數(shù)字化視域下公共圖書館信息安全分析與對策探討

文/攀枝花市圖書館 王品鑫

隨著信息化、數(shù)字化的快速發(fā)展，世界各國各個層面的信息安全問題日益嚴峻。2016年11月7日，全國人民代表大會常務委員會通過《中華人民共和國網(wǎng)絡安全法》，2017年6月1日起實施，各行各業(yè)信息安全責任越來越沉重。以公共圖書館為例，隨著數(shù)字圖書館建設的推進，信息化程度將會逐步提高，為讀者對知識的檢索和利用提供了極大方便，信息的流動性更強，擁有的各種數(shù)據(jù)資源也愈加龐大，不可避免地存在網(wǎng)絡信息安全問題，因此保障信息安全，需要一并納入公共圖書館數(shù)字化建設中，同研究、同部署，建立完善、高效的圖書館信息安全管理機制。

一、數(shù)字化視域下公共圖書館信息安全現(xiàn)狀

（一）政策引導。為加強數(shù)字圖書館信息安全管理，保障數(shù)字圖書館事業(yè)的有序進行，2017年10月，《數(shù)字圖書館安全管理指南》正式發(fā)布，該《指南》對數(shù)字圖書館安全的概念進行了界定，指出了信息資源的保密性、完整性和可用性是數(shù)字圖書館安全管理的基礎(chǔ)，重點研究了數(shù)字圖書館安全管理相關(guān)要素，不僅對數(shù)字圖書館的安全管理工作提供了一定的參考價值，而且對數(shù)字圖書館的運行和保障起到了指導作用。

（二）業(yè)務性問題。隨著公共圖書館信息系統(tǒng)網(wǎng)絡化、便捷化的快速發(fā)展，公共圖書館資源逐漸演化成了大量的電子書、書目信息、數(shù)字期刊、用戶數(shù)據(jù)等海量數(shù)字資源，更加注重知識開放共享和人機交互。個性閱讀和精準服務的推廣應用，需要收集用戶實名信息、閱讀喜好，微信、微博、社交網(wǎng)絡媒體等信息進行針對性服務。數(shù)據(jù)種類包括結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化等多種類型，由于不同類型的數(shù)據(jù)對存儲系統(tǒng)的性能要求不同，加之“重使用、輕管理”的現(xiàn)象普遍，信息存儲與傳播安全問題隨之顯現(xiàn)出來，如非法獲取、虛假信息、用戶隱私泄露、數(shù)據(jù)竊取、弱口令漏洞等，都是影響圖書館信息安全的潛在因素，如果數(shù)據(jù)管理得不到重視和有效防護，極易給公共圖書館信息安全埋下隱患。

（三）經(jīng)濟性問題。無論從圖書館年度工作目標任務制定還是從信息安全經(jīng)費投入上來看，部分公共圖書館信息安全工作重視程度不夠，很大一部分原因是經(jīng)費不足，另一個原因是認為信息安全不能提高圖書館的組織收益和服務效能，只會減少損失，因此對待安全問題不重視。例如操作系統(tǒng)未正版化、未開展網(wǎng)絡安全等級保護工作、漏洞補丁未及時完善和相關(guān)的安全設備、防護軟件未及時配備到位等。

（四）管理與技術(shù)性人才問題。圖書館信息系統(tǒng)問題原因如下：一是很多公共圖書館缺乏信息安全管理制度，具體負責人指定模糊，從上到下缺乏信息安全意識，對信息安全方面法律、法規(guī)不夠了解；二是人才招聘過程中沒有提出具體的專業(yè)能力要求，導致缺乏具有一定信息安全技術(shù)能力的人才做支撐，信息安全管理經(jīng)驗與技術(shù)能力還有很大不足。

二、數(shù)字化視域下公共圖書館信息安全對策

近些年來，公共圖書館為了迎合時代潮流和擴大服務半徑，大力發(fā)展數(shù)字閱讀，降低用戶到館成本的同時，提高服務效能，利用新型技術(shù)使圖書館演變成為具有多功能線上線下的數(shù)字功能性的圖書館，其具有響應速度快、資源種類多、便捷功能高、網(wǎng)絡服務強的特點。但在大數(shù)據(jù)、微服務發(fā)展的環(huán)境下，圖書館的數(shù)據(jù)資源和用戶信息被不斷收集、開發(fā)、存儲和利用。分析和研究數(shù)字圖書館面臨的網(wǎng)絡信息安全問題，采取可行的應對策略以保障圖書館的數(shù)據(jù)和用戶信息安全尤為重要。

（一）信息安全技術(shù)應用與訪問控制。1.加強信息安全技術(shù)的應用。在公共圖書館信息安全技術(shù)應用中，首先需要對各個信息系統(tǒng)安全重要程度進行有效分析和評估，根據(jù)不同層級的安全需求，針對性加強相關(guān)技術(shù)的運用，使各層級安全需求都能夠得到滿足。圖書館信息安全管理是一個系統(tǒng)工程, 要做到應用諸多技術(shù)方法監(jiān)測、記錄網(wǎng)絡運行狀態(tài)，按照網(wǎng)絡安全最新規(guī)定保存不少于6個月的網(wǎng)絡日志，利用現(xiàn)有信息安全技術(shù)檢測并完善系統(tǒng)軟件漏洞，阻止來自網(wǎng)絡的非法訪問和自身重要數(shù)據(jù)的安全存儲與恢復。2.加強訪問控制。建立全面的用戶訪問控制管理，確保信息資源的合理利用，并告知用戶其被授權(quán)的權(quán)限及應承擔的責任。同時要使用各類訪問控制技術(shù)手段，比如：賬號權(quán)限分配、IP地址隔離、內(nèi)外網(wǎng)訪問限制、VNP技術(shù)應用、入侵防護檢測等，防止非法利用與網(wǎng)絡攻擊。

（二）加強用戶隱私安全管理。圖書館信息系統(tǒng)存儲有大量用戶個人數(shù)據(jù)、借閱信息、訪問頁面記錄等信息，經(jīng)過數(shù)據(jù)分析技術(shù)，可以得出用戶的閱讀興趣、借閱喜好、查閱的資料等，便于開展個性化和精準服務。隨著信息收集的逐步推進，用戶數(shù)據(jù)與規(guī)模逐漸龐大，涉及隱私信息的數(shù)據(jù)也在逐年增加?！豆矆D書館法》第四十三條規(guī)定：“公共圖書館應當妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供。”讀者信息安全關(guān)鍵在于讀者基本信息安全和讀者行為信息安全。圖書館在收集用戶個人信息的時候，個人信息就轉(zhuǎn)化為個人數(shù)據(jù)，個人信息從私人領(lǐng)域進入公共領(lǐng)域，被搜集并加以利用，用戶會對自身信息的安全性存在懷疑，從而影響其對數(shù)字化服務的持續(xù)使用意愿。因此我們在收集用戶信息的時候，應當遵循收集限制、使用限制、安全保護等原則，依據(jù)數(shù)據(jù)質(zhì)量、目的、是否公開、是否個人參加等情況分別進行處理，同時在需要向第三方提供個人用戶信息，或共享、交易、委托處理重要數(shù)據(jù)的，留存?zhèn)€人同意記錄。

（三）加強讀者證安全管理。在辦理讀者證時，同樣存在信息泄露的風險，為消除用戶安全顧慮，在辦理讀者證的流程上，也應當采取相應的措施。1.讀者信息采集、匯集階段。僅采集公共圖書館服務開展與管理所需的信息，控制信息采集的精度，利用匿名保護技術(shù)，從源頭上減少信息泄露的風險。同時在匯集各個分系統(tǒng)既有角色信息和進行權(quán)限重構(gòu)時，在保障訪問權(quán)限控制的前提下盡量精簡用戶信息數(shù)量，減少不必要的信息添加。2.讀者信息儲存階段。對涉及用戶隱私的信息實行加密和訪問控制，可采用分級加密技術(shù)，根據(jù)保密等級不同，設定不同的密鑰長度，對長時間未使用的用戶數(shù)據(jù)進行凍結(jié)隔離，禁止互聯(lián)網(wǎng)訪問，加強外部系統(tǒng)使用API接口調(diào)用用戶數(shù)據(jù)。3.讀者信息利用階段。采用訪問控制、數(shù)據(jù)傳輸加密、匿名化、數(shù)據(jù)脫敏、數(shù)據(jù)庫防火墻等方式，降低用戶隱私被泄露的風險。4.讀者信息刪除階段。圖書館應該科學管理讀者個人信息，及時處理掉已經(jīng)注銷的讀者身份信息，這樣既能減少不必要的存儲空間，也能減少需要保護的讀者隱私信息數(shù)量。制定完備的信息安全管理制度。提高安全意識，從管理和技術(shù)兩方面，確保個人信息安全。實現(xiàn)圖書館員行業(yè)規(guī)范化，強化行業(yè)的職業(yè)道德意識，以自律為主、懲罰為輔的方式來確保讀者的隱私安全，從而保障讀者在閱讀活動中的個人信息安全。

（四）執(zhí)行數(shù)據(jù)備份與容災工作。數(shù)據(jù)存儲安全是圖書館信息安全工作最基本的任務之一，圖書館書目數(shù)據(jù)、讀者個人信息、數(shù)據(jù)資源以及管理賬號等關(guān)鍵性業(yè)務數(shù)據(jù)，是保證數(shù)字圖書館正常運行的重要數(shù)據(jù)。硬件損壞、軟件故障、網(wǎng)絡入侵、操作不當?shù)榷加锌赡茉斐蓴?shù)據(jù)資源的損壞和丟失，這對數(shù)字圖書館服務工作的影響是災難性的。在數(shù)字資源安全存儲過程中，面臨著數(shù)據(jù)結(jié)構(gòu)的多樣性、存儲方式的特殊化、數(shù)據(jù)庫權(quán)限等諸多問題，對數(shù)據(jù)備份工作提出了不少挑戰(zhàn)，要針對不同類型的資源存儲要求，利用不同類型存儲介質(zhì)之間的優(yōu)點選擇性存儲或備份，在數(shù)據(jù)備份方式上，兼顧存儲空間的合理化利用，選擇完全備份、差量備份、增量備份和日常備份；備份時間根據(jù)數(shù)字資源的重要性，選擇同步實時備份、每日備份和每周備份等；備份地點也可以選擇本機備份、本地異機備份、異地備份、網(wǎng)絡云服務備份等。通過對公共圖書館進行調(diào)查，發(fā)現(xiàn)公共圖書館的數(shù)字資源主要分為表1所示的幾個種類（包括但不限于）。

表1 公共圖書館的數(shù)字資源內(nèi)容

數(shù)據(jù)容災方面主要表現(xiàn)為一種主動式的預防，而不是在災難發(fā)生后的彌補，容災方式有雙機熱備、RAID陣列技術(shù)、云存儲服務等，其目的是在災難發(fā)生時，能夠保證圖書館系統(tǒng)的不間斷運行，或者盡快地恢復正常運行，可以用備份應用程序和備份數(shù)據(jù)來快速恢復運行。數(shù)據(jù)備份與容災相互依存，密不可分。備份是容災的基礎(chǔ)，圖書館在選擇最適合的數(shù)據(jù)備份與容災策略后，確保數(shù)據(jù)安全萬無一失的常規(guī)策略。

（五）加強信息安全管理與館員信息安全素養(yǎng)與行為規(guī)范。1.加強信息安全制度建設。數(shù)字圖書館信息安全管理應根據(jù)具體的建設目標和各方面網(wǎng)絡安全因素組織建設，要摸清現(xiàn)有系統(tǒng)的情況，制定有效的信息技術(shù)安全策略，先明確管理職責，再制定信息安全管理計劃、號召人員響應、事故處理、檢查、總結(jié)等。專職人員對數(shù)字圖書館運行和維護持續(xù)監(jiān)控，對監(jiān)控日志認真仔細分析，查找問題原因，對癥下藥，使數(shù)字圖書館的安全水平不斷提高，形成完整的規(guī)章制度與流程規(guī)范，并保持更新，實現(xiàn)安全管理的可持續(xù)發(fā)展。針對性加強未成年人網(wǎng)絡保護，綜合考慮時長限制、內(nèi)容審核等因素，開發(fā)適合未成年人的使用模式，提供適合未成年人的資源和服務，嚴防不良信息影響未成年人的身心健康。2.加強館員信息安全素養(yǎng)與應急處理能力。一是通過參加地方網(wǎng)絡監(jiān)管部門信息安全培訓活動，不斷提高圖書館員自身的信息安全能力與素養(yǎng)，從而具備一定的理論知識與操作技能，能對常規(guī)的安全隱患進行分析與處理。二是明確每位館員系統(tǒng)功能的操作范圍，使用指定的賬戶和密碼登錄，設置他們的工作權(quán)限，出現(xiàn)問題可通過操作日志倒查到具體責任人。三是制定網(wǎng)絡安全事件應急預案并組織定期演練，在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，及時處理系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡入侵等突發(fā)情況。四是積極借助“外腦”，即聘請信息安全專業(yè)服務團隊，但會增加數(shù)字圖書館的運作成本，而單個或少量信息安全人才負責圖書館數(shù)字資源的優(yōu)化和建設，又無法應對變幻莫測的網(wǎng)絡攻擊。成本較低且效果較好的一個思路是，利用既有信息化人才的技能與能力，然后對其無法應對的較高技術(shù)型信息安全問題進行外包處理，切實保障圖書館信息安全。

（六）推進軟件正版化項目的實施。使用非正版軟件會增加系統(tǒng)癱瘓、感染病毒和黑客入侵的風險，甚至造成圖書館多年來加工和收集的關(guān)鍵數(shù)據(jù)被盜取或損壞，使圖書館承受巨大損失。隨著國家對網(wǎng)絡信息安全的要求進一步提高，提出“沒有網(wǎng)絡安全就沒有國家安全”的指導思想，各省市已逐步推進所使用的服務器和臺式、便攜式計算機上的軟件正版化，重點是普及計算機操作系統(tǒng)、辦公軟件和殺毒軟件的正版化。公共圖書館可利用這次契機，建立硬件、軟件資產(chǎn)臺賬，申請專項經(jīng)費，實行全館計算機操作系統(tǒng)、辦公軟件和殺毒軟件正版化，并建立完善的升級、更換、使用、培訓、處置等管理工作程序，要求專人負責，確保一切工作嚴格有序進行。

（七）開展網(wǎng)絡安全等級保護工作。信息安全等級保護，是對信息和信息載體按照重要性等級分級別進行保護的一項工作，要求網(wǎng)絡運營者按照網(wǎng)絡安全等級保護制度的規(guī)定，履行安全保護義務。借助信息安全等級保護有利于公共圖書館采取科學、規(guī)范的管理方式和技術(shù)保障措施，保障數(shù)據(jù)資源和各項信息服務正常運行，有效保障圖書館信息系統(tǒng)安全。公共圖書館應用系統(tǒng)建設需要滿足網(wǎng)絡安全等級保護相關(guān)要求，做到同步規(guī)劃、同步建設、協(xié)同推進，少走彎路。通過信息安全等級保護工作的五個階段（即定級、備案、安全建設整改、信息安全等級測評、信息安全檢查環(huán)節(jié)）來維護網(wǎng)絡安全等級保護工作，實現(xiàn)數(shù)字化建設和信息安全相協(xié)調(diào)，提高信息安全水平和保障能力，從而進一步保證圖書館的信息安全。

三、結(jié)語

公共圖書館作為社會結(jié)構(gòu)中的一個重要組成部分，為了順應時代變化，公共圖書館開展的服務應該更加多元化，在利用云計算、人工智能、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新技術(shù)給公共圖書館信息服務模式和內(nèi)容帶來深刻變革的同時，信息安全問題在被廣泛應用的信息技術(shù)中暴露的越來越多。在網(wǎng)絡環(huán)境下，為了給公共圖書館數(shù)字化服務保駕護航，我們從網(wǎng)絡安全防護技術(shù)加強、用戶隱私數(shù)據(jù)保護、數(shù)據(jù)安全存儲、館員信息安全素養(yǎng)、軟件正版化、網(wǎng)絡安全等級保護多方面研究，建立全面的信息安全防御體系，將信息安全貫穿整個公共圖書館數(shù)字圖書館建設的各個環(huán)節(jié)，為廣大用戶提供可靠的數(shù)字化服務。