数字图书馆网络信息安全分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇数字图书馆网络信息安全分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】目前,对数字图书馆网络信息安全问题的研究,大多注重技术性方面,对安全管理的保障措施如制度、人员的责任意识等关注较少,致使安全管理滞后于技术发展。搞好网络信息安全管理除技术建设外,还应该强化图书馆馆员、用户的安全教育,完善安全管理制度和制度的落实,提升网络信息安全主体的责任意识。
【关键词】数字图书馆 网络安全 信息安全 管理责任 措施
目前,我国国内数字图书馆网络信息安全(以下简称为网络信息安全)应用研究方面,大多都侧重于技术,认为信息安全是一个技术性的问题,其所有出现的问题都依赖于先进技术。但信息技术无论多么完善,它都无法回答如下问题:管理主体、制度在信息安全中的责任;技术、人、制度三者之间的关系;如何能够解决信息安全可持续发展问题;为什么在信息技术很发达的情况下,信息安全问题依然存在,事故依然频繁发生等等。可见,信息安全除了信息技术影响之外必有其他方面深层次的原因。仅侧重于技术的应用研究,还不能适应信息安全实践发展的需求,信息安全研究仍有继续深化的必要。
网络信息安全分析
网络信息安全包括信息的安全和网络系统的安全两层意思,信息的安全是指保护基础运行信息、服务器信息、用户信息、网络信息资源等信息或数据的机密性、完整性和可用性,同时还需要对信息风险和信息控制之间的最优平衡有非凡的理解。机密性要求保证信息不泄露给未经授权的人。完整性要求防止信息被未经授权的篡改和破坏。可用性是指保证访问信息的用户可以在不受干涉和阻碍的情况下对信息进行访问和使用。网络系统安全是指保护网络信息系统设备中的硬件、软件和网络系统的正常状态和安全运行。概括地讲,网络信息安全就是指采用技术、管理等多种措施,保护网络系统连续正常运行,保护各种资源不因自然或人为因素遭到破坏、更改、泄露或非法占用。
网络信息安全技术。先进的安全技术是实现信息安全的重要手段,许多网络信息系统安全性保障都要依靠技术手段来实现。像信息安全所用到的防火墙技术、入侵检测或流量分析技术、认证控制技术、VLAN技术、加密技术、VPN、病毒防护技术、容灾技术等多项安全技术,为确保图书馆网络信息的保密性、完整性和可用性提供了强有力的支持。
制度和制度执行力。制定严格有效的安全管理制度规范人的行为,使人遵守规则,这是技术涉及不到的层面。而信息的保密性、完整性和可用性只有通过技术手段才能得以实现,却又是制度所不能解决的。在信息安全实践中,技术与制度二者不能断然分开,是相辅相成的,技术是一种硬手段,制度是一种规范性的软手段。目前,国内数字图书馆在安全管理制度建设方面存在着诸多问题。一是制度不完善。我国数字图书馆安全管理制度还不健全,缺乏严格、细致、有效的安全管理规定与安全技术相配套。二是缺乏安全教育培训常态机制。图书馆馆员以及用户安全意识薄弱,网络安全知识缺乏,知识产权保护意识不强。三是信息安全监督审查机制不健全。监督审查机制不健全,将导致安全管理制度流于形式,图书馆无法及时找出安全管理漏洞和不足,无法对安全管理漏洞及早采取补救措施。四是制度执行不力。从目前图书馆规章制度的建设来看,不缺少严谨细密的典章制度,缺少的是对规章条款的不折不扣地执行。一些图书馆存在有章不循、有规不依,奖惩不严、问责流于形式,安全督查不到位等种种问题。制定的制度是为了执行,因为只有执行才能把制度确定的各项要求落到实处,得不到执行的制度是毫无用处的,制度也就名存实亡。
网络信息安全管理。网络信息安全的主体是人,客体是网络信息安全防御体系,网络信息安全实际上就是主客体互动的过程。技术研究的对象是物,而物是没有目的、没有意义可言的,它不涉及人及其行为。技术只是一种手段,网络信息安全必然涉及到人及其行为和制度问题。安全管理贯穿于整个信息安全防御体系,包括建立安全管理组织、制定安全目标、制定安全防护策略、建立安全管理制度、制定安全规划与应急方案、对员工进行安全意识教育培训等内容。安全技术只有在有效的管理控制之下,才能得以较好地实施。可见,严格的安全管理是网络信息安全的根本保证。随着数字图书馆建设的深入,网络信息安全问题日趋凸显。目前,国内过多地强调技术的作用,将建设的重点放在技术上,致使安全管理工作跟不上技术发展的步伐。有人对2009年我国30家数字图书馆信息安全管理现状进行调研,发现在已发生的安全事件中,三分之一的安全事件是由安全管理机制不够完善引起的,而事件发生原因中管理因素高达70%以上。可见,安全管理上的缺失已成为数字图书馆整个网络信息系统不安全因素中的主要因素之一,对数字图书馆产生的危害远大于其他方面。这里主要讨论对人的管理问题,人的认识和观念问题。著名的前黑客凯文・米蒂尼说过,尽管很多公司采取了安全防护措施,但这些安全措施在网络犯罪面前仍然显得不堪一击,原因是他们忽略了网络安全最为薄弱的环节――人的因素。数字图书馆拥有功能非常强大的网络信息系统和最先进的安全技术设施,但却有可能缘于人而产生失误,致使安全管理存在诸多隐患和不足,从而导致数字图书馆网络信息系统面临一系列信息安全问题。如引入木马、病毒或其他危害程序;网络信息系统运行不正常甚至瘫痪,信息外泄,无法应对新出现的信息安全突发事件等,这与相关人员特别是一些负责人员对安全管理的不重视、认识不足以及责任感缺失有关。
图书馆管理者的安全管理理念的滞后,对安全管理的重要性缺乏深层的认识,导致决策上的失误或管理不足,将给数字图书馆的网络信息安全带来不可估量的损失。如有的管理者的管理理念,还停留在传统图书馆封闭式内部局域网安全管理模式上,并没有认识到数字图书馆更为开放的环境将面临更趋严峻的网络安全问题,致使在网络信息安全事件防御方面处于被动状态,有的管理者虽然认识到网络信息安全问题的严峻性,但却认为只要加大对安全产品的投入,购买并安装了最先进的安全技术产品,就可以高枕无忧了,或误认为到了信息技术特别发达的时候,网络信息安全维护管理是管理员的事情,与其他馆员无关。或误认为安全维护与管理都是服务提供商的事,图书馆只管应用就行了。不重视安全责任意识教育与技能培训,导致一些安全管理技术人员思想麻痹大意,安全责任意识不强,不知道网络信息安全的薄弱环节,不了解保护网络信息安全的责任以及在对付入侵行为方面的责任。
没有安全责任和责任分配机制,对信息安全责任人的责任内容、范围、责任分配不清楚。图书馆管理者制定的员工岗位责任书,责任划分不明、工作内容描述不清,导致馆员不清楚应在什么范围和限度内对自己的职业行为负有责任,应该承担何种责任和义务。致使出现安全管理问题时,不是相互推诿,就是听之任之。不重视对高素养、高技能安全管理技术人才的引进与培养,一些图书馆的馆内安全管理工作多为业务培训,但缺乏全面的安全管理知识和技能,对不断发展的新技术缺少深入和细致的了解和掌握,应付网络安全突发事件的预警能力不够强。由于安全知识与技能的欠缺,导致他们无法应对新出现的网络安全突发事件。应该清楚地看到,人是具有理性和非理性的,要使人的理于信息安全,必须要借助于制度规范,使人沿着信息安全正确的规定自觉行动。
应该指出,制度只是一种方法,是有边界的,并不是万能的。无论多么完善的制度,如果不被执行也形同一张废纸。同时,制度具有刚性,它不能时刻随着网络信息安全的变化而变化,落后的制度有可能阻碍网络信息安全的建设。综上所述,制度、技术和管理人员的责任意识都有自己的边界,如若单一运行制度、技术,即便是极为负责任的管理人员,也不可能完善地解决信息安全问题。因此,技术、制度、管理主体(人)的责任应三管齐下,才能真正预防和因减少技术、管理等因素所导致的网络信息安全问题,最大程度地保护网络,使其安全运行,并最大限度地挽回网络信息系统损失。
网络信息安全保障措施
网络信息安全需要技术(支撑)和管理(落实)的双重保证。从安全防范技术层面上讲,国内的数字图书馆都有较为成熟的防御体系,但在安全管理方面,数字图书馆还须做诸多努力。
加强网络信息安全教育与培训,树立安全责任意识。图书馆管理者应改变重技术轻管理的观念,树立全新的安全管理理念,针对图书馆馆员以及读者安全意识薄弱、安全措施不落实等现状,组织开展多层次、多方位的网络信息安全宣传工作。要加大对安全防范措施检查的力度,开展岗前培训、现场网络安全教育与技能培训,提倡自主学习,派送技术骨干再深造等。定期或不定期举办网络信息安全教育与技能培训讲座,将促使馆员熟知图书馆相关的安全管理规章制度,掌握相关设备的正确操作规程,以及确保系统和数据安全的操作方法。定期或不定期地组织馆内工作人员学习相关的法律法规和政策,使他们具有较强的安全防范意识,以及执行制度的意识和能力。图书馆要经常派遣馆内重点培养的年轻技术管理骨干参加国内外信息安全方面的技术培训,鼓励他们自主学习,及早掌握安全技术与管理新理论、新技术、新方法,掌握新的网络及安全产品的功能,了解网络病毒、密码攻击、分组窃听、IP欺骗、拒绝服务、端口攻击等多样化攻击手段。安全管理员要定期对网络信息安全状况进行风险评估,及时修正安全缺陷、评估缺失,及早采取补救措施。安全维护仅仅依靠馆内为数不多的安全管理技术人员是远远不够的,它还需要依靠全体馆员、用户(读者)的同心协力。通过安全意识教育,使全体馆员及用户明确自身权限和义务,严格、自觉地遵守图书馆上网规定,不越权、不随意下载和安装盗版或共享软件,同时保管好自己的密码,经常加固系统,提高系统的安全性。
强化制度建设,提高制度执行力。制度的贯彻落实,不但要求制度本身的科学合理,还要求对制度的不折不扣地执行。提高制度的执行力,首先要不断创新与完善安全管理工作制度。制度本身是否科学合理,对制度执行力大小有着根本性的影响。因此,对具有严肃性和不可违反性的包含有操作程序、技术要求、安全条例等项内容的规章制度,数字图书馆要不断根据网络信息安全发展中出现的新问题、新情况,对不合时宜的制度及时进行修正和补充。制度完善不能盲目跟风,各个图书馆必须结合自身特点,不断总结制度建设中的经验教训,改革创新完善制度建设的内容,力求实现制度的可持续发展。另外,建立监督审计机制,强化责任监督,确保网络信息安全管理效能。数字图书馆安全防护体系要做到“事前防范、事中控制、事后审计”,在制度上就必须做出预先的安排,以检测危机事件,并做出预警准备,以事前预防和控制替代事后的责任威慑。设立专门的主管部门,通过网络信息安全主管部门这一监督主体,加大对安全管理制度的监督审计,通过及时修正完善各项安全管理规章制度,加强对安全工作的督查检查,以提高相关工作人员遵章守纪的安全意识。其次,要提高制度主体(人)的执行力。任何制度要达到有效的管理效能,就必须通过制度主体相关人员的具体行为实现。而相关人员的责任心、态度、素质及能力水平,直接影响着制度执行行为和方式的选择,直接关系着制度执行力的高低。主体要提高执行力,就必须强化制度认知。网络信息安全管理体系的建设,离不开不断创新和完善的规章制度和制度的落实。对制度有准确认知,制度才有可能落在实处。为此,数字图书馆要特别组织相关负责人员及馆员认真学习相关的政策、法律法规和安全管理规章制度,使他们对制度的实现目标、内容、作用、边界等准确认知。特别是对各自的责任和义务等的准确认知,如明确岗位职责,使每一位管理人员按照自己的岗位和职权管理使用系统;明确责任,使安全管理技术人员懂得他们是技术责任第一人,懂得自己责任边界及范围。使图书馆管理者明确他们是安全管理责任第一人,是安全制度的制定者又是安全制度的督察者。主体对制度内容、边界等准确认知,才能对照制度找差距,发现薄弱环节和问题,及时纠正,才能将责任认识内化为行为准则,最终上升为自觉行为。主体要提高执行力,需增强对制度认同。通过自主学习、教育培训、有针对性的实践活动不断提高制度主体的素质,提高执行制度能力水平,从而增强全体馆员特别是安全管理技术人员对管理制度中包含操作规程、技术要求、安全条例等项内容的硬性管理规章制度的认同。如系统安全责任与监管制度;重要软件系统和关键硬件设备的操作制度;系统管理人员、操作人员责任制度;用户权限分配和管理制度;系统灾难应急预案;事故责任认定和责任追究制度等制度的认同。主体要提高执行力,还需坚持说服教育与强制执行相结合,综合利用多种执行手段,有效推动制度执行。
强化制度执行意识,实现人与制度的良性互动,把学习、执行、维护制度内化为一种素质,这样,图书馆才能真正创设个个严守制度的良好氛围。
信息安全主体的责任。网络信息安全所关涉到的技术和管理都有自己的责任边界和范围。技术确保信息安全实现,管理确保信息安全落实。如管理制度中的具有明确责任规定和追究措施的问责制,就进一步明确了问责的范围和对象,以及岗位责任的边界和范围。比如规定辅助维护人员只能对设备和服务器进行一定范围内的更改,而关键及核心的改动则必须由主要维护人员来完成。规定系统管理员必须按技术规程操作,定期检查系统与设备运行状况,并随时根据系统运行状况调整安全策略。另外,技术与管理的疏漏很大程度上只有在出现安全问题时才能显现出来,这就要求数字图书馆信息安全主管部门必须从技术和管理上做出预先的安排,以检测危机事件,做出预警准备。图书馆主管安全的各级领导必须承担起管理责任,定期督查制度的执行,修正不合理的制度。安全管理技术人员必须承担起安全技术保障的技术责任,把好安全管理技术关。(作者分别为:西北农林科技大学图书馆馆员;副研究馆员)