很深入，整體處于探索階段，但是已經(jīng)引起了國(guó)家有關(guān)領(lǐng)導(dǎo)人的高度重視。做好信息安全保障工作，推進(jìn)信息化進(jìn)程的發(fā)展，是建設(shè)信息安全保障體現(xiàn)的前提。

這幾年，我國(guó)圖書(shū)館數(shù)字化進(jìn)程發(fā)展的很快，但是目前的數(shù)字化圖書(shū)館在安全技術(shù)方面對(duì)信息安全的研究還不是很多，就信息安全技術(shù)這方面而言，信息安全保障系統(tǒng)還沒(méi)有建設(shè)完成。通過(guò)使用信息安全技術(shù)來(lái)分析和探究數(shù)字化圖書(shū)館的信息安全保障工作，為接下來(lái)的信息安全保障系統(tǒng)的研究打好基礎(chǔ)，盡可能的提高數(shù)字化圖書(shū)館的信息安全水平，切實(shí)做好數(shù)字化圖書(shū)館的信息安全保障工作，避免信息外泄，保護(hù)使用者的合法權(quán)益。

2 信息安全的要素和威脅

2.1 信息安全要素

構(gòu)成信息安全的要素通常具備機(jī)密性、完整性、可用性、可控性與可審查性這5個(gè)基本的要素。第一，機(jī)密性，要保證信息不泄露給未授權(quán)的用戶或者進(jìn)程；第二，完整性，只有經(jīng)過(guò)授權(quán)的用戶才能對(duì)數(shù)據(jù)進(jìn)行修改，并且可以檢測(cè)數(shù)據(jù)是不是已經(jīng)被修改；第三，可用性，經(jīng)過(guò)授權(quán)的用戶可以在需要的時(shí)候進(jìn)行數(shù)據(jù)訪問(wèn)，攻擊者不可以占用所有的資源并且阻礙授權(quán)者的工作；第四，可控性，可以對(duì)授權(quán)范圍之內(nèi)的信息流向以及行為方式進(jìn)行控制，避免出現(xiàn)不可控現(xiàn)象的出現(xiàn)；第五，可審查性，當(dāng)網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題的時(shí)候，可以提供有利的調(diào)查依據(jù)和手段。

2.2 網(wǎng)絡(luò)存在的威脅

當(dāng)前網(wǎng)絡(luò)存在的威脅通常體現(xiàn)在以下幾個(gè)方面：第一，非授權(quán)訪問(wèn)，沒(méi)有經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或著計(jì)算機(jī)資源這被看作是非授權(quán)訪問(wèn)，比如故意避開(kāi)系統(tǒng)的訪問(wèn)控制機(jī)制，非正常使用網(wǎng)絡(luò)設(shè)備以及相關(guān)資源，此外有些用戶會(huì)擅自擴(kuò)大自己的使用權(quán)限，訪問(wèn)一些未被授權(quán)的信息，主要有下面幾種方式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作等。第二，信息泄漏或著丟失，一般指具有敏感性質(zhì)的數(shù)據(jù)在有意或者無(wú)意的情況下被泄漏或者被丟失，主要表現(xiàn)在：在傳輸?shù)倪^(guò)程中，信息丟失或者泄漏；在存儲(chǔ)環(huán)節(jié)中，信息丟失或者泄漏，擅自搭建隱蔽隧道對(duì)敏感數(shù)據(jù)進(jìn)行盜取。第三，破壞信息完整性。通過(guò)使用不正當(dāng)?shù)氖侄蝸?lái)獲取數(shù)據(jù)的使用權(quán)，并對(duì)數(shù)據(jù)進(jìn)行刪除、修改、插入等以實(shí)現(xiàn)不法者的目的；或者對(duì)數(shù)據(jù)進(jìn)行惡意添加，修改以妨礙用戶的正常使用。第四，拒絕服務(wù)攻擊。對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)通過(guò)持續(xù)的攻擊進(jìn)行干擾，對(duì)其合規(guī)的作業(yè)流程進(jìn)行干擾，肆意運(yùn)行無(wú)關(guān)的程序以致系統(tǒng)運(yùn)行減慢或者癱瘓，嚴(yán)重影響了用戶的正常使用。

3 研究的基本思路和方法

根據(jù)以上所提到的信息安全要素和威脅因素，對(duì)于提高信息安全技術(shù)水平，我們可以從以下幾個(gè)方面著手，加強(qiáng)研究數(shù)字化圖書(shū)館的信息安全保障系統(tǒng)。

第一，信息安全策略。在研究安全策略方面的時(shí)候，可以從數(shù)據(jù)的完整性、數(shù)據(jù)的真實(shí)性、數(shù)據(jù)的容易獲得性以及數(shù)據(jù)的安全性等方面進(jìn)行研究。第二，授權(quán)。明確指出哪些用戶是系統(tǒng)訪問(wèn)的合法使用者，具體有哪些訪問(wèn)權(quán)限。認(rèn)證的前提是授權(quán)，認(rèn)證的目的是為了驗(yàn)證授權(quán)。目前的系統(tǒng)中通常會(huì)設(shè)有角色這個(gè)概念，那些具備相對(duì)固定權(quán)限的用戶可以設(shè)置為一個(gè)角色。第三，身份認(rèn)證。當(dāng)使用者在訪問(wèn)系統(tǒng)資源的時(shí)候，系統(tǒng)為了確保使用者的身份是不是真實(shí)的，這個(gè)過(guò)程就是認(rèn)證。第四，數(shù)字水印技術(shù)和指紋技術(shù)。隨著科技的發(fā)展，先進(jìn)的數(shù)字水印技術(shù)和指紋技術(shù)都可以對(duì)數(shù)字化著作版權(quán)進(jìn)行保護(hù)。在多媒體數(shù)據(jù)庫(kù)里保存那些數(shù)字、序列號(hào)、文字、圖像標(biāo)志等有關(guān)的信息這就是數(shù)字水印技術(shù)的核心內(nèi)容，它的目的是將文件信息和圖形來(lái)源等合法使用人擁有這些信息的使用權(quán)和有關(guān)權(quán)限來(lái)保護(hù)版權(quán)和數(shù)據(jù)文件的安全和真實(shí)；給被保護(hù)的作品賦予一個(gè)身份記號(hào)并且是唯一的這就是指紋技術(shù)的應(yīng)用原理，可以對(duì)不法拷貝行為進(jìn)行鑒別，倘若有兩個(gè)不同的作品且它們的指紋一樣，那么就可以斷定其中有一個(gè)是非法的拷貝。當(dāng)前的指紋技術(shù)所使用的大多是非對(duì)稱密碼體制，當(dāng)客戶買(mǎi)回一件作品的時(shí)候，還可以得到一些與指紋有關(guān)的信息，但是非法拷貝的用戶并不知道這件事，以明確的判斷哪一個(gè)才是合法合規(guī)的使用者。

經(jīng)過(guò)上面種種技術(shù)的分析，在最后對(duì)研究進(jìn)行整合，在這個(gè)過(guò)程中不僅要將種種的技術(shù)進(jìn)行整合，本質(zhì)上也是一個(gè)復(fù)雜的系統(tǒng)工程。各種信息安全技術(shù)經(jīng)過(guò)系統(tǒng)的工程進(jìn)行集合整理，最終實(shí)現(xiàn)效果的最佳，這樣可以給數(shù)字化圖書(shū)館信息安全保障體系的建立打下堅(jiān)實(shí)的理論基礎(chǔ)，給數(shù)字化圖書(shū)館安全保障體系管理系統(tǒng)的建設(shè)做好前期準(zhǔn)備。

4 結(jié)語(yǔ)

綜上所述，通過(guò)建立數(shù)字化圖書(shū)館信息安全保障體系來(lái)保障讀者既可以充分使用圖書(shū)館的信息資源也可以充分的保證數(shù)字化圖書(shū)館的信息和網(wǎng)絡(luò)安全。依據(jù)有關(guān)的信息安全保障體系概念，可以使用多種技術(shù)進(jìn)行信息安全的保護(hù)，比如授權(quán)訪問(wèn)、認(rèn)證技術(shù)、數(shù)字水印技術(shù)等，給數(shù)字化圖書(shū)館安全保障體系管理系統(tǒng)的建設(shè)做好前期準(zhǔn)備。

參考文獻(xiàn)

[1]數(shù)字圖書(shū)館信息安全與容災(zāi)[J].胡風(fēng)娥，吳曉波.圖書(shū)館.2008（06）.

[2]數(shù)字化過(guò)程中圖書(shū)館數(shù)據(jù)信息安全問(wèn)題研究[J].劉賽君，胡曉雯.圖書(shū)情報(bào)工作.2006（S1）.

[3]高校圖書(shū)館的信息安全問(wèn)題研究[J].張學(xué)宏，張振圣.圖書(shū)情報(bào)工作.2006（S1）.endprint