陳天文 高洪臻

關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng);安全保護(hù);等級(jí)測(cè)評(píng);圖書館網(wǎng)站;圖書館業(yè)務(wù)管理系統(tǒng)

摘 要：文章基于公共圖書館業(yè)務(wù)管理系統(tǒng)和網(wǎng)站，簡(jiǎn)述了公共圖書館的網(wǎng)絡(luò)安全現(xiàn)狀，闡述了開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的步驟，從技術(shù)和管理兩個(gè)方面提出了保障網(wǎng)絡(luò)安全的具體措施，以期為公共圖書館加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)提供參考。

中圖分類號(hào)：G251文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1003-1588（2021）05-0009-03

1 背景

我國(guó)公共圖書館自20世紀(jì)90年代逐步實(shí)現(xiàn)了采訪、編目、流通的自動(dòng)化管理，2001年開(kāi)始先后啟動(dòng)了文化信息資源共享工程、數(shù)字圖書館推廣工程、電子閱覽室建設(shè)工程，2019年將三大工程整合為公共數(shù)字文化服務(wù)工程，集圖書館業(yè)務(wù)管理自動(dòng)化、數(shù)字圖書館、電子閱覽室、總分館等若干系統(tǒng)為一體的智能綜合網(wǎng)絡(luò)系統(tǒng)已成為圖書館業(yè)務(wù)運(yùn)行的神經(jīng)中樞。公共圖書館網(wǎng)絡(luò)系統(tǒng)保存了大量的讀者信息、圖書信息、借閱信息及海量數(shù)字資源，如果受到攻擊和破壞，業(yè)務(wù)將全線癱瘓，因此，網(wǎng)絡(luò)安全已成為公共圖書館網(wǎng)絡(luò)建設(shè)和管理的重要工作。當(dāng)前，我國(guó)公共圖書館大多只在網(wǎng)絡(luò)入口處安裝了具有NAT轉(zhuǎn)換功能的防火墻，而在入侵檢測(cè)、防病毒、服務(wù)器防護(hù)、數(shù)據(jù)安全等方面沒(méi)有制訂完整的解決方案，尤其是基層公共圖書館的網(wǎng)絡(luò)系統(tǒng)存在很大的安全隱患。

《中華人民共和國(guó)安全法》從國(guó)家層面提出了網(wǎng)絡(luò)安全的總體要求，其中明確要求實(shí)行網(wǎng)絡(luò)等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)者要履行網(wǎng)絡(luò)安全保護(hù)義務(wù)?！缎畔踩燃?jí)保護(hù)管理辦法》對(duì)信息安全等級(jí)保護(hù)的實(shí)施和管理提出了具體方案。公共圖書館應(yīng)根據(jù)國(guó)家法律法規(guī)，結(jié)合自身特點(diǎn)開(kāi)展信息安全等級(jí)保護(hù)工作，保證圖書館網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定。

2 公共圖書館的網(wǎng)絡(luò)安全現(xiàn)狀

隨著新一輪技術(shù)革命的加速推進(jìn)，公共圖書館為實(shí)現(xiàn)數(shù)字化、智能化服務(wù)逐步引入大數(shù)據(jù)、智能化等技術(shù)，隨之而來(lái)的是越來(lái)越嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。2018年，封丘縣圖書館由于未采取有效網(wǎng)絡(luò)安全防范措施，網(wǎng)站遭到惡意攻擊，網(wǎng)頁(yè)被篡改，造成了惡劣的社會(huì)影響。

2.1 黑客入侵技術(shù)不斷升級(jí)，更加難以追蹤

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客入侵的手段也變得更加多樣化，常見(jiàn)的有暴力破解、遠(yuǎn)程控制、網(wǎng)絡(luò)釣魚(yú)、信息監(jiān)聽(tīng)、木馬病毒等，在感染服務(wù)器主機(jī)的同時(shí)變成網(wǎng)絡(luò)攻擊者，網(wǎng)絡(luò)安全防御總是被動(dòng)應(yīng)對(duì)。公共圖書館作為開(kāi)放性的公共服務(wù)場(chǎng)所，也是黑客入侵的潛在目標(biāo)，網(wǎng)絡(luò)安全防護(hù)意識(shí)不強(qiáng)、安全設(shè)備配備不到位、技術(shù)更新不及時(shí)將無(wú)法應(yīng)對(duì)當(dāng)前形勢(shì)復(fù)雜的網(wǎng)絡(luò)入侵威脅。

2.2 公共圖書館服務(wù)范圍不斷延伸，智能化技術(shù)不斷更迭

公共圖書館的信息化建設(shè)經(jīng)過(guò)20多年發(fā)展，網(wǎng)絡(luò)化、智能化技術(shù)已經(jīng)普遍應(yīng)用于各個(gè)工作環(huán)節(jié)，特別是RFID自助借還、信用借閱等新型服務(wù)方式為廣大讀者提供了更加便捷的閱讀服務(wù)。但是，當(dāng)前公共圖書館的“手機(jī)+RFID”等智能化應(yīng)用主要考慮其功能實(shí)現(xiàn)，在安全性、隱私性等方面缺乏相應(yīng)的研究。為實(shí)現(xiàn)免押金、免辦證等便民服務(wù)，公共圖書館與第三方合作開(kāi)展了信用借閱服務(wù)，圖書館業(yè)務(wù)管理系統(tǒng)在與第三方應(yīng)用系統(tǒng)對(duì)接過(guò)程中，數(shù)據(jù)同步與共享以及金融支付功能增大了數(shù)據(jù)泄露的風(fēng)險(xiǎn)，這對(duì)公共圖書館業(yè)務(wù)與金融功能融合的網(wǎng)絡(luò)安全提出了更高要求。

3 公共圖書館開(kāi)展信息安全等級(jí)保護(hù)工作的步驟

3.1 系統(tǒng)定級(jí)

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的首要環(huán)節(jié)是定級(jí)[1]。網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)分為五級(jí)，一級(jí)防護(hù)水平最低，最高等級(jí)為五級(jí)。公共圖書館的信息系統(tǒng)包括業(yè)務(wù)管理系統(tǒng)、網(wǎng)站、數(shù)字圖書館等，公共圖書館應(yīng)依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》分析與確定本館信息系統(tǒng)的安全等級(jí)，同時(shí)提請(qǐng)上級(jí)主管部門審批。

3.2 備案

公共圖書館確定信息系統(tǒng)等級(jí)后，應(yīng)到所在地公安機(jī)關(guān)備案，提交信息系統(tǒng)基本情況說(shuō)明、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖等材料，公安機(jī)關(guān)審核后對(duì)符合定級(jí)要求的信息系統(tǒng)頒發(fā)等級(jí)保護(hù)備案證明。

3.3 開(kāi)展等級(jí)測(cè)評(píng)

公共圖書館通過(guò)招標(biāo)、自主采購(gòu)等方式開(kāi)展等級(jí)測(cè)評(píng)工作，具有相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)按國(guó)家標(biāo)準(zhǔn)進(jìn)行實(shí)地測(cè)評(píng)，最終出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告和整改方案。等級(jí)測(cè)評(píng)結(jié)論包括符合、基本符合、不符合三種，達(dá)到基本符合標(biāo)準(zhǔn)要求即通過(guò)等級(jí)測(cè)評(píng)。

3.4 系統(tǒng)安全建設(shè)

公共圖書館依據(jù)測(cè)評(píng)報(bào)告和整改方案建設(shè)信息安全系統(tǒng)，信息安全設(shè)備應(yīng)優(yōu)先選擇國(guó)產(chǎn)知名品牌，在產(chǎn)品安全的前提下保障設(shè)備的后續(xù)技術(shù)支持，以便出現(xiàn)問(wèn)題時(shí)能夠第一時(shí)間予以解決。此外，公共圖書館在信息系統(tǒng)建設(shè)過(guò)程中還應(yīng)特別重視公安部門的意見(jiàn)和建議，尤其是在實(shí)名認(rèn)證、數(shù)據(jù)實(shí)時(shí)交換等方面，公安部門能夠提供詳細(xì)的技術(shù)方案。

3.5 監(jiān)督檢查

公共圖書館完成信息系統(tǒng)整改后，公安機(jī)關(guān)會(huì)對(duì)安全整改情況進(jìn)行檢查和監(jiān)督，公共圖書館在接受公安機(jī)關(guān)安全檢查指導(dǎo)的同時(shí)，還應(yīng)根據(jù)要求提供相關(guān)的網(wǎng)絡(luò)安全材料。

4 公共圖書館落實(shí)信息安全等級(jí)保護(hù)工作的具體措施

4.1 技術(shù)方面

4.1.1 物理安全。中心機(jī)房是公共圖書館網(wǎng)絡(luò)管理系統(tǒng)的中樞，需做好機(jī)房出入人員登記工作。中心機(jī)房除需配備安全設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)備份設(shè)備、UPS設(shè)備、精密空調(diào)外，還需配備具有防火、防水、防雷以及溫濕度檢測(cè)功能的動(dòng)力環(huán)境監(jiān)控系統(tǒng)，能夠通過(guò)電話、短信、網(wǎng)絡(luò)等實(shí)時(shí)報(bào)警，保證及時(shí)發(fā)現(xiàn)和處理安全隱患。

4.1.2 網(wǎng)絡(luò)安全。網(wǎng)絡(luò)邊界需部署具有防火墻、IDS入侵檢測(cè)功能的設(shè)備，防火墻遵循最小化安裝規(guī)則，只開(kāi)放業(yè)務(wù)需要的端口及服務(wù)并修改缺省端口，如：網(wǎng)站系統(tǒng)只開(kāi)放80端口、SQL數(shù)據(jù)庫(kù)1433端口改為1588、關(guān)閉3389遠(yuǎn)程連接服務(wù)等;通過(guò)IDS入侵檢測(cè)系統(tǒng)的識(shí)別特征庫(kù)實(shí)時(shí)檢測(cè)可能的入侵風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)程度封鎖指定IP連接，可以有效減少被暴力破解的風(fēng)險(xiǎn);公用無(wú)線網(wǎng)絡(luò)接入實(shí)現(xiàn)實(shí)名認(rèn)證，可以通過(guò)身份證、電話短信以及微信實(shí)現(xiàn)實(shí)名認(rèn)證;配備上網(wǎng)行為管理（網(wǎng)絡(luò)審計(jì)）設(shè)備，追溯用戶的上網(wǎng)行為，做到事后可查;核心交換機(jī)啟用VLAN，服務(wù)器、電子閱覽、無(wú)線網(wǎng)絡(luò)等劃分不同的VLAN，不同VLAN間設(shè)置相應(yīng)的安全訪問(wèn)策略;規(guī)范IP管理，防止未授權(quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò);與圖書館網(wǎng)絡(luò)系統(tǒng)聯(lián)網(wǎng)的外部網(wǎng)絡(luò)，如總分館、城市街區(qū)圖書館采用VPN連接，避免業(yè)務(wù)信息系統(tǒng)直接通過(guò)互聯(lián)網(wǎng)連接;部署云守護(hù)、云預(yù)警等智能技術(shù)，依靠技術(shù)手段實(shí)現(xiàn)24小時(shí)實(shí)時(shí)預(yù)警，快速響應(yīng)，同時(shí)依托大數(shù)據(jù)分析和專家人工分析識(shí)別高危風(fēng)險(xiǎn)，縮短入侵事件的發(fā)現(xiàn)和響應(yīng)時(shí)間。

4.1.3 主機(jī)安全。保障主機(jī)安全需配備網(wǎng)絡(luò)安全堡壘機(jī)，所有管理員必須通過(guò)堡壘機(jī)登錄主機(jī)設(shè)備;合理分配用戶權(quán)限，只允許指定IP的管理員登錄，禁止通過(guò)風(fēng)險(xiǎn)較大的公用網(wǎng)絡(luò)登錄;及時(shí)更新系統(tǒng)補(bǔ)丁，在主機(jī)操作系統(tǒng)層面啟用防火墻，關(guān)閉135、445等勒索病毒端口，防止通過(guò)局域網(wǎng)入侵，安裝分布式防病毒、防木馬軟件;網(wǎng)站系統(tǒng)應(yīng)部署WAF等防篡改設(shè)備或軟件，在網(wǎng)站開(kāi)發(fā)技術(shù)層面采用靜態(tài)HTML頁(yè)面，避免出現(xiàn)SQL注入漏洞;關(guān)閉TELNET維護(hù)端口，使用SSH加密方式進(jìn)行遠(yuǎn)程登錄。

4.1.4 數(shù)據(jù)安全。中心機(jī)房要配備數(shù)據(jù)庫(kù)審計(jì)功能，記錄數(shù)據(jù)庫(kù)操作的每一個(gè)命令;科學(xué)規(guī)劃數(shù)據(jù)的備份策略，做好異地備份、定時(shí)備份并具備數(shù)據(jù)快速恢復(fù)能力，在實(shí)踐中可通過(guò)SECONDCOPY軟件低成本實(shí)現(xiàn)異地異機(jī)的實(shí)時(shí)備份。超融合虛擬化服務(wù)器在信息系統(tǒng)建設(shè)中已被普通應(yīng)用，超融合一體機(jī)集存儲(chǔ)、計(jì)算、網(wǎng)絡(luò)于一體，具有主機(jī)、虛擬平臺(tái)、虛擬機(jī)多方故障監(jiān)測(cè)和HA功能，宕機(jī)后自動(dòng)遷移到其他節(jié)點(diǎn)，具有自動(dòng)重啟、快速重建、業(yè)務(wù)連續(xù)性等特點(diǎn)，可以快速實(shí)現(xiàn)系統(tǒng)部署與數(shù)據(jù)恢復(fù)，最大限度減少數(shù)據(jù)的損壞。公共圖書館應(yīng)加強(qiáng)數(shù)據(jù)庫(kù)登錄用戶名和密碼管理，圖書館業(yè)務(wù)管理系統(tǒng)INTERLIB數(shù)據(jù)庫(kù)在安裝過(guò)程中有80%的用戶名和密碼相同，存在高危風(fēng)險(xiǎn)，密碼設(shè)置應(yīng)為“大小寫字母+數(shù)字+符號(hào)”的8位以上的混合符號(hào)。中心機(jī)房還應(yīng)部署雙機(jī)熱備系統(tǒng)，保證系統(tǒng)的可持續(xù)運(yùn)行及數(shù)據(jù)安全;購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)以應(yīng)對(duì)出現(xiàn)安全事故后數(shù)據(jù)的恢復(fù)與重建;所有網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)日志與審計(jì)日志留存不少于六個(gè)月，若設(shè)備空間不足，可部署一臺(tái)服務(wù)器安裝外置數(shù)據(jù)中心保存數(shù)據(jù)。

4.2 管理方面

4.2.1 安全管理制度。公共圖書館需制定信息系統(tǒng)安全總體方針和策略，建立安全管理制度及操作規(guī)程，如：按網(wǎng)絡(luò)等級(jí)保護(hù)測(cè)評(píng)要求建立網(wǎng)絡(luò)軟硬件設(shè)備采購(gòu)管理制度、機(jī)房安全管理制度、安全事件應(yīng)急管理制度、中心機(jī)房管理員操作守則等各項(xiàng)規(guī)章制度，并在日常工作中規(guī)范組織實(shí)施。

4.2.2 安全管理部門。公共圖書館的安全管理部門負(fù)責(zé)信息系統(tǒng)的日常安全工作，定期檢查系統(tǒng)運(yùn)行日志、漏洞、備份等，安全管理部門人員包括主管負(fù)責(zé)人、直接責(zé)任人和安全管理員。通常情況下，主管負(fù)責(zé)人是分管網(wǎng)絡(luò)技術(shù)業(yè)務(wù)的館長(zhǎng)，直接責(zé)任人是技術(shù)部主任，安全管理員是技術(shù)人員。

4.2.3 人員安全管理。公共圖書館可通過(guò)安全教育培訓(xùn)增強(qiáng)工作人員的安全保密意識(shí)，入職、離職人員需簽訂保密協(xié)議，尤其是流動(dòng)頻率較高的第三方派遣技術(shù)人員;按系統(tǒng)、級(jí)別等設(shè)置不同的管理員操作權(quán)限;與第三方技術(shù)服務(wù)商簽訂安全服務(wù)協(xié)議，特別是提供遠(yuǎn)程維護(hù)的服務(wù)商，做到各負(fù)其責(zé)、操作規(guī)范、有據(jù)可查。

4.2.4 系統(tǒng)運(yùn)維管理。公共圖書館需制訂信息系統(tǒng)應(yīng)急預(yù)案，每年組織一次應(yīng)急演練和培訓(xùn);每日定時(shí)對(duì)機(jī)房各區(qū)域環(huán)境狀況及設(shè)備運(yùn)行狀況進(jìn)行巡查，填寫機(jī)房日常巡檢記錄，發(fā)現(xiàn)問(wèn)題及時(shí)處理，避免因未及時(shí)發(fā)現(xiàn)設(shè)備故障出現(xiàn)業(yè)務(wù)中斷、數(shù)據(jù)丟失等情況。

5 結(jié)語(yǔ)

綜上所述，開(kāi)展信息安全等級(jí)保護(hù)工作不僅是加強(qiáng)國(guó)家信息安全保障工作的重要內(nèi)容[2]，也是公共圖書館正常開(kāi)展業(yè)務(wù)工作的基礎(chǔ)和前提。2019年5月發(fā)布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)》2.0版本增加了風(fēng)險(xiǎn)評(píng)估、安全檢測(cè)、通報(bào)預(yù)警、安全事件處置、漏洞風(fēng)險(xiǎn)管理等內(nèi)容[3]，對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作提出了更高的要求。公共圖書館應(yīng)加強(qiáng)網(wǎng)絡(luò)安全機(jī)構(gòu)的組織領(lǐng)導(dǎo)，重視網(wǎng)絡(luò)安全建設(shè)工作，結(jié)合本館實(shí)際情況開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)工作，定期開(kāi)展網(wǎng)絡(luò)安全教育培訓(xùn)，提升工作人員的安全意識(shí)和技術(shù)水平，在日常管理和維護(hù)過(guò)程中做到精準(zhǔn)分析、提前預(yù)防、措施得當(dāng)，最大限度地避免發(fā)生網(wǎng)絡(luò)安全事故。

參考文獻(xiàn)：

[1] 徐震.網(wǎng)絡(luò)安全等級(jí)保護(hù)：從1.0到2.0[J].保密工作，2019（7）：63-64.

[2] 何占博，王穎，劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019（3）：9-14.

[3] 徐佳瑾，劉剛.網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中的定級(jí)與備案[J].電子技術(shù)與軟件工程，2019（16）：192-193.

（編校：徐黎娟）