【摘要】图书馆实现"图书馆+"创新服务模式的转型是时代赋予图书馆的使命。必须有足够强的安全保护措施,确保信息的安全、完整和可用性。本文阐述并分析"图书馆+"实践过程中存在的各类安全隐患问题,以及对于信息安全问题提出的防范管理模式和具体措施。 【关键词】"图书馆+";信息安全;安全管理 身处当前这样一个各行各业高速发展的时代,各个行业之间都在寻求突破性的发展,引用合作共赢理论的战略性转型,逐渐淡化行业间的界限,加强彼此之间的联系并互相学习对方的优势,在恪守行业的基本准则的基础上形成多维度的业务拓展。作为地区文化资源、信息交流中心的图书馆,其时代使命就是要引领信息化、数字化的潮流,改变自身传统的格局,创新服务模式。"图书馆+"利用新的环境、新的组织和新的技术并借助网络媒介的时效性缩短提供服务的时间,增加信息量,加强和社会的沟通协作,使图书馆产生更广更深的社会影响力。建设信息安全工程亦成为图书馆创新服务理论中将传统模式转变为"图书馆+"模式良性过渡的重要保障。 一、"图书馆+"的内涵 图书馆是搜集、整理、收藏图书资料以供人阅览、参考的机构。"图书馆+"便是基于图书馆的基本定义根据当前教育、科技和经济的发展趋势需要,对图书馆在传统业务的组织、环境和服务形式等方面的业务进行拓展。这样的服务拓展可以打破传统服务价值的局限,是一种由多种价值融合而成的价值体系。"共享"便是服务的升华,图书馆的"共享"一方面是指借阅空间的共享;另一方面是指数字资源和活动资源的共享。图书馆需要兼顾并用好相关关系,核心价值,跳帧思维,关注新的重点服务创新领域,不断创新与深化图书馆服务的内容。 二、"图书馆+"环境下图书馆服务模式的新常态 在全新的信息影响环境下,图书馆必须尽快摆脱用户咨询等服务的角色定位,逐渐转为向用户提供信息、知识创造等服务。 (一)服务平台多样化。实现图书馆和其他组织的协同合作是图书馆创新服务模式的基本前提。人才、资金、管理是图书馆服务核心的因素,所以加强和社会组织间的合作成为创新服务模式的第一步。图书馆需要改变原有总分馆纵向结构的单一分布,联合社会其他领域机构横向发展,开设"图书馆+组织"新型分馆。1.机关、企事业单位、学校、福利院、养老院等场所建立流通服务点类型的分馆。2.建立高校图书馆、公共图书馆、科研图书馆单位联合加盟的文献信息资源图书馆等共享的图书馆联盟,实现文献信息资源共建共享。3.创新"图书馆+24小时"的服务,由个别单位提供空间、人员,图书馆提供设备、技术等,突破图书馆现有开放时间限制,方便读者用户随时借阅和归还书籍。空间拓展的服务有助于促进用户之间的信息交换,满足个性化服务需求,促进知识的利用与再创造,进而提升读者用户的信息素养。 (二)服务方式个性化。基于"图书馆+"创新服务模式的个性定制化服务是根据用户需求,利用信息技术,对外部知识搜集、整理,对内部隐藏的知识进行深入的挖掘和捕捉,这样不仅能尽最大程度满足不同的读者需求,同时也能促进馆员素质和绩效的提升,更能发挥图书馆在满足和保障公民基本文化生活诉求与权利中的积极作用。中国图书馆学家杜定友明确提出图书馆有积极保存、科学处理和活用益人等功能。深化图书馆人文服务的核心价值,一方面是"以人为本",图书馆"以人为本"的服务应该建立在服务对象认知和行为模式的基础上;另一方面是重视并传承文化,人文更多的是一个动态的概念,是指人类社会的各种文化现象。根据读者不同的需求将人文生活中的善、爱、美通过不同的创作媒介贯穿于阅读的各个环节中,实现读者的自我实现和自我感知。每个读者有其书,根据图书馆辐射范围内的读者群的阅读需求变化改变,包括纸质图书和数字资源采购在内的资源配置,让每个读者都能找到自己需要的专业以及非专业的书籍。"图书馆+"环境下的分馆都具有自己的特色。社区图书室的书目在内容上适合社区群众的阅读愿望;机关分馆的书籍满足工作人员对学习专业知识的迫切需要;与书店协同合作的分馆在体验的形式上使读者感受到高质的美感,内部的装饰风格、色彩搭配、空间排架布局、主题配置相互融合让读者在感受到书香之美、阅读之美的同时引导人们挖掘生活中的审美价值,增加人的幸福感。 三、"图书馆+"创新服务环境下的信息安全问题 网络通信技术的开发使得沟通交流即时化。借助社交网络平台的即时沟通工具,图书馆和用户形成彼此依存的紧密交流关系,用户可以随时随地了解图书馆的动态信息并参与交流互动;图书馆也可以和用户及时交流,充分了解用户的信息需求,为用户提供有针对性的专业化信息服務,帮助用户有效及时地解决各种问题。同时,用户可以通过网络平台更好更多地了解图书馆文献信息资源和服务动态;图书馆读者可以通过这些平台对动态信息进行评论、转发和分享,为用户互动交流提供便利。在此环境下,信息安全平台的建设对"图书馆+"的可持续发展将起到积极作用。网络环境下,人们需要保护信息,使其在存储、处理或传输过程中不被非法访问或删改,以确保自己的利益不受损害。因此,网络安全必须有足够强的安全保护措施,确保网络信息的完整和可用。 (一)"图书馆+"跨域结合的信息安全问题。"信息安全"可以从不同的角度来理解,因此出现了"网络安全""信息内容安全"之类的区分,也出现了"机密性""真实性""完整性""可用性"等描述方式。信息安全是指保持信息的保密性、完整性和可用性。信息安全取决于两大要素:技术和管理。"图书馆+"的创新服务环境下引入和建设的主体单位数量不等,所提供的服务种类也不同。对于机关、学校企业共建的图书室,和社区、行政村合作开放的社区阅览室、农家书屋,还有跟街道协同合作的"24小时"自助服务都是在依附于图书馆之外的单位所提供的资源基础上建设的,这样组织的方式导致组织成员的数字化水平不一,管理方式不一。因此,"图书馆+"的信息安全涉及计算机网络、操作系统、数据库、应用系统、各类硬件设施,以及人员等不同层面。图书馆在提供的数据资源远程访问服务和自动化服务系统都涉及到信息的保密和安全使用。 (二)新环境下主题安全意识不足问题。"图书馆+"首先是主体之间的协同合作,然而各个主体并没有相当的信息安全意识。首先是工作人员。其中包括图书馆的管理者、信息工作人员以及其他合作机构的具体工作负责人员。其次是广大的读者用户。绝大多数人认为只要保护好自己的用户名和密码就足够了,而且很多的初始密码未经更改,这就为人为破坏提供了便利。如果这样的观念不能转变,不能正确对待读者信息和数据库的安全,那么任何具体的改进工作都不能得到真正的支持。 (三)技术飞速发展阶段的自身缺陷问题。技术本身的缺陷主要体现在设备的落后和专业人才的匮乏。在通信技术飞速发展的互联网时代加快了软硬件的更新速度,这大大缩减了设备正常服务的时限,尤其是一些核心设备,例如服务器、防火墙、交换机等不能承受数据时代带来的更大负荷,不能在新的网络环境下负起安全卫士的职责。在"图书馆+"的服务模式下服务端口的大量增加促使这样的漏洞带来的风险成倍增加。互联、互通、共享是"图书馆+"服务的目标,其中还运用到各种网络协议、虚拟局域网技术,这些技术带来便利的同时,风险系数也相应提高。 (四)信息安全管理体系不完善问题。在人员和资源配置上没有建立科学、系统、高效的信息安全管理体系。1.技术的监管没有统一的标准。对各个端口的授权程度不一,这就造成了管理上的不便,这种权限包括读、写、执行等从属权,而授权通常是通过访问控制来实现的。在管理中心防火墙方面,应该及时统一保存和修改其用户和密码,删除或者屏蔽不需要的功能,避免安全产品本身留有安全漏洞。2.没有统一病毒防治程序和入侵检测系统。3.未能根据实践中的信息安全方针和各部门的实际情况制定不同的管理体系,主管部门之间统筹协调和协同建设不够,因为在政策上和法律上没有相应的规范。 四、"图书馆+"信息安全平台的建设 首先,在技术方面需要完善安全的技术。安全技术是信息安全工程的重要组成部分, 许多信息系统的安全性保障都要依靠技术的手段来实现。没有技术的保障,信息安全的概念不能付诸实践行动,只有在信息安全的环境下才能完整"图书馆+"服务模式创新的价值。其次,在管理方面需要健全有关信息安全的各项管理制度,人人遵守相应的职业道德。从图书馆管理的角度看,信息安全防范是以能够认识或意识到信息处于不安全的现状为前提,然后考虑深究如何发现潜在的危险,分门别类制定相应的防范策略,制定严格的信息安全规范,由各方面具体的工作人员来逐步落实,做到信息安全管理日常化。 (一)强化技术手段应对安全风险。1.防范型技术应对。定期做好数据的备份工作,对数据的保存采用新的存储设备和磁盘阵列(Redundant Arrays of Independent Disks,RAID)技术,数据备份能实时对局域网的数据及系统进行集中统一备份,备份策略采用完全备份与增量备份相结合的方式。对于软件(主要指图书馆操作系统以及网页平台)应做好更新和维护的工作。对每一台连接到图书馆中心服务器的客户机部署防病毒和防入侵软件。利用抗病毒技术可以及时发现内外网的入侵和破坏,阻止网络病毒的广泛传播,并通过杀毒和隔离的手段进行相应控制,让图书馆数据网络系统免受其危害。2.应用型技术部署。针对"图书馆+"环境下的特殊部门(如机关、企业、学校等)要建设涉密系统。采用身份认证系统,建立相应的身份认证的平台,加强用户身份认证,防止对网络资源的非授权访问以及越权操作,加强口令的管理。对各个组织、行业的使用权限作系统科学的规划和分配,例如对需要进行图书编目加工的用户打开采编模块的权限,对有读者信息注册修改需求的用户开放读者管理的权限。授权的原则需要因时制宜、因需而定,不能萧规曹随,灵活采取必要的手段和紧急应对措施。为确保信息在各服务点和图书馆之间交换过程中信息的完整性、保密性、真实性,采用先进的对称密码算法、公钥密码算法、数字签名技术、数字摘要技术和密钥分发等加解密技术。例如在RFID系统中,利用密钥无线生成的方法(Wireless Key Generation,WiKey)可以实现在RFID标签上生成密钥。WiKey的基本思想是利用RFID系统中读写器向标签传输信息的信道(前向信道)与标签向读写器分别生成密钥碎片,然后标签再混合这两部分的密钥碎片从而生成共享密钥。从而使标签和读写器之间利用共享密钥进行认证和识别的操作更加安全可靠,防止隐私信息被获取甚至被修改。让不同年龄段的读者在不同的地方都可以安全地完成借还书和信息检索的操作。 (二)制定完善的信息安全管理制度。信息安全不单是技术过程,更是管理过程。信息安全管理是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动,是通过维护信息的机密性和完整性来管理保护组织所有资产的一项体制。其目的是尽量做到在有限的成本下保证信息的安全,其内容包括制定信息安全政策、制定规范与方式选择的操作流程和对人员进行安全意识培训等一系列工作。多口径多标准的"图书馆+"平台更需要统一标准和系统化的管理方式。建立高效可行的管理体系,涉及人员的分配安排、资源的管理还有人员的组织培训。对系统漏洞引起的管理不善并发导致的损失由组织承担相应的责任,并对问题做系统分析评估报告。建立预警防控体系。预警防控体系中网络安全管理人员必须对整个局内网体系的安全防御策略及时地进行检测、修复和升级,严格履行国家标准的信息安全管理与监控机制,能实行虚拟局域网内统一安全配置,调控多层面分布式的安全问题,提高整个网络的的安全预警能力,加强对应急事件的处理能力,实现"图书馆+"创新服务模式下信息安全化的可控性。加强对从业人员的职业道德教育显得也极其重要。如果他们有着很高的职业道德,他们就可以在文化服务的领域作出积极的贡献。所以,图书馆应该为每个客户端口的工作人员组织定期的业务培训工作。培训的内容包括:1.工作技能的培训;2.信息安全意识的提高;3.如何向用户宣传并培养信息安全意识。 (三)完善信息安全沟通渠道和服务反馈体系。与用户加强沟通,有利于促进图书馆文献信息服务学术化、专业化的演变,有利于多角度、多方位地为用户提供时效性强、有针对性的信息安全措施。"图书馆+"的信息安全反馈体系有利于提升整个图书馆的服务水平,对于阅读推广的可持续发展具有指导性的意义。反馈体系包括内部和外部的评价:一是基于读者在使用过程中的一些评价指标,比如实际操作中的可靠性,对读者本身的使用是否方便,是否有创意。二是从内部角度,根据安全事故发生的缘由联系经费预算、人力综合评价信息安全平台是否达到了预期设想的效果。将两种评价的标准对接融合,构成简单的反馈指标体系。 五、小结 印度图书馆学家阮冈纳赞说过:"我们无法完全预料图书馆这个生长着的有机体的发展还将经历哪些阶段。"改善改进原有的服务模式利用好当前社会的各种有利因素,克服地域障碍,提高数字资源的传播能力使我们的阅读服务工作高效进行,提升"图书馆+"信息安全的防护级别更是为"图书馆+"保驾护航。不断改进和发展网络安全保密技术,加强网络与信息安全管理,增强安全意识,才能防患于未然,实现"图书馆+"创新服务的目标。 【参考文獻】 [1]徐耀新.推广"图书馆+"模式[J].新世界图书馆,2016(10): 6-7. [2]龚俭.计算机网络安全导论[M].南京:东南大学出版社,2004. [3]郑德俊,任妮,熊健,黄水清.我国数字图书馆信息安全管理现状[J].数字图书馆,2010(7):27-32. [4]黄琪,凌捷,何晓桃.一种改进的基于标签部分ID的RFID密钥无线生成算法[J].计算机科学,2017(1): 172-174.