云環(huán)境下的圖書館信息安全風(fēng)險(xiǎn)與防范

朱生輝

（涼州區(qū)圖書館，甘肅　武威　733000）

云環(huán)境下的圖書館信息安全風(fēng)險(xiǎn)與防范

朱生輝

（涼州區(qū)圖書館，甘肅武威733000）

云計(jì)算平臺在圖書館界的普及和應(yīng)用，使得在為圖書館帶來便捷的數(shù)據(jù)存儲與獲取、高速的運(yùn)算與應(yīng)用的同時(shí)，也加大了圖書館面臨的信息安全風(fēng)險(xiǎn)，特別是隨著大數(shù)據(jù)時(shí)代的來臨，使得引發(fā)圖書館信息安全事故的途徑、方式與內(nèi)容更加多源與多樣，圖書館必須做好應(yīng)對之策加以防范。本文認(rèn)為云環(huán)境下的圖書館信息安全風(fēng)險(xiǎn)主要有基于圖書館應(yīng)用的信息安全風(fēng)險(xiǎn)、基于云運(yùn)營商管理的信息安全風(fēng)險(xiǎn)與基于云平臺技術(shù)保障的信息安全風(fēng)險(xiǎn)三類，而對云環(huán)境下圖書館信息安全風(fēng)險(xiǎn)的防范需要從云計(jì)算產(chǎn)業(yè)、圖書館及政府層面的供應(yīng)鏈政策標(biāo)準(zhǔn)制定三個(gè)方面進(jìn)行有效治理。

圖書館；信息安全；云計(jì)算；風(fēng)險(xiǎn)防范；信息供應(yīng)鏈治理

隨著現(xiàn)代科學(xué)技術(shù)的發(fā)展和社會管理細(xì)節(jié)的疏忽，個(gè)人信息泄露事件頻發(fā)，對社會造成了極大的危害，近來發(fā)生的大學(xué)生上當(dāng)受騙以致自殺等事件也都不在無時(shí)無刻提醒我們面臨的信息環(huán)境之危險(xiǎn)，以致無論在現(xiàn)代信息科學(xué)、信息管理學(xué)視野中，還是在現(xiàn)代社會的公共管理中，信息安全都成為了衡量管理水平的一個(gè)重要考量指標(biāo)。圖書館是社會最主要的信息存儲機(jī)構(gòu)，豐富的讀者服務(wù)活動(dòng)使得其不僅承擔(dān)著大量的館藏?cái)?shù)據(jù)信息保存責(zé)任，也承擔(dān)著大量的讀者信息保存之責(zé)任，而大數(shù)據(jù)時(shí)代的帶來和圖書館數(shù)據(jù)信息的云存儲趨勢，則使得圖書館面臨的信息安全風(fēng)險(xiǎn)越來越高，如何辨識云環(huán)境下的圖書館信息安全風(fēng)險(xiǎn)和有效防范也成為了新時(shí)期圖書館人的研究話題之一?；谏鲜霰尘?，本文在分析當(dāng)前云計(jì)算環(huán)境下圖書館信息安全面臨的主要風(fēng)險(xiǎn)基礎(chǔ)上，從云計(jì)算產(chǎn)業(yè)、圖書館及政府層面的供應(yīng)鏈政策標(biāo)準(zhǔn)制定三個(gè)層面進(jìn)行治理提出了防范之策。

1　云環(huán)境下圖書館面臨的信息安全風(fēng)險(xiǎn)

盡管實(shí)現(xiàn)云端信息存儲及計(jì)算已成為了當(dāng)下企業(yè)信息機(jī)構(gòu)的重要信息存儲方式，但對圖書館來說，由于受體制、技術(shù)及人才等限制，圖書館的信息云存儲還主要是租用云平臺進(jìn)行一定的館藏?cái)?shù)據(jù)保存與用戶服務(wù)，對云平臺的管理與監(jiān)管也都主要由云平臺運(yùn)營商來完成。因此，盡管相較于以為用戶提供文獻(xiàn)借閱、知識組織的圖書館來說，云運(yùn)營商在技術(shù)、經(jīng)驗(yàn)上遠(yuǎn)遠(yuǎn)勝于普通的圖書館員，但也不可否認(rèn)的是，缺少圖書館人特有的信息素養(yǎng)和基于商業(yè)利益考慮的云平臺運(yùn)營商泄露信息的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)高于圖書館員。同時(shí)，云計(jì)算技術(shù)還存在的防火漏洞也都可能致使其保存的圖書館信息得到泄露。

總體來說，云環(huán)境下的圖書館信息安全風(fēng)險(xiǎn)主要有：

第一，基于圖書館應(yīng)用的信息安全風(fēng)險(xiǎn)。盡管圖書館的云平臺應(yīng)用主要以對信息的存儲及計(jì)算為主，云計(jì)算運(yùn)營商也給予了圖書館計(jì)算平臺與技術(shù)保障支撐，但圖書館信息的獲取、保存、應(yīng)用則主要由圖書館員來完成，這也就在圖書館應(yīng)用云計(jì)算平臺的過程之中使其存在著安全風(fēng)險(xiǎn)。如典型的管理賬號及密碼泄露、圖書館館藏?cái)?shù)據(jù)格式的轉(zhuǎn)換致使說明這些信息數(shù)據(jù)的元數(shù)據(jù)損壞、對云計(jì)算平臺應(yīng)用的管理與規(guī)范不到位、記錄了應(yīng)用云平臺的Cooki信息的復(fù)制與商業(yè)化買賣，等等。

第二，基于云運(yùn)營商管理的信息安全風(fēng)險(xiǎn)。正如前文所述，為圖書館提供了信息計(jì)算與儲存的運(yùn)營商，在既為圖書館提供便利的同時(shí)，也有可能因?yàn)閷?shí)現(xiàn)了對圖書館信息的壟斷而出現(xiàn)上述人為安全風(fēng)險(xiǎn)后也出現(xiàn)因格式的損壞、數(shù)據(jù)的災(zāi)備失敗而出現(xiàn)的災(zāi)難性信息風(fēng)險(xiǎn)。同時(shí)，在前期的基礎(chǔ)設(shè)施建設(shè)成功之后易于出現(xiàn)的價(jià)格肆意提升、行業(yè)壟斷等也成為圖書館信息安全的潛在威脅，甚至都影響到了圖書館事業(yè)和云計(jì)算產(chǎn)業(yè)的發(fā)展。第三，基于云平臺技術(shù)保障的安全風(fēng)險(xiǎn)。雖然云平臺的信息數(shù)據(jù)存儲技術(shù)已經(jīng)非常完善，但云計(jì)算平臺本身具有的優(yōu)先訪問、異地存取、數(shù)據(jù)清洗等也為所存數(shù)據(jù)信息的黑客攻擊留下了端口與可能。

2　云環(huán)境下圖書館信息安全風(fēng)險(xiǎn)的防范舉措

從云計(jì)算產(chǎn)業(yè)的發(fā)展與成功經(jīng)驗(yàn)來看，在云計(jì)算技術(shù)被廣泛運(yùn)用之前，美國與歐盟采用的不同形式的行業(yè)自律與規(guī)范制度以來維護(hù)個(gè)人信息安全。然而自進(jìn)入云計(jì)算時(shí)代后，歐美為應(yīng)對云技術(shù)運(yùn)用所致的信息安全風(fēng)險(xiǎn)，在注重通過制定法律這樣的正式制度來優(yōu)化治理效果，也注重通過維護(hù)利益相關(guān)者之間的權(quán)益來調(diào)和和平衡利益主體之間可能存在的利益沖突，進(jìn)而促使他們共同應(yīng)對信息安全風(fēng)險(xiǎn)。

從圖書館應(yīng)用云計(jì)算的實(shí)踐與事業(yè)發(fā)展角度來看，美國圖書館特別是美國國會圖書館應(yīng)用云計(jì)算平臺的經(jīng)驗(yàn)也為我國圖書館的云計(jì)算應(yīng)用提供了成功的借鑒經(jīng)驗(yàn)：首先，客觀對待影響和提升圖書館資源保存與計(jì)算能力的云計(jì)算，其在發(fā)揮安全可靠、低成本、快速高效、服務(wù)泛在化、以用戶為中心等特點(diǎn)的同時(shí)，也具有存在優(yōu)先訪問權(quán)、管理權(quán)限、數(shù)據(jù)處所、數(shù)據(jù)隔離、數(shù)據(jù)恢復(fù)、調(diào)查支持和長期發(fā)展等方面的風(fēng)險(xiǎn)。其次，客觀面對云計(jì)算可能存在的風(fēng)險(xiǎn)，即：一是根據(jù)自身需求，做好云計(jì)算戰(zhàn)略規(guī)劃，區(qū)分哪些資源存儲在“云”中，并做好安全控制工作；二是評估風(fēng)險(xiǎn)，比較資源存儲在“云”中和內(nèi)部系統(tǒng)中的風(fēng)險(xiǎn)，以及不同云服務(wù)提供方的優(yōu)缺點(diǎn)；三是選擇合適的云服務(wù)提供方，通過試驗(yàn)降低圖書館云計(jì)算實(shí)施的風(fēng)險(xiǎn)，并積累實(shí)施云計(jì)算的經(jīng)驗(yàn)。

再次，根據(jù)供應(yīng)鏈治理理論，在圖書館應(yīng)用云計(jì)算的供應(yīng)鏈上每一個(gè)運(yùn)行障礙所導(dǎo)致的圖書館信息安全風(fēng)險(xiǎn)得以被應(yīng)對治理的根本途徑，就在于供應(yīng)鏈得到有效管控與治理。因此，就需對這條供應(yīng)鏈上的信息行為主體 （包括圖書館用戶信息主體、圖書館員信息主體、提供云計(jì)算平臺服務(wù)的營運(yùn)商信息主體等）通過合理的制度安排和規(guī)范、標(biāo)準(zhǔn)來實(shí)現(xiàn)有效治理。具體來說，就是要：（1）為每一利益相關(guān)者設(shè)計(jì)和制定權(quán)利保護(hù)制度，從而滿足圖書館信息的真實(shí)與隱秘安全要求。如制定圖書館、圖書館用戶及云計(jì)算運(yùn)營商等信息主體的行為的主體規(guī)范與標(biāo)準(zhǔn)等。（2）構(gòu)建利益確認(rèn)制度，并引導(dǎo)利益相關(guān)者之間的利益平衡、分配及分享，從而滿足信息可用的安全要求。在圖書館的云計(jì)算應(yīng)用生態(tài)圈中，利益相關(guān)者主要有圖書館、圖書館用戶、云計(jì)算運(yùn)營商，因此就需對這三者的責(zé)任與義務(wù)、受益的分配與調(diào)整等進(jìn)行機(jī)制約束，進(jìn)而使得鏈接與三者之間的信息實(shí)現(xiàn)更快速的流通、增值與開發(fā)。

3　結(jié)束語

隨著云計(jì)算技術(shù)的推廣運(yùn)用，越來越多的圖書館也加入到了云計(jì)算這一技術(shù)應(yīng)用陣營之中，然而在云平臺為圖書館用戶和圖書館提供了對海量信息的收集、加工、存儲和處理便利環(huán)境下，也還需進(jìn)一步思考云環(huán)境下圖書館信息安全的風(fēng)險(xiǎn)與防范，以使在應(yīng)用云平臺提高了信息流通效率的同時(shí)也有充足的風(fēng)險(xiǎn)防備方案。而筆者以為，讓圖書館、圖書館用戶及云計(jì)算運(yùn)營商的利益一致和規(guī)范的數(shù)據(jù)異地備份、標(biāo)準(zhǔn)的操作規(guī)范等是實(shí)現(xiàn)信息安全的基礎(chǔ)與保障，需要圖書館界的努力，但也更需要政府及社會各界的重視與行動(dòng)。

［1］ 高兵，董素芹.“云”環(huán)境下的圖書館“微”服務(wù)研究［J］.圖書與情報(bào)，2014（1）：128-130.

［2］ 劉煒.圖書館需要一朵怎樣的“云”［J］.大學(xué)圖書館學(xué)報(bào)，2009（4）：2-6.

［3］ Gartner：seven potential security risks of cloud service［EB/ OL］.［2015-11-12］.http：//www.022net.com/2009/2-18/ 494123282312212.html.

［4］ 邱慶東.知識資源建設(shè)中的圖書館員需求能力分析［J］.圖書與情報(bào)，2016（3）：90-92.

［5］ 余凌.“互聯(lián)網(wǎng)＋”背景下的圖書館業(yè)務(wù)重組內(nèi)容與方向研究［J］.圖書與情報(bào)，2016（3）：79-82.

［6］ Migration to cloud：how do companies reduce the risks of cloud computing［EB/OL］.［2015-11-12］.http：//wenku.baidu. com/view/1e9138a5f524ccbff1218489.html.

［7］ 蔣潔，王思義，何亮亮.云端鑒識取證的障礙分析與應(yīng)對策略［J］.圖書與情報(bào)，2015（3）：72-76.

［8］ 李維安，李勇建，石丹.供應(yīng)鏈治理理論研究：概念、內(nèi)涵與規(guī)范性分析框架［J］.南開管理評論，2016（1）：4-15.

G258.89