数字化图书馆信息安全问题及对策探析
2018-07-29陈适
摘 要 随着信息时代的到来,数字化图书馆受到越来越多的信息安全方面的威胁,而访问控制技术、防火墙技术等能够保证系统网络资源不被非法使用和访问,是一种解决图书馆管理系统资源的信息安全问题的有效途径。本文首先分析了数字化图书馆所面临的信息安全问题,然后给出了如何使用访问控制技术、防火墙技术、病毒防范技术等应对这些信息安全问题的措施。
关键词 信息安全 图书馆 访问控制技术
一、引言
近年来,随着互联网的发展而出现的信息安全事件屡见不鲜。例如,2017年3月,由于58同城招聘网对求职者简历毫无防护,平台存在多个漏洞,黑客通过采集工具就能轻易获取后台数据。甚至有商家在网上出售700元一套的爬虫软件,可采集全国430多个城市的464个职业的简历数据,求职者的个人信息可能遭到不法分子的利用。这种信息安全问题对于依托计算机技术和互联网技术的数字化图书馆同样存在。
随着计算机技术、通信技术和互联网技术的快速发展,以及国家对信息高速公路的建设为大规模的图书馆系统、信息管理系统的发展提供了有利条件和环境,数字化图书馆就是在此背景下应运而生。相对于传统的图书馆,数字化图书馆具有工作效率高、存储信息量大、图书信息检索快等特点。数字图书馆以计算机网络和高性能计算机设备、存储设备为基础,因此能向读者和用户提供比传统图书馆更广泛、更便捷、更先进的服务,并且从根本上改变了人们获取信息、使用信息的方法。从文献存储上看,传统图书馆的馆藏载体主要是纸质文献,在查询纸质文献的时候需要耗费大量的人力。与之相比,数字图书馆对藏书载体在大容量的存储介质上(如磁盘、磁带、光盘等),而且存储的信息类型全面(如书目信息、全文信息、图像、音频、视频等),因而使得数字图书馆所能收藏的书刊等资料的数量没有空间制约。从检索方式上看,用传统的检索方法,读者往往要在众多的纸质材料中花费不少的时间去查找自己想要的东西,十分不便。而数字化图书馆借助图书管理系统,读者能以毫秒级别检索到自己想要的文献等信息。数字化图书馆在给我们带来便捷的同时,信息安全问题也是我们需要考虑的。
图书馆信息安全问题引起了学者的关注。刘超(2009)分析了数字图书馆的信息安全现状,就数字图书馆出现的信息安全问题,提出加强图书馆信息安全的相关对策。[1]王长全(2010)认为应采用技术手段、统一身份认证、严格控制访问权限、加快信息安全基础设施建设、制定相关标准及政策法规等措施,来解决云计算时代数字图书馆的信息安全问题。[2]刘艳君(2015)阐述了图书馆用户数据泄露、计算机病毒入侵以及黑客恶意攻击及版权归属等信息安全问题,提出了加强网络环境下图书馆信息安全建设措施。[3]曾子明等(2017)构建了智慧图书馆MVS服务模型,并提出了智慧图书馆基于ROI定位、语义鸿沟和情境融合的MVS技术框架。[4]但这些研究并没有就图书馆的访问控制安全問题进行深入研究,因此,本文针对数字图书馆的访问控制安全问题,提出从访问控制机制、防火墙技术、病毒防范技术、检测技术这四个方面加强数字化图书馆的信息安全建设。
二、数字图书馆访问控制安全面临的问题
(一)图书馆数据安全问题
图书馆的数据信息主要存储在数据库中,不仅包括文献、图书、期刊等数据,用户的身份信息也存储在数据库中。由于数据库支持查询、插入、删除、更新等操作,而且存储的数据量大、时间长等,其成为不法分子攻击的主要目标。数据库受到的攻击方式主要有基于WEB的SQL注入攻击、合法的用户执行违规操作、统计分析攻击等。攻击者通过WEB的SQL注入对数据库的攻击可以获取用户的基本信息和身份信息、图书馆馆藏信息。而合法用户的违规操作就是一种访问控制安全问题,用户的违规操作会对数据进行插入、删除、更新等,使图书馆相关信息丢失或者与原信息不相匹配。
(二)人为恶意攻击问题
黑客利用系统漏洞获取信息和植入病毒,破坏图书馆管理系统。其中就有拒绝服务攻击(分布式DOS攻击),[5]它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,致使网络服务瘫痪的一种攻击手段。数字化图书馆很容易遭到拒绝服务的攻击,首先攻击者通过各种手段入侵一批电脑,然后在电脑中安装一个特殊指令来控制进程,最后攻击者通过远程控制这批电脑不断对图书馆服务器发送访问服务,由于某一时间段内访问服务器的计算机数量过多,互联网和图书馆局域网之间的带宽的大量消耗不仅影响服务器,而且也会影响局域网中其他电脑。如果攻击的规模很大,还能导致服务器瘫痪,影响巨大。
(三)计算机病毒的侵扰
计算机病毒是指在计算机程序中插入的破坏计算机功能或者毁坏数据,并自我复制的一组计算机指令或程序代码。计算机病毒有传染性、非授权性、隐蔽性、破坏性、不可预见性等特点,常见的计算机网络病毒有:蠕虫病毒、核心大战病毒(Zombie)、逻辑炸弹病毒、特洛伊木马病毒、陷阱(后门)等。图书馆是一个公共部门,合法用户均可访问图书馆系统,而用户的有意或无意操作可能导致图书馆系统感染到计算机病毒。病毒会对图书馆的计算机系统造成严重的破坏,其表现为:一是破坏文件,病毒破坏文件的方式主要包括重命名、删除、替换内容、颠倒或复制内容、丢失部分程序代码、写入时间空白、分割或假冒文件、丢失文件簇和丢失数据文件等,受到病毒破坏的文件如果不及时杀毒将不能使用。二是占用计算机资源,病毒在电脑中一旦被激活就会不停地运行,占用电脑大量的系统资源,使电脑的运行速度明显减慢。三是破坏硬盘,电脑病毒攻击硬盘的主要表现包括破坏硬盘中存储的数据、不读/写盘、交换操作和不完全写盘等。四是破坏系统数据区,由于硬盘的数据区中保存了很多的文件及重要数据,电脑病毒对其进行破坏通常会引起毁灭性的后果。病毒主要攻击的是硬盘主引导扇区、BOOT扇区、FAT表和文件目录等区域,这些位置被病毒破坏后只能通过专业的数据恢复来还原数据。
三、解决数字图书馆信息安全问题的措施
(一)健全访问控制机制
访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。[6]访问控制是保证网络安全最重要的核心策略之一,主要功能是保证网络资源不被非法使用和访问。
访问控制技术能够对图书馆中网络的非法操作采取安全保护措施。访问控制技术会赋予数字图书馆用户和用户组一定的权限,并控制图书馆用户和用户组在某段时间内可以访问哪些目录、文件和其他资源,还可以指定图书馆的用户有哪些权限对这些文件、目录、设备执行操作。这能够有效防止普通管理员和用户对图书馆系统进行非法操作,如普通管理员有权限删除图书信息,普通用户能够对数据库的数据条目进行修改等。
(二)设立网络防火墙
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,它可以在安全可信的内部网和不安全可信的外部網之间构成一道防御墙,阻挡外部不安全的环境威胁内部网络安全。
防火墙功能强大,能提供一个监视各种安全事件的位置,因此可以在防火墙上实现审计和报警。对于有些Internet功能,防火墙也可以是一个理想的平台,包括地址转换、Internet日志、审计,甚至计费功能。除了以上功能外,防火墙提供安全决策的集中控制点,使所有进出网络的信息都通过这个检查点,形成信息进出网络的一道关口。也就是说,防火墙不仅能够屏蔽内部网的结构,而且还能限制内部用户访问特殊站点。建立防火墙能有效抵制数字图书馆遭遇外部网络的威胁,并且能阻止内部人员访问危险网站使图书馆系统受到病毒的攻击。
(三)利用病毒防范技术
网络上对病毒的防范技术有四点:一是预防病毒技术。在第一时间阻止病毒进入系统,但一般来说不可能实现。二是病毒检测技术。如果系统被病毒感染,就立即检测出病毒的存在并对其进行精准定位。三是病毒鉴别技术。检测到病毒的存在后,辨别该病毒的具体类型。四是病毒消除技术。在确定病毒的类型后,从受染文件中删除所有病毒并恢复程序正常状态。清除被感染系统中的所有病毒的目的是阻止病毒的进一步传染。
如果对病毒检测成功但鉴别或清除失败,则必须删除受感染文件并重新装入无毒文件的备份。针对各种计算机病毒,图书馆管理员需要做的有:一是安装防病毒软件,及时更新病毒库;二是对敏感的设备和数据要建立必要的物理或逻辑隔离措施;三是加强数据备份和恢复措施;四是不轻易打开不明的电子邮件及其附件;五是避免在无防毒软件的机器上使用可移动磁盘;六是关闭不必要的计算机端口。
(四)使用入侵检测技术
入侵检测(Intrusion Detection)是指主动保护系统免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,不仅拓展了系统管理员的安全管理能力,而且还提高了信息安全基础结构的完整性。因此,入侵检测作为系统动态安全的核心技术之一,是保障数字化图书馆信息安全的必要技术手段。
常见的入侵检测步骤:一是信息收集。收集可靠、正确和完备的信息对入侵检测十分必要。收集可靠信息的前提是确保收集这些信息的软件工具的可靠性,防止软件工具被篡改而收集到错误的信息。二是数据分析。这是入侵检测系统的核心,分为异常入侵检测和误用入侵检测两类,它的效率直接决定了整个入侵检测系统的性能。三是响应。将数据分析结果记录到日志文件中,并产生相应的报告。四是触发警报。可以在图书馆系统管理员的桌面上安装一个警报系统,当系统收到入侵信息时能及时通知管理员。
四、结语
面对信息安全问题,不仅需要加强图书馆馆员的信息安全防范意识,更重要的是需要从技术上防范信息安全事故的发生,将管理和技术相结合才能有效解决数字化图书馆的信息安全问题。本文认为数字化图书馆所面临的访问控制信息安全问题,主要集中在图书馆数据安全问题、人为恶意攻击问题、计算机病毒的侵扰等方面,并针对这些问题给出了如何使用访问控制技术、防火墙技术、病毒防范技术等应对策略。
(作者单位为黄冈师范学院图书馆)
[作者简介:陈适(1973—),女,湖北黄石人,助理馆员,研究方向:图书情报。]
参考文献
[1] 刘超.数字图书馆的信息安全分析[J].现代情报,2009,29(6):72-75.
[2] 王长全.云计算时代的数字图书馆信息安全思考[J].图书馆建设,2010(1):50-52.
[3] 刘艳君.试论网络环境下图书馆的信息安全建设[J].图书馆工作研究,2015,25(15):25-27.
[4] 曾子明,秦思琪.智慧图书馆移动视觉搜索服务及其技术框架研究[J].情报资料工作,2017(4):61-67.
[5] 李禾,王述洋.拒绝服务攻击/分布式拒绝服务攻击防范技术的研究[J].中国安全科学学报,2009(01):132-136.
[6] 贾铁军.网络安全实用技术[M].清华大学出版社,2011.