面向数字图书馆的用户个人电子信息安全保护技术研究 8页

面向数字图书馆的用户个人电子信息安全 保护技术研究 摘要：文章介绍了数字图书馆用户个人电子信息的内容，分析了 数字图书馆用户个人信息面临的安全威胁，提出了数字图书馆用户个 人信息安全的保护策略。 关键词：数字图书馆；用户；个人电子信息；安全保护技术 大数据环境下，包括社交网络、物联网以及移动网络在内的大型 互联网让用户在使用过程中产生了大量数据足迹[1]。信息收集技术、 筛选技术以及处理技术的应用让用户的隐性数据无法得到有效保护。 在商业利益的诱惑下，社会上已经出现了大量用户私密信息（包括股 民信息、房主信息、患者信息、车主信息以及商务人士信息等）的出 售活动，并且已经形成了一条黑色产业链，用户私密信息的安全问题 日益严重。用户信息不仅是数字图书馆管理的重要对象，而且是其进 行服务升级的重要依据。因此，数字图书馆应该在用户信息数据安全 方面负起责任。 1 数字图书馆用户个人电子信息的内容 数字图书馆的用户个人信息是指用户在使用数字图书馆过程中 产生的与用户有关的信息资源，这些信息资源是用户与数字图书馆之 间的绝密信息，数字图书馆应该保证个人信息的安全，有效地保护用 户的利益，从而获得他们的信任。 1.1 用户的个人注册信息 当用户在数字图书馆上注册时，他们会被要求填写必需的个人信 息，其中包括个人学历和身份信息等[2]。个人学历信息主要包括用 户的职业、工作单位、学历水平、专业以及兴趣爱好等，个人身份信 息主要包括用户姓名、性别、联系电话、年龄以及电子邮箱等。 1.2 用户的个人使用记录 为了记录数字图书馆的服务情况和资源使用情况，数字图书馆利 用 Web 服务器记录用户使用资源的情况，即以工作日志的方式记录 用户的访问内容、访问时间、访问结果以及 IP 地址等[3]。数字图书 馆可以将收集到的用户使用信息进行数据挖掘和数据分析，从而挖掘 出用户的兴趣爱好、访问习惯以及研究方向等，这些被挖掘出来的数 据也属于私密信息。 2 数字图书馆用户个人信息面临的安全威胁 2.1 网络层的安全威胁 网络层的路由系统、访问控制系统、远程接入系统、身份认证系 统及域名系统都容易受到病毒或黑客攻击，网络层面临的安全威胁包 括计算机病毒威胁、黑客攻击威胁、网络边界威胁以及数据传输错误 威胁等[4]。用户私密信息在网络传输过程中有可能受到窃听、截获、 破坏以及篡改等威胁，致使其信息的完整性和安全性无法得到有效保 证。网络边界是数字图书馆与互联网联系的第一道防线，主要包括网 络与用户终端之间的边界以及网络与网络之间的网关边界，其对应的 网络安全问题主要有馆域网用户访问监管力度不足、非法侵入、用户 终端能力下降以及非法应用软件安全控制不力等。黑客利用 DDoS 对网络层进行攻击，达到网络阻塞甚至瘫痪的目的。 2.2 应用层的安全威胁 应用层面临的安全威胁主要有木马程序、蠕虫程序、拒绝服务攻 击、网页篡改以及宽带占用等[5]。应用层的各种应用型软件在设计 方面并沒有完全参考网络上存在的各种安全威胁，都会存在一定的设 计缺陷。因此，数字图书馆会经常受到病毒或黑客的攻击，用户的私 密信息也得不到充分的安全保证。目前，黑客大都采用木马、蠕虫、 网络钓鱼等攻击方式，这些方式对应用层的安全威胁巨大。甚至有些 黑客采用移动代码和电子邮件的复合型攻击方式，其攻击威胁程度更 高。随着网络技术的不断推广，应用层的安全威胁已经成为数字图书 馆最大的安全隐患，该隐患具有危害大、辐射范围广和发作时间快等 特点。 2.3 管理层的安全威胁 数字图书馆以信息资源为核心内容，以功能应用为服务手段，拥 有较为复杂的安全体系，它的所有安全策略都需要管理人员制订，因 此管理层在数字图书馆中起关键作用。管理层面临的安全威胁主要有 管理人员权利和职责不明确、操作不规范、安全管理制度不完善等 [6]。当系统受到黑客攻击或者其他恶意攻击时，数字图书馆的安全 体系无法进行实时的监控、检测、警告、报告，也无法准确提供黑客 攻击行为的追踪线索。另外，管理人员的安全防护意识淡薄，允许用 户使用默认用户名和密码进行登录，致使安全防护体系很容易被黑客 入侵。管理层的安全威胁可以使整个数字图书馆的安全防护体系形同 虚设，它是用户私密信息安全的最大威胁。 3 数字图书馆用户个人信息的安全保护策略 数字图书馆需要加强用户私密信息的安全保护力度，维护好“保 护用户信息，维护用户利益”的良好形象。 3.1 用户信息采集阶段 数字图书馆对用户信息进行资源化处理的第一步就是采集用户 信息，这是非常重要的环节。但是，数字图书馆在采集用户信息方面 存在一些问题，并没有形成规范的采集步骤。现阶段，数字图书馆主 要借助计算机采集用户信息，有两种方式：用户主动提供私密信息或 在用户知情的状况下被动提供私密信息，系统在用户不知情的状况下 自动采集私密信息。在服务器帮助下，数字图书馆可以利用 Cookie 技术将少量用户信息自动存储到客户端缓存中，或者让服务器直接读 取客户端的硬盘数据，这就给用户私密信息的安全性带来巨大威胁。 因此，数字图书馆可以设立专门保护用户信息的资源化小组，该小组 的主要任务就是负责制订用户信息采集规范和采集准则，提高管理人 员保护用户信息的能力。采集用户信息的规范要根据国家相关法律法 规制订，其主要内容有：①将用户个人信息进行分类，可分为一般性 信息和私密性信息。②规定采集用户信息的手段和方式。③规定采集 的具体内容和信息保存时间。④要在公告栏和网站上发布采集准则。 如：中国科学院就专门公告隐私声明，并且会承诺“在未经过您的同 意之前，本图书馆或者网站不会转载您的任何资料和信息”。中国科 学院图书馆也制订了一些采集信息规则：尽量不采集用户敏感信息， 如需采集，需要征得用户同意；不利用间接手段或者隐蔽手段采集用 户个人信息；对于智能化和自动化的采集方式要严加考核，并保护个 人信息；不允许管理人员私自采集和处理用户个人信息等。 3.2 用户信息组织加工阶段 用户信息只有经过有序化和组织化处理后，才能够成为真正的资 源，否则，不仅不能够得到有效利用，还会造成资源浪费和信息污染。 用户信息每经过一次处理，就会增强其针对性，就会增大其应用价值， 进而会涉及更多的私密信息。如：数字图书馆利用用户阅读和下载的 信息资源类型，就可以获取他们的兴趣爱好、研究方向以及职业类型 等。因此，数字图书馆对用户信息进行安全设定是很有必要的，可以 在数据库中添加一个安全等级标识，不仅能为数据挖掘提供数据支 持，还能为数据共享和发布提供必要的安全保护。用户的基本信息包 括用户的姓名、性别、出生年月、联系方式、专业、登录密码等，显 然这些信息不能够完全公开。因此，数字图书馆需要设定安全等级， 主要分为四个等级：第一等级为可以完全公开的用户信息；第二等级 为可以在个性化服务、用户满意度评估以及信息管理等模块中公开的 用户信息；第三等级为仅供管理人员读取和管理的用户信息；第四等 级为用户的安全凭证信息，这类信息一般不对外公开。 3.3 用户信息利用阶段 数字图书馆采集用户信息的应用领域主要包括信息发布、学科服 务、用户个性化服务以及与其他服务系统的共享等方面。信息的共享 性和流动性直接决定了信息的应用价值，信息的共享性和流动性越 强，信息的应用价值就越大。用户的信息共享模式主要有：①借助数 字图书馆，用户可以方便地获取数字化信息资源和传统文献资源。但 是，用户不能从数字图书馆中获取其他用户的资源，因为这涉及用户 信息的隐私问题。②数字图书馆内的各个部门之间以及数字图书馆与 其他部门（如网络中心、档案室、教务处和科研处等）之间需要实现 信息共享。如：流通部门需要将接收的用户信息传送给系统部门，以 便让这些用户获得访问权限。③数字图书馆可以采用联合资讯和馆际 互传等方式与其他图书馆实现信息共享。数字图书馆如果无法解答用 户提出的问题，就可以与其他图书馆进行资讯，以便为他们提供更好 的服务。④数字图书馆可以与数据库提供商、软硬件提供商、书商、 业务外包商及出版社等机构进行互动交流。如：数据库提供商、软硬 件提供商和 RFID 软件供应商会根据自身需求访问数字图书馆的数据 库或镜像数据库。数字图书馆与其他部门或者机构进行互动交流时， 可以利用匿名化保护技术，管理用户的私密信息，进而避免用户私密 信息的泄露。 數字图书馆集成服务系统是整个数字图书馆的主要业务系统，主 要包括用户信息、业务管理信息和文献资料信息等[7]。数字图书馆 可以根据用户的借阅记录和个人信息，对用户的兴趣爱好进行定位， 从而更好地帮助用户获取所需的信息资源。数字图书馆还可以利用 OLAP 分析技术对用户的使用数据、系统日志和馆藏数据进行分析和 挖掘，并将处理内容分为图书采购分析、用户需求分析和馆藏结构分 析，为管理人员提供有效的决策参考。数字图书馆针对不同的应用目 的，其数据属性也会显示不同的等级。 4 结语 为了提供更好的信息服务，数字图书馆应该重视用户信息的采 集、利用和处理环节。数字图书馆采集的用户信息越多，为用户提供 信息服务时，就越有针对性。因此，数字图书馆处于一种尴尬境地， 要想提供优质信息服务，就必须采集更多的用户信息；采集的用户信 息越多，就越可能侵犯用户隐私。如何在为用户提供好的信息服务与 保证用户隐私信息的安全性之间保持平衡是值得探究的课题，笔者提 出了以上安全保护策略，它既能够采集足够多的用户信息，又能够保 障用户的信息安全。