试论图书馆信息系统安全策略
随着信息技术的迅速发展,信息系统在图书馆得到了广泛应用。信息系统在图书馆的应用,将图书馆工作人员从繁重、重复的劳动中解放出来,使他们可以有更多的精力从事更高层次的读者服务工作,必将对图书馆的发展产生深远的影响。任何事物都有其两面性,图书馆自动化伴随而来的信息安全问题也日益突出, 信息系统安全问题已经成为图书馆发展过程中必须认真面对的问题。
1.信息系统安全概述
信息安全是指信息系统中的硬件、软件、网络、数据等受到保护, 不因偶然的或故意的原因而遭到删除、更改、泄露等, 系统连续正常地运行, 信息系统的服务不中断[1]。信息系统安全问题主要存在于硬件环境、软件、系统配置、用户管理等多个层面,具有动态性、时效性、复杂性、隐蔽性、多样性等特征,其内容主要包括信息的机密性、完整性和可用性三个方面。机密性是指重要信息不被泄露, 不被非授权的组织、个人和计算机程序使用;完整性是指信息不被篡改或破环,保证信息的真实性,否则,一旦信息被篡改或破坏,将带来严重的后果;可用性是指合法用户或程序可以及时、正常地使用信息。
图书馆信息系统主要包括馆藏书目数据、读者信息、各种数据库、图书馆自动化系统、图书馆自建的特色数据等,其中很多数据已经接入广域网。图书馆信息系统是图书馆几年甚至是十几年工作的积累,一旦遭到破坏,损失将会非常惨重,甚至会造成整个图书馆工作的瘫痪。因此,图书馆对安全问题必须要有足够的认识和重视, 积极采取有效的对策,保障信息系统的保密性、完整性、可用性等,促进图书馆信息系统持续健康发展。
2.影响图书馆信息系统安全的主要因素
2.1 管理不当
首先是图书馆领导的安全意识薄弱。许多图书馆的主要领导缺乏计算机及网络知识,思想上没有意识到信息安全的重要性。图书馆购入的软硬件设备在安装、调试完成后,往往只管使用,疏于定期的维护和升级,时间一长,就容易出现漏洞而受到攻击。对于承担安全职责的技术人员很少进行培训,导致他们不能很好的胜任工作。其次是没有建立一套严格科学的安全制度。许多图书馆图书采编、典藏、流通等传统的规章制度非常健全,信息系统方面的制度制定的比较简单,很多细节方面的问题都没有规定,由此造成管理上的漏洞。第三是缺乏专业技术人员。缺乏高层次的信息安全方面的专业人才是图书馆目前面临的普遍现象,很多图书馆信息安全方面的专业人员和管理人员是由其他专业改行而来的,知识的缺乏导致了他们日常使用和维护工作存在很多漏洞,不能及时发现安全隐患。
2.2 信息系统的硬件及软件环境
硬件环境包括系统所处的外界环境、硬件设备安全等。图书馆机房应有合适的、符合规定的工作温度、温度、稳定的供电系统、可靠的不间断电源等,以保证系统安全运行。硬件设备安全主要包括硬件的材料、集成电路与总线设计、制作工艺、电磁辐射、信号屏蔽、设备安装等方面。硬件存在缺陷可直接影响其使用寿命和信息信息系统的安全,甚至造成信息系统不可修复的物理损毁。因此,在购买硬件设备时,一定要把好质量关,为信息系统安全打下基础。
软件系统环境主要包括操作系统、应用软件及数据库设计等方面。操作系统控制和管理系统所有硬件和软件资源,是计算机操作的核心,技术人员要对每种操作系统的特点有充分的了解,尤其是每种操作系统存在的漏洞要引起重视,在服务器上选用适合本馆的操作系统。图书馆管理信息系统是图书馆主要的应用软件之一,目前的各种管理系统在设计与使用中都有不同程度的缺陷,一旦被人非法利用, 将会对系统安全造成重大威胁。因此对软件存在的Bug,要及时打补丁, 更新版本。在数据库软件方面,应重视用户授权、身份识别、访问控制、数据加密等安全问题, 目前常用的ORACLE、SQL等都具有较高的可靠性与安全性。
2.3 信息系统遭受攻击
黑客主要是利用计算机网络软硬件的漏洞、缺陷以及操作者的专业知识不足等攻击信息系统,主要有植入病毒、木马、口令入侵、虚假网页、发送大量垃圾邮件、攻击计算机系统的安全漏洞等方式。病毒具有破坏性、复制性和传染性,一旦感染病毒很容易造成数据丢失、系统崩溃等;信息系统中一旦被植入了木马, 非授权人员可远程控制计算机, 而且非常隐蔽, 很难被发现。口令入侵是通过利用目的主机某些合法的账号或口令,实施攻击。黑客可以向用户发送某些已经修改过的网页,当用户浏览恶意网页的时候,网页就会自动向黑客的服务器发出请求,黑客就可以利用这些恶意网页欺骗用户。攻击者可向目标的邮箱发送大量垃圾邮件,导致邮箱无法正常运行和使用。有的攻击者利用操作系统或应用软件本身具有安全漏洞,特别准备攻击字符,达到访问计算机的根目录的目的,甚至能掌握图书馆网络的绝对控制权。
3.图书馆信息系统安全应对策略
要解决信息系统的安全问题,必须建立一支高素质的信息安全维护队伍,加强对技术人员的培训,努力学习先进的技术,做到与时俱进,能够随时解决信息系统中的安全问题。还应该规范各种规章制度,并严格执行,做到对不同的工作人员明确定义其工作职责,能在出现问题时找到第一责任人;要做到严把权限关, 图书馆工作人员的帐号密码要妥善保管,严防机密文件被随意访问;要制定清晰完善的操作流程, 规范计算机网络的应用和操作。以下重点从技术角度来分析信息系统安全问题的应对策略:
3.1 数据备份
数据是图书馆信息系统中最重要的部分,软硬件故障及病毒、木马等都可能造成数据的破坏、丢失,建立并严格执行数据备份与恢复制度是信息系统安全保障的基本要求。图书馆信息系统中数据备份应做到及时、准确、完整。常用的备份策略主要有三种:完全备份、增量备份和差分备份, 不同的图书馆可以根据实际情况来选择相应的备份策略。备份的数据还应注意进行恢复测试, 保证在需要恢复时能够完整准确地恢复。 3.2 防火墙技术
防火墙是建立在被保护网络和外网之间的一道屏障,依照某种特定的规则, 允许或限制网络之间的数据传输,尽可能地屏蔽外部非法入侵,具有很好的保护作用,在很大程度上防止了受保护网络受到黑客的攻击[2],但是防火墙无法阻拦网络内部的非法操作。防火墙的类型主要有网络层防火墙、应用层防火墙, 图书馆可根据具体情况进行配置, 以维护信息系统的安全运行。
3.3 防病毒技术
安装正版杀毒软件并定期升级, 开启杀毒软件的实时监控程序;从网上下载软件要慎重,选择信誉较好的大型网站下载;下载的软件在安装之前要先进行查毒;来历不明的电子邮件不要随意打开,防止病毒邮件感染计算机;不要浏览非法网站等;定期用杀毒软件进行全盘扫描;该升级和打补丁的软件要及时升级和打补丁;在插U盘或光盘的时候,先进行查毒。通过以上措施,基本上可以预防病毒和木马。
3.4 访问控制技术
访问控制技术是指用户在进入系统时,先要进行身份识别,获得合法性之后,方可登录系统,主要目的是防止非法用户进入 [3]。身份识别的技术主要有用户口令、密钥、用户识别卡( 光卡、磁卡等)、体貌特征( 含指纹、签字等) 等。信息系统管理者对不同的用户设置不同的访问权限,定义可使用的系统功能和资源,防止权限滥用。
3.5 虚拟专用网技术( VPN)
VPN采用隧道技术在公共网络中建立专用通道,数据经加密封装后,通过虚拟的专用隧道在公共网络中传输,提高数据传输的安全性, 保护网络免受病毒感染。VPN技术通过对通信双方的身份认证,确保数据加密、传输的完整性, 达到较高的安全性、可靠性和可管理性。现在许多图书馆都有分馆,使用统一的信息系统,所有分馆的数据都要通过总馆共享,采用VPN技术可以有效的保证数据传输的安全性。
