引用本文
郑德俊, 任妮, 熊健, 黄水清. 我国数字图书馆信息安全管理现状. 现代图书情报技术, 2010, 26(7-8): 27-32
Zheng Dejun, Ren Ni, Xiong Jian, Huang Shuiqing. Current Situation of Information Security Management in Digital Libraries. New Technology of Library and Information Service, 2010, 26(7-8): 27-32  
Permissions
Copyright©2010, The modern information technology editorial office
This article is the open access journal literature, in the following situations are free to use: academic research and academic exchanges, scientific research and teaching, etc., but don't allow for commercial purposes.
我国数字图书馆信息安全管理现状
郑德俊, 任妮, 熊健, 黄水清
南京农业大学信息科学技术学院 南京 210095
基金:*本文系国家社会科学基金项目“数字图书馆信息安全管理与评价”(项目编号:07BTQ005)的研究成果之一;
摘要

介绍数字图书馆信息安全的相关概念,概述国内外学术界的相关研究成果。在对国内30家已经建设数字图书馆的公共图书馆和高校图书馆进行调研的基础上,分析、总结国内数字图书馆信息安全的现状与问题。

关键词: 数字图书馆; 信息安全; 信息安全管理
中图分类号:G251
Current Situation of Information Security Management in Digital Libraries
Zheng Dejun, Ren Ni, Xiong Jian, Huang Shuiqing
College of Information Science and Technology, Nanjing Agricultural University, Nanjing 210095,China
Abstract

This paper introduces the concepts of information security in digital library and summarizes the findings of academic circles at home and abroad. Based on the survey of 30 public libraries and college libraries which have established digital libraries, this paper analyzes and summarizes the current situations and problems of information security management in domestic digital libraries.

Keyword: Digital library; Information security; Information security management
1 相关概念
1.1 数字图书馆

“数字图书馆”一词虽使用广泛,但对于其具体含义国内外学者意见并不一致。本文将数字图书馆的内涵限定在建立在传统的实体图书馆之上的数字图书馆部分,把传统的实体图书馆中数字化部分的信息安全管理作为研究对象。在本系列文章中,凡用到数字图书馆这一概念时,若非特别注明,其涵义即用于指代实体图书馆中的数字化部分。

1.2 信息安全

信息安全(Information Security)是指保持信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。信息安全主要取决于两个因素:技术和管理。安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现[ 1]

信息安全的实践活动是一项系统工程,技术手段只是这项系统工程的一个组成部分。归根到底,信息安全并不是技术过程,而是管理过程,技术过程只是管理过程中的一个环节。信息安全管理是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动,是通过维护信息的机密性、完整性和可用性来管理和保护组织所有资产的一项体制,其目的是尽量做到在有限的成本下保证资产的安全。其内容包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作[ 2]

1.3 数字图书馆信息安全

按照信息安全管理国际标准ISO27001的规定,信息安全除了保持信息的保密性、完整性和可用性之外,还包括信息的真实性、可核查性、抗抵赖和可靠性[ 3]。在数字图书馆领域,文献[4]-[9]针对数字图书馆的信息安全分别给出了若干不同的定义。文献[6]还提出数字图书馆信息安全具有动态性,指其具有时间性和空间性,所以信息安全措施也应该是动态的,并且要随着技术的发展和内外环节的变化而变化。

根据信息安全管理国际标准ISO27000的思想,可以方便地给出数字图书馆信息安全的定义。数字图书馆信息安全即保持数字图书馆各项信息的保密性、完整性和可用性,使得数字图书馆传递给用户的信息的具有真实性、可核查性、抗抵赖和可靠性。其中,数字图书馆信息安全的保密性指避免非授权者伪装授权用户的身份获得信息资源,也指保证攻击者不能够获得管理员的权限。数字图书馆信息安全的完整性是指在数字化信息存储和传输过程中,防止被未经授权的用户篡改,保证数字图书馆系统上数据和信息的绝对真实和可靠。数字图书馆信息安全的可用性是指保证数据的获取途径始终畅通,保证数字图书馆的信息内容与相应功能可随时提供给授权用户[ 10, 11, 12]

在信息安全技术方面,数字图书馆信息安全所用到的技术措施具体包括信息防护技术[ 12, 13, 14]、认证控制技术[ 15, 16]、病毒防护技术[ 15, 16, 17, 18, 19, 20, 21, 22]、容灾技术[ 23]等几种类型。

2 国内外数字图书馆信息安全研究概述

对数字图书馆信息安全的研究,国外比国内起步早,但较少涉及数字图书馆信息安全的管理手段,其研究内容主要集中在数字图书馆信息安全技术方面,包括数据安全、系统安全、知识产权维护和网络安全方面。所采取的方法和措施包括:

(1)数据备份和软件更新

Robertson指出数据的损害和遗失是所有图书馆主要关心的问题,因此数据备份以及防火墙和反病毒软件的定期更新对数字图书馆系统安全十分必要。对于信息安全风险而言,通过建立新的程序、新的软件,安装安全技术设备,或者采用上述方法的集合等手段,风险通常是可以减轻的[ 24]

(2)设置操作系统的参数

适当地设置相关网络操作系统的参数,按安全级别进行访问权限划分,可以确保最严格的网络安全,用于防止以目录、程序、工作站或者存取时间周期等方式接触到文件服务器/局域网的任何部分[ 25]

(3)RAID技术的使用

廉价冗余磁盘阵列(Redundant Array of Inexpensive Disks,RAID)技术除采用磁盘容错技术以保障数据的安全外,还采用冗余电源、冗余控制器模块以保证硬件自身有较高的容错性和可靠性[ 26]

(4)交易安全机制

交易安全机制(Safe Dealing,SD) 是一种由信息传递推动的授权装置,其最终目标是在使用者需要服务器向他们提供一种有价值的网络信息服务时,只要经过适当的审核认可,服务器就能够允许他们使用所需服务。除了指定的IP地址,SD可以拒绝向数字服务器提供关于任何用户的任何信息。SD能够追踪任何的可疑交易以及时发现欺诈行为,并把结果反馈给管理员[ 27]

(5)信息使用过程分阶段处理

信息使用过程分阶段处理是一种良好的信息资源分类方法,这种方法是由高度精确的标准所定义。此标准规定为了能够存取信息的每一页内容,每个用户必须拥有相应的资源。该方法由4个阶段组成:需求收集、数据库分析、多标准相关的逻辑设计、具体逻辑设计[ 28]

(6)用户的认证与访问授权的管理

许多高校图书馆网站将商用文献数据库限制在校园网用户使用,校园网以外的用户无法访问图书馆的网络信息资源。通过用户认证和访问授权,使虚拟合法用户能超越校园网或其他网络物理范围的限制,通过网络访问和获取数字图书馆的信息资源,从而较好地协调数字图书馆的信息安全、知识产权服务及资源共享之间的关系[ 28]

(7)知识产权的维护

通过建立统一的知识产权管理机构、安装监控系统、确定原创作品的合理收费机制等方法,保护权利人、图书馆和用户的合法权益。同时,在数字图书馆建设中明确作品数字化的性质,界定数字化作品的著作权归属;合理规范网上作品出版行为;区分数据库的版权类型,认定数据库著作权的保护期限;制定发布多媒体作品著作权保护的标准规定;明确超文本链接引起的著作权争议解决机制等,以尊重他人的知识产权[ 27]

(8)政策制定和馆员培训

Strong建议在图书馆用户隐私保护中,应将政策、规则以及指导方针放在极为重要的位置。同时,馆员培训也非常重要,当用户认证信息在数字图书馆运营过程中不再需要的时候,应清洗删除存储设备中的相关信息来保护用户隐私[ 29]

国内数字图书馆的研究开始于1994年[ 30],当时仅限于关注这个新鲜事物的名称。而信息安全的研究始于1984年[ 31],当时称其为计算机安全。把数字图书馆和信息安全联系到一起,提出数字图书馆的信息安全问题则是在2000年左右[ 32],而信息安全成为数字图书馆建设中的主要问题。笔者通过检索,统计了与数字图书馆信息安全有关的研究论文发文情况,如表1所示:

表1 2000-2009年数字图书馆信息安全发文数量统计表

表1可以看出,关于数字图书馆信息安全的研究从2000年的3篇文献到2009年的70篇文献,呈明显的逐年上升趋势。说明在数字图书馆的建设和研究过程中,信息安全问题已成为人们广泛关注的对象。另外,从2002年起数字图书馆信息安全的研究论文急速上升,同时,正是从2002年开始,数字图书馆信息安全问题进入实践阶段。

通过对所有相关文献的内容进行分析,可以发现,目前数字图书馆的信息安全研究主要在网络安全、相关技术、数据及资源的安全、系统安全、相关法律等方面。有9.46%的论文以数字图书馆信息安全为中心系统地讨论相关问题及策略。

李媛将国内数字图书馆信息安全研究成果从技术手段、管理手段和法规政策三方面进行了概括[ 33]。总的来说,目前国内数字图书馆信息安全的绝大部分研究都侧重于技术,即计算机与网络安全技术在数字图书馆的应用,对数字图书馆信息安全管理方面的研究缺乏系统性,研究内容显得比较空泛,没有可操作的解决方案。虽然从2008年起开始有论文关注信息安全的标准化管理问题,但总体来看,国内的数字图书馆信息安全研究依然是以技术手段为主。从网络安全、数据资源安全、系统安全等角度提出的问题也多是依赖于先进的技术手段来解决。

3 国内数字图书馆信息安全管理现状调研
3.1 调查对象及方法

参与调查的数字图书馆为全国30家已经建设有数字图书馆的公共图书馆和高校图书馆。其中,公共图书馆有省级馆、地市级馆和县级馆三种,高校图书馆有综合类、理工类、经济类、农林类、医药类等多种。数字图书馆建设需要大量的资金投入,因此调查对象选定为在数字图书馆建设方面有一定基础的发达地区的图书馆。调查范围覆盖了江苏、浙江、广东、辽宁、北京、上海等6个省和直辖市,包括南京、北京、上海、杭州、苏州、常熟、张家港、常州、广州、深圳、东莞、大连等城市,均为经济发达地区。

参与调研的公共图书馆有10家,高校图书馆有20家。在公共图书馆中,省级馆有2家,地级市馆有6家,县级市馆有2家。从地区分布看,在全部被调查馆中,南京地区占30%,江苏除南京外的其他地区占20%,北京地区占13.3%,广东地区占20%,上海地区占6.7%,浙江地区占6.7%,辽宁地区占3.3%。

调查过程没有采用简单的问卷发放、填写与回收的办法,而是综合了走访、电话、E-mail、即时通信工具、问卷、专家访谈等多种调查方法。通过网站调查、文献分析、专家访谈等方法确定了名为“数字图书馆建设与信息安全现状”的调查问卷;采用走访面谈、电话、E-mail等方式与被调查图书馆的技术人员、管理人员进行沟通,完成调查。调查内容包括数字图书馆建设情况、数字图书馆信息安全事件现状两个方面,其中安全现状中包括安全事件发生数量、发生原因、安全事件的损失、安全事件发生后的弥补、已有安全产品与安全措施等问题。

3.2 调查数据及分析

调查发现,现阶段国内数字图书馆的信息安全存在很多隐忧。被调查的数字图书馆虽然都有技术人员的管理和维护,但各馆普遍存在不同程度的信息安全问题,信息安全事件时有发生。

(1)数字图书馆信息安全事件发生概况

调查数据显示,在过去的一年中,30家被调查的数字图书馆100%都发生过信息安全事件,其中有6家发生过一次信息安全事件,占总数的20%;有10家发生过两次信息安全事件,占总数的33.3%;有14家发生过三次或三次以上的信息安全事件,占总数的46.7%,如表2所示:

表2 数字图书馆信息安全事件发生情况统计表

对于上述安全事件,攻击来源不尽相同,有些来自于外部,有些来自于本馆。其中,外部攻击引起的信息安全事件数量约占总数的2/3,其余1/3安全事件的发生则是由本馆的信息安全管理不够完善引起。

(2) 数字图书馆信息安全事件发生原因

在信息安全事件发生的原因方面,被调查的各个数字图书馆也分别给出了相应的答案,综合各个馆的数据,可能导致发生信息安全事件的原因一共有9项,如表3所示:

表3 信息安全事件发生原因统计表

(3) 数字图书馆信息安全事件发现方式

在以往发生的信息安全事件的诊断中,有80%的数字图书馆由技术人员检测发现,有50%的数字图书馆由事后分析或使用信息安全产品检测发现,还有50%的数字图书馆是在有关部门或他人告知后才发现的,如表4所示。可见数字图书馆在信息安全事件防御方面处于被动状态。

表4 数字图书馆信息安全事件发现方式统计表

(4) 数字图书馆信息安全风险处理方式

所有的数字图书馆在发现信息安全事件存在后都会主动采取措施进行防御或处理,曾采取过的主要措施如表5所示:

表5 数字图书馆信息安全风险处理的方式统计表

(5) 数字图书馆信息安全组织建设情况

目前,所有的数字图书馆都没有设立专门的信息安全主管部门,但是40%的数字图书馆有指定的专门信息安全责任人,另有53.3%的数字图书馆有技术人员兼职负责信息安全,还有6.7%的数字图书馆请社会相关组织提供安全服务,如表6所示:

表6 数字图书馆信息安全组织建设情况表

(6) 数字图书馆信息安全制度建设情况

有83.3%的数字图书馆建设有形式各异的信息安全制度和操作规程等,其中制度相对健全的有30%,正在完善的有53.3%,缺乏相关制度的有16.7%,如表7所示:

表7 数字图书馆信息安全制度建设概况表

在对用户进行的信息安全防范意识、操作注意事项、基本应对方式和解决流程等的培训方面,有60%的数字图书馆开展过这样的活动,另外40%的数字图书馆没有相关活动。

调查还发现,有46.7%的数字图书馆制定了针对安全事件的应急处置预案和控制措施。

(7)数字图书馆机房环境指标控制情况

机房环境是数字图书馆风险控制较为严密和关注的地方,其环境指标要求较高,有抗静电、防尘、防火、防水、防雷击、防漏电、防盗窃等,其中每项指标都有50%以上的数字图书馆进行了控制,如表8所示:

表8 数字图书馆机房环境指标控制情况表

(8)数字图书馆网络安全产品使用情况

数字图书馆使用网络安全产品来保障网络安全的情况很常见,其中有86.7%采用防火墙,83.3%采用计算机病毒防治产品,33.3%采用入侵检测产品,36.7%采用内外网络连接物理隔离器或逻辑隔离器,13.3%采用身份鉴别产品,16.7%采用信息内容过滤产品,20%采用安全审计、远程监控产品,23.3%采用网络漏洞扫描器,16.7%采用文件系统保护产品,40%采用虚拟专用网络,16.7%采用防雷保安器。

(9)数字图书馆备份/恢复方案建设概况

数据资源是数字图书馆的重要资源,因此数据备份显得尤为重要。66.7%的数字图书馆已经建立了相对完善的备份/恢复方案,可见数字图书馆对此的重视程度很高,如表9所示:

表9 数字图书馆备份/恢复方案建设概况统计表

调查数据还显示,50%的数字图书馆采取了加密技术、数字水印技术等知识产权保护方式。83.3%的数字图书馆采用随时进行安全检查、系统升级和打补丁的措施。13.3%的数字图书馆使用审计工具监控软件应用情况。90%的数字图书馆采用了用户访问权限控制的方式控制对数字图书馆资源的访问。26.7%的数字图书馆对移动存储设备进行管理控制。

4 结 语

综上所述,调查的结果反映的问题主要可以概括为以下几点:

(1)信息安全意识薄弱。这是导致信息安全问题的根本原因。要防止安全问题的产生,就要重视系统安全,全面认识和熟练操作安全软件,及时为系统打补丁,定时升级安全软件。其实不仅馆内的工作人员(包括管理者、信息安全人员和其他工作人员)需要有强烈的信息安全意识,读者和用户也要具有一定的信息安全观念。目前,数字图书馆的用户普遍没有认识到信息安全问题的重要性, 大多数人认为只要保护好密码就足够了, 而且很多用户的密码设置非常简单,这为黑客获取用户密码和信息提供了便利。为了解决这个问题,数字图书馆应该定期组织用户进行信息安全培训,提高用户的信息安全意识。

(2)信息安全管理人员不足,缺乏培训。目前,国内数字图书馆大多缺乏专业的信息安全管理人员,信息安全管理工作多由技术部人员来完成,由于原有的技术人员缺乏全面的信息安全管理知识和技能,难免在这方面做得不够完善,导致各种安全问题的产生。因此,各馆应适量引进信息安全管理方面的专业人才,并对现有管理人员进行全面、系统、科学的安全管理培训,从管理人员素质入手,提高信息安全管理水平。

(3)信息安全保障经费投入不足。国内数字图书馆建设普遍存在经费不足的问题,相应的用于信息安全保障的经费也必然十分有限,很难满足数字图书馆的信息安全需求。由于受到经费限制,安全设备的采购严重不足,很难满足实际需要,这就导致在如今网络攻击日益加剧的情况下,信息安全防护能力相对薄弱,容易出现易于攻击的漏洞或弱点,导致安全事件的发生。

(4)缺乏信息安全管理策略。本文所指的信息安全管理策略就是根据数字图书馆的信息安全方针,依据各个部门的实际情况,分别制定不同的信息安全管理制度,目的是为针对各部门情况分别进行安全管理提供依据。根据调查情况来看,目前只有少数大型数字图书馆制定了简单的信息安全管理策略,其余大部分馆都还未意识到管理策略的重要性。有些数字图书馆即使制定了相关策略,也不能真正地把制度落实到位,根本达不到预期的效果。

从调研结果可以看出,各馆的信息安全管理情况不尽理想,存在各式各样的问题和不足,其中的原因也是来自于各方面的,既有自身的管理漏洞,也有网络威胁的不断增加。总体来看,“重技术、轻管理”的现象非常明显,这与信息安全领域里普遍认可的“三分技术,七分管理”这一黄金原则相违背。因此应该重视提高数字图书馆信息安全管理中“管理”的比重。将信息安全管理国际标准系统地引入数字图书馆领域,建设完备的信息安全管理体系,不仅可以降低信息安全管理的成本,而且能够在不改变现有技术条件的前提下提升数字图书馆信息安全的防护级别。

参考文献
[1] 吴亚非, 李新友, 禄凯. 信息安全风险评估[M]. 北京: 清华大学出版社, 2007. [本文引用:1]
[2] 王春东, 杨宏, 赵俊阁. 信息安全管理[M]. 武汉: 武汉大学出版社, 2008. [本文引用:1]
[3] ISO/IEC 27001: 2005, Information Technology-Security Techniques-Information Security Management Systems-Requirements[S]. Genevan: International Organization for Stand ardization, 2005: 11-12. [本文引用:1]
[4] 李文渊. 谈数字图书馆的网络信息安全[J]. 图书馆论坛, 2003(1): 54-56. [本文引用:1]
[5] 王东波. 数字图书馆信息安全策略研究[J]. 江西图书馆学刊, 2004, 34(3): 76-78. [本文引用:1]
[6] 黎平国, 钟守机. 数字图书馆的信息安全问题与相关对策的探讨[J]. 现代情报, 2005, 25(9): 73-77. [本文引用:1]
[7] 张学宏, 张振圣. 高校图书馆的信息安全问题研究[J]. 图书情报工作, 2006(z): 178-181. [本文引用:1]
[8] 郭建峰. 数字图书馆安全体系探析[J]. 科技情报开发与经济, 2007(18): 7-9. [本文引用:1]
[9] 李耀辉. 试论数字图书馆的信息安全[J]. 情报探索, 2009(9): 102. [本文引用:1]
[10] 徐宽, 刘万国, 房玉琦. 数字图书馆安全特点及影响因素研究[J]. 现代情报, 2008, 28(11): 84-86. [本文引用:1]
[11] 秦浩. 浅谈数字图书馆的信息安全管理[J]. 科技情报开发与经济, 2008(4): 40-51. [本文引用:1]
[12] 刘杰, 王志成. 王薇. 浅谈数字图书馆的网络信息安全[J]. 现代情报, 2005, 25(12): 87-88. [本文引用:2]
[13] 黄永跃. 数字图书馆的安全防护技术[J]. 现代情报, 2005, 25(3): 97-99. [本文引用:1]
[14] 李书宁, 马明霞. 数字水印技术在数字图书馆安全性问题中的应用[J]. 现代图书情报技术, 2002(1): 17-19. [本文引用:1]
[15] 李文静, 王福生. 防火墙在图书馆网络中的安全策略[J]. 现代情报, 2008, 28(6): 72-73. [本文引用:2]
[16] 王长全, 艾雰. 云计算时代的数字图书馆信息安全思考[J]. 图书馆建设, 2010(1): 51-52. [本文引用:2]
[17] 王尊新, 丛鲁丽. 入侵检测系统在图书馆网络安全中的应用研究[J]. 现代图书情报技术, 2004(6): 67-70. [本文引用:1]
[18] 张鹰, 李理, 王昆鹏, . 数据库入侵检测技术在数字图书馆中的研究[J]. 图书与情报, 2008(1): 67-69. [本文引用:1]
[19] 张凌云. 构建图书馆网络防病毒体系[J]. 图书馆工作与研究, 2004(2): 20-22. [本文引用:1]
[20] 宋红, 吴建军, 岳俊梅. 计算机安全技术[M]. 北京: 中国铁道出版社, 2003: 143-173. [本文引用:1]
[21] 赵幽兰. 高校数字图书馆网络安全解决方略[J]. 成都理工大学学报: 自然科学版, 2007 (3): 364-368. [本文引用:1]
[22] 凌征强. 高校图书馆远程访问系统实现技术研究[J]. 图书馆学研究, 2009(5): 43-46. [本文引用:1]
[23] 胡凤娥, 吴晓波. 数字图书馆信息安全与容灾[J]. 赣南师范学院学报, 2008, 29(5): 87-88. [本文引用:1]
[24] Robertson G. Downsizing the Binder: Effective Security Planning for Libraries[J]. Feliciter, 2003, 49(5): 263-265. [本文引用:1]
[25] Ives D J. Security Management Strategies for Protecting Your Library’s Network[J]. Computers in Libraries, 1996, 16(2): 36-42. [本文引用:1]
[26] Tennant R, Coping with Disasters[J]. Library Journal, 2001, 126(19): 26-27. [本文引用:1]
[27] Gladney H M, Cantu A. Authorization Management for Digital Libraries[J]. Communications of the ACM, 2001, 44(5): 63-65. [本文引用:2] [JCR: 2.511]
[28] Eduardo Fernández-Medina, Piattini M. Designing Secure Databases[J]. Information and Software Technology, 2005, 47(7): 463-477. [本文引用:2] [JCR: 1.522]
[29] Drake M A. Safeguarding Patrons’ Privacy[J]. Information Today, 2003, 20(2): 35. [本文引用:1]
[30] 鲁向禹. 美国的数字图书馆计划与信息高速公路[J]. 江西图书馆学刊, 1994 (4): 72-80. [本文引用:1]
[31] 李学诗. 计算机、信息、安全——计算机系统安全与机密保护[J]. 吉林大学学报: 工学版, 1984 (4): 19-22. [本文引用:1]
[32] 吴新年. 数字图书馆技术之进展[J]. 图书与情报, 2000 (2): 62-68. [本文引用:1]
[33] 李媛. 近五年来数字图书馆信息安全问题研究综述[J]. 图书馆学研究, 2005 (12): 12-14. [本文引用:1]