李思藝

摘? 要：該文通過檢索中國(guó)知網(wǎng)中關(guān)于高校圖書館信息安全相關(guān)文獻(xiàn)，并對(duì)其內(nèi)容分析，并以文獻(xiàn)綜述的形式表現(xiàn)出來。分析發(fā)現(xiàn)我國(guó)高校圖書館信息安全研究主要集中于技術(shù)安全、物理安全、人員安全和組織安全幾個(gè)方面，得出我國(guó)高校圖書館信息安全的研究是以組織安全為導(dǎo)向，各種安全技術(shù)齊頭并進(jìn)，同時(shí)注重人員與技術(shù)管理的結(jié)合，并在結(jié)尾處提及高校圖書館信息安全研究的不足和展望。

關(guān)鍵詞：高校圖書館? 信息安全? 文獻(xiàn)綜述

中圖分類號(hào)：G251 ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2020）05（c）-0174-03

目前的信息安全，主要包括物理安全和邏輯安全[1]兩個(gè)方面。物理安全是指各種信息、通信設(shè)備、設(shè)施等有形物品不受到如雨淋、雷擊、受潮等自然因素影響和人為失誤造成的安全影響;而邏輯安全則是通常所說的保持信息的完整性、保密性和可用性。物理安全和邏輯安全缺一不可，二者缺其一，信息安全便可能受到影響。

該文以2019年11月5日（SU='高校圖書館'AND（SU='信息安全管理'OR SU='信息安全'））為檢索式對(duì)知網(wǎng)進(jìn)行專業(yè)檢索，排除非高校圖書館和非信息安全類文章，同時(shí)以被引量從高到低排序，選取被引量大于0的文章，最后得到2篇碩士論文和60篇期刊。

通過對(duì)上述文獻(xiàn)進(jìn)行分類，發(fā)現(xiàn)我國(guó)高校圖書館信息安全研究主要涉及：（1）技術(shù)安全研究;（2）物理安全研究;（3）人員安全研究;（4）組織安全研究。該文將對(duì)這幾方面的研究進(jìn)展進(jìn)行綜述。

1? 技術(shù)安全研究進(jìn)展

信息安全技術(shù)研究是高校圖書館信息安全研究中的熱點(diǎn)和重點(diǎn)，學(xué)者們對(duì)能夠保障高校圖書館信息安全的技術(shù)展開了大量研究。

在安全技術(shù)研究中，張靜鵬、周秀霞、楊雨師[1]介紹了HTTPS協(xié)議能提升高校圖書館信息安全。HTTPS協(xié)議可對(duì)交換數(shù)據(jù)進(jìn)行加密，使得圖書館學(xué)術(shù)數(shù)據(jù)和用戶數(shù)據(jù)在傳輸時(shí)不容易被竊取，從而保障高校圖書館數(shù)據(jù)傳輸中的信息安全。焦從蓉認(rèn)為高校圖書館中使用Web應(yīng)用防火墻可以增加信息安全，其優(yōu)點(diǎn)在于Web應(yīng)用防火墻的工作層面在應(yīng)用層，且其靈活性強(qiáng)，可以根據(jù)需求的不同，購(gòu)買硬件型或軟件型兩種不同類型的防火墻，使得高校圖書館防護(hù)作用顯著增強(qiáng)[2]。李琳在數(shù)據(jù)備份上提及RAID 技術(shù)，能對(duì)高校圖書館管理系統(tǒng)數(shù)據(jù)即時(shí)鏡像備份，顯著提高數(shù)據(jù)安全性[3]。此外，張媛媛、王勝利談到網(wǎng)絡(luò)信息加密常用的3種方法，包括鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密，以及使用多網(wǎng)卡綁定技術(shù)應(yīng)用于服務(wù)器中的好處[4]。肖榮榮重點(diǎn)介紹了防火墻技術(shù)、漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)（IDS）這3種加強(qiáng)高校圖書館信息安全的網(wǎng)絡(luò)技術(shù)[5]。在虛擬局域網(wǎng)技術(shù)（VLAN）方面，楊鈺曼介紹了高校圖書館使用VLAN技術(shù)的優(yōu)勢(shì)[6]，張小英也談到采用VLAN劃分技術(shù)能使圖書館信息管理服務(wù)脫離設(shè)備的物理限制，極大地提高圖書館網(wǎng)絡(luò)信息安全工作的靈活度[7]。

也有研究者提出高校圖書館信息安全技術(shù)應(yīng)與管理相結(jié)合。網(wǎng)絡(luò)攻擊事件80%源于網(wǎng)絡(luò)內(nèi)部，這個(gè)調(diào)查結(jié)果來自梁世玲、鄧保國(guó)的文章關(guān)于高校圖書館信息安全風(fēng)險(xiǎn)和對(duì)策的研究。他們強(qiáng)調(diào)高校圖書館管理技術(shù)需齊頭并進(jìn)，實(shí)行“攘外必先安內(nèi)”的策略[8]。

2? 物理安全研究進(jìn)展

高校圖書館的物理安全是指那些存放于圖書館中的服務(wù)器、書籍、電子資源等有形和無形資產(chǎn)免受自然災(zāi)害或人為原因造成的損害。物理安全的進(jìn)展主要在以下兩個(gè)方面。

2.1 實(shí)施物理安全措施

鄭志軍認(rèn)為高校圖書館的物理安全需要做好物理安全區(qū)域設(shè)定、物理設(shè)備設(shè)施安全、物理設(shè)備設(shè)施與安全區(qū)域的安全控制措施這3個(gè)方面的工作[9]。他認(rèn)為高校圖書館在設(shè)計(jì)時(shí)就應(yīng)當(dāng)考慮安全區(qū)域的規(guī)劃。一方面能減少物理原因?qū)?shù)據(jù)的影響，另一方面防止圖書館的設(shè)施與業(yè)務(wù)在未經(jīng)授權(quán)的訪問情況下發(fā)生干擾或破壞。在劉卓然文章中，也談及需要密切注重建筑的排布線路等問題，不要將設(shè)備放置于不穩(wěn)定因素區(qū)域內(nèi)[10]。楊洋、趙玲玲、盧洋[11]晁陽(yáng)[12]針對(duì)物理安全提出了一些建議措施：安裝全覆蓋煙霧感應(yīng)消防系統(tǒng)和避雷設(shè)備;使用UPS不間斷電源應(yīng)對(duì)斷電造成的數(shù)據(jù)中斷、丟失等情況;采用服務(wù)器群集技術(shù)對(duì)數(shù)據(jù)備份。也有學(xué)者提出使用“三無一禁”的安全防范政策來達(dá)到維護(hù)信息安全，即無光驅(qū)、無軟驅(qū)、無保存（硬盤保護(hù)卡），禁用USB，只通過內(nèi)網(wǎng)交換機(jī)訪問圖書館系統(tǒng)服務(wù)器[13]。此外，許多學(xué)者提到使用異地備份、定期自動(dòng)、不定期手動(dòng)等方式保障數(shù)據(jù)安全，同時(shí)關(guān)注設(shè)備的保護(hù)，包括防火、防水、防潮、防盜、防磁化等。

2.2 采用云計(jì)算技術(shù)

有學(xué)者提出可使用云計(jì)算技術(shù)來規(guī)避高校圖書館物理安全風(fēng)險(xiǎn)，即通過購(gòu)買云服務(wù)，將高校圖書館重要數(shù)據(jù)資源托管給云服務(wù)商，自己同時(shí)備份重要資源，達(dá)到雙重保障的目的。金志敏談到云計(jì)算會(huì)對(duì)圖書館的服務(wù)模式產(chǎn)生深遠(yuǎn)影響。通過云計(jì)算模式，使得高校圖書館可以最大發(fā)揮“社會(huì)資源中心”的作用[14];云計(jì)算能保障數(shù)據(jù)不被泄露且能夠正確無誤地提取所需數(shù)據(jù)，這是數(shù)據(jù)安全的兩大表現(xiàn)。所以，云計(jì)算能保障高校圖書館信息安全。

3? 人員安全的進(jìn)展

高校圖書館的人員安全分為圖書館員安全和其他非圖書館員安全。圖書館員的研究?jī)A向于教育培訓(xùn)、人才培養(yǎng);其他人員的研究側(cè)重于分析安全威脅因素。

3.1 重視圖書館員信息素養(yǎng)和技能培訓(xùn)

館員安全的研究者中李容、郝麗佳認(rèn)為館員應(yīng)具有信息開發(fā)利用觀、信息質(zhì)量觀、信息人本觀、信息超前觀、信息安全觀這5種應(yīng)有的素質(zhì)和能力，而不只是安全觀念[15]。李思林強(qiáng)調(diào)人才培養(yǎng)的重要性。他談到高校館員缺乏文獻(xiàn)情報(bào)教育，缺乏現(xiàn)代情報(bào)技術(shù)和技能，建議聘請(qǐng)專家對(duì)圖書館員進(jìn)行技能培訓(xùn)，并納入員工考核項(xiàng)目。同時(shí)可以聘請(qǐng)專業(yè)信息安全員[16]。此外，周秀霞、張立新[17]通過調(diào)研吉林省高校圖書館信息安全，得出安全不能得到良好防護(hù)的重要原因有高校圖書館員交流合作少，各成體系;沒有管理、技術(shù)、安全管理制度、管理文化等方面的共享。

3.2 非圖書館員的威脅因素

學(xué)生是高校圖書館重大信息安全威脅來源之一。宋震指出學(xué)生易受好奇心驅(qū)使，且易獲得圖書館IP，即可通過ARP欺詐等手段對(duì)圖書館網(wǎng)絡(luò)進(jìn)行破壞，且效果很快就會(huì)顯現(xiàn)[18]。周莉提出被授權(quán)訪問的用戶可能，無意識(shí)甚至有意識(shí)地對(duì)圖書館的資源進(jìn)行復(fù)制和傳播，使高校圖書館的知識(shí)產(chǎn)權(quán)受到侵犯;更有高端用戶如果通過數(shù)據(jù)挖掘等技術(shù)將高校圖書館的資源整合成新數(shù)據(jù)產(chǎn)品并買賣，造成知識(shí)產(chǎn)權(quán)界定不清的問題[19]。周進(jìn)、熊建武、戴小鵬則談到維修電腦服務(wù)器可能造成安全機(jī)制曝光，且為方便維護(hù)人員檢查而設(shè)置的軟件“后門”程序則會(huì)嚴(yán)重影響高校圖書館的信息安全[20]。張學(xué)宏、張振圣不僅提出采購(gòu)的設(shè)備可能就存在安全隱患的安全問題，可能還會(huì)對(duì)高校圖書館的文化造成影響[21]。

4? 組織安全的研究進(jìn)展

組織安全的研究主要包括信息安全政策制度研究、信息安全體系構(gòu)建研究、安全模型研究等，目的在于掌握信息安全的整體狀況，便于統(tǒng)籌協(xié)調(diào)。

4.1 政策制度研究為導(dǎo)向

政策制度信息安全研究是為高校圖書館提供導(dǎo)向，許多研究者都提到其在高校圖書館的重要性。周秀霞、張立新[17]就談到由于缺乏國(guó)家統(tǒng)一的政策文件，致使各高校沒有統(tǒng)一的信息安全定義，造成實(shí)際安全效果偏差較大。李琳也提出建立健全圖書館安全管理制度和操作規(guī)程是核心，要求做到“實(shí)體可信，行為可控，資源可管， 事件可查， 運(yùn)行可靠”[3]。王元提出可將美國(guó)管理學(xué)家彼得的“木桶原理”應(yīng)用于高校數(shù)字圖書館信息安全保障，同時(shí)指出人才和管理體系建設(shè)的重要性[22]。

4.2 信息安全體系框架的建立

霍明月在她的論文中提出引入國(guó)際安全標(biāo)準(zhǔn)ISO27001對(duì)高校圖書館信息安全管理體系進(jìn)行構(gòu)建[23]。南楠[24]提出不能只注重單一技術(shù)研究，而應(yīng)建立一個(gè)現(xiàn)代化的，涵蓋技術(shù)、管理、資源、法律等多方面內(nèi)容的綜合信息安全體系;周莉[25]認(rèn)為要建立起一整套信息安全管理的機(jī)制，實(shí)行分級(jí)管理，逐層負(fù)責(zé)的方式，設(shè)立學(xué)校、圖書館、信息安全專業(yè)技術(shù)人員以及讀者四級(jí)管理體系;楊威則以用戶為基礎(chǔ)還是以書籍對(duì)用戶的關(guān)系為基礎(chǔ)來對(duì)信息安全進(jìn)行分級(jí)做了探究，同時(shí)建議需以紙質(zhì)保存數(shù)據(jù)恢復(fù)等程序，并經(jīng)常培訓(xùn)和演習(xí)[26]。也有研究者提出，信息安全不僅是創(chuàng)建一個(gè)完美的信息安全構(gòu)架，更要為信息提供保護(hù)[27]。

4.3 設(shè)計(jì)實(shí)施安全模型

信息安全設(shè)計(jì)實(shí)施安全模型是信息安全研究中重要的一環(huán)，通過設(shè)計(jì)實(shí)施安全模型，將風(fēng)險(xiǎn)量化，形成一套實(shí)操性強(qiáng)的方案，并提前對(duì)高隱患的資產(chǎn)和區(qū)域進(jìn)行檢查，達(dá)到降低信息安全風(fēng)險(xiǎn)目的。在這一領(lǐng)域中，嚴(yán)莊介紹了WPDRRC動(dòng)態(tài)安全模型的演進(jìn)歷程和理論基礎(chǔ)， 探討了基于該模型的動(dòng)態(tài)的高校圖書館網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建方法[28]。朱雷、王美蘭、卜世波也運(yùn)用了灰色層次分析法對(duì)圖書館信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，為圖書館風(fēng)險(xiǎn)決策管理提供科學(xué)依據(jù)[29]。

5? 不足與展望

通過對(duì)高校圖書館技術(shù)安全、物理安全、人員安全和組織安全這四方面的綜述，發(fā)現(xiàn)上述4種安全并不是獨(dú)立存在的，而是相互融合、相互補(bǔ)充。用一句話總結(jié)發(fā)展趨勢(shì)，那便是我國(guó)高校圖書館信息安全研究有重大突破，逐漸形成了以組織研究為導(dǎo)向，各種安全技術(shù)齊頭并進(jìn)，同時(shí)重視與人員管理的結(jié)合，物理安全則滲透入組織安全、人員安全和技術(shù)安全中，在組織、技術(shù)、人員的三位一體中尋找易實(shí)施、高成效的信息安全管理方案。

當(dāng)然，事物都有兩面性。上述的研究也存在諸多不足：第一，在技術(shù)安全方面：忽視技術(shù)在圖書館的實(shí)施環(huán)境和作用域;對(duì)非圖書館領(lǐng)域的技術(shù)缺乏測(cè)試研究，效用難以鑒定;研究的安全防范技術(shù)幾乎各自為政，缺乏統(tǒng)一的安全機(jī)制，沒有形成全面可控的安全體系結(jié)構(gòu)[28]，安全技術(shù)成本、人工成本、管理成本等因素技術(shù)研究中鮮有提及。第二，物理安全方面。物理安全沒有完善的安全體系，措施單一，缺乏實(shí)際操作性;云計(jì)算技術(shù)作為規(guī)避安全問題的新方法，卻難以把控云端儲(chǔ)存數(shù)據(jù)問題，包括數(shù)據(jù)儲(chǔ)存位置，服務(wù)器處于哪個(gè)國(guó)家，該國(guó)家能否保證信息不被泄露也尚未可知[14]。第三，在人員安全方面。研究者傾向于對(duì)安全問題和現(xiàn)象的發(fā)現(xiàn)和總結(jié)，鮮有提出有效措施，難有針對(duì)性建議。第四，在組織安全方面。研究的不足主要是其更多在于理論性探討，卻缺乏與高校圖書館實(shí)際業(yè)務(wù)的結(jié)合。

該文寫作目的就是如此，通過文獻(xiàn)綜述找出我國(guó)高校圖書館信息安全研究熱點(diǎn)，發(fā)現(xiàn)其中的創(chuàng)新和不足，希望借由該文讓更多的學(xué)者關(guān)注高校圖書館信息安全的發(fā)展，為高校圖書館信息的安全保護(hù)添磚加瓦。

參考文獻(xiàn)

[1] 張靜鵬，周秀霞，楊雨師.淺析HTTPS對(duì)高校圖書館安全能力的提升[J].農(nóng)業(yè)圖書情報(bào)，2019，31（2）：62-67.

[2] 焦叢蓉.Web應(yīng)用防火墻在高校圖書館的應(yīng)用[J].黑龍江史志，2013（15）：178.

[3] 李琳，司守勤.網(wǎng)絡(luò)環(huán)境下高校圖書館信息安全及對(duì)策[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2008（7）：41-42.

[4] 張媛媛，王勝利.論高校圖書館網(wǎng)絡(luò)信息安全與防御體系構(gòu)建[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2007（28）：58-59.

[5] 肖榮榮.高校圖書館網(wǎng)絡(luò)信息安全問題及解決方案[J].現(xiàn)代情報(bào)，2006（2）：67-68.

[6] 楊鈺曼.高校圖書館網(wǎng)絡(luò)信息安全淺論[J].無線互聯(lián)科技，2014（12）：196.

[7] 張小英.高校圖書館網(wǎng)絡(luò)信息安全問題探討[J].電腦迷，2017（12）：152.

[8] 梁世玲，鄧保國(guó).高校圖書館網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)與對(duì)策[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2006（8）：53-55.

[9] 鄭志軍.基于影響高校圖書館信息安全管理要素及關(guān)鍵點(diǎn)的評(píng)議[J].戲劇之家，2014（5）：287.