第一篇:图书馆网络的安全托管服务
图书馆网络的安全托管服务
王 喜 和
(井冈山大学图书馆,江西吉安,343009)
摘要:在分析图书馆网络安全管理面临的困境的基础上,详细阐述安全托管服务的主要内容、图书馆网络对安全托管服务的需求和优势以及图书馆选择MSSP时需考虑的因素;最后立足于图书馆和安全厂商两方面的立场,对国内图书馆网络的安全托管服务现状和趋势作初步论述。通过上述内容的讨论,以期达到明确托管服务是保障图书馆网络安全的可行方式的目的。
关键词:安全托管服务;图书馆;网络
中图分类号:G250.76
Managed Security Service about Library Network
Wang Xi-He
(Library of Jinggangshan University, Ji’an(China),343009)
Abstract: Based on the analysis of the difficulty with which library network security management faces, this article elaborates the main content about MSS(Managed Security Service), library network requirements to MSS and its advantages, as well as the facets need considering when choosing MSSP.In the end, to both library and security trader’s benefit, it makes a preliminary description on the current situation and trend of MSS in internal library network.Through discussion to the above mentioned facets, this article is in the hope of clarifying that MSS is the practical way to guarantee the library network security.Key words: Managed Security Service;library;network
几乎没有一个图书馆的网络系统从未遭遇过安全问题。尽管大多数图书馆采购了各种各样的网络安全产品,比如防病毒软件、防火墙、入侵检测等等,却依然不能完全抵御包括病毒在内的各种安全威胁。造成图书馆网络安全困境的原因有很多种,但主要是在实际运行中,图书馆系统管理人员未能及时发现网络内外的安全隐患,并及时调整安全防护策略,即缺乏适当的人员对产品和技术的有效管理,造成网络面临巨大的安全风险。
1.图书馆网络安全管理的困境
1.1 虽然购买了安全产品,但安全管理策略设置不完善,不能发挥有效的防护作用。由于普遍缺乏专业的安全管理技术人员,图书馆所购买的网络安全产品都采用缺省或默认配置,并没有根据图书馆网络自身防护的需要设置安全策略。即便是有了为数不多的安全管理人员,但由于人员有限而管理的产品众多,管理人员也很难全面掌握每个安全产品的有效配置及应用。
1.2.安全管理人员没有及时掌握安全隐患的发展和变化,做好防护补救工作。网络的安全威胁多种多样且日益隐蔽。限于个人的网络安全知识,安全管理人员未能及
时了解到安全事件的新变化,并及时加以补救,从而导致了网络安全事件的发生。同时,由于人员编制和财力的限制,一般的图书馆也难以安排专人每天负责关注安全问题。
1.3 缺乏应急机制,系统维护人员没有对安全事件做出及时有效的处理。
安全事件具有突发性和不可预见性等特点,图书馆系统维护人员很难事先预测到潜在安全风险。同时,很多图书馆的系统维护人员技术水平有限,很难从不经常发生的安全事件中积累经验,从而在安全事件出现时迅速做出反应和有效处理。
1.4 缺乏全天候监控。
网络安全产品的报警需要由技术人员进行应急处理。“在没有安全管理技术人员值班时,网络缺乏7×24小时的安全监控,无法做出响应”[1]。而大多数图书馆现在还不具备全天候监控的人力条件。
目前图书馆网络安全专业技术人才匮乏,导致上述问题日显突出。如果这些问题不解决,即使使用了网络安全产品,图书馆网络的安全实际状况仍然存在巨大隐患。从上述分析可以看出,就目前的人才条件,单靠图书馆自身无法对其业务信息系统及其网络进行有效的安全维护。因此,图书馆可以选择一种新的安全服务方式——安全托管服务(Managed Security Service, MSS)。
2.安全托管服务概要
2.1 何谓安全托管服务(MSS)
安全托管服务即安全托管服务提供商(Managed Security Service Provider, MSSP)为客户管理及监控信息安全系统与设备,并在安全事件发生的第一时间作出适当回应。“服务内容包括安全产品的日常维护、系统补丁的安装、安全事件的预警及处理、用户安全培训、安全事件应急响应、安全分析报告等”[2]。
2.2 安全托管与安全外包的区别
安全托管服务,这个名词尽管在国内的网络安全界还不是特别常见,但是在全球信息安全领域已经是一个发展得相当成熟而且获得广泛关注的概念。说起安全托管就不能不提到安全外包,因为人们很容易将这两个概念混淆起来。
安全托管和安全外包之间并没有严格的界线。这两个概念之间最大的不同在于安全托管将注意力集中于实际的安全工作,往往不涉及较高层次的安全策略方面的工作。也就是说,MSSP代替客户执行那些偏重于技术层面的实际性工作,而安全策略的制订和管理等核心业务工作并不交由MSSP负责。但在安全外包业务当中,服务商往往承担所有(至少是绝大部分)的信息安全工作。
所以,安全托管可以被视为MSSP和客户协同完成的一个项目,同时也可以将安全托管视为一种“简化版的安全外包”。
2.3 安全托管服务的特点
2.3.1 便利的本地服务
安全托管服务提供给图书馆一种使用简单的方式来实现安全。MSSP通常在一些地区建
立本地服务中心来实现安全托管的本地化服务,通过定时、定人、定向的上门服务或者远程监控和管理来把图书馆网络的安全水平提升到一个新的高度。
2.3.2 良好的管理
MSSP一般都是长期从事信息安全服务的商业组织,具备健全的管理制度、服务策略、操作规范及完善的服务体系,从技术到服务都能提供全面而安全的管理。
2.3.3 服务质量保证
相对于图书馆网络中专业安全技术人员及其经验的缺乏,MSSP拥有较强的技术实力和安全事件经验;定时、定人、定向的服务保证了网络安全的巩固性。
3.图书馆的网络安全托管服务
3.1 图书馆的需求
除核心数据与业务的安全保障和安全策略的制定与管理需要自主进行之外,图书馆网络中希望能通过“托管”的方式获得服务的安全项目主要有以下方面:
3.1.1 安全服务列表
图书馆首先需要一份安全服务列表以确认安全托管服务的主要内容。一个简短的安全服务列表包括入侵检测和网络周边扫描、VPN/防火墙的监视和管理、防病毒内容保护、数据/文件的加密等基本服务内容。如果需要,更为详尽的内容还应该包括:对网络边界设备的监视和管理服务、日志分析流程、安全策略实施建议、安全报告等。
3.1.2 专业的事件分析
安全事件的数据分析需要一定的深度,因为其中包含有可能的攻击。图书馆一般难以做到这些。这就要求MSSP首先进行数据的收集和格式化,然后使用挖掘技术从数据中进行模式提取,并利用自己的知识库来识别攻击模式,最后进行人工分析和处理,提出含有事件严重性级别说明的分析报告。
3.1.3 即时的事件响应
就技术和产品层面而言,网络安全事件的响应是必不可少的,因为在一般情况下,MSSP已经有产品安装在图书馆的网络之中,网络安全事件发生时,这些硬件已经做出了某种反应。但是,重要的是MSSP应该在出现问题时立即阻断事件进程,及时向图书馆详细通报情况以及可以采取的措施,然后根据图书馆的要求进行事件处理。MSSP与图书馆之间必须有一个畅通的事件响应渠道。
3.1.4 详细的安全报告
由于图书馆网络的信道公用性和结构开放性,更由于图书馆网络中承载了海量的文献信息,用户众多,数据流量巨大,所以,图书馆需要定期的网络安全报告。这个报告的内容至少必须包括:已经发生的安全事件和响应处理的过程、面临问题时的解决方案、提醒图书馆网络安装必须的补丁程序、推荐系统配置参数、提出改变软件或硬件的建议、帮助预防将来的事件等。网络安全报告应该具有定期性和前瞻性特点。
3.2 图书馆网络采取安全托管服务的优势
第一,MSSP能在以往安全服务经验的基础上审视图书馆网络的安全状况。他们每天处理大量的安全事件,拥有丰富的事件处理经验,能够对突发事件做出很好的判断和处理。
第二,安全托管服务不是简单的产品售后服务,也不仅仅是突发安全事件的应急响应服务。它解决的是安全产品日常维护中因图书馆系统管理人员在时间、安全信息和专业经验等方面的不足而带来的问题。提供安全托管服务的工程师,一般都具备丰富的安全专业知识和实战经验,所以,在服务中很容易发现图书馆网络中存在的安全隐患和产品配置方面存在的错误。
第三,安全托管可能避免行政因素的干扰和安全事件责任风险。首先,从机构上讲,图书馆为网络部门增加专门的安全管理人员是很困难的,安全托管服务最终可以解决编制短缺的问题;其次,如果网络管理部门的目标是为了安全,避免令人遗憾的事件发生,那么就应该寻找一个可以承担事故责任的第三方,即MSSP。
第四,由于MSSP所具备的技能优势,安全托管服务可有效降低图书馆自行建设和维护网络安全系统的成本,提高网络安全的水平。“虽然MSSP在提供服务之前或之中也要进行大量的投入,但由于MSSP是面向多个用户进行服务,在硬件设施、风险跟踪、技术积
[3]累等方面的成本可以获得有效的分摊,所以能够向用户提供低成本、高质量的安全服务”。
第五,图书馆可以根据自己的安全业务需要在MSSP制订的服务方案中选择做何种程度的“托管”,并在协商的基础上严格界定安全托管服务可以接触的数据范围及其访问权限,切实保证图书馆网络中核心数据和业务的自主管理。
第六,图书馆在与MSSP的合作过程中,不仅可以较低的投入获得专业的具有高保障性的安全服务,还可借助MSSP的技术和人力资源培养自己的信息安全团队。
3.3 图书馆对MSSP的选择
选择MSSP,一定要考虑两个重要方面:SLA和服务价格。
3.3.1 SLA
SLA(Service Level Agreement,服务水平协议或服务品质保证协议)是每一个安全托管服务合同中最重要的部分,它定义了图书馆和MSSP各自的职责,明确说明了图书馆所期望得到的以及MSSP能够服务到什么程度。
对SLA需要注意以下两点:
——MSSP对系统的访问权限
SLA要界定MSSP不能接触到哪些系统或信息资源。不管他们如何保证,一些重要的数据和信息不能共享或者被任何人访问;同时MSSP必须有足够的权限来保证安全工作的开展,图书馆能对授予他们的权限有安全感。如果对访问权限有疑问,图书馆一定要明晰自己的安全目标,并理解MSSP为什么需要那样的权限。这其中存在一个最小风险评估的问题。
——攻击中的信息和行为
SLA必须指定在攻击事件中所有角色完成的任务。MSSP提供的响应方式有很多种类,包括在线咨询、攻击实时响应以及攻击事后的审核分析。定义角色和责任很关键,MSSP的行
为方式必须由图书馆来确定。由于任何响应方式的局限性都会给网络带来额外的负担,所以必须确保MSSP能够按期提供各种详细的报告,而且SLA还要指定双方的联系人以及其它类似的信息。这样的细节看上去可能没什么用处,但是SLA定义的越详细,最终网络得到的安全服务就越有保证。
3.3.2 服务价格
服务价格必然是图书馆与MSSP双方都关心的问题。MSSP一般会在一份预算中给出安全托管服务较之于自建安全系统所节约的成本的比例。此时图书馆方面应把握一点:无论这个比例有多大,最高付出都不能超过单独雇请安全专家或自建安全系统的投入。
当然,在很大程度上,价格取决于所选择的服务。简单的监视和警告的服务价格最低,因为这些都是自动化服务;分析的成本要高一些,与分析程度也有关系;响应成本更高,因为这类服务往往是人员上门服务。很多MSSP根据不同级别的服务,按年或者按月收取服务费,一般收费依据是需要保护的设备的多少以及其它额外的服务或者响应时问;此外初始的安全风险分析和非常规的定制服务需要额外收费。
出于谨慎,有些图书馆会试探着先把一些简单的但不重要的安全项目托管出去,如果觉得MSSP的信用水平可以的话,再逐渐增加更多的服务。MSSP的业务范围应该覆盖这种增量服务。国内图书馆网络安全托管服务的现状和趋势
4.1 现状
安全托管服务在国外已经是一个比较成熟的事物,有不少大型网络,甚至是中小型网络都比较认可这种服务,乐于把网络安全事务交给MSSP来做。MSSP在国外也有相当的数量,而且运作比较规范。
与国外相比,国内还没有真正意义上的针对图书馆网络的安全托管服务,当然也没有真正意义上的图书馆网络MSSP。同时,国内大部分图书馆还没有建成健全的网络安全体系,就更谈不上把安全交给别人处理了。虽然实现跳跃式发展,跳过自建网络安全系统直接进入安全托管阶段也不是没有可能,但即使有图书馆具备这种超前意识和经费条件,国内也没有厂商可以提供令人满意的服务。
鉴于国内图书馆的网络安全建设进程和图书馆的理解程度,笔者认为,国内图书馆网络安全托管服务在目前可行的形式应该是一种联合模式,即MSSP和图书馆联合起来,共同处理安全问题。图书馆的IT部门作为协调方,负责和图书馆的其它部门沟通;而MSSP则专注于解决安全事件:帮助图书馆确定安全量化管理指标,并提供必要的工具和服务人员实现7×24的安全策略实施效果监控服务;主动向图书馆的管理人员进行安全预警,通报安全问题,并在第一时间指导管理人员化解危机;定期提供报表,分析网络内部安全状况,供图书馆管理人员进行评估和制定相应策略;根据预先约定的访问权限,代替图书馆管理人员实现部分管理职能等。
这种形式虽然与国外真正的安全托管服务方式有所不同,但形式不是很重要,保证网络
安全才是图书馆的目标。因此,只要能达成目标,采取什么形式是次要的。
4.2 趋势
如今的信息安全产业早已走过了培养用户安全意识和需求的阶段。无论是信息安全厂商还是图书馆都迫切希望找到降低信息安全成本的方法。在安全托管服务中,富有经验和技术实力的安全厂商能够制订出覆盖广泛且极具灵活性的安全托管方案;而图书馆则可以自主地选择自己的安全业务需要做何种程度的“托管”。这种需求的变革“促使安全托管有望成为安全厂商与图书馆建立全新合作关系的突破口”。
一方面,安全托管服务解决的是图书馆网络安全管理在人力、时间、实践、工具和信息等方面的不足,同时不改变其现有的安全职责和隶属关系。与那种专业的一次性安全服务相比,托管服务能给图书馆带来更为实际的安全效果并大大减轻图书馆的投资费用、人员编制和管理的压力。另一方面,Internet和数字图书馆的发展使网络的安全需求日益膨胀;图书馆数字资源的扩张和用户访问量的急剧增加也带来了广泛的系统安全问题。但是,图书馆的安全专业人才在未来很长一段时间内依然紧缺。这一切使得安全托管服务越来越迫切。
伴随着政府的推动和市场的需求,国内的网络应用得到了飞速发展,同时,网络的安全也受到了极大的重视。目前国内的网络安全公司正在适应市场需求,纷纷提供类似的安全服务,例如定期网络安全服务、应急服务等等,一些ISP/ASP也纷纷推出安全管理增值服务。这些都昭示着国内安全托管服务的风潮很快就会来临。图书馆网络的安全托管服务必然是其中的重要组成部分。[4]
5.结语
“国家中长期科学和技术发展规划纲要(2006-2020年)中提到信息产业及现代服务业的发展思路,其中包含:以发展高可信网络为重点,开发网络信息安全技术及相关产品,建立信息安全技术保障体系,具备防范各种信息安全突发事件的技术能力。说明国家在接下来的十几年中,将网络安全建设放在了比较重要的位置”[5]。在这样的背景下,图书馆网络安全保障的技术条件、市场环境条件和服务类型条件将越来越充分。通过托管服务来实现图书馆网络的安全,是一种值得发展和推广的方式。
参考文献:
[1] 俞强.网络安全服务需要创新[J].网络安全技术与应用,2001(10):13-15
[2] 边歆.MSS的中国特色[N].网络世界,2005(34):41
[3][4] 张昕楠.安全托管时代已经到来[J].软件世界,2005(11):85-87
[5] 李雅琼.高校图书馆网络信息安全根源探讨[J].井冈山学院学报,2006(10):35-37
作者简介及联络方式:
王喜和,男,副研究馆员,1969年11月出生,供职于江西井冈山大学图书馆。
(1)通讯地址:江西省吉安市井冈山大学图书馆343009
(2)电话:***,0796-8100484(办)
(3)Email:wangxihe@jgsu.edu.cn
第二篇:托管服务合同
商业地产项目之“商场策划招商全程托管服务合作合同书
甲方:
地址:
联系人:
乙方:
地址:
联系人:
根据《中华人民共和国合同法》的有关规定,经甲乙双方友好协商,乙方接受甲方委托,对甲方位于从化市华强大厦1-3层“品牌商场”策划招商等系列开发项目进行技术支持与全程操作开发,使该项目开发后成为从化市屈指可数的唯一一家高端市场消费人群消费,并以品牌服装为主的“高端品牌商场”。产生更大的经济效益和社会效益。为规范双方的责、权、利,双方在自愿、公平、诚实、守信的原则下,签订本合作合同。
一、合作内容(选择打钩)
商场项目:全程半托管开发方式:(技术支持与全程驻店操作开发)
□ 立项分析期-----针对甲方商场项目的地理位置、周边环境、楼层结构、商场的基本设施等情况,对该商场项目进行周边及现场勘察,对商场进行初步意向分析、立项,口头与甲方达成初步意向立项共识。□ 市场调研期-----根据甲方前期的“基本构想”和双方口头达成的“项目立项基本意向”,结合当地消费情况和项目的周边环境,对本项目展开市场调研,通过市场调研,提出市场调研报告供甲乙双方共同研究、探讨。
市场调研内容包括:
(1)商场开发的可行性分析说明书;
(2)商场经营风格、档次、经营理念的定位:
(3)商场的规划与各楼层的布局,经营商品品种;
(4)商场各楼层招商价格的定位及品牌主力店的引进;
(5)商场工作人员的配备;
(6)提交商场整体规划布局的市场调研报告及方案草案;
□ 定位论证期-----甲方对乙方递交的市场调研报告和可行性分析方案草案进行分析研究,并与乙方进行磋商、研讨,最终确定商场整体规划与经营理念的“基本方案”。
□规划设计期-----乙方按照上述市场调研的“基本方案”对甲方商场进行整体策划、设计、规划,提交初步规划的“各楼层商品平面布局图”,供甲方审核,经双方讨论定稿,达成共识、签字确认,形成执行方案。
□ 技术培训期-----按照本项目的进度及岗位需求,在本项目操作过程中分批进行相关人员的招聘与上岗前的强化培训:(根据商场管理的需要)
(1)招商人员的招聘与培训;
(2)管理层的招聘与培训;
(3)电脑员、收银员及技术人员的招聘与培训;
(4)商场其他人员培训:营业员、促销员、防损员等;
□包装推广期-----为本商场首次招商达到火爆轰动效应,在整体包装推广期间甲方应积极配合硬件广告、媒体广告、软性广告宣传等,力争本项目一炮打响;
具体为:
(1)媒体广告发布;网络广告发布;
(2)广告宣传品的设计印刷;
(3)人员的调派、宣传品的针对性配发;
(4)公司形象的宣传推广。
第一期推广为天(商场的首次招商开始);
第二期推广为天(商场热招中,主要是安排招商人员外出上门针对性招商);
第三期推广为天,(若前两次推广达到预期效果,则取消第三期推广)。
□ 商场招商期-----完成商场招商前期的一切准备工作后,开始“现场招商”和外出上门针对性“目标招商”两方案同步进行。
(1)合同文本的形成及相关资料的印刷;
(2)招商人员专业培训及招商工作的分工;
(3)招商现场的布置与安排;
(4)现场招商、接待商户;
(5)招商对象的确定与招商资料的针对性发放;
(6)招商率达到80%以上为第一期招商完成。
□ 二次装修期------根据招商工作的进展对商户逐步安排进场装修。
(1)装修标准的制定及专柜装修图纸的审核;
(2)与品牌厂商沟通,结合商场楼层、商铺位置及面积对其装修进行设计;
(3)预约商户,使其积极主动进行规范化装修;
(4)铺位装修的规范、指导、督促,监督。
□ 场内策划期-----精心设计,点缀布置,对卖场的经营气氛进行策划营造,达到画龙点睛之效果; □ 开张庆典期-----对本项目顺利完工后的盛大开业进行策划,包装推广,达到一鸣惊人之轰动效应。(时间:开业前一星期,具体方案提交甲方审核后执行)
□ 商场移交期-----对商场开发过程中前后期的所有资料及“有关管理制度”进行制定并移交给甲方;
二、甲方责任:
1、依法向国家有关部门报批各项手续,申领营业执照,合法经营。
2、建立财务制度,依法纳税,作好劳资工作。
3、审核乙方递交的市场调查报告,对报告进行分析研究,得出结论,配合乙方下一步工作。
4、审核乙方递交的可行性策划报告,整体规划,平面布局方案(图)达成共识形成方案,签字确认方可执行。
5、作好开发、招商的硬、软件媒体广告宣传,保证广告宣传资金;
6、确保该项目前期运作资金到位,使本项目能按期顺利进行。
7、免费提供办公场地和办公用品给乙方使用。(凡用于甲方项目的公办用品及相关费用,乙方向甲方申报,甲方认可后甲方指定人员购买,相关费用由甲方负责)
8、按合同约定,按时足额支付乙方合作服务费。
9、监督、检查、核实乙方工作,及时沟通,协商解决工作中争议的问题。
三、乙方责任:
1、按时向甲方提交合作内容中的相关报告;
2、按照甲方项目进度全程提供商场项目的一切技术服务;(如:商场定位,策划设计,规划布局,包括推广,招商引资,管理方案等。)
3、按时选派商场专业技术骨干*** 名常驻甲方工作场地,与甲方配合协调开展工作。
4、根据工作进展情况,为甲方招聘管理人员,技术人员,招商员,营业员,防损员,促销员等(分期招聘)对相关人员进行专业技术培训。(根据商场管理的需要)
5、商场开业前的人事管理由乙方负责,开业后移交给甲方管理。
6、提交商场自市场定位到开张营业(包括商场管理手册)的所有技术资料供甲方免费使用。甲方不得以任
何名义将乙方上述资料提供给他人及第三方,否则,视甲方违约。
7、根据前期的市场定位,向甲方提交商场的商业业态组合,力争引进品牌主力店;如:深圳“ITAT”品牌折扣店,国内外一线服装品牌及商品等。(市调后:提交商场的“商品业态组合”报告书)
8、拟定招商进度,提交招商进度表。
9、提交装修方案(含专柜二次装修)指导专柜二次装修并对各专柜的装修方案进行审核,并监督施工。
10、乙方专业人员在工作期间,如有损害甲方利益,经调查核实,甲方有权要求乙方更换人员,并视其危害程度处以乙方总费用的1——3%作为罚金。
11、提交开业前的“商场有关管理制度”及“开业策划”方案供甲方审核。
A、专柜上货时间顺序安排及卖场的调整和卖场的气氛营造。
B、安排开业前商场管理层与商户的座谈会。
C、制定《店长职责》《商场管理人员职责》《商场卫生管理细则》 《商场收银员管理规范手册》《商场防损部管理规范手册》《服务行业(商场)行为规 范准则》;
D、组织商户学习《商户管理手册》;
E、户外广告制作与安装,宣传资料的印刷与发放及开业现场的策划与布置。
四、收费标准(按全程半托管开发方式)
商场全程“策划开发”加“商场管理团队培训”到“商场盛大开业”后“免费代管四十五天”移交甲方止;项目总费用:万元整。合同签约金万元整;
五、付款方式及付款时间(按“每月支付一次”和“按项目进度支付”两种方式付款)
1、每月支付一次,共支付万元,分三个月支付完。合同签约金万元在甲乙双方签定合同书时,已方人员进场之日,甲方以现金方式支付给乙方。此款做为甲方支付给乙方的首月款,以后每月五号之前由甲方按时支付给乙方。
2.按项目进度支付:共支付万元;乙方人员驻甲方场地开始,完成招商前期的所有工作之后,并且项目开始招商,招商率达到百分之三十时甲方需支付万元;招商达到百分之五十以上时甲方需支付万元;待招商工作达到百分之八十以上时甲方需支付万元,剩余万元自商场开业后一个月内由甲方一次性支付给乙方。
六、合作期限:本项目最长合作期限为年月日至年月日止;
七、本合同一式三份,甲方执二份,乙方执一份,具同等法律效力,双方签字盖章后生效。
八、本合同未尽事宜,甲方应在协商一致的基础上进行修改、补充或变更,补充协议书与本合同具有同等
法律效力。
九、其他:
十、合同签署:
甲方:乙方: 代表:代表:
时间:年
月日时间:年月日
第三篇:图书馆网络安全威胁与对策
图书馆网络安全威胁与对策
(河南财政税务高等专科学校 孙天翔)
摘要:通过对图书馆网络存在的安全问题和安全隐患的分析,结合实际工作经验,探索图书馆网络安全管理的策略。
关键词:图书馆网络安全策略
计算机网络的飞速发展,推动着图书馆的数字化建设。图书馆网络是图书馆的基础设施,它的安全状况直接影响图书馆工作的开展。目前,随着网络应用的深入,图书馆网络面临的攻击呈正比增加,各种各样的安全问题使图书馆网络时不时呈现“亚健康状态”。同时,随着网络规模的扩大,用户对网络性能要求的不断提高,图书馆网络安全问题倍受关注。
一、安全威胁的来源
图书馆网络具有计算机系统管理复杂、用户活跃的网络环境和有限的资金及人力投入等特点,这些特点使图书馆网络既是大量网络攻击的发源地,也是网络攻击者最容易攻破的目标。当前,图书馆网络常见的安全威胁来源有如下几种:
1、软件漏洞。几乎所有的操作系统和应用软件都存在安全漏洞。UnixLinux、Windows系列等服务器操作系统安全风险级别不同,都存在一些安全漏洞和安全缺陷,这些不安全因素往往是攻击者进行有意识攻击的首选目标。在系统软件和应用软件开发过程中的程序后门也是软件安全漏洞的重要原因。漏洞可以理解为某种形式的脆弱点,目前,有名的安全漏洞或脆弱点就多达150处,随着时间的推移,将会有更多新安全漏洞被人发现和利用。
2、网络病毒的侵扰。网络病毒传播的途径多,速度快,范围广,危害信息安全。网络病毒一般分为蠕虫和木马两类,主要通过电子邮件,网页代码,文件下载,漏洞攻击等方式传播,危害日益严重。如冲击波杀手病毒曾泛滥网络,造成网络核心设备过载死机,严重影响网络的运行。震荡波病毒曾大肆传播,感染病毒机器反复重启,严重影响了用户的使用。网络病毒严重危害了网络,在用户的心理上造成了一些恐慌。
3、人为的恶意攻击。这是网络所面临的最大威胁,多数计算机犯罪属于这一类。人为的恶意攻击的来源主要有:(1)来自网络外部的入侵、攻击等恶意破坏行为。目前在互联网上,人们可以自由下载很多攻击工具,这类攻击工具设置简单、使用方便。因此,普通攻击者可能不需要很高的技术水平便会对系统造成危害。(2)内部用户的攻击行为。图书馆网络内部有许多服务站对外开放,让用户很方便地使用,但是用户加入的同时,也给图书馆网络安全带来了威胁。许多恶意用户利用网络的内部站点,对图书馆的网络进行攻击,给网络资源带来很大危害。例如,授权访问尝试,它指的是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。
4、网络管理员与网络用户的错误操作。网络管理员的失误主要表现在对服务器系统、应用软件服务器端和网络设备设置不当造成的安全漏洞,如服务器端口开放错误、普通用户权限设置失误、网络设备安全设置不完整等。网络用户或低权限用户通常有一些无意识的错误操作,如口令设置不慎、将自己帐号随意借用他人、任意共享本地资源等行为。
二、图书馆网络安全策略及实现
针对图书馆网络安全所面临的各种问题,需要制定一套有针对性的完整的安全策略,该安全策略及其实现方式应包括以下内容:
1、网络管理策略:严格控制内部网络和互联网之间的联系,阻止黑客攻击,防止网络病毒的传播,同时要合理利用网络带宽并对网络信息进行安全过滤。图书馆网络安全和科学管理密不可分,一旦发现安全隐患的苗头及时补救可以避免更大的损失。制定一套行之有效的管理制度并严格执行是保障图书馆网络安全的重要举措。管理制度要确保开展以下工作:①定期检查服务器日志,发现异常情况及时处理。②利用网络检测工具定期对网络运行情况 1
进行检测分析,防止网络攻击。③对服务器及终端设备定期检测。④用户使用网络设备和终端必须认真登记。⑤所有的工作记录要保留在案,以便事后分析和总结,为将来可能出现的安全隐患提供判断依据。
2、用户和终端的安全策略:预防用户恶意或非恶意的非法操作和误操作,防止用户端的病毒传入同时要保证用户数据的正确恢复。对用户和终端采取足够的安全措施可以使内部网络从源头堵住不安全因素,做法主要有以下几点:①终端操作系统安装网络查毒、杀毒软件,病毒库应及时更新,终端操作系统还应具备还原功能以防用户修改。②所有终端上的数据和程序均应严格分开保存,对于数据共享应严格设置共享权限。③用户使用终端要有授权,并且可以对用户的操作进行监控并记录用户的操作过程。
3、服务器端安全策略:首先,服务器端提供有授权的服务,这些服务的对象应是有授权的用户和有授权的终端。其次,服务器端应提供数据的正确发布和维护。
(1)网络服务器的安全设置:网络服务器向因特网和内部网提供网络应用服务,如图书馆网站web服务等,网络服务器是最容易受到攻击和破坏的对象。根据实际经验通常以下工作是必要的:①网络服务器操作系统和应用程序一定要及时升级,补齐漏洞补丁。②与网络服务无关的任何应用软件程序不要安装在服务器上。③网络服务器应安装网络查毒、杀毒软件,及时更新病毒库。④屏蔽不使用的网络端口和协议,利用操作系统自身的安全策略管理器认真进行必要的安全策略设置。⑤安装防火墙对内部网络和因特网进行隔离,对防火墙规则进行合理设置,并根据实际网络使用情况进行定期调整。
(2)数据服务器的安全设置:数据服务器向因特网和内部网提供网络数据服务,如学术期刊电子资源服务、馆藏图书文献电子资料服务等,它是数字图书馆的核心。用户使用图书馆的最终目的就是获取数据即信息,因此,数据服务器的安全状况关系到图书馆各项目服务的正常开展。数据服务器的安全设置除应具备网络服务器的安全设置外,还应具备以下内容:①数据服务器对于用户来说应是隐藏的,用户无法通过内部网络或因特网直接访问。用户要获取数据服务器中的信息,只能通过网络服务器向数据服务器提出申请,再由网络服务器将信息传输至用户。②数据服务的对象要有严格的授权,包括用户身份的验证、使用终端的验证、用户可以访问的数据范围限制、用户访问的时间限制等。③数据服务器应具备防恶意下载功能,可以定义适当的下载规则来保证数据的合理利用。④数据的更新和维护要有严格的授权。⑤关键、机密数据的一定要定期检查和备份。
三、结语
图书馆网络安全问题本身具有动态性,任何时候都不能认为自己的网络是安全的。网络安全防范是一种持续不断的工作,防范不仅是被动的,更要主动进行而取得主动权。主动分析图书馆网络存在的安全问题和可能受到的安全威胁,跟踪最新的网络安全技术,实时调整网络安全策略,是图书馆网络安全的保障。
参考文献
[1]胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.[2]马辉.分析计算机网络的安全隐患,阐述防御对策[J].现代情报,2005,(6):31-34.2
第四篇:图书馆网络安全和网站监管管理制度
图书馆信息网络安全和网站监管管理制度
一.认真遵守《计算机信息网络国际互联网安全保护管理办法》和《**学院校园计算机网络管理》相关文件,自觉提高维护网络安全的警惕性和自觉性。
二.技术部负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
三.加强对图书馆网页信息发布的审核管理工作,发布内容由分管领导审核,各栏目信息发布由专人负责,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。
四.不得从事下列危害计算机信息网络安全的活动:
(1)未经允许进入计算机信息网络或者使用计算机信息网络资源;
(2)未经允许对计算机信息网络功能进行删除、修改或者增加;
(3)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(4)故意制作、传播计算机病毒等破坏性程序的;
(5)从事其他危害计算机信息网络安全的活动。
五、不准通过内部网络发布和工作无关的信息;不准通过电子邮件、BBS、Chat等方式发布不健康的、反动的、或者和工作无关的信息。
六、不准通过内部网络从事和工作无关的活动,包括:不准攻击内部或者外部的任何机器。
七、不准擅自使用他人的机器;不准通过他人的机器从事违反规定的活动。
八、不准将工作用机交给非单位人员使用。
九、为维护图书馆计算机网络安全、正常运行,确保服务器及各个终端正常使用。使网络资源充分安全共享,为图书馆正常工作活动提供安全的网络环境。技术部门技术部门要加强监控和管理:
(1)负责馆内整体网络安全的规划、管理及其相关的技术支持。
(2)负责馆内网络系统数据的安全备份。
(3)每天至少一次上网浏览相关网站,下载最新病毒代码。
(4)跟踪最新防病毒信息及其防杀方法,做好馆内局域网的防范工作。
(5)实时对各个工作终端进行病毒监测。
(6)及时将染病毒的工作终端逐一脱离网络,对染毒终端逐一进行全面查杀毒工作。
十、所有职工必须认真保管自己的机器账号和网管部授权使用的账号。计算机使用部门:
(1)做好各自部门使用的计算机网络设备的安全管理。
(2)做好各自部门数据的安全备份。
(3)及时通知技术部门有关各自部门使用的计算机病毒发生情况及其它安全隐患情况。
第五篇:图书馆服务与时俱进
浅谈高校图书馆宣传服务工作
蔡 静
摘要:高校图书馆在不断发展和创新,开展以人为本的人性化服务。但是许多读者还保留对图书馆不客观的认识,这就需要高校图书馆做好宣传服务工作,最大化的搭建与读者沟通的桥梁,促进高校图书馆的服务事业发展。
关键词:高校图书馆 图书馆服务 宣传服务 以人为本
高校图书馆是大学三大支柱之一,然而现实的情况却让人揪心:高校图书馆在大学中的地位相对低下,馆藏资源利用率不高,一些核心服务没能有效开展等现象还普遍存在。这与长期以来,由于宣传不到位,高校图书馆的资源和服务没有得到很好的利用有着一定的关系。究其原因有二:
其一、是由于读者对图书馆的认识不足。在他们眼中,大学里的图书馆只是一个庞大的藏书机构,所提供的服务也仅限于图书的借还,报刊的阅览等;
其二、图书馆自身的宣传不足,馆里的资源和服务向读者揭示得不够深刻。要彻底改变这种现象,树立高校图书馆应有的形象,我们除搞好自身的业务建设外,宣传工作的开展是一个有效的途径。而宣传是与时俱进的,传统的宣传方式已经无法满足图书馆的发展。
高校图书馆内涵丰富,除保存丰富的文化知识外,还为学校的教学、科研提供基础性服务。丰富的资源和多样的服务构成了多样的宣传内容,宣传途径主要如下:
一、面向读者的资源与服务宣传;
(一)、做好馆藏资源宣传。让读者了解到高校图书馆馆藏资源由纸本资源和电子资源组成,面对海量的信息,读者对信息的不了解会对馆藏资源的利用率和图书馆的形象造成很大的影响。我们可以给新生进行利用图书馆介绍讲座。在馆内各楼层设立楼层馆藏示意图,库室内设臵图书分布示意图,对书架进行标识,制作电子资源介绍小册子和馆藏查询系统介绍等等。
(二)、做好服务宣传。读者了解高校图书馆丰富的馆藏资源后,让他们得心应手的利用起图书馆资源很重要。宣传到位,读者自然如回家一样的走进图书馆。在服务的宣传上,尽可能让每一位读者都能知道图书馆所提供的服务,并能随时查看所有的服务内容,方便读者利用图书馆资源。我有以下几点提议:
(1)、高校图书馆在大厅以及各阅览室都备有印刷精美的各种介绍图书馆职能、服务项目、平面图和读者须知等印刷品,读者可以免费取用。
(2)、高校图书馆充分发挥计算机和网络系统的作用,高效地为读者服务。图书馆从采编、流通到阅览等环节全部实现了计算机管理。图书馆的计算机系统通过校园网与国际互联网相联,读者可以在世界上的任何一台可以上网的计算机里查询自己的借书情况,查找自己想要的图书资料并按图书馆有关规定预约借书和续借图书。提供求书栏目,让读者告诉我们他们渴望读而本馆尚未收藏的书籍,让我馆采编人员更能与读者亲密接触,了解读者的需求,根据实际期刊完善丰富我馆的藏书。
(3)、图书馆主页、电子显示屏和图书馆门口的宣传板及微博、论坛等地方应该及时公布图书馆最新信息。耐心解答读者提出的每一个问题。为了让读者能在短时间内对图书馆有较全面的了解。每次购买新的资源、各类活动、开展的讲座等信息通过网络最大限度的宣传出去。
(4)、密切与学院各部门联系,通过院系的办公室、科研秘书、社团对图书
2014-6-10 1
馆的资源服务进行宣传,争取在院系建立起图书馆的二级信息站。另外,还可以依靠学生义务馆员、勤工助学的学生以及学生刊物宣传图书馆的资源和服务。
(三)、做好面向科研读者的辅助学术研究服务的宣传;读者有着开展学术研究的基础和要求,他们对高校图书馆在学术研究的辅助方面提供的服务有着更多的期待。而高校图书馆作为高等教育体系一个基本组成部分,除了为读者提供普通的书刊借还和阅览外,还承担着给师生进行研究提供必要咨询、开展情报服务的重任,这是高校图书馆既重要又鲜为人知的功能。要想树立高校图书馆在大学里“心脏”的地位,这方面的服务应向读者进行重点的宣传推广。我院图书馆在提供咨询文献查阅服务。建立了“珠江学院图书馆书目检索系统”、开通和试用了“超星数字图书馆”、“socolar外文学术资源平台”、“维普数据库”、“爱迪克森《就业培训多媒体数据库》”、“中国知网CNKI数据库”等资源。这些资源应该大力的,循环的,通过网络广告等方式宣传起来,让更多读者了解图书馆资源
二、面向读者和馆员的图书馆精神宣传;
高校图书馆人的职业精神是:1.以人为本,服务至上的人文精神。2.尊重理性,追求真理的科学精神。3.敬业乐业,矢志不渝的奉献精神。4.与时俱进,不断创新的进取精神。图书馆精神是图书馆人应该持有的最重要的理念,只有让图书馆精神扎根于每位馆员的心中,并把它付诸我们的日常工作中,高校图书馆才能树立起应有的形象,才能持续向前发展。这就需要图书馆举办学术讲座、研讨会、座谈会等活动,让馆员多接触图书馆专业的图书馆的事业精神和图书馆的职业精神。及时鼓励优秀图书馆员,这可鞭策我馆的员工努力工作,同时也宣传了图书馆精神。
三、构建面向读者个性化图书馆宣传服务平台
高校图书馆应以宣传我馆,服务学生,了解需求的目的、不断的完善这样的一个个人平台。比如可以建立一个读者的个人电子账号管理的图书馆电子平台。用户用个人账号登陆自己的平台。系统服务内容包括:流通信息、检索查书、阅读计划书设定、预订续借书籍、读者求书、阅读借书历史、新书上架,热门书籍借阅排行榜、教师推荐书籍、意见反馈等栏目。举例:如在流通信息栏目:显示书名、作者、借书号和图书到期日等细节;检索查书栏目:可查看书籍的介绍,包括完全书名、作者、出版商、书刊号(ISBN),图书馆存放位臵等等,这对做出是否借书的决定及快速在图书馆找到书很有帮助;读者求书栏目,可以让读者在本书库找不到新书的情况下,像我馆提出购书的需求,方便我馆采购结合实际,有针对性的购新书;意见反馈栏目:为了更好的搞好读者服务,图书馆定期采用电子问卷的形式进行匿名问卷调查。我查看过多期的问卷,发现出于节省读者时间的考虑,问卷的设计简洁明了,调查所需时间往往不超过10分钟。调查结果如实公布在图书馆出版的通讯期刊上,自觉接受读者的监督。这项措施等于在教学过程中对教师和教学部门所进行的效果评估,对不断改善图书馆的规范化、人性化和个性化服务提供了有力的保证。
四、面向读者的学习设施的宣传
利用高校图书馆良好的读书环境,吸引读者来读书馆。期待宣传作用。为了提高工作和服务效率。让书库与阅览室合二为一。在书库中合理布臵阅览位臵,读者进去后.既可以较长时间阅读,也可以办理借书手续;图书馆应有足够数量的计算机及复印件、打印机为读者提供服务。读者若只打算复印一本书中的某一章节而不需要看整本书.复印设备就起到了节省时间的作用;可以设自动贩卖机,让学生购买水、饮料、本子、笔等图书馆用品。让学生在馆内阅读更加方便,轻松。在图书馆多方植物,壁画等装饰品,提高图书馆的环境氛围,让学生身心都收到自然、书香的熏陶。图书馆还可以开辟了些小组学习讨论室和个人自习室。小组学习讨论室配有电视机、电脑和DVD机,个人自习室配有计算机互联网接口。读者可以通过申请预订小组讨论室。这对集中在一段时间内集体完成某课题的读者们提供帮助。这些设臵也体现了以人为本的服务思想;做好全部覆盖WIFI网络的标示,读者可以提供手机电脑,手机等终端设备,结合书本查询资料,提高读书资料。这也提醒图书馆的先进性。
五、对外的公共关系宣传。
对外公共关系宣传主要是校内相关部门间的宣传和兄弟馆问的宣传。校内宣传主要是争取得到学校相关部门的有力支持和协作。兄弟馆问的宣传是为了谋求共同发展。本馆的馆情宣传是一个重要的内容,它主要包括取得的成绩、特色资源和创新服务项目等等。在校内宣传的方式上,应采取积极主动地向上级汇报工作、向学校主页投稿、馆内成果展示等有效的方式,还要积极参加学校组织的各种文体活动,加强与学校其他部门的联系,让他们对本馆的各方面有更多的了解;图书馆经常举行各种书展、画展和影展,邀请学者或各界名人举行各种学术讲座和文化沙龙。例如,邀请新书作者来举行新书发布会。这些艺术、学术和文化活动有助于建立一种特定的图书馆文化、有助于拉近图书馆与读者的关系,起到宣传相关,树立图书馆的地位。兄弟馆间的宣传则主要通过邮寄馆内动态等内部出版物,邀请到兄弟馆前来参观交流,积极参加兄弟馆问举办的一些学术的、非学术的活动来宣传本馆。
六、宣传过程中要注意一些问题。
(一)、宣传计划性要强。做到整个宣传以学期为单位,统一主题和指导方向周详计划。如只是遇一事宣一事,可能会导致工作的宣传不精准,很被动。所以,宣传工作要注意做到计划周详。
(二)、宣传考虑全局性。不动则已,一动牵天下。高校图书馆的业务有很多是关联着的,宣传工作应该从全局统筹考虑,特别是跨部门的宣传工作,要做到既理清宣传内容的交叉部分,又兼顾各部门的具体情况,把交叉的内容作一个统一宣传,避免因内容的重复宣传而混淆读者。
(三)、时效性网络宣传。图书馆资源丰富且是当代的信息前沿阵地。建议图书馆对馆内新藏书籍、新设的服务项目以及新刊物内容的动态信息等等,都是读者第一时间想了解的,这些内容的提供能吸引更多的读者利用好图书馆的新资源。我馆3月开始建立微薄就是一个很好的宣传方向。它及时的发布各类信息,吸引读者眼球,让读者利用网络,手机第一时间的了解到我院的最新状况。另外我们应该建立自己的图书馆论坛,让读者更快,更方便的提出各类建议。不要畏惧批评,我们应该在批评中成长,完善。
(四)、权威性的宣传产品。高校图书馆进行宣传的目的是让读者了解图书馆的功用和内涵,从而提高图书馆的利用率,树立良好的形象。成功的宣传信息应该做到:
(1)、宣传信息内容应准确无误、表达清楚。
(2)、宣传信息内容应让读者倍感亲切、容易理解。产生共鸣。
(3)、宣传信息图文应精美切合主题,切合图书馆的形象气质。
七、结语
高校图书馆的形象代表图书馆的“脸面”。读者只有看到好的脸面,才能真
正走进图书馆,从而与图书馆进行更深层次的交流与沟通。有些学生和老师在日常学习和工作中常常会发出这样的感叹找不到书,书却正安静地躺在大学的图书馆里。有学生说没有座位看书,许多座椅却冰凉的等待读者。有些学生对某类新书的渴望,只在内心而无法让图书馆了解。某些地方是我们偶尔的忽略,读者的失望。这样的局面让我们馆员焦心不已。这说明了宣传服务工作对高校图书馆来说是多么的紧迫和急需。因此,作为高校图书馆馆员的我们,有责任把我们的宣传工作做好,真正为读者的科研、学习、生活等提供有益的帮助。
点击咨询 