• 18.38 KB
  • 2021-10-15 发布

面向数字图书馆的用户个人电子信息安全保护技术研究

  • 8页
  • 当前文档由用户上传发布,收益归属用户
  1. 1、本文档由用户上传,淘文库整理发布,可阅读全部内容。
  2. 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,请立即联系网站客服。
  3. 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细阅读内容确认后进行付费下载。
  4. 网站客服QQ:403074932
面向数字图书馆的用户个人电子信息安全 保护技术研究 摘要:文章介绍了数字图书馆用户个人电子信息的内容,分析了 数字图书馆用户个人信息面临的安全威胁,提出了数字图书馆用户个 人信息安全的保护策略。 关键词:数字图书馆;用户;个人电子信息;安全保护技术 大数据环境下,包括社交网络、物联网以及移动网络在内的大型 互联网让用户在使用过程中产生了大量数据足迹[1]。信息收集技术、 筛选技术以及处理技术的应用让用户的隐性数据无法得到有效保护。 在商业利益的诱惑下,社会上已经出现了大量用户私密信息(包括股 民信息、房主信息、患者信息、车主信息以及商务人士信息等)的出 售活动,并且已经形成了一条黑色产业链,用户私密信息的安全问题 日益严重。用户信息不仅是数字图书馆管理的重要对象,而且是其进 行服务升级的重要依据。因此,数字图书馆应该在用户信息数据安全 方面负起责任。 1 数字图书馆用户个人电子信息的内容 数字图书馆的用户个人信息是指用户在使用数字图书馆过程中 产生的与用户有关的信息资源,这些信息资源是用户与数字图书馆之 间的绝密信息,数字图书馆应该保证个人信息的安全,有效地保护用 户的利益,从而获得他们的信任。 1.1 用户的个人注册信息 当用户在数字图书馆上注册时,他们会被要求填写必需的个人信 息,其中包括个人学历和身份信息等[2]。个人学历信息主要包括用 户的职业、工作单位、学历水平、专业以及兴趣爱好等,个人身份信 息主要包括用户姓名、性别、联系电话、年龄以及电子邮箱等。 1.2 用户的个人使用记录 为了记录数字图书馆的服务情况和资源使用情况,数字图书馆利 用 Web 服务器记录用户使用资源的情况,即以工作日志的方式记录 用户的访问内容、访问时间、访问结果以及 IP 地址等[3]。数字图书 馆可以将收集到的用户使用信息进行数据挖掘和数据分析,从而挖掘 出用户的兴趣爱好、访问习惯以及研究方向等,这些被挖掘出来的数 据也属于私密信息。 2 数字图书馆用户个人信息面临的安全威胁 2.1 网络层的安全威胁 网络层的路由系统、访问控制系统、远程接入系统、身份认证系 统及域名系统都容易受到病毒或黑客攻击,网络层面临的安全威胁包 括计算机病毒威胁、黑客攻击威胁、网络边界威胁以及数据传输错误 威胁等[4]。用户私密信息在网络传输过程中有可能受到窃听、截获、 破坏以及篡改等威胁,致使其信息的完整性和安全性无法得到有效保 证。网络边界是数字图书馆与互联网联系的第一道防线,主要包括网 络与用户终端之间的边界以及网络与网络之间的网关边界,其对应的 网络安全问题主要有馆域网用户访问监管力度不足、非法侵入、用户 终端能力下降以及非法应用软件安全控制不力等。黑客利用 DDoS 对网络层进行攻击,达到网络阻塞甚至瘫痪的目的。 2.2 应用层的安全威胁 应用层面临的安全威胁主要有木马程序、蠕虫程序、拒绝服务攻 击、网页篡改以及宽带占用等[5]。应用层的各种应用型软件在设计 方面并沒有完全参考网络上存在的各种安全威胁,都会存在一定的设 计缺陷。因此,数字图书馆会经常受到病毒或黑客的攻击,用户的私 密信息也得不到充分的安全保证。目前,黑客大都采用木马、蠕虫、 网络钓鱼等攻击方式,这些方式对应用层的安全威胁巨大。甚至有些 黑客采用移动代码和电子邮件的复合型攻击方式,其攻击威胁程度更 高。随着网络技术的不断推广,应用层的安全威胁已经成为数字图书 馆最大的安全隐患,该隐患具有危害大、辐射范围广和发作时间快等 特点。 2.3 管理层的安全威胁 数字图书馆以信息资源为核心内容,以功能应用为服务手段,拥 有较为复杂的安全体系,它的所有安全策略都需要管理人员制订,因 此管理层在数字图书馆中起关键作用。管理层面临的安全威胁主要有 管理人员权利和职责不明确、操作不规范、安全管理制度不完善等 [6]。当系统受到黑客攻击或者其他恶意攻击时,数字图书馆的安全 体系无法进行实时的监控、检测、警告、报告,也无法准确提供黑客 攻击行为的追踪线索。另外,管理人员的安全防护意识淡薄,允许用 户使用默认用户名和密码进行登录,致使安全防护体系很容易被黑客 入侵。管理层的安全威胁可以使整个数字图书馆的安全防护体系形同 虚设,它是用户私密信息安全的最大威胁。 3 数字图书馆用户个人信息的安全保护策略 数字图书馆需要加强用户私密信息的安全保护力度,维护好“保 护用户信息,维护用户利益”的良好形象。 3.1 用户信息采集阶段 数字图书馆对用户信息进行资源化处理的第一步就是采集用户 信息,这是非常重要的环节。但是,数字图书馆在采集用户信息方面 存在一些问题,并没有形成规范的采集步骤。现阶段,数字图书馆主 要借助计算机采集用户信息,有两种方式:用户主动提供私密信息或 在用户知情的状况下被动提供私密信息,系统在用户不知情的状况下 自动采集私密信息。在服务器帮助下,数字图书馆可以利用 Cookie 技术将少量用户信息自动存储到客户端缓存中,或者让服务器直接读 取客户端的硬盘数据,这就给用户私密信息的安全性带来巨大威胁。 因此,数字图书馆可以设立专门保护用户信息的资源化小组,该小组 的主要任务就是负责制订用户信息采集规范和采集准则,提高管理人 员保护用户信息的能力。采集用户信息的规范要根据国家相关法律法 规制订,其主要内容有:①将用户个人信息进行分类,可分为一般性 信息和私密性信息。②规定采集用户信息的手段和方式。③规定采集 的具体内容和信息保存时间。④要在公告栏和网站上发布采集准则。 如:中国科学院就专门公告隐私声明,并且会承诺“在未经过您的同 意之前,本图书馆或者网站不会转载您的任何资料和信息”。中国科 学院图书馆也制订了一些采集信息规则:尽量不采集用户敏感信息, 如需采集,需要征得用户同意;不利用间接手段或者隐蔽手段采集用 户个人信息;对于智能化和自动化的采集方式要严加考核,并保护个 人信息;不允许管理人员私自采集和处理用户个人信息等。 3.2 用户信息组织加工阶段 用户信息只有经过有序化和组织化处理后,才能够成为真正的资 源,否则,不仅不能够得到有效利用,还会造成资源浪费和信息污染。 用户信息每经过一次处理,就会增强其针对性,就会增大其应用价值, 进而会涉及更多的私密信息。如:数字图书馆利用用户阅读和下载的 信息资源类型,就可以获取他们的兴趣爱好、研究方向以及职业类型 等。因此,数字图书馆对用户信息进行安全设定是很有必要的,可以 在数据库中添加一个安全等级标识,不仅能为数据挖掘提供数据支 持,还能为数据共享和发布提供必要的安全保护。用户的基本信息包 括用户的姓名、性别、出生年月、联系方式、专业、登录密码等,显 然这些信息不能够完全公开。因此,数字图书馆需要设定安全等级, 主要分为四个等级:第一等级为可以完全公开的用户信息;第二等级 为可以在个性化服务、用户满意度评估以及信息管理等模块中公开的 用户信息;第三等级为仅供管理人员读取和管理的用户信息;第四等 级为用户的安全凭证信息,这类信息一般不对外公开。 3.3 用户信息利用阶段 数字图书馆采集用户信息的应用领域主要包括信息发布、学科服 务、用户个性化服务以及与其他服务系统的共享等方面。信息的共享 性和流动性直接决定了信息的应用价值,信息的共享性和流动性越 强,信息的应用价值就越大。用户的信息共享模式主要有:①借助数 字图书馆,用户可以方便地获取数字化信息资源和传统文献资源。但 是,用户不能从数字图书馆中获取其他用户的资源,因为这涉及用户 信息的隐私问题。②数字图书馆内的各个部门之间以及数字图书馆与 其他部门(如网络中心、档案室、教务处和科研处等)之间需要实现 信息共享。如:流通部门需要将接收的用户信息传送给系统部门,以 便让这些用户获得访问权限。③数字图书馆可以采用联合资讯和馆际 互传等方式与其他图书馆实现信息共享。数字图书馆如果无法解答用 户提出的问题,就可以与其他图书馆进行资讯,以便为他们提供更好 的服务。④数字图书馆可以与数据库提供商、软硬件提供商、书商、 业务外包商及出版社等机构进行互动交流。如:数据库提供商、软硬 件提供商和 RFID 软件供应商会根据自身需求访问数字图书馆的数据 库或镜像数据库。数字图书馆与其他部门或者机构进行互动交流时, 可以利用匿名化保护技术,管理用户的私密信息,进而避免用户私密 信息的泄露。 數字图书馆集成服务系统是整个数字图书馆的主要业务系统,主 要包括用户信息、业务管理信息和文献资料信息等[7]。数字图书馆 可以根据用户的借阅记录和个人信息,对用户的兴趣爱好进行定位, 从而更好地帮助用户获取所需的信息资源。数字图书馆还可以利用 OLAP 分析技术对用户的使用数据、系统日志和馆藏数据进行分析和 挖掘,并将处理内容分为图书采购分析、用户需求分析和馆藏结构分 析,为管理人员提供有效的决策参考。数字图书馆针对不同的应用目 的,其数据属性也会显示不同的等级。 4 结语 为了提供更好的信息服务,数字图书馆应该重视用户信息的采 集、利用和处理环节。数字图书馆采集的用户信息越多,为用户提供 信息服务时,就越有针对性。因此,数字图书馆处于一种尴尬境地, 要想提供优质信息服务,就必须采集更多的用户信息;采集的用户信 息越多,就越可能侵犯用户隐私。如何在为用户提供好的信息服务与 保证用户隐私信息的安全性之间保持平衡是值得探究的课题,笔者提 出了以上安全保护策略,它既能够采集足够多的用户信息,又能够保 障用户的信息安全。