謝鵬 沈楊芳

[摘 要] 隨著21世紀互聯(lián)網(wǎng)的迅猛發(fā)展，數(shù)字化圖書館也迎來了新的發(fā)展空間。無線局域網(wǎng)技術(shù)和數(shù)字化圖書館網(wǎng)絡(luò)軟硬件產(chǎn)品不斷成熟，再加上現(xiàn)有的數(shù)字化圖書館網(wǎng)絡(luò)安全管理相對滯后，由此導(dǎo)致的諸多隱患和安全威脅盲點已成為數(shù)字化圖書館迫切需要改進的方向。筆者以數(shù)字圖書館的常見安全問題作為主要研究目的，試圖通過分析和研究數(shù)字圖書館的常見安全問題，最終提出完善數(shù)字化圖書館網(wǎng)絡(luò)安全管理的建議。

[關(guān)鍵詞] 數(shù)字圖書館 安全問題 安全管理

中圖分類號：G250.76 文獻標志碼：A

數(shù)字化圖書館是基于信息源與圖書館、讀者與圖書館之間的信息交流方式，是基于互聯(lián)網(wǎng)技術(shù)與圖書館自動化發(fā)展的結(jié)合方式。國家政府大力扶持數(shù)字圖書館建設(shè)，但同時因為復(fù)雜的網(wǎng)絡(luò)問題給中國的數(shù)字圖書館帶來了許多挑戰(zhàn)，尤其是數(shù)字化圖書館網(wǎng)絡(luò)安全問題，給許多圖書館和個人帶來很多威脅。近幾年，人們對信息安全的關(guān)注度越來越高，數(shù)字圖書館需要完善網(wǎng)絡(luò)安全管理。

一、數(shù)字圖書館的常見安全問題

（一）數(shù)字化圖書館硬件漏洞

網(wǎng)卡（網(wǎng)絡(luò)適配器）、貓（調(diào)制解調(diào)器）、路由器三者在我國數(shù)字化圖書館發(fā)展中扮演著十分重要的角色。網(wǎng)絡(luò)硬件市場龐大，導(dǎo)致越來越多的廠商開始從事這方面的業(yè)務(wù)。品牌、廠商不同，直接導(dǎo)致操作方法差別較大，同時每個品牌又有多種型號，導(dǎo)致數(shù)字圖書館的網(wǎng)卡（網(wǎng)絡(luò)適配器）、貓（調(diào)制解調(diào)器）、路由器三者各不相同。

近年來因為硬件產(chǎn)生的安全問題有很多，我國路由器市場發(fā)展較快，但是相應(yīng)的監(jiān)管制度不夠完善，部分路由器存在一些已知的安全風(fēng)險。據(jù)金山毒霸安全中心統(tǒng)計，全國3.3%的路由器DNS曾經(jīng)遭到惡意篡改；除此之外，還有一些路由器的生產(chǎn)技術(shù)較為落后，采用過時的WEP加密協(xié)議（主流家用路由器的標準配置是WPA2協(xié)議），密碼很容易被黑客破解。

（二）數(shù)字化圖書館弱密碼安全威脅[1]

很多管理者在圖書館的密碼依然采用原始密碼，沒有進行修改，這也是非常大的安全威脅。因為密碼一旦泄露，黑客就可以通過后臺來更改數(shù)字化圖書館接入密碼，甚至可以在后臺植入網(wǎng)絡(luò)病毒篡改DNS，劫持網(wǎng)民訪問釣魚網(wǎng)站，直接威脅到用戶的財產(chǎn)安全。

（三）數(shù)字化圖書館DNS劫持威脅

數(shù)字化圖書館的用戶可能因為釣魚網(wǎng)站而被詐騙，這是因為攻擊者劫持了用戶的網(wǎng)頁，用戶以為自己登錄的是熟悉的網(wǎng)絡(luò)，但其實已經(jīng)被黑客所接管，用戶就進入了攻擊者所精心布置的網(wǎng)絡(luò)騙局中，在輸入密碼時被盜取信息還不自知。同時，軟件安全非常重要，譬如使用802.11的服務(wù)群標識符 SSID每年允許進行兩次基本群標識符的人工修改，這個防護手段其實有很多尷尬之處，因為不能經(jīng)常修改，很容易被一些技術(shù)成熟的黑客攻擊；WEP（Wired Equivalent Privacy）其實就是通過采用RC4算法進行加密，可以有效對進入數(shù)字化圖書館的用戶身份進行驗證，但是這種對網(wǎng)絡(luò)資源進行加密的情況僅僅適用于較少的場景，現(xiàn)有的驗證方式還是通過網(wǎng)絡(luò)適配器驗證[2]。

（四）缺乏專職網(wǎng)絡(luò)維護管理人員

現(xiàn)有中國數(shù)字圖書館的安全管理辦法主要有以下幾種：（1）圖書館內(nèi)部設(shè)立網(wǎng)絡(luò)部門，部門設(shè)立數(shù)字圖書館網(wǎng)絡(luò)管理專職人員，通過專職人員實現(xiàn)對圖書館網(wǎng)絡(luò)的安全管理。（2）將數(shù)字圖書館的網(wǎng)絡(luò)維護、維修及安全管理外包給專業(yè)的網(wǎng)絡(luò)公司。（3）無專職人員也無外包公司，無人管理數(shù)字網(wǎng)絡(luò)問題。

事實上，除了第一種情況之外，第二種和第三種都是因為數(shù)字化圖書館網(wǎng)絡(luò)安全管理結(jié)構(gòu)都不夠完善，即使是外包公司的專職網(wǎng)絡(luò)安全人員，也不可能根據(jù)每個圖書館的實際情況設(shè)立出一套完善的接入、訪問、網(wǎng)絡(luò)限制體系，完全是聽從領(lǐng)導(dǎo)者的安排。而圖書館領(lǐng)導(dǎo)很多情況下對網(wǎng)絡(luò)安全又不了解，其下達的命令不夠科學(xué)，導(dǎo)致很多數(shù)字化圖書館網(wǎng)絡(luò)安全管理產(chǎn)生問題。

二、解決數(shù)字圖書館安全問題的對策

（一）提升硬件設(shè)備的安全性能

數(shù)字化圖書館硬件設(shè)備如路由器、貓、服務(wù)器、機房相關(guān)設(shè)備等這些都是非常重要的數(shù)字化圖書館設(shè)備，保護數(shù)字化圖書館網(wǎng)絡(luò)安全的最基礎(chǔ)手段是保證這些設(shè)備的安全，使用更安全的硬件設(shè)備即可大大減少數(shù)字化圖書館被發(fā)現(xiàn)、被攻擊的可能性。

大多數(shù)數(shù)字化圖書館支持SNMP，而攻擊者利用SNMP很容易得知關(guān)于數(shù)字化圖書館的相關(guān)信息，這是導(dǎo)致數(shù)字化圖書館信息泄露的重大安全威脅。想要解決這些也不難，可以通過修改SNMP或者以直接禁用來解決，尤其是對數(shù)字化圖書館SNMP公開及專用的共用字符串進行修改，會大大提升數(shù)字化圖書館網(wǎng)絡(luò)安全性能。

（二）部署封閉的局域網(wǎng)網(wǎng)絡(luò)

數(shù)字化圖書館被攻擊的一個因素是黑客不用進入圖書館內(nèi)部，部署封閉的無線訪問網(wǎng)絡(luò)之后，圖書館需要經(jīng)常對公司數(shù)字化圖書館進行勘測，并反映在圖書館的網(wǎng)絡(luò)拓撲圖里，保證公司的數(shù)字化圖書館信號范圍在掌控中。部署的封閉無線訪問網(wǎng)絡(luò)，導(dǎo)致攻擊者根本無法發(fā)現(xiàn)數(shù)字化圖書館，自然會大大減少對數(shù)字化圖書館的攻擊[3]。

（三）增加維護數(shù)字化圖書館網(wǎng)絡(luò)安全的專業(yè)人員

當前中國數(shù)字圖書館發(fā)展迅速，大型數(shù)字圖書館可以考慮增加專門維護數(shù)字化圖書館網(wǎng)絡(luò)安全人員。當然，對于很多的中小型圖書館來說并不需要專業(yè)的網(wǎng)絡(luò)安全人員，圖書館的網(wǎng)絡(luò)相對來說也很少被攻擊。即使是對于一些大圖書館來說，配備專業(yè)的數(shù)字化圖書館網(wǎng)絡(luò)安全從業(yè)員工也不現(xiàn)實，因為這需要耗費一定的人力資源。但如果連基本的定期檢查也沒有，很容易導(dǎo)致圖書館網(wǎng)絡(luò)出現(xiàn)漏洞也不自知的情況。

比如很多圖書館雖然沒有財務(wù)人員，但是會請專業(yè)的財務(wù)圖書館來審計圖書館財務(wù)，避免出現(xiàn)財務(wù)問題；很多圖書館沒有電力設(shè)備安全人員，但是他們會定期將電力檢修外包給專業(yè)的電力安全圖書館，這些都有效杜絕了一些不良事件的發(fā)生。但是我國專業(yè)從事數(shù)字化圖書館網(wǎng)絡(luò)安全的人員較少、從事數(shù)字化圖書館網(wǎng)絡(luò)安全的圖書館較少，導(dǎo)致了數(shù)字化圖書館網(wǎng)絡(luò)安全威脅的不斷累積，不管對圖書館還是對社會來說，這都是較大的信息安全隱患[4]。

事實上數(shù)字化圖書館網(wǎng)絡(luò)安全管理維度包含了很多內(nèi)容，比如安全防護管理、應(yīng)急調(diào)度中心、審核平臺。對于一些有專業(yè)網(wǎng)絡(luò)部門的公司來說，不僅要設(shè)立專職的網(wǎng)絡(luò)安全人員進行數(shù)字化圖書館防護，還需要做好應(yīng)急準備。當網(wǎng)絡(luò)被攻擊的時候能及時進行調(diào)度，根據(jù)數(shù)字化圖書館威脅程度進行預(yù)警和處理，同時還應(yīng)該設(shè)立專門的數(shù)字化圖書館管理平臺，通過此類平臺可以對檢測到的數(shù)字化圖書館網(wǎng)絡(luò)安全數(shù)據(jù)進行統(tǒng)計和分析[5]。

（四）提升管理員及用戶密碼等級

管理員及用戶如果提升對數(shù)字化圖書館網(wǎng)絡(luò)安全問題的重視程度，將會大大降低管理員及用戶密碼泄露的可能性。而管理員及用戶可能對于數(shù)字化圖書館網(wǎng)絡(luò)安全技術(shù)不是很了解，但是這些也無傷大雅，因為對于管理員及用戶來說，可以通過提升密碼破解難度、定時修改密碼來避免被攻擊的危險。

具體來說也非常簡單，首先來說，管理員需要設(shè)置相對復(fù)雜的密碼，避免弱密碼；其次要定時修改密碼，不僅僅是接入密碼，還要定時修改路由器的登錄密碼，因為路由器密碼被破解之后很容易被植入病毒或劫持網(wǎng)頁；其次，要經(jīng)常登錄路由器后臺查看家庭網(wǎng)絡(luò)使用情況，如果發(fā)現(xiàn)陌生設(shè)備接入，可以對其進行限制。

如果用戶提升對數(shù)字化圖書館網(wǎng)絡(luò)安全問題的重視程度，不主動用陌生數(shù)字化圖書館，那也將大大降低數(shù)字化圖書館網(wǎng)絡(luò)安全威脅，想要提升個人用戶和家庭用戶對數(shù)字化圖書館網(wǎng)絡(luò)安全的重視程度，一方面是靠媒體，另一方面是靠數(shù)字化圖書館網(wǎng)絡(luò)安全教育。媒體的宣傳能提升普通大眾的數(shù)字化圖書館網(wǎng)絡(luò)安全意識，但是如果只是宣傳數(shù)字化圖書館網(wǎng)絡(luò)安全事件，不提供數(shù)字化圖書館網(wǎng)絡(luò)安全事件解決辦法，那也不能從根本上解決問題，所以另外一個非常重要的問題就是提升數(shù)字化圖書館網(wǎng)絡(luò)安全教育。這對提升我國數(shù)字化圖書館網(wǎng)絡(luò)安全，甚至是提升我國互聯(lián)網(wǎng)安全都有著非常重大的意義。

三、結(jié)語

綜上，當前中國數(shù)字圖書館遇到的安全問題主要是軟件問題、硬件問題、安全管理問題與安全知識普及問題?；诖?，筆者以為，對于數(shù)字化圖書館網(wǎng)絡(luò)建設(shè)相關(guān)方來說，應(yīng)該主動提升軟件和硬件安全水平，同時加強對數(shù)字化圖書館網(wǎng)絡(luò)安全的重視，配備相關(guān)的專業(yè)人員定時定期對數(shù)字圖書館網(wǎng)絡(luò)安全問題進行檢查和維護；同時也要做好宣傳教育工作，提升用戶對數(shù)字圖書館安全問題的重視，避免因弱密碼而導(dǎo)致的安全問題。

參考文獻：

[1]國愛民.大數(shù)據(jù)環(huán)境下數(shù)字圖書館安全威脅與對策研究[J].科技資訊，2017， 15（6）：219- 220.

[2]孟猛，朱慶華，袁勤儉等.基于非線性規(guī)劃的數(shù)字圖書館信息安全風(fēng)險組合評估研究[J].情報雜志，2017（6）：128- 133.

[3]孟猛，朱慶華，袁勤儉等.數(shù)字圖書館信息安全風(fēng)險組合評估研究——基于非線性規(guī)劃法[J].情報雜志，2017，36（6）.

[4]胡昌平.云環(huán)境下數(shù)字圖書館信息資源安全[J].數(shù)字圖書館論壇，2017（7）：1- 1.

[5]顧海峰.分析數(shù)字圖書館網(wǎng)絡(luò)系統(tǒng)安全與數(shù)據(jù)安全問題[J].中國高新區(qū)，2017（15）.