袁淑艳，宋秀娥，张馨月

(大庆师范学院 图书馆，黑龙江 大庆 163712)



高校数字图书馆信息安全管理体系的构建

袁淑艳，宋秀娥，张馨月

(大庆师范学院 图书馆，黑龙江 大庆 163712)

摘要：根据高校数字图书馆的两大特点以及信息安全管理现状分析，根据信息安全需求，给出了数字图书馆的安全架构图。数字图书馆的安全问题主要分为硬件安全、软件安全、数据安全和管理安全四类，考虑到了安全问题的可操作性，兼顾了效率和目标。

关键词：数字图书馆；硬件安全；软件安全；数据安全

高校数字图书馆系统具有数据量大、用户多两大特点，它负责数以千万亿万的期刊网文章供用户下载，同时还有若干图书资料的音频视频及其资源文件供用户下载，因此数据量十分庞大，对于服务器的硬件安全要求较高，对软件的访问速度和网络负载平衡也提出了较高的标准。高校的人口密度大，一般学生几万人，教职工几千人，访问用户多、访问频繁、安全隐患较大，因此信息安全管理体系的构建显得十分重要[1]。

一、高校数字图书馆信息安全管理现状分析

1.缺乏综合的解决方案

选取黑龙江省内5所高校，进行前期调研工作，在数字图书馆建设中做探索性工作，部署部分安全防火墙、防病毒，但安全产品比较单一，只从局部进行考虑，存在缺陷和漏洞。随着近年来信息技术的飞速发展，网络上各种入侵攻击手段层出不穷，许多黑客能够轻而易举地躲过一些简单的安全防护，对内网构成威胁。大多数图书馆虽然制订了信息安全管理规章制度和解决方案方案，比如：《网络机房安全管理制度》《图书馆信息系统安全防护规定》《图书馆计算机及网络系统维护岗位规范》《图书馆网页制作及网站维护岗位规范》《图书馆计算机网络管理员岗位责任制》，从不同方面规定了图书馆信息系统的物理安全要求、人员要求、职责设置等内容，但没有一个系统来组织者这些规章制度和解决方案。缺乏在安全系统的建设中需要从物理、网络、系统、数据、管理等全方面进行考虑，建立一套综合性的、完善的整体信息安全管理防御体系才能真正地提高网络的安全性[2]。

2. 人为因素与管理因素

通过问卷调查、实地访问、电话采访等方式调查，对几所高校数字图书馆业务流程、资产、隐患、脆弱与威胁性等问题展开调查，总结得出以下几方面问题：

(1)信息安全管理意识淡薄

关于信息安全的认知程度，通过调查，59%的受访者“知道一点”，35%的人“不知道”或“不了解”，大多数图书馆员工及读者用户对信息安全不够重视，有些用户将密码设置地过于简单，甚至经常忘记密码；对于系统存在的安全隐患和风险，使用者了解不多、不全面，不知道滥用不明资源或不当操作会对信息安全防御造成威胁[3]。

(2)信息安全管理体系不健全

从调研结果来看，高校图书馆尤其是地方普通高校图书馆，最大隐患与威胁在于管理策略的缺乏与制度建设的滞后，依旧采用传统的管理模式，责任体制不明确，缺乏统一规划与实施的动态的管理策略，不能及时调整安全防范机制，很难适应信息化建设的发展要求；另外，由于信息安全复杂性与多样性，制度不完善，造成部分管理工作人员业务操作不当的违规行为时有发生。

(3)信息安全管理人才匮乏

目前，由于人才引进与培训专项资金、人事薪酬等原因，掌握着高新尖技术的人才很难引进到教辅单位，数字图书馆信息安全管理专业人才极度匮乏；另外，现有人员配置不当，缺少外出接受专业培训的资金与机会，不能及时发现现有的与潜在的安全问题，技术素养水平亟待提高[4]。

3.网络系统内部的安全威胁

网络系统内部安全暴露出来的漏洞和弱点主要有：硬件设施的装备、软件的配置使用和网络设计，数字图书馆分层的网络系统，用户多、规模大，产生了较大的安全管理难度。

硬件方面，检验不合格的、非原装正版的、老化或年久失修的、不兼容或过期服役的产品，包括硬盘、磁盘等存在的隐患，都可能会遭受偶然因素、恶意原因的破坏、攻击、泄密等。

操作系统Windows、Linux、Unix，Oracle、SQL Sever等数据库，如果没有及时更新，容易受到网络攻击，造成数据丢失、损坏以及信息外泄等问题[5]。

高校数字图书馆一班的网络结构主要是层次化的网络：一是图书馆办公自动化系统与流通、采编系统所在的局域网；二是数字图书馆门户网站存在的校园网以及将信息服务扩展到Internet上，网络与访问的用户之间，局域网、校园网与Internet之间，都需要采取认证与访问控制等安全措施，减少安全风险[6]。

建立数字图书馆信息安全管理体系，建立科学的管理制度，从管理与技术等方面加强信息安全防范，解决面临的严峻问题[7]。

三、数字图书馆安全架构

网络结构的合理规划是网络运行通畅的保证，合理的网络规划能够有效地避免广播风暴、网络拥塞等情况。在高校图书馆网络中，不同的系统对用户、身份、安全性认证和使用权限的要求都是不同的[8]。

通过研究几所高校数字图书馆信息安全存在的问题及原因，分析后，根据前期调研的网络需求，给出了数字图书馆网络安全架构图，如图1。

图1　数字图书馆网络安全架构图

数字图书馆的最外层是防火墙，它对外网用户的身份、访问规则进行限定；第二层为云安全中心，此处记录用户在数字图书馆中的行为日志，对文件进行规范扫描，还可以对指定的计算机或者服务器提供网络杀毒服务；第三层是每台服务器和计算机又有自己的防火墙和病毒检测系统，针对本机的软件或者文件进行设置，防止某些程序访问。

四、高校数字图书馆信息安全管理体系构建策略

从可操作行看，构建数字图书馆信息安全管理体系的策略主要有以下几个方面。

1.硬件安全

硬件安全指物理设备或设施受到保护， 免于破坏、丢失或损毁。数字图书馆涉及的硬件主要有:电源、通信设备、网络服务器、网络打印机以及数据库服务器、文件与数据服务器和计算机终端。硬件自身的安全，需要从以下方面入手：首先是环境安全。设备对于温度、湿度以及电磁都有一定的要求，因此开窗户保持设备间的通风良好、开空调保证温度适中、适当清理静电是防止雷电造成意外损害的有效手段。其次是网络设备合适的休息。设备持续的供电容易造成设备的磨损，内存溢出等“积劳成疾”的问题，磁盘损坏则在数据安全中论述。最后是设备操作要由专业人员操作，防止造成设备的人为损坏甚至线路形成环而导致系统瘫痪。

2.软件安全

软件安全包括操作系统安全和应用软件安全，主要是计算机病毒的防治。计算机病毒是人为编写的具有恶意破坏作用的程序，具有传染性、潜伏性等特性。病毒根据其来源又有人为发布和自由传播两种。如木马病毒就是人为在网络上传播用于盗取用户的账号和密码等关键信息，而VBS、蠕虫病毒就是靠网络或者U盘自由传播的。计算机病毒的主要传播途径就是邮件、网页链接、下载文件或者移动设备。

操作系统安全实现一是要及时进行更新和打补丁，在安装系统后一般就要做此项工作；二是关闭不必要的端口，如防治冲击波病毒要关闭135端口。

应用软件病毒的防治：从传播途径予以制止。网络设备病毒如ARP病毒，需要通过抓取网络数据包，查看网络地址的源地址和目的地址，以便追本溯源，找到中毒的计算机。先将其断网，然后采用专门的杀毒软件将其消灭在萌芽当中。在内存中的网络设备病毒需要重新启动设备，硬盘上的则需要手动恢复或者删除。本地计算机的病毒需要启动防毒程序，如目前的U盘扫描和网络文件检查程序；还要一段时间间隔全盘查杀病毒；最好加入云中心，以便获取最新病毒特征以应对之。

3.数据安全

加密技术是保证数据安全最为有效的技术之一， 它可以确保数据在存储和传输过程中即使被截取也很难破译或恢复。对于数字图书馆这种高频率访问的文件系统如果频繁的对整个文件解密需要占用大量的系统资源，因此适合采用的一种方法是只对文件头进行加密。

应用程序的身份认证。单纯的口令认证已经不够精准的识别用户的身份，目前又增加了如MAC地址绑定、IP地址确认或者第三方插件的模式。给数据增加一层保护，将其置于安全屏障之后。

在不可预知的灾难，如地震、突然停电、操作失误等情况下，可能造成系统数据大量丢失，因此，采取数据冗余技术措施才能完成数据恢复。数据备份包括本地备份与网络备份。本地备份一般对应用程序的数据进行备份，备份方式可分为差异备份和全部备份。网络备份则是对重要数据一般采用异机、异地备份的方式。有时也需要人工备份，根据当时数据的特点命名。

数字图书馆中Web服务器上数据比较稳定，只需在异地如邮箱和管理员计算机上存储两个完整备份；数据库服务器中数据可以采用差异备份的方式，每天定时进行备份；文件服务器可以根据实际情况进行差异备份，一般采用异地备份的方式；对于最重要的服务采用双机热备份的方式，服务器有问题，可以立即启动备份服务器。发生中毒或者数据丢失，可以找到最近的备份进行恢复，以便将损失减至最小。

4.管理安全

(1)制定合理的安全制度。明确各个岗位的操作规程和职责，比如数据库管理员对数据的备份间隔时间，Web服务器管理员对于网站的端口、访问人数和站点文件的病毒检查。要有抽检制度，硬件设备需要进行抽样检查，对于网络状况进行适当的监察，防止网络堵塞等突发事件。

(2)专业技术人员操作。相关硬件设备和管理软件必须由具有管理经验的专业人员操作，避免设备损坏或者数据丢失。管理人员经过培训，详细了解软硬件的整体架构，熟悉各个功能模块，增强安全意识，避免出现问题，一旦出现误操作可以及时终止并采取恢复措施。

(3)追责制度。对于触犯数字图书馆安全的不法分子要根据线索查出本人，给予严厉打击。

总结

数字图书馆的安全管理直接影响图书馆业务工作能否正常开展，各级管理人员需要各司其职，保证软硬件的全面安全，实现信息资源的充分共享，为读者提供优质服务。信息安全管理体系需要用动态的、发展的观点去研究其发展走向、明晰内在规律，信息安全需求不断增加与变化，这使得数字图书馆信息安全管理体系也要随之快递地发展、不断地完善。本文通过对数字图书馆的安全问题进行分析和分类，对网络安全有了整体的脉络，针对具体的问题给出了相应的解决方案，希望对数字图书馆管理和技术人员有所启示。

本文还有一些地方需要做更多的工作，主要有以下几个方面：

(1)还需要更加全面细致地研究信息安全的相关技术及其在数字图书馆应用中的二次开发；

(2)关于信息安全突发事件应急处理预案的设计还没有太成熟的想法[9]；

(3)本文的主要目的在于针对高校数字图书馆的特点、构建信息安全管理体系，网络安全架构以及实施策略的应用扩展还有待考察。

[参考文献]

[1] 王应，刘子辉.当前高校图书馆网络安全问题分析与对策 [J]. 重庆科技学院学报，2011(17)：151-153.

[2] 运方舟．中国建设银行信息安全管理体系的研究[D].同济大学，2009:12.

[3] 邹亮.某高校图书馆信息安全管理研究[D].哈尔滨工程大学，2010:13-15.

[4] 裴毅.高校数字图书馆信息安全管理研究[J].安徽科技学院学报，2009(5):83-84.

[5] 张媛媛，王胜利.论高校图书馆网络信息安全与防御体系构建[J].科技情报开发与经济，2007(28):58.

[6] 王元.高校数字图书馆信息安全保障研究[J].图书情报工作，2010(2)：327.

[7] 尹迪．浅谈图书馆计算机网络信息系统安全现状及对策[J]．电子测试，2014(18):43-45.

[8] 颜昌茂，周吟剑，李鹏. 高校图书馆网络安全系统的构建[J]. 情报探索， 2014 (1): 108-111.

[9] 杨木锐.数字图书馆信息安全保障体系研究[D].东北师范大学，2007:28.

Constructing Information Security Management System of

Academic Digital Library

Yuan Shu-yan，Song Xiu-e，Zhang Xin-yue

(Library of Daqing Normal University，Heilongjiang Daqing 163712， China)

Abstract：In this paper， it introduces two features of digital library of university and analyzes the present situation of information security management. The diagram of security architecture is given based on information security requirements. The security issues can be divided into four classes: hardware security， software security， data security and management security. The reasons of all kinds of problem are analyzed and the solution are given in detail. It takes the operability of safety problems，as far as the efficiency and the goal.

Key words:digital library； hardware security； software security；data security

中图分类号：TP393.02；G250.7

文献标识码:A

文章编号：2095-0063(2015)06-0141-04

收稿日期：2015-07-03

基金项目：黑龙江省艺术科学规划项目“地方普通高校数字图书馆信息安全管理体系研究”(2014B001)。

作者简介：袁淑艳(1982-)，女，黑龙江穆棱人，大庆师范学院图书馆馆员，从事信息资源管理研究。

DOI10.13356/j.cnki.jdnu.2095-0063.2015.06.038