2022年2月，國際圖書館協(xié)會(huì)與機(jī)構(gòu)聯(lián)合會(huì)（International Federation of Library Associations and Institutions，IFLA）管理委員會(huì)批準(zhǔn)通過了一項(xiàng)有關(guān)網(wǎng)絡(luò)安全的新聲明。這一聲明由IFLA總部和信息技術(shù)部門共同起草完成，探討了網(wǎng)絡(luò)安全在圖書館工作中的重要意義，闡述了圖書館領(lǐng)域有關(guān)網(wǎng)絡(luò)安全的關(guān)鍵概念和原則，并就圖書館、政府、圖書館協(xié)會(huì)和教育工作者如何幫助圖書館用戶和員工建立一個(gè)更安全的數(shù)字環(huán)境提出了建議。

網(wǎng)絡(luò)安全及其對圖書館的重要性

網(wǎng)絡(luò)安全的定義聚焦于保護(hù)網(wǎng)絡(luò)、設(shè)備和數(shù)據(jù)免受未經(jīng)授權(quán)的訪問和/或使用。與之密切相關(guān)的是確保信息的保密性、完整性和可用性。更廣泛的數(shù)字安全概念超越了技術(shù)或者犯罪的范疇，考慮了更多經(jīng)濟(jì)和社會(huì)方面的因素。網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)以信息系統(tǒng)的組件為中心：

·關(guān)鍵應(yīng)用程序

·支持應(yīng)用程序的服務(wù)器和設(shè)備（數(shù)據(jù)中心等）

·支持系統(tǒng)的網(wǎng)絡(luò)的安全性

·軟件開發(fā)、變更控制和部署的安全性

·“最終用戶”或客戶端環(huán)境

以上都與圖書館的網(wǎng)絡(luò)安全息息相關(guān)，盡管不是所有的圖書館都對他們所使用系統(tǒng)的組件擁有相同水平的控制能力。圖書館位于不同的制度環(huán)境中，其網(wǎng)絡(luò)安全政策通常由管理機(jī)構(gòu)的總體政策決定。

例如，圖書館通常在基礎(chǔ)設(shè)施運(yùn)營管理方面作用有限，主要涉及最終用戶或客戶端環(huán)境，同時(shí)在圖書館系統(tǒng)和服務(wù)提供的選擇、執(zhí)行、培訓(xùn)和管理方面發(fā)揮關(guān)鍵作用。

圖書館參與或宣傳的關(guān)鍵領(lǐng)域

圖書館通過自身的行動(dòng)或影響他人的行動(dòng)，希望在以下領(lǐng)域促進(jìn)網(wǎng)絡(luò)安全：

·保護(hù)圖書館系統(tǒng)免受網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，以便持續(xù)提供服務(wù)

·確保圖書館用戶在使用圖書館系統(tǒng)時(shí)免受互聯(lián)網(wǎng)威脅

·保護(hù)用戶信息隱私

圖書館在提供互聯(lián)網(wǎng)訪問時(shí)，有法律或其他方面的義務(wù)，確保這一訪問不會(huì)被用來傷害他人。同樣的，圖書館也需要采取措施保證用戶不會(huì)使用圖書館系統(tǒng)或資源參與網(wǎng)絡(luò)犯罪活動(dòng)，遵從圖書館許可的使用政策。

更積極的意義在于，鑒于用戶同樣會(huì)使用圖書館以外的互聯(lián)網(wǎng)接入其他信息系統(tǒng)，因此有機(jī)會(huì)通過數(shù)字掃盲計(jì)劃促進(jìn)更廣泛的安全使用服務(wù)行為和協(xié)議。

在網(wǎng)絡(luò)安全和保護(hù)隱私之間尋找平衡

當(dāng)然，促進(jìn)網(wǎng)絡(luò)安全并非沒有爭議。識別潛在風(fēng)險(xiǎn)的行為可能會(huì)與保護(hù)圖書館用戶和他人隱私的行為發(fā)生沖突。

例如，圖書館可能需要通過技術(shù)手段來強(qiáng)制執(zhí)行一些被認(rèn)可的使用政策，或者與更廣泛的互聯(lián)網(wǎng)用戶共同接受政府安全部門的監(jiān)管。在這種情況下，重要的是要保持現(xiàn)有規(guī)則和工具的透明，以便為用戶提供合理選擇的機(jī)會(huì)。

當(dāng)然，在另外一些方面，網(wǎng)絡(luò)安全策略和保護(hù)隱私的目標(biāo)也可以結(jié)合在一起。例如，如果圖書館一開始就不存儲(chǔ)不必要的個(gè)人數(shù)據(jù)，并確保對存儲(chǔ)的數(shù)據(jù)進(jìn)行適當(dāng)?shù)募用?，則可以將通過網(wǎng)絡(luò)攻擊丟失個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)降至最低。

對可采取行動(dòng)的建議

因此，IFLA提出以下建議。

如果圖書館對自己的信息系統(tǒng)負(fù)有（部分或全部）責(zé)任，圖書館應(yīng)該：

·以最小化原則收集和保存數(shù)據(jù)，包括在規(guī)定的時(shí)間段后刪除使用歷史記錄。

·在用戶使用圖書館系統(tǒng)時(shí)使用可用工具保護(hù)用戶，包括信息安全標(biāo)準(zhǔn)措施、加密網(wǎng)絡(luò)服務(wù)、有效密碼和網(wǎng)絡(luò)會(huì)話控制，或應(yīng)用最小權(quán)限原則，同時(shí)確保最大程度地保護(hù)用戶隱私。

·在所有圖書館工作站和服務(wù)器上實(shí)施端點(diǎn)安全控制。

·在實(shí)施工具以監(jiān)控不當(dāng)使用或無意威脅的情況時(shí)，應(yīng)以提供最大透明度和尊重隱私的方式進(jìn)行。

如果圖書館是一個(gè)更大機(jī)構(gòu)的組成部分（因此無法控制信息系統(tǒng)的關(guān)鍵組件）或依賴第三方供應(yīng)商，圖書館應(yīng)該：

·倡導(dǎo)主辦機(jī)構(gòu)采取有效的網(wǎng)絡(luò)安全措施，同時(shí)維護(hù)隱私原則，包括促進(jìn)圍繞數(shù)據(jù)收集和保存的隱私友好型實(shí)踐。

·鼓勵(lì)圖書館的第三方供應(yīng)商實(shí)施有意義的網(wǎng)絡(luò)安全措施，以確保用戶在使用圖書館服務(wù)時(shí)可以規(guī)避不可接受的風(fēng)險(xiǎn)。

所有圖書館都應(yīng)該：

·獨(dú)立或與主辦機(jī)構(gòu)合作（視情況而定）開展以下工作：

◎?yàn)槭褂没ヂ?lián)網(wǎng)和其他信息系統(tǒng)制定和發(fā)布可接受的使用政策。

◎制定和發(fā)布隱私政策，定義收集信息的地點(diǎn)和內(nèi)容以及信息的使用方式，描述在違規(guī)情況下會(huì)發(fā)生什么。

◎制定并發(fā)布網(wǎng)絡(luò)安全和信息安全政策，定義用于保護(hù)圖書館系統(tǒng)并在發(fā)生故障時(shí)具有復(fù)原力的原則和實(shí)踐。這應(yīng)該遵循圖書館領(lǐng)域的行業(yè)政策和流程規(guī)范。

◎確保所有圖書館員工都能夠掌握與各自任務(wù)相關(guān)的網(wǎng)絡(luò)安全基礎(chǔ)知識并予以實(shí)施（例如良好的密碼策略等）。

◎探索建立用戶數(shù)字素養(yǎng)的可能性，包括了解如何規(guī)避網(wǎng)絡(luò)風(fēng)險(xiǎn)。

圖書館協(xié)會(huì)和其他支持組織應(yīng)該：

·適時(shí)提供有關(guān)圖書館工作中網(wǎng)絡(luò)安全的更新和信息，并在可能的情況下提供培訓(xùn)或其他資源的鏈接。

·考慮與其他參與人員合作，確保人們在線安全。

各國政府應(yīng)該：

·確保圖書館擁有能夠最大限度地提高網(wǎng)絡(luò)安全的資源和培訓(xùn)能力，投資（包括通過圖書館的）數(shù)字掃盲計(jì)劃，促進(jìn)在線安全。

·確保更廣泛的網(wǎng)絡(luò)安全政策能夠?qū)⒂行耘c對人的尊重（包括個(gè)人隱私）結(jié)合起來。