张 芳

（安徽省图书馆 报刊部，合肥 230001）

信息安全技术被写入《“十二五”下一代信息技术产业发展规划》，标志着网络信息安全已经上升到国家战略的高度。随着云计算和虚拟化的迅猛发展，由网络化而衍生的图书馆信息安全问题也日益突出。因此，为了使图书馆充分发挥信息优势，实现资源共享，保证图书馆网络信息安全和高效运行已经成为当今图书馆建设中的关键任务。

一、目前图书馆中存在的主要网络信息安全隐患

图书馆网络信息资源和传统的纸质印刷图书一样，需要依附于能长久保存信息的载体，目前图书馆中的数字信息存储的媒体主要有硬盘、光盘、磁盘等，它们都有自己的存储方式及工作环境，一旦操作失误或者维护不当，就会丢失信息内容，难以恢复。如果网络信息资源存储不分主次，存储载体和存储环境混乱，访问技术不规范等都会给图书馆日常工作的开展造成不便，甚至给网络信息安全带来巨大的威胁。现今我国对网络信息资源的长期保存及维护技术还不完善，需要不断摸索、学习和改进，降低数字信息资源存储风险[1］。

随着网络信息资源的用户不断增加，图书馆为满足读者需求，需要在开设新的服务类别及服务方式的同时不断创新，从而越来越依赖于网络。然而网络的脆弱性也增加了图书馆网络信息资源的危险性。例如众所周知的计算机病毒感染与“黑客”攻击，它们不仅能对图书馆信息系统造成破坏，也能窃取用户的个人隐私，进而对其信息进行利用或修改，严重损害了著作者和图书馆的利益，这些危害大大破坏了整个图书馆的网络信息资源的完整性和机密性。图书馆网络环境及数据等的不安全，容易对用户造成不稳定心理，严重遏制了图书馆网络化的进程[2］。

二、影响图书馆网络信息安全的因素

1.物理安全因素

物理安全是影响图书馆数字信息安全的基本要素，主要包括计算机的硬件、软件和外部环境条件。计算机硬件因素主要体现在计算机的各类服务器、网络互联设备以及相关配套设施等，它们构成了网络信息系统的物质基础，是保证网络正常运行的前提条件。如果不能正确规范地安装及操作，不采取定期检查与维护的防范措施，一旦服务器连接失败、网络运行出现错误和硬件器件出现磨损或者老化等都会无法使得系统安全得到保障。计算机软件因素主要表现在操作系统与应用软件这两个方面。目前市场上主流的windows等操作系统还存在很多漏洞，需要定期对数据库及时更新与升级，对操作系统的不合理设置、软件质量的不合格和系统对软件的支持力度不够都会使得网络信息系统受到攻击。此外，在外部环境条件方面，图书馆机房环境配套设施的不合理设置，网络管理控制中心恶劣的环境条件也无法保证网络信息的安全，比如室内温度湿度不适宜、对磁场与电磁波抗干扰能力薄弱、电源电力配置落后等[3］。

2.人文因素

人文因素是影响图书馆信息安全的主观因素，影响后果大，且具有不确定性。主要体现在两类人群，一类是图书馆工作人员，另一类是用户。个别图书馆工作人员信息安全意识薄弱，缺乏责任心，专业背景差以及操作能力不够，加上管理人员的维护执行效果差，在对系统的操作过程中容易造成系统故障，从而影响信息安全。用户是图书馆数字化过程中比较活跃的使用者，他们对图书馆的使用能力及需求影响着数字图书馆建设的进程。用户若不能妥善保管个人的终端使用账号与密码，随意转借他人及与他人共享，并且滥用图书馆网络信息资源，下载不安全软件或查看网络不安全信息等不恰当的操作方式，都会给网络操作系统带来威胁。比如我们熟知的黑客恶性入侵，虽然大多数图书馆涉及机密信息不多，但依然有黑客针对系统设置问题、操作系统与软件漏洞等方面进行攻击，从而窃取图书馆信息，篡改数据，甚至造成系统瘫痪，严重影响图书馆信息资源的共享。

3.技术因素

技术升级是图书馆网络信息安全的技术保障。我国的信息技术发展还远远滞后于国外技术水平发达国家，图书馆的数字化发展也不例外，尤其是社会影响力较大的图书馆，网络应用系统与日常业务服务系统很容易由于技术上存在较大漏洞而遭到各类恶性攻击，以致损坏图书馆良好的社会形象。具有代表性的感染性很强的计算机病毒，是一种人为编制的程序编码或指令，其占用计算机系统存储空间，潜伏在系统中，一旦被激活，其破坏力度极大，传播速度很快，感染范围广。《全国首个计算机病毒已40岁》指出，从1990年的1 300个，到2000年的5万个，再到2010年的2亿个，在过去四十年里，计算机病毒呈现了爆炸式增长[4］。爆发的病毒使一些图书馆丢失数据、网络服务系统瘫痪，给图书馆界造成巨大损失和心理畏惧。另一个尚未得到有效技术遏制的是网络信息污染，它主要由于网络上一些无效的信息对有用信息的干扰造成的，这样就影响了读者对信息的鉴别难度，降低了信息的利用价值。如今由于网络开放性及无效信息的增加，网络信息污染越来越严重，主要表现为一些垃圾邮件、虚假信息以及不文明信息等。根据美国IBM公司的测定，很多企业花费很大精力与资金建立的数据库由于信息污染问题，可用信息只有10%是真正有价值的。因此，由网络技术漏洞造成的信息不安全应受到图书馆的高度重视[5］。

4.管理因素

管理机制是图书馆网络信息安全的关键因素，主要是要完善管理体系和制定法律法规对违规行为进行约束。如果图书馆不能形成完善的信息安全管理体系，不能加大管理力度，图书馆的网络信息资源安全问题就很难得到保证。目前很多图书馆的管理人员和技术人员缺乏网络管理和系统安全配置方面的知识，对网络信息安全的认识还很模糊，在管理中不能有效发挥自己的工作职能，对计算机中已存在的问题或者可能出现的问题不能很好地解决及预防，面对信息安全危机时手足无措。另外，图书馆网络化建设还面临法律风险，网络侵权、网络犯罪的事件时有发生，甚至超过了传统法律法规的管辖范围。网络的开放性使得读者无序地进行网络信息交流，随之面临的将是网络版权保护问题。虽然数字化的网络信息资源使用便捷，但部分授权内容若未经过著作权人的同意而被滥用也成为图书馆数字化进程中信息不安全管理因素的一部分，建立健全法律法规已经刻不容缓。

三、图书馆网络信息安全问题的解决策略

1.建立严格的安全管理制度

（1）加强安全教育，提高图书馆工作人员及读者的安全意识 网络信息安全意识不仅仅是图书馆管理人员和技术人员应该关注的事情，图书馆所有的工作人员都要加强安全意识培训，对用户的要求也要制定使用规范。首先，要定期举办加强工作人员和用户信息安全意识的教育培训，学习相关安全防护知识，增强工作人员的工作效率，培养用户的使用技能，纠正习惯性错误，还要加强大家对信息的保密教育，同图书馆签署信息保密协议，增强大家的责任心。其次，加大图书馆信息安全宣传力度，组织交流活动，发挥图书馆的主动性，调动用户对信息的防护意识，成立紧急信息不安全事件自救小组，开展对存在及预测实例研讨会，加强对紧急信息不安全事件的处理能力，缓解由于各种因素造成的信息不安全的破坏程度，减轻补救难度。再次，要加强图书馆各部门、管理人员与工作人员、图书馆与用户之间的监督与牵制，采取奖惩措施，进一步提高图书馆工作人员与用户的信息资源安全意识[6］。

（2）健全法律法规，形成信息安全制度保障 网络信息安全不仅仅依靠工作人员和用户个人的道德修养进行维护，还要制定相应的法律法规进行规范[7］。主要体现在：第一，保护用户个人隐私。2012年，我国第一部图书馆专门法《中华人民共和国公共图书馆法》已进入征求意见阶段，其中就明确提出对读者的个人隐私进行保护。相对于国外而言，我国的图书馆保密政策尚处在初级阶段，需要尽快制定相关法律政策，强化对个人隐私的保护。第二，对著作权人知识产权的保护。我国《司法解释》第2条中规定：“受著作权法保护的作品，包括著作权法第三条规定的各类作品的数字化形式。在网络环境下无法归于著作权法第三条列举的作品范围，但在文学、艺术和科学领域内具有独创性并能以某种有形形式复制的其他智力创作成果，人民法院应当予以保护。”第三，惩治网络犯罪。我国针对网络犯罪的规范框架已经基本形成，2012年12月24日十一届全国人大常委会第三十次会议审议了《全国人民代表大会常务委员会关于加强网络信息保护的决定（草案）》的议案。草案突出强调国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。与其他犯罪相比，我国对网络犯罪规定的法定刑相对偏轻，需要进一步完善，并加大惩处力度。总之，制定相关网络信息安全的法律法规政策，可以帮助图书馆对用户进行信息保密，保护著作者的知识产权，惩治网络犯罪行为，完善图书馆信息安全保障体系，塑造良好的社会形象，促进图书馆自身的和谐健康发展。

（3）培养专业人才，提供信息安全技术支持 图书馆信息含量大，覆盖范围广，其不仅要保护文化遗产，还要对科学文化知识进行普及，服务于教育科研工作，社会影响力极强。随着网络进程步伐的加快，对图书馆网络技术人才的要求也越来越高。专业人才的职业技能与个人素质直接体现了图书馆网络信息资源的安全程度。在具备相关基础专业操作技术的基础上，他们还需要随着数字化过程的发展不断地充电学习，积极参加图书馆信息安全知识培训，增强业务素质与技能水平，并能够充分地将所学的知识与技能运用于实践中，做到与时俱进。这不仅仅是个人工作能力的体现，也是为读者建设良好读书环境的要求。因此，不管是公共图书馆还是高校图书馆，一定要培养高素质、高业务能力的专门人才，并对他们进行定期的、针对性的培训，打造属于自己的安全队伍[8］。

2.制定缜密的技术防范策略

（1）使用安全性网络设备，加大机房环境的安全防护力度 我国的技术水平与管理机制一定程度上落后于发达国家，在引进外国先进设备时由于对产品的认识不够，很容易造成系统安全隐患，还要花费大量的精力与金钱去研究或聘请外国专家进行检测与改进，这不是提高网络设备安全的良好措施。在复杂的网络环境中，我们要根据自身安全需求，开发自己的网络软硬件配置，同时吸收外国可利用的先进技术，减少系统漏洞与缺陷的产生。此外，对于计算机工作环境也要做到合理设计，要有适宜的机房温度、湿度，保持环境的清洁，要有抗静电、电磁波等干扰的能力，还要有防火防水等的设施设备。计算机软硬件及工作环境是信息安全的最基本保证，只有使用安全性的网络设备，建设舒适的机房环境，才能从根本上减少网络信息不安全因子[9］。

（2）坚固防火墙技术，加强病毒防范 防火墙技术是目前使用比较广泛的网络信息过滤技术，它是内网和外网之间的保护层，内部网络与外部网络之间的信息连接需要经过它的检查与审核才能决定是否传输，能够阻止非法信息的干扰，是网络信息传递与访问的监督者。网络信息的广泛传播与病毒的入侵是相辅相成的，目前对病毒的防御还是我国网络建设中比较薄弱的环节。建立服务器与用户防御病毒体系，设置专门病毒隔离区域，定期对防火墙技术与病毒系统进行升级，能够增强网络信息系统对病毒的防范能力。此外，还要及时关注最新病毒情况并进行有效抵御，防止病毒进行深层次的毒害，保护网络信息资源安全[10］。

（3）应用操作权限管理平台，规范用户访问控制 对于图书馆领域来说，目前相对成熟的权限管理与控制技术是PMI（Privilege Management Infrastructure）即特权管理基础设施，该技术是以PKI体系为基础，基于属性证书（AC），向用户提供相关的授权服务，并及时进行权限验证的授权管理平台。通过单点登录的统一身份认证与PMI权限控制技术，能够根据不同用户的层级对应地设置不同的资源层级访问权限，二者形成匹配性，从而严格控制用户对资源的访问，以有效地保证数据与服务安全[11］。因此，图书馆可充分运用这一技术加强权限管理，一方面可以加强对管理人员的培训，提升操作技能，做好日常的数据维护工作；另一方面，可以根据用户对信息需求的不同来划分级别，并对其授予相应访问级别的权限，使被授权的用户依据单点登录进行身份认证，认证有效后方能允许访问相关资源，确保从用户端进行信息安全防范。

（4）引入“下一代安全”，提升图书馆安全等级 “下一代安全”是以“智能安全”为核心，兼具高性能、应用感知以及虚拟化支持，对未知威胁和新攻击形态实行有效防护的安全解决方案。其特点主要表现为统一平台及协同机制、性能更加强劲、应用感知与逃逸防护、第一时间快速服务。迈克菲安全专家指出“下一代安全应该是所有线路的集合、应该具有动态的、自适应的和不断演化的特性，它需要具备高性能，同时支持虚拟化环境防护的部署。”当前，国内图书馆由于规模及自身性质等原因，普遍存在对新安全技术的重视不足、安全意识薄弱等问题，已经不能适应形势发展的需要。这就需要在所采用的传统安全产品的基础上，引入和掌握诸如“下一代安全”等最新的安全技术，逐步提升图书馆的安全等级，从根本上确保图书馆信息安全，满足客户对当前的安全形势的要求。

[1]袁 梅.复合型图书馆信息安全及策略[J］.现代情报，2005，（6）：19－21.

[2]李 媛.近五年来数字图书馆信息安全问题研究综述[J］.图书馆学研究，2005，（12）：11－15.

[3]张媛媛，王胜利.论高校图书馆网络信息安全与防御体系构建[J］.科技情报开发与经济，2007，（18）：58－59.

[4]全球首个计算机病毒已40岁[EB／OL］.（2011－03－18）[2013－12－12］.http：／／net security.51cto.com.

[5]李 昕.论图书馆的网络信息安全[J］.农业图书情报学刊，2005，（8）：98－101.

[6]高红燕.高校图书馆安全防护工作中的问题及对策[J］.科技信息，2013，（4）：486－487.

[7]刘 超.数字图书馆的信息安全分析[J］.现代情报，2009，（6）：72－75.

[8]夏 亮.公共图书馆人才培养建设之浅见——关于太原市图书馆人才培养的思考[J］.科技情报开发与经济，2011，（30）：90－93.

[9]赵 巍.浅谈图书馆信息安全[J］.法律文献信息与研究，2008，（2）：67－69.

[10]周威平.图书馆信息安全管理架构与实践[J］.高校图书馆工作，2010，（5）：70－73.

[11]王长全，艾雨分，姚建文.云计算环境下数字图书馆信息资源安全策略研究[J］.情报杂志，2010，（3）：184－186.