越 飛

貴州食品工程職業(yè)學(xué)院圖書館，貴州 貴陽(yáng) 551400

互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，使信息已無(wú)處不在，充斥著人們生活的方方面面，移動(dòng)互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等，在給人們的工作、學(xué)習(xí)、生活帶來(lái)便捷的同時(shí)，伴隨著嚴(yán)峻的信息安全問(wèn)題。隨著網(wǎng)絡(luò)與各行業(yè)日趨融合，也深刻影響著圖書館的發(fā)展進(jìn)程，高職圖書館逐步實(shí)現(xiàn)自動(dòng)化管理，積累了書目數(shù)據(jù)、數(shù)字資源、讀者信息、檢索數(shù)據(jù)等海量數(shù)據(jù)信息，這些數(shù)據(jù)信息特別是讀者信息具有很高的價(jià)值屬性，存在被竊取或泄露等安全威脅。由此可見(jiàn)，確保信息安全是圖書館安全管理工作的重點(diǎn)。

一、信息安全概述

（一）信息安全

信息安全是指通過(guò)網(wǎng)絡(luò)運(yùn)行安全技術(shù)、信息內(nèi)容保護(hù)技術(shù)、病毒防御技術(shù)等技術(shù)手段，保護(hù)涉及信息系統(tǒng)的硬件設(shè)備、軟件資源、基礎(chǔ)設(shè)施、數(shù)據(jù)中心、機(jī)房環(huán)境和信息網(wǎng)絡(luò)中的所有信息資源免遭偶然的或惡意的訪問(wèn)審閱、攻擊破壞、篡改控制、泄露擴(kuò)散和搜集竊取等安全威脅，保證信息管理系統(tǒng)運(yùn)行的連續(xù)性、穩(wěn)定性及安全性。

（二）信息安全的重要性

信息安全是其他領(lǐng)域安全的基礎(chǔ)，既有本身的獨(dú)立性，又與其他領(lǐng)域具有融合性，是機(jī)構(gòu)乃至個(gè)人都不能忽視的重要安全問(wèn)題。當(dāng)今時(shí)代，人們對(duì)信息和網(wǎng)絡(luò)高度依賴，把工作、學(xué)習(xí)乃至生活等越來(lái)越多的事情通過(guò)計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)通信來(lái)完成，大量信息在計(jì)算機(jī)上存儲(chǔ)、加工、處理并在網(wǎng)絡(luò)環(huán)境下進(jìn)行傳輸，在傳輸過(guò)程中，保護(hù)信息的機(jī)密性、真實(shí)性、完整性，使信息在授權(quán)訪問(wèn)和加以防范的情況下進(jìn)行傳輸顯得尤為重要。如果信息得不到安全保證，就容易被網(wǎng)絡(luò)攻擊者獲取，產(chǎn)生不可估量的嚴(yán)重后果。

沒(méi)有信息安全，就沒(méi)有業(yè)務(wù)安全。圖書館 信息安全關(guān)系到讀者信息、書目數(shù)據(jù)、圖書財(cái)產(chǎn)賬等安全及圖書館業(yè)務(wù)工作正常開(kāi)展，也關(guān)系到圖書館的數(shù)字化建設(shè)與發(fā)展。高職圖書館作為海量信息的搜集者、加工者、傳輸者，要加強(qiáng)對(duì)信息安全的重視程度。基于此，深入探析圖書館信息安全存在的威脅，并提出解決措施，促進(jìn)圖書館信息安全工作有序開(kāi)展。

二、高職圖書館信息安全隱患

（一）系統(tǒng)數(shù)據(jù)破壞

在使用過(guò)程中圖書館數(shù)據(jù)庫(kù)可能會(huì)遭遇各種不測(cè)而導(dǎo)致數(shù)據(jù)破壞丟失，主要是由于環(huán)境因素和病毒攻擊。一是環(huán)境因素。突發(fā)事件具有不確定性和不可預(yù)測(cè)性，除了雷電、火災(zāi)、地震、臺(tái)風(fēng)等自然災(zāi)害外，對(duì)數(shù)據(jù)信息而言，硬盤故障、電源短路、不當(dāng)操作等因素都有可能會(huì)造成設(shè)備損壞、系統(tǒng)癱瘓、數(shù)據(jù)丟失等問(wèn)題。二是網(wǎng)絡(luò)病毒攻擊。數(shù)據(jù)信息的服務(wù)和存儲(chǔ)大多集中在計(jì)算機(jī)網(wǎng)絡(luò)上，而網(wǎng)絡(luò)本身的開(kāi)放特征，導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境不安全因素增加。隨著木馬病毒、敲詐勒索軟件、僵尸網(wǎng)絡(luò)等惡意程序逐漸增加，網(wǎng)絡(luò)攻擊呈現(xiàn)頻繁化、多樣化、專業(yè)化、組織化、規(guī)?；?、商業(yè)化等特點(diǎn)，這使數(shù)據(jù)信息面臨前所未有的安全問(wèn)題，數(shù)據(jù)信息一旦遭受病毒的侵蝕和黑客的攻擊都將可能在瞬間化為烏有，這嚴(yán)重威脅圖書館信息安全管理防護(hù)工作。例如：某縣圖書館因遭受勒索軟件攻擊，數(shù)據(jù)庫(kù)軟件、系統(tǒng)信息被禁止使用，導(dǎo)致圖書館系統(tǒng)被迫關(guān)閉，嚴(yán)重影響圖書館的自動(dòng)化管理和日常業(yè)務(wù)工作。網(wǎng)絡(luò)時(shí)代，圖書館開(kāi)展業(yè)務(wù)工作愈加依賴計(jì)算機(jī)和互聯(lián)網(wǎng)，若圖書館數(shù)據(jù)信息因各種原因遭遇破壞，讀者服務(wù)工作只能通過(guò)紙筆來(lái)完成，將大大降低工作效率和服務(wù)質(zhì)量。可見(jiàn)，數(shù)據(jù)破壞已是圖書館面臨的非常嚴(yán)重的信息安全問(wèn)題。

（二）讀者信息泄露

隨著互聯(lián)網(wǎng)高速發(fā)展，個(gè)人信息已經(jīng)成為具有高價(jià)值的商業(yè)資源，在大數(shù)據(jù)技術(shù)的支持下，社會(huì)機(jī)構(gòu)通過(guò)各種APP對(duì)個(gè)人信息、興趣愛(ài)好、關(guān)注點(diǎn)進(jìn)行收集并開(kāi)展商業(yè)活動(dòng)，同時(shí)也給不法分子可乘之機(jī)。2018年度《APP個(gè)人信息泄露情況調(diào)查報(bào)告》顯示，有85．2%的被訪者個(gè)人信息曾經(jīng)被泄露。近年來(lái)，全球范圍內(nèi)各領(lǐng)域紛紛爆出大體量數(shù)據(jù)泄露事件，個(gè)人信息泄露事件頻發(fā)，這說(shuō)明網(wǎng)絡(luò)時(shí)代個(gè)人信息處理不當(dāng)，就會(huì)給用戶隱私帶來(lái)嚴(yán)重的安全威脅。高職圖書館要實(shí)現(xiàn)高效的讀者服務(wù)，需要利用相應(yīng)渠道和途徑對(duì)讀者信息進(jìn)行收集和獲取，包括讀者姓名、身份證號(hào)、聯(lián)系方式等個(gè)人重點(diǎn)信息，而這些涉及讀者的個(gè)人信息，也存在被泄露或竊取的安全風(fēng)險(xiǎn)。在網(wǎng)絡(luò)大環(huán)境下，數(shù)據(jù)信息不僅能輕易查詢、收集、獲取，還存在著非法使用和惡意傳播的嚴(yán)重問(wèn)題，可見(jiàn)信息泄露的后果難以想象。

三、信息安全應(yīng)對(duì)措施

（一）數(shù)據(jù)存儲(chǔ)安全

圖書館存儲(chǔ)的海量信息作為一種對(duì)讀者具有重要意義的數(shù)據(jù)資源，其開(kāi)放性特征給圖書館數(shù)據(jù)存儲(chǔ)帶來(lái)嚴(yán)重安全威脅。隨著數(shù)據(jù)量的逐年增加，如何保障這些數(shù)據(jù)的存儲(chǔ)安全成為信息安全防護(hù)不容忽視的重要問(wèn)題。具體可以從三個(gè)方面入手。一是雙機(jī)運(yùn)行備份。雙機(jī)運(yùn)行備份具有容錯(cuò)功能，由兩臺(tái)服務(wù)器、交換機(jī)、光模塊等相關(guān)設(shè)備組成，其中一臺(tái)服務(wù)器用于運(yùn)行圖書管理系統(tǒng)、自助借還系統(tǒng)等重要程序，向讀者提供查詢、借閱服務(wù)，另一臺(tái)服務(wù)器用于數(shù)據(jù)備份。技術(shù)員根據(jù)需求進(jìn)行定時(shí)自動(dòng)備份設(shè)置，在固定時(shí)間將運(yùn)行數(shù)據(jù)自動(dòng)傳輸?shù)絺浞莘?wù)器上，實(shí)現(xiàn)數(shù)據(jù)運(yùn)行與存儲(chǔ)備份分離，一旦運(yùn)行服務(wù)器出現(xiàn)異常，存儲(chǔ)服務(wù)器能及時(shí)發(fā)揮作用，從而保證系統(tǒng)數(shù)據(jù)安全。二是身份認(rèn)證和授權(quán)訪問(wèn)。身份認(rèn)證作為保障信息安全的第一道防線，主要是為了識(shí)別、驗(yàn)證使用系統(tǒng)和訪問(wèn)受限系統(tǒng)資源用戶的身份。采用靜態(tài)密碼、動(dòng)態(tài)口令、信息加密、身份甄別等方式進(jìn)行入門信息檢測(cè)，阻斷非法操作，預(yù)防黑客入侵并生成檢測(cè)日志，長(zhǎng)期防護(hù)。授權(quán)訪問(wèn)的目的是限制用戶對(duì)數(shù)據(jù)信息的訪問(wèn)權(quán)限，是避免非授權(quán)用戶越權(quán)訪問(wèn)、使用、更改系統(tǒng)信息資源的重要措施。圖書館網(wǎng)絡(luò)管理員本著最小權(quán)限原則、最小泄露原則、多級(jí)安全原則，給不同部門管理人員分配系統(tǒng)賬號(hào)并賦予相應(yīng)權(quán)限，有效避免刪除讀者數(shù)據(jù)、修改書目信息、更改系統(tǒng)設(shè)置等錯(cuò)誤操作，預(yù)防網(wǎng)絡(luò)惡意入侵、修改或盜取數(shù)據(jù)信息等情況。三是異機(jī)存儲(chǔ)、妥善保管。為了確保在服務(wù)器系統(tǒng)數(shù)據(jù)丟失之后能夠恢復(fù)數(shù)據(jù)，可采取手動(dòng)備份與自動(dòng)備份相結(jié)合，備份數(shù)據(jù)的策略根據(jù)不同的應(yīng)用場(chǎng)景來(lái)確定。圖書館網(wǎng)絡(luò)管理員定期檢查數(shù)據(jù)運(yùn)行情況并手動(dòng)進(jìn)行數(shù)據(jù)備份，是服務(wù)器出現(xiàn)異常數(shù)據(jù)不丟失的解決方案之一，將備份的數(shù)據(jù)信息保存在不同電腦、移動(dòng)硬盤等存儲(chǔ)器上，即便所有服務(wù)器同時(shí)遭受崩盤或破壞，也可確保重要信息資源安全，不會(huì)因各種意外而遭遇破壞。

（二）網(wǎng)絡(luò)運(yùn)行安全

網(wǎng)絡(luò)安全管理是防御和攻擊之間的博弈，是保證系統(tǒng)信息安全，正常開(kāi)展業(yè)務(wù)的基礎(chǔ)。高職圖書館要根據(jù)信息安全問(wèn)題在不同層面的風(fēng)險(xiǎn)表現(xiàn)，進(jìn)行有針對(duì)性的分析和檢測(cè)，結(jié)合最低等級(jí)、中等等級(jí)、最高等級(jí)的安全防護(hù)需求，充分應(yīng)用相應(yīng)安全防御技術(shù)，達(dá)到不同層級(jí)的安全需求。一是硬件安全。圖書館運(yùn)行依賴于外部的硬件系統(tǒng)，突發(fā)狀況、硬件使用損耗等因素會(huì)對(duì)信息存儲(chǔ)安全帶來(lái)威脅。如自然災(zāi)害可能會(huì)造成存儲(chǔ)設(shè)備的毀壞，電源短路可能會(huì)導(dǎo)致計(jì)算機(jī)之間信息傳輸中斷、數(shù)據(jù)丟失，硬件系統(tǒng)的使用損耗、老化、無(wú)法更新可能會(huì)造成圖書館運(yùn)行的不穩(wěn)定等。因此，圖書館需要全面考慮系統(tǒng)信息的備份、缺失信息的修復(fù)、重要信息的管理，避免因突發(fā)性事件造成難以估計(jì)的損失，通過(guò)建設(shè)異地機(jī)房、與兄弟院校合作等方式，進(jìn)行異地備份，確保數(shù)據(jù)的絕對(duì)安全。同時(shí)，制定應(yīng)急措施，當(dāng)遭遇突發(fā)意外，如外部電源阻斷、服務(wù)器故障、病毒攻擊等不利情況時(shí)，及時(shí)恢復(fù)系統(tǒng)運(yùn)行和備份數(shù)據(jù)。二是軟件系統(tǒng)安全。面對(duì)網(wǎng)絡(luò)病毒攻擊的日益頻繁，信息安全不再滿足于簡(jiǎn)單的防護(hù)，而是對(duì)信息資源內(nèi)容、信息系統(tǒng)運(yùn)行、網(wǎng)絡(luò)虛擬空間等整個(gè)數(shù)字世界進(jìn)行保護(hù)和防御。漏洞掃描修復(fù)技術(shù)、隔離防護(hù)技術(shù)能有效提高網(wǎng)絡(luò)的安全性，有效避免大部分病毒、黑客的攻擊。漏洞掃描主要包括入侵檢測(cè)、硬件檢測(cè)、軟件檢測(cè)、病毒查殺、補(bǔ)丁修復(fù)等內(nèi)容，軟件系統(tǒng)難以避免會(huì)存在各種漏洞，不管是軟件開(kāi)發(fā)本身存在的漏洞，還是因操作不當(dāng)或更新不及時(shí)產(chǎn)生的漏洞，在網(wǎng)絡(luò)運(yùn)行狀態(tài)下都極易被攻擊，圖書館技術(shù)員要堅(jiān)持安全漏洞早發(fā)現(xiàn)、早評(píng)估、早修復(fù)、早消除的原則，定期進(jìn)行安全檢測(cè)和漏洞掃描，及時(shí)了解系統(tǒng)軟件的運(yùn)行狀態(tài)、安全指數(shù)和服務(wù)性能，并修復(fù)安全漏洞和更改系統(tǒng)中的錯(cuò)誤設(shè)置，優(yōu)化資源管理，提升網(wǎng)絡(luò)運(yùn)行速度，盡可能排除安全風(fēng)險(xiǎn)。隔離防護(hù)是將系統(tǒng)中安全部分與非安全部分進(jìn)行隔離的措施，主要技術(shù)手段有防火墻、隔離網(wǎng)閘等，其中防火墻主要用于內(nèi)網(wǎng)和外網(wǎng)的邏輯隔離，而網(wǎng)閘主要用于實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的物理隔離。三是圖書業(yè)務(wù)系統(tǒng)安全管理。系統(tǒng)安全管理遵循事前預(yù)防、事中控制、事后總結(jié)的原則，制定信息安全管理工作方案及突發(fā)事件應(yīng)急防御機(jī)制，具體包括制定各類信息管理環(huán)節(jié)的安全策略及各部門信息安全工作職責(zé)，確保各崗位職責(zé)明確、目標(biāo)清晰，建立溝通協(xié)調(diào)機(jī)制，加強(qiáng)各部門之間的相互支持與配合。保持和系統(tǒng)服務(wù)商的長(zhǎng)期聯(lián)系，加強(qiáng)溝通合作，不斷升級(jí)并完善業(yè)務(wù)管理系統(tǒng)，要求在業(yè)務(wù)系統(tǒng)設(shè)備入網(wǎng)、日常運(yùn)行維護(hù)、定期巡視檢查和業(yè)務(wù)上線、下線整個(gè)生命周期的各個(gè)環(huán)節(jié)，檢查包括服務(wù)器系統(tǒng)、自助借還系統(tǒng)、圖書管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等在內(nèi)的各類設(shè)備與系統(tǒng)的安全配置是否達(dá)到最基本防護(hù)要求，提供安全集成、風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、合規(guī)性咨詢、應(yīng)急保障等專業(yè)信息安全服務(wù)。確保硬件設(shè)施的使用安全，系統(tǒng)和應(yīng)用軟件設(shè)置安全，數(shù)據(jù)信息存儲(chǔ)及運(yùn)輸安全。

（三）技術(shù)人才保障

信息安全主要靠人、技術(shù)和操作三個(gè)要素來(lái)共同實(shí)現(xiàn)，涉及物理層、網(wǎng)絡(luò)層、應(yīng)用層、管理層等各層面的安全管理，而技術(shù)和操作都離不開(kāi)人的中心作用。當(dāng)前高職圖書館存在技術(shù)人才數(shù)量相對(duì)稀少、水平參差不齊、信息安全防范意識(shí)不足等問(wèn)題，導(dǎo)致圖書館數(shù)字資源建設(shè)、數(shù)據(jù)分析、信息安全等信息化建設(shè)工作相對(duì)滯后。圖書館是一個(gè)需要復(fù)合型人才的部門，應(yīng)積極的吸收各方面人才，并對(duì)自身的在職員工進(jìn)行深入培養(yǎng)。一是建立網(wǎng)絡(luò)安全管理人才隊(duì)伍。圖書館網(wǎng)絡(luò)信息安全是一項(xiàng)專業(yè)性極強(qiáng)的技術(shù)行業(yè)，因此對(duì)于專業(yè)人才的選拔、培養(yǎng)非常重要。圖書館的網(wǎng)絡(luò)安全管理人員需要掌握一定的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、硬件及軟件系統(tǒng)知識(shí)、圖書館相關(guān)理論知識(shí)，在不斷改善自身管理系統(tǒng)的同時(shí)，向其他在圖書管理系統(tǒng)方面做得比較好的同行學(xué)習(xí)，爭(zhēng)取能最大程度地提高圖書館業(yè)務(wù)管理系統(tǒng)的安全指數(shù)。二是樹(shù)立信息安全防范意識(shí)。信息安全最脆弱的環(huán)節(jié)是人。據(jù)統(tǒng)計(jì)，所有的信息安全事故中，只有20%～30%是自然災(zāi)害、黑客攻擊等客觀原因造成的，70%～80%是由于工作人員的疏忽、不規(guī)范操作或有意泄露等主觀原因造成的。故圖書館信息安全防范工作，人人有責(zé)。圖書館要提升信息安全使用規(guī)范要求，借助網(wǎng)絡(luò)安全技術(shù)及隱私保護(hù)措施，重點(diǎn)加強(qiáng)讀者信息采集、存儲(chǔ)、傳輸過(guò)程的安全性及系統(tǒng)登錄賬號(hào)和密碼使用的保密性，在不影響讀者服務(wù)質(zhì)量的同時(shí)確保信息傳輸?shù)陌踩约按鎯?chǔ)的完整性。為保證圖書館業(yè)務(wù)工作正常運(yùn)轉(zhuǎn)，需要加強(qiáng)網(wǎng)絡(luò)安全運(yùn)行的監(jiān)管力度，定期更新計(jì)算機(jī)操作系統(tǒng)和應(yīng)用系統(tǒng)，嚴(yán)格設(shè)置和排查系統(tǒng)軟件，避免黑客或病毒通過(guò)系統(tǒng)漏洞進(jìn)行滲透攻擊。經(jīng)常向相關(guān)部門人員了解圖書館數(shù)據(jù)的完整性及服務(wù)器運(yùn)營(yíng)的穩(wěn)定性。同時(shí)，與相關(guān)軟件系統(tǒng)公司簽訂信息安全保密協(xié)議，避免軟件公司在系統(tǒng)安裝、調(diào)試及遠(yuǎn)程協(xié)助過(guò)程中，竊取并非法傳播讀者個(gè)人信息。三是強(qiáng)化信息安全教育。技術(shù)手段的運(yùn)用是信息安全的重要保障，而全社會(huì)的信息安全防范意識(shí)和網(wǎng)絡(luò)道德意識(shí)，則是實(shí)現(xiàn)信息安全的根本保證。圖書館要利用講座、海報(bào)、信息素養(yǎng)比賽、走進(jìn)課堂等多種形式，充分宣傳網(wǎng)絡(luò)時(shí)代保護(hù)信息安全的重要性，強(qiáng)調(diào)信息泄露帶來(lái)的嚴(yán)重后果，從精神層面灌輸信息安全意識(shí)，營(yíng)造人人守則的網(wǎng)絡(luò)安全氛圍。

四、結(jié)語(yǔ)

高職圖書館信息安全是一個(gè)不斷攻防博弈的動(dòng)態(tài)性過(guò)程，是一個(gè)涉及資金、硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、技術(shù)、人員等諸多因素的系統(tǒng)性工程。加強(qiáng)圖書館信息安全防護(hù)，要管理和技術(shù)兩條腿并行，根據(jù)不同的信息管理目標(biāo)，提出具體管理要求及安全組織保障；落實(shí)技術(shù)運(yùn)用手段，保障系統(tǒng)軟件自身安全及網(wǎng)絡(luò)運(yùn)行安全；加強(qiáng)人員管理，提升其技能水平及安全防范意識(shí)，從而促進(jìn)圖書館安全、穩(wěn)定、有序地運(yùn)轉(zhuǎn)，為讀者提供高效、優(yōu)質(zhì)的信息服務(wù)。