林 新 （海南師范大學(xué)圖書館 海南 海口 571158）

目前，國(guó)內(nèi)高校圖書館信息安全管理水平相對(duì)較低，大多數(shù)高校圖書館還停留在依賴技術(shù)提供安全保障的階段。美國(guó)高校圖書館經(jīng)過多年發(fā)展，積累了十分豐富的信息安全管理經(jīng)驗(yàn)，取得了良好的成效。許多美國(guó)高校圖書館建立了一套完善的信息安全管理體系，具有健全的管理制度和組織機(jī)構(gòu)，能夠有效應(yīng)對(duì)各類突發(fā)信息安全問題。本文選取了美國(guó)幾所著名高校的圖書館，如斯坦福大學(xué)、哈佛大學(xué)和伯克利大學(xué)的圖書館等作為實(shí)證分析對(duì)象，對(duì)其信息安全管理進(jìn)行深入分析，對(duì)其組織架構(gòu)、管理制度、管理文化等方面開展具體討論，以期為國(guó)內(nèi)高校圖書館加強(qiáng)信息安全管理提供有益的指導(dǎo)建議，不斷促進(jìn)其綜合管理水平的提升。

1 圖書館信息安全管理的發(fā)展

隨著信息化水平的不斷提高，國(guó)內(nèi)高校圖書館信息化建設(shè)步入了一個(gè)新的發(fā)展階段。信息是高校圖書館重要的無形資產(chǎn)，高校圖書館擁有眾多數(shù)字化知識(shí)產(chǎn)權(quán)作品，如何保障其安全是新時(shí)期高校圖書館管理的重要工作內(nèi)容之一。高校圖書館的讀者眾多、業(yè)務(wù)面分布廣泛、運(yùn)營(yíng)環(huán)境復(fù)雜多變，這對(duì)信息安全管理提出了嚴(yán)格的要求。信息安全工作的主要宗旨是保證信息不受任何非法盜取、復(fù)制和損害的威脅，為高校圖書館運(yùn)行提供堅(jiān)實(shí)的安全保障。信息安全工作的重點(diǎn)是不斷提高數(shù)字化信息的穩(wěn)定性和保密性[1]。隨著信息安全問題的日益突出和嚴(yán)峻，高校圖書館開始高度重視信息安全管理工作，其信息安全管理水平不斷提高?？傮w而言，高校圖書館信息安全管理主要經(jīng)歷了3個(gè)發(fā)展階段：

第一階段，技術(shù)保障階段。該階段主要通過技術(shù)手段來構(gòu)建信息安全體系，如登錄密碼、操作權(quán)限及限制訪問等。這時(shí)的圖書館信息安全管理過度強(qiáng)調(diào)技術(shù)手段的應(yīng)用，對(duì)管理方法重視不足，沒有充分考慮信息安全策略和意識(shí)方面的因素。相應(yīng)地，人們也沒有樹立正確的信息安全觀念，認(rèn)為那只是專業(yè)技術(shù)人員的工作，與自己無關(guān)。

第二階段，管理保障階段。隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展和進(jìn)步，高校圖書館開始重視信息安全防范問題，國(guó)內(nèi)學(xué)者對(duì)信息安全的研究也逐漸豐富起來，取得了大量具有參考價(jià)值的信息安全管理研究成果。同技術(shù)階段相比，該階段信息安全管理強(qiáng)調(diào)各級(jí)管理人員的積極參與，圖書館在組織架構(gòu)方面進(jìn)行了相應(yīng)的調(diào)整，設(shè)置了專門的信息安全管理崗位。

第三階段，制度保障階段。隨著信息化水平的不斷提高，圖書館相比其他部門和組織更加重視信息安全管理工作，由此引發(fā)了第三次圖書館信息安全管理浪潮，即采用制度規(guī)范的方式來加強(qiáng)信息安全管理。其主要包含以下4個(gè)方面的內(nèi)容：①信息安全標(biāo)準(zhǔn)化。圖書館采用國(guó)際通用的信息安全技術(shù)標(biāo)準(zhǔn)開展管理工作。通過參考安全標(biāo)準(zhǔn)，不斷健全和完善自身信息安全管理機(jī)制，切實(shí)提高信息安全管理水平[2]。②信息安全認(rèn)證。安全認(rèn)證可以很好地回答“什么是圖書館信息安全”或者“怎樣才能夠最大程度地保障圖書館信息安全”等問題[3]。③建立圖書館信息安全文化。通過發(fā)揮文化的制約和規(guī)范作用，圖書館引導(dǎo)人們重視信息安全管理工作，不斷提高信息安全防范的總體水平[4]。④采用持續(xù)跟蹤手段和技術(shù)來提高圖書館信息安全管理水平。圖書館采用網(wǎng)絡(luò)信息監(jiān)控系統(tǒng)來密切跟蹤數(shù)字化信息流向和變化，及時(shí)發(fā)出安全預(yù)警。

2 美國(guó)高校圖書館信息安全管理部門情況

2.1 信息安全管理部門名稱

隨著信息安全意識(shí)不斷增強(qiáng)，美國(guó)高校圖書館基本上都成立了專門的信息安全管理部門。由于不同高校管理體制和文化存在較大差異，導(dǎo)致圖書館信息安全管理部門的名稱也各異，但是大多都包含了“information”、“security”等關(guān)鍵詞，此外，諸如“privacy”、“technology”等名詞也頻繁出現(xiàn)，詳見表1。

2.2 部門隸屬關(guān)系

20世紀(jì)90年代中期，美國(guó)高校開始探索CIO制度，并進(jìn)行了大量實(shí)踐。1990年，美國(guó)麻省理工學(xué)院教授Kenneth C Green第一次提出了“校園信息化”的概念，并啟動(dòng)了高校信息化科研課題：Campus Computing Project（簡(jiǎn)稱CCP）[5]。至今該項(xiàng)目已運(yùn)行了20多年，是當(dāng)前全球高校最具代表意義的信息化科研項(xiàng)目。根據(jù)2010年CCP公布的一份報(bào)告顯示：有七成的美國(guó)高校建立了基于CIO的信息化管理架構(gòu)[6]。本文選取的幾所美國(guó)高校都建立了完善的CIO體系，因此，本文將從信息安全管理部門在CIO體系中的功能和作用、與圖書館內(nèi)部管理架構(gòu)之間的關(guān)系兩個(gè)角度來探討圖書館信息安全管理部門的隸屬關(guān)系。通過分析美國(guó)5所高校（具體見表1）的CIO組織體系結(jié)構(gòu)圖發(fā)現(xiàn)，這5所高校圖書館信息安全管理部門都是直接隸屬于學(xué)校最高管理機(jī)構(gòu)，與圖書館技術(shù)部門是上級(jí)或平級(jí)關(guān)系。例如，斯坦福大學(xué)圖書館的信息安全部直接對(duì)CIO負(fù)責(zé)，通過后者向?qū)W校董事會(huì)匯報(bào)工作；伯克利大學(xué)圖書館的信息安全和隱私保護(hù)部直接對(duì)分管副校長(zhǎng)負(fù)責(zé)，由后者向校董事會(huì)匯報(bào)工作；而印第安納大學(xué)圖書館的信息技術(shù)安全部直接向?qū)W校CIO或信息技術(shù)安全管理辦公室負(fù)責(zé)。

2.3 部門組織結(jié)構(gòu)

受管理制度和文化等因素的影響，各高校圖書館信息安全管理部門組織架構(gòu)存在較大差異。大多數(shù)高校圖書館信息安全管理部門都是一個(gè)實(shí)體機(jī)構(gòu)，擁有完善的人員編制和職責(zé)體系。有些高校還將IT技術(shù)人員和系統(tǒng)維護(hù)人員納入到圖書館信息安全管理部門，以強(qiáng)化該部門的系統(tǒng)開發(fā)和維護(hù)工作。一般而言，美國(guó)高校圖書館主要采用了以下幾種運(yùn)行模式：①圖書館信息安全管理部門直接對(duì)CIO負(fù)責(zé)，由后者協(xié)調(diào)各項(xiàng)工作，制定行之有效的技術(shù)解決方案，提供技術(shù)支持，不斷提高圖書館信息安全管理部門應(yīng)對(duì)各種信息安全問題的能力。② 圖書館信息安全管理部門直接對(duì)校董事會(huì)和CIO負(fù)責(zé)，由圖書館信息安全管理部門向CIO提供技術(shù)解決方案，校董會(huì)負(fù)責(zé)協(xié)調(diào)各方工作關(guān)系，配置相關(guān)管理資源。③其他IT信息部門同時(shí)向CIO負(fù)責(zé)，這類機(jī)構(gòu)具有充足的信息安全管理資源，一旦遇到安全問題就會(huì)提供必要的支持，解決圖書館遇到的各種安全問題。

除此之外，還有一些高校圖書館沒有建立固定的信息安全管理隊(duì)伍，其信息安全管理工作主要通過委員會(huì)來組織和開展。例如，伯克利大學(xué)圖書館信息安全管理工作由CIO統(tǒng)籌和指揮，每屆委員會(huì)任期1年。委員會(huì)成員由民主投票產(chǎn)生，執(zhí)行主席任期為兩年，屆滿后重新選舉新的主席。所有重大決議都由委員會(huì)全體成員投票表決，參與投票的成員超過委員會(huì)總?cè)藬?shù)的2/3為有效決議。另外，圖書館信息安全管理部門還對(duì)投票表決程序和流程做出了明確規(guī)定。

表1 美國(guó)部分高校圖書館的信息安全管理部門名稱及其隸屬關(guān)系

表2 德克薩斯大學(xué)達(dá)拉斯分校圖書館和哈佛大學(xué)圖書館的信息安全策略和操作規(guī)范比較

3 美國(guó)高校圖書館信息安全管理部門職責(zé)

美國(guó)高校圖書館信息安全管理部門的業(yè)務(wù)范圍十分廣泛，包括應(yīng)用軟件、數(shù)字化作品、水印加密、信息保密以及IDC（Internet Date Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）維護(hù)、服務(wù)器管理和信息網(wǎng)絡(luò)維護(hù)等。一般而言，圖書館信息安全管理部門主要是通過風(fēng)險(xiǎn)評(píng)估、建立預(yù)防機(jī)制和主動(dòng)干預(yù)的方式來加強(qiáng)信息安全風(fēng)險(xiǎn)管理。不同高校圖書館信息安全管理部門的職責(zé)內(nèi)容存在較大區(qū)別，但是基本上都涉及到信息系統(tǒng)維護(hù)、信息風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)預(yù)防機(jī)制建設(shè)、安全文化建設(shè)及系統(tǒng)維護(hù)等幾個(gè)方面：（1）信息安全體系建設(shè)，根據(jù)圖書館數(shù)字化資源管理的特點(diǎn)，構(gòu)建一套科學(xué)、完善的安全體系；（2）信息安全措施和流程制定，結(jié)合圖書館信息安全管理現(xiàn)狀，制定一套完備的信息安全管理流程和架構(gòu)；（3）安全風(fēng)險(xiǎn)預(yù)防，針對(duì)圖書館存在的重大信息安全隱患進(jìn)行評(píng)估和分析，制定行之有效的信息安全預(yù)防體系；（4）信息分級(jí)管理，根據(jù)信息重要性，對(duì)不同數(shù)字化信息進(jìn)行科學(xué)分類、分級(jí)，并制定有針對(duì)性的預(yù)防措施和方案；（5）安全事件預(yù)警系統(tǒng)，針對(duì)不同等級(jí)的安全事故建立相應(yīng)的預(yù)警系統(tǒng)；（6）信息安全文化建設(shè)，通過開展培訓(xùn)、講座等活動(dòng)，建立濃厚的信息安全管理文化氛圍。一般而言，信息安全管理部門會(huì)建立一套完善的信息安全預(yù)防體系，如應(yīng)對(duì)措施和操作策略，針對(duì)電子郵件的信息安全防護(hù)，制定一系列信息安全管理措施等，如表2所示。

從表2中可以看出，高校圖書館信息安全管理策略存在較大差異。德克薩斯大學(xué)達(dá)拉斯分校圖書館主要強(qiáng)調(diào)從法律層面加強(qiáng)信息安全保護(hù)，并對(duì)保護(hù)對(duì)象進(jìn)行了分類和分級(jí)管理，再制定相應(yīng)的管理規(guī)范；哈佛大學(xué)圖書館則制定了統(tǒng)一的信息安全管理策略，從技術(shù)層面制定了一套完善的信息風(fēng)險(xiǎn)預(yù)防體系，明確各部門風(fēng)險(xiǎn)預(yù)防職責(zé)，建立了一套信息安全風(fēng)險(xiǎn)預(yù)防聯(lián)動(dòng)機(jī)制。

4 分析與啟示

通過全面深入地分析美國(guó)5所高校圖書館信息安全管理現(xiàn)狀，我們可以總結(jié)出以下幾方面有益經(jīng)驗(yàn)：（1）建立專門的信息安全管理部門，由其負(fù)責(zé)向?qū)W校領(lǐng)導(dǎo)層匯報(bào)相關(guān)工作開展情況，提高了部門信息安全管理的執(zhí)行效率。（2）將信息安全管理體系納入到高校圖書館綜合管理目標(biāo)體系當(dāng)中，基于具體業(yè)務(wù)風(fēng)險(xiǎn)構(gòu)建一套行之有效的信息安全管理機(jī)制。（3）要強(qiáng)化信息安全管理，不僅要制定一套完善的管理制度，還要明確各部門的工作職責(zé)和操作策略，加強(qiáng)監(jiān)督，確保各項(xiàng)工作措施落到實(shí)處。

在研究過程中，我們發(fā)現(xiàn)美國(guó)高校圖書館有以下幾方面工作經(jīng)驗(yàn)值得借鑒：（1）做好數(shù)據(jù)分類和分級(jí)管理工作。圖書館數(shù)據(jù)具有不同的重要性，因此要采用分級(jí)管理來提高安全管理效率，針對(duì)不同管理級(jí)別的數(shù)據(jù)制定對(duì)應(yīng)的管理規(guī)范和規(guī)則，在保證數(shù)據(jù)安全的同時(shí)，降低安全管理成本。例如，核心數(shù)據(jù)、機(jī)密信息要采取最高級(jí)別的防范措施，而對(duì)于一些常見的、普遍性的信息可以通過限制訪問對(duì)象來實(shí)現(xiàn)安全保護(hù)。（2）集中管理關(guān)鍵數(shù)據(jù)。針對(duì)關(guān)鍵數(shù)據(jù)信息的安全管理，圖書館要建立一套集中化管理系統(tǒng)，采取特別的安全防范措施。這樣既可以有效地提高重要數(shù)據(jù)的安全管理水平，又可以提高信息安全管理效益。（3）大力普及和推廣安全規(guī)范。圖書館要在全校范圍內(nèi)加強(qiáng)信息安全宣傳教育工作，不斷提高廣大師生的信息安全意識(shí)；通過舉辦各種培訓(xùn)活動(dòng)，不斷提高師生信息安全防范水平和技能，樹立良好的信息安全管理觀念。例如，圖書館可以通過安全教育引導(dǎo)學(xué)生養(yǎng)成良好的數(shù)據(jù)安全管理習(xí)慣等。（4）加強(qiáng)監(jiān)督和審計(jì)工作。圖書館信息安全管理部門不僅要努力構(gòu)建一個(gè)安全的信息使用環(huán)境，還要加強(qiáng)對(duì)圖書館用戶行為的監(jiān)督和審計(jì)，及時(shí)發(fā)現(xiàn)安全隱患，并采取有效的措施加以應(yīng)對(duì)。

[1]王東波,張宏濤.數(shù)字圖書館數(shù)據(jù)安全技術(shù)的新進(jìn)展及應(yīng)用研究[J].圖書館學(xué)研究,2008(6):7-10,14.

[2]丁小文.網(wǎng)絡(luò)時(shí)代的圖書館信息安全理論與技術(shù)問題研究[J].中國(guó)圖書館學(xué)報(bào),1998(5): 38-41.

[3]Thompson S T C. Helping the Hacker? Library Information, Security,and Social Engineering[J]. Information Technology and Libraries,2013,25(4):222-225.

[4]Shuman B A. Library Security and Safety Handbook: Prevention,Policies and Procedures[M]. Chicago:ALA Store,1999:55.

[5]Green K C. Campus Computing, 2000: The 11th National Survey of Computing and Information Technology in American Higher Education[J]. American Educational Research Journal,2001(5):15.

[6]Green K C. The 2010 Campus Computing Survey[J].Retrieved October,2010(6):2011.

[7]Library Policies[EB/OL].[2013-12-16].http://www.utdallas.edu/library/.