摘要:在2009年12月的《高校数字图书馆论坛。这些论坛大多是在修改购得的商业软件后投入使用的,其源代码在互联网上多有流传,软件开发商编程的疏漏及软件存在的技术缺陷,都可能导致读者信息的泄露。
在这种情况下,读者注册后,其相关信息可能在论坛上出现;论坛调用数据库中读者信息的同时,数据泄漏的风险大大增加;数据库连接的透明性也使数据库服务器容易遭受网络黑客的攻击。
为确保数据完整及安全,对数字图书馆系统网站数据要做到每星期进行一次完整性检查;图书借还信息及电子资源有偿下载信息库自动增量备份要做到30分钟。如我们可以通过使用软件(如使用symantec backup exec 12.5服务器版)来完成。此外,数据库服务器要有足够的冗余,保证在每一工作时间都有服务器正常运行。

2 工作人员操作的安全
操作的安全是指数字图书馆工作人员其对信息处理中,其操作是正常的,对事件处理是在其授权内的正常工作。这就是说工作人员的操作是经过授权、认证的,其行为和结果经过他人(系统)审核,在他人(系统)监控下操作。对于误操作,审核人员可以对此进行恢复。防止操作人员怀有一定的目的进行数据的非授权修改。
工作人员要做好日志的保护和分析工作。网络日志是网络用户对网络的访问记录,也是分析网络安全的重要依据。许多入侵(内外网)都会在系统上留下痕迹,所以日志的保护是相当重要的。数据库运行日志,是数据库各种操作的记录,保存着各种事务运行请求及运行结果。这些日志,对我们监控网络及服务器运行至关重要。locaLHOsT有些日志如数据库日志可以通过日志回滚来进行对误操作数据进行恢复,我校2009年就有工作人员误操作造成数据严重丢失现象,就是通过数据库日志回滚来恢复数据的。目前,比较流行的是远程存储单向流。将路由器、防火墙及重要的服务器(包括数据库服务器)的日志备份到其他网络中的计算机,此计算机只能接收指定的网络设备传来的请求,对网络中其他计算机的请求予以舍弃,只接受本地用户本地操作,这样可以保护日志的安全。

3 建立、健全相关的法律及各项规章制度
目前,高校开放数字图书馆系统,大大提高了图书馆信息资源的利用率。但是,许多的高校图书馆没有相应的规章制度,造成极大的安全隐患。有的高校图书馆缺乏对网络管理员的监控、管理,造成其在数字图书馆中的为所欲为。没有相应的规章制度,当造成网络安全事件发生时,没有人具体负责,造成损失时,没有相应的追责制度。湖北某高校曾出现管理员任意修改系统数据截留有偿下载信息的资金情况发生。我校也有因为没有相关制度,造成责权不明,网络管理虚位,当网络安全事件发生时人员相互推诿,造成不能及时响应,致使数据丢失的严重后果。因此,高校数字图书馆要有适合自己的一套规章制度来监督、约束工作人员,使责权到个人,使违规人员受到相应的惩罚,使工作积极人员得到相应的表彰。

4 使用基于行为网络安全控制技术,加强内部人员管理
当前,计算机网络安全已经不单单局限于计算机病毒和黑客攻击,更多的人为因素已经上升到首位。上网行为的监控(包括网络访问限制、邮件监控、网络地址认证监控、网络借入认证等)已经摆在广大网络管理员面前,使用适当的行为控制设备(软硬件)来控制网络行为,更好地维护网络及信息安全。
数字图书馆系统中有相当大部分的成功攻击是来自于图书馆内部人员。他们比较了解系统的构建,熟悉系统的操作,其攻击大部分都具有相当的目的性。有些是想夸耀自己的计算机技术,有些是对工作、社会的不满,还有些是想修改信息获利。有些是离职人员对系统进行破坏。这些人的行为严重地影响了数字图书馆的运行。使用基于行为控制技术的网络安全设备,就可以控制内部人员的上网行为。使其在其职责授权内使用网络资源,其行为受监控,并有详细的日志供日后审核。极大限度地制约此类安全事件的发生。
高校有关部门加强对工作人员的管理,使其意识到破坏系统要受到法律的严惩。此外,还要对从业人员进行必要的教育,提高网络管理人员的思想道德水平。维护高校网络安全不是单纯的技术问题,它与网络管理人员和网络使用者的思想道德水平关系甚大。若网络管理人员的思想道德水平较低,任何技术措施都将失去作用;网络使用者的思想道德水平则与技术防范的必要性及技术要求成反比。因此,必须高度重视对网络管理人员和网络使用者的思想道德教育。要有严格的工作人员审核制度,并结合规章制度来约束内部人员。最大限度的保护系统的稳定和网络的安全。
从本文提出的四方面安全注意事项与2009年12月的笔者在《高校数字图书馆网络安全建设探讨》所提出的三方面一起,形成一个相对来说比较完整的“数字图书馆系统”安全防范系统。高校在构建字图书馆时如若考虑到这七个方面来,所建设的数字图书馆就会安全的多。

参考文献
[1]杨展,张四大.高校数字图书馆数据及网络安全[c]//中国计算机信息防护文集.呼和浩特:远方出版社.2008.
[2]张四大.高校数字图书馆数据维护方法[j].金融教学与研究,2007(1).
[3]张四大.高校数字图书馆数据及网络安全[c]//行业网络安全优秀论文与方案集.北京:网管员世界杂志社,2007.