CJLIS (Traditional Chinese Medicine)
新信息环境下图书馆数据安全探析
李达秀
山西省图书馆,山西 太原 030021
摘要:图书馆所处的信息环境正在发生深刻变革。为适应新的信息环境,图书馆不断探索新技术在图书馆的应用方式与领域,但容易忽视数据安全问题。本文针对图书馆服务中信息系统风险、数据库风险、个人信息安全、知识产权保护等问题,提出了物理环境安全、网络安全、物理和逻辑访问控制数据加密与解密、统一认证与审计等安全保护策略,多策并举全方位保障数据安全,为开放数据的有效共享创造条件。
关键词:数字图书馆;信息安全;网络技术
DOI: 10.3969/j.issn.2095-5707.2018.05.002
中图分类号: G250.76 文献标识码: A 文章编号: 2095-5707(2018)05-0004-04
Discussion on Library Data Security under New Information Environment
LI Da-xiu
(Shanxi Library, Taiyuan 030021, China)
Abstract: The information environment in which libraries are located is undergoing profound changes. In order to adapt new information environment, libraries constantly explore the application methods and fields of new technologies in libraries, but easy to ignore data security issues. Aiming at problems in library services, including information system risk, database risk, personal information security and intellectual property protection, etc, this article proposed several security policies, including physical environment safety, network security, control of data encryption and decryption by physical and logical access and uniform certification and auditing, in order to ensure comprehensive data security and create conditions for effective sharing of open data.
Key words: digital libraries; information security; network technology
飞速发展的信息技术,正在全面改变图书馆所处的信息环境,图书馆在新信息环境中不断调整与升级,以适应新时代新形势下社会发展对于图书馆的新要求。图书馆作为传统的信息收集与传播的中心,新技术在图书馆的应用不断加强,图书馆工作方式、服务手段发生了重大变化,同时也出现了信息与数据的安全问题,信息安全隐患越来越大。近年来屡次出现信息泄露、病毒入侵等情况,数据的安全性越来越受到人们的重视。在今天的信息环境中,数据安全问题已经成为许多图书馆管理者最为关心的问题之一,数据安全直接关系到图书馆的技术应用前景。为此,图书馆需要分析当前数据安全存在的隐患,提出构建数据安全保障体系,进而在
新信息环境下为图书馆的数据安全提供保障。
1 快速改变的图书馆信息环境
以互联网、移动互联网、物联网、云计算、大数据等为代表的新兴科技是推动图书馆前进的主要技术动力。互联网的兴起与渗透推动了图书馆与信息社会全面接轨;移动互联网使得人们脱离了时空限制,随时随地可以查阅图书馆信息,处理图书馆相关事务;物联网技术的应用降低了图书馆使用门槛,人们可以更加自主、便捷地利用图书馆;云计算改变了图书馆单兵作战的历史,通过总分馆体系构建区域图书馆联盟,整合区域内各馆相关资源与服务,以“全域一馆”的整体形象为读者提供无差别的信息服务;大数据通过分析读者行为,精准把握读者需求与习惯,为图书馆决策与分析提供有力的数据支撑。
外部环境的变化提升了读者的信息素养,读者需求也在不断与时俱进,图书馆必须革新自我以适应读者需求。为此,图书馆在信息技术的更新迭代中,不断调整业务内容、服务模式、管理手段,探索与转型,寻找新的业务增长点,寻找最适合图书馆行业发展的方式,如 24 小时自助图书馆、自助借还、信用借还等,并且取得了较大的成功,形成了一系列新模式、新业态。
2 不可忽视的图书馆数据安全隐患
技术从来就是一把双刃剑。它在推动图书馆不断前进的同时,也给图书馆信息安全带来了极大的挑战。随着新科技在图书馆行业内全面渗透,为读者不断提供便利化服务的同时,也带来了较大的安全隐患。近年来图书馆数据安全事故时有发生,据报道, 2003 年某图书馆多台服务器遭受黑客入侵,整个图书馆网络被控制,黑客在服务器上种上木马,致使一台数据库服务器数据遭到毁灭性破坏, 70 余 GB 的数据被格式化,导致图书馆部分服务中
[1]
断几天到几个月 。这还只是图书馆数据安全风险暴露出来的冰山一角,据了解,许多图书馆都曾遭受过黑客攻击或由于员工数据安全意识淡薄,导致数据盗失情况发生。
图书馆数据风险,主要存在于信息系统风险、数据库风险以及读者信息风险。信息系统风险缘于系统不达标、不规范,存在漏洞,易遭受黑客攻击,造成系统瘫痪、数据丢失、篡改或外泄;或是信息制度不健全,技术人员技术不过关导致系统操作失误、数据外泄。
图书馆内数据库主要包括外部商业数字资源和自建资源。商业数据库牵涉到企业的商业利益,图书馆应做好数据库的版权保护工作,防止用户恶意下载或变相出售数据库资源,从而引发版权官司。自建资源是图书馆最宝贵、也是最具特色的数字资源,一旦丢失、损坏或被格式化后则存在无法挽回的风险。
图书馆服务中涉及到很多个人信息,包括账号信息、行为信息、基本信息及私密信息等。其中用户个人信息主要用于身份识别,也包括图书借阅、参考咨询及馆际互借等信息,这些信息对于读者而言比较重要,应用价值也较高。用户行为信息是用户在数字图书馆访问网络资源产生的信息,包括浏览网页、聊天记录、位置信息等,这些信息能够在一定程度上反映用户的兴趣爱好、阅读习惯等,若
[2]
泄露将给用户带来极大的困扰 。
图书馆应充分认识到数据的价值与重要性,从多角度全方位保障图书馆数据安全。
3 图书馆数据安全保障对策
3.1 贯彻信息系统安全等级保护定级工作
国家和相关部委、行业非常重视数据安全保护及管理工作。国务院颁发了《中华人民共和国计算机信息系统安全保护条例》[ 3],制订了《计算机信息系统安全保护等级划分准则》( GB 17859-1999)[ 4],
出台了《关于信息安全等级保护工作的实施意见》
[5]
(公通字[2004]66 号) 等一系列文件,要求各信息化单位建立标准规范的信息和数据安全技术体系和制度,做好信息系统安全等级保护定级工作。
互联网、物联网、大数据、云计算等新兴科技在图书馆的应用,使图书馆信息化水平有了极大的提高,因此,图书馆信息系统安全等级保护定级就显得异常重要。图书馆应该从物理环境安全、网络通讯安全、物理和逻辑访问控制、应用系统操作与运行安全、数据加密与解密、统一认证与审计等方面着手,制定安全策略,保证图书馆主机设备、网络平台、应用系统及应用数据等的安全性、稳定性与可靠性,强化过程管理和基础设施管理的风险分析及防范,逐步建立起信息安全管理制度,规范图书馆信息安全管理工作。
3.2 合理规划并搭建稳固的技术框架体系
图书馆可从服务器系统、网络系统、存储系统及系统体系架构等多个方面综合考虑,合理规划并构建起以数据安全为目标的技术框架体系,通过硬件架构的设计、集群技术、虚拟化技术实现服务器系统、网络系统、存储系统等协同工作。
3.2.1 服务器 是应用系统运行的硬件基础,是黑客攻击、窃取并破坏数据的重要入口。服务器安全主要通过集群技术与虚拟化技术予以解决,集群技术是通过服务器硬件设备的冗余来防止因单点故障而引起设备瘫痪,一般应用于数据库或核心业务管理系统上;虚拟化技术是把服务器内中央处理器( CPU)、内存、硬盘等资源集成为可以动态管理的“资源池”,一般用于安装活动管理系统、短信服务系统、自助服务系统、统计分析系统等各类业务系统,从而达到避免相互干扰、提高资源利用率和简化管理的目的。
3.2.2 网络系统安全 是数据安全保障中程序最为复杂、手段最为多样的领域,主要通过复用多链路
冗余、网络边界设计、入侵检测及保护、网络行为管理、桌面管理系统准入控制以及桌面安全多途径予以解决。可根据本馆体系框架中的重要程度,对核心交换机、汇聚交换机、接入交换机、防火墙设备、网络行为管理设备、链路均衡设备等局域网交换设备采用双机冗余部署方案,双链路配置互联网、光纤接入网、虚拟专用网络( VPN)接入网等,保障网络接入安全。在网络流量主通路上可配置入侵防御系统( IPS),在提供互联网服务的 Web服务器前端可部署 Web 应用防护系统( WAF)防火墙,以应对非法入侵及恶意攻击。在不同安全级别的网络边界处可部署高性能防火墙并制定各种安全策略,以防止非法授权访问、漏洞扫描与探测。在防火墙外部的网络交换机上可部署网络行为管理设备,审计、过滤和记录内网用户的上网行为,分配用户网络流量,优化用户网络带宽资源。
3.2.3 存储设备 是图书馆信息化建设过程中需要的核心设备,图书馆核心业务数据、数字资源等都存储在其上,因此存储系统是数据安全保护的核心,是图书馆提供服务的基础与保障。在当前图书馆信息化架构设计中,存储系统一般需与服务器系统联合设计与规划。根据存储与服务器的连接方式可分为直连式存储( DAS )、网络附加存储( NAS)和存储区域网络( SAN),图书馆可结合自身业务特点选择其中一种或多种技术混合使用。当拥有多套存储阵列时,特别是多套异构存储阵列时,可借助存储虚拟化技术将零散的存储资源虚拟整合成“资源池”,对“资源池”进行逻辑管理,从而提高整体利用率;同时可利用存储集群技术在多个存储系统上同时写入,防止数据丢失,最大程度地保障数据的安全。
3.3 多策并举全方位保障数据安全
在基础设施技术框架体系保障数据安全的同时,图书馆应不断优化管理策略,通过存储分级管理、数据库集群技术、多种数据备份机制甚至是异地灾备系统保证整体数据安全,通过软件系统合理部署身份认证系统和隐私保护技术保障数据不被窃取和盗用。
3.3.1 制订分级存储管理策略 图书馆通常采用磁盘阵列( RAID5)策略来完成数据备份工作,随着图书馆总分馆制建设的不断推进与深入,单一的存储技术已不再合适。图书馆应认真分析各类业务数据,制订分级存储管理策略,根据数据重要性、访 问频率等指标对数据进行分级处理,并分别存储在离线存储设备和在线存储设备上。
3.3.2 制定备份策略 图书馆可根据数据情况,采取完全备份、增量备份、差异备份 3 种备份策略。其中完全备份是对一个时间点上的所有数据或应用进行备份,因此备份时间长,重复数据多,但一旦系统出现故障可以在较短的时间内恢复数据;增量备份是在完全备份对后续增加和修改的文件进行备份,因此备份数据量相对较小,备份所需时间较短,但数据恢复时需提供上一次全备份和所有增量备份,并沿着从完全备份到依次增量备份的时间顺序逐个反推恢复,因此数据恢复时间较长;差异备份是在完全备份后至今的新增或修改文件进行备份,数据恢复时只需提供完全备份文件和差异备份文件即可,因此它兼完全备份和增量备份的优势,同时也避免了这两种备份策略的缺陷。图书馆可结合本馆业务特点、存储容量、数据量大小制定科学的备份方案,如每周一闭馆时进行全备份,周二至周日每天进行增量备份或差异备份。
3.3.3 加强数据库系统备份与管理 数据库系统主要为图书馆各类应用系统提供数据定义、数据存取、数据库运行管理、数据库的建立和维护、数据库传输等服务,是图书馆最为核心的底层系统。目前国内采用的大中型图书馆业务管理系统一般都建立在商业数据库基础之上,图书馆可采用数据库自带的集群技术(如共享存储技术、串行数据复制技术、实时数据同步技术)或安装数据库自带的备份系统或采用第三方备份系统,以保障数据库系统的安全。
3.3.4 重视读者的身份认证管理 建立有效的单点登录统一身份认证系统验证用户的合法性,支持图书馆间共享认证服务和用户身份信息,减少重复验证带来的运行开销。对于本馆读者可采用用户名登录认证,认证通过后可直接登录图书管理系统进行资料的查询。对于非本馆读者直接以微信或者电话登录图书馆认证页面,登录后就可轻松上网冲浪。
3.3.5 加强数据隐私保护 利用现有隐私处理技术,对数据进行 K 匿名(隐匿技术)、图匿名及数据预处理等,保障数据在使用、传输中能够拒绝服务攻击,保证域名系统( DNS)安全、数据传输机密性等。
4 小结
新信息环境下为图书馆提供了良好的发展机
遇,也促进了数字图书馆的服务转型。但是信息系统风险、数据库风险、个人信息安全保护、知识产权保护等问题,极大地影响了数字图书馆运行及信息服务质量的提升。当前图书馆应加强信息和数据安全的保护,从物理环境安全、网络安全、物理和逻辑访问控制数据加密与解密、统一认证与审计等多个方面,采取信息和数据安全措施,建立管理制度,多策并举全方位保障数据安全,为开放数据的有效共享创造条件。
参考文献
[1] 赵丽萍.实战黑客——图书馆数据安全隐患分析[J].现代图书情报技 术,2005(3):82-84,76. [2] 姚志红.大数据环境下数字图书馆个人信息的安全保护研究[J].图书 [3]馆学刊,2016(2):112-114.中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例(国务院令第 147 号)[EB/OL].(1994-02-18)[2018-04-12].http:// www.mps.gov.cn/n2254314/n2254409/n2254419/n2254429/c3721836/ content.html. [4]国家质量技术监督局.计算机信息系统安全保护等级划分准则:GB 17859-1999[S].北京:中国标准出版社,1999:9. [5] 公安部,国家保密局,国家密码管理局,等.关于印发《关于信息安全等级保护工作的实施意见》的通知(公通字[2004]66 号)[A/OL]. (2004-09-10)[2018-02-20].http://wenku.it168.com/d_001020587. shtm.