公共圖書館網(wǎng)絡(luò)安全等級保護工作要求及具體措施

陳天文 高洪臻

關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng);安全保護;等級測評;圖書館網(wǎng)站;圖書館業(yè)務(wù)管理系統(tǒng)

摘 要：文章基于公共圖書館業(yè)務(wù)管理系統(tǒng)和網(wǎng)站，簡述了公共圖書館的網(wǎng)絡(luò)安全現(xiàn)狀，闡述了開展網(wǎng)絡(luò)安全等級保護工作的步驟，從技術(shù)和管理兩個方面提出了保障網(wǎng)絡(luò)安全的具體措施，以期為公共圖書館加強網(wǎng)絡(luò)安全等級保護提供參考。

中圖分類號：G251文獻標識碼：A文章編號：1003-1588（2021）05-0009-03

1 背景

我國公共圖書館自20世紀90年代逐步實現(xiàn)了采訪、編目、流通的自動化管理，2001年開始先后啟動了文化信息資源共享工程、數(shù)字圖書館推廣工程、電子閱覽室建設(shè)工程，2019年將三大工程整合為公共數(shù)字文化服務(wù)工程，集圖書館業(yè)務(wù)管理自動化、數(shù)字圖書館、電子閱覽室、總分館等若干系統(tǒng)為一體的智能綜合網(wǎng)絡(luò)系統(tǒng)已成為圖書館業(yè)務(wù)運行的神經(jīng)中樞。公共圖書館網(wǎng)絡(luò)系統(tǒng)保存了大量的讀者信息、圖書信息、借閱信息及海量數(shù)字資源，如果受到攻擊和破壞，業(yè)務(wù)將全線癱瘓，因此，網(wǎng)絡(luò)安全已成為公共圖書館網(wǎng)絡(luò)建設(shè)和管理的重要工作。當前，我國公共圖書館大多只在網(wǎng)絡(luò)入口處安裝了具有NAT轉(zhuǎn)換功能的防火墻，而在入侵檢測、防病毒、服務(wù)器防護、數(shù)據(jù)安全等方面沒有制訂完整的解決方案，尤其是基層公共圖書館的網(wǎng)絡(luò)系統(tǒng)存在很大的安全隱患。

《中華人民共和國安全法》從國家層面提出了網(wǎng)絡(luò)安全的總體要求，其中明確要求實行網(wǎng)絡(luò)等級保護制度，網(wǎng)絡(luò)運營者要履行網(wǎng)絡(luò)安全保護義務(wù)?！缎畔踩燃壉Ｗo管理辦法》對信息安全等級保護的實施和管理提出了具體方案。公共圖書館應(yīng)根據(jù)國家法律法規(guī)，結(jié)合自身特點開展信息安全等級保護工作，保證圖書館網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定。

2 公共圖書館的網(wǎng)絡(luò)安全現(xiàn)狀

隨著新一輪技術(shù)革命的加速推進，公共圖書館為實現(xiàn)數(shù)字化、智能化服務(wù)逐步引入大數(shù)據(jù)、智能化等技術(shù)，隨之而來的是越來越嚴峻的網(wǎng)絡(luò)安全形勢。2018年，封丘縣圖書館由于未采取有效網(wǎng)絡(luò)安全防范措施，網(wǎng)站遭到惡意攻擊，網(wǎng)頁被篡改，造成了惡劣的社會影響。

2.1 黑客入侵技術(shù)不斷升級，更加難以追蹤

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客入侵的手段也變得更加多樣化，常見的有暴力破解、遠程控制、網(wǎng)絡(luò)釣魚、信息監(jiān)聽、木馬病毒等，在感染服務(wù)器主機的同時變成網(wǎng)絡(luò)攻擊者，網(wǎng)絡(luò)安全防御總是被動應(yīng)對。公共圖書館作為開放性的公共服務(wù)場所，也是黑客入侵的潛在目標，網(wǎng)絡(luò)安全防護意識不強、安全設(shè)備配備不到位、技術(shù)更新不及時將無法應(yīng)對當前形勢復(fù)雜的網(wǎng)絡(luò)入侵威脅。

2.2 公共圖書館服務(wù)范圍不斷延伸，智能化技術(shù)不斷更迭

公共圖書館的信息化建設(shè)經(jīng)過20多年發(fā)展，網(wǎng)絡(luò)化、智能化技術(shù)已經(jīng)普遍應(yīng)用于各個工作環(huán)節(jié)，特別是RFID自助借還、信用借閱等新型服務(wù)方式為廣大讀者提供了更加便捷的閱讀服務(wù)。但是，當前公共圖書館的“手機+RFID”等智能化應(yīng)用主要考慮其功能實現(xiàn)，在安全性、隱私性等方面缺乏相應(yīng)的研究。為實現(xiàn)免押金、免辦證等便民服務(wù)，公共圖書館與第三方合作開展了信用借閱服務(wù)，圖書館業(yè)務(wù)管理系統(tǒng)在與第三方應(yīng)用系統(tǒng)對接過程中，數(shù)據(jù)同步與共享以及金融支付功能增大了數(shù)據(jù)泄露的風(fēng)險，這對公共圖書館業(yè)務(wù)與金融功能融合的網(wǎng)絡(luò)安全提出了更高要求。

3 公共圖書館開展信息安全等級保護工作的步驟

3.1 系統(tǒng)定級

網(wǎng)絡(luò)安全等級保護工作的首要環(huán)節(jié)是定級[1]。網(wǎng)絡(luò)信息系統(tǒng)安全等級分為五級，一級防護水平最低，最高等級為五級。公共圖書館的信息系統(tǒng)包括業(yè)務(wù)管理系統(tǒng)、網(wǎng)站、數(shù)字圖書館等，公共圖書館應(yīng)依據(jù)《信息系統(tǒng)安全等級保護定級指南》分析與確定本館信息系統(tǒng)的安全等級，同時提請上級主管部門審批。

3.2 備案

公共圖書館確定信息系統(tǒng)等級后，應(yīng)到所在地公安機關(guān)備案，提交信息系統(tǒng)基本情況說明、網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖等材料，公安機關(guān)審核后對符合定級要求的信息系統(tǒng)頒發(fā)等級保護備案證明。

3.3 開展等級測評

公共圖書館通過招標、自主采購等方式開展等級測評工作，具有相關(guān)資質(zhì)的測評機構(gòu)按國家標準進行實地測評，最終出具信息系統(tǒng)安全等級測評報告和整改方案。等級測評結(jié)論包括符合、基本符合、不符合三種，達到基本符合標準要求即通過等級測評。

3.4 系統(tǒng)安全建設(shè)

公共圖書館依據(jù)測評報告和整改方案建設(shè)信息安全系統(tǒng)，信息安全設(shè)備應(yīng)優(yōu)先選擇國產(chǎn)知名品牌，在產(chǎn)品安全的前提下保障設(shè)備的后續(xù)技術(shù)支持，以便出現(xiàn)問題時能夠第一時間予以解決。此外，公共圖書館在信息系統(tǒng)建設(shè)過程中還應(yīng)特別重視公安部門的意見和建議，尤其是在實名認證、數(shù)據(jù)實時交換等方面，公安部門能夠提供詳細的技術(shù)方案。

3.5 監(jiān)督檢查

公共圖書館完成信息系統(tǒng)整改后，公安機關(guān)會對安全整改情況進行檢查和監(jiān)督，公共圖書館在接受公安機關(guān)安全檢查指導(dǎo)的同時，還應(yīng)根據(jù)要求提供相關(guān)的網(wǎng)絡(luò)安全材料。

4 公共圖書館落實信息安全等級保護工作的具體措施

4.1 技術(shù)方面

4.1.1 物理安全。中心機房是公共圖書館網(wǎng)絡(luò)管理系統(tǒng)的中樞，需做好機房出入人員登記工作。中心機房除需配備安全設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲備份設(shè)備、UPS設(shè)備、精密空調(diào)外，還需配備具有防火、防水、防雷以及溫濕度檢測功能的動力環(huán)境監(jiān)控系統(tǒng)，能夠通過電話、短信、網(wǎng)絡(luò)等實時報警，保證及時發(fā)現(xiàn)和處理安全隱患。

4.1.2 網(wǎng)絡(luò)安全。網(wǎng)絡(luò)邊界需部署具有防火墻、IDS入侵檢測功能的設(shè)備，防火墻遵循最小化安裝規(guī)則，只開放業(yè)務(wù)需要的端口及服務(wù)并修改缺省端口，如：網(wǎng)站系統(tǒng)只開放80端口、SQL數(shù)據(jù)庫1433端口改為1588、關(guān)閉3389遠程連接服務(wù)等;通過IDS入侵檢測系統(tǒng)的識別特征庫實時檢測可能的入侵風(fēng)險，并根據(jù)風(fēng)險程度封鎖指定IP連接，可以有效減少被暴力破解的風(fēng)險;公用無線網(wǎng)絡(luò)接入實現(xiàn)實名認證，可以通過身份證、電話短信以及微信實現(xiàn)實名認證;配備上網(wǎng)行為管理（網(wǎng)絡(luò)審計）設(shè)備，追溯用戶的上網(wǎng)行為，做到事后可查;核心交換機啟用VLAN，服務(wù)器、電子閱覽、無線網(wǎng)絡(luò)等劃分不同的VLAN，不同VLAN間設(shè)置相應(yīng)的安全訪問策略;規(guī)范IP管理，防止未授權(quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò);與圖書館網(wǎng)絡(luò)系統(tǒng)聯(lián)網(wǎng)的外部網(wǎng)絡(luò)，如總分館、城市街區(qū)圖書館采用VPN連接，避免業(yè)務(wù)信息系統(tǒng)直接通過互聯(lián)網(wǎng)連接;部署云守護、云預(yù)警等智能技術(shù)，依靠技術(shù)手段實現(xiàn)24小時實時預(yù)警，快速響應(yīng)，同時依托大數(shù)據(jù)分析和專家人工分析識別高危風(fēng)險，縮短入侵事件的發(fā)現(xiàn)和響應(yīng)時間。

4.1.3 主機安全。保障主機安全需配備網(wǎng)絡(luò)安全堡壘機，所有管理員必須通過堡壘機登錄主機設(shè)備;合理分配用戶權(quán)限，只允許指定IP的管理員登錄，禁止通過風(fēng)險較大的公用網(wǎng)絡(luò)登錄;及時更新系統(tǒng)補丁，在主機操作系統(tǒng)層面啟用防火墻，關(guān)閉135、445等勒索病毒端口，防止通過局域網(wǎng)入侵，安裝分布式防病毒、防木馬軟件;網(wǎng)站系統(tǒng)應(yīng)部署WAF等防篡改設(shè)備或軟件，在網(wǎng)站開發(fā)技術(shù)層面采用靜態(tài)HTML頁面，避免出現(xiàn)SQL注入漏洞;關(guān)閉TELNET維護端口，使用SSH加密方式進行遠程登錄。

4.1.4 數(shù)據(jù)安全。中心機房要配備數(shù)據(jù)庫審計功能，記錄數(shù)據(jù)庫操作的每一個命令;科學(xué)規(guī)劃數(shù)據(jù)的備份策略，做好異地備份、定時備份并具備數(shù)據(jù)快速恢復(fù)能力，在實踐中可通過SECONDCOPY軟件低成本實現(xiàn)異地異機的實時備份。超融合虛擬化服務(wù)器在信息系統(tǒng)建設(shè)中已被普通應(yīng)用，超融合一體機集存儲、計算、網(wǎng)絡(luò)于一體，具有主機、虛擬平臺、虛擬機多方故障監(jiān)測和HA功能，宕機后自動遷移到其他節(jié)點，具有自動重啟、快速重建、業(yè)務(wù)連續(xù)性等特點，可以快速實現(xiàn)系統(tǒng)部署與數(shù)據(jù)恢復(fù)，最大限度減少數(shù)據(jù)的損壞。公共圖書館應(yīng)加強數(shù)據(jù)庫登錄用戶名和密碼管理，圖書館業(yè)務(wù)管理系統(tǒng)INTERLIB數(shù)據(jù)庫在安裝過程中有80%的用戶名和密碼相同，存在高危風(fēng)險，密碼設(shè)置應(yīng)為“大小寫字母+數(shù)字+符號”的8位以上的混合符號。中心機房還應(yīng)部署雙機熱備系統(tǒng)，保證系統(tǒng)的可持續(xù)運行及數(shù)據(jù)安全;購買網(wǎng)絡(luò)安全保險以應(yīng)對出現(xiàn)安全事故后數(shù)據(jù)的恢復(fù)與重建;所有網(wǎng)絡(luò)、數(shù)據(jù)庫日志與審計日志留存不少于六個月，若設(shè)備空間不足，可部署一臺服務(wù)器安裝外置數(shù)據(jù)中心保存數(shù)據(jù)。

4.2 管理方面

4.2.1 安全管理制度。公共圖書館需制定信息系統(tǒng)安全總體方針和策略，建立安全管理制度及操作規(guī)程，如：按網(wǎng)絡(luò)等級保護測評要求建立網(wǎng)絡(luò)軟硬件設(shè)備采購管理制度、機房安全管理制度、安全事件應(yīng)急管理制度、中心機房管理員操作守則等各項規(guī)章制度，并在日常工作中規(guī)范組織實施。

4.2.2 安全管理部門。公共圖書館的安全管理部門負責(zé)信息系統(tǒng)的日常安全工作，定期檢查系統(tǒng)運行日志、漏洞、備份等，安全管理部門人員包括主管負責(zé)人、直接責(zé)任人和安全管理員。通常情況下，主管負責(zé)人是分管網(wǎng)絡(luò)技術(shù)業(yè)務(wù)的館長，直接責(zé)任人是技術(shù)部主任，安全管理員是技術(shù)人員。

4.2.3 人員安全管理。公共圖書館可通過安全教育培訓(xùn)增強工作人員的安全保密意識，入職、離職人員需簽訂保密協(xié)議，尤其是流動頻率較高的第三方派遣技術(shù)人員;按系統(tǒng)、級別等設(shè)置不同的管理員操作權(quán)限;與第三方技術(shù)服務(wù)商簽訂安全服務(wù)協(xié)議，特別是提供遠程維護的服務(wù)商，做到各負其責(zé)、操作規(guī)范、有據(jù)可查。

4.2.4 系統(tǒng)運維管理。公共圖書館需制訂信息系統(tǒng)應(yīng)急預(yù)案，每年組織一次應(yīng)急演練和培訓(xùn);每日定時對機房各區(qū)域環(huán)境狀況及設(shè)備運行狀況進行巡查，填寫機房日常巡檢記錄，發(fā)現(xiàn)問題及時處理，避免因未及時發(fā)現(xiàn)設(shè)備故障出現(xiàn)業(yè)務(wù)中斷、數(shù)據(jù)丟失等情況。

5 結(jié)語

綜上所述，開展信息安全等級保護工作不僅是加強國家信息安全保障工作的重要內(nèi)容[2]，也是公共圖書館正常開展業(yè)務(wù)工作的基礎(chǔ)和前提。2019年5月發(fā)布的《網(wǎng)絡(luò)安全等級保護技術(shù)》2.0版本增加了風(fēng)險評估、安全檢測、通報預(yù)警、安全事件處置、漏洞風(fēng)險管理等內(nèi)容[3]，對網(wǎng)絡(luò)安全等級保護工作提出了更高的要求。公共圖書館應(yīng)加強網(wǎng)絡(luò)安全機構(gòu)的組織領(lǐng)導(dǎo)，重視網(wǎng)絡(luò)安全建設(shè)工作，結(jié)合本館實際情況開展信息安全等級保護測評工作，定期開展網(wǎng)絡(luò)安全教育培訓(xùn)，提升工作人員的安全意識和技術(shù)水平，在日常管理和維護過程中做到精準分析、提前預(yù)防、措施得當，最大限度地避免發(fā)生網(wǎng)絡(luò)安全事故。

參考文獻：

[1] 徐震.網(wǎng)絡(luò)安全等級保護：從1.0到2.0[J].保密工作，2019（7）：63-64.

[2] 何占博，王穎，劉軍.我國網(wǎng)絡(luò)安全等級保護現(xiàn)狀與2.0標準體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019（3）：9-14.

[3] 徐佳瑾，劉剛.網(wǎng)絡(luò)安全等級保護工作中的定級與備案[J].電子技術(shù)與軟件工程，2019（16）：192-193.

（編校：徐黎娟）