李思艺
摘 要:该文通过检索中国知网中关于高校图书馆信息安全相关文献,并对其内容分析,并以文献综述的形式表现出来。分析发现我国高校图书馆信息安全研究主要集中于技术安全、物理安全、人员安全和组织安全几个方面,得出我国高校图书馆信息安全的研究是以组织安全为导向,各种安全技术齐头并进,同时注重人员与技术管理的结合,并在结尾处提及高校图书馆信息安全研究的不足和展望。
关键词:高校图书馆 信息安全 文献综述
中图分类号:G251 文献标识码:A 文章编号:1672-3791(2020)05(c)-0174-03
目前的信息安全,主要包括物理安全和逻辑安全[1]两个方面。物理安全是指各种信息、通信设备、设施等有形物品不受到如雨淋、雷击、受潮等自然因素影响和人为失误造成的安全影响;而逻辑安全则是通常所说的保持信息的完整性、保密性和可用性。物理安全和逻辑安全缺一不可,二者缺其一,信息安全便可能受到影响。
该文以2019年11月5日(SU='高校图书馆'AND(SU='信息安全管理'OR SU='信息安全'))为检索式对知网进行专业检索,排除非高校图书馆和非信息安全类文章,同时以被引量从高到低排序,选取被引量大于0的文章,最后得到2篇硕士论文和60篇期刊。
通过对上述文献进行分类,发现我国高校图书馆信息安全研究主要涉及:(1)技术安全研究;(2)物理安全研究;(3)人员安全研究;(4)组织安全研究。该文将对这几方面的研究进展进行综述。
1 技术安全研究进展
信息安全技术研究是高校图书馆信息安全研究中的热点和重点,学者们对能够保障高校图书馆信息安全的技术展开了大量研究。
在安全技术研究中,张静鹏、周秀霞、杨雨师[1]介绍了HTTPS协议能提升高校图书馆信息安全。HTTPS协议可对交换数据进行加密,使得图书馆学术数据和用户数据在传输时不容易被窃取,从而保障高校图书馆数据传输中的信息安全。焦从蓉认为高校图书馆中使用Web应用防火墙可以增加信息安全,其优点在于Web应用防火墙的工作层面在应用层,且其灵活性强,可以根据需求的不同,购买硬件型或软件型两种不同类型的防火墙,使得高校图书馆防护作用显著增强[2]。李琳在数据备份上提及RAID 技术,能对高校图书馆管理系统数据即时镜像备份,显著提高数据安全性[3]。此外,张媛媛、王胜利谈到网络信息加密常用的3种方法,包括链路加密、端点加密和节点加密,以及使用多网卡绑定技术应用于服务器中的好处[4]。肖荣荣重点介绍了防火墙技术、漏洞扫描技术、入侵检测技术(IDS)这3种加强高校图书馆信息安全的网络技术[5]。在虚拟局域网技术(VLAN)方面,杨钰曼介绍了高校图书馆使用VLAN技术的优势[6],张小英也谈到采用VLAN划分技术能使图书馆信息管理服务脱离设备的物理限制,极大地提高图书馆网络信息安全工作的灵活度[7]。
也有研究者提出高校图书馆信息安全技术应与管理相结合。网络攻击事件80%源于网络内部,这个调查结果来自梁世玲、邓保国的文章关于高校图书馆信息安全风险和对策的研究。他们强调高校图书馆管理技术需齐头并进,实行“攘外必先安内”的策略[8]。
2 物理安全研究进展
高校图书馆的物理安全是指那些存放于图书馆中的服务器、书籍、电子资源等有形和无形资产免受自然灾害或人为原因造成的损害。物理安全的进展主要在以下两个方面。
2.1 实施物理安全措施
郑志军认为高校图书馆的物理安全需要做好物理安全区域设定、物理设备设施安全、物理设备设施与安全区域的安全控制措施这3个方面的工作[9]。他认为高校图书馆在设计时就应当考虑安全区域的规划。一方面能减少物理原因对数据的影响,另一方面防止图书馆的设施与业务在未经授权的访问情况下发生干扰或破坏。在刘卓然文章中,也谈及需要密切注重建筑的排布线路等问题,不要将设备放置于不稳定因素区域内[10]。杨洋、赵玲玲、卢洋[11]晁阳[12]针对物理安全提出了一些建议措施:安装全覆盖烟雾感应消防系统和避雷设备;使用UPS不间断电源应对断电造成的数据中断、丢失等情况;采用服务器群集技术对数据备份。也有学者提出使用“三无一禁”的安全防范政策来达到维护信息安全,即无光驱、无软驱、无保存(硬盘保护卡),禁用USB,只通过内网交换机访问图书馆系统服务器[13]。此外,许多学者提到使用异地备份、定期自动、不定期手动等方式保障数据安全,同时关注设备的保护,包括防火、防水、防潮、防盗、防磁化等。
2.2 采用云计算技术
有学者提出可使用云计算技术来规避高校图书馆物理安全风险,即通过购买云服务,将高校图书馆重要数据资源托管给云服务商,自己同时备份重要资源,达到双重保障的目的。金志敏談到云计算会对图书馆的服务模式产生深远影响。通过云计算模式,使得高校图书馆可以最大发挥“社会资源中心”的作用[14];云计算能保障数据不被泄露且能够正确无误地提取所需数据,这是数据安全的两大表现。所以,云计算能保障高校图书馆信息安全。
3 人员安全的进展
高校图书馆的人员安全分为图书馆员安全和其他非图书馆员安全。图书馆员的研究倾向于教育培训、人才培养;其他人员的研究侧重于分析安全威胁因素。
3.1 重视图书馆员信息素养和技能培训
馆员安全的研究者中李容、郝丽佳认为馆员应具有信息开发利用观、信息质量观、信息人本观、信息超前观、信息安全观这5种应有的素质和能力,而不只是安全观念[15]。李思林强调人才培养的重要性。他谈到高校馆员缺乏文献情报教育,缺乏现代情报技术和技能,建议聘请专家对图书馆员进行技能培训,并纳入员工考核项目。同时可以聘请专业信息安全员[16]。此外,周秀霞、张立新[17]通过调研吉林省高校图书馆信息安全,得出安全不能得到良好防护的重要原因有高校图书馆员交流合作少,各成体系;没有管理、技术、安全管理制度、管理文化等方面的共享。
3.2 非图书馆员的威胁因素
学生是高校图书馆重大信息安全威胁来源之一。宋震指出学生易受好奇心驱使,且易获得图书馆IP,即可通过ARP欺诈等手段对图书馆网络进行破坏,且效果很快就会显现[18]。周莉提出被授权访问的用户可能,无意识甚至有意识地对图书馆的资源进行复制和传播,使高校图书馆的知识产权受到侵犯;更有高端用户如果通过数据挖掘等技术将高校图书馆的资源整合成新数据产品并买卖,造成知识产权界定不清的问题[19]。周进、熊建武、戴小鹏则谈到维修电脑服务器可能造成安全机制曝光,且为方便维护人员检查而设置的软件“后门”程序则会严重影响高校图书馆的信息安全[20]。张学宏、张振圣不仅提出采购的设备可能就存在安全隐患的安全问题,可能还会对高校图书馆的文化造成影响[21]。
4 组织安全的研究进展
组织安全的研究主要包括信息安全政策制度研究、信息安全体系构建研究、安全模型研究等,目的在于掌握信息安全的整体状况,便于统筹协调。
4.1 政策制度研究为导向
政策制度信息安全研究是为高校图书馆提供导向,许多研究者都提到其在高校图书馆的重要性。周秀霞、张立新[17]就谈到由于缺乏国家统一的政策文件,致使各高校没有统一的信息安全定义,造成实际安全效果偏差较大。李琳也提出建立健全图书馆安全管理制度和操作规程是核心,要求做到“实体可信,行为可控,资源可管, 事件可查, 运行可靠”[3]。王元提出可将美国管理学家彼得的“木桶原理”应用于高校数字图书馆信息安全保障,同时指出人才和管理体系建设的重要性[22]。
4.2 信息安全体系框架的建立
霍明月在她的论文中提出引入国际安全标准ISO27001对高校图书馆信息安全管理体系进行构建[23]。南楠[24]提出不能只注重单一技术研究,而应建立一个现代化的,涵盖技术、管理、资源、法律等多方面内容的综合信息安全体系;周莉[25]认为要建立起一整套信息安全管理的机制,实行分级管理,逐层负责的方式,设立学校、图书馆、信息安全专业技术人员以及读者四级管理体系;杨威则以用户为基础还是以书籍对用户的关系为基础来对信息安全进行分级做了探究,同时建议需以纸质保存数据恢复等程序,并经常培训和演习[26]。也有研究者提出,信息安全不仅是创建一个完美的信息安全构架,更要为信息提供保护[27]。
4.3 设计实施安全模型
信息安全设计实施安全模型是信息安全研究中重要的一环,通过设计实施安全模型,将风险量化,形成一套实操性强的方案,并提前对高隐患的资产和区域进行检查,达到降低信息安全风险目的。在这一领域中,严庄介绍了WPDRRC动态安全模型的演进历程和理论基础, 探讨了基于该模型的动态的高校图书馆网络安全防护体系的构建方法[28]。朱雷、王美兰、卜世波也运用了灰色层次分析法对图书馆信息安全风险进行评估,为图书馆风险决策管理提供科学依据[29]。
5 不足与展望
通过对高校图书馆技术安全、物理安全、人员安全和组织安全这四方面的综述,发现上述4种安全并不是独立存在的,而是相互融合、相互补充。用一句话总结发展趋势,那便是我国高校图书馆信息安全研究有重大突破,逐渐形成了以组织研究为导向,各种安全技术齐头并进,同时重视与人员管理的结合,物理安全则渗透入组织安全、人员安全和技术安全中,在组织、技术、人员的三位一体中寻找易实施、高成效的信息安全管理方案。
当然,事物都有两面性。上述的研究也存在诸多不足:第一,在技术安全方面:忽视技术在图书馆的实施环境和作用域;对非图书馆领域的技术缺乏测试研究,效用难以鉴定;研究的安全防范技术几乎各自为政,缺乏统一的安全机制,没有形成全面可控的安全體系结构[28],安全技术成本、人工成本、管理成本等因素技术研究中鲜有提及。第二,物理安全方面。物理安全没有完善的安全体系,措施单一,缺乏实际操作性;云计算技术作为规避安全问题的新方法,却难以把控云端储存数据问题,包括数据储存位置,服务器处于哪个国家,该国家能否保证信息不被泄露也尚未可知[14]。第三,在人员安全方面。研究者倾向于对安全问题和现象的发现和总结,鲜有提出有效措施,难有针对性建议。第四,在组织安全方面。研究的不足主要是其更多在于理论性探讨,却缺乏与高校图书馆实际业务的结合。
该文写作目的就是如此,通过文献综述找出我国高校图书馆信息安全研究热点,发现其中的创新和不足,希望借由该文让更多的学者关注高校图书馆信息安全的发展,为高校图书馆信息的安全保护添砖加瓦。
参考文献
[1] 张静鹏,周秀霞,杨雨师.浅析HTTPS对高校图书馆安全能力的提升[J].农业图书情报,2019,31(2):62-67.
[2] 焦丛蓉.Web应用防火墙在高校图书馆的应用[J].黑龙江史志,2013(15):178.
[3] 李琳,司守勤.网络环境下高校图书馆信息安全及对策[J].科技情报开发与经济,2008(7):41-42.
[4] 张媛媛,王胜利.论高校图书馆网络信息安全与防御体系构建[J].科技情报开发与经济,2007(28):58-59.
[5] 肖荣荣.高校图书馆网络信息安全问题及解决方案[J].现代情报,2006(2):67-68.
[6] 杨钰曼.高校图书馆网络信息安全浅论[J].无线互联科技,2014(12):196.
[7] 张小英.高校图书馆网络信息安全问题探讨[J].电脑迷,2017(12):152.
[8] 梁世玲,邓保国.高校图书馆网络信息安全的风险与对策[J].农业网络信息,2006(8):53-55.
[9] 郑志军.基于影响高校图书馆信息安全管理要素及关键点的评议[J].戏剧之家,2014(5):287.