關(guān)鍵詞：數(shù)字圖書館；信息安全；對(duì)策

摘要：文章從分析影響數(shù)字圖書館信息安全的問(wèn)題入手，針對(duì)綜合制度管理、安全技術(shù)、人才培養(yǎng)等方面，提出了數(shù)字圖書館信息安全的對(duì)策。

中圖分類號(hào)：G250.76文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1003-1588（2014）05-0118-02

收稿日期：2014-04-02

作者簡(jiǎn)介：郭彧（1981-），遼寧省圖書館館員。1影響數(shù)字圖書館信息安全的問(wèn)題

1.1硬件安全

所謂硬件安全主要是指硬件設(shè)備安全, 數(shù)字圖書館所依托設(shè)備載體包括：各種計(jì)算機(jī)設(shè)備( 如計(jì)算機(jī)客戶端、服務(wù)器、工作站等) 和網(wǎng)絡(luò)通訊設(shè)備(光纖、交換機(jī)、路由器等), 以及存儲(chǔ)（磁盤陣列、光盤、磁帶等）, 這些設(shè)備構(gòu)建了數(shù)字圖書館正常運(yùn)行的物質(zhì)基礎(chǔ)。而環(huán)境因素是影響這些設(shè)備物理安全的主要因素。 數(shù)字圖書館的硬件設(shè)備對(duì)其所處的物理環(huán)境有較高的要求, 除了機(jī)房要滿足防水、防火等常規(guī)需求外, 對(duì)所處環(huán)境的防塵、溫濕度控制、靜電屏蔽、電磁干擾等物理?xiàng)l件也有很嚴(yán)格的要求,否則硬件設(shè)備很容易產(chǎn)生各種各樣的故障和安全隱患, 網(wǎng)絡(luò)系統(tǒng)也會(huì)相應(yīng)受到損壞，而用戶存儲(chǔ)中的數(shù)據(jù)信息一旦遭到破壞，相應(yīng)的損失是不易修復(fù)的。

1.2軟件安全

數(shù)字圖書館的軟件系統(tǒng)主要是包括系統(tǒng)軟件、數(shù)據(jù)庫(kù)軟件和各種應(yīng)用軟件。目前主流的操作系統(tǒng)大多是windows、linux,數(shù)據(jù)庫(kù)軟件一般都采用SQLserver、Oracle系統(tǒng)，這類軟件系統(tǒng)在設(shè)計(jì)的時(shí)候就不可能做到毫無(wú)漏洞，主要表現(xiàn)在操作系統(tǒng)結(jié)構(gòu)體系本身的設(shè)計(jì)缺陷、遠(yuǎn)程權(quán)限的安全驗(yàn)證、遠(yuǎn)程數(shù)據(jù)傳輸時(shí)加密程度不夠、守護(hù)進(jìn)程的權(quán)限，以及端口發(fā)放等一系列問(wèn)題。而數(shù)據(jù)庫(kù)應(yīng)用軟件的安全性也很脆弱，例如，微軟的SQLServer 是數(shù)字圖書館信息化平臺(tái)廣泛使用的一種數(shù)據(jù)庫(kù)，SQL Server 數(shù)據(jù)庫(kù)默認(rèn)情況下使用1433端口監(jiān)聽(tīng)，所以管理員在初始配置SQL Server的時(shí)候要改變監(jiān)聽(tīng)端口，但是如果使用1434端口的UDP探測(cè)則可以很容易獲知SQL Server使用哪一個(gè)TCP/IP端口。如果沒(méi)有限制1434端口的探測(cè)，那么黑客就能夠探測(cè)到數(shù)據(jù)庫(kù)的一些信息，而且數(shù)據(jù)庫(kù)還可能遭到Dos攻擊導(dǎo)致服務(wù)器的CPU負(fù)荷增大，所以對(duì)管理員來(lái)說(shuō)，在IPSec策略上過(guò)濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的sql server，從而保護(hù)你的數(shù)據(jù)庫(kù)。

1.3人為因素

人為因素分為兩種：一種是以管理員或用戶在使用、維護(hù)、部署中操作失誤為代表的偶然事故，并沒(méi)有惡意企圖和威脅；另一種是黑客或有惡意企圖的人進(jìn)行的惡意攻擊。雖然在偶然事故中，管理員和用戶并沒(méi)有明顯的惡意企圖和目的, 但它所造成的破壞性依然很嚴(yán)重，數(shù)據(jù)信息所受到的損壞不亞于黑客攻擊。例如在使用或維護(hù)中錯(cuò)誤地插拔存儲(chǔ)設(shè)備，無(wú)意地刪除系統(tǒng)數(shù)據(jù)，這都會(huì)造成存儲(chǔ)上數(shù)據(jù)信息的丟失，錯(cuò)誤的開關(guān)機(jī)和插拔電源會(huì)導(dǎo)致設(shè)備損毀等一系列損失。人為的惡意攻擊則是有企圖、有目的地進(jìn)行破壞和竊取行為，攻擊者通過(guò)利用系統(tǒng)軟硬件或部署認(rèn)證中所暴露的漏洞或弱點(diǎn)，破壞或繞過(guò)系統(tǒng)的安全防御機(jī)制，獲得了內(nèi)部權(quán)限或直接進(jìn)行攻擊，從而造成數(shù)字圖書館信息資源遭到竊取或損壞，使數(shù)字圖書館的保密性、完整性、安全性受到損毀，造成損失。

1.4計(jì)算機(jī)病毒

計(jì)算機(jī)病毒實(shí)質(zhì)上是一種程序代碼，具有破壞性、傳播性、自我復(fù)制的特點(diǎn)。對(duì)于數(shù)字圖書館來(lái)說(shuō)，病毒的危害如下：①病毒通過(guò)代碼可以自動(dòng)格式化硬盤、自動(dòng)刪除文件、自動(dòng)修改分區(qū)表，從而破壞信息數(shù)據(jù)。②病毒侵占系統(tǒng)硬件資源，大量占用CPU時(shí)間、內(nèi)存，自我復(fù)制，造成磁盤空間浪費(fèi)。③木馬類病毒可以竊取用戶賬號(hào)、密碼、使用戶隱私受到侵害。④網(wǎng)絡(luò)內(nèi)機(jī)器不斷廣播發(fā)送無(wú)用數(shù)據(jù)包，堵塞網(wǎng)絡(luò)。⑥留有后門，為黑客攻擊提供便利。隨著網(wǎng)絡(luò)技術(shù)和帶寬的不斷發(fā)展，計(jì)算機(jī)病毒的傳播和擴(kuò)散變得更為迅速，是影響數(shù)字圖書館信息安全的主要因素。

2數(shù)字圖書館信息安全的防護(hù)對(duì)策

要保證數(shù)字圖書館的信息安全，除了系統(tǒng)管理員要做好日常的基本網(wǎng)絡(luò)管理措施，及時(shí)修補(bǔ)漏洞、查殺病毒、保護(hù)硬件設(shè)備的安全外，最重要的就是要提高管理員和用戶的信息安全意識(shí)，建立健全數(shù)字圖書館的安全管理制度，完善信息安全管理體系，提高安全防范意識(shí)，具體應(yīng)做到如下幾點(diǎn)。

2.1重視信息安全，提高信息安全意識(shí)

目前，保證數(shù)字圖書館信息資源安全的一個(gè)難點(diǎn)在于信息安全管理防護(hù)意識(shí)比較淡薄，不夠重視信息安全，同時(shí)這也是一個(gè)敏感的問(wèn)題，一般數(shù)字圖書館對(duì)此問(wèn)題不愿意太過(guò)于公開化。首先，是對(duì)信息安全意識(shí)重視不夠，有些管理者和工作人員認(rèn)為信息安全只是系統(tǒng)管理員和網(wǎng)絡(luò)維護(hù)人員的事，但其實(shí)不然，每一個(gè)圖書館的工作人員都應(yīng)該提高意識(shí)，重視信息安全問(wèn)題。其次，安全防范意識(shí)不夠，有些負(fù)責(zé)人認(rèn)為購(gòu)買了防火墻就是購(gòu)買了安全屏障，從而放松了其他的基本防范措施或是采取的措施不夠得當(dāng)，被一些黑客或計(jì)算機(jī)病毒抓住漏洞，繞過(guò)防火墻進(jìn)行攻擊，給信息數(shù)據(jù)帶來(lái)嚴(yán)重的破壞。所以首先要提高數(shù)字圖書館管理員和用戶的信息安全意識(shí)，才能有效地保護(hù)數(shù)字圖書館信息資源的完整和安全。

2.2完善體系，規(guī)范信息安全管理

完善的信息安全管理體系以及可行的管理規(guī)章制度對(duì)數(shù)字圖書館的信息安全來(lái)說(shuō)是必不可缺的，信息安全與規(guī)范管理是不可分的，即便有最先進(jìn)的安全設(shè)備系統(tǒng)，而沒(méi)有一套完善的管理制度并貫徹落實(shí)，信息安全性就是空談。規(guī)范信息安全管理的目的在于以下幾點(diǎn)：①保證數(shù)字圖書館的管理維護(hù)人員有制度可依。②保證數(shù)字圖書館的設(shè)備、網(wǎng)絡(luò)能健康運(yùn)行。③一旦發(fā)生突發(fā)事件，能最大限度地避免和挽回?fù)p失。④在日常工作中能防微杜漸，防患于未然。因此圖書館系統(tǒng)內(nèi)部應(yīng)完善信息管理，制定詳盡可行的管理規(guī)章制度，建立權(quán)限管理、備份管理、安全檢測(cè)機(jī)制、操作人員章程、日志管理等一系列管理制度和章程。

郭彧：數(shù)字圖書館信息安全對(duì)策研究郭彧：數(shù)字圖書館信息安全對(duì)策研究2.3利用安全技術(shù)，保障信息安全

2.3.1認(rèn)證授權(quán)及訪問(wèn)控制技術(shù)

管理員在部署數(shù)據(jù)庫(kù)和系統(tǒng)的時(shí)候，做好認(rèn)證授權(quán)體系，通過(guò)該體系系統(tǒng)可自動(dòng)識(shí)別訪問(wèn)者權(quán)限是否合法，對(duì)不合法的用戶拒絕訪問(wèn)，防止攻擊者假冒合法用戶。針對(duì)合法用戶，根據(jù)其權(quán)限對(duì)其進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制，用戶被授予不同的權(quán)限，訪問(wèn)能力就不同，這樣可以防止無(wú)授權(quán)用戶惡意修改或刪除數(shù)據(jù)庫(kù)內(nèi)的信息資源，有效地保護(hù)文件資源的完整性和安全性。

2.3.2應(yīng)用防火墻技術(shù)

防火墻技術(shù)是現(xiàn)今應(yīng)用于信息安全的關(guān)鍵技術(shù)，它在內(nèi)網(wǎng)和外網(wǎng)之間執(zhí)行安全策略的部署和控制，通過(guò)檢測(cè)兩個(gè)網(wǎng)絡(luò)間的信息訪問(wèn)和交換并加以控制來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的管理。它包括硬件防火墻和軟件防火墻，它的主要功能有：增強(qiáng)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)、信息的安全，加強(qiáng)內(nèi)外網(wǎng)之間的訪問(wèn)控制，可以有效地控制數(shù)據(jù)在內(nèi)外網(wǎng)絡(luò)之間的交換與流動(dòng)，屏蔽非法用戶的請(qǐng)求，限制權(quán)限用戶對(duì)外網(wǎng)的非法訪問(wèn)和對(duì)內(nèi)部數(shù)據(jù)的隨意修改，防止攻擊者竊取受保護(hù)的信息，對(duì)外來(lái)的攻擊進(jìn)行偵測(cè)、警告和屏蔽。在防火墻配置完成投入使用后，必須對(duì)它進(jìn)行實(shí)時(shí)跟蹤和維護(hù)，確保網(wǎng)絡(luò)處于最安全的狀態(tài)。

2.3.3防病毒與漏洞掃描技術(shù)

圖書館應(yīng)根據(jù)自身實(shí)際情況，選擇適合自己的殺毒軟件，一款好的殺毒軟件可以有效防御病毒傳播，檢測(cè)并查殺病毒、木馬，同時(shí)要加強(qiáng)管理，嚴(yán)禁工作人員和用戶下載、上傳和使用未通過(guò)安全檢驗(yàn)的程序。同時(shí)做好系統(tǒng)漏洞掃描，及時(shí)發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)中諸如服務(wù)、端口等容易被利用攻擊的安全漏洞，從而在安全防護(hù)中做到未雨綢繆，提高系統(tǒng)自身防御力和穩(wěn)定性，提前封堵可能受到攻擊的渠道。

2.3.4備份和容災(zāi)技術(shù)

要保證數(shù)據(jù)庫(kù)絕不被破壞和攻擊是不現(xiàn)實(shí)的，作為數(shù)據(jù)安全保護(hù)的最后一道壁壘，備份工作是不可或缺的。數(shù)字圖書館中的數(shù)據(jù)，尤其是自建數(shù)據(jù)庫(kù)，是本館特色服務(wù)的核心部分，它是圖書館員工多年工作的辛苦結(jié)晶，更是圖書館業(yè)務(wù)的基礎(chǔ)，因此對(duì)數(shù)據(jù)進(jìn)行備份是一項(xiàng)必不可少的工作，應(yīng)定期進(jìn)行數(shù)據(jù)備份，將數(shù)據(jù)備份到其他存儲(chǔ)上，或者采用RAID5/0等磁盤陣列技術(shù)，進(jìn)行實(shí)時(shí)備份。在條件允許的情況下，可以構(gòu)建異地容災(zāi)系統(tǒng)，這樣在發(fā)生諸如地震、水災(zāi)等自然災(zāi)害下，信息數(shù)據(jù)也可以保存完好。

2.4加強(qiáng)人才培養(yǎng)，提高安全管理水平

在一切安全管理體系中，人是決定一切的關(guān)鍵因素，現(xiàn)在網(wǎng)絡(luò)技術(shù)和信息技術(shù)快速增長(zhǎng)，人只有不斷去學(xué)習(xí)才能適應(yīng)。因此，圖書館需要加大信息安全人才的培養(yǎng)力度，豐富工作人員的信息安全知識(shí)，提高工作人員的專業(yè)技術(shù)能力，增加安全技術(shù)管理經(jīng)驗(yàn)。同時(shí)，確定以崗位定權(quán)限的管理機(jī)制，做到不同崗位擁有不同權(quán)限，避免各崗位之間的權(quán)限混亂，以降低信息安全的管理風(fēng)險(xiǎn)為目的，優(yōu)化組合，合理配置信息安全管理人員。

總之，數(shù)字圖書館的信息安全保障是一項(xiàng)復(fù)雜的系統(tǒng)工程，其特點(diǎn)是技術(shù)含量高、綜合因素多，集制度管理、軟硬件需求、技術(shù)規(guī)范為一體，并且隨著計(jì)算機(jī)信息技術(shù)與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息安全與保障將面臨更多的挑戰(zhàn)和更多的問(wèn)題，因此,圖書館必須構(gòu)建有效的安全管理體系，不斷加強(qiáng)數(shù)字圖書館網(wǎng)絡(luò)與信息系統(tǒng)的安全建設(shè)，提高工作人員的技術(shù)水平，不斷總結(jié)經(jīng)驗(yàn)。只有做到這些，數(shù)字圖書館的信息安全才能有保障，不被竊取和破壞，才能更好地為讀者服務(wù)。

參考文獻(xiàn)：

［1］劉超.數(shù)字圖書館的信息安全分析［J］.現(xiàn)代情報(bào)，2009（6）：72-75.

［2］裴毅.高校數(shù)字圖書館信息安全管理研究［J］.安徽科技學(xué)院學(xué)報(bào)，2009（5）:82-85.

［3］黎平國(guó)，鐘守機(jī).數(shù)字圖書館的信息安全問(wèn)題與相關(guān)對(duì)策的探討［J］ .現(xiàn)代情報(bào), 2005(9) : 73-74,77.

［4］龍文.淺談高校數(shù)字圖書館信息安全［J］.科技情報(bào)開發(fā)與經(jīng)濟(jì)，2010（16）：52-54.

（編校：嚴(yán)真）

endprint