鱼:垫 Science and Technology Innovation Herald 图书馆论坛 对当前图书馆网络安全防护技术的思考 成定荣 万旭东 (西安医学院 陕西西安 71 0021) 摘要:图书馆作为一种基础性的信息供应场所,必须依靠网络来满足人们的这一需求,而且信息化的高速发展也引发了图书馆信息增加, 形式虚拟化等现象,图书馆的信息安全在很大程度上受到了网络安全的影响。本文简要分析了网络安全的概念及图书馆网络安全防护的 实际意义,了解目前网络中存在的安全隐患,并结合图书馆的网络应用,具体分析图书馆网络问题实例,最后结合图书馆网络安全的问题, 制定预防和应对的防护策略。 关键词:图书馆 网络安全 防护 策略 中图分类号:G 2 5 0 文献标识码:A 文章编号:1 674—09 8X(2011)1 0(b)一0228-02 1网络安全概念及图书馆网络安全防护的 首先了解信息在网络中的存在方式及其作 实际意义 用。在网络中信息是被传递和接受的内容, 网络安全是指出于网络当中信息的安 是网络平台中最重要的流通物,它需要暂 全,网络安全防护就是针对网络中动态存 存在一台PC当中,通过网络连通来被用户 储数据的一种系统性防护技术和管理工作 读取。由此来进行考虑,信息在网络运行中 的统称,以这种技术或管理方式来保证系 可能出现的安全问题就可以分为存储信息 统或数据不遭受损坏、泄露、更改等情况, 被丢失或损坏、信息在传递过程中被截取, 并保证系统在网络中能够正常的提供服 最终导致用户获取的信息出错甚至无法获 务。常见的网络安全事故包括数据信息被 取信息。 毁坏或篡改、应用系统失常或崩溃、网络连 从信息储存的角度来说,会造成信息 通性受阻、关键性信息被盗等等,这些问题 损坏或丢失的因素主要有存储硬件损坏、 主要可以分为两大类,一是信息安全问题, 存储信息被黑客恶意盗取或篡改、服务器 二是网络连通性(包括间接影响联通性的系 软件异常等等。服务器软件问题的原因主 统崩溃等)问题。因此,可以对网络安全防护 要有软件设计差错、病毒影响和人为影响 总结为对网络安全和信息安全的双重保 几种类型,将这些问题联系到图书馆的网 障,并且从网络自身和外部攻击两个角度 络安全问题来说,主要有以下几种实例:(I) 进行双重思考的信息网络运行保障措施。 提供信息存储的硬件损毁,计算机硬件在 图书馆作为传统的信息供应机构来说, 长期的使用后会产生损毁的情况,例如计 在信息化高速发展的今天,不可避免地成为 算机硬盘在每次非安全性断电的情况下会 信息网络中的重要组成部分,例如世界上最 出现坏点的情况,信息储存设备作为图书 大的图书馆美国国会图书馆和世界上历史最 馆书籍、书目储存的重要硬件,其一旦损 悠久的英国国家图书馆都建立有相应的网络 毁,将直接导致信息服务无法正常提供;(2) 图书馆,供读者足不出户的挑选和阅读所需 服务器被病毒感染,导致存储信息出错或 的书籍。图书馆的网络安全问题也表现在两 者系统瘫痪,这种问题多受人为因素和病 大方面,一是图书馆收集的图书信息受到损 毒防护软件工作不正常所引起,就人为因 坏,例如书籍信息丢失、整理过的书籍条目紊 素来说,一些工作人员没有遵守工作规范, 乱等;二是图书馆网络系统无法正常运作,读 对干邮件或其他网络传输方式下传递的文 者无法正常通过网络渠道从图书馆获取所需 件、信息等不加戒备,导致病毒侵入服务 的信息,例如系统损坏或网络故障。随着图书 器,最终造成服务器的信息和软件的问题; 馆网络的不断发展,其所收藏的书籍种类和 (3)图书馆中收藏有一些具有版权属性的书 数量日益增加,相关的虚拟化管理工作量也 籍或文献,并不是对用户全面开放的,这种 大幅增加,这就需要图书馆管理人员借助软 问题一方面是由于服务器端OS的漏洞所造 件来实现信息的管理和维护,图书馆对于网 成的,0s的某些漏洞为黑客的侵入提供了 络的依托越来越大,这样网络安全问题就很 后门,影响服务器的安全性,另・方面是应 容易影响到图书馆的正常运作,由此可见图 用软件上的漏洞使得黑客可以绕歼验证、 书馆网络安全防护问题的重要性。 权限分析等环节,或者软件的用户加密功 能较弱,用户名和密码被轻易破解,从而使 2影响网络安全性的主要问题及图书馆网 黑客得到授权用户身份而大肆盗取或篡改 络安全问题的实例 数据信息。 2.1影响信息安全性的问题 2.2影响网络本身安全的问题 要了解影响信息安全性的问题,就要 网络本身在网络系统中属于通道的性 228 科技创新导报Science and Technology Innovation Herald 质,是为信息提供运送服务的主体,信息在 网络系统中传输的速度和速率都受网络环 境直接影响。网络本身一旦出错,网络信息 服务将直接瘫痪,用户无法通过正常的网 络访问获取所需的信息,网络的功能会部 分或全而的停滞。 从网络传输的角度来说,图书馆的信 息系统属于半开放式的网络访问模式,访 问权限开放,管理权限仅对内部成员开放, 而网络传输方面的问题也主要集中在这两 个方面。首先是内部传输的局域网安全问 题,图书馆的局域网安全问题在某种程度 上等同干上文所提到的服务器硬件故障, 在图书馆的访问控制管理中,内部网络 独归属于虚拟网之内,这是为了防止外来 用户与服务器地址之间的冲突,另外虚拟 网的构建也是保证内部数据管理的基本内 容,一旦局域网出错,网络管理将出现重大 的安全隐患,例如访问控制机制无法正常 作用、数据调取信息无法正常记录等等,这 都有可能导致外部用户对服务器信息的损 害。其次是外部网络传输的问题,这些问题 也分为两个方面,一类是网络的被动错误, 例如网络本身故障,造成信息传递受阻或 信息损坏,另一类是网络受到主动攻击,例 如常见的容易造成网络受阻的DDOS攻击 等等方式。 3预防和应对图书馆网络安全问题的防护 策略 通过上文对图书馆常见网络问题的分 析发现,问题主要出现在信息和网络本身 的安全性上,再从网络受损的状况来看又 分为被动损害和主动损害两种情况。但是 总体来看,无沦是信息受损还是网络受损 的根本原因都不 以下四种:基础硬件故 障(包括信息存储硬件和网络传输硬件)、软 件故障(包括OS、应用软件、数据库等等)、 杀毒软件和防火墙的非正常工作、工作人 员的操作和管理不当,因此具体的解决方 案也需要从这几个方面着手。 Q:! Science and Tethnology Innovation Herald 图书馆论坛 3.1加强硬件维护 图书馆应当配备专业的计算机硬件和 网络维护人员,制定定期的检查计划,对计 3.3充分应用防火墙和杀毒软件 式网络来说,具有良好的过滤和验证手段, 规范制定,可以很好约束员工的操作,对 防火墙对图书馆网络系统这类半开放 于一些关键性的操作流程进行严格要 求,避免因个人操作问题引发服务器或 网络的故障。 算机硬件设备和网络设备进行维护,保证 通过合理的安全策略和服务代理功能对一 设备的正常运作。在图书馆内部的存储设 些有可能危害到服务器或内部网络安全的 备和网络设备上,要考虑备份设计和冗余 事件进行提前分类过滤,通过防火墙在现 参考文献 才智,2008,(5). 1]罗轸友.计算机网络安全技术探讨[J】. 设计。在数据存储上,备份设计的引入为存 有的网络通道当中建立一条更具安全性的 [储硬件的问题进行了提前防护。在具体的 信道,起到访问和控制权限的作用。杀 工作中,要制定数据更新后的备份计划,在 毒软件的应用在防火墙的配合下能够进行 [2]罗云丹.对图书馆网络安全问题及其应 数据硬盘出现问题时,第一时间使用备份 病毒的查漏工作,对系统进行二次扫描,适 急机制的思考【J】.科技信启、,2009,(24). 硬盘等应急。在网络冗余设计上,准备预留 时监控局域网中所传递文件的安全性,及 【3]胡慧敏.图书馆网络安全防护【J】.农业 线路,如果使用中的线路出现故障,可以第 时发现可疑文件并清理,通过两者的互相 图书情报学刊,20l1,(1). 一时间切换到备用线路,保证网络的通畅 配合,可以对网络的主动性和被动型攻击 [4】陈方.对数字图书馆网络安全问题的思 运行。 进行全面的防范。 考[J】.商业文化(学术版),2Ol0,(6). 3.2应用高强度的加密和访问控制手段 3.4加强工作人员的安全意识培训和流程 [5】康春鹏,李维加.基于云安全技术的图 软件问题主要出现在OS、应用软件的 强化 书馆网络防病毒策略[J】.情报探索, 设计漏洞和数据库的权限访问控制。软件 对工作人员的安全意识培训是降低 2O10,(7). 漏洞应当借助权威性的漏洞扫描技术来检 非可控网络系统损害事件的关键。在国 [6】李伯祥,任永红,王恩伟.电子图书馆网 测系统或者软件当中所存在的端口或 内出现的诸多企业或机构的网络安全事 络安全问题与对策【J1.中国数字医学, 者服务,发现之后及时关闭端El,避免黑客 件中,并非因软硬件的防护措施不够到 2009,(3). 对服务器进行非法访问。在服务器的访问 位,而是由于工作人员缺乏安全防范意 中要加强验证方案的强度,例如采用较高 识,对不明文件和信息不经考虑的直接 标准的加密算法对用户密码进行加密,并 查看,其中未.经保护的操作(例如双击、 且将El令的加密形式和方式存储在图书馆 保存、写入等等)会将一些隐藏在文件中 网络应用系统和管理系统之外。访问控制 的木马或者病毒带入系统当中,使得系 要通过建立有效的端对端QOS策略保证访 统本身的防护系统无法应对。因此,工作 问的安全性,这也能够在确保部分性能的 人员的安全意识是对图书馆网络安全保 同时,阻止危险文件的传人。 障的重要因素,通过科学的工作流程和 (上接223页) 达到。二是发现培训中每个环节存在的问 解工作态度或受训者培训后行为的改变比 业工作业绩标准所需的理想目标进行比 题。三是为建立培训奖惩措施提供依据。 较有效。(4)收益评价。培训收益评价法是从 较,使培训工作有的放矢,避免盲目性,以 培训评估的方法:(1)目标评估。培训结 经济角度综合评价培训项目的好坏,计算 达到培训的预期效果。 束后,将受训者的测试成绩和实际工作表 出培训为企业带来的经济收益。有的培训 2.6创立全新的培训模式 现与既定的培训目标(包括受训者应学到 项目能直接计算其经济收益,尤其是操作 培训应坚持以人为本,多管齐下、灌疏 的知识、技能、应改进的工作态度及行为, 性和技能性强的培训项目。 结合的方法,创立员工教育培训的全新模 应达到的工作绩效标准等)相比较,得出培 上述四种综合性培训评估方法,一般 式。建设技术培训基地;编制下发通俗易懂 训效果。(2)绩效评估。培训结束后几个月, 可以多种方法联合使用,视企业的不同情 的读物给一一线、二线员工;通过密集的理沦 对受训者进行绩效考核,与培训前进行对 况,选择合适的方法,得到真实、客观的评 研讨、高级讲座、集中学习、定时抽查和现 照。绩效考核一般包括目标考核和过程考 估结果。 场培训考核等形式,以提高职工的技术业 核。目标考核是绩效考核的核心,可分为定 务素质;从员工素质教育上,开辟技校、党 量目标和定性目标。选取目标时,应选取能 参考文献 校和职业教育培训平台,让员工学习有门 体现岗位职责的指标,目标达到了,基本上 [1】李铁球.基f:战略导向的企业员工培训 道;任技术教育上,利用现有培训基地和生 就履行了岗位职责。过程考核能反映员工 体系研究.时代教育.2006,4. 产现场结合起来,坚持学练结合,使员工练 的工作现状,包括出勤、服务态度、工作饱 【2]欧阳清,董国峰.范岚.员工培训.清华 有渠道;住后备员I_=队伍建设上,以大专院 满程度等指标。将目标考核 过程考核结 大学出版社.2004. 校为依托,专门培养矿‘山急需技术员工,使 合起来,就能反映一 个受训者绩效提高情 【31赵颖惠.试论培训评估.都经济贸易大 企业后备员工补充有通道。 况。(3)关键人物评价。关键人物评价是指与 学.2004.3. 2.7建立科学的培训评估体系 受训者在工作上接触较为密切的人,可以 培训评估起着一种特殊的信息反馈作 是他的上级、同事、下级或顾客等,从不同 用,它的意义在于:一是检测培训目标是否 角度来评估受训者的变化,这种方法对了 科技创新导报Science and Technology Innovation Herald 229
