数字图书馆信息安全对策研究

关键词：数字图书馆；信息安全；对策

摘要：文章从分析影响数字图书馆信息安全的问题入手，针对综合制度管理、安全技术、人才培养等方面，提出了数字图书馆信息安全的对策。

中图分类号：G250.76文献标识码：A文章编号：1003-1588（2014）05-0118-02

收稿日期：2014-04-02

作者简介：郭彧（1981-），辽宁省图书馆馆员。1影响数字图书馆信息安全的问题

1.1硬件安全

所谓硬件安全主要是指硬件设备安全, 数字图书馆所依托设备载体包括：各种计算机设备( 如计算机客户端、服务器、工作站等) 和网络通讯设备(光纤、交换机、路由器等), 以及存储（磁盘阵列、光盘、磁带等）, 这些设备构建了数字图书馆正常运行的物质基础。而环境因素是影响这些设备物理安全的主要因素。 数字图书馆的硬件设备对其所处的物理环境有较高的要求, 除了机房要满足防水、防火等常规需求外, 对所处环境的防尘、温湿度控制、静电屏蔽、电磁干扰等物理条件也有很严格的要求,否则硬件设备很容易产生各种各样的故障和安全隐患, 网络系统也会相应受到损坏，而用户存储中的数据信息一旦遭到破坏，相应的损失是不易修复的。

1.2软件安全

数字图书馆的软件系统主要是包括系统软件、数据库软件和各种应用软件。目前主流的操作系统大多是windows、linux,数据库软件一般都采用SQLserver、Oracle系统，这类软件系统在设计的时候就不可能做到毫无漏洞，主要表现在操作系统结构体系本身的设计缺陷、远程权限的安全验证、远程数据传输时加密程度不够、守护进程的权限，以及端口发放等一系列问题。而数据库应用软件的安全性也很脆弱，例如，微软的SQLServer 是数字图书馆信息化平台广泛使用的一种数据库，SQL Server 数据库默认情况下使用1433端口监听，所以管理员在初始配置SQL Server的时候要改变监听端口，但是如果使用1434端口的UDP探测则可以很容易获知SQL Server使用哪一个TCP/IP端口。如果没有限制1434端口的探测，那么黑客就能够探测到数据库的一些信息，而且数据库还可能遭到Dos攻击导致服务器的CPU负荷增大，所以对管理员来说，在IPSec策略上过滤拒绝掉1434端口的UDP通讯，可以尽可能地隐藏你的sql server，从而保护你的数据库。

1.3人为因素

人为因素分为两种：一种是以管理员或用户在使用、维护、部署中操作失误为代表的偶然事故，并没有恶意企图和威胁；另一种是黑客或有恶意企图的人进行的恶意攻击。虽然在偶然事故中，管理员和用户并没有明显的恶意企图和目的, 但它所造成的破坏性依然很严重，数据信息所受到的损坏不亚于黑客攻击。例如在使用或维护中错误地插拔存储设备，无意地删除系统数据，这都会造成存储上数据信息的丢失，错误的开关机和插拔电源会导致设备损毁等一系列损失。人为的恶意攻击则是有企图、有目的地进行破坏和窃取行为，攻击者通过利用系统软硬件或部署认证中所暴露的漏洞或弱点，破坏或绕过系统的安全防御机制，获得了内部权限或直接进行攻击，从而造成数字图书馆信息资源遭到窃取或损坏，使数字图书馆的保密性、完整性、安全性受到损毁，造成损失。

1.4计算机病毒

计算机病毒实质上是一种程序代码，具有破坏性、传播性、自我复制的特点。对于数字图书馆来说，病毒的危害如下：①病毒通过代码可以自动格式化硬盘、自动删除文件、自动修改分区表，从而破坏信息数据。②病毒侵占系统硬件资源，大量占用CPU时间、内存，自我复制，造成磁盘空间浪费。③木马类病毒可以窃取用户账号、密码、使用户隐私受到侵害。④网络内机器不断广播发送无用数据包，堵塞网络。⑥留有后门，为黑客攻击提供便利。随着网络技术和带宽的不断发展，计算机病毒的传播和扩散变得更为迅速，是影响数字图书馆信息安全的主要因素。

2数字图书馆信息安全的防护对策

要保证数字图书馆的信息安全，除了系统管理员要做好日常的基本网络管理措施，及时修补漏洞、查杀病毒、保护硬件设备的安全外，最重要的就是要提高管理员和用户的信息安全意识，建立健全数字图书馆的安全管理制度，完善信息安全管理体系，提高安全防范意识，具体应做到如下几点。

2.1重视信息安全，提高信息安全意识

目前，保证数字图书馆信息资源安全的一个难点在于信息安全管理防护意识比较淡薄，不够重视信息安全，同时这也是一个敏感的问题，一般数字图书馆对此问题不愿意太过于公开化。首先，是对信息安全意识重视不够，有些管理者和工作人员认为信息安全只是系统管理员和网络维护人员的事，但其实不然，每一个图书馆的工作人员都应该提高意识，重视信息安全问题。其次，安全防范意识不够，有些负责人认为购买了防火墙就是购买了安全屏障，从而放松了其他的基本防范措施或是采取的措施不够得当，被一些黑客或计算机病毒抓住漏洞，绕过防火墙进行攻击，给信息数据带来严重的破坏。所以首先要提高数字图书馆管理员和用户的信息安全意识，才能有效地保护数字图书馆信息资源的完整和安全。

2.2完善体系，规范信息安全管理

完善的信息安全管理体系以及可行的管理规章制度对数字图书馆的信息安全来说是必不可缺的，信息安全与规范管理是不可分的，即便有最先进的安全设备系统，而没有一套完善的管理制度并贯彻落实，信息安全性就是空谈。规范信息安全管理的目的在于以下几点：①保证数字图书馆的管理维护人员有制度可依。②保证数字图书馆的设备、网络能健康运行。③一旦发生突发事件，能最大限度地避免和挽回损失。④在日常工作中能防微杜渐，防患于未然。因此图书馆系统内部应完善信息管理，制定详尽可行的管理规章制度，建立权限管理、备份管理、安全检测机制、操作人员章程、日志管理等一系列管理制度和章程。

郭彧：数字图书馆信息安全对策研究郭彧：数字图书馆信息安全对策研究2.3利用安全技术，保障信息安全

2.3.1认证授权及访问控制技术

管理员在部署数据库和系统的时候，做好认证授权体系，通过该体系系统可自动识别访问者权限是否合法，对不合法的用户拒绝访问，防止攻击者假冒合法用户。针对合法用户，根据其权限对其进行网络访问控制，用户被授予不同的权限，访问能力就不同，这样可以防止无授权用户恶意修改或删除数据库内的信息资源，有效地保护文件资源的完整性和安全性。

2.3.2应用防火墙技术

防火墙技术是现今应用于信息安全的关键技术，它在内网和外网之间执行安全策略的部署和控制，通过检测两个网络间的信息访问和交换并加以控制来实现对网络安全的管理。它包括硬件防火墙和软件防火墙，它的主要功能有：增强内部网络数据、信息的安全，加强内外网之间的访问控制，可以有效地控制数据在内外网络之间的交换与流动，屏蔽非法用户的请求，限制权限用户对外网的非法访问和对内部数据的随意修改，防止攻击者窃取受保护的信息，对外来的攻击进行侦测、警告和屏蔽。在防火墙配置完成投入使用后，必须对它进行实时跟踪和维护，确保网络处于最安全的状态。

2.3.3防病毒与漏洞扫描技术

图书馆应根据自身实际情况，选择适合自己的杀毒软件，一款好的杀毒软件可以有效防御病毒传播，检测并查杀病毒、木马，同时要加强管理，严禁工作人员和用户下载、上传和使用未通过安全检验的程序。同时做好系统漏洞扫描，及时发现系统和网络中诸如服务、端口等容易被利用攻击的安全漏洞，从而在安全防护中做到未雨绸缪，提高系统自身防御力和稳定性，提前封堵可能受到攻击的渠道。

2.3.4备份和容灾技术

要保证数据库绝不被破坏和攻击是不现实的，作为数据安全保护的最后一道壁垒，备份工作是不可或缺的。数字图书馆中的数据，尤其是自建数据库，是本馆特色服务的核心部分，它是图书馆员工多年工作的辛苦结晶，更是图书馆业务的基础，因此对数据进行备份是一项必不可少的工作，应定期进行数据备份，将数据备份到其他存储上，或者采用RAID5/0等磁盘阵列技术，进行实时备份。在条件允许的情况下，可以构建异地容灾系统，这样在发生诸如地震、水灾等自然灾害下，信息数据也可以保存完好。

2.4加强人才培养，提高安全管理水平

在一切安全管理体系中，人是决定一切的关键因素，现在网络技术和信息技术快速增长，人只有不断去学习才能适应。因此，图书馆需要加大信息安全人才的培养力度，丰富工作人员的信息安全知识，提高工作人员的专业技术能力，增加安全技术管理经验。同时，确定以岗位定权限的管理机制，做到不同岗位拥有不同权限，避免各岗位之间的权限混乱，以降低信息安全的管理风险为目的，优化组合，合理配置信息安全管理人员。

总之，数字图书馆的信息安全保障是一项复杂的系统工程，其特点是技术含量高、综合因素多，集制度管理、软硬件需求、技术规范为一体，并且随着计算机信息技术与网络技术的飞速发展，信息安全与保障将面临更多的挑战和更多的问题，因此,图书馆必须构建有效的安全管理体系，不断加强数字图书馆网络与信息系统的安全建设，提高工作人员的技术水平，不断总结经验。只有做到这些，数字图书馆的信息安全才能有保障，不被窃取和破坏，才能更好地为读者服务。

参考文献：

［1］刘超.数字图书馆的信息安全分析［J］.现代情报，2009（6）：72-75.

［2］裴毅.高校数字图书馆信息安全管理研究［J］.安徽科技学院学报，2009（5）:82-85.

［3］黎平国，钟守机.数字图书馆的信息安全问题与相关对策的探讨［J］ .现代情报, 2005(9) : 73-74,77.

［4］龙文.浅谈高校数字图书馆信息安全［J］.科技情报开发与经济，2010（16）：52-54.

（编校：严真）

endprint