图书馆管理策略与阅读服务创新：应对技术新挑战

新计算、新网络、新应用、新数据，这些都是今后一段时期的信息安全方向和热点，每一个方向都会对未来的应用和业务带来巨大的改变，同时也带来新的安全挑战。本文主要从以下几个层面进行概要阐述，以期能对未来的热点进行涵盖和指引。

（一）新计算技术

云计算对传统计算模式和商业服务模式带来了巨大改变，但却面临极大的安全风险，云安全也成为云计算领域的热点。云计算的虚拟化、多租户和动态性不仅加重了传统的安全问题，同时也引入了一些新的安全问题，云计算环境下的安全问题主要表现在：

第一，云计算的出现使得传统的网络边界不复存在、使得信息的所有权和管理权分离，信息资产的非授权访问成为云计算系统的重要安全问题。

第二，数据安全和隐私保护：由于多租户环境、虚拟技术、数据迁移等多个因素综合导致数据保护将面临更大的挑战。

第三，虚拟化运行环境安全：虚拟机隔离、监控、安全迁移及镜像文件的安全存储，以及文件存储、块存储、对象存储等云计算存储服务的安全。

第四，动态云安全服务：不同企业、不同应用存在差异化的安全需求，根据用户需求，结合移动互联网应用架构，提供动态差异化的云安全服务。

依据多年的信息安全工作经验，充分分析云计算系统的特点，总结了云计算安全保障体系框架，下面从新网络技术、新应用、新数据三个维度阐述云计算安全的相关要素。

（二）新网络技术

物联网是具备全面感知、可靠传输、智能处理特征的连接物理世界的网络，实现了任何时间、任何地点及任何物体的连接，使人类可以更精细和动态地管理生产和生活，提高整个社会的信息化能力。

国家明确提出，物联网将会在智能电网、智能交通、智能物流、金融与服务业、国防军事十大领域重点部署。同时，重要篇幅阐述了“加强信息安全保障”的具体措施：一是加强物联网安全技术研发；二是建立并完善物联网安全保障体系；三是加强网络基础设施安全防护建设。

物联网的安全性非常重要，随着越来越多的计算设备嵌入汽车、手机、电视甚至医疗设备中，犯罪分子可以通过有针对性的攻击和破坏物理设备，甚至造成人员伤亡。例如，最近研究人员警告说，心脏起搏器就可能被坏人利用攻击人身安全。

物联网和安全相关的特征表现在可感知性、可传递性和可处理性。可感知性是需要物品、设备和设施的相关信息均可唯一识别，并数据化描述，最终可通过网络进行远程监控。可传递性是需要将物品信息通过各种电信网络与互联网实时准确地传递出去。可处理性是需要运用云计算、模糊识别等智能计算技术对海量信息进行智能处理。物联网中的业务认证机制和加密机制是安全上最重要的两个环节。

移动互联网是热点中的热点。手机将超越PC而成为人们的主要上网工具，随着4G网络、Wlan网络如火如荼的建设，移动互联网用户规模和网络规模都将呈现爆炸性增长。运用移动互联网访问图书馆系统也将成为主要的趋势。移动互联网的安全主要分为移动终端、网络、移动互联网应用三个层次来进行说明。

移动终端已成为移动互联网重要基础设施，成为网络的延伸，应用的载体，移动终端存储的隐私信息及蕴含的经济利益使其成为黑客首要的攻击目标。主要表现在移动恶意软件窃取隐私或吸取话费及带来潜在威胁、操作系统、客户端软件漏洞导致安全风险。从未来看，由于收益丰厚，黑色产业链会刺激病毒的发展，移动恶意软件会更加肆虐、泛滥，更加智能化，更难清除，同时综合型移动恶意软件出现，集成隐私窃取、恶意消费、系统破坏、后门等多种功能，危害会更大。现在流行将移动设备接入图书馆，这使得移动安全问题凸显出来。图书馆引入移动设备和员工携带个人设备上班的现象正在架空企业现行的安全体系和安全策略。有超过63%的数据泄漏事故起因是移动设备，其安全性需要引起足够重视。

网络层面的主要安全挑战包括：在复杂的异构网络环境下，需要基于统一的鉴权控制体系确保用户的严格接入控制、实现可靠的行为溯源能力；随着带宽的迅猛增长和协议类型的极大丰富，需要建立更加有效的流量管控能力，包括网络、业务语义监控和安全监控机制与能力。LTE未来将成为移动互联网的IP管道，LTE需要解决的问题包括用户身份可能被泄露，从而导致用户隐私暴露。根密钥无法更新，被破解的风险随时间递增。同时，安全算法受制于人，研制自主加密算法至关重要。Wi-Fi已成为全球运营商普遍关注的热点，65%的主流运营商选择Wlan网络进行业务分流。Wlan系统面临的风险包括资源耗尽风险、无AP关联认证风险、无加密的空中信息传输泄密风险、来自客户端的攻击等各类可能引发Wlan系统不可用风险、系统服务质量下降、无线频谱干扰风险、空中中间人攻击风险、非法广播信息风险、客户信息泄密风险等。致力改变Wlan的安全现状，确保用户的良好体验刻不容缓。

移动互联网应用安全。业务和应用是移动互联网的核心，业务及开放的平台开放性，使其面临多样的安全威胁。一是针对业务信息的威胁：包括不良信息（非法、有害和垃圾信息）传播、敏感信息泄露等；二是针对业务载体的威胁：植入后门木马、web攻击等；三是针对业务模式的威胁：包括群发广告等业务滥用、恶意订购等。

应用安全要重点对应用商店进行安全防护，对应用商店中待上线应用进行安全检测是安全工作的重中之重。(www.xing528.com)

（三）新应用

电子商务主要依托Internet平台完成交易过程中双方的身份、资金等信息的传输，安全问题是电子商务的主要技术问题，亦是商家和消费者以及银行最关心的问题，主要面临以下威胁：一是信息篡改，电子的交易信息在网络传输过程中，信息可能会被人、被第三者非法篡改，导致信息失去了真实性和完整性；二是信息破坏，由于一些硬件和软件问题或者是一些恶意病毒使一些信息遭到破坏；三是身份识别，若没有身份识别，交易的一方就可以对交易内容否认或者是欺诈，或者会有第三方来冒充交易的一方；四是信息泄密，即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。

1.网上支付的安全

支付主要面临的安全问题包括：钓鱼网站、网购木马。主要的解决措施包括增加新的客户端识别因素、打断订单的自动生成、识别坏人等。

2.社交网络的安全

社交网络的安全威胁会越来越大，隐私保护将成为焦点。最重要的两个因素是安全和信任，虽然可以保护个人信息不被其他应用程序用户看到，但对于受信任的朋友，你却无法保证他不会泄露你的私密资料或以此为目的来接近你，就目前的社交平台来看，安全和信任还存在相当大的问题。

根据赛门铁克分析报告预计，未来恶意软件攻击数量将呈上升趋势，主要表现为在社交网络上盗取支付凭证或诱使用户提供支付信息，及其他他个人信息等具有潜在价值的信息。这可能包括递送虚假礼物的通知以及邮件信息、所求受害者的家庭住址及其他个人信息。尽管这些非财务方面的信息看似无害，但网络罪犯会将这些信息连同已有的用户其他信息一起兜售给他人，进而建立起一个有关受害者的“档案”，然后利用这些信息侵害受害者的其他账户。

（四）新数据

大数据一词越来越多地被提及，人们用它来描述和定义信息爆炸时代产生的海量数据，并命名与之相关的技术发展与创新。

大数据时代对人类的数据驾驭能力提出了新的挑战，也为人们获得更为深刻、全面的洞察能力提供了前所未有的空间与潜力。将数据变成有用的信息以获得洞察力将成为未来竞争的制高点。大数据在国家企业和社会层面成为重要的战略资源，数据成为新的战略制高点，是大家抢夺的新焦点。而对图书馆来说，不可能置身大数据之外，参与的结果。大数据将成为关键资产，提升竞争力的有力武器。

但同时，大数据成为网络攻击的显著目标，在网络空间，大数据是更容易被“发现”的大目标。一方面，大数据意味着海量的数据，也意味着更复杂、更敏感的数据，这些数据会吸引更多的潜在攻击者。另一方面，数据的大量汇集，使得黑客成功攻击一次就能获得更多数据，无形中降低了黑客的进攻成本，增加了“收益率”。

数据大集中的后果是复杂多样的。数据存储在一起，很可能会出现将某些数据放在错误位置的情况，致使图书馆信息安全管理不合规。大数据的大小也影响到安全控制措施能否正确运行。安全防护手段的更新升级速度无法跟上数据量非线性增长的步伐，就会暴露大数据安全防护的漏洞。

在图书馆用数据挖掘和数据分析等大数据技术获取价值的同时，黑客也在利用这些大数据技术发起攻击。黑客会最大限度地收集更多有用信息，比如社交网络、邮件、微博、电子商务、电话和家庭住址等信息，大数据分析使黑客的攻击更加精准。此外，大数据也为黑客发起攻击提供了更多机会。黑客利用大数据发起僵尸网络攻击，可能会同时控制上百万台傀儡机并发起攻击。

另外，大量数据的汇集不可避免地加大了用户隐私泄露的风险。一方面，数据集中存储增加了泄露风险，而这些数据不被滥用，也成为人身安全的一部分。另一方面，一些敏感数据的所有权和使用权并没有明确界定，很多基于大数据的分析都未考虑到其中涉及的个体隐私问题。

大数据处理离不开云计算技术，云计算为大数据提供弹性可扩展的基础设施、支撑环境以及数据服务的高效模式，大数据则为云计算提供了新的价值，大数据技术与云计算技术必有更完美的结合。云计算、物联网、移动互联网等新兴计算形态，既是产生大数据的地方，也是需要大数据分析方法的领域。

大数据技术为图书馆信息安全提供新支撑，也为信息安全的发展提供了新机遇。大数据正在为安全分析提供新的可能性，对于海量数据的分析有助于信息安全服务提供商更好地刻画网络异常行为，从而找出数据中的风险点。对实时安全和商务数据结合在一起的数据进行预防性分析，可识别钓鱼攻击，防止诈骗和阻止黑客入侵。网络攻击行为总会留下蛛丝马迹，这些痕迹都以数据的形式隐藏在大数据中，利用大数据技术整合计算和处理资源有助于更有针对性地应对图书馆信息安全威胁，有助于找到攻击的源头。

最后，我们认为，人永远是图书馆信息安全最核心的要素，信息安全意识最重要。图书馆信息安全本就是矛与盾的博弈，意识不到或者感知不到风险才是最大的安全风险。无论图书馆信息安全工作多么复杂，无论出现了何种新技术，只要我们每个人坚信方法总比困难多，打起十二分的精神，负起自己应担的责任，下定决心，就一定能在这个较量中不断取得胜利，使高校图书馆正常运转，实现它应有的价值。