文/攀枝花市图书馆 王品鑫

随着信息化、数字化的快速发展，世界各国各个层面的信息安全问题日益严峻。2016年11月7日，全国人民代表大会常务委员会通过《中华人民共和国网络安全法》，2017年6月1日起实施，各行各业信息安全责任越来越沉重。以公共图书馆为例，随着数字图书馆建设的推进，信息化程度将会逐步提高，为读者对知识的检索和利用提供了极大方便，信息的流动性更强，拥有的各种数据资源也愈加庞大，不可避免地存在网络信息安全问题，因此保障信息安全，需要一并纳入公共图书馆数字化建设中，同研究、同部署，建立完善、高效的图书馆信息安全管理机制。

一、数字化视域下公共图书馆信息安全现状

（一）政策引导。为加强数字图书馆信息安全管理，保障数字图书馆事业的有序进行，2017年10月，《数字图书馆安全管理指南》正式发布，该《指南》对数字图书馆安全的概念进行了界定，指出了信息资源的保密性、完整性和可用性是数字图书馆安全管理的基础，重点研究了数字图书馆安全管理相关要素，不仅对数字图书馆的安全管理工作提供了一定的参考价值，而且对数字图书馆的运行和保障起到了指导作用。

（二）业务性问题。随着公共图书馆信息系统网络化、便捷化的快速发展，公共图书馆资源逐渐演化成了大量的电子书、书目信息、数字期刊、用户数据等海量数字资源，更加注重知识开放共享和人机交互。个性阅读和精准服务的推广应用，需要收集用户实名信息、阅读喜好，微信、微博、社交网络媒体等信息进行针对性服务。数据种类包括结构化、半结构化和非结构化等多种类型，由于不同类型的数据对存储系统的性能要求不同，加之“重使用、轻管理”的现象普遍，信息存储与传播安全问题随之显现出来，如非法获取、虚假信息、用户隐私泄露、数据窃取、弱口令漏洞等，都是影响图书馆信息安全的潜在因素，如果数据管理得不到重视和有效防护，极易给公共图书馆信息安全埋下隐患。

（三）经济性问题。无论从图书馆年度工作目标任务制定还是从信息安全经费投入上来看，部分公共图书馆信息安全工作重视程度不够，很大一部分原因是经费不足，另一个原因是认为信息安全不能提高图书馆的组织收益和服务效能，只会减少损失，因此对待安全问题不重视。例如操作系统未正版化、未开展网络安全等级保护工作、漏洞补丁未及时完善和相关的安全设备、防护软件未及时配备到位等。

（四）管理与技术性人才问题。图书馆信息系统问题原因如下：一是很多公共图书馆缺乏信息安全管理制度，具体负责人指定模糊，从上到下缺乏信息安全意识，对信息安全方面法律、法规不够了解；二是人才招聘过程中没有提出具体的专业能力要求，导致缺乏具有一定信息安全技术能力的人才做支撑，信息安全管理经验与技术能力还有很大不足。

二、数字化视域下公共图书馆信息安全对策

近些年来，公共图书馆为了迎合时代潮流和扩大服务半径，大力发展数字阅读，降低用户到馆成本的同时，提高服务效能，利用新型技术使图书馆演变成为具有多功能线上线下的数字功能性的图书馆，其具有响应速度快、资源种类多、便捷功能高、网络服务强的特点。但在大数据、微服务发展的环境下，图书馆的数据资源和用户信息被不断收集、开发、存储和利用。分析和研究数字图书馆面临的网络信息安全问题，采取可行的应对策略以保障图书馆的数据和用户信息安全尤为重要。

（一）信息安全技术应用与访问控制。1.加强信息安全技术的应用。在公共图书馆信息安全技术应用中，首先需要对各个信息系统安全重要程度进行有效分析和评估，根据不同层级的安全需求，针对性加强相关技术的运用，使各层级安全需求都能够得到满足。图书馆信息安全管理是一个系统工程, 要做到应用诸多技术方法监测、记录网络运行状态，按照网络安全最新规定保存不少于6个月的网络日志，利用现有信息安全技术检测并完善系统软件漏洞，阻止来自网络的非法访问和自身重要数据的安全存储与恢复。2.加强访问控制。建立全面的用户访问控制管理，确保信息资源的合理利用，并告知用户其被授权的权限及应承担的责任。同时要使用各类访问控制技术手段，比如：账号权限分配、IP地址隔离、内外网访问限制、VNP技术应用、入侵防护检测等，防止非法利用与网络攻击。

（二）加强用户隐私安全管理。图书馆信息系统存储有大量用户个人数据、借阅信息、访问页面记录等信息，经过数据分析技术，可以得出用户的阅读兴趣、借阅喜好、查阅的资料等，便于开展个性化和精准服务。随着信息收集的逐步推进，用户数据与规模逐渐庞大，涉及隐私信息的数据也在逐年增加。《公共图书馆法》第四十三条规定：“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息，不得出售或者以其他方式非法向他人提供。”读者信息安全关键在于读者基本信息安全和读者行为信息安全。图书馆在收集用户个人信息的时候，个人信息就转化为个人数据，个人信息从私人领域进入公共领域，被搜集并加以利用，用户会对自身信息的安全性存在怀疑，从而影响其对数字化服务的持续使用意愿。因此我们在收集用户信息的时候，应当遵循收集限制、使用限制、安全保护等原则，依据数据质量、目的、是否公开、是否个人参加等情况分别进行处理，同时在需要向第三方提供个人用户信息，或共享、交易、委托处理重要数据的，留存个人同意记录。

（三）加强读者证安全管理。在办理读者证时，同样存在信息泄露的风险，为消除用户安全顾虑，在办理读者证的流程上，也应当采取相应的措施。1.读者信息采集、汇集阶段。仅采集公共图书馆服务开展与管理所需的信息，控制信息采集的精度，利用匿名保护技术，从源头上减少信息泄露的风险。同时在汇集各个分系统既有角色信息和进行权限重构时，在保障访问权限控制的前提下尽量精简用户信息数量，减少不必要的信息添加。2.读者信息储存阶段。对涉及用户隐私的信息实行加密和访问控制，可采用分级加密技术，根据保密等级不同，设定不同的密钥长度，对长时间未使用的用户数据进行冻结隔离，禁止互联网访问，加强外部系统使用API接口调用用户数据。3.读者信息利用阶段。采用访问控制、数据传输加密、匿名化、数据脱敏、数据库防火墙等方式，降低用户隐私被泄露的风险。4.读者信息删除阶段。图书馆应该科学管理读者个人信息，及时处理掉已经注销的读者身份信息，这样既能减少不必要的存储空间，也能减少需要保护的读者隐私信息数量。制定完备的信息安全管理制度。提高安全意识，从管理和技术两方面，确保个人信息安全。实现图书馆员行业规范化，强化行业的职业道德意识，以自律为主、惩罚为辅的方式来确保读者的隐私安全，从而保障读者在阅读活动中的个人信息安全。

（四）执行数据备份与容灾工作。数据存储安全是图书馆信息安全工作最基本的任务之一，图书馆书目数据、读者个人信息、数据资源以及管理账号等关键性业务数据，是保证数字图书馆正常运行的重要数据。硬件损坏、软件故障、网络入侵、操作不当等都有可能造成数据资源的损坏和丢失，这对数字图书馆服务工作的影响是灾难性的。在数字资源安全存储过程中，面临着数据结构的多样性、存储方式的特殊化、数据库权限等诸多问题，对数据备份工作提出了不少挑战，要针对不同类型的资源存储要求，利用不同类型存储介质之间的优点选择性存储或备份，在数据备份方式上，兼顾存储空间的合理化利用，选择完全备份、差量备份、增量备份和日常备份；备份时间根据数字资源的重要性，选择同步实时备份、每日备份和每周备份等；备份地点也可以选择本机备份、本地异机备份、异地备份、网络云服务备份等。通过对公共图书馆进行调查，发现公共图书馆的数字资源主要分为表1所示的几个种类（包括但不限于）。

表1 公共图书馆的数字资源内容

数据容灾方面主要表现为一种主动式的预防，而不是在灾难发生后的弥补，容灾方式有双机热备、RAID阵列技术、云存储服务等，其目的是在灾难发生时，能够保证图书馆系统的不间断运行，或者尽快地恢复正常运行，可以用备份应用程序和备份数据来快速恢复运行。数据备份与容灾相互依存，密不可分。备份是容灾的基础，图书馆在选择最适合的数据备份与容灾策略后，确保数据安全万无一失的常规策略。

（五）加强信息安全管理与馆员信息安全素养与行为规范。1.加强信息安全制度建设。数字图书馆信息安全管理应根据具体的建设目标和各方面网络安全因素组织建设，要摸清现有系统的情况，制定有效的信息技术安全策略，先明确管理职责，再制定信息安全管理计划、号召人员响应、事故处理、检查、总结等。专职人员对数字图书馆运行和维护持续监控，对监控日志认真仔细分析，查找问题原因，对症下药，使数字图书馆的安全水平不断提高，形成完整的规章制度与流程规范，并保持更新，实现安全管理的可持续发展。针对性加强未成年人网络保护，综合考虑时长限制、内容审核等因素，开发适合未成年人的使用模式，提供适合未成年人的资源和服务，严防不良信息影响未成年人的身心健康。2.加强馆员信息安全素养与应急处理能力。一是通过参加地方网络监管部门信息安全培训活动，不断提高图书馆员自身的信息安全能力与素养，从而具备一定的理论知识与操作技能，能对常规的安全隐患进行分析与处理。二是明确每位馆员系统功能的操作范围，使用指定的账户和密码登录，设置他们的工作权限，出现问题可通过操作日志倒查到具体责任人。三是制定网络安全事件应急预案并组织定期演练，在发生危害网络安全的事件时，立即启动应急预案，及时处理系统漏洞、计算机病毒、网络攻击、网络入侵等突发情况。四是积极借助“外脑”，即聘请信息安全专业服务团队，但会增加数字图书馆的运作成本，而单个或少量信息安全人才负责图书馆数字资源的优化和建设，又无法应对变幻莫测的网络攻击。成本较低且效果较好的一个思路是，利用既有信息化人才的技能与能力，然后对其无法应对的较高技术型信息安全问题进行外包处理，切实保障图书馆信息安全。

（六）推进软件正版化项目的实施。使用非正版软件会增加系统瘫痪、感染病毒和黑客入侵的风险，甚至造成图书馆多年来加工和收集的关键数据被盗取或损坏，使图书馆承受巨大损失。随着国家对网络信息安全的要求进一步提高，提出“没有网络安全就没有国家安全”的指导思想，各省市已逐步推进所使用的服务器和台式、便携式计算机上的软件正版化，重点是普及计算机操作系统、办公软件和杀毒软件的正版化。公共图书馆可利用这次契机，建立硬件、软件资产台账，申请专项经费，实行全馆计算机操作系统、办公软件和杀毒软件正版化，并建立完善的升级、更换、使用、培训、处置等管理工作程序，要求专人负责，确保一切工作严格有序进行。

（七）开展网络安全等级保护工作。信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一项工作，要求网络运营者按照网络安全等级保护制度的规定，履行安全保护义务。借助信息安全等级保护有利于公共图书馆采取科学、规范的管理方式和技术保障措施，保障数据资源和各项信息服务正常运行，有效保障图书馆信息系统安全。公共图书馆应用系统建设需要满足网络安全等级保护相关要求，做到同步规划、同步建设、协同推进，少走弯路。通过信息安全等级保护工作的五个阶段（即定级、备案、安全建设整改、信息安全等级测评、信息安全检查环节）来维护网络安全等级保护工作，实现数字化建设和信息安全相协调，提高信息安全水平和保障能力，从而进一步保证图书馆的信息安全。

三、结语

公共图书馆作为社会结构中的一个重要组成部分，为了顺应时代变化，公共图书馆开展的服务应该更加多元化，在利用云计算、人工智能、大数据、移动互联网等新技术给公共图书馆信息服务模式和内容带来深刻变革的同时，信息安全问题在被广泛应用的信息技术中暴露的越来越多。在网络环境下，为了给公共图书馆数字化服务保驾护航，我们从网络安全防护技术加强、用户隐私数据保护、数据安全存储、馆员信息安全素养、软件正版化、网络安全等级保护多方面研究，建立全面的信息安全防御体系，将信息安全贯穿整个公共图书馆数字图书馆建设的各个环节，为广大用户提供可靠的数字化服务。