文/攀枝花市圖書(shū)館 王品鑫

隨著信息化、數(shù)字化的快速發(fā)展，世界各國(guó)各個(gè)層面的信息安全問(wèn)題日益嚴(yán)峻。2016年11月7日，全國(guó)人民代表大會(huì)常務(wù)委員會(huì)通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，2017年6月1日起實(shí)施，各行各業(yè)信息安全責(zé)任越來(lái)越沉重。以公共圖書(shū)館為例，隨著數(shù)字圖書(shū)館建設(shè)的推進(jìn)，信息化程度將會(huì)逐步提高，為讀者對(duì)知識(shí)的檢索和利用提供了極大方便，信息的流動(dòng)性更強(qiáng)，擁有的各種數(shù)據(jù)資源也愈加龐大，不可避免地存在網(wǎng)絡(luò)信息安全問(wèn)題，因此保障信息安全，需要一并納入公共圖書(shū)館數(shù)字化建設(shè)中，同研究、同部署，建立完善、高效的圖書(shū)館信息安全管理機(jī)制。

一、數(shù)字化視域下公共圖書(shū)館信息安全現(xiàn)狀

（一）政策引導(dǎo)。為加強(qiáng)數(shù)字圖書(shū)館信息安全管理，保障數(shù)字圖書(shū)館事業(yè)的有序進(jìn)行，2017年10月，《數(shù)字圖書(shū)館安全管理指南》正式發(fā)布，該《指南》對(duì)數(shù)字圖書(shū)館安全的概念進(jìn)行了界定，指出了信息資源的保密性、完整性和可用性是數(shù)字圖書(shū)館安全管理的基礎(chǔ)，重點(diǎn)研究了數(shù)字圖書(shū)館安全管理相關(guān)要素，不僅對(duì)數(shù)字圖書(shū)館的安全管理工作提供了一定的參考價(jià)值，而且對(duì)數(shù)字圖書(shū)館的運(yùn)行和保障起到了指導(dǎo)作用。

（二）業(yè)務(wù)性問(wèn)題。隨著公共圖書(shū)館信息系統(tǒng)網(wǎng)絡(luò)化、便捷化的快速發(fā)展，公共圖書(shū)館資源逐漸演化成了大量的電子書(shū)、書(shū)目信息、數(shù)字期刊、用戶(hù)數(shù)據(jù)等海量數(shù)字資源，更加注重知識(shí)開(kāi)放共享和人機(jī)交互。個(gè)性閱讀和精準(zhǔn)服務(wù)的推廣應(yīng)用，需要收集用戶(hù)實(shí)名信息、閱讀喜好，微信、微博、社交網(wǎng)絡(luò)媒體等信息進(jìn)行針對(duì)性服務(wù)。數(shù)據(jù)種類(lèi)包括結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化等多種類(lèi)型，由于不同類(lèi)型的數(shù)據(jù)對(duì)存儲(chǔ)系統(tǒng)的性能要求不同，加之“重使用、輕管理”的現(xiàn)象普遍，信息存儲(chǔ)與傳播安全問(wèn)題隨之顯現(xiàn)出來(lái)，如非法獲取、虛假信息、用戶(hù)隱私泄露、數(shù)據(jù)竊取、弱口令漏洞等，都是影響圖書(shū)館信息安全的潛在因素，如果數(shù)據(jù)管理得不到重視和有效防護(hù)，極易給公共圖書(shū)館信息安全埋下隱患。

（三）經(jīng)濟(jì)性問(wèn)題。無(wú)論從圖書(shū)館年度工作目標(biāo)任務(wù)制定還是從信息安全經(jīng)費(fèi)投入上來(lái)看，部分公共圖書(shū)館信息安全工作重視程度不夠，很大一部分原因是經(jīng)費(fèi)不足，另一個(gè)原因是認(rèn)為信息安全不能提高圖書(shū)館的組織收益和服務(wù)效能，只會(huì)減少損失，因此對(duì)待安全問(wèn)題不重視。例如操作系統(tǒng)未正版化、未開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作、漏洞補(bǔ)丁未及時(shí)完善和相關(guān)的安全設(shè)備、防護(hù)軟件未及時(shí)配備到位等。

（四）管理與技術(shù)性人才問(wèn)題。圖書(shū)館信息系統(tǒng)問(wèn)題原因如下：一是很多公共圖書(shū)館缺乏信息安全管理制度，具體負(fù)責(zé)人指定模糊，從上到下缺乏信息安全意識(shí)，對(duì)信息安全方面法律、法規(guī)不夠了解；二是人才招聘過(guò)程中沒(méi)有提出具體的專(zhuān)業(yè)能力要求，導(dǎo)致缺乏具有一定信息安全技術(shù)能力的人才做支撐，信息安全管理經(jīng)驗(yàn)與技術(shù)能力還有很大不足。

二、數(shù)字化視域下公共圖書(shū)館信息安全對(duì)策

近些年來(lái)，公共圖書(shū)館為了迎合時(shí)代潮流和擴(kuò)大服務(wù)半徑，大力發(fā)展數(shù)字閱讀，降低用戶(hù)到館成本的同時(shí)，提高服務(wù)效能，利用新型技術(shù)使圖書(shū)館演變成為具有多功能線上線下的數(shù)字功能性的圖書(shū)館，其具有響應(yīng)速度快、資源種類(lèi)多、便捷功能高、網(wǎng)絡(luò)服務(wù)強(qiáng)的特點(diǎn)。但在大數(shù)據(jù)、微服務(wù)發(fā)展的環(huán)境下，圖書(shū)館的數(shù)據(jù)資源和用戶(hù)信息被不斷收集、開(kāi)發(fā)、存儲(chǔ)和利用。分析和研究數(shù)字圖書(shū)館面臨的網(wǎng)絡(luò)信息安全問(wèn)題，采取可行的應(yīng)對(duì)策略以保障圖書(shū)館的數(shù)據(jù)和用戶(hù)信息安全尤為重要。

（一）信息安全技術(shù)應(yīng)用與訪問(wèn)控制。1.加強(qiáng)信息安全技術(shù)的應(yīng)用。在公共圖書(shū)館信息安全技術(shù)應(yīng)用中，首先需要對(duì)各個(gè)信息系統(tǒng)安全重要程度進(jìn)行有效分析和評(píng)估，根據(jù)不同層級(jí)的安全需求，針對(duì)性加強(qiáng)相關(guān)技術(shù)的運(yùn)用，使各層級(jí)安全需求都能夠得到滿(mǎn)足。圖書(shū)館信息安全管理是一個(gè)系統(tǒng)工程, 要做到應(yīng)用諸多技術(shù)方法監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)，按照網(wǎng)絡(luò)安全最新規(guī)定保存不少于6個(gè)月的網(wǎng)絡(luò)日志，利用現(xiàn)有信息安全技術(shù)檢測(cè)并完善系統(tǒng)軟件漏洞，阻止來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)和自身重要數(shù)據(jù)的安全存儲(chǔ)與恢復(fù)。2.加強(qiáng)訪問(wèn)控制。建立全面的用戶(hù)訪問(wèn)控制管理，確保信息資源的合理利用，并告知用戶(hù)其被授權(quán)的權(quán)限及應(yīng)承擔(dān)的責(zé)任。同時(shí)要使用各類(lèi)訪問(wèn)控制技術(shù)手段，比如：賬號(hào)權(quán)限分配、IP地址隔離、內(nèi)外網(wǎng)訪問(wèn)限制、VNP技術(shù)應(yīng)用、入侵防護(hù)檢測(cè)等，防止非法利用與網(wǎng)絡(luò)攻擊。

（二）加強(qiáng)用戶(hù)隱私安全管理。圖書(shū)館信息系統(tǒng)存儲(chǔ)有大量用戶(hù)個(gè)人數(shù)據(jù)、借閱信息、訪問(wèn)頁(yè)面記錄等信息，經(jīng)過(guò)數(shù)據(jù)分析技術(shù)，可以得出用戶(hù)的閱讀興趣、借閱喜好、查閱的資料等，便于開(kāi)展個(gè)性化和精準(zhǔn)服務(wù)。隨著信息收集的逐步推進(jìn)，用戶(hù)數(shù)據(jù)與規(guī)模逐漸龐大，涉及隱私信息的數(shù)據(jù)也在逐年增加?！豆矆D書(shū)館法》第四十三條規(guī)定：“公共圖書(shū)館應(yīng)當(dāng)妥善保護(hù)讀者的個(gè)人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供?！弊x者信息安全關(guān)鍵在于讀者基本信息安全和讀者行為信息安全。圖書(shū)館在收集用戶(hù)個(gè)人信息的時(shí)候，個(gè)人信息就轉(zhuǎn)化為個(gè)人數(shù)據(jù)，個(gè)人信息從私人領(lǐng)域進(jìn)入公共領(lǐng)域，被搜集并加以利用，用戶(hù)會(huì)對(duì)自身信息的安全性存在懷疑，從而影響其對(duì)數(shù)字化服務(wù)的持續(xù)使用意愿。因此我們?cè)谑占脩?hù)信息的時(shí)候，應(yīng)當(dāng)遵循收集限制、使用限制、安全保護(hù)等原則，依據(jù)數(shù)據(jù)質(zhì)量、目的、是否公開(kāi)、是否個(gè)人參加等情況分別進(jìn)行處理，同時(shí)在需要向第三方提供個(gè)人用戶(hù)信息，或共享、交易、委托處理重要數(shù)據(jù)的，留存?zhèn)€人同意記錄。

（三）加強(qiáng)讀者證安全管理。在辦理讀者證時(shí)，同樣存在信息泄露的風(fēng)險(xiǎn)，為消除用戶(hù)安全顧慮，在辦理讀者證的流程上，也應(yīng)當(dāng)采取相應(yīng)的措施。1.讀者信息采集、匯集階段。僅采集公共圖書(shū)館服務(wù)開(kāi)展與管理所需的信息，控制信息采集的精度，利用匿名保護(hù)技術(shù)，從源頭上減少信息泄露的風(fēng)險(xiǎn)。同時(shí)在匯集各個(gè)分系統(tǒng)既有角色信息和進(jìn)行權(quán)限重構(gòu)時(shí)，在保障訪問(wèn)權(quán)限控制的前提下盡量精簡(jiǎn)用戶(hù)信息數(shù)量，減少不必要的信息添加。2.讀者信息儲(chǔ)存階段。對(duì)涉及用戶(hù)隱私的信息實(shí)行加密和訪問(wèn)控制，可采用分級(jí)加密技術(shù)，根據(jù)保密等級(jí)不同，設(shè)定不同的密鑰長(zhǎng)度，對(duì)長(zhǎng)時(shí)間未使用的用戶(hù)數(shù)據(jù)進(jìn)行凍結(jié)隔離，禁止互聯(lián)網(wǎng)訪問(wèn)，加強(qiáng)外部系統(tǒng)使用API接口調(diào)用用戶(hù)數(shù)據(jù)。3.讀者信息利用階段。采用訪問(wèn)控制、數(shù)據(jù)傳輸加密、匿名化、數(shù)據(jù)脫敏、數(shù)據(jù)庫(kù)防火墻等方式，降低用戶(hù)隱私被泄露的風(fēng)險(xiǎn)。4.讀者信息刪除階段。圖書(shū)館應(yīng)該科學(xué)管理讀者個(gè)人信息，及時(shí)處理掉已經(jīng)注銷(xiāo)的讀者身份信息，這樣既能減少不必要的存儲(chǔ)空間，也能減少需要保護(hù)的讀者隱私信息數(shù)量。制定完備的信息安全管理制度。提高安全意識(shí)，從管理和技術(shù)兩方面，確保個(gè)人信息安全。實(shí)現(xiàn)圖書(shū)館員行業(yè)規(guī)范化，強(qiáng)化行業(yè)的職業(yè)道德意識(shí)，以自律為主、懲罰為輔的方式來(lái)確保讀者的隱私安全，從而保障讀者在閱讀活動(dòng)中的個(gè)人信息安全。

（四）執(zhí)行數(shù)據(jù)備份與容災(zāi)工作。數(shù)據(jù)存儲(chǔ)安全是圖書(shū)館信息安全工作最基本的任務(wù)之一，圖書(shū)館書(shū)目數(shù)據(jù)、讀者個(gè)人信息、數(shù)據(jù)資源以及管理賬號(hào)等關(guān)鍵性業(yè)務(wù)數(shù)據(jù)，是保證數(shù)字圖書(shū)館正常運(yùn)行的重要數(shù)據(jù)。硬件損壞、軟件故障、網(wǎng)絡(luò)入侵、操作不當(dāng)?shù)榷加锌赡茉斐蓴?shù)據(jù)資源的損壞和丟失，這對(duì)數(shù)字圖書(shū)館服務(wù)工作的影響是災(zāi)難性的。在數(shù)字資源安全存儲(chǔ)過(guò)程中，面臨著數(shù)據(jù)結(jié)構(gòu)的多樣性、存儲(chǔ)方式的特殊化、數(shù)據(jù)庫(kù)權(quán)限等諸多問(wèn)題，對(duì)數(shù)據(jù)備份工作提出了不少挑戰(zhàn)，要針對(duì)不同類(lèi)型的資源存儲(chǔ)要求，利用不同類(lèi)型存儲(chǔ)介質(zhì)之間的優(yōu)點(diǎn)選擇性存儲(chǔ)或備份，在數(shù)據(jù)備份方式上，兼顧存儲(chǔ)空間的合理化利用，選擇完全備份、差量備份、增量備份和日常備份；備份時(shí)間根據(jù)數(shù)字資源的重要性，選擇同步實(shí)時(shí)備份、每日備份和每周備份等；備份地點(diǎn)也可以選擇本機(jī)備份、本地異機(jī)備份、異地備份、網(wǎng)絡(luò)云服務(wù)備份等。通過(guò)對(duì)公共圖書(shū)館進(jìn)行調(diào)查，發(fā)現(xiàn)公共圖書(shū)館的數(shù)字資源主要分為表1所示的幾個(gè)種類(lèi)（包括但不限于）。

表1 公共圖書(shū)館的數(shù)字資源內(nèi)容

數(shù)據(jù)容災(zāi)方面主要表現(xiàn)為一種主動(dòng)式的預(yù)防，而不是在災(zāi)難發(fā)生后的彌補(bǔ)，容災(zāi)方式有雙機(jī)熱備、RAID陣列技術(shù)、云存儲(chǔ)服務(wù)等，其目的是在災(zāi)難發(fā)生時(shí)，能夠保證圖書(shū)館系統(tǒng)的不間斷運(yùn)行，或者盡快地恢復(fù)正常運(yùn)行，可以用備份應(yīng)用程序和備份數(shù)據(jù)來(lái)快速恢復(fù)運(yùn)行。數(shù)據(jù)備份與容災(zāi)相互依存，密不可分。備份是容災(zāi)的基礎(chǔ)，圖書(shū)館在選擇最適合的數(shù)據(jù)備份與容災(zāi)策略后，確保數(shù)據(jù)安全萬(wàn)無(wú)一失的常規(guī)策略。

（五）加強(qiáng)信息安全管理與館員信息安全素養(yǎng)與行為規(guī)范。1.加強(qiáng)信息安全制度建設(shè)。數(shù)字圖書(shū)館信息安全管理應(yīng)根據(jù)具體的建設(shè)目標(biāo)和各方面網(wǎng)絡(luò)安全因素組織建設(shè)，要摸清現(xiàn)有系統(tǒng)的情況，制定有效的信息技術(shù)安全策略，先明確管理職責(zé)，再制定信息安全管理計(jì)劃、號(hào)召人員響應(yīng)、事故處理、檢查、總結(jié)等。專(zhuān)職人員對(duì)數(shù)字圖書(shū)館運(yùn)行和維護(hù)持續(xù)監(jiān)控，對(duì)監(jiān)控日志認(rèn)真仔細(xì)分析，查找問(wèn)題原因，對(duì)癥下藥，使數(shù)字圖書(shū)館的安全水平不斷提高，形成完整的規(guī)章制度與流程規(guī)范，并保持更新，實(shí)現(xiàn)安全管理的可持續(xù)發(fā)展。針對(duì)性加強(qiáng)未成年人網(wǎng)絡(luò)保護(hù)，綜合考慮時(shí)長(zhǎng)限制、內(nèi)容審核等因素，開(kāi)發(fā)適合未成年人的使用模式，提供適合未成年人的資源和服務(wù)，嚴(yán)防不良信息影響未成年人的身心健康。2.加強(qiáng)館員信息安全素養(yǎng)與應(yīng)急處理能力。一是通過(guò)參加地方網(wǎng)絡(luò)監(jiān)管部門(mén)信息安全培訓(xùn)活動(dòng)，不斷提高圖書(shū)館員自身的信息安全能力與素養(yǎng)，從而具備一定的理論知識(shí)與操作技能，能對(duì)常規(guī)的安全隱患進(jìn)行分析與處理。二是明確每位館員系統(tǒng)功能的操作范圍，使用指定的賬戶(hù)和密碼登錄，設(shè)置他們的工作權(quán)限，出現(xiàn)問(wèn)題可通過(guò)操作日志倒查到具體責(zé)任人。三是制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并組織定期演練，在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，及時(shí)處理系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵等突發(fā)情況。四是積極借助“外腦”，即聘請(qǐng)信息安全專(zhuān)業(yè)服務(wù)團(tuán)隊(duì)，但會(huì)增加數(shù)字圖書(shū)館的運(yùn)作成本，而單個(gè)或少量信息安全人才負(fù)責(zé)圖書(shū)館數(shù)字資源的優(yōu)化和建設(shè)，又無(wú)法應(yīng)對(duì)變幻莫測(cè)的網(wǎng)絡(luò)攻擊。成本較低且效果較好的一個(gè)思路是，利用既有信息化人才的技能與能力，然后對(duì)其無(wú)法應(yīng)對(duì)的較高技術(shù)型信息安全問(wèn)題進(jìn)行外包處理，切實(shí)保障圖書(shū)館信息安全。

（六）推進(jìn)軟件正版化項(xiàng)目的實(shí)施。使用非正版軟件會(huì)增加系統(tǒng)癱瘓、感染病毒和黑客入侵的風(fēng)險(xiǎn)，甚至造成圖書(shū)館多年來(lái)加工和收集的關(guān)鍵數(shù)據(jù)被盜取或損壞，使圖書(shū)館承受巨大損失。隨著國(guó)家對(duì)網(wǎng)絡(luò)信息安全的要求進(jìn)一步提高，提出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”的指導(dǎo)思想，各省市已逐步推進(jìn)所使用的服務(wù)器和臺(tái)式、便攜式計(jì)算機(jī)上的軟件正版化，重點(diǎn)是普及計(jì)算機(jī)操作系統(tǒng)、辦公軟件和殺毒軟件的正版化。公共圖書(shū)館可利用這次契機(jī)，建立硬件、軟件資產(chǎn)臺(tái)賬，申請(qǐng)專(zhuān)項(xiàng)經(jīng)費(fèi)，實(shí)行全館計(jì)算機(jī)操作系統(tǒng)、辦公軟件和殺毒軟件正版化，并建立完善的升級(jí)、更換、使用、培訓(xùn)、處置等管理工作程序，要求專(zhuān)人負(fù)責(zé)，確保一切工作嚴(yán)格有序進(jìn)行。

（七）開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。信息安全等級(jí)保護(hù)，是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一項(xiàng)工作，要求網(wǎng)絡(luò)運(yùn)營(yíng)者按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的規(guī)定，履行安全保護(hù)義務(wù)。借助信息安全等級(jí)保護(hù)有利于公共圖書(shū)館采取科學(xué)、規(guī)范的管理方式和技術(shù)保障措施，保障數(shù)據(jù)資源和各項(xiàng)信息服務(wù)正常運(yùn)行，有效保障圖書(shū)館信息系統(tǒng)安全。公共圖書(shū)館應(yīng)用系統(tǒng)建設(shè)需要滿(mǎn)足網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要求，做到同步規(guī)劃、同步建設(shè)、協(xié)同推進(jìn)，少走彎路。通過(guò)信息安全等級(jí)保護(hù)工作的五個(gè)階段（即定級(jí)、備案、安全建設(shè)整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查環(huán)節(jié)）來(lái)維護(hù)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，實(shí)現(xiàn)數(shù)字化建設(shè)和信息安全相協(xié)調(diào)，提高信息安全水平和保障能力，從而進(jìn)一步保證圖書(shū)館的信息安全。

三、結(jié)語(yǔ)

公共圖書(shū)館作為社會(huì)結(jié)構(gòu)中的一個(gè)重要組成部分，為了順應(yīng)時(shí)代變化，公共圖書(shū)館開(kāi)展的服務(wù)應(yīng)該更加多元化，在利用云計(jì)算、人工智能、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)給公共圖書(shū)館信息服務(wù)模式和內(nèi)容帶來(lái)深刻變革的同時(shí)，信息安全問(wèn)題在被廣泛應(yīng)用的信息技術(shù)中暴露的越來(lái)越多。在網(wǎng)絡(luò)環(huán)境下，為了給公共圖書(shū)館數(shù)字化服務(wù)保駕護(hù)航，我們從網(wǎng)絡(luò)安全防護(hù)技術(shù)加強(qiáng)、用戶(hù)隱私數(shù)據(jù)保護(hù)、數(shù)據(jù)安全存儲(chǔ)、館員信息安全素養(yǎng)、軟件正版化、網(wǎng)絡(luò)安全等級(jí)保護(hù)多方面研究，建立全面的信息安全防御體系，將信息安全貫穿整個(gè)公共圖書(shū)館數(shù)字圖書(shū)館建設(shè)的各個(gè)環(huán)節(jié)，為廣大用戶(hù)提供可靠的數(shù)字化服務(wù)。