朱生辉

（凉州区图书馆，甘肃　武威　733000）

云环境下的图书馆信息安全风险与防范

朱生辉

（凉州区图书馆，甘肃武威733000）

云计算平台在图书馆界的普及和应用，使得在为图书馆带来便捷的数据存储与获取、高速的运算与应用的同时，也加大了图书馆面临的信息安全风险，特别是随着大数据时代的来临，使得引发图书馆信息安全事故的途径、方式与内容更加多源与多样，图书馆必须做好应对之策加以防范。本文认为云环境下的图书馆信息安全风险主要有基于图书馆应用的信息安全风险、基于云运营商管理的信息安全风险与基于云平台技术保障的信息安全风险三类，而对云环境下图书馆信息安全风险的防范需要从云计算产业、图书馆及政府层面的供应链政策标准制定三个方面进行有效治理。

图书馆；信息安全；云计算；风险防范；信息供应链治理

随着现代科学技术的发展和社会管理细节的疏忽，个人信息泄露事件频发，对社会造成了极大的危害，近来发生的大学生上当受骗以致自杀等事件也都不在无时无刻提醒我们面临的信息环境之危险，以致无论在现代信息科学、信息管理学视野中，还是在现代社会的公共管理中，信息安全都成为了衡量管理水平的一个重要考量指标。图书馆是社会最主要的信息存储机构，丰富的读者服务活动使得其不仅承担着大量的馆藏数据信息保存责任，也承担着大量的读者信息保存之责任，而大数据时代的带来和图书馆数据信息的云存储趋势，则使得图书馆面临的信息安全风险越来越高，如何辨识云环境下的图书馆信息安全风险和有效防范也成为了新时期图书馆人的研究话题之一。基于上述背景，本文在分析当前云计算环境下图书馆信息安全面临的主要风险基础上，从云计算产业、图书馆及政府层面的供应链政策标准制定三个层面进行治理提出了防范之策。

1　云环境下图书馆面临的信息安全风险

尽管实现云端信息存储及计算已成为了当下企业信息机构的重要信息存储方式，但对图书馆来说，由于受体制、技术及人才等限制，图书馆的信息云存储还主要是租用云平台进行一定的馆藏数据保存与用户服务，对云平台的管理与监管也都主要由云平台运营商来完成。因此，尽管相较于以为用户提供文献借阅、知识组织的图书馆来说，云运营商在技术、经验上远远胜于普通的图书馆员，但也不可否认的是，缺少图书馆人特有的信息素养和基于商业利益考虑的云平台运营商泄露信息的风险远远高于图书馆员。同时，云计算技术还存在的防火漏洞也都可能致使其保存的图书馆信息得到泄露。

总体来说，云环境下的图书馆信息安全风险主要有：

第一，基于图书馆应用的信息安全风险。尽管图书馆的云平台应用主要以对信息的存储及计算为主，云计算运营商也给予了图书馆计算平台与技术保障支撑，但图书馆信息的获取、保存、应用则主要由图书馆员来完成，这也就在图书馆应用云计算平台的过程之中使其存在着安全风险。如典型的管理账号及密码泄露、图书馆馆藏数据格式的转换致使说明这些信息数据的元数据损坏、对云计算平台应用的管理与规范不到位、记录了应用云平台的Cooki信息的复制与商业化买卖，等等。

第二，基于云运营商管理的信息安全风险。正如前文所述，为图书馆提供了信息计算与储存的运营商，在既为图书馆提供便利的同时，也有可能因为实现了对图书馆信息的垄断而出现上述人为安全风险后也出现因格式的损坏、数据的灾备失败而出现的灾难性信息风险。同时，在前期的基础设施建设成功之后易于出现的价格肆意提升、行业垄断等也成为图书馆信息安全的潜在威胁，甚至都影响到了图书馆事业和云计算产业的发展。第三，基于云平台技术保障的安全风险。虽然云平台的信息数据存储技术已经非常完善，但云计算平台本身具有的优先访问、异地存取、数据清洗等也为所存数据信息的黑客攻击留下了端口与可能。

2　云环境下图书馆信息安全风险的防范举措

从云计算产业的发展与成功经验来看，在云计算技术被广泛运用之前，美国与欧盟采用的不同形式的行业自律与规范制度以来维护个人信息安全。然而自进入云计算时代后，欧美为应对云技术运用所致的信息安全风险，在注重通过制定法律这样的正式制度来优化治理效果，也注重通过维护利益相关者之间的权益来调和和平衡利益主体之间可能存在的利益冲突，进而促使他们共同应对信息安全风险。

从图书馆应用云计算的实践与事业发展角度来看，美国图书馆特别是美国国会图书馆应用云计算平台的经验也为我国图书馆的云计算应用提供了成功的借鉴经验：首先，客观对待影响和提升图书馆资源保存与计算能力的云计算，其在发挥安全可靠、低成本、快速高效、服务泛在化、以用户为中心等特点的同时，也具有存在优先访问权、管理权限、数据处所、数据隔离、数据恢复、调查支持和长期发展等方面的风险。其次，客观面对云计算可能存在的风险，即：一是根据自身需求，做好云计算战略规划，区分哪些资源存储在“云”中，并做好安全控制工作；二是评估风险，比较资源存储在“云”中和内部系统中的风险，以及不同云服务提供方的优缺点；三是选择合适的云服务提供方，通过试验降低图书馆云计算实施的风险，并积累实施云计算的经验。

再次，根据供应链治理理论，在图书馆应用云计算的供应链上每一个运行障碍所导致的图书馆信息安全风险得以被应对治理的根本途径，就在于供应链得到有效管控与治理。因此，就需对这条供应链上的信息行为主体 （包括图书馆用户信息主体、图书馆员信息主体、提供云计算平台服务的营运商信息主体等）通过合理的制度安排和规范、标准来实现有效治理。具体来说，就是要：（1）为每一利益相关者设计和制定权利保护制度，从而满足图书馆信息的真实与隐秘安全要求。如制定图书馆、图书馆用户及云计算运营商等信息主体的行为的主体规范与标准等。（2）构建利益确认制度，并引导利益相关者之间的利益平衡、分配及分享，从而满足信息可用的安全要求。在图书馆的云计算应用生态圈中，利益相关者主要有图书馆、图书馆用户、云计算运营商，因此就需对这三者的责任与义务、受益的分配与调整等进行机制约束，进而使得链接与三者之间的信息实现更快速的流通、增值与开发。

3　结束语

随着云计算技术的推广运用，越来越多的图书馆也加入到了云计算这一技术应用阵营之中，然而在云平台为图书馆用户和图书馆提供了对海量信息的收集、加工、存储和处理便利环境下，也还需进一步思考云环境下图书馆信息安全的风险与防范，以使在应用云平台提高了信息流通效率的同时也有充足的风险防备方案。而笔者以为，让图书馆、图书馆用户及云计算运营商的利益一致和规范的数据异地备份、标准的操作规范等是实现信息安全的基础与保障，需要图书馆界的努力，但也更需要政府及社会各界的重视与行动。

［1］ 高兵，董素芹.“云”环境下的图书馆“微”服务研究［J］.图书与情报，2014（1）：128-130.

［2］ 刘炜.图书馆需要一朵怎样的“云”［J］.大学图书馆学报，2009（4）：2-6.

［3］ Gartner：seven potential security risks of cloud service［EB/ OL］.［2015-11-12］.http：//www.022net.com/2009/2-18/ 494123282312212.html.

［4］ 邱庆东.知识资源建设中的图书馆员需求能力分析［J］.图书与情报，2016（3）：90-92.

［5］ 余凌.“互联网＋”背景下的图书馆业务重组内容与方向研究［J］.图书与情报，2016（3）：79-82.

［6］ Migration to cloud：how do companies reduce the risks of cloud computing［EB/OL］.［2015-11-12］.http：//wenku.baidu. com/view/1e9138a5f524ccbff1218489.html.

［7］ 蒋洁，王思义，何亮亮.云端鉴识取证的障碍分析与应对策略［J］.图书与情报，2015（3）：72-76.

［8］ 李维安，李勇建，石丹.供应链治理理论研究：概念、内涵与规范性分析框架［J］.南开管理评论，2016（1）：4-15.

G258.89