数字图书馆信息安全技术

（一）信息安全层级与支持技术

信息安全作用的三个层面即物理安全层、软件安全层、数据安全层对应于技术体系的实体安全技术、运行安全技术、数据安全技术。数字图书馆的信息安全问题在物理安全、运行安全、数据安全不同层面上表现不一。针对不同的安全需求，应采用相关技术，建设配套的信息安全应用设施。

1.实体安全　围绕网络与信息系统的物理装备的安全，是数字图书馆网络正常运行的物质基础。包括各类计算机设备（如终端，服务器、工作站等）和网络通讯设备（路由器、交换机、集线器、调制解调器）以及磁盘、磁带、硬盘和CD-ROM的安全。主要涉及信息及信息系统的电磁辐射、抗恶劣工作环境等方面的问题。面对的威胁主要有自然灾害、电磁泄露、通信干扰等；主要的保护技术有数据和系统备份、电磁屏蔽、抗干扰、容错等。

2.运行安全　围绕网络与信息系统运行过程和运行状态的安全。包括操作系统、数据库系统和应用系统三大部分。主要涉及信息系统的正常运行与有效的访问控制等方面的问题；面对的威胁包括网络攻击、网络病毒、网络阻塞、系统安全漏洞利用等。主要的保护技术有访问控制、病毒防治、应急响应、风险分析、漏洞扫描、入侵检测、系统加固、安全审计等。

3.数据安全　围绕着数据（信息）生成、处理、传输、存储等环节中的安全。主要包括元数据、对象数据和用户数据等，涉及数据（信息）的泄密、破坏、伪造、否认等方面的问题。面对的威胁主要包括对数据（信息）的窃取、篡改、冒充、抵赖、破译、越权访问等。主要的保护技术有加密、认证、访问控制、鉴别、签名等。

（二）数字图书馆信息安全关键技术

1.防护技术　防护技术主要包括认证、访问控制和内容安全等。防护技术可以增加攻击者入侵所花费的时间、成本和所需资源，以降低系统被攻击的危险，达到安全防护的目的。

（1）数字签名技术。数字签名是指附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据或变换允许数据单元的接受者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人伪造。

（2）防火墙技术。防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问，它是不同网络或网络安全域之间信息的唯一出入口，能控制出入网络的信息流且本身具有较强的抗攻击能力。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络进行攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。

（3）防病毒技术。防病毒技术主要包括计算机病毒预警技术、已知病毒与未知病毒识别技术、病毒动态滤杀技术等。通过对计算机病毒的识别、预警以及防治能力，形成基于网络的多层防范、集中管理的病毒防治体系，以防范对文献资源的各种破坏。

（4）信息过滤技术。信息过滤一般分为基于内容的过滤和合作过滤。内容过滤一般是针对网上不良信息进行阻断，主要包括基于URL的站点过滤技术、基于内容关键字的过滤技术、基于URL内容关键字的过滤技术、基于图像识别的过滤技术、智能过滤技术和几种技术结合的组合过滤技术。

2.检测技术　由于信息系统的复杂性，安全防护技术只能做到尽量阻止攻击企图的得逞，或者延缓这个过程，系统漏洞的存在在所难免，检测技术的引入就是用来弥补漏洞的存在。

（1）入侵检测技术。入侵检测是一种主动保护网络和系统安全的技术，他从计算机系统或网络中采集、分析数据，察看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象，并采取适当的相应措施阻断攻击，降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。

（2）内容审计技术。内容审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析，审计结果用于检查网络上发生了哪些与安全有关的活动。它通过记录用户访问的所有资源和所有访问过程，实现对网络的动态实时监控，为用户事后取证提供手段。网络内容审计技术一般以旁路方式捕获受控网段内的数据流，通过协议分析、模式匹配等技术手段对网络数据流进行审计，并对非法流量进行监控和取证。通常采用多级分布式体系结构，并提供数据检索功能和智能化统计分析能力，对部分非法网络行为（如Web页面浏览、QQ聊天、BBS等）可进行重放演示。

3.应急响应技术　百密必有一疏，多方面的防护与检测也会出现小的漏洞，这些小的漏洞对信息的安全却会带来不可忽视的危害，因此需要及时地补漏。应急响应技术包括控制阻断技术、隔离技术。控制阻断技术从阻断依据上分为基于IP地址的阻断和基于内容的阻断；从实现方式上分为软件阻断和硬件阻断；从阻断方法上分为数据包重定向和数据包丢弃。对识别出的非法信息内容，一般将阻止或中断用户对其访问，其中成功率和实时性是重要指标。控制阻断技术已成功用于垃圾邮件剔除、涉密内容过滤、著作权盗用的取证、有害色情内容的阻断和警告等，并有成熟产品出现，如McAfee WebShield设备。

4.备份恢复技术　备份是保证数据安全的最后一道防线，数据备份是将系统全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。备份可以选择全备份、增量备份、差分备份。

一般而言，备份软件主要分两大类：一是各个操作系统厂商在软件内附带的，如NetWare操作系统的“Backup”功能、NT操作系统的“NTBackup”等；二是专业备份软件厂商提供的全面的专业备份软件，如Veritas或Legato的专业备份软件。

恢复措施在整个备份中占有相当重要的地位，它关系到系统软件与数据在经历灾难后能否快速、准确地恢复。全盘恢复一般应用在服务器发生意外灾难，导致数据全部丢失、系统崩溃或是有计划的系统升级，系统重组等情况，也称为系统恢复。

信息安全技术是解决信息安全问题的基本要素之一。各种技术产品的简单堆砌或单独使用是无法全面确保数字图书馆安全性的。因此，可将各种技术整合，使各种技术相互补充、相互作用，从而建设数字图书馆的信息安全应用系统，达到技术最优组合、实现其效用最大化，真正从技术因素上提高信息安全系数。

实现数字图书馆网络信息安全的过程是一个复杂的过程，它不仅需要技术上的支持还需要管理上的支持，以及相关法律法规的保障。严格有效的管理及合理完善的法规才能保证安全技术合法有效地发挥其效能，从而确保数字图书馆的信息安全。