試論圖書館的網(wǎng)絡(luò)信息安全

馮紅娟

摘 要：隨著數(shù)字圖書館、智慧圖書館的持續(xù)建設(shè)和發(fā)展，圖書館面臨越來越多網(wǎng)絡(luò)信息安全方面的挑戰(zhàn)。文章從落實(shí)等級保護(hù)、提升硬件安全、確保系統(tǒng)安全、加強(qiáng)數(shù)據(jù)安全、制定管理制度、重視人才培養(yǎng)等角度對圖書館的網(wǎng)絡(luò)信息安全展開了深入分析，提出了圖書館加強(qiáng)網(wǎng)絡(luò)信息安全的策略。

關(guān)鍵詞：圖書館；網(wǎng)絡(luò)安全；安全策略；等級保護(hù)

中圖分類號：G250.7?? 文獻(xiàn)標(biāo)識碼：A?? 文章編號：1003-1588（2023）03-0063-03

人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈等信息技術(shù)的快速發(fā)展，在促進(jìn)社會進(jìn)步的同時，也給網(wǎng)絡(luò)信息安全帶來了更多挑戰(zhàn)。加強(qiáng)網(wǎng)絡(luò)信息安全旨在保護(hù)信息系統(tǒng)的硬件、軟件及數(shù)據(jù)不受偶然因素或惡意因素破壞、篡改和泄露，確保系統(tǒng)穩(wěn)定運(yùn)行，正常提供服務(wù)［1］。在智能技術(shù)驅(qū)動下，圖書館正經(jīng)歷從物理圖書館、數(shù)字圖書館到智慧圖書館的轉(zhuǎn)型發(fā)展［2］，應(yīng)用系統(tǒng)在為讀者提供更便捷、更人性化的信息服務(wù)、知識服務(wù)和智慧服務(wù)的同時，如何避免網(wǎng)絡(luò)安全事件發(fā)生，亟須圖書館深入研究。

1 網(wǎng)絡(luò)信息安全法律法規(guī)

近年來，隨著網(wǎng)絡(luò)及信息技術(shù)的發(fā)展和應(yīng)用，我國先后出臺了多項(xiàng)網(wǎng)絡(luò)信息安全法律法規(guī)，如：2016年通過了《中華人民共和國網(wǎng)絡(luò)安全法》，該法是我國首部全面規(guī)范網(wǎng)絡(luò)安全和信息安全的基礎(chǔ)性法律，對確立我國網(wǎng)絡(luò)安全基本管理制度具有里程碑式的重要意義；2019年發(fā)布了網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)，同年通過了《中華人民共和國密碼法》；2021年通過了《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護(hù)法》。上述一系列法律法規(guī)和標(biāo)準(zhǔn)的出臺標(biāo)志著我國網(wǎng)絡(luò)安全法律體系的進(jìn)一步完善，有助于全面提升網(wǎng)絡(luò)安全保障能力、加強(qiáng)個人信息保護(hù)、增強(qiáng)網(wǎng)絡(luò)安全意識。這些法律法規(guī)對圖書館的網(wǎng)絡(luò)信息安全工作具有重要的指導(dǎo)作用。

2 圖書館網(wǎng)絡(luò)信息安全存在的風(fēng)險因素

圖書館的網(wǎng)絡(luò)信息安全風(fēng)險因素有以下幾點(diǎn)：一是硬件故障導(dǎo)致數(shù)據(jù)丟失風(fēng)險。服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等硬件出現(xiàn)故障會造成數(shù)據(jù)丟失和系統(tǒng)無法正常運(yùn)行。二是系統(tǒng)漏洞帶來的網(wǎng)絡(luò)安全風(fēng)險。系統(tǒng)漏洞可能來自系統(tǒng)設(shè)計(jì)和編碼的缺陷，也可能來自業(yè)務(wù)流程的不規(guī)范，還有可能來自運(yùn)維管理的不嚴(yán)格，系統(tǒng)漏洞會導(dǎo)致黑客攻擊、數(shù)據(jù)外泄或被篡改等風(fēng)險，常見的漏洞有SQL注入漏洞、跨站腳本漏洞等。三是計(jì)算機(jī)病毒造成的安全風(fēng)險。計(jì)算機(jī)病毒具有破壞性、隱蔽性、潛伏性和傳染性等特點(diǎn)，可根據(jù)黑客意圖發(fā)起攻擊，破壞或刪除文件、竊取密碼或重要文件等。四是工作人員安全意識薄弱導(dǎo)致安全問題。工作人員的網(wǎng)絡(luò)安全意識薄弱也會導(dǎo)致網(wǎng)絡(luò)信息出現(xiàn)安全風(fēng)險，如因系統(tǒng)賬號、密碼等重要信息疏于管理從而產(chǎn)生數(shù)據(jù)外泄。

3 圖書館網(wǎng)絡(luò)信息安全策略

3.1 落實(shí)等級保護(hù)要求，加強(qiáng)安全防護(hù)

《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，明確了網(wǎng)絡(luò)安全等級保護(hù)制度的法律地位。網(wǎng)絡(luò)安全等級保護(hù)制度是根據(jù)我國網(wǎng)絡(luò)信息基本情況實(shí)行的一套較為成熟的網(wǎng)絡(luò)安全保護(hù)機(jī)制，是落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》、保障系統(tǒng)網(wǎng)絡(luò)安全的有效途徑［3，4］。2019年5月，網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布，該標(biāo)準(zhǔn)更加注重全方位主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護(hù)，可擴(kuò)展到云計(jì)算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級保護(hù)工作，覆蓋面更廣。

網(wǎng)絡(luò)安全等級保護(hù)工作包括信息系統(tǒng)的定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全監(jiān)督檢查等環(huán)節(jié)。對信息系統(tǒng)定級，并按等級保護(hù)要求進(jìn)行防護(hù)是圖書館加強(qiáng)信息系統(tǒng)安全的有效途徑之一［5］。通過系統(tǒng)定級，圖書館可將有限的財(cái)力、物力、人力投入更重要的信息系統(tǒng)保護(hù)當(dāng)中，變被動防御為主動保障，有利于加強(qiáng)重要信息系統(tǒng)的安全防護(hù)［6］。目前，我國的信息系統(tǒng)等級保護(hù)共有五個等級，詳見表1。

3.2 定期進(jìn)行設(shè)備管理維護(hù)，提升硬件安全

圖書館部署信息系統(tǒng)所使用的服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等，是保障網(wǎng)絡(luò)信息安全的基礎(chǔ)和前提。服務(wù)器部署需根據(jù)項(xiàng)目需求選定適宜的RAID機(jī)制，常用的RAID級別有RAID5、RAID1，有條件的圖書館還可考慮負(fù)載均衡、備用機(jī)等安全機(jī)制。系統(tǒng)設(shè)備出現(xiàn)故障會出現(xiàn)響應(yīng)速度變慢、數(shù)據(jù)丟失甚至系統(tǒng)癱瘓等情況，因此系統(tǒng)管理人員需定期對設(shè)備進(jìn)行巡檢和維護(hù)［7］。

3.3 及時修復(fù)漏洞、加強(qiáng)監(jiān)測，確保系統(tǒng)安全

3.3.1 基線配置的合規(guī)性管理。對服務(wù)器各項(xiàng)配置信息進(jìn)行合規(guī)設(shè)置可有效控制因系統(tǒng)配置不當(dāng)引發(fā)的業(yè)務(wù)中斷及信息外泄風(fēng)險，加強(qiáng)信息系統(tǒng)的安全保障。常用的基線配置包含以下幾點(diǎn)：一是設(shè)置系統(tǒng)配置口令的相關(guān)策略，如啟用密碼復(fù)雜度要求、設(shè)置密碼長度的最小值、密碼最長使用期限等。二是設(shè)置賬號鎖定策略，對賬戶鎖定時間、賬戶鎖定閾值、重置賬戶鎖定計(jì)數(shù)器等進(jìn)行設(shè)置，避免賬戶密碼被惡意破解。三是開啟系統(tǒng)屏保并設(shè)置密碼。四是安裝防病毒軟件并定期升級其功能，使其具備最新防護(hù)能力。五是加強(qiáng)賬戶管理，禁用來賓賬戶，及時處理長期不用賬號等。

3.3.2 漏洞檢測及修復(fù)。圖書館要定期對服務(wù)器進(jìn)行漏洞掃描、木馬檢測、滲透測試等安全檢測，并基于檢測結(jié)果進(jìn)行安全加固，關(guān)停不必要的應(yīng)用和服務(wù)，如：針對操作系統(tǒng)漏洞可通過更新版本或打補(bǔ)丁的方式防護(hù)，針對應(yīng)用程序漏洞可通過打補(bǔ)丁、更新程序版本或安裝其他類似功能的應(yīng)用程序提升系統(tǒng)安全性，自開發(fā)的應(yīng)用系統(tǒng)可通過修改源代碼的方式修復(fù)漏洞［8-10］。

3.3.3 防火墻管理。設(shè)置嚴(yán)格的防火墻也是網(wǎng)絡(luò)信息系統(tǒng)抵御病毒入侵的有效方式之一，圖書館可根據(jù)系統(tǒng)功能需求設(shè)置防火墻，遵循非必要不開放的最小化原則對開放端口進(jìn)行管理，以減少安全隱患，提升系統(tǒng)安全性，如：針對Linux系統(tǒng)常見的遠(yuǎn)程桌面訪問OpenSSH漏洞，圖書館可對22端口進(jìn)行限制，只允許合法的IP進(jìn)行遠(yuǎn)程訪問。

3.4 加強(qiáng)數(shù)據(jù)安全防護(hù)，避免數(shù)據(jù)外泄風(fēng)險

數(shù)據(jù)是社會生產(chǎn)經(jīng)營活動的核心生產(chǎn)要素之一，是重要的戰(zhàn)略資源，隨著數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)安全問題日益受到重視。2021年9月1日，《中華人民共和國數(shù)據(jù)安全法》正式實(shí)施，為數(shù)據(jù)安全管理提供了法律依據(jù)。《信息安全技術(shù)—個人信息安全規(guī)范》（GB/T35273—2020），將個人信息分為一般個人信息和個人敏感信息，個人敏感信息包括個人財(cái)產(chǎn)信息（如銀行賬號、存款信息、交易和消費(fèi)記錄等）、個人健康生理信息（如檢驗(yàn)報(bào)告、手術(shù)及麻醉記錄等）、個人生物識別信息（如個人基因、指紋、面部識別特征等）、個人身份信息（如身份證、社?？ǖ龋约捌渌畔ⅲㄈ缁槭?、宗教信仰等），個人敏感信息是應(yīng)被重點(diǎn)保護(hù)的一類信息。該規(guī)范還特別強(qiáng)調(diào)，通常情況下14歲以下（含）兒童的個人信息和涉及自然人隱私的信息屬于個人敏感信息。為保護(hù)用戶信息、保障用戶知情權(quán)，圖書館的信息系統(tǒng)在收集用戶個人信息時，需將信息使用目的、方式和范圍等告知用戶并獲得許可［11，12］。加強(qiáng)數(shù)據(jù)安全防護(hù)，尤其是用戶敏感數(shù)據(jù)，圖書館需做好安全管理和定期備份工作，可通過數(shù)據(jù)加密等方式增強(qiáng)其安全性，確保數(shù)據(jù)的可用性、完整性和保密性。

3.5 制定有效的規(guī)章制度，不斷更新完善

為保障網(wǎng)絡(luò)信息安全，圖書館需在貫徹執(zhí)行各項(xiàng)網(wǎng)絡(luò)安全法律法規(guī)的基礎(chǔ)上，根據(jù)本館信息系統(tǒng)具體情況制定合理有效的規(guī)章制度，明確網(wǎng)絡(luò)安全責(zé)任分工，并根據(jù)信息系統(tǒng)建設(shè)情況對規(guī)章制度進(jìn)行更新和完善。就機(jī)房安全而言，工作人員進(jìn)出機(jī)房要有規(guī)范的管理流程和記錄，未經(jīng)許可工作人員不得隨意進(jìn)出機(jī)房，服務(wù)器和信息系統(tǒng)的管理需權(quán)責(zé)到人，明確的責(zé)任分工有利于做好服務(wù)器及信息系統(tǒng)的運(yùn)行監(jiān)測、漏洞自查修復(fù)、重要數(shù)據(jù)備份、軟硬件故障排查、配件維修更換等日常運(yùn)維工作，確保信息系統(tǒng)平穩(wěn)運(yùn)行。此外，圖書館還需根據(jù)信息系統(tǒng)的保護(hù)級別和實(shí)際運(yùn)行情況制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，提升應(yīng)急處置能力，以應(yīng)對突發(fā)的網(wǎng)絡(luò)安全事件。

3.6 重視人才培養(yǎng)，提升員工網(wǎng)絡(luò)安全意識

圖書館的網(wǎng)絡(luò)信息安全貫穿其數(shù)字資源建設(shè)和服務(wù)的全流程，從項(xiàng)目立項(xiàng)、信息系統(tǒng)建設(shè)到數(shù)據(jù)加工、系統(tǒng)維護(hù)、讀者服務(wù)等，各環(huán)節(jié)都需要充分考慮網(wǎng)絡(luò)安全問題。一方面，圖書館信息系統(tǒng)的網(wǎng)絡(luò)管理、防火墻設(shè)置、漏洞修復(fù)，以及數(shù)據(jù)庫建設(shè)等工作都需要具備相關(guān)專業(yè)知識的人才才能完成；另一方面，計(jì)算機(jī)信息技術(shù)在不斷升級迭代，因此，圖書館亟須通過技術(shù)培訓(xùn)、業(yè)務(wù)交流、自主學(xué)習(xí)等多種方式加強(qiáng)人才培養(yǎng)，提升館員的網(wǎng)絡(luò)安全防護(hù)意識和業(yè)務(wù)技能以為圖書館的網(wǎng)絡(luò)信息安全工作提供人才支持。

參考文獻(xiàn)：

［1］ 彭珺，高珺.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究［J］.計(jì)算機(jī)與數(shù)字工程，2011（1）：121-124，178.

［2］ 初景利，段美珍.智慧圖書館與智慧服務(wù)［J］.圖書館建設(shè)，2018（4）：85-90，95.

［3］ 李勁，張?jiān)傥洌惣殃?網(wǎng)絡(luò)安全等級保護(hù)2.0定級、測評、實(shí)施與運(yùn)維［M］.北京：人民郵電出版社，2021：2-9.

［4］ 郭巍，關(guān)興卓.淺談網(wǎng)絡(luò)安全等級保護(hù)制度在《網(wǎng)絡(luò)安全法》作用下的發(fā)展［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（5）：18-20.

［5］ 劉欣慧，劉坤峰.法律視角下的圖書館信息安全問題研究［J］.法制與社會，2021（7）：93-94.

［6］ 張賽男，王瑜，劉恩濤，等.高校圖書館網(wǎng)絡(luò)安全管理策略研究［J］.圖書館學(xué)刊，2020（8）：95-99.

［7］ 劉曉輝.網(wǎng)絡(luò)服務(wù)器搭建與管理（第3版）［M］.北京：電子工業(yè)出版社，2012：447.

［8］ 什么是服務(wù)器漏洞？如何發(fā)現(xiàn)服務(wù)器的漏洞［EB/OL］.［2022-12-21］.https：//www.safedog.cn/news.html？id=4281.

［9］ 張國鋒，段西強(qiáng)，馮斌，等.漏洞掃描與防護(hù)：入門與實(shí)踐［M］.青島：中國石油大學(xué)出版社，2021：131-133.

［10］ 郭錫泉，陳香錫.Web安全漏洞及代碼審計(jì)（微課版）［M］.北京：電子工業(yè)出版社，2021：115-120.

［11］ 丁振贛.網(wǎng)絡(luò)安全與個人信息保護(hù)法律實(shí)務(wù)［M］.深圳：海天出版社，2021：36-38.

［12］ 陸康，劉慧，任貝貝，等.智慧圖書館用戶數(shù)據(jù)隱私保護(hù)研究：基于《中華人民共和國網(wǎng)絡(luò)安全法》和《一般數(shù)據(jù)保護(hù)條例》的文本啟示［J］.圖書館理論與實(shí)踐，2020（3）：17-21.

（編校：徐黎娟）