我国数字图书馆信息安全管理现状

书书书《现代图书情报技术》版权所有，欢迎下载引用！请注明引用地址：我国数字图书馆信息安全管理现状［Ｊ］，现代图书情报技术，２０１０（７／８）：２７－３２．ＸＩＡＮＤＡＩＴＵＳＨＵＱＩＮＧＢＡＯＪＩＳＨＵ　２７　　　我国数字图书馆信息安全管理现状郑德俊　任　妮　熊　健　黄水清（南京农业大学信息科学技术学院　南京２１００９５）【摘要】介绍数字图书馆信息安全的相关概念，概述国内外学术界的相关研究成果。在对国内３０家已经建设数字图书馆的公共图书馆和高校图书馆进行调研的基础上，分析、总结国内数字图书馆信息安全的现状与问题。【关键词】数字图书馆　信息安全　信息安全管理【分类号】Ｇ２５１ＣｕｒｒｅｎｔＳｉｔｕａｔｉｏｎｏｆＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙＭａｎａｇｅｍｅｎｔｉｎＤｉｇｉｔａｌＬｉｂｒａｒｉｅｓＺｈｅｎｇＤｅｊｕｎ　ＲｅｎＮｉ　ＸｉｏｎｇＪｉａｎ　ＨｕａｎｇＳｈｕｉｑｉｎｇ（ＣｏｌｌｅｇｅｏｆＩｎｆｏｒｍａｔｉｏｎＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙ，ＮａｎｊｉｎｇＡｇｒｉｃｕｌｔｕｒａｌＵｎｉｖｅｒｓｉｔｙ，Ｎａｎｊｉｎｇ２１００９５，Ｃｈｉｎａ）【Ａｂｓｔｒａｃｔ】Ｔｈｉｓｐａｐｅｒｉｎｔｒｏｄｕｃｅｓｔｈｅｃｏｎｃｅｐｔｓｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｉｎｄｉｇｉｔａｌｌｉｂｒａｒｙａｎｄｓｕｍｍａｒｉｚｅｓｔｈｅｆｉｎｄｉｎｇｓｏｆａｃａｄｅｍｉｃｃｉｒｃｌｅｓａｔｈｏｍｅａｎｄａｂｒｏａｄ．Ｂａｓｅｄｏｎｔｈｅｓｕｒｖｅｙｏｆ３０ｐｕｂｌｉｃｌｉｂｒａｒｉｅｓａｎｄｃｏｌｌｅｇｅｌｉｂｒａｒｉｅｓｗｈｉｃｈｈａｖｅｅｓｔａｂｌｉｓｈｅｄｄｉｇｉｔａｌｌｉｂｒａｒｉｅｓ，ｔｈｉｓｐａｐｅｒａｎａｌｙｚｅｓａｎｄｓｕｍｍａｒｉｚｅｓｔｈｅｃｕｒｒｅｎｔｓｉｔｕａｔｉｏｎｓａｎｄｐｒｏｂｌｅｍｓｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｍａｎａｇｅｍｅｎｔｉｎｄｏｍｅｓｔｉｃｄｉｇｉｔａｌｌｉｂｒａｒｉｅｓ．【Ｋｅｙｗｏｒｄｓ】Ｄｉｇｉｔａｌｌｉｂｒａｒｙ　Ｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙ　Ｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｍａｎａｇｅｍｅｎｔ　　收稿日期：２０１０－０５－２７　　收修改稿日期：２０１０－０６－２４　　本文系国家社会科学基金项目“数字图书馆信息安全管理与评价”（项目编号：０７ＢＴＱ００５）的研究成果之一。１　相关概念１．１　数字图书馆　　“数字图书馆”一词虽使用广泛，但对于其具体含义国内外学者意见并不一致。本文将数字图书馆的内涵限定在建立在传统的实体图书馆之上的数字图书馆部分，把传统的实体图书馆中数字化部分的信息安全管理作为研究对象。在本系列文章中，凡用到数字图书馆这一概念时，若非特别注明，其涵义即用于指代实体图书馆中的数字化部分。１．２　信息安全　　信息安全（ＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ）是指保持信息的保密性（Ｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ）、完整性（Ｉｎｔｅｇｒｉｔｙ）和可用性（Ａｖａｉｌａｂｉｌｉｔｙ）。信息安全主要取决于两个因素：技术和管理。安全技术是信息安全控制的重要手段，许多信息系统的安全性保障都要依靠技术手段来实现［１］。　　信息安全的实践活动是一项系统工程，技术手段只是这项系统工程的一个组成部分。归根到底，信息安全并不是技术过程，而是管理过程，技术过程只是管理过程中的一个环节。信息安全管理是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，是通过维护信息的机密性、完整性和可用性来管理和保护组织所有总第１９５／１９６期　２０１０年　第７／８期２８　　　　现代图书情报技术资产的一项体制，其目的是尽量做到在有限的成本下保证资产的安全。其内容包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作［２］。１．３　数字图书馆信息安全　　按照信息安全管理国际标准ＩＳＯ２７００１的规定，信息安全除了保持信息的保密性、完整性和可用性之外，还包括信息的真实性、可核查性、抗抵赖和可靠性［３］。在数字图书馆领域，文献［４］－［９］针对数字图书馆的信息安全分别给出了若干不同的定义。文献［６］还提出数字图书馆信息安全具有动态性，指其具有时间性和空间性，所以信息安全措施也应该是动态的，并且要随着技术的发展和内外环节的变化而变化。　　根据信息安全管理国际标准ＩＳＯ２７０００的思想，可以方便地给出数字图书馆信息安全的定义。数字图书馆信息安全即保持数字图书馆各项信息的保密性、完整性和可用性，使得数字图书馆传递给用户的信息的具有真实性、可核查性、抗抵赖和可靠性。其中，数字图书馆信息安全的保密性指避免非授权者伪装授权用户的身份获得信息资源，也指保证攻击者不能够获得管理员的权限。数字图书馆信息安全的完整性是指在数字化信息存储和传输过程中，防止被未经授权的用户篡改，保证数字图书馆系统上数据和信息的绝对真实和可靠。数字图书馆信息安全的可用性是指保证数据的获取途径始终畅通，保证数字图书馆的信息内容与相应功能可随时提供给授权用户［１０－１２］。　　在信息安全技术方面，数字图书馆信息安全所用到的技术措施具体包括信息防护技术［１２－１４］、认证控制技术［１５，１６］、病毒防护技术［１５－２２］、容灾技术［２３］等几种类型。２　国内外数字图书馆信息安全研究概述　　对数字图书馆信息安全的研究，国外比国内起步早，但较少涉及数字图书馆信息安全的管理手段，其研究内容主要集中在数字图书馆信息安全技术方面，包括数据安全、系统安全、知识产权维护和网络安全方面。所采取的方法和措施包括：　　（１）数据备份和软件更新　　Ｒｏｂｅｒｔｓｏｎ指出数据的损害和遗失是所有图书馆主要关心的问题，因此数据备份以及防火墙和反病毒软件的定期更新对数字图书馆系统安全十分必要。对于信息安全风险而言，通过建立新的程序、新的软件，安装安全技术设备，或者采用上述方法的集合等手段，风险通常是可以减轻的［２４］。　　（２）设置操作系统的参数　　适当地设置相关网络操作系统的参数，按安全级别进行访问权限划分，可以确保最严格的网络安全，用于防止以目录、程序、工作站或者存取时间周期等方式接触到文件服务器／局域网的任何部分［２５］。　　（３）ＲＡＩＤ技术的使用　　廉价冗余磁盘阵列（ＲｅｄｕｎｄａｎｔＡｒｒａｙｏｆＩｎｅｘｐｅｎｓｉｖｅＤｉｓｋｓ，ＲＡＩＤ）技术除采用磁盘容错技术以保障数据的安全外，还采用冗余电源、冗余控制器模块以保证硬件自身有较高的容错性和可靠性［２６］。　　（４）交易安全机制　　交易安全机制（ＳａｆｅＤｅａｌｉｎｇ，ＳＤ）是一种由信息传递推动的授权装置，其最终目标是在使用者需要服务器向他们提供一种有价值的网络信息服务时，只要经过适当的审核认可，服务器就能够允许他们使用所需服务。除了指定的ＩＰ地址，ＳＤ可以拒绝向数字服务器提供关于任何用户的任何信息。ＳＤ能够追踪任何的可疑交易以及时发现欺诈行为，并把结果反馈给管理员［２７］。　　（５）信息使用过程分阶段处理　　信息使用过程分阶段处理是一种良好的信息资源分类方法，这种方法是由高度精确的标准所定义。此标准规定为了能够存取信息的每一页内容，每个用户必须拥有相应的资源。该方法由４个阶段组成：需求收集、数据库分析、多标准相关的逻辑设计、具体逻辑设计［２８］。　　（６）用户的认证与访问授权的管理　　许多高校图书馆网站将商用文献数据库限制在校园网用户使用，校园网以外的用户无法访问图书馆的网络信息资源。通过用户认证和访问授权，使虚拟合法用户能超越校园网或其他网络物理范围的限制，通过网络访问和获取数字图书馆的信息资源，从而较好地协调数字图书馆的信息安全、知识产权服务及资源共享之间的关系［２８］。　　（７）知识产权的维护　　通过建立统一的知识产权管理机构、安装监控系统、确定原创作品的合理收费机制等方法，保护权利人、图书馆和用户的合法权益。同时，在数字图书馆建设中数字图书馆ＸＩＡＮＤＡＩＴＵＳＨＵＱＩＮＧＢＡＯＪＩＳＨＵ　２９　　　明确作品数字化的性质，界定数字化作品的著作权归属；合理规范网上作品出版行为；区分数据库的版权类型，认定数据库著作权的保护期限；制定发布多媒体作品著作权保护的标准规定；明确超文本链接引起的著作权争议解决机制等，以尊重他人的知识产权［２７］。　　（８）政策制定和馆员培训　　Ｓｔｒｏｎｇ建议在图书馆用户隐私保护中，应将政策、规则以及指导方针放在极为重要的位置。同时，馆员培训也非常重要，当用户认证信息在数字图书馆运营过程中不再需要的时候，应清洗删除存储设备中的相关信息来保护用户隐私［２９］。　　国内数字图书馆的研究开始于１９９４年［３０］，当时仅限于关注这个新鲜事物的名称。而信息安全的研究始于１９８４年［３１］，当时称其为计算机安全。把数字图书馆和信息安全联系到一起，提出数字图书馆的信息安全问题则是在２０００年左右［３２］，而信息安全成为数字图书馆建设中的主要问题。笔者通过检索，统计了与数字图书馆信息安全有关的研究论文发文情况，如表１所示：表１　２０００－２００９年数字图书馆信息　　　　安全发文数量统计表年份２０００２００１２００２２００３２００４２００５２００６２００７２００８２００９文献数量３９２２２８２８３７４１４４５２７０百分比０．９０％２．６９％６．５９％８．３８％８．３８％１１．０８％１２．２８％１３．１７％１５．５７％２０．９６％　　从表１可以看出，关于数字图书馆信息安全的研究从２０００年的３篇文献到２００９年的７０篇文献，呈明显的逐年上升趋势。说明在数字图书馆的建设和研究过程中，信息安全问题已成为人们广泛关注的对象。另外，从２００２年起数字图书馆信息安全的研究论文急速上升，同时，正是从２００２年开始，数字图书馆信息安全问题进入实践阶段。　　通过对所有相关文献的内容进行分析，可以发现，目前数字图书馆的信息安全研究主要在网络安全、相关技术、数据及资源的安全、系统安全、相关法律等方面。有９．４６％的论文以数字图书馆信息安全为中心系统地讨论相关问题及策略。　　李媛将国内数字图书馆信息安全研究成果从技术手段、管理手段和法规政策三方面进行了概括［３３］。总的来说，目前国内数字图书馆信息安全的绝大部分研究都侧重于技术，即计算机与网络安全技术在数字图书馆的应用，对数字图书馆信息安全管理方面的研究缺乏系统性，研究内容显得比较空泛，没有可操作的解决方案。虽然从２００８年起开始有论文关注信息安全的标准化管理问题，但总体来看，国内的数字图书馆信息安全研究依然是以技术手段为主。从网络安全、数据资源安全、系统安全等角度提出的问题也多是依赖于先进的技术手段来解决。３　国内数字图书馆信息安全管理现状调研３．１　调查对象及方法　　参与调查的数字图书馆为全国３０家已经建设有数字图书馆的公共图书馆和高校图书馆。其中，公共图书馆有省级馆、地市级馆和县级馆三种，高校图书馆有综合类、理工类、经济类、农林类、医药类等多种。数字图书馆建设需要大量的资金投入，因此调查对象选定为在数字图书馆建设方面有一定基础的发达地区的图书馆。调查范围覆盖了江苏、浙江、广东、辽宁、北京、上海等６个省和直辖市，包括南京、北京、上海、杭州、苏州、常熟、张家港、常州、广州、深圳、东莞、大连等城市，均为经济发达地区。　　参与调研的公共图书馆有１０家，高校图书馆有２０家。在公共图书馆中，省级馆有２家，地级市馆有６家，县级市馆有２家。从地区分布看，在全部被调查馆中，南京地区占３０％，江苏除南京外的其他地区占２０％，北京地区占１３．３％，广东地区占２０％，上海地区占６．７％，浙江地区占６．７％，辽宁地区占３．３％。　　调查过程没有采用简单的问卷发放、填写与回收的办法，而是综合了走访、电话、Ｅ－ｍａｉｌ、即时通信工具、问卷、专家访谈等多种调查方法。通过网站调查、文献分析、专家访谈等方法确定了名为“数字图书馆建设与信息安全现状”的调查问卷；采用走访面谈、电话、Ｅ－ｍａｉｌ等方式与被调查图书馆的技术人员、管理人员进行沟通，完成调查。调查内容包括数字图书馆建设情况、数字图书馆信息安全事