面向数字图书馆的用户个人电子信息安全保护技术研究

　　关键词：数字图书馆；用户；个人电子信息；安全保护技术

　　摘要：文章介绍了数字图书馆用户个人电子信息的内容，分析了数字图书馆用户个人信息面临的安全威胁，提出了数字图书馆用户个人信息安全的保护策略。

　　中图分类号：G250.76文献标识码：A文章编号：1003-1588（2018）01-0109-03

　　大数据环境下，包括社交网络、物联网以及移动网络在内的大型互联网让用户在使用过程中产生了大量数据足迹[1]。信息收集技术、筛选技术以及处理技术的应用让用户的隐性数据无法得到有效保护。在商业利益的诱惑下，社会上已经出现了大量用户私密信息（包括股民信息、房主信息、患者信息、车主信息以及商务人士信息等）的出售活动，并且已经形成了一条黑色产业链，用户私密信息的安全问题日益严重。用户信息不仅是数字图书馆管理的重要对象，而且是其进行服务升级的重要依据。因此，数字图书馆应该在用户信息数据安全方面负起责任。

　　1数字图书馆用户个人电子信息的内容

　　数字图书馆的用户个人信息是指用户在使用数字图书馆过程中产生的与用户有关的信息资源，这些信息资源是用户与数字图书馆之间的绝密信息，数字图书馆应该保证个人信息的安全，有效地保护用户的利益，从而获得他们的信任。

　　1.1用户的个人注册信息

　　当用户在数字图书馆上注册时，他们会被要求填写必需的个人信息，其中包括个人学历和身份信息等[2]。个人学历信息主要包括用户的职业、工作单位、学历水平、专业以及兴趣爱好等，个人身份信息主要包括用户姓名、性别、联系电话、年龄以及电子邮箱等。

　　1.2用户的个人使用记录

　　为了记录数字图书馆的服务情况和资源使用情况，数字图书馆利用Web服务器记录用户使用资源的情况，即以工作日志的方式记录用户的访问内容、访问时间、访问结果以及IP地址等[3]。数字图书馆可以将收集到的用户使用信息进行数据挖掘和数据分析，从而挖掘出用户的兴趣爱好、访问习惯以及研究方向等，这些被挖掘出来的数据也属于私密信息。

　　2数字图书馆用户个人信息面临的安全威胁

　　2.1网络层的安全威胁

　　网络层的路由系统、访问控制系统、远程接入系统、身份认证系统及域名系统都容易受到病毒或黑客攻击，网络层面临的安全威胁包括计算机病毒威胁、黑客攻击威胁、网络边界威胁以及数据传输错误威胁等[4]。用户私密信息在网络传输过程中有可能受到窃听、截获、破坏以及篡改等威胁，致使其信息的完整性和安全性无法得到有效保证。网络边界是数字图书馆与互联网联系的第一道防线，主要包括网络与用户终端之间的边界以及网络与网络之间的网关边界，其对应的网络安全问题主要有馆域网用户访问监管力度不足、非法侵入、用户终端能力下降以及非法应用软件安全控制不力等。黑客利用DDoS对网络层进行攻击，达到网络阻塞甚至瘫痪的目的。

　　2.2应用层的安全威胁

　　应用层面临的安全威胁主要有木马程序、蠕虫程序、拒绝服务攻击、网页篡改以及宽带占用等[5]。应用层的各种应用型软件在设计方面并沒有完全参考网络上存在的各种安全威胁，都会存在一定的设计缺陷。因此，数字图书馆会经常受到病毒或黑客的攻击，用户的私密信息也得不到充分的安全保证。目前，黑客大都采用木马、蠕虫、网络钓鱼等攻击方式，这些方式对应用层的安全威胁巨大。甚至有些黑客采用移动代码和电子邮件的复合型攻击方式，其攻击威胁程度更高。随着网络技术的不断推广，应用层的安全威胁已经成为数字图书馆最大的安全隐患，该隐患具有危害大、辐射范围广和发作时间快等特点。

　　2.3管理层的安全威胁

　　数字图书馆以信息资源为核心内容，以功能应用为服务手段，拥有较为复杂的安全体系，它的所有安全策略都需要管理人员制订，因此管理层在数字图书馆中起关键作用。管理层面临的安全威胁主要有管理人员权利和职责不明确、操作不规范、安全管理制度不完善等[6]。当系统受到黑客攻击或者其他恶意攻击时，数字图书馆的安全体系无法进行实时的监控、检测、警告、报告，也无法准确提供黑客攻击行为的追踪线索。另外，管理人员的安全防护意识淡薄，允许用户使用默认用户名和密码进行登录，致使安全防护体系很容易被黑客入侵。管理层的安全威胁可以使整个数字图书馆的安全防护体系形同虚设，它是用户私密信息安全的最大威胁。

　　3数字图书馆用户个人信息的安全保护策略

　　数字图书馆需要加强用户私密信息的安全保护力度，维护好“保护用户信息，维护用户利益”的良好形象。

　　3.1用户信息采集阶段

　　数字图书馆对用户信息进行资源化处理的第一步就是采集用户信息，这是非常重要的环节。但是，数字图书馆在采集用户信息方面存在一些问题，并没有形成规范的采集步骤。现阶段，数字图书馆主要借助计算机采集用户信息，有两种方式：用户主动提供私密信息或在用户知情的状况下被动提供私密信息，系统在用户不知情的状况下自动采集私密信息。在服务器帮助下，数字图书馆可以利用Cookie技术将少量用户信息自动存储到客户端缓存中，或者让服务器直接读取客户端的硬盘数据，这就给用户私密信息的安全性带来巨大威胁。因此，数字图书馆可以设立专门保护用户信息的资源化小组，该小组的主要任务就是负责制订用户信息采集规范和采集准则，提高管理人员保护用户信息的能力。采集用户信息的规范要根据国家相关法律法规制订，其主要内容有：①将用户个人信息进行分类，可分为一般性信息和私密性信息。②规定采集用户信息的手段和方式。③规定采集的具体内容和信息保存时间。④要在公告栏和网站上发布采集准则。如：中国科学院就专门公告隐私声明，并且会承诺“在未经过您的同意之前，本图书馆或者网站不会转载您的任何资料和信息”。中国科学院图书馆也制订了一些采集信息规则：尽量不采集用户敏感信息，如需采集，需要征得用户同意；不利用间接手段或者隐蔽手段采集用户个人信息；对于智能化和自动化的采集方式要严加考核，并保护个人信息；不允许管理人员私自采集和处理用户个人信息等。

　　3.2用户信息组织加工阶段

　　用户信息只有经过有序化和组织化处理后，才能够成为真正的资源，否则，不仅不能够得到有效利用，还会造成资源浪费和信息污染。用户信息每经过一次处理，就会增强其针对性，就会增大其应用价值，进而会涉及更多的私密信息。如：数字图书馆利用用户阅读和下载的信息资源类型，就可以获取他们的兴趣爱好、研究方向以及职业类型等。因此，数字图书馆对用户信息进行安全设定是很有必要的，可以在数据库中添加一个安全等级标识，不仅能为数据挖掘提供数据支持，还能为数据共享和发布提供必要的安全保护。用户的基本信息包括用户的姓名、性别、出生年月、联系方式、专业、登录密码等，显然这些信息不能够完全公开。因此，数字图书馆需要设定安全等级，主要分为四个等级：第一等级为可以完全公开的用户信息；第二等级为可以在个性化服务、用户满意度评估以及信息管理等模块中公开的用户信息；第三等级为仅供管理人员读取和管理的用户信息；第四等级为用户的安全凭证信息，这类信息一般不对外公开。

　　3.3用户信息利用阶段

　　数字图书馆采集用户信息的应用领域主要包括信息发布、学科服务、用户个性化服务以及与其他服务系统的共享等方面。信息的共享性和流动性直接决定了信息的应用价值，信息的共享性和流动性越强，信息的应用价值就越大。用户的信息共享模式主要有：①借助数字图书馆，用户可以方便地获取数字化信息资源和传统文献资源。但是，用户不能从数字图书馆中获取其他用户的资源，因为这涉及用户信息的隐私问题。②数字图书馆内的各个部门之间以及数字图书馆与其他部门（如网络中心、档案室、教务处和科研处等）之间需要实现信息共享。如：流通部门需要将接收的用户信息传送给系统部门，以便让这些用户获得访问权限。③数字图书馆可以采用联合资讯和馆际互传等方式与其他图书馆实现信息共享。数字图书馆如果无法解答用户提出的问题，就可以与其他图书馆进行资讯，以便为他们提供更好的服务。④数字图书馆可以与数据库提供商、软硬件提供商、书商、业务外包商及出版社等机构进行互动交流。如：数据库提供商、软硬件提供商和RFID软件供应商会根据自身需求访问数字图书馆的数据库或镜像数据库。数字图书馆与其他部门或者机构进行互动交流时，可以利用匿名化保护技术，管理用户的私密信息，进而避免用户私密信息的泄露。

　　數字图书馆集成服务系统是整个数字图书馆的主要业务系统，主要包括用户信息、业务管理信息和文献资料信息等[7]。数字图书馆可以根据用户的借阅记录和个人信息，对用户的兴趣爱好进行定位，从而更好地帮助用户获取所需的信息资源。数字图书馆还可以利用OLAP分析技术对用户的使用数据、系统日志和馆藏数据进行分析和挖掘，并将处理内容分为图书采购分析、用户需求分析和馆藏结构分析，为管理人员提供有效的决策参考。数字图书馆针对不同的应用目的，其数据属性也会显示不同的等级。

　　4结语

　　为了提供更好的信息服务，数字图书馆应该重视用户信息的采集、利用和处理环节。数字图书馆采集的用户信息越多，为用户提供信息服务时，就越有针对性。因此，数字图书馆处于一种尴尬境地，要想提供优质信息服务，就必须采集更多的用户信息；采集的用户信息越多，就越可能侵犯用户隐私。如何在为用户提供好的信息服务与保证用户隐私信息的安全性之间保持平衡是值得探究的课题，笔者提出了以上安全保护策略，它既能够采集足够多的用户信息，又能够保障用户的信息安全。

　　作者：林淑湘

    　参考文献： 

　　[1]易斌.高校图书馆读者隐私保护现状实证研究[J].图书馆论坛，2013（3）：65-68. 

　　[2]王滢.境外图书馆个人信息保护政策对我国图书馆实践的启示[J].图书馆学研究，2012（5）：63-67. 

　　[3]徐敬宏，文利民.论电子商务消费者个人信息及其保护[J].图书情报工作，2009（8）：130-133. 

　　[4]程瑶，应凌云，焦四辈，等.移动社交应用的用户隐私泄漏问题研究[J].计算机学报，2014（1）：87-99. 

　　[5]王皙琛.基于3G的图书馆信息服务模式研究[D].哈尔滨：黑龙江大学，2011. 

　　[6]赵明霞.大学图书馆微博与隐私权及知识产权保护[J].新世纪图书馆，2012（8）：32-33. 

　　[7]徐险峰，马海群，王海东.图书馆用户隐私权保护研究综述[J].图书馆建设，2010（7）：30-34.