2022年2月，國際圖書館協(xié)會與機構(gòu)聯(lián)合會（International Federation of Library Associations and Institutions，IFLA）管理委員會批準通過了一項有關(guān)網(wǎng)絡(luò)安全的新聲明。這一聲明由IFLA總部和信息技術(shù)部門共同起草完成，探討了網(wǎng)絡(luò)安全在圖書館工作中的重要意義，闡述了圖書館領(lǐng)域有關(guān)網(wǎng)絡(luò)安全的關(guān)鍵概念和原則，并就圖書館、政府、圖書館協(xié)會和教育工作者如何幫助圖書館用戶和員工建立一個更安全的數(shù)字環(huán)境提出了建議。

網(wǎng)絡(luò)安全及其對圖書館的重要性

網(wǎng)絡(luò)安全的定義聚焦于保護網(wǎng)絡(luò)、設(shè)備和數(shù)據(jù)免受未經(jīng)授權(quán)的訪問和/或使用。與之密切相關(guān)的是確保信息的保密性、完整性和可用性。更廣泛的數(shù)字安全概念超越了技術(shù)或者犯罪的范疇，考慮了更多經(jīng)濟和社會方面的因素。網(wǎng)絡(luò)安全的標準以信息系統(tǒng)的組件為中心：

·關(guān)鍵應(yīng)用程序

·支持應(yīng)用程序的服務(wù)器和設(shè)備（數(shù)據(jù)中心等）

·支持系統(tǒng)的網(wǎng)絡(luò)的安全性

·軟件開發(fā)、變更控制和部署的安全性

·“最終用戶”或客戶端環(huán)境

以上都與圖書館的網(wǎng)絡(luò)安全息息相關(guān)，盡管不是所有的圖書館都對他們所使用系統(tǒng)的組件擁有相同水平的控制能力。圖書館位于不同的制度環(huán)境中，其網(wǎng)絡(luò)安全政策通常由管理機構(gòu)的總體政策決定。

例如，圖書館通常在基礎(chǔ)設(shè)施運營管理方面作用有限，主要涉及最終用戶或客戶端環(huán)境，同時在圖書館系統(tǒng)和服務(wù)提供的選擇、執(zhí)行、培訓(xùn)和管理方面發(fā)揮關(guān)鍵作用。

圖書館參與或宣傳的關(guān)鍵領(lǐng)域

圖書館通過自身的行動或影響他人的行動，希望在以下領(lǐng)域促進網(wǎng)絡(luò)安全：

·保護圖書館系統(tǒng)免受網(wǎng)絡(luò)安全風(fēng)險和威脅，以便持續(xù)提供服務(wù)

·確保圖書館用戶在使用圖書館系統(tǒng)時免受互聯(lián)網(wǎng)威脅

·保護用戶信息隱私

圖書館在提供互聯(lián)網(wǎng)訪問時，有法律或其他方面的義務(wù)，確保這一訪問不會被用來傷害他人。同樣的，圖書館也需要采取措施保證用戶不會使用圖書館系統(tǒng)或資源參與網(wǎng)絡(luò)犯罪活動，遵從圖書館許可的使用政策。

更積極的意義在于，鑒于用戶同樣會使用圖書館以外的互聯(lián)網(wǎng)接入其他信息系統(tǒng)，因此有機會通過數(shù)字掃盲計劃促進更廣泛的安全使用服務(wù)行為和協(xié)議。

在網(wǎng)絡(luò)安全和保護隱私之間尋找平衡

當然，促進網(wǎng)絡(luò)安全并非沒有爭議。識別潛在風(fēng)險的行為可能會與保護圖書館用戶和他人隱私的行為發(fā)生沖突。

例如，圖書館可能需要通過技術(shù)手段來強制執(zhí)行一些被認可的使用政策，或者與更廣泛的互聯(lián)網(wǎng)用戶共同接受政府安全部門的監(jiān)管。在這種情況下，重要的是要保持現(xiàn)有規(guī)則和工具的透明，以便為用戶提供合理選擇的機會。

當然，在另外一些方面，網(wǎng)絡(luò)安全策略和保護隱私的目標也可以結(jié)合在一起。例如，如果圖書館一開始就不存儲不必要的個人數(shù)據(jù)，并確保對存儲的數(shù)據(jù)進行適當?shù)募用埽瑒t可以將通過網(wǎng)絡(luò)攻擊丟失個人數(shù)據(jù)的風(fēng)險降至最低。

對可采取行動的建議

因此，IFLA提出以下建議。

如果圖書館對自己的信息系統(tǒng)負有（部分或全部）責(zé)任，圖書館應(yīng)該：

·以最小化原則收集和保存數(shù)據(jù)，包括在規(guī)定的時間段后刪除使用歷史記錄。

·在用戶使用圖書館系統(tǒng)時使用可用工具保護用戶，包括信息安全標準措施、加密網(wǎng)絡(luò)服務(wù)、有效密碼和網(wǎng)絡(luò)會話控制，或應(yīng)用最小權(quán)限原則，同時確保最大程度地保護用戶隱私。

·在所有圖書館工作站和服務(wù)器上實施端點安全控制。

·在實施工具以監(jiān)控不當使用或無意威脅的情況時，應(yīng)以提供最大透明度和尊重隱私的方式進行。

如果圖書館是一個更大機構(gòu)的組成部分（因此無法控制信息系統(tǒng)的關(guān)鍵組件）或依賴第三方供應(yīng)商，圖書館應(yīng)該：

·倡導(dǎo)主辦機構(gòu)采取有效的網(wǎng)絡(luò)安全措施，同時維護隱私原則，包括促進圍繞數(shù)據(jù)收集和保存的隱私友好型實踐。

·鼓勵圖書館的第三方供應(yīng)商實施有意義的網(wǎng)絡(luò)安全措施，以確保用戶在使用圖書館服務(wù)時可以規(guī)避不可接受的風(fēng)險。

所有圖書館都應(yīng)該：

·獨立或與主辦機構(gòu)合作（視情況而定）開展以下工作：

◎為使用互聯(lián)網(wǎng)和其他信息系統(tǒng)制定和發(fā)布可接受的使用政策。

◎制定和發(fā)布隱私政策，定義收集信息的地點和內(nèi)容以及信息的使用方式，描述在違規(guī)情況下會發(fā)生什么。

◎制定并發(fā)布網(wǎng)絡(luò)安全和信息安全政策，定義用于保護圖書館系統(tǒng)并在發(fā)生故障時具有復(fù)原力的原則和實踐。這應(yīng)該遵循圖書館領(lǐng)域的行業(yè)政策和流程規(guī)范。

◎確保所有圖書館員工都能夠掌握與各自任務(wù)相關(guān)的網(wǎng)絡(luò)安全基礎(chǔ)知識并予以實施（例如良好的密碼策略等）。

◎探索建立用戶數(shù)字素養(yǎng)的可能性，包括了解如何規(guī)避網(wǎng)絡(luò)風(fēng)險。

圖書館協(xié)會和其他支持組織應(yīng)該：

·適時提供有關(guān)圖書館工作中網(wǎng)絡(luò)安全的更新和信息，并在可能的情況下提供培訓(xùn)或其他資源的鏈接。

·考慮與其他參與人員合作，確保人們在線安全。

各國政府應(yīng)該：

·確保圖書館擁有能夠最大限度地提高網(wǎng)絡(luò)安全的資源和培訓(xùn)能力，投資（包括通過圖書館的）數(shù)字掃盲計劃，促進在線安全。

·確保更廣泛的網(wǎng)絡(luò)安全政策能夠?qū)⒂行耘c對人的尊重（包括個人隱私）結(jié)合起來。