高校數(shù)字圖書館網(wǎng)絡(luò)信息安全策略＊

張 宇

（南陽醫(yī)學(xué)高等?？茖W(xué)校，河南南陽 473001）

0.引言

2020年初開始，新冠疫情大規(guī)模暴發(fā)，影響著人們生活的方方面面。新學(xué)期開始后，師生無法如期開學(xué)，各大高校開啟了線上教學(xué)模式，從日常課堂講授、作業(yè)批改、畢業(yè)答辯等都進(jìn)入云端模式。高校圖書館作為學(xué)習(xí)和科研服務(wù)重地，面對如此疫情危機(jī)也實時轉(zhuǎn)變服務(wù)，選擇集知識分類和精準(zhǔn)檢索技術(shù)于一體的線上服務(wù)模式，開啟方便快捷的數(shù)字服務(wù)。

然而，數(shù)字圖書館的資源存儲、管理方式和服務(wù)模式都與信息網(wǎng)絡(luò)不可分割，面臨著各式各樣的信息網(wǎng)絡(luò)安全威脅。如何確保其網(wǎng)絡(luò)信息安全已成為各大高校當(dāng)下無法回避的問題。

1.數(shù)字圖書館網(wǎng)絡(luò)安全

1.1 數(shù)字圖書館

數(shù)字圖書館并非實體圖書館，而是基于網(wǎng)絡(luò)平臺的線上圖書館，圖書館將海量的館藏資源轉(zhuǎn)化成電子數(shù)據(jù)儲存在數(shù)據(jù)庫中。讀者可利用數(shù)字圖書館，線上檢索獲取所求資源，享受圖書館的信息服務(wù)。

1.2 數(shù)字圖書館安全

數(shù)字圖書館安全是指數(shù)字圖書館網(wǎng)絡(luò)系統(tǒng)的各個組成部分不受偶然的或惡意的原因而遭到破壞、篡改和泄露，并且確保數(shù)字圖書館網(wǎng)絡(luò)系統(tǒng)能連續(xù)正常運行的機(jī)制，其最終目的是要達(dá)到數(shù)字圖書館網(wǎng)絡(luò)信息處理和傳輸過程中保持可靠的機(jī)密性、完整性、可用性和可控性[1]。

1.2.1 數(shù)字圖書館信息安全內(nèi)涵

構(gòu)建安全的數(shù)字圖書館歸納起來可分為實體設(shè)備層安全、用戶數(shù)據(jù)資源層安全、軟件層安全。其中，最基礎(chǔ)的為實體設(shè)備層安全，是數(shù)字圖書館正常運行的源頭。包含機(jī)房電腦設(shè)備、服務(wù)器設(shè)備、自助借還設(shè)備、檢索機(jī)、閱讀本、網(wǎng)絡(luò)、電力設(shè)備等持續(xù)穩(wěn)定正常運行；最重要的為用戶數(shù)據(jù)資源層。本層負(fù)責(zé)讀者數(shù)據(jù)在數(shù)據(jù)庫中的安全防護(hù)，保障用戶個人信息安全，不被非法入侵者冒充、惡意篡改、隱私信息泄露等。而軟件層安全則是數(shù)字圖書館正常運行的命脈所在。負(fù)責(zé)各物理設(shè)備中的操作系統(tǒng)、服務(wù)器系統(tǒng)、應(yīng)用軟件及數(shù)據(jù)庫服務(wù)器軟件功能正常服務(wù)。

1.2.2 數(shù)字圖書館信息安全特征

數(shù)字圖書館信息安全具有機(jī)密性、完整性、可用性、不可否認(rèn)性、可控性等特征[2]。

（1）機(jī)密性確保數(shù)字圖書館的合法用戶信息不被非法用戶盜用。數(shù)字圖書館作為開放程度較高的部門，館藏資源具有共享性，但也有部分資源是要經(jīng)過授權(quán)才能使用的，如數(shù)字圖書館自建特色資源和一些有償服務(wù)的電子資源。（2）完整性是指保障數(shù)字圖書館的資源在系統(tǒng)發(fā)布、用戶使用、線上傳遞過程中數(shù)據(jù)完整、正確不會出現(xiàn)受損、丟包、異常等情況。（3）可用性是指合法的用戶可隨時隨地流暢的享受數(shù)字圖書館的線上資源服務(wù)，不會因時空不同或其他因素造成服務(wù)異常，資源不能訪問的情況。（4）不可否認(rèn)性保證數(shù)字圖書館用戶本人及其填寫的個人信息的真實可靠性。用過留痕且不可抵賴。（5）可控性指數(shù)字圖書館對服務(wù)系統(tǒng)中存在的及傳遞的信息資源能進(jìn)行有效控制。一切資源盡在掌控中而非游離不可操縱的狀態(tài)。

2.影響網(wǎng)絡(luò)安全的因素

網(wǎng)絡(luò)安全策略首先要做到“看得見”?？吹靡娂匆嵘W(wǎng)絡(luò)安全感知能力，這是做好網(wǎng)絡(luò)安全的基礎(chǔ)。明確影響網(wǎng)絡(luò)安全的風(fēng)險因素在哪里？是什么樣的風(fēng)險？做到“聰者聽于無聲，明者見于未形”。

2.1 人為因素

影響高校數(shù)字圖書館網(wǎng)絡(luò)安全的核心因素之一就是人為因素。事實上，高校數(shù)字圖書館工作中的絕大部分網(wǎng)絡(luò)安全問題都是由人為因素所導(dǎo)致的。其主要包含管理人員信息安全意識淡薄及管理人員缺乏技術(shù)手段兩部分。

2.1.1 圖書館網(wǎng)絡(luò)信息安全意識淡薄

一方面，由于傳統(tǒng)圖書借還方式和人工管理模式深入人心，高校圖書館信息安全意識淡薄；另一方面，高校圖書館的服務(wù)對象網(wǎng)絡(luò)安全意識缺乏，隨意下載免費WiFi工具連接不明無線網(wǎng)絡(luò)，轉(zhuǎn)借個人賬號、惡意批量下載電子資源等行為導(dǎo)致數(shù)據(jù)信息泄露，給圖書館電子資源帶來極大的安全隱患。

2.1.2 圖書館網(wǎng)絡(luò)管理人員的技術(shù)不足

網(wǎng)絡(luò)安全管理人員是一項技術(shù)性很強的職位。要求從業(yè)者有專業(yè)的信息化水平，能嫻熟地使用電腦系統(tǒng)及相關(guān)工具軟件，會配置服務(wù)器、數(shù)據(jù)庫相關(guān)系統(tǒng)參數(shù)，且有洞悉潛在安全風(fēng)險，并實時處理的能力。而高校圖書館的管理人員缺乏這樣的專業(yè)人才。

2.2 軟、硬件環(huán)境因素

高校數(shù)字圖書館網(wǎng)絡(luò)系統(tǒng)環(huán)境主要由硬件設(shè)備、軟件系統(tǒng)和機(jī)房構(gòu)成。

首先，硬件設(shè)備是促進(jìn)網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運行的必要物質(zhì)條件。這些設(shè)備用于資源檢索、自助借還、電子資源發(fā)布和存儲。相比于軟件設(shè)備硬件設(shè)備的更新周期較長，再加上相關(guān)設(shè)備的數(shù)據(jù)互相調(diào)用訪問和日常新增需求的負(fù)擔(dān)，低端配置的硬件設(shè)備承受不住就出現(xiàn)死機(jī)、服務(wù)崩潰、頻繁罷工等故障，影響圖書館的正常服務(wù)。其次，數(shù)字圖書館選擇的應(yīng)用軟件、系統(tǒng)軟件、購入的核心數(shù)據(jù)庫服務(wù)軟件是影響網(wǎng)絡(luò)信息安全關(guān)鍵因素。不正規(guī)的途徑獲取及一些不良軟件供應(yīng)商私綁流氓軟件等行為給圖書館常規(guī)選購工作帶來難度的同時，極大地威脅系統(tǒng)后續(xù)安全。再次，合理地設(shè)計圖書館核心機(jī)房、構(gòu)建各項環(huán)境符合國標(biāo)的安全機(jī)房也是保障網(wǎng)絡(luò)信息安全的重要因素之一。因此，供電設(shè)備是否平穩(wěn)安全、溫度濕度能否維持、防災(zāi)報警裝備是否靈敏可用、能否防靜電和抗電磁干擾等都是影響網(wǎng)絡(luò)信息安全需要重點關(guān)注的細(xì)節(jié)因素。

2.3 病毒及黑客入侵

計算機(jī)病毒具有傳播性強、復(fù)制率高、破壞性大等特點一直是威脅信息安全的最大殺手。系統(tǒng)一旦感染病毒，會造成服務(wù)器功能受損，數(shù)據(jù)資源遭到破壞，并迅速蔓延至其他設(shè)備。嚴(yán)重時會導(dǎo)致服務(wù)器崩潰、網(wǎng)絡(luò)癱瘓，所有數(shù)據(jù)丟失等。

黑客是指采取非法手段對計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行訪問的人員，相對于病毒侵害而言，黑客攻擊往往帶有一定目的，所以對網(wǎng)絡(luò)系統(tǒng)造成的危害更加嚴(yán)重[3]。黑客攻擊對高校數(shù)字圖書館的威脅具體體現(xiàn)在非法盜用資源，刪除或惡意修改用戶信息等隱匿性行為，難以根除。

2.4 自身管理因素、網(wǎng)絡(luò)信息安全制度不完善

影響數(shù)字圖書館網(wǎng)絡(luò)信息安全的因素還有圖書館的自身管理體系。沒有建立完善可行的安全管理制度，且由于責(zé)任不明確、執(zhí)行力度不強、監(jiān)管不嚴(yán)，導(dǎo)致現(xiàn)有的網(wǎng)絡(luò)安全制度形同虛設(shè)。

2.5 算法安全問題

新技術(shù)應(yīng)用衍生的網(wǎng)絡(luò)信息安全問題，部分服務(wù)商推出的精準(zhǔn)營銷策略非法收集用戶數(shù)據(jù)，保留用戶瀏覽痕跡都給用戶隱私泄露帶來很大的安全隱患。有的高校盲目追趕新技術(shù)新應(yīng)用，特別是人臉識別技術(shù)應(yīng)用泛濫，人工智能是一種技術(shù)，但并非萬能的技術(shù)。高校在選擇的過程中需要慎之又慎。

3.數(shù)字圖書館提升網(wǎng)絡(luò)信息安全的策略

3.1 加強各方網(wǎng)絡(luò)安全意識

3.1.1 技術(shù)人員

網(wǎng)絡(luò)信息安全中要求技術(shù)人員要做到政治可靠、作風(fēng)優(yōu)良、本領(lǐng)過硬。在傳統(tǒng)工作中，技術(shù)人員都在幕后做支撐，隨著數(shù)字化的發(fā)展和應(yīng)用，他們承擔(dān)的責(zé)任越來越大，所需的技能越來越高。高校圖書館技術(shù)人員要以身作則，堅守底線，充分認(rèn)識自身肩負(fù)的責(zé)任，日常工作不存僥幸心理、增強安全意識，不斷提升專業(yè)技能為圖書館網(wǎng)絡(luò)信息安全貢獻(xiàn)力量。

3.1.2 教職工

教職工要做到提高認(rèn)知、嚴(yán)守紀(jì)律、守土有責(zé)。深入學(xué)習(xí)網(wǎng)絡(luò)安全知識，日常工作中不隨意訪問非法網(wǎng)站，發(fā)布個人信息。使用電子資源過程中不隨意轉(zhuǎn)借個人賬號，惡意批量下載數(shù)據(jù)庫資源，更不得違反販賣電子資源及涉密信息等。

3.1.3 高校圖書館

對于技術(shù)人員方面，高校在引進(jìn)人才時，準(zhǔn)入門檻可以設(shè)置得高一些，從源頭上解決非專業(yè)人士意識不足，專業(yè)度不夠的問題。對于已成為高校圖書館網(wǎng)絡(luò)信息安全管理方面的工作人員應(yīng)開展定期培訓(xùn)。提供更多的外出交流學(xué)習(xí)機(jī)會，不斷提高他們的安全責(zé)任意識和專業(yè)能力。對于讀者信息，高校數(shù)字圖書館要加強技術(shù)防控，提高警惕，定制高效可靠的讀者信息安全保障措施，確保讀者隱私不受外界侵?jǐn)_。

3.2 構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系

網(wǎng)絡(luò)安全策略要做到“防得住”。防得住要提升網(wǎng)絡(luò)安全防御能力。重點是關(guān)鍵信息基礎(chǔ)設(shè)施，要盡快構(gòu)建關(guān)鍵信息基礎(chǔ)防范設(shè)施安全保障體系。高校數(shù)字圖書館基礎(chǔ)設(shè)施防范重點為軟硬件系統(tǒng)兩個方面。硬件方面除了確保硬件配置的選擇外，需要專人專職負(fù)責(zé)設(shè)備的日常監(jiān)測和維護(hù)實時監(jiān)控設(shè)備的運行環(huán)境及功能狀態(tài)，掌控設(shè)備溫度、濕度，及時對老化或受損部件進(jìn)行更換。

3.3 運用網(wǎng)絡(luò)技術(shù)安全策略

網(wǎng)絡(luò)安全的本質(zhì)是對抗，對抗的本質(zhì)是攻防兩端的能力較量。要以技術(shù)對技術(shù)，以技術(shù)管技術(shù)，做到魔高一尺，道高一丈。要提升信息領(lǐng)域核心技術(shù)突破能力?；ヂ?lián)網(wǎng)的核心技術(shù)是最大的“命門”，核心技術(shù)受制于人是最大的安全隱患。要加快推進(jìn)信息領(lǐng)域核心技術(shù)突破，實現(xiàn)關(guān)鍵核心技術(shù)自主可控，把握創(chuàng)新主動權(quán)，占領(lǐng)創(chuàng)新制高點。

3.3.1 提高防病毒的能力

高校圖書館以一種半開放的形式存在，需要服務(wù)的用戶眾多，病毒感染與黑客的入侵成為威脅數(shù)字圖書館網(wǎng)絡(luò)信息安全的因素之一。優(yōu)質(zhì)的殺毒軟件可以對系統(tǒng)進(jìn)行全盤掃描，找出潛在的安全隱患。也可通過二次掃描監(jiān)控網(wǎng)絡(luò)文件的傳輸情況，實時處理風(fēng)險文件。因此，高校圖書館首先需要安裝防護(hù)性能高、病毒查殺徹底的防病毒軟件來抵御攻擊。其次，實時更新升級病毒防御方案，提高整個系統(tǒng)防御等級。

3.3.2 完善防火墻功能

在網(wǎng)絡(luò)安全防范策略中防火墻技術(shù)簡單有效優(yōu)勢明顯。它不僅可以高效地阻隔風(fēng)險因素，可以輕松杜絕非法黑客入侵，極大保護(hù)服務(wù)器數(shù)據(jù)庫資源安全。還可以通過日志分析技術(shù)，追蹤漏網(wǎng)之魚。

3.3.3 加強數(shù)據(jù)備份與恢復(fù)技術(shù)

數(shù)據(jù)備份是為了在意外情況出現(xiàn)時也可以使用備份數(shù)據(jù)進(jìn)行快速彌補，最大限度地保障信息正確及完整，保證圖書館各項工作可以繼續(xù)有序開展，讀者權(quán)益不受影響。作為保證數(shù)字圖書館數(shù)據(jù)安全的最后一道防線，因此，做好數(shù)據(jù)的備份與恢復(fù)必不可少。高校圖書館要對館藏資源、用戶信息等核心數(shù)據(jù)進(jìn)行定時備份以防萬一。

3.3.4 控制用戶和權(quán)限

當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)最常用的安全保障策略是身份信息驗證和訪問權(quán)限的設(shè)置。高校數(shù)字圖書館系統(tǒng)應(yīng)根據(jù)用戶的級別設(shè)置對應(yīng)訪問權(quán)限，從而控制特定用戶訪問特定資源，確保信息的安全。

3.4 多方合作建立多元信息安全體系

通過多方合作建立多元化信息安全體系。如高校制定網(wǎng)絡(luò)安全規(guī)章制度、完善績效考核體系監(jiān)督機(jī)制和政府協(xié)助加強國家網(wǎng)絡(luò)安全法律法規(guī)。

3.4.1 制定科學(xué)、合理、健全的網(wǎng)絡(luò)安全規(guī)章制度

高校圖書館必須建立一個全面的規(guī)范網(wǎng)絡(luò)行為和明確網(wǎng)絡(luò)操作規(guī)程的制度體系。針對不同級別的員工劃分不同的責(zé)任清單，制度要做簡單易懂又合情合理。網(wǎng)絡(luò)安全管理的專業(yè)人員要嚴(yán)格按規(guī)章制度實施每日安全維護(hù)工作，一般管理人員要做到基礎(chǔ)安全防護(hù)，部門負(fù)責(zé)人要做好日常監(jiān)管。各部門互相配合嚴(yán)守制度。

3.4.2 完善績效考核體系，建立監(jiān)督機(jī)制

高校圖書館網(wǎng)絡(luò)信息安全管理制度要想發(fā)揮效用就必須完善績效考核體系并建立監(jiān)督機(jī)制。要引入多元化的評價主體，打破傳統(tǒng)考核模式，實現(xiàn)各部門交叉互考，互相監(jiān)督模式。

4.結(jié)語

高校圖書館利用數(shù)字化、網(wǎng)絡(luò)化、智能化技術(shù)和手段實現(xiàn)價值創(chuàng)造與服務(wù)創(chuàng)新的雙重轉(zhuǎn)型，促進(jìn)圖書館從資源能力型向服務(wù)能力的轉(zhuǎn)型[3]。高校數(shù)字圖書館的建設(shè)風(fēng)生水起，用戶對數(shù)字圖書館的依賴和要求越來越高。然而同樣發(fā)展壯大的還有花樣百出的網(wǎng)絡(luò)信息威脅方式。面對層出不窮的網(wǎng)絡(luò)安全事件，高校圖書館應(yīng)在實踐中不斷探索、不斷創(chuàng)新，權(quán)衡利弊采取有效的網(wǎng)絡(luò)安全防護(hù)策略，保障網(wǎng)絡(luò)安全，更好地服務(wù)廣大讀者。