王鵬

摘要：隨著高校圖書館服務(wù)水平的不斷提升，以及服務(wù)內(nèi)容的不斷豐富和深化，包括圖書館電子圖書、期刊、數(shù)據(jù)庫和讀者行為記錄等數(shù)據(jù)資產(chǎn)呈現(xiàn)爆發(fā)式增長。如何有效保護這些數(shù)據(jù)資產(chǎn)，保證其安全，是今后利用大數(shù)據(jù)建設(shè)智慧圖書館，為讀者提供智慧化、個性化服務(wù)的基礎(chǔ)，也是履行保衛(wèi)國家信息安全的職責的必然要求。本文詳細分析了高校圖書館數(shù)據(jù)資產(chǎn)所面臨的安全風險，并針對這些風險提出了相應的保護策略，以幫助高校圖書館堵上安全漏洞，保護數(shù)據(jù)資產(chǎn)安全。

關(guān)鍵詞：高校圖書館;數(shù)據(jù)資產(chǎn);安全風險;保護措施

1 研究背景

在2014年4月15日召開的國家安全委員會第一次會議上，習近平首次提出了國家總體安全觀的概念，共有11種安全，信息安全位列其中。很顯然，在信息社會里，信息安全關(guān)乎每個人，也關(guān)乎整個國家。而且大數(shù)據(jù)時代，數(shù)據(jù)為王，數(shù)據(jù)是重要的戰(zhàn)略資源，事關(guān)個人隱私和國家發(fā)展大局[1]。高校是個半開放的環(huán)境，校內(nèi)與校外有頻繁的人員往來和數(shù)據(jù)交換，而且校內(nèi)用戶上網(wǎng)需求多樣，安全防護意識卻相對來說比較淡薄，導致學校常常成為病毒程序感染和傳播的高發(fā)區(qū)，2017年WannaCry病毒事件就是很典型的案例[2]。圖書館是高校中重要的數(shù)據(jù)管理、使用部門，產(chǎn)生和保存著大量的數(shù)據(jù)資產(chǎn)。因此，確保數(shù)據(jù)資產(chǎn)安全，維護國家總體安全，高校圖書館有著重要的作用和職責。

2 圖書館數(shù)據(jù)資產(chǎn)所面臨的安全風險

數(shù)據(jù)是要依托于介質(zhì)才能得以長期保存的，因此，討論圖書館數(shù)據(jù)資產(chǎn)安全必須首先從介質(zhì)安全和數(shù)據(jù)安全這兩個角度進行，相應的，圖書館數(shù)據(jù)資產(chǎn)所面臨的安全風險可以分為兩大類：介質(zhì)安全風險和數(shù)字安全風險。

2.1 介質(zhì)安全風險

人類的遺傳信息是以堿基對的形式保存的，堿基對有序排列組成長長的堿基鏈便是DNA，所以DNA也被人們稱為人類遺傳信息的載體。若是DNA這個載體出了問題，它記載的遺傳信息就會改變或丟失。數(shù)據(jù)也是如此，介質(zhì)就是數(shù)據(jù)賴以存在的物質(zhì)基礎(chǔ)，一旦介質(zhì)被破壞，那么寫在介質(zhì)中的數(shù)據(jù)也將不復存在。所以，介質(zhì)安全也可以理解為數(shù)據(jù)存在的物理環(huán)境安全?？赡馨l(fā)生的風險具體包括以下幾種。

2.1.1硬盤達到報廢年限

目前市場上的硬盤理論壽命是30000小時以上。圖書館核心機房除非遇到區(qū)域性停電或?qū)W校電路檢修這樣的特殊情況，否則將保持24小時運行。換算下來一塊機械硬盤的使用壽命也就是三年多時間。超過此時間，磁頭、盤片磨損越來越嚴重，壞道數(shù)增加越來越多，硬盤不能正常使用或徹底報廢的可能性也越來越高。

2.1.2工作環(huán)境不滿足要求

硬盤是極其精密的電子設(shè)備，空氣中的灰塵如果太多，積聚在硬盤的電路板上，極有可能造成短路，硬盤工作時還會散發(fā)大量的熱，若無法及時散熱，硬盤也會因為溫度過高而損壞?？諝鉂穸却笸瑯訒斐捎脖P短路。此外，還有酸堿性、強磁性物品，都會對硬盤造成破壞。

2.1.3人為蓄意破壞

雖然可能性很低，但是不能完全排除人為蓄意破壞存儲介質(zhì)的情況。比如因合作過程產(chǎn)生矛盾而故意破壞實施報復的，因?qū)ぷ骰蛏钣胁粷M而通過破壞行為泄憤的，或者毫不相干的人趁工作人員不注意搞惡作劇的，等等。

2.1.4意外事故

圖書館核心機房有很多網(wǎng)絡(luò)設(shè)備升級改造項目，在施工過程中，若工作人員一時大意，就可能在線路布置、連接、設(shè)備安裝等步驟上出現(xiàn)紕漏，造成安全隱患，或者因為拿不穩(wěn)而使設(shè)備掉落出現(xiàn)故障。如果突然停電，使用年限較長的硬盤很容易受到影響甚至損壞。另外，火災等安全事故和地震等自然災害一旦發(fā)生，都將對數(shù)據(jù)存儲設(shè)備造成嚴重的、不可恢復的損壞。

2.2 數(shù)據(jù)安全風險

物理安全并不等于數(shù)據(jù)資產(chǎn)安全，因為還有介質(zhì)正常但是保存在介質(zhì)中的數(shù)據(jù)本身遭受安全威脅的情況。就像有機體生存的環(huán)境雖然沒有改變，但是有機體卻可能受傷或死亡一樣。因此，還需要專門分析數(shù)據(jù)本身可能存在的安全風險。此類風險并不危及存儲介質(zhì)，只會造成數(shù)據(jù)丟失、泄露、刪除或修改。

2.2.1病毒、木馬程序

病毒和木馬程序在信息世界廣泛存在而又無法被徹底消滅，它們對信息安全構(gòu)成巨大的威脅。不法分子經(jīng)常在網(wǎng)絡(luò)上散播病毒和木馬程序，通過它們竊取數(shù)據(jù)、修改數(shù)據(jù)、刪除數(shù)據(jù)、劫持數(shù)據(jù)?；蛘吒纱嘤眠@些病毒和木馬修改和破壞計算機的正常程序，影響計算機系統(tǒng)和軟件的穩(wěn)定運行，進而威脅到數(shù)據(jù)安全。

2.2.2人為復制、泄露

這類問題可能出現(xiàn)的情況有：商業(yè)公司員工出于經(jīng)濟利益等目的將接觸到的數(shù)據(jù)復制、泄露;工作人員由于工作需要復制數(shù)據(jù)后導致的數(shù)據(jù)泄露，比如移動存儲設(shè)備遺失，在不安全或陌生環(huán)境中使用移動存儲設(shè)備，其他人借用移動存儲設(shè)備后發(fā)現(xiàn)并復制數(shù)據(jù);前來辦理業(yè)務(wù)的人偶然在工作人員電腦上發(fā)現(xiàn)數(shù)據(jù)，趁工作人員不備私自復制。

2.2.3工作制度不完善或執(zhí)行不到位

因存儲空間不足或產(chǎn)生年代久遠清理數(shù)據(jù)時，沒有對數(shù)據(jù)進行備份造成數(shù)據(jù)丟失。沒有按特別規(guī)定的流程清除或備份已經(jīng)替換下來的舊存儲介質(zhì)里面的數(shù)據(jù)，造成數(shù)據(jù)泄露或丟失。工作人員由于操作失誤，刪除或修改了原始數(shù)據(jù)，比如在數(shù)據(jù)庫上使用了錯誤的指令，或者某些系統(tǒng)管理員對系統(tǒng)不熟悉執(zhí)行錯誤操作。業(yè)務(wù)系統(tǒng)特別是數(shù)據(jù)庫的用戶名和密碼泄露，被不法分子得到后違法對數(shù)據(jù)進行操作造成數(shù)據(jù)安全威脅的。工作人員業(yè)務(wù)調(diào)整時未能將所管轄業(yè)務(wù)的數(shù)據(jù)全面清理、所負責工作交代清楚，造成舊人不管、新人不知的局面，進而導致數(shù)據(jù)被人遺忘。擅自使用非法或盜版軟件，將計算機置于危險境地，危及數(shù)據(jù)安全。

2.2.4服務(wù)停用、升級或服務(wù)商倒閉

圖書館的服務(wù)系統(tǒng)升級后，新系統(tǒng)未能及時、準確、完整地收錄舊系統(tǒng)的數(shù)據(jù)而造成數(shù)據(jù)遺失，或因數(shù)據(jù)標準不一致，新系統(tǒng)無法使用而遺棄舊的數(shù)據(jù)。服務(wù)系統(tǒng)不再使用，已停用系統(tǒng)曾產(chǎn)生的數(shù)據(jù)也將不再被使用，則該數(shù)據(jù)被丟棄。此外，服務(wù)商突然倒閉，其提供的服務(wù)系統(tǒng)無人維護直至被停用，則該系統(tǒng)產(chǎn)生的數(shù)據(jù)也極有可能被丟棄。

3 圖書館數(shù)據(jù)資產(chǎn)的保護措施

將圖書館數(shù)據(jù)資產(chǎn)所面臨的安全風險逐個分析之后，就需要相應提出有效的保護策略，以避免風險發(fā)生。對照第2部分的內(nèi)容，這里將保護策略也對應分成兩部分：介質(zhì)保護和數(shù)據(jù)保護。

3.1 介質(zhì)保護

（1）加強對硬盤的管理，定期檢查硬盤工作狀態(tài)。對于尚在使用中的、已經(jīng)或即將達到報廢年限的硬盤，以及出現(xiàn)故障的硬盤，要及時、有序更換。

（2）按照圖書館有關(guān)管理辦法做好防火、防水、防熱、防磁、防盜、防塵、防酸堿、防斷電等工作，保障存儲設(shè)備物理環(huán)境安全。

（3）加強溝通協(xié)調(diào)，發(fā)現(xiàn)有相關(guān)人員情緒不穩(wěn)定的情況要及時主動了解，防止其做出過激行為，造成人員、財產(chǎn)損失。加強核心機房安全管理，做到“人走門鎖，門開人在”。核心機房施工時，必須有圖書館工作人員在現(xiàn)場陪同，防止人為蓄意破壞，避免施工現(xiàn)場發(fā)生意外。

（4）配備足夠的UPS電源，確保圖書館核心機房在突然停電或短時停電期間的電力穩(wěn)定。制定科學有效、符合圖書館實際的數(shù)據(jù)備份策略，采購備份系統(tǒng)和設(shè)備，并根據(jù)發(fā)展需要及時更新、升級。定期檢查備份系統(tǒng)，一旦發(fā)現(xiàn)故障及時處理，保障備份系統(tǒng)正常運行。根據(jù)情況，考慮采用異地備份或云備份方式，提高容災能力。

3.2 數(shù)據(jù)保護

（1）主控室要安裝防火墻，服務(wù)器（包括物理服務(wù)器和虛擬服務(wù)器）均安裝安全軟件，定期對圖書館服務(wù)器進行檢查，及時修復系統(tǒng)漏洞，更新病毒庫，發(fā)現(xiàn)可疑文件立即處理，保障系統(tǒng)中數(shù)據(jù)安全。

（2）拷貝數(shù)據(jù)要用專有的移動存儲設(shè)備，并給文件或移動存儲設(shè)備設(shè)置密碼。辦公電腦也要設(shè)置密碼，工作人員離開時要及時鎖屏。

（3）在清理電腦硬盤或數(shù)據(jù)庫時，其中的數(shù)據(jù)要謹慎處理。確定已沒有利用價值的可以直接刪除，現(xiàn)在用不到但是將來可能用得著的數(shù)據(jù)應盡可能做好備份。不再使用的存儲介質(zhì)里的數(shù)據(jù)要按規(guī)定備份或刪除，再將介質(zhì)報廢處理。合理劃定系統(tǒng)管理員和一般使用者的權(quán)限，對館員進行必要的業(yè)務(wù)培訓，防止由于操作失誤導致的數(shù)據(jù)安全問題。建立清單制度，將圖書館數(shù)據(jù)資料及業(yè)務(wù)分工詳盡羅列出來，使每個崗位上新到的館員都能做到心中有數(shù)。服務(wù)器只能用于圖書館業(yè)務(wù)，不得用于其他用途。所安裝軟件均需通過安全檢查或確認無風險，不得使用來路不明、風險未知的軟件。

（4）對于已停用的服務(wù)系統(tǒng)/服務(wù)器以及所屬公司已倒閉的系統(tǒng)，應及時對該系統(tǒng)/服務(wù)器上的相關(guān)數(shù)據(jù)進行整理、歸檔。對于同一業(yè)務(wù)的新舊兩個系統(tǒng)，要鼓勵新系統(tǒng)兼容舊系統(tǒng)數(shù)據(jù)，如不兼容，要及時將舊系統(tǒng)數(shù)據(jù)整理、歸檔。逐步引入大數(shù)據(jù)管理辦法，將圖書館存量數(shù)據(jù)標準化，所有系統(tǒng)均使用該標準數(shù)據(jù)，從根本上杜絕數(shù)據(jù)差異引起的數(shù)據(jù)資產(chǎn)流失。

4 總結(jié)和展望

傳統(tǒng)上來講，沒有絕對的安全，只能在工作中不斷提高保護能力，保障數(shù)據(jù)相對安全。近些年興起的區(qū)塊鏈技術(shù)，與傳統(tǒng)數(shù)據(jù)庫技術(shù)有明顯的不同，它通過去中心化的方法保證數(shù)據(jù)不可修改[3]。今后圖書館也可以從這個角度去考慮數(shù)據(jù)的安全保護工作。

參考文獻：

[1]習近平在中共中央政治局第二次集體學習時強調(diào) ?審時度勢精心謀劃超前布局力爭主動 ?實施國家大數(shù)據(jù)戰(zhàn)略加快建設(shè)數(shù)字中國[J].城市規(guī)劃通訊，2017（24）：1-2.

[2]馬也，吳文燦，麥永浩.從WannaCry勒索病毒事件談高校網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應用，2018（04）：66-68.

[3]李紅艷.基于“區(qū)塊鏈”技術(shù)的高校圖書館特色數(shù)據(jù)庫管理[J].傳播力研究，2019（14）：298.