许瀚之 宋爱林

(南京森林警察学院图书馆 南京 210023)

1 引言

一直以来，在数字图书馆的建设与服务中，商业数据库因其专业、成熟、售后服务好，资料详备、结构规范、持续扩充等特点[1]，成为图书馆数字文献的主要来源。基于知识产权保护和商业利益，商业数据库提供商往往采用限制使用者IP地址的方式加以管理。高校图书馆通过技术手段为校园用户提供校外访问服务，这类服务与校园网内服务器、网络环境等紧密关联。网络信息安全管理措施的增强，高校的部分外网服务受到严格限制。鉴于此，笔者拟运用互联网上云平台构建一种无关校园网敏感环境的数字资源访问模式，通过减轻校园网络与服务器的运维压力，提高系统安全性和可靠性，以此作为高校提高商业数据库利用率和确保校园网络安全的一个有效途径。

2 文献综述

商业数据库云平台服务指的是将机构所购买的商业数据库资源，根据其自身服务对象的需求，通过云平台进行功能的开发与服务的发布。云平台服务的本质是以出租、搭建的形式向用户提供基于互联网的计算、存储服务。目前其服务模式包括基础设施服务（IaaS）、平台服务（PaaS）和软件服务(SaaS)。经多年迭代更新，云平台凭借其稳定、共享性高、统一应用等优势，在国内外初步应用于各类图书馆业务，诸如：读者服务、阅读推广、资源购置和馆际互借等，但涉及数字资源访问的业务却寥寥无几。

通过相关文献检索和阅读，笔者发现近十年来与图书馆校外访问或数据库校外访问相关主题的学术论文年均发表4～8 篇，主要围绕技术手段实现、比较和管理等相关方面展开。陆康[2]分享了基于OLAP 分析并利用URL 重写技术实现多资源集合的互联网门户平台的实践。雷泽勇[3]研究了国外大学合法用户在校外访问图书馆数字资源的方法，提出我国高校可使用VPN、代理服务器和其他方式实现校外访问的方案。包华[4]具体分析了多种校外访问方式的原理，探讨了开通类似服务需要注意的问题。焦阳[5]则详尽对比分析了五种具体产品的优缺点，总结出各产品的适用情形。周欣[6]等提出将图书馆所有数字资源站点映射到一台代理服务器上，实现便于统一访问与利于数字资源的统计分析方法。

上述文献所涉及的校外访问技术基础是将校园内网的数字资源访问服务发布于互联网，因而可能受到来自互联网的各类安全威胁。究其原因，首先是基于HTTP 的网络服务易受到恶意代码攻击，一般防火墙无法阻断[7]；其次，互联网上的服务面临漏洞攻击、解密攻击、后门攻击、拒绝服务攻击等[8]，以校园现有的技术手段难以提供全面的防护；此外，各类病毒、网络攻击严重威胁校园网网络安全[9]，造成各类安全事件逐年增加。根据文献研究结果以及前文提及的潜在隐患，本文将对高校图书馆商业数字资源服务情况进行调查，并根据调查结果分析现有服务普遍存在的不足之处。最后探讨从哪些方面着手，利用现有成熟的技术手段，结合云平台的优势，构建功能完善、安全性高、服务稳定运行、维护成本低的商业数据库校外访问服务。

3 高校图书馆商业数据库服务现状调查

3.1 调查设计

笔者通过网络问卷调查的方式，了解商业数据库在江苏省不同类型高校图书馆的现有服务状况和服务模式的变革需求度，为进一步的研究奠定实证基础。问卷调查开始于2019年4月9日，截止于2019年4月27日，共发放52 份网络问卷，回收50 份问卷。问卷内容主要包括以下方面：(1)商业数据库的主体地位、访问方式和网络保障；(2)基于校园网的数字资源访问服务网络安全情况；(3)资源访问方式统计、用户行为监测；(4)基于云平台的资源访问服务的统一访问路径的需求及关注点。

3.2 调查对象

本次调查通过网络发布问卷，省内共有50所高校参与了反馈。其中，南京大学、东南大学、南京理工大学、南京航空航天大学、南京师范大学、苏州大学等重点高校(211、985 或者“双一流”高校)11 所，占比22%；南京工业大学、南京医科大学、扬州大学、徐州医科大学、淮阴师范学院等普通本科院校25 所，占比50%；南京工业职业技术学院、江苏护理职业技术学院、徐州幼儿师范高等专科学校、苏州农业职业技术学院等高职高专院校14 所，占比28%，如图1所示。从地域上来看，苏南高校38 所，苏中高校3 所，苏北高校9 所。从学校类型和地理位置来看，具备了一定的代表性，总体符合江苏省高校分布规律[10]。

图1 参与调查的高校类型比例

3.3 调查结果

3.1 商业数据库访问模式

在受调查的50 所高校图书馆中，47 所图书馆的数字资源均以商业数据库为主，占比达94%，表明商业数据库在当今数字图书馆中的地位，正如肖强[11]在《商业数字图书馆信息资源建设模式》中描述的那样“商业数据库是数字信息资源建设中的一道亮丽的风景线”。11 所高校以校内服务为主并不提供校外访问，其中重点高校1 所、普通本科2 所、高职高专8 所，可见在校外访问服务方面，高职高专院校差距较为明显。36 所高校的师生读者可以通过图书馆公网出口的代理或VPN 系统访问商业数据库，其中重点高校10 所、普通本科22 所、高职高专4 所，表明大多数图书馆重视当今读者的需求，以读者为中心的服务理念落实到位。值得注意的是，1 所普通本科高校和2 所高职院校已实现基于校园网出口的统一路径访问商业数据库，简化了读者访问资源流程，降低了图书馆运维成本。其余33 所高校图书馆需要本校信息中心提供网络访问策略配置、公网地址转换等辅助措施，其余上层业务则由图书馆自行负责管理。多数高校图书馆的资源访问服务底层通信受校园网策略、负载等因素影响，缺乏独立和统一的管理，灵活性与可靠性不佳。

3.2 服务质量和安全隐患问题

网络环境下图书馆资源与服务质量评价现有三种模式[12]：以图书馆为中心的输入/输出模式、以用户为中心的全面质量管理模式和以效益为中心的结果评价模式。作为数字资源，其网络可达性、可靠性、性能(延迟、抖动、负载、吞吐量)直接影响上述三种模式的评价。如表1所示，调查发现，50 所高校图书馆中68%对这一观点持肯定态度，三类高校无明显差别。64%的高校图书馆表示曾经发生过或担心发生专用系统(代理、VPN 等)受到网络非法攻击。近年来多次发生勒索病毒事件，教育网受到严重攻击，病毒在校园内网横向传播。此外，信息泄露问题也不容忽视。调查显示66%的高校图书馆担心访问系统和其他系统的关联性可能导致与校园网相关的用户信息、保密数据、敏感资料等泄露。究其原因分析可能包括服务程序设计缺陷、操作系统漏洞等客观因素，以及弱口令、操作权限混乱等主观因素[13]。若账号信息泄露可能导致：①黑客通过<账号&密码>组合授权进入数字化校园其他系统窃取、更改相关资料，造成信息安全问题；②得到授权后，恶意脚本的运行使访问系统产生大量机器下载行为，被商业数字资源厂商禁用，影响其他用户的合法访问；③导致个人隐私，用户肖像泄露，造成不良社会影响[14]。

表1 评价模式的认同与安全隐患

3.3 现有系统的统计监测

商业数据库使用效果好坏的重要指标之一是“使用率”，其衡量依据主要依赖供应商端的用户访问、下载日志等。显然存在诸多不足[15-17]：①数据真实性存在质疑；②计量标准和自行确定的规范混杂；③无法细粒度地记录个人使用情况④数据商对非法访问和下载执行IP 段封锁会影响合法用户的服务。因此，图书馆在购买或开发数字资源访问软件，其服务需得到有关部门配合以及网络设备的支持。焦阳[5]的研究结果表明，数字资源访问系统需同时具备提供校外访问与统计监控功能，粒度细到个人的访问日志与控制。在受调查的50 所高校中，商业数字资源的校内外访问统计存在较大差异，如表2所示。20%的图书馆对每个数字资源访问量、搜索量、下载量等进行精准的统计和汇总，24%的图书馆对读者用户的访问行为进行记录、监测、控制及统计分析，三类高校的调查结果分布如表2所示。许多高校图书馆的访问系统并不具备数据统计与访问监控功能，因而不利于后续构筑读者画像、推送个性化服务、提高决策管理水平等。

表2 数字资源访问统计汇总与读者访问监测控制分布情况

3.4 云平台访问的需求分析

云平台可根据用户的定义，整合对应的信息资源并提供服务。它可以灵活、快速地从资源共享池中获取所需资源，并动态地占用或释放资源空间，减少管理维护的工作量[18]，从而具备共享性、高可用性和安全性等优势[19]。

调查分析表明，70%的高校图书馆支持基于公共云的商业数据访问方案；68%的图书馆最关注该方案是否可实现访问路径的统一；60%的图书馆最重视业务架设于云平台后，是否不再受校园网网络访问策略、服务器等硬件限制；70%的图书馆担心该业务与智慧校园系统对接后，用户信息和读者访问日志可能存在泄露的风险。

4 高校图书馆商业数据库云平台服务系统设计

4.1 云平台服务系统设计的原则

如图2所示，根据调查结果，笔者设计的商业资源访问云平台服务系统除基本功能外，还应具备统一访问路径、脱离校园网环境、对敏感数据进行处理等功能，以保证系统、数据的安全性以及统计数据的可靠完整。访问路径的统一是指通过技术手段和相关策略禁止任何校内外合法用户绕过该系统访问已购置的电子资源，用户必须通过身份认证(例如口令、数字证书等)通过该系统访问已购置的电子资源；系统安全性指电子资源访问系统所基于操作系统平台的抵御各类网络攻击、病毒，恶意程序以及黑客渗透能力，依赖于维护人员的专业技能水平以及相关网络策略、系统漏洞补丁的完备；数据安全性指电子资源访问系统内数据库的敏感信息例如用户信息，口令等被非法用户获取的难易程度；统计数据完整性指访问系统的日志功能的完善程度，不限于用户登录、检索、访问与下载操作等。统一访问路径与屏蔽诸如因恶意脚本，机器行为产生的日志是保证统计数据的可靠与完善的前提。

图2 云平台服务系统的其他需求

4.2 云平台服务系统的整体架构

云平台服务系统架构包括硬件、操作系统以及提供相应服务的应用，如图3所示。其中，硬件层指按需租用的商业云平台的硬件资源池，包括CPU、内存、磁盘和带宽等计算、存储和网络资源，为上层系统和服务应用提供硬件支持；系统层指服务所基于的操作系统，诸如CentOS 或Windows，其作为中间媒介，为访问系统软件提供与底层硬件交互的接口，并负责相关应用程序的进程调度和硬件资源的分配；应用层则指具体的访问服务，包括多个模块，由数据库和动态页面作为主要技术支撑，其中：

图3 云平台服务系统架构

基本业务模块：包括前台UI 以及后台业务实现，提供身份认证和某种技术手段实现的校外访问服务。

账号管理模块：从相关权威系统同步用户账号信息，以及限制某些用户的异常操作，例如因拖库行为导致账号被应用等。

日志分析模块：记录用户使用该系统获取数字资源的详细日志，包括检索，下载和登录，并从多个方面进行分析，通过系统后台对应界面予以展示。

系统配置模块：系统自身参数的配置，诸如认证接口、故障告警、信息公告、账号同步等。

这一部分应该使用系统设计图和详细文字，整体交代云平台服务系统的技术架构层次，功能模块组成，以及每一模块的具体作用，系统模块间的关联关系等。比如这个系统可能是网络层、数据层、应用层等几部分组成，每部分又包括哪些具体的模块，每一模块有哪些应用功能及技术支撑，还有相应的应用场景等。

4.3 云平台访问实现的技术支撑

针对上述需求，笔者提出如下技术实现手段及对策措施：

(1)统一访问路径的实现可通过相应技术手段限制访问者IP 实现：联系数字资源商将访问系统的公网IP 作为合法访问资源的唯一凭据，并关闭其他IP 的授权。客户端访问、下载请求发送至云端的访问系统，系统使用代理技术把请求转发至数字资源服务器并改变源IP，使之处于服务器授权范围内，并在收到服务器应答后转发至客户端。相反，绕过该系统的请求因其IP 不在授权范围内，服务器识别为非授权用户而不予免费服务。保证访问路径的统一。

(2)将解决方案部署于业内知名商业云，可摆脱校园网络策略和硬件的限制，有利于统一管理并提高业务的稳定性；同时部署操作系统层面的安全解决方案：包括及时安装官方发布的逻辑、安全漏洞的补丁；关闭与业务无关的端口；安装服务器安防软件；启用SNMP 协议以邮件、短信等形式发送告警信息等，以保证系统漏洞的修复和入侵的侦测，确保系统安全和异常的实时响应。

(3)访问系统强制所有用户修改弱口令，合法用户在初次登录该系统后必须修改密码，需要满足一定的长度和复杂度，并通过哈希算法以MD5 值的形式储存于账号密码表。以防止恶意用户破解<账户名&密码>的组合后使用脚本进行机器行为下载电子文献。在不影响大数据分析和信息显示的前提下，对产生的业务数据按照行业标准规范进行加密处理，例如加密数据库中用户信息表、下载日志等表内非外键字段的内容，确保用户隐私安全的同时，不影响系统正常业务。

(4)满足统一访问路径后，建立详细的后台访问日志数据库，以记录用户的访问、检索和下载等操作。并通过后台管理页面表格、柱状图、折线图和饼图等方式从多个维度展示统计结果；新增机器下载行为识别和阻断功能，通过设定同一用户与系统的TCP 连接并发数阈值，杜绝通过恶意脚本的机器行为，保证服务的稳定性与日志的可靠性。

4.4 云平台服务系统运行的管理保障

云平台资源访问服务系统的运行，不仅依靠先进的技术，还需要科学可靠的管理措施以辅助。作者建议从以下几个方面入手：

(1)云平台硬件使用情况的持续跟踪：在某一时段某些特定的群体会出现对数字资源需求激增的情况，访问系统出现业务并发量高峰，负载增大。图书馆需要增加人力，保障系统的可靠运行的同时租用更多硬件资源，减少业务响应时间，改善用户的使用体验。

(2)加强与其他部门的协作管理：每当图书馆购置新的数字资源后，需及时将该资源配置至资源访问系统，避免新数字资源闲置，并及时撤换失效资源；定期检查系统与校园业务相关系统的对接是否正常，保障系统内相关数据更新及时。

(3)提升软件系统的功能与性能：包括优化系统重点业务的流程与代码，缩短业务执行周期；增加用户互动功能，蒐集用户建议；开放符合行业标准规范的接口等。

(4)增强运维人员的专业能力：图书馆可通过校内(外)培训的方式，使系统运维人员拥有云架构、网络和操作系统的知识储备，具有解决一般故障分析、排除的能力，以期减少故障处理时间；运维人员亦可编写并运行简单的脚本，实时监测云平台系统的服务情况，预测、防范和响应故障的发生。

当然，一个平台有效运行不仅依靠技术，还要有可靠的管理及后控措施，这一方面也可以提出一些建议。

5 总结与展望

本文通过背景文献研究和问卷调查，针对高校图书馆现有商业资源访问模式存在的诸如服务稳定性、安全性不高、缺乏统一管理、日志不完备、运维成本较高等不足之处，提出了基于云平台的初步解决方案，以期为用户提供更为稳定、安全、可溯源的电子资源校外访问服务。因资金和人力所限，故暂未将方案加以验证。

随着大数据、人工智能的应用和解决方案不断优化以及智慧校园、智慧图书馆的普及，可将访问系统与诸如教务、一卡通、图书管理等其他校园系统集成，实现校外访问系统的统一认证，简化用户访问电子资源的步骤；大数据技术有助于对用户的多元化数据进行采集、挖掘和处理。例如将考勤、图书借阅、消费、绩效等特征指标作为参数，从宏观和微观的角度，分析影响学术特征、偏好的相关参数，构建模型并生成可视化报告。构建用户画像，提供个性化服务，对每个读者的专业背景、知识体系、借阅偏好、阅读模式等方面进行智能化数据分析，向不同类型的读者提供智能化定制化服务并加以推送。人工智能技术可根据资源访问系统的运行情况，做出自动软硬件方面的资源优化配置，使之运行状态良好以提高硬件利用率与促进软件的完善；亦可作为辅助手段，判定用户恶意使用电子资源的行为；分析各类统计结果，参与电子资源订购策略的制定。若将上述技术运用于高校商业资源访问模式，并结合智慧图书馆的建设，在提高数字资源吸引力与利用率的基础上，图书馆预期可实现高效、精准服务和管理用户的目标。