高校图书馆面临的数据安全问题及防护策略研究

-精选财经经济类资料- -最新财经经济资料-感谢阅读- 1 高校图书馆面临的数据安全问题及 防护策略研究 摘要目的/意义研究有效的数 据安全防护策略，以应对高校图书馆面 临的数据安全威胁，为高校图书馆提升 服务质量和效率提供可靠的技术保障。 方法/手段运用云存储、分级加密、大 数据分析、WAF、Pd3AC 等技术和生 命周期理论，结合高校图书馆面临的数 据安全问题，从存储安全、网络安全、 隐私泄露三方面进行分析、研究。结 论/结果 从数据云安全存储、提高网络 安全防护技术、基于数据生命周期的隐 私保护三方面提出多维、有效的高校图 书馆数据安全防护策略。 中国论文网 /4/view-12980384.htm -精选财经经济类资料- -最新财经经济资料-感谢阅读- 2 关键词 高校图书馆；数据安全； 云存储；网络安全；隐私保护 互联网、云计算、大数据等技术 在图书馆广泛应用，图书馆数字资源建 设加快，数据资源总量每年显著递增， 数据资源种类增多，现已包括数字、文 本、图像、音频、视频、多媒体等各种 结构化或半结构化的数据类型，同时通 过图书馆微信、微博、社交网络等新媒 体方式，读者原创数据爆炸性增长，产 生了大量的网络日志、用户行为信息等 非结构化、隐私数据。如何做好这些海 量数据的安全防护，已成为保证图书馆 正常运转、提升信息服务质量的重要技 术保障工作。然而近年来，新技术快速 发展下的数据安全问题变得越发严峻。 Verizon 发布的2015 数据泄露调查报 告显示，2015 年确认了 2122 起数据 泄露事件，涉及 61 个国家组织；2016 年，ISIS 黑客组织泄露美国阿肯色州图 书馆协会（ALA）800 多名员工的个人 信息，所幸信用卡信息未被泄露；2017 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 3 年中国教育部的信息漏洞平台内部通报 某些高校存在弱口令漏洞，经排查漏洞 存在于高校图书馆的 OPAC 系统。因此， 以数据存储、挖掘、分析、应用为己任 的高校图书馆，分析和研究自身面临的 数据安全问题，采取可行的应对策略以 保障图书馆的数据安全，是高校图书馆 工作者亟需去思考和研究的问题。 1 高校图书馆面临的数据安全问 题 高校图书馆数字化建设至今，数 据资源已成为图书馆最重要的资源之一， 高校图书馆的资源建设和服务决策更多 地依赖于数据分析，数据本身的可靠性 和安全性尤为重要。在此，结合高校图 书馆面临的数据安全威胁，从存储安全、 网络安全、隐私泄露三个方面，就高校 图书馆面临的数据安全问题进行分析研 究。 1.1 存储安全问题 高校图书馆历经多年信息化、数 字化建设，积累了大量的数字资源，数 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 4 据环境具有海量存储、管控难度大、开 放复杂、级数递增等特点。以中国矿业 大学图书馆（后简称我馆）为例，数据 总量从 2012 年的 26.3TB 增至 2016 年 底的 147.6TB，并且还有逐年递增加剧 的趋势，如此海量的数据对图书馆的存 储设备是个巨大的考验，急剧增长的数 据量也将超出传统数据库的管理能力。 如何防止这些数据丢失、损毁、被非法 盗取（利用）是高校图书馆存储安全面 临的一个问题。 高校图书馆关注的数据已不仅限 于馆藏书目、电子期刊、电子图书、学 位论文、借阅信息等业务数据，还延伸 到读者在微信、微博、社交网络等新媒 体方式互又胁 生的难以估量的社会 化数据。数据种类包括结构化、半结构 化和非结构化等多种类型，由于不同类 型的数据对存储系统的性能要求不同， 因此存储设备类型多样。以我馆为例， 现有存储设备包括磁盘阵列、SAN 和 NAS 三种类型，三种存储系统的存储技 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 5 术、管理方式、灾难忍受度、性能等都 不一样，如何高效、安全地利用三种类 型存储是安全存储面临的一个问题。 高校图书馆为了降低成本，开始 将一些数据存储在“ 云” 端，但云平台本 身在安全方面的隐患给高校图书馆的数 据安全带来威胁，主要表现在：云平台 的开放性给黑客带来了窃取数据资源的 机会；“云”服务提供商可能为了谋取利 益而出卖这些数据和信息，导致图书馆 核心信息和隐私数据泄露；云平台海量 用户共存模式存在潜在的威胁；“云” 服 务提供商的安全访问控制机制可能无法 有效阻止非法用户访问；云平台的虚拟 化存在安全隐患，等等。 1.2 网络安全问题 高校图书馆是以网络为基础传递 数字资源，提供信息服务的。图书馆网 络环境不仅面临着传统的病毒、木马、 DDoS 攻击等安全问题；现在，一方面 由于数字资源规模巨大，黑客的一次攻 击能够盗取更多的数据，无形之中使图 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 6 书馆成为更有吸引力的目标；另一方面， 黑客利用云计算、大数据等技术发起的 高级可持续攻击（APT） 、僵尸网络攻 击等新模式攻击，能够同时控制百万台 计算机，这是传统单点攻击做不到的， 由于可利用数据规模巨大，攻击者能够 很好地隐藏攻击代码，使传统的安全工 具无法检测。 高校图书馆的服务模式和读者阅 读方式正在改变，伴随着自助借还、无 线接入、移动阅读终端、微信、微博、 云计算和其他新技术的应用，使得外部 信息接入点增加，传统网络防护设备安 全隐患加大，API（程序接口，如我馆 的汇文系统接口程序）的访问权限开放 等。这些都是图书馆数据资源受到攻击 和泄露的重要原因，也是高校图书馆网 络安全面临的重要问题。 目前，图书馆的网络安全防护基 本采用杀毒软件和防火墙相结合的模式 来阻止病毒、木马等恶意程序的入侵。 扫描一遍现有的存储需要花费几天的时 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 7 间，面对未来几何级增长的数据、大量 的外部信息接入、API 接口开放等，将 会需要更多的扫描时间，这些网络安全 问题亟需我们去研究和解决。 1.3 隐私安全问题 移动互联时代的高校图书馆，积 极收集读者个人信息（如个人身份信息、 私人电话、E-mail 等）和读者活动信息 （如阅读行为、参考咨询内容、上网行 为、个人偏好、科技查新内容等）等， 并对这些信息进行分析、挖掘、整合、 利用，更好地根据读者需求提供个性化 服务、知识服务以及转变服务模式。但 同时，这些读者隐私信息存在被任意获 取、泄露、扩散的隐患，将极大地威胁 读者个人隐私安全。 大多数高校图书馆都有阅读终端 设备、视频监控设备、服务监控系统等， 实现了对用户信息和用户行为（包括阅 读行为、阅读需求和用户地理位置信息） 等隐私信息的数据采集与监控。这些数 据的采集与分析，提高了用户服务质量 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 8 和读者阅读满意度，同时为高校图书馆 科学预测用户服务模式变革提供了可靠 的决策支持。但是，图书馆对这些隐私 数据的使用权和所有权没有明确的界定， 也没有用户隐私数据保护措施。大量事 件证明，数据未被妥善应用会对用户的 隐私造成极大的侵害， “棱镜门 ”事件就 是一个实例。 高校图书馆官方 微信、微博、社交网络等新媒体平台的 积极推进，使互联网每时每刻都在产生 与读者个人相关的海量数据，这部分数 据包含了大量的读者个体特征、阅读社 会关系、个体行为等隐私数据，如果未 被妥善处理，将增大读者隐私泄露的风 险。 2 高校图书馆数据安全的解决方 案 高校图书馆在使用数据处理、数 据挖掘、数据分析等技术获取数据蕴藏 的有用信息，创新服务模式，提高服务 质量的同时，应研究和解决如何确保数 据存储安全，如何降低网络安全威胁， -精选财经经济类资料- -最新财经经济资料-感谢阅读- 9 如何防止用户隐私泄露。高校图书馆可 以从数据存储安全，提高网络安全防护 技术，读者隐私数据保护三方面着眼， 建立全方位、深度的数据安全防御体系。 2.1 数据云安全存储 高校图书馆由于数字资源呈爆炸 性、无限增长状态，现有的存储系统将 无法有效地存储和管理这些数据，限制 了数据的增长。根据各类数字资源的功 能性和机密性需求，对于数据规模较大 的电子期刊、电子书、多媒体等数字资 源，其服务范围较广、涉及隐私敏感数 据较少的情况，图书馆可考虑将这部分 数字资源存储在云端，利用云存储实现 数据的存储、管理以及分析利用，保障 数据的完整性、机密性和可用性；而对 于数据规模相对较小，涉及隐私信息较 多的读者个人信息等敏感数据存储在本 地。云存储的体系结构可分为 4 层，分 别是：存储层、基础管理层、应用接口 层和访问层，如图 1 所示。 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 10 安全云存储系统由客户端、服务 器和云存储服务提供方 3 个模块构成。 客户端属于访问层，用户（包括图书馆 工作人员、读者和服务提供商）通过各 种终端应用云存储服务，在该层用户要 进行身份认证和权限管理，用户数据可 以进行分级加密。客户端和服务器端通 过 web service、应用软件以及公用 API 接口进行数据交互。 服务器端的基础管理层提供分布 式文件系统、集群系统、数据分块、数 据索引以及数据加密备份等功能。服务 器与云存储服务提供方通过可信高速的 内部网络进行数据的存储传递。 云存储服务提供方属于存储层， 主要对数据进行压缩和冗余删除处理， 提高存储的利用率。用户访问权限信息 和用户数据的完整性、机密性均由客户 端进行保障，可在客户端运用分级加密 访问控制技术。 所谓分级加密，即用户可以通过 发送请求，要求变更加密等级，等级越 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 11 高，密钥越长，安全性就越高，运行开 销也就较大。用户（图书馆工作人员） 可以根据数据安全需求的高低，进行加 密等级划分，这种方式可以提高加密效 率，进而提高数据的访问效率。 2.2 提高网络安全防护技术 云计算、大数据、移动互联等技 术给高校图书馆的网络安全带来了很大 的威胁，但同时也给网络信息安全技术 带来了新机遇。传统的网络安全防护模 式是“漏洞扫描一入侵检测一访问控制 一响应恢复” ，大多数网络安全防御是 在攻击发生后，对其响应并处理，做好 恢复工作。现在，网络安全防护可以利 用大数据的分析技术，构建一个安全智 能平台，对网络异常情况分析，从而发 现潜在攻击，有效预测威胁，如图 2 所 示。 网络安全智能平台实时检测异常， 同时报告异常检测结果，并利用大数据 分析技术对这些检测报告进行分析，发 现攻击行为和可疑行为，对攻击行为做 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 12 出响应处理，对可疑行为做出预测处理， 并同时将攻击行为以及可疑行为的分析 结果反馈给网络安全智能平台的分析模 块，形成一个“ 监控一检测一分析一反 馈”模式的、集成的、智能的网络安全 防御解决平台。通过大数据分析技术， 可长时间分析更多种类数据（结构化、 半结构化和非结构化） ，从而发现潜在 威胁，预测未知的恶意攻击行为；同时， 能够帮助应对高级持久威胁（APT） ， 内部威胁和欺诈。 以我馆为例，考虑到图书馆的各 种信息服务多数以 Web 应用方式提供， 因此我们部署了深信服的 Web 应用防 火墙（WAF） ，该防火墙通过执行一系 列针对 HTTP/HTTPS 的安全策略专门 为 Web 应用提供保护。WAF 设备对我 馆的 Web 业务进行 724 小时流量监控， 实时发现系统新增漏洞，直观呈现业务 系统的漏洞和遭受的攻击，并能快速定 位有效攻击，以便我们可以及时采取应 急措施。该 WAF 设备能够同时抵御网 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 13 络层和应用层的攻击，并采用安全沙盒 技术来发现可疑的未知威胁，防止新型 攻击集中爆发。 2.3 基于数据生命周期的隐私保 护方案 对于人类而言，遗忘一直是常态， 而记忆才是例外。然而，数字技术与全 球网络的发展，让社会丧失了遗忘的能 力，取而代之的是完善的记忆。世界上 90%以上的信息是数字形式的，因此我 们能够毫不费力地进行存储、处理、利 用，例如 Google 一直在存储每位用户 的每次搜索请求与访问记录，可以说 Google 对我们的了解比我们自己能够记 住的还要多。如果大量数字化的私人信 息没有有效的监管，它不仅可能在今天 被盗用，在若干年后仍然可能被盗用。 高校图书馆用户的个人信息以及 产生于微博、微信、社交网络中的用户 敏感信息也可能以数字形式被搜集、存 储很久很久，继而被大数据的挖掘技术、 关联分析技术所处理、整合、利用，一 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 14 旦不能保证这些数据的合法利用，失去 控制，那么将造成个人隐私泄露危机。 在此，我们以“ 隐私数据生命周期 ”为理 论基础，把图书馆用户的个人信息保护 工作贯穿于整个数据生命周期。隐私数 据生命周期包括：数据采集、数据存储、 数据处理与应用、数据传输以及数据删 除 5 个环节。根据 5 个环节中防范隐私 泄露技术手段的不同，将分为 4 种类型 保护方式：RBAC 、权限管理、加密保 护和安全删除，从各个环节起到防范作 用，如图 3 所示。 RBAC ：RBAC 即基于角色的访 问控制，将权限和角色关联，为不同角 色赋予不同的权限，用户成为某个角色 时，就拥有了该角色的权限。在图书馆 用户敏感数据采集、处理（挖掘、分析、 整合、共享）和应用这 2 个环节中，采 用 RBAC 保护方式，对不同的数据使用 人员（包括图书馆工作人员和服务运行 商）规范其权限范围，根据工作分工不 同赋予不同的权限，实现数据使用个人 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 15 具有最小权限，有效地防范用户隐私的 泄露。 匿名保护：对于数据采集环节， 有一部分产生于微博、微信、社交网络 的图书馆用户敏感数据，采用匿名保护 技术，在数据发布时隐藏用户的标识信 息、属性信