圖書館數字資源安全管理模式與實踐

王彥慈

(河南牧業經濟學院圖書館 河南 鄭州 450000)

圖書館數字資源安全管理模式與實踐

王彥慈

(河南牧業經濟學院圖書館 河南 鄭州 450000)

隨著數字資源在圖書館館藏資源占比越來越高，對數字資源的安全管理也成為圖書館所必須考慮的問題。目前圖書館在數字資源管理上存在著防范意識薄弱、館員防災訓練不足、數字資源缺乏備份等缺陷，需要做出很多改進。圖書館應當從數字環境出發，制定有效的防范計劃，落實防范措施，加強館員的災害意識和處理訓練，從而實現對災害的有效預防，災后的有效應對。

圖書館數字資源；數字資源安全管理；數字資源安全管理實踐

1 威脅圖書館數字資源安全的因素

圖書館的安全管理，指的是為了保證圖書館館藏資源的安全所采取的一系列的方法和措施，圖書館安全在圖書館管理工作中具有十分重要的地位，尤其是隨著數字化信息資源日益豐富，圖書館自動化管理日益完善，數字化館藏資源和數據安全也成為圖書館安全管理要面對的新的問題。與傳統紙質資源相比，數字資源面臨的威脅更加復雜，既有來自于外部環境的威脅，也有新技術應用帶來的隱患。根據災害產生的原因，大致可分為以下幾類：

(1)傳統災害

傳統災害主要指數字資源所面臨的各種外部自然災害，包括水災、火災、地震、雷擊以及生物原因(如：鼠害、昆蟲啃咬)等對基礎設施、存儲和服務設備等硬件造成的直接損害[1]。這些傳統形式的災害對圖書館存儲的數字資源具有較大的危害性，一旦發生，所造成的損失一般都是不可逆轉的。

(2)技術災害

技術災害主要指因為意外事故或技術故障所造成的軟硬件的損害。如:電力故障造成電子設備突然停止運轉、不正確關機造成軟件的損壞等。這些災害通常會造成信息部分或短暫性損失，有時也會造成存儲信息的永久損失。

(3)人為災害

人為災害主要是指人有意識的行為所造成的損害，這類災害在圖書館數字資源災害中所占的比重最大，且呈上升的趨勢，如：計算機病毒擴散，電腦黑客襲擊等造成的損失，這些網絡襲擊往往具有很大的隱蔽性，不易發現危害卻極大，甚至可能造成整個圖書館數據資源的損失和網絡服務系統的癱瘓。

2 圖書館數字資源安全管理的現狀和問題

2.1 圖書館數字資源安全管理的現狀

數字資源安全的重要性已經得到圖書館的廣泛重視。各圖書館也采取了許多措施加強數字資源的安全管理，主要有以下幾個方面：(1)在人員監管和制度制定方面，加強對讀者和工作人員的監管，編訂了嚴格的管理制度，規范數字資源管理和使用行為。有的圖書館(如：南京農業大學圖書館)按照目前國際上最為通行的信息安全管理體系指導標準ISO27000信息安全管理標準對圖書館數字資源進行安全管理[2]；(2)在硬件管理方面，圖書館普遍將服務器、交換機、磁盤列陣等關鍵數字設備單獨存儲，并且進行嚴格的管理，存儲地點有更完善的防水、防火、防盜系統和為防止突然斷電而設立的UPS電源，為圖書館的數字資源硬件設施提供安全的環境；(3)在軟件管理方面，安裝防火墻、殺毒軟件、網絡監控軟件等，防止因網絡入侵或不當操作而造成數字資源的損失，技術人員定期對數字資源的管理系統進行檢查和優化，保證圖書館資源和管理系統的順利運行。

2.2 圖書館數字資源安全管理存在的問題

(1)數字資源安全管理計劃不完善

目前，大部分圖書館的災害應對計劃主要針對館藏設備、圖書等硬件設施，而在軟件和數據資源災害預防和應對上沒有充分準備。第一，大部分圖書館的災害預防計劃主要局限于紙質館藏和硬件設備的災害預防和日常維護、讀者的疏散等，缺少了災害發生時如何保護數字化資源和軟件設施的相關預防計劃；第二，很多災害預防和處理計劃多流于形式，未普及至到基層館員，很多館員并不了解具體內容，也不熟悉實際操作。如：2009年溫嶺市圖書館遭遇黑客攻擊，致使圖書館主頁無法正常打開，直到收到讀者的反饋，圖書館才得知此事，并花費較長的時間才讓技術人員解決該問題[3]，說明該圖書館在數據資源安全預防和管理措施存在缺陷，且針對災害處理方面的人員訓練有限。

(2)圖書館數字資源備份不足

圖書館普遍都意識到數據備份的重要性，但由于技術、經費等原因很多圖書館對數字資源并沒有做到充分備份。筆者調查發現，有的圖書館沒有任何備份，一旦災害發生，數據資源的損失將無法挽回。有的圖書館做了數據備份，但備份存儲的距離很近，有些備份甚至就在館內的工作計算機中。這樣備份其實并不安全，一旦遭遇災難很有可能受到波及，很多時候無法起到挽救數字資源的目的。

(3)館員對數字資源災害處理的措施和訓練不足

根據調查，圖書館數字資源災害很多都是人為錯誤而造成的[5]。一是館員災害防范意識較差，館員在日常信息處理過程中常有不規范的操作行為，不重視數字資源的安全保護；二是不重視對館員進行災害預防和處理的訓練，很多館員并不熟悉當數字災害發生時應如何處理；三是不注意對數字資源安全狀況進行定期檢測，造成非法入侵和病毒侵害卻沒有及時發現處理。

3 圖書館數字資源安全管理模式

3.1 建立完善的數字資源安全管理模式

數字資源的任何事故都可能引發一場“災難”。圖書館要有完整明確的預防計劃，館員在平時工作中要有災害預防意識，在災害發生時及時應對，在災害發生后進行有效的資源恢復，因此，完善的數字資源安全管理模式，可以分為制定防范計劃、災害預防、災害應對、災后恢復四個部分。如圖1所示。

(1)災害防范計劃：制定數字資源災害整體防范和糾正計劃，包括對圖書館的數字災害風險進行詳細分析，制定預防具體工作計劃，制定應對災害的緊急預案，規范災害處理程序。

(2)災害預防：根據災害防范計劃，開展各項災害預防工作，包括人員培訓、數字資源備份、建立數字防火墻、定期軟硬件檢查等。

(3)災害應對：災害發生時，啟動災害應對的緊急預案，根據實際情況和既定計劃對數字資源進行保護和搶救。

(4)災后恢復：災害發生后，結合實際情況和既定計劃，根據災害的損失程度和損失內容，提取數據資源備份，對圖書館數字資源進行恢復。

3.2 制定災害防范計劃

提前制定一個完善的災害防范計劃，能大大降低災害發生的可能性。災害發生時，有效的計劃和得力的執行也會盡可能的減少災害損失。從國內外數字資源安全管理的經驗來看，災害防范計劃可以按照以下的步驟制定。

(1)對數字資源環境和可能存在的安全隱患進行評估，列出可能遇到的災害和需要重點保護的對象。由于每個圖書館所遇到的數字安全環境，如：硬件環境、訪問人數、保密級別、人員配置、軟件陪伴、經費要求等，并不完全相同，其防護重點和措施也各有所側重，準確的評估可以做到有的放矢，針對自身的安全特點、人員配置和經費要求做出不同的選擇，做出可靠、準確、具體的安排。

圖1 數字資源安全管理模式

(2)根據評估結果列出相關的計劃，包括設備保護計劃、數據保護計劃、災害預防和處理計劃等。設備和數據保護計劃目的是避免災害的發生，例如：館員平時的安全訓練、數據資源備份、系統的檢測和維護等方面內容；而災害發生后的應急預案，是在災害發生后能夠盡可能挽救損失，包括對于不同職位館員的應對預案、數據資源恢復、備份數據資源的提取、災害損失的評估等方面。

實踐證明，制定和執行良好的計劃既可以減少災害所帶來的損失，也能盡可能減少數據資源的損失。如在印度，數字資源在圖書館資源中占有很高的比例，位于孟買的鉆石管理及技術咨詢(印度)圖書館(Diamond Management & Technology Consultants (India) Library)和塔塔紀念醫院圖書館(Tata Memorial Hospital Library)的館藏資源中數字資源占比分別為90%和100%，因此他們對于數字資源的安全管理尤為重視，形成了比較系統的災害預防和災后恢復的數字資源安全管理模式。這使印度在較多的人為和自然災害條件下，能夠有效避免數字資源的災害，即使發生了數字資源災難也能及時進行搶救[7]，盡可能的降低損失。

3.3 災害預防措施

減少災害，重在預防。在日常工作中，圖書館要根據災害防范計劃，將各項預防措施嚴格落實到位。

3.3.1 軟硬件設備的預防保護措施

(1)硬件設備保護措施

對于硬件設備的預防措施主要包括以下四個方面。首先，圖書館硬件設備的采購必須來源于知名或標準化公司，而不是組裝公司，以保證硬件設備的穩定和維護。其次，保證硬件設備的用電安全，保持連續穩定的電力供應。準備必要的UPS不間斷電源始終連接關鍵服務器和設備；定期檢查電力電纜設施，保證電源供應完好，防止意外停電的發生；在圖書館外設立一個電源主開關，以便在緊急情況下能夠迅速切斷電源，減少損失。第三，定期做好硬件維護工作，圖書館每年都需要聘請專業人員定期做硬件維護，對硬件設備進行物理清除，排除硬件故障隱患。第四，保障設備的物理安全。如：數字存儲設備應放置在無塵、防火、防水的室內，盡量保持室內溫度恒定；加強關鍵設備的安全防衛，安裝攝像頭進行實時監控等。

(2)軟件數據保護措施

首先，要創造良好的軟件安全環境，包括安裝和設定反病毒軟件和企業級別的防火墻、軟件許可證秘鑰的主副本存儲安全等，防止病毒和外部黑客襲擊的發生。其次，嚴格監測網絡的接入和輸出狀況，檢查工作人員和讀者的網絡行為，采取措施防止不安全的地址接入和輸出。第三，將數字資源和軟件系統列入圖書館的商業財產保險范圍，詳細記錄圖書館硬件、軟件和數字資源維護的相關信息，以便在發生事故時索賠，彌補災害發生后所造成的經濟損失。第四，設置訪問權限，對于賬號密碼，訪問地址等進行分級管理和限定，保證數字資源的安全訪問。

3.3.2 數字資源備份存儲

數字資源備份是圖書館數字資源安全的最后防線，一旦災害發生，數字資源存儲備份就能最大程度挽回損失。數字資源備份主要遵循以下原則：

(1)設置數字資源備份程序

數字資源備份工作是數字資源保護不可缺少的工作，圖書館工作人員要按月或者按日對數字資源進行備份。各個圖書館可以根據自己的軟硬件設備和技術情況開展備份工作，一些技術經濟條件較好的圖書館可以設定即時自動備份程序，保證相關數據及時保存，沒有這些條件的圖書館，至少應該每個月人工進行一次數字資源備份。此外，圖書館還應對工作人員進行相關培訓，建立及時備份的意識，了解備份過程。

(2)保證資源備份的安全存儲

首先，要將數字資源備份存放在安全的位置。圖書館的經驗教訓表明，如果資源備份存儲在同一臺計算機或者同一館舍內，當災害發生的時候，這些數字資源備份很有可能會同時被損壞。因此，應該保證至少一份數字資源備份存儲在館外。其次，對數字備份進行定期檢查。例如，定期更新備份軟硬件，必要的時候將數據資源遷移至新的存儲平臺上，保證備份數據不受軟硬件更新的影響，能夠隨時訪問；定期檢查備份數據的保存狀況，保證數字資源的完整程度，督促相關人員按時進行備份。

數字資源備份在災后數據恢復中發揮著巨大作用。以中央美術學院圖書館的實踐經驗為例，中央美術學院圖書館在燕郊分館設立了異地備份，與主館連接，每半日存儲備份一次，同時在主館設立備份服務器用于存儲即時信息。中央美術學院圖書館曾經發生過突如其來的斷電事故，通過提取燕郊分館的異地備份和主館的即時備份存儲，及時挽救了數據資源的損失[4]。

3.3 數字資源災害應對和災后恢復

一旦發生災害，圖書館應按照提前制定好的防范計劃采取措施及時反應，重點是盡量搶救、及時轉移，為數字資源的災后恢復做準備。災害發生時，首先應立即切斷設備電源，將設備從電源插座上移除，同時，將設備從窗戶、墻壁等損壞機會較大的地方移開；其次，針對不同危害情況和災害類別采取不同的保護和搶救措施，以免造成進一步的損害。例如，如果設備因火災而受損，應注意存儲設施的磁頭組件是否完好；如果設備因水災而受損，則應注意密封設備驅動，同時應注意防止磁盤快速干燥，嚴禁通過烤箱烘干磁盤等不恰當操作。災情平穩后，技術人員根據信息價值和恢復成本對數字資源進行恢復，如果本身損壞不嚴重，通過提取硬件設備中的數據進行恢復，對于無法找回的數據資源則通過備份文件進行恢復。例如：2008年，印度某大學圖書館遭遇頻繁的電源故障，導致數字資源系統完全崩潰，4萬份數字記錄丟失，由于及時進行了備份，通過數據恢復挽回了大部分損失，僅有200份當月未及備份的數字記錄需要重建[6]。

3.4 館員職責與培訓

不管是災害預防、災害應對還是災后恢復，館員都是保證數字資源安全的核心要素。圖書館可以從防范意識、工作安排、技術處理三個方面對館員進行培訓，提高館員的災害預防和應對能力。

3.4.1 提高防范意識

數字資源安全管理不僅體現在圖書館管理制度層面，也體現在館員的能力素養方面。筆者調查發現，館員對于數字資源災害的認識普遍不夠，有一半的館員認為圖書館發生數字資源災害的可能性并不高，有60%的館員認為預防和處理數字資源災害主要是技術人員的責任。因此，提高每個館員的災害防范意識十分必要。在實際工作中，提高防范意識并不僅要加強宣傳，實際的演習和案例分享也是非常有效的方法，通過館員的親身參與增強對數字資源安全管理的認識。

3.4.2 具體工作安排

在日常的工作中，數字資源安全管理應該有非常明確的分工和具體的工作安排，館員必須嚴格按照災害防范計劃對數字資源進行保護。第一，對于設備無法完成自動備份的圖書館，館員必須定期完成數字資源備份并將備份遞交給指定單位存儲，定期對數字備份進行檢查；第二，嚴格數字資源管理制度，設置訪問權限，對賬號密碼、訪問地址等進行分級管理和限定，保證數字資源的安全訪問；第三，對數字資源的軟硬件進行定期檢測，排查硬件故障，檢測供電電源，定期升級軟件等。

3.4.3 相關技術培訓

館員必須對數字資源災害預防措施以及災后資源恢復的方法比較熟悉。圖書館應該做好數字資源安全管理相關的技術培訓。首先，要熟悉本館數字資源應急預案、災害處理計劃等，熟悉災害發生時所要進行的處理和程序步驟；其次，要掌握數字設備保護措施和應急救援手段，以保證災害發生時能夠最大程度保護數據資源；第三，要具備一定的災后損失評估，簡單的災后數字恢復技術，避免人為操作不當造成的進一步損失。

圖書館數字資源安全管理是一個重大的課題,如何建設和完善數字資源防災救災體系是解決這個課題關鍵,圖書館要綜合考慮數字資源災害發生的原因、可能性、應對措施、救災方式等因素, 建立自己的數字資源安全管理模式，預防為主，防救結合，就能在遇到災害時候臨危不亂,處理得當，為圖書館避免風險和災害、保護數字資源提供堅實的保障。

[1]溫雅娟.高校圖書館應對災害、事故等突發事件工作芻議[J].當代圖書館，2011，(2)：10-12.

[2]任妮,黃水清.新版ISO27000要求下的數字圖書館信息安全管理[J].圖書與情報，2015，(6)：38-46.

[3]溫州在線新聞網.溫嶺網絡圖書館一個月遭500次黑客攻擊[EB/OL]. [2016-11-01].http://zjnews.zjol.com.cn/system/2009/01/06/015153730.shtml.2009-1-6.

[4]果慶，倪晶.圖書館數據資源容災方案淺析及應用——以中央美術學院總分館容災應用及規劃方案為例[J].中國現代教育裝備,2010,(23)：152-155.

[5]韓鳳華.高校數字圖書館容災系統的構建[J].現代情報,2010,(7)：114-115.

[6]Al-Badi. IT disaster recovery:Oman and cyclone Gonu lessons learned[J].Information Management & Computer Security,2009,(2)：114-126.

[7]Parul Zaveri. Digital disaster management in library in India[J].Library Hi Tech, 2015,(33): 230-244.

Resource Security Management Practice

The Mode and Practice of Library Digital Resource Security Management

Wang yan-ci

With the digital resources occupying a higher and higher ratio in the library collection resources, security management of digital resources must be taken into consideration by the library. Currently, there are some deficits in digital resource management: vulnerable awareness of prevention, lack of disaster prevention training, lack of backup of digital resources, and it needs to make a lot of improvement. The paper points out that the libraries should embark from the digital environment, make effective preventive plan, implement preventive measures, strengthen the librarians awareness toward disasters and training, thus to realize the effective prevention before the disaster and the effective response after the disaster.

Library Digital Resources; Digital Resource Security Management; Digital

G250.7

A

10.13897/j.cnki.hbkjty.2017.0015

和數字圖書館的不斷發展,數字資源在圖書館館藏和服務中占有越來越重要的地位。讀者的個人信息、網絡和電子資源、特色數據庫以及圖書館管理信息庫等都是以電子形式存在的，這些數據維持著圖書館的正常運轉。數字化存儲、網絡化傳輸、資源廣泛共享給我們帶來便利的同時也帶來了不安全因素,資源網絡和數據安全面臨著更大威脅。因此，保障數字資源安全是圖書館的重要職責。

王彥慈(1974-)，女，河南牧業經濟學院圖書館館員，研究方向：數據庫、數字資源、信息服務。

2016-11-03 責任編輯：張靜茹)