網(wǎng)絡(luò)環(huán)境下高職圖書館信息安全問題探析

越 飛

貴州食品工程職業(yè)學(xué)院圖書館，貴州 貴陽 551400

互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，使信息已無處不在，充斥著人們生活的方方面面，移動互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等，在給人們的工作、學(xué)習(xí)、生活帶來便捷的同時，伴隨著嚴(yán)峻的信息安全問題。隨著網(wǎng)絡(luò)與各行業(yè)日趨融合，也深刻影響著圖書館的發(fā)展進(jìn)程，高職圖書館逐步實現(xiàn)自動化管理，積累了書目數(shù)據(jù)、數(shù)字資源、讀者信息、檢索數(shù)據(jù)等海量數(shù)據(jù)信息，這些數(shù)據(jù)信息特別是讀者信息具有很高的價值屬性，存在被竊取或泄露等安全威脅。由此可見，確保信息安全是圖書館安全管理工作的重點。

一、信息安全概述

（一）信息安全

信息安全是指通過網(wǎng)絡(luò)運行安全技術(shù)、信息內(nèi)容保護(hù)技術(shù)、病毒防御技術(shù)等技術(shù)手段，保護(hù)涉及信息系統(tǒng)的硬件設(shè)備、軟件資源、基礎(chǔ)設(shè)施、數(shù)據(jù)中心、機房環(huán)境和信息網(wǎng)絡(luò)中的所有信息資源免遭偶然的或惡意的訪問審閱、攻擊破壞、篡改控制、泄露擴(kuò)散和搜集竊取等安全威脅，保證信息管理系統(tǒng)運行的連續(xù)性、穩(wěn)定性及安全性。

（二）信息安全的重要性

信息安全是其他領(lǐng)域安全的基礎(chǔ)，既有本身的獨立性，又與其他領(lǐng)域具有融合性，是機構(gòu)乃至個人都不能忽視的重要安全問題。當(dāng)今時代，人們對信息和網(wǎng)絡(luò)高度依賴，把工作、學(xué)習(xí)乃至生活等越來越多的事情通過計算機設(shè)備和網(wǎng)絡(luò)通信來完成，大量信息在計算機上存儲、加工、處理并在網(wǎng)絡(luò)環(huán)境下進(jìn)行傳輸，在傳輸過程中，保護(hù)信息的機密性、真實性、完整性，使信息在授權(quán)訪問和加以防范的情況下進(jìn)行傳輸顯得尤為重要。如果信息得不到安全保證，就容易被網(wǎng)絡(luò)攻擊者獲取，產(chǎn)生不可估量的嚴(yán)重后果。

沒有信息安全，就沒有業(yè)務(wù)安全。圖書館 信息安全關(guān)系到讀者信息、書目數(shù)據(jù)、圖書財產(chǎn)賬等安全及圖書館業(yè)務(wù)工作正常開展，也關(guān)系到圖書館的數(shù)字化建設(shè)與發(fā)展。高職圖書館作為海量信息的搜集者、加工者、傳輸者，要加強對信息安全的重視程度?；诖?，深入探析圖書館信息安全存在的威脅，并提出解決措施，促進(jìn)圖書館信息安全工作有序開展。

二、高職圖書館信息安全隱患

（一）系統(tǒng)數(shù)據(jù)破壞

在使用過程中圖書館數(shù)據(jù)庫可能會遭遇各種不測而導(dǎo)致數(shù)據(jù)破壞丟失，主要是由于環(huán)境因素和病毒攻擊。一是環(huán)境因素。突發(fā)事件具有不確定性和不可預(yù)測性，除了雷電、火災(zāi)、地震、臺風(fēng)等自然災(zāi)害外，對數(shù)據(jù)信息而言，硬盤故障、電源短路、不當(dāng)操作等因素都有可能會造成設(shè)備損壞、系統(tǒng)癱瘓、數(shù)據(jù)丟失等問題。二是網(wǎng)絡(luò)病毒攻擊。數(shù)據(jù)信息的服務(wù)和存儲大多集中在計算機網(wǎng)絡(luò)上，而網(wǎng)絡(luò)本身的開放特征，導(dǎo)致計算機網(wǎng)絡(luò)環(huán)境不安全因素增加。隨著木馬病毒、敲詐勒索軟件、僵尸網(wǎng)絡(luò)等惡意程序逐漸增加，網(wǎng)絡(luò)攻擊呈現(xiàn)頻繁化、多樣化、專業(yè)化、組織化、規(guī)?；⑸虡I(yè)化等特點，這使數(shù)據(jù)信息面臨前所未有的安全問題，數(shù)據(jù)信息一旦遭受病毒的侵蝕和黑客的攻擊都將可能在瞬間化為烏有，這嚴(yán)重威脅圖書館信息安全管理防護(hù)工作。例如：某縣圖書館因遭受勒索軟件攻擊，數(shù)據(jù)庫軟件、系統(tǒng)信息被禁止使用，導(dǎo)致圖書館系統(tǒng)被迫關(guān)閉，嚴(yán)重影響圖書館的自動化管理和日常業(yè)務(wù)工作。網(wǎng)絡(luò)時代，圖書館開展業(yè)務(wù)工作愈加依賴計算機和互聯(lián)網(wǎng)，若圖書館數(shù)據(jù)信息因各種原因遭遇破壞，讀者服務(wù)工作只能通過紙筆來完成，將大大降低工作效率和服務(wù)質(zhì)量?？梢?，數(shù)據(jù)破壞已是圖書館面臨的非常嚴(yán)重的信息安全問題。

（二）讀者信息泄露

隨著互聯(lián)網(wǎng)高速發(fā)展，個人信息已經(jīng)成為具有高價值的商業(yè)資源，在大數(shù)據(jù)技術(shù)的支持下，社會機構(gòu)通過各種APP對個人信息、興趣愛好、關(guān)注點進(jìn)行收集并開展商業(yè)活動，同時也給不法分子可乘之機。2018年度《APP個人信息泄露情況調(diào)查報告》顯示，有85．2%的被訪者個人信息曾經(jīng)被泄露。近年來，全球范圍內(nèi)各領(lǐng)域紛紛爆出大體量數(shù)據(jù)泄露事件，個人信息泄露事件頻發(fā)，這說明網(wǎng)絡(luò)時代個人信息處理不當(dāng)，就會給用戶隱私帶來嚴(yán)重的安全威脅。高職圖書館要實現(xiàn)高效的讀者服務(wù)，需要利用相應(yīng)渠道和途徑對讀者信息進(jìn)行收集和獲取，包括讀者姓名、身份證號、聯(lián)系方式等個人重點信息，而這些涉及讀者的個人信息，也存在被泄露或竊取的安全風(fēng)險。在網(wǎng)絡(luò)大環(huán)境下，數(shù)據(jù)信息不僅能輕易查詢、收集、獲取，還存在著非法使用和惡意傳播的嚴(yán)重問題，可見信息泄露的后果難以想象。

三、信息安全應(yīng)對措施

（一）數(shù)據(jù)存儲安全

圖書館存儲的海量信息作為一種對讀者具有重要意義的數(shù)據(jù)資源，其開放性特征給圖書館數(shù)據(jù)存儲帶來嚴(yán)重安全威脅。隨著數(shù)據(jù)量的逐年增加，如何保障這些數(shù)據(jù)的存儲安全成為信息安全防護(hù)不容忽視的重要問題。具體可以從三個方面入手。一是雙機運行備份。雙機運行備份具有容錯功能，由兩臺服務(wù)器、交換機、光模塊等相關(guān)設(shè)備組成，其中一臺服務(wù)器用于運行圖書管理系統(tǒng)、自助借還系統(tǒng)等重要程序，向讀者提供查詢、借閱服務(wù)，另一臺服務(wù)器用于數(shù)據(jù)備份。技術(shù)員根據(jù)需求進(jìn)行定時自動備份設(shè)置，在固定時間將運行數(shù)據(jù)自動傳輸?shù)絺浞莘?wù)器上，實現(xiàn)數(shù)據(jù)運行與存儲備份分離，一旦運行服務(wù)器出現(xiàn)異常，存儲服務(wù)器能及時發(fā)揮作用，從而保證系統(tǒng)數(shù)據(jù)安全。二是身份認(rèn)證和授權(quán)訪問。身份認(rèn)證作為保障信息安全的第一道防線，主要是為了識別、驗證使用系統(tǒng)和訪問受限系統(tǒng)資源用戶的身份。采用靜態(tài)密碼、動態(tài)口令、信息加密、身份甄別等方式進(jìn)行入門信息檢測，阻斷非法操作，預(yù)防黑客入侵并生成檢測日志，長期防護(hù)。授權(quán)訪問的目的是限制用戶對數(shù)據(jù)信息的訪問權(quán)限，是避免非授權(quán)用戶越權(quán)訪問、使用、更改系統(tǒng)信息資源的重要措施。圖書館網(wǎng)絡(luò)管理員本著最小權(quán)限原則、最小泄露原則、多級安全原則，給不同部門管理人員分配系統(tǒng)賬號并賦予相應(yīng)權(quán)限，有效避免刪除讀者數(shù)據(jù)、修改書目信息、更改系統(tǒng)設(shè)置等錯誤操作，預(yù)防網(wǎng)絡(luò)惡意入侵、修改或盜取數(shù)據(jù)信息等情況。三是異機存儲、妥善保管。為了確保在服務(wù)器系統(tǒng)數(shù)據(jù)丟失之后能夠恢復(fù)數(shù)據(jù)，可采取手動備份與自動備份相結(jié)合，備份數(shù)據(jù)的策略根據(jù)不同的應(yīng)用場景來確定。圖書館網(wǎng)絡(luò)管理員定期檢查數(shù)據(jù)運行情況并手動進(jìn)行數(shù)據(jù)備份，是服務(wù)器出現(xiàn)異常數(shù)據(jù)不丟失的解決方案之一，將備份的數(shù)據(jù)信息保存在不同電腦、移動硬盤等存儲器上，即便所有服務(wù)器同時遭受崩盤或破壞，也可確保重要信息資源安全，不會因各種意外而遭遇破壞。

（二）網(wǎng)絡(luò)運行安全

網(wǎng)絡(luò)安全管理是防御和攻擊之間的博弈，是保證系統(tǒng)信息安全，正常開展業(yè)務(wù)的基礎(chǔ)。高職圖書館要根據(jù)信息安全問題在不同層面的風(fēng)險表現(xiàn)，進(jìn)行有針對性的分析和檢測，結(jié)合最低等級、中等等級、最高等級的安全防護(hù)需求，充分應(yīng)用相應(yīng)安全防御技術(shù)，達(dá)到不同層級的安全需求。一是硬件安全。圖書館運行依賴于外部的硬件系統(tǒng)，突發(fā)狀況、硬件使用損耗等因素會對信息存儲安全帶來威脅。如自然災(zāi)害可能會造成存儲設(shè)備的毀壞，電源短路可能會導(dǎo)致計算機之間信息傳輸中斷、數(shù)據(jù)丟失，硬件系統(tǒng)的使用損耗、老化、無法更新可能會造成圖書館運行的不穩(wěn)定等。因此，圖書館需要全面考慮系統(tǒng)信息的備份、缺失信息的修復(fù)、重要信息的管理，避免因突發(fā)性事件造成難以估計的損失，通過建設(shè)異地機房、與兄弟院校合作等方式，進(jìn)行異地備份，確保數(shù)據(jù)的絕對安全。同時，制定應(yīng)急措施，當(dāng)遭遇突發(fā)意外，如外部電源阻斷、服務(wù)器故障、病毒攻擊等不利情況時，及時恢復(fù)系統(tǒng)運行和備份數(shù)據(jù)。二是軟件系統(tǒng)安全。面對網(wǎng)絡(luò)病毒攻擊的日益頻繁，信息安全不再滿足于簡單的防護(hù)，而是對信息資源內(nèi)容、信息系統(tǒng)運行、網(wǎng)絡(luò)虛擬空間等整個數(shù)字世界進(jìn)行保護(hù)和防御。漏洞掃描修復(fù)技術(shù)、隔離防護(hù)技術(shù)能有效提高網(wǎng)絡(luò)的安全性，有效避免大部分病毒、黑客的攻擊。漏洞掃描主要包括入侵檢測、硬件檢測、軟件檢測、病毒查殺、補丁修復(fù)等內(nèi)容，軟件系統(tǒng)難以避免會存在各種漏洞，不管是軟件開發(fā)本身存在的漏洞，還是因操作不當(dāng)或更新不及時產(chǎn)生的漏洞，在網(wǎng)絡(luò)運行狀態(tài)下都極易被攻擊，圖書館技術(shù)員要堅持安全漏洞早發(fā)現(xiàn)、早評估、早修復(fù)、早消除的原則，定期進(jìn)行安全檢測和漏洞掃描，及時了解系統(tǒng)軟件的運行狀態(tài)、安全指數(shù)和服務(wù)性能，并修復(fù)安全漏洞和更改系統(tǒng)中的錯誤設(shè)置，優(yōu)化資源管理，提升網(wǎng)絡(luò)運行速度，盡可能排除安全風(fēng)險。隔離防護(hù)是將系統(tǒng)中安全部分與非安全部分進(jìn)行隔離的措施，主要技術(shù)手段有防火墻、隔離網(wǎng)閘等，其中防火墻主要用于內(nèi)網(wǎng)和外網(wǎng)的邏輯隔離，而網(wǎng)閘主要用于實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的物理隔離。三是圖書業(yè)務(wù)系統(tǒng)安全管理。系統(tǒng)安全管理遵循事前預(yù)防、事中控制、事后總結(jié)的原則，制定信息安全管理工作方案及突發(fā)事件應(yīng)急防御機制，具體包括制定各類信息管理環(huán)節(jié)的安全策略及各部門信息安全工作職責(zé)，確保各崗位職責(zé)明確、目標(biāo)清晰，建立溝通協(xié)調(diào)機制，加強各部門之間的相互支持與配合。保持和系統(tǒng)服務(wù)商的長期聯(lián)系，加強溝通合作，不斷升級并完善業(yè)務(wù)管理系統(tǒng)，要求在業(yè)務(wù)系統(tǒng)設(shè)備入網(wǎng)、日常運行維護(hù)、定期巡視檢查和業(yè)務(wù)上線、下線整個生命周期的各個環(huán)節(jié)，檢查包括服務(wù)器系統(tǒng)、自助借還系統(tǒng)、圖書管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等在內(nèi)的各類設(shè)備與系統(tǒng)的安全配置是否達(dá)到最基本防護(hù)要求，提供安全集成、風(fēng)險評估、滲透測試、合規(guī)性咨詢、應(yīng)急保障等專業(yè)信息安全服務(wù)。確保硬件設(shè)施的使用安全，系統(tǒng)和應(yīng)用軟件設(shè)置安全，數(shù)據(jù)信息存儲及運輸安全。

（三）技術(shù)人才保障

信息安全主要靠人、技術(shù)和操作三個要素來共同實現(xiàn)，涉及物理層、網(wǎng)絡(luò)層、應(yīng)用層、管理層等各層面的安全管理，而技術(shù)和操作都離不開人的中心作用。當(dāng)前高職圖書館存在技術(shù)人才數(shù)量相對稀少、水平參差不齊、信息安全防范意識不足等問題，導(dǎo)致圖書館數(shù)字資源建設(shè)、數(shù)據(jù)分析、信息安全等信息化建設(shè)工作相對滯后。圖書館是一個需要復(fù)合型人才的部門，應(yīng)積極的吸收各方面人才，并對自身的在職員工進(jìn)行深入培養(yǎng)。一是建立網(wǎng)絡(luò)安全管理人才隊伍。圖書館網(wǎng)絡(luò)信息安全是一項專業(yè)性極強的技術(shù)行業(yè)，因此對于專業(yè)人才的選拔、培養(yǎng)非常重要。圖書館的網(wǎng)絡(luò)安全管理人員需要掌握一定的計算機網(wǎng)絡(luò)技術(shù)、硬件及軟件系統(tǒng)知識、圖書館相關(guān)理論知識，在不斷改善自身管理系統(tǒng)的同時，向其他在圖書管理系統(tǒng)方面做得比較好的同行學(xué)習(xí)，爭取能最大程度地提高圖書館業(yè)務(wù)管理系統(tǒng)的安全指數(shù)。二是樹立信息安全防范意識。信息安全最脆弱的環(huán)節(jié)是人。據(jù)統(tǒng)計，所有的信息安全事故中，只有20%～30%是自然災(zāi)害、黑客攻擊等客觀原因造成的，70%～80%是由于工作人員的疏忽、不規(guī)范操作或有意泄露等主觀原因造成的。故圖書館信息安全防范工作，人人有責(zé)。圖書館要提升信息安全使用規(guī)范要求，借助網(wǎng)絡(luò)安全技術(shù)及隱私保護(hù)措施，重點加強讀者信息采集、存儲、傳輸過程的安全性及系統(tǒng)登錄賬號和密碼使用的保密性，在不影響讀者服務(wù)質(zhì)量的同時確保信息傳輸?shù)陌踩约按鎯Φ耐暾浴楸ＷC圖書館業(yè)務(wù)工作正常運轉(zhuǎn)，需要加強網(wǎng)絡(luò)安全運行的監(jiān)管力度，定期更新計算機操作系統(tǒng)和應(yīng)用系統(tǒng)，嚴(yán)格設(shè)置和排查系統(tǒng)軟件，避免黑客或病毒通過系統(tǒng)漏洞進(jìn)行滲透攻擊。經(jīng)常向相關(guān)部門人員了解圖書館數(shù)據(jù)的完整性及服務(wù)器運營的穩(wěn)定性。同時，與相關(guān)軟件系統(tǒng)公司簽訂信息安全保密協(xié)議，避免軟件公司在系統(tǒng)安裝、調(diào)試及遠(yuǎn)程協(xié)助過程中，竊取并非法傳播讀者個人信息。三是強化信息安全教育。技術(shù)手段的運用是信息安全的重要保障，而全社會的信息安全防范意識和網(wǎng)絡(luò)道德意識，則是實現(xiàn)信息安全的根本保證。圖書館要利用講座、海報、信息素養(yǎng)比賽、走進(jìn)課堂等多種形式，充分宣傳網(wǎng)絡(luò)時代保護(hù)信息安全的重要性，強調(diào)信息泄露帶來的嚴(yán)重后果，從精神層面灌輸信息安全意識，營造人人守則的網(wǎng)絡(luò)安全氛圍。

四、結(jié)語

高職圖書館信息安全是一個不斷攻防博弈的動態(tài)性過程，是一個涉及資金、硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、技術(shù)、人員等諸多因素的系統(tǒng)性工程。加強圖書館信息安全防護(hù)，要管理和技術(shù)兩條腿并行，根據(jù)不同的信息管理目標(biāo)，提出具體管理要求及安全組織保障；落實技術(shù)運用手段，保障系統(tǒng)軟件自身安全及網(wǎng)絡(luò)運行安全；加強人員管理，提升其技能水平及安全防范意識，從而促進(jìn)圖書館安全、穩(wěn)定、有序地運轉(zhuǎn)，為讀者提供高效、優(yōu)質(zhì)的信息服務(wù)。