第27卷第1期 2014年1月 Hebei Library Journal河妒奔f技用苑 Vo1.27,N0.1 of Science and Technology Jan.,2O14 信息技术环境下图书馆信息安全及对策研究 刘 念 (西安建筑科技大学图书馆陕西西安710055) 摘要:信息技术环境为图书馆服务方式革新提供了有力保障,叙述了信息技术环境 下图书馆的服务内容,分析了各项服务在运行中所面临的安全威胁,并提出了安全防范 措施及策略。 关键词:信息技术;图书馆;信息安全;安全策略 中图分类号:G250 文献标识码:A 信息技术在图书馆的广泛应用,给图书馆信息 接起来,用户只要打开电视通过遥控器就可以享受 资源的开发和利用带来了诸多方便,各类信息技术 数字图书馆的便利服务。如“国图空间”是全球首 日益成为图书馆服务的必要保障,也使信息安全问 家国家图书馆的数字电视应用服务,现已覆盖北京 题变得十分突出。因此,信息技术环境下图书馆必 地区360余万户家庭,用户足不出户即可享受国家 须充分认识现代信息技术,尤其是信息网络的发展 数字图书馆的资源和服务。服务内容包括馆况介 对信息安全的影响,采取多种措施保障图书馆信息 绍、馆内动态、新书快递、图书续借等7个栏目,用户 系统安全。 可通过电视访问图书馆的数字资源,完成图书的检 索与续借,浏览文化共享工程的多媒体资源等。 1 信息技术环境下图书馆服务的实现途径 1.3 图书馆联盟 信息网络技术为图书馆服务联盟的实现提供 1.1 手机图书馆 了技术保障。通过组建图书馆服务联盟可以充分 手机图书馆系统是无线移动通信技术在图书 发挥图书馆资源共建共享的整体优势。我国图书 馆领域的应用,它可以很好地与数字图书馆业务管 馆服务联盟发展已初具规模,形成了全国性的、区 理系统相结合,并将数字图书馆的服务延伸到手机 域性的和专业性的图书馆联盟。其主要的服务有 终端,把数字图书馆的读者服务功能尽可能多的在 文献传递,馆际互借等_1]。 手机上实现。手机图书馆最大的优势在于其访问 方便灵活,不受时间和空间限制,读者可以随时随 2 信息技术环境下图书馆信息安全问题 地访问图书馆的资源。还可以按照个人喜好来定 制各种信息服务,如绑定手机、短信提醒服务等个 信息技术环境下图书馆的信息服务具有基于 性化服务。读者可以在数字图书馆业务系统的 网络、开放获取等显著特点,其面临的安全问题较 WEB网站设定与当前读者相关联的手机号,同时系 之传统图书馆更多,主要包括非法用户通过网络进 统会发送自动生成的验证码到读者手机,以确认读 行的网络攻击和开放获取阶段的版权管理问题。 者身份,完成手机号码的绑定。 2.1 用户数据及身份的保密性、泄露风险 1.2 数字电视图书馆 用户在使用图书馆检索终端进行咨询时,需要 数字电视的发展为信息技术服务的实现提供 一定的身份注册和验证,往往会产生Cookie数据, 了良好的机遇。图书馆可以利用数字电视的交互 记录下用户的检索历史等信息,这便涉及到用户的 功能开发相应的接口,将数字图书馆与数字电视连 身份及隐私。如果黑客等一些非授权访问的主体 ・ 94 ・ 利用自己的计算机技能实施入侵系统,破坏系统, 或者一些不法分子将用户的数据隐私记录或分析 后盗卖给他人,使用户的操作信息、获取资料、账号 密码等个人信息外泄。图书馆的信息安全将会遭 到破坏。 2.2开放端口风险 图书馆的数字化信息通常是以Web站点的形 式对外开放服务的,因此必须开放一些服务端口, 同时系统的服务器一般存放在专门的服务器中心, 管理人员需要对服务器进行操作基本都会采取远 程控制等手段,也必须开放一些服务端口和访问权 限,而在进行这些正常数据交换时,数据信息可能 被中间者跟踪、破解,造成安全威胁[2]。 2.3身份认证风险 服务器系统登录和主机登录一般都是使用固 定口令,甚至有时候很多人都是用同一种口令,如 有的系统就一直使用默认的用户名及密码,如ad— min等,且在数据库中有存储记录,可重复使用。这 样非法用户通过穷举攻击等手段往往很容易得到 这种静态口令,可对资源的安全造成严重威胁 引。 2.4馆藏文献的数字化和提供带来的风险 随着图书馆联盟的推广,数字图书馆检索平台 可以帮助用户进行浏览、查询、文献请求,下载乃至 上载文献,即馆藏文献数字化。这些平台的建设与 维护存在着知识产权和版权的风险。比如馆际互 借和文献传递,在馆际互借和文献传递之前,一般 会发生复制行为。如数字化、录入、扫描等,之后再 向用户传递。那么这些资源的版权将受到威胁。 3 信息技术环境下图书馆信息安全问题 对策 针对信息技术环境下图书馆的安全问题,需要 分别从技术、运行、管理等3个方面提出解决对策, 如图1所示。 图1信息技术环境下图书馆安全保障 3.1数据安全问题对策 3.1.1 提高数据安全技术 (1)身份认证技术。随着智能手机和平板电脑 等移动终端的广泛流行,手机等移动终端登陆图书 馆是泛在图书馆实现的重要途径之一。可采取短 信密码的形式,当用户登录图书馆资源时,身份认 证系统以短信形式发送随机的6位密码到用户的手 机上。用户在登录认证时候输人此动态密码,从而 确保系统身份认证的安全性。由于手机与用户绑 定比较紧密,短信密码生成与使用场景是物理隔绝 的,因此密码在通路上被截取几率降至最低。 (2)防火墙技术。防火墙具有很好的保护作 用。首先,入侵者必须首先穿越防火墙的安全防 线,才能接触目标计算机。防火墙对流经它的网络 通信进行扫描,这样能够过滤掉一些攻击,以免其 在目标计算机上被执行。其次,防火墙还可以关闭 不使用的端口,而且还能禁止特定端VI流出通信, 封锁特洛伊木马。第三,它可以禁止来自特殊站点 的访问,从而防止来自不明入侵者的所有通信。 (3)入侵检测与系统审计技术。通过对计算机 网络或计算机系统中的若干关键点收集信息并进 行分析,从中发现网络或系统中是否有违反安全策 略的行为和被攻击的迹象。在发现入侵后会及时 做出响应,包括切断网络连接、记录事件和报警等。 对互联网进行有效监督,预防、制止数据泄密。 (4)加密技术。用加密来保护信息。利用密码 变换将明文变换成只有合法者才能恢复的密文,在 信息传输过程中加密。 3.1.2 运行控制 (1)访问控制。按用户身份及其所归属的某项 定义组来限制用户对某些信息项的访问,或限制对 某些控制功能的使用。防止非法的主体进入受保 护的网络资源,允许合法用户访问受保护的网络资 源,并阻止用户对非授权网络资源进行访问。 (2)数据备份与容灾。将海量数据以某种方式 保存,当数据遭到破坏时,可迅速恢复,重新加以 利用 。 3.1.3 加强管理 (1)安全管理制度。信息技术环境下图书馆安 全管理制度是系统管理的一个重要内容,是保障系 统按照目标运行、效益最大化的必要条件和保障措 施。安全管理制度必须建立图书馆运行的安全管 理组织和系统安全等级,制定严格的技术文件管理 制度、规范的系统操作程序,针对系统运行可能遇 到的故障、灾难和攻击,建立完善的系统运行灾备 ・ 95 ・ 制度和审计制度。 (2)授权管理。在信息技术环境中,用户权限 的分配必须遵循“最小特权”原则。最小特权原则 要求信息系统中每个用户所必须的最小特权,确保 可能由事故、错误、系统部件的篡改等原因造成的 损失最小 ]。 4 结束语 目前,信息技术环境下的图书馆服务模式创新 取得了一些成绩,信息安全管理是服务模式创新的 关键影响因素。本文分析了信息技术环境下图书 (3)角色管理。信息技术环境条下,用户可以 运用各类工具访问数据资源和设备资源,因此识别 资源使用者的角色,及时发现混淆在正常用户中的 非授权者和黑客也变得更加重要,这一任务的技术 难度也不断提高。信息技术环境下的角色管理,访 问工具差异很大,安全管理人员不能笼统定义用户 角色,而应针对各类访问工具的特征进行角色定 义,并分析工具之间的差异,明晰角色之间的对应 馆运行中存在的新安全问题,并分别从技术、运行、 管理、版权等4个层面重点论述了破解这些问题、实 现新型图书馆服务模式高效运行的策略和举措。 希望这些信息安全技术及管理策略能起到“抛砖引 玉”的作用,引发国内各图书馆信息管理者关注信 息技术环境,思考和讨论新技术环境和服务模式下 图书馆安全管理问题,推动图书馆安全管理的实践 工作创新,实现科学发展、高效安全的图书馆用户 服务。 关系,对用户角色集合划分同类项,依据同类项定 义角色管理策略。 (4)安全培训。图书馆应根据涉及的业务范 参考文献 围,分别对管理层、系统管理员和使用者进行信息 安全的教育培训。培训内容主要包括:安全意识和 法律意识的培养、泛在图书馆正确使用的程序培 ,11:-I申彦舒.国内泛在图书馆建设现状调查研究[J].四川 图书馆学报,2012,(5):40—43. -I2]郑庆胜.数字图书馆网络系统安全与数据安全问题探讨 [D].导师:陈佩华.湘潭大学,2004:33—40. 训、系统灾备程序培训、系统审计制度的培训[6]。 3.2知识产权风险问题对策 如何避免图书馆联盟后图书馆服务模式中知 [3]骆永成.数字图书馆敏感数据匿名发布若干关键技术研 究l-D].导师:乐嘉锦.东华大学,2011:2—3. [4]高万斌.图书馆数字化信息的安全保障策略研究[D]. 导师:余世明.浙江工业大学,2012:2O一25. r5]Ben Mankin.The Formalisation of Protection Systems 识产权的风险,如文献传递,馆际互借所带来的版 权问题。应采取如下措施:(1)将文献传递控制在 合理的使用范围内。对文献的传递,要限定在著作 权法规定的范围内,文献传递的承担人有义务提醒 其服务对象不能将传输的文献用于商业目的,只能 用于个人学习,研究的目的。(2)各高校图书馆应 l-D].UK:University of Bath,2004. I-6]柳纯录.系统集成项目管理工程师教程[M].北京:清华 大学出版社、2009:452—453. 制定自己的馆际互借版权政策(多个图书馆联合制 定的),在政策允许的前提下进行馆际互借。 (收稿日期:2013—09—18责任编辑:马秀娟) (上接第56页) [2]BIg data is a B DeaI,1EB/OL].[-2012-11—19].http://www. whitehouse.gov/blog/2012/03/29/big--data--big--dea1. [6]数据分析人才短缺问题造成当前CIO必须面对的1,EB/ OL].[2012—08一O1].http://cio.ctocio.com.cn/316/ 12322816/shtm1. [3]Big data for Development:Challenges&Opportunities ,1EB/OL].1,2012-11-19].http://www.unglobalpilse. org/.sites/default/files/BigDataforDevelopment—UN— GlobalPulseJune2012.pdf. -I7]黎春兰,邓仲华.信息资源视角下云计算面临的挑战 [J].图书与情报,2011,(3):17—22. [8]高勇.啤酒与尿布:神奇的购物篮分析I-M].北京:清华 大学出版社,2008:2—5. [4]百度百科.大数据[EB/OL3.[2012—09—10].http:// baike.baidu.com/view/6954399.htm. [9]王天泥.大数据视角下图书馆的发展对策[J].图书馆学 刊,2013,35(3):42—44. -I5]海量数据爆发大数据时代来临的五个转变[EB/OL]. ,12012—08—01].http://labs.chinamobile.com/news/76217. (收稿日期:2013—08—25责任编辑:孙炜) ・ 96 ・
