摘 要:文章简述了高校数字图书馆网络及信息安全建设的现状、内涵、特点、意义等,分析了数字环境下高校数字图书馆面临的信息安全威胁,提出了信息安全教育及管理的体系内容和模式,并构建了信息安全技术建设、信息安全管理体制建设、信息安全标准与法律法规建设等数字信息安全体系。
关键词:网络;信息安全;数字化;高校图书馆
中图分类号:G258.6 文献标识码:A 文章编号:1003-1588(2019)05-0032-03
高校数字化图书馆建设是数字化校园建设的重要组成部分,如何充分发挥数字图书馆信息资源的优势,保障数字图书馆建设网络安全运行、数据库资源不被非法获取或篡改、应用系统不被入侵等,已成为高校图书馆在数字化建设进程中亟须关注和研究的重要课题。
1 高校图书馆信息安全现状
网络安全问题最早是在计算机科学领域出现的,该领域对网络安全方面的研究也比较全面和深入。在图书馆学领域,专家学者对图书馆的网络设计、数据加密防护、信息硬件设备安全、数据存储安全、角色安全控制策略等进行了研究[1],同时从物理层面对图书馆建筑安全、智能控制、容灾容备等方面进行了探索。
国外高校图书馆对信息安全概念没有进行过多的辨析,重点研究信息服务模式在图书馆服务的应用及其产生的影响和效能,对数据安全、系统安全、知识产权保护及网络安全等主要采取数据备份、软件更新、参数设置、用户认证、访问授权及保护原创等多种方法和措施[2]。我国高校图书馆对信息安全方面的研究对策和技术各有侧重,但将二者结合起来进行研究和应用的比较少。目前,我国很多高校图书馆在数字化建设过程中的防护措施比较单一和被动,已无法满足新时代网络信息环境下图书馆数字化建设和服务管理的安全需求。随着高校图书馆信息服务建设及服务水平的不断提升,其信息安全隐患和威胁也在增大。以大连海洋大学图书馆为例,该馆信息安全面临的威胁及相关数据影响指标见图1。
2 数字图书馆信息安全内涵与特征
2.1 数字图书馆信息安全内涵
数字图书馆从信息安全层次划分可分为物理安全层、软件安全层、数据安全层等。其中,物理安全层保障网络通信设备、计算机设备、媒体设备的安全稳定运行,是数字图书馆正常运行的前提;软件安全层保障操作系统、应用系统及数据库系统的稳定运行,是数字图书馆运行的业务核心;数据安全层保障数据库中元数据、对象数据及用户数据的安全存储,防止数据在网络处理或传输过程中被泄露、破坏、篡改和仿冒,是数字图书馆正常运行的服务资源。数字图书馆信息安全是一个涉及传输、处理、应用等多环节,具有可靠性、保密性、可用性、完整性、真实可控性等特征的多要素内涵[3]。
2.2 数字图书馆信息安全特征
数字图书馆信息安全具有保密性、完整性、可用性等特征,其有很多开放资源,也有需授权才能访问和使用的信息资源,如自建专题库、自建特色库、自建学位论文库等。为了防止数据和信息被篡改,数字图书馆在网络环境下进行数据信息存储或传输时,会拒绝向未经授权的用户提供访问信息和系统服务。此外,数字图书馆信息安全还具有普遍性、复杂性、相对性等特征[4]。
3 数字图书馆信息安全风险计算与分析
3.1 数字图书馆信息安全风险分析
数字图书馆的物理层主要包括路由器、防火墙、交换机、服务器、存储设备及通信链路等,引发物理层安全风险的因素主要有火灾、雷击、地震、水灾等灾害,以及设备自身存在的缺陷、不足或人为蓄意破坏、误操作等。物理层是数字图书馆信息运行的基础,一旦遭到破坏或干扰,将会造成整个图书馆业务体系的中断。数字图书馆的数据层存在传输风险,数据在传输过程中很容易被截获和篡改,造成泄密。数据包在链路传输时采用TCP/IP协议,如果没有加密软硬件控制,很容易被“包检测侦听”软件截获,相关的信息数据一旦被不法分子窃取,将带来严重的后果。数字图书馆还面临操作系统及数据库安全漏洞和病毒威胁等风险。数字图书馆操作系统包括Windows Server All、Windows All、Linux等,數据库包括SQL Server、Oracle、MYSQL等。在网络环境下运行的操作系统或数据库存在安全漏洞,如未进行定期安全升级更新、补丁修复及权限设置,将会造成严重的威胁。数字图书馆应用层的安全风险主要是身份认证、邮件服务、DNS服务、WWW服务等漏洞风险,具体表现为访问口令不加密、静态、简单,e-mail被黑客跟踪或植入恶意木马病毒,DNS缓存溢出,Web Server Dos 或DDOS被恶意攻击,蠕虫病毒等。造成数字图书馆管理层安全风险的主要是人为原因,一旦出现内部人员违规操作,将无法进行实时的安全监控、检测、预警及追踪。因此,如果数字图书馆没有完善的安全管理机制,就会造成责权不明、管理混乱等,进而引发管理安全风险。高校数字图书馆信息安全分层风险安全模型见图2。
3.2 数字图书馆信息安全风险计算
根据IS0027001风险评估及分析方法说明,风险分析计算范式为:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)。其中,R表示风险值,A表示资产,V表示薄弱点,T表示威胁,Ia表示资产价值,Va表示目前薄弱点,L表示安全事件发生的可能性。威胁等级可根据威胁强度和威胁发生可能性两个参数属性值进行判断,信息安全事件发生的可能性与威胁出现的频率关联,安全事件产生的影响与威胁强度相关。数字图书馆某项资产面临的单个威胁综合计算公式为:t=intTs+Ti2。其中,t为单个威胁综合值,Ts为威胁强度,Ti为威胁发生的可能性,其值∈[1,5]整数[5]。数字图书馆利用风险计算公式评估信息安全风险等级,要对资产的重要性和薄弱点进行识别,并分析每一个薄弱点引发安全风险的可能性,同时根据资产的重要程度,结合安全风险发生的可能性综合判断风险值。数字图书馆应根据计算得到的风险值,对照风险等级的划分标准确定不同风险的优先级或等级,做出风险威胁评估预警,为进一步制定控制安全风险措施提供依据。
4 高校数字图书馆信息安全建设策略
4.1 信息安全技术防护体系建设
根据信息安全不同层面的风险分析和计算,信息安全问题在各个层面表现均不同,数字图书馆应针对不同的安全需求,采用相关技术,开发应用不同的技术安全工具,以满足各层级的安全需求。
信息安全常见的防护措施主要包括认证、访问控制、内容安全,以及防火墙技术、防病毒技术、数字签名技术、入侵检测系统、信息过滤技术、应急响应技术、备份恢复技术、VPN技术等。在信息安全防护体系构建中,入侵检测系统和防火墙是实现网络和信息安全的基础条件,对于高校数字图书馆构建安全的网络信息环境非常重要。防火墙数据包过滤、实时链路状态侦测、行为分析、IP及端口限制、会话监测等功能,能够实时保障内网与外网之间进行信息存取和交换。入侵检测系统对数据包进行监测检查,一旦发现某个数据包对系统有攻击动作,就会及时断开会话链接,并由管理员预设值定义处理单元获取侵入者的详细信息,为事件处理提供依据。高校数字图书馆安全技术信息风险防控体系见图3。
4.2 信息安全管理体制建设
高校数字图书馆要制定合理的网络信息安全管理策略,健全安全管理制度,完善操作规程,明确信息安全保护工作目标和对象;成立信息安全领导小组,根据国家法律法规制定相应的管理制度,如操作人员管理制度、设备管理制度、技术管理制度、用户管理制度、软件和数据管理制度及安全责任制度等;加强对数字图书馆工作人员和校园读者的信息安全知识培训,增强他们的信息安全保密意识;加强数字图书馆工作人员的业务培训和综合能力培养,全面提升他们的政治觉悟、职业道德、技术水平和服务水平。此外,高校数字图书馆还应制定和完善安全保护制度,做好软硬件的安全管理工作。其中,硬件安全管理制度主要是保护硬件设备,如在机房配置专业技术人员进行管理,做好防水、防火、防雷等措施,定期对设备进行维护等;软件安全管理制度主要是针对软件系统的管理和购置制定的,购置软件要考慮其适用性、可靠性及维护性等因素。
4.3 信息安全标准与法律法规建设
目前,我国高校数字图书馆的信息安全主要依靠技术进行保障,只能被动解决问题,而无法全面、持续地保障网络信息的安全,因此,加快制定包含图书馆信息安全规划与建设、图书馆信息安全管理与服务、图书馆信息系统安全、图书馆知识产权保护、图书馆个人数据保护等内容的法律法规势在必行。信息安全标准和法律法规能够提供有效的信息安全管理建议、规范信息安全管理的方法和程序。作为高校的信息资源中心,高校数字图书馆在网络环境下应以信息安全标准和法律法规为保障,遵循信息安全管理标准,结合自身安全管理建设特点,设计数字图书馆信息安全风险评估与控制模型。
5 结语
在网络环境下,信息安全意识非常重要,人是图书馆信息安全的核心要素。无论信息安全工作多么复杂,信息环境如何改变,只要高校图书馆时刻保持对网络脆弱性和潜在威胁的清醒认识和警惕,采取多种保障措施,科学制定安全防护策略,就能保证其安全、高效、平稳地运行,为读者提供高品质的信息资源服务。
参考文献:
[1] 刘万国,张浩然,付希金.图书馆信息安全应用技术述评[J].现代情报,2010(10):71-73.
[2] 程罗德,于晓明,房文革,等.新信息环境下高校图书资源建设转型的探讨[J].河南图书馆学刊,2018(6):74-76.
[3] 周威平.图书馆信息安全管理架构与实践[J].高校图书馆工作,2010(5):70-73.
[4] 罗绘秀.图书馆网络资源信息安全保障体系研究[J].河南图书馆学刊,2015(12):115-117.
[5] 翁建华.数字图书馆信息安全对策研究[J].图书馆学刊,2012(4):108-110.
(编校:徐黎娟)
