數(shù)字出版技術(shù)安全的現(xiàn)狀與優(yōu)化路徑分析

周映?汪鑫

【摘要】數(shù)字出版技術(shù)應(yīng)用潛在和已經(jīng)遇到的安全威脅有對(duì)門戶網(wǎng)站的攻擊、對(duì)業(yè)務(wù)網(wǎng)站的攻擊、對(duì)內(nèi)部數(shù)據(jù)的攻擊以及伴隨新技術(shù)應(yīng)用產(chǎn)生的負(fù)面影響，上述安全問(wèn)題的出現(xiàn)是理念缺位、制度缺失和舉措缺乏的結(jié)果，為此，應(yīng)堅(jiān)持統(tǒng)籌發(fā)展和安全的基本理念，優(yōu)化數(shù)字出版技術(shù)頂層設(shè)計(jì)，在技術(shù)升級(jí)、數(shù)據(jù)治理、標(biāo)準(zhǔn)宣貫和隊(duì)伍培養(yǎng)等方面下功夫，以切實(shí)做到數(shù)字出版的安全發(fā)展、高質(zhì)量發(fā)展。

【關(guān)? 鍵? 詞】數(shù)字出版技術(shù)；數(shù)字出版安全；數(shù)字出版高質(zhì)量發(fā)展

【作者單位】周映，中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司軟件研究院；汪鑫，北京第二外國(guó)語(yǔ)學(xué)院文化與傳播學(xué)院。

【中圖分類號(hào)】G230.7【文獻(xiàn)標(biāo)識(shí)碼】A【DOI】10.16491/j.cnki.cn45-1216/g2.2022.23.015

黨的二十大報(bào)告指出，要統(tǒng)籌發(fā)展和安全，貫徹總體國(guó)家安全觀，推進(jìn)國(guó)家安全體系和能力現(xiàn)代化，把維護(hù)國(guó)家安全貫穿黨和國(guó)家工作各方面全過(guò)程。數(shù)字出版作為國(guó)家文化產(chǎn)業(yè)的核心領(lǐng)域，如何保證統(tǒng)籌發(fā)展和安全，如何建構(gòu)數(shù)字出版的安全體系和提升安全能力，既屬于文化安全考慮的范疇，又屬于科技安全涉及的范疇。數(shù)字出版安全，宏觀層面包括意識(shí)形態(tài)安全、文化安全、技術(shù)安全等，微觀層面包括內(nèi)容安全、技術(shù)安全和運(yùn)維安全等，而在諸多安全之中，數(shù)字技術(shù)安全、技術(shù)應(yīng)用安全既是重要保障，又是亟須補(bǔ)齊的短板。

數(shù)字出版技術(shù)應(yīng)用安全，是指在應(yīng)用數(shù)字技術(shù)、發(fā)展數(shù)字出版過(guò)程中所涉及的有關(guān)安全理念、制度和實(shí)踐的總和。數(shù)字出版技術(shù)應(yīng)用安全是數(shù)字出版發(fā)展的底線，是數(shù)字出版高質(zhì)量發(fā)展的基本保障以及題中應(yīng)有之義。數(shù)字出版高質(zhì)量發(fā)展，首先是安全的發(fā)展，應(yīng)在主流意識(shí)形態(tài)、核心價(jià)值觀的主導(dǎo)和引導(dǎo)下，堅(jiān)持技術(shù)理性主義，充分發(fā)揮數(shù)字出版技術(shù)的正價(jià)值，加快建構(gòu)由技術(shù)應(yīng)用安全和“信息安全、數(shù)據(jù)安全、內(nèi)容安全、文化安全、意識(shí)形態(tài)安全等所構(gòu)成的安全防控體系”［1］。

一、數(shù)字出版技術(shù)安全現(xiàn)狀

2022年6月，西北工業(yè)大學(xué)遭受美國(guó)NSA網(wǎng)絡(luò)攻擊后所出具的調(diào)查報(bào)告顯示，近年來(lái)美國(guó)NSA下屬TAO對(duì)我國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次網(wǎng)絡(luò)惡意攻擊，其利用網(wǎng)絡(luò)攻擊武器平臺(tái)、零日漏洞及其控制的網(wǎng)絡(luò)設(shè)備持續(xù)擴(kuò)大攻擊范圍和規(guī)模［2］。由此，網(wǎng)絡(luò)安全、技術(shù)應(yīng)用安全再次成為話題焦點(diǎn)進(jìn)入人們的視野。

就數(shù)字出版而言，客觀來(lái)講，數(shù)字出版技術(shù)應(yīng)用的過(guò)程，也是一個(gè)不斷處理發(fā)展和安全關(guān)系的過(guò)程，是不斷增強(qiáng)技術(shù)安全意識(shí)、提高技術(shù)風(fēng)險(xiǎn)防范能力、建構(gòu)技術(shù)安全防控體系的過(guò)程。實(shí)踐中，數(shù)字出版發(fā)展的不同階段，都出現(xiàn)過(guò)因?yàn)榧夹g(shù)安全而影響發(fā)展的案例，或者說(shuō)因?yàn)榻鉀Q了技術(shù)安全問(wèn)題而提高自身發(fā)展能力的案例。

綜合來(lái)看，數(shù)字出版技術(shù)應(yīng)用過(guò)程中所遇到的安全威脅主要包括以下幾種類型。第一，對(duì)門戶網(wǎng)站進(jìn)行攻擊。主要表現(xiàn)為利用出版社門戶網(wǎng)站漏洞攻擊和篡改網(wǎng)頁(yè)；采用分布式拒絕服務(wù)攻擊（DDoS），在同一時(shí)間攻擊數(shù)量很多的計(jì)算機(jī)，致使攻擊目標(biāo)無(wú)法正常使用，門戶網(wǎng)站服務(wù)暫停或中止；利用惡意爬蟲軟件攻擊網(wǎng)站內(nèi)容和結(jié)構(gòu)，進(jìn)行網(wǎng)站偽造和網(wǎng)站克??；設(shè)置網(wǎng)頁(yè)木馬作為攻擊跳板，隨時(shí)攻入系統(tǒng)甚至進(jìn)入出版社內(nèi)網(wǎng)。第二，對(duì)業(yè)務(wù)網(wǎng)站進(jìn)行攻擊。如利用應(yīng)用中的注冊(cè)入口和身份登錄非法獲取用戶賬號(hào)信息、利用應(yīng)用的查詢服務(wù)大批量下載和盜取大規(guī)模公眾信息數(shù)據(jù)、利用勒索病毒軟件加密正常應(yīng)用中的文件等。其中，勒索病毒軟件一度入侵過(guò)多家知識(shí)服務(wù)提供商，它們通過(guò)電子郵件、網(wǎng)頁(yè)掛馬、程序木馬等形式到達(dá)業(yè)務(wù)網(wǎng)站，上傳本機(jī)信息并下載公鑰進(jìn)行加密，被攻擊的網(wǎng)站因?yàn)闆]有私鑰所以無(wú)法解密。第三，攻擊內(nèi)部數(shù)據(jù)。攻擊出版社內(nèi)部財(cái)務(wù)、管理數(shù)據(jù)的情況并不多見，但通過(guò)零日漏洞攻擊來(lái)竊取出版經(jīng)營(yíng)管理數(shù)據(jù)、涉密數(shù)據(jù)的情形理論上是存在的。

這些安全威脅、網(wǎng)絡(luò)攻擊近年來(lái)呈現(xiàn)以下特征。首先，零日攻擊［3］常態(tài)化。所謂零日攻擊，又稱零時(shí)差攻擊或零日漏洞攻擊，即發(fā)現(xiàn)安全漏洞后被立即惡意利用、展開攻擊。據(jù)統(tǒng)計(jì)，零日漏洞的攻擊數(shù)量逐年翻倍增加，2020年的36個(gè)零日漏洞中有27個(gè)為web零日漏洞攻擊，2021年的90個(gè)零日漏洞中有超過(guò)80個(gè)web零日漏洞攻擊，零日漏洞在近年的攻擊中占有較大比重，已成為常態(tài)化的攻擊手段。其次，攻擊工具私有化。攻擊者使用定制化工具進(jìn)行攻擊，針對(duì)不同業(yè)務(wù)目標(biāo)采用不同的攻擊方式、方法、技術(shù)和工具，專業(yè)性高、目的性強(qiáng)、成功率高，實(shí)現(xiàn)精準(zhǔn)定向打擊。再次，攻擊特征隱身化。除了傳統(tǒng)常見的攻擊手段，攻擊者還使用很多新的攻擊技術(shù)，攻擊手段變化多端。而傳統(tǒng)的安全防護(hù)技術(shù)以特征識(shí)別為主，分析請(qǐng)求的數(shù)據(jù)包內(nèi)容是否有惡意特征，一旦匹配則被認(rèn)定為攻擊事件。攻擊者為了逃避傳統(tǒng)防御的檢測(cè)手段，隱藏自身特征和攻擊特征（如哥斯拉、冰蝎等攻擊工具），從而穿透防護(hù)系統(tǒng)進(jìn)行攻擊。最后，攻擊防范常態(tài)化。出版業(yè)務(wù)系統(tǒng)將時(shí)刻面臨各種有目的性和無(wú)目的性的攻擊行為，需要花費(fèi)大量的時(shí)間來(lái)研判攻擊行為，網(wǎng)絡(luò)安全運(yùn)維工作壓力較大，進(jìn)一步加重了數(shù)字出版的安全防護(hù)負(fù)擔(dān)。

值得關(guān)注的是，近年來(lái)數(shù)字出版發(fā)展基于“拿來(lái)主義”的技術(shù)路線，加速應(yīng)用云計(jì)算、大數(shù)據(jù)、深度學(xué)習(xí)、人工智能、虛擬現(xiàn)實(shí)等數(shù)字技術(shù)，而在對(duì)這些新型數(shù)字技術(shù)習(xí)得的過(guò)程中，“數(shù)字技術(shù)應(yīng)用所帶來(lái)的負(fù)面性、安全問(wèn)題將更加被重視，成為出版管理的難點(diǎn)，也是出版調(diào)控的重要考量”［4］。如大數(shù)據(jù)技術(shù)應(yīng)用所帶來(lái)的隱私泄露、數(shù)據(jù)濫用等問(wèn)題，區(qū)塊鏈技術(shù)應(yīng)用存在的算力資源浪費(fèi)、篡改威脅等問(wèn)題，基于深度學(xué)習(xí)的深度偽造問(wèn)題，人工智能快速發(fā)展所帶來(lái)的著作權(quán)等問(wèn)題，這些潛在的或已經(jīng)發(fā)生的問(wèn)題都是數(shù)字出版技術(shù)安全應(yīng)用必須予以回應(yīng)和解決的。

二、數(shù)字出版技術(shù)安全問(wèn)題剖析

上述數(shù)字出版技術(shù)應(yīng)用過(guò)程中所出現(xiàn)的種種問(wèn)題，究其原因，在于數(shù)字出版技術(shù)安全的理念、制度和舉措沒有做到與時(shí)俱進(jìn)，沒有及時(shí)適應(yīng)變化發(fā)展的數(shù)字出版實(shí)踐。

1．理念缺位，思想上不重視

理念是行動(dòng)的先導(dǎo)。數(shù)字出版安全意識(shí)不強(qiáng)，安全理念沒有真正確立，是導(dǎo)致數(shù)字出版技術(shù)應(yīng)用安全諸多問(wèn)題出現(xiàn)的深層次原因。有關(guān)數(shù)字出版安全方面的認(rèn)知，從實(shí)踐經(jīng)驗(yàn)歸納和理論思維抽象的成果角度來(lái)看，中國(guó)知網(wǎng)統(tǒng)計(jì)的相關(guān)論文僅有寥寥數(shù)篇文章。在數(shù)字出版發(fā)展早期階段，有學(xué)者從網(wǎng)絡(luò)出版安全技術(shù)研究的角度，提出由“數(shù)字信息、安全池、規(guī)則與標(biāo)識(shí)的使用條件”［5］所組成的網(wǎng)絡(luò)出版安全結(jié)構(gòu)；在數(shù)字出版轉(zhuǎn)型升級(jí)階段，有學(xué)者提出通過(guò)VPN技術(shù)，“穿越Internet 建立出版社與分社、合作伙伴、遠(yuǎn)程用戶之間安全訪問(wèn)，實(shí)現(xiàn)數(shù)字出版信息內(nèi)容的安全可靠傳輸”［6］；有專家從數(shù)據(jù)安全的角度，提出了基于RFID電子標(biāo)識(shí)技術(shù)的數(shù)據(jù)安全隱患以及不揮發(fā)存儲(chǔ)（XLPM）RFID技術(shù)解決方案［7］；有學(xué)者提出從“價(jià)值觀、技術(shù)觀和法治觀”［8］三個(gè)維度來(lái)建構(gòu)數(shù)字出版文化安全觀；有學(xué)者認(rèn)為出版業(yè)要積極利用人工智能、區(qū)塊鏈、5G技術(shù)等先進(jìn)技術(shù)，構(gòu)建“違法與不良出版信息特征庫(kù)”，基于統(tǒng)一的標(biāo)準(zhǔn)、規(guī)則和程序，及時(shí)發(fā)現(xiàn)和處理不良內(nèi)容以確保網(wǎng)絡(luò)內(nèi)容安全［9］；有學(xué)者從技術(shù)價(jià)值論的視角，提出了堅(jiān)持正確的技術(shù)價(jià)值觀，堅(jiān)守以人民為中心的技術(shù)應(yīng)用立場(chǎng)，發(fā)揮數(shù)字技術(shù)正價(jià)值、削弱數(shù)字技術(shù)負(fù)價(jià)值［10］。綜上可以發(fā)現(xiàn)，無(wú)論是實(shí)踐還是理論層面，學(xué)界對(duì)數(shù)字出版技術(shù)安全理念的探索還處于初級(jí)階段，明確提出并深刻認(rèn)知數(shù)字出版技術(shù)安全意義、價(jià)值和重要性的研究成果并不多見。

具體來(lái)講，數(shù)字出版技術(shù)安全理念和意識(shí)層面尚須改進(jìn)兩個(gè)方面。一方面，增強(qiáng)安全意識(shí)，強(qiáng)化數(shù)字出版安全發(fā)展的理念。安全是前提、基礎(chǔ)和底線，沒有數(shù)字出版安全，就沒有數(shù)字出版發(fā)展，更談不上高質(zhì)量發(fā)展。數(shù)字出版安全是包含意識(shí)形態(tài)安全、文化安全、技術(shù)安全等在內(nèi)的安全體系，其中，技術(shù)安全居于特殊重要的地位，也是意識(shí)形態(tài)安全和文化安全的重要屏障。以往的產(chǎn)業(yè)界和科研界對(duì)數(shù)字出版意識(shí)形態(tài)安全和文化安全強(qiáng)調(diào)較多，而對(duì)數(shù)字出版技術(shù)安全的著力和關(guān)注較少。另一方面，增強(qiáng)統(tǒng)籌意識(shí)，實(shí)現(xiàn)數(shù)字出版統(tǒng)籌發(fā)展和數(shù)字出版安全。對(duì)數(shù)字出版發(fā)展的關(guān)注和著力始終是數(shù)字出版的主線，如何在數(shù)字化轉(zhuǎn)型升級(jí)、深度融合發(fā)展的基礎(chǔ)上提質(zhì)增效，是數(shù)字出版發(fā)展的目標(biāo)所在；但如何堅(jiān)持正確的安全觀，以發(fā)展保安全，以安全促發(fā)展，實(shí)現(xiàn)數(shù)字出版發(fā)展質(zhì)量、結(jié)構(gòu)、規(guī)模、速度、效益和安全的統(tǒng)一，則是數(shù)字出版業(yè)須正視并花大氣力解決的問(wèn)題，是不能回避的長(zhǎng)遠(yuǎn)問(wèn)題。

2．制度缺失，安全體系未建立

鑒于理念缺位，數(shù)字出版技術(shù)安全制度體系也沒能及時(shí)建立起來(lái)。前述數(shù)字出版意識(shí)形態(tài)安全、文化安全得到了重視，由此意識(shí)形態(tài)責(zé)任制、網(wǎng)絡(luò)意識(shí)形態(tài)責(zé)任制等制度性安排在出版實(shí)踐中有充分的體現(xiàn)，而有關(guān)數(shù)字出版技術(shù)安全的體制機(jī)制還處于輪廓勾勒期。

從數(shù)字出版技術(shù)安全的視角來(lái)看，貫穿數(shù)字出版技術(shù)習(xí)得、技術(shù)采納、技術(shù)應(yīng)用、技術(shù)運(yùn)維、技術(shù)反饋和技術(shù)迭代全過(guò)程的數(shù)字出版技術(shù)安全制度體系有待建立和健全。數(shù)字出版技術(shù)習(xí)得制度，應(yīng)關(guān)注擬學(xué)習(xí)和掌握的技術(shù)是否與出版發(fā)展方向相一致，這是事關(guān)數(shù)字出版安全發(fā)展的重要問(wèn)題，方向不對(duì)則不宜習(xí)得，方向正確方可在習(xí)得的基礎(chǔ)上采納。數(shù)字出版技術(shù)采納制度，應(yīng)對(duì)擬采納的新技術(shù)進(jìn)行安全性評(píng)估，在確保不影響文化安全、意識(shí)形態(tài)安全的基礎(chǔ)上方可引入。數(shù)字出版技術(shù)應(yīng)用制度，涉及技術(shù)部署、運(yùn)用的具體過(guò)程，應(yīng)考慮安全性問(wèn)題，如對(duì)現(xiàn)有的技術(shù)環(huán)境是否構(gòu)成威脅、是否會(huì)打破現(xiàn)有技術(shù)安全平衡等。數(shù)字出版技術(shù)運(yùn)維制度，要考量技術(shù)運(yùn)營(yíng)維護(hù)過(guò)程中對(duì)安全硬件、安全軟件的適配性設(shè)置，及時(shí)補(bǔ)充和新增安全軟硬件。數(shù)字出版技術(shù)迭代過(guò)程，要考慮新技術(shù)迭代對(duì)原有數(shù)字出版產(chǎn)品服務(wù)功能的安全性影響，以功能穩(wěn)定、數(shù)據(jù)安全為要?jiǎng)?wù)，切忌因新技術(shù)迭代導(dǎo)致原有數(shù)據(jù)丟失或鏈接被篡改等情況發(fā)生。

3．舉措單一，難以有效應(yīng)對(duì)

關(guān)于數(shù)字出版技術(shù)安全舉措，既往的做法較為單一、粗暴化，未能做到具體情況具體分析和精準(zhǔn)施策。

出版機(jī)構(gòu)采取的數(shù)字技術(shù)安全措施因網(wǎng)站種類而不同。對(duì)于門戶網(wǎng)站，出版機(jī)構(gòu)可選擇在重大節(jié)假日斷網(wǎng)、停網(wǎng)，這種簡(jiǎn)單直接的方式雖然能夠起到阻隔網(wǎng)絡(luò)攻擊的效果，但是對(duì)于出版品牌維護(hù)、正常出版服務(wù)的提供等造成了不良影響。對(duì)于業(yè)務(wù)網(wǎng)站，出版機(jī)構(gòu)一般會(huì)購(gòu)置一些網(wǎng)絡(luò)安全防護(hù)設(shè)備以確保信息安全和數(shù)據(jù)安全，但是具體到內(nèi)外網(wǎng)隔離、內(nèi)部數(shù)據(jù)和外部數(shù)據(jù)分級(jí)防護(hù)、異地機(jī)房數(shù)據(jù)備份、有效應(yīng)對(duì)動(dòng)態(tài)自動(dòng)化攻擊等方面則顯得力不從心，以致勒索病毒、網(wǎng)頁(yè)篡改等問(wèn)題時(shí)常出現(xiàn)。

合作方技術(shù)安全舉措是出版機(jī)構(gòu)關(guān)注的盲區(qū)，往往也處于不可控狀態(tài)。一方面，對(duì)采取技術(shù)外包或技術(shù)合作路線的出版機(jī)構(gòu)而言，持續(xù)地、不間斷地關(guān)注基于網(wǎng)絡(luò)的增值知識(shí)服務(wù)運(yùn)行狀態(tài)是長(zhǎng)期任務(wù)之一。增值知識(shí)服務(wù)的網(wǎng)頁(yè)鏈接、AR內(nèi)容、VR視頻等部署于技術(shù)商網(wǎng)站，那么，如何確保該技術(shù)商處于正常運(yùn)營(yíng)狀態(tài)、在運(yùn)營(yíng)商經(jīng)營(yíng)異常時(shí)如何采取及時(shí)措施、在增值知識(shí)服務(wù)鏈接異變時(shí)如何快速應(yīng)急處置等，這些問(wèn)題往往是數(shù)字出版技術(shù)安全應(yīng)優(yōu)先考慮和緊急處理的內(nèi)容。另一方面，如何弘揚(yáng)誠(chéng)信文化，確立誠(chéng)信機(jī)制，是對(duì)技術(shù)商提出的要求。技術(shù)商應(yīng)建立誠(chéng)信長(zhǎng)效機(jī)制，確保對(duì)出版機(jī)構(gòu)和讀者用戶的誠(chéng)信服務(wù)供給，確保在數(shù)字出版產(chǎn)品服務(wù)有效期內(nèi)始終提供正常的、安全的、穩(wěn)定的技術(shù)服務(wù)，避免合作中止服務(wù)中斷、公司停業(yè)服務(wù)中斷甚至出現(xiàn)網(wǎng)絡(luò)攻擊等情況。

三、數(shù)字出版技術(shù)應(yīng)用安全的對(duì)策路徑

及時(shí)有效地制定和落實(shí)數(shù)字出版技術(shù)安全對(duì)策路徑，既是數(shù)字出版企業(yè)高質(zhì)量發(fā)展的自身需要，又是貫徹落實(shí)出版業(yè)發(fā)展規(guī)劃的題中應(yīng)有之義。

《出版業(yè)“十四五”時(shí)期發(fā)展規(guī)劃》對(duì)于出版業(yè)、數(shù)字出版的發(fā)展與安全進(jìn)行了較為全面的規(guī)定，這是宏觀層面的出版安全治理，我們需要明確微觀層面的數(shù)字出版安全治理是什么？出版企業(yè)應(yīng)該如何落實(shí)上述規(guī)劃的規(guī)定，如何提升數(shù)字出版技術(shù)安全應(yīng)用水平？一般來(lái)說(shuō)，微觀層面的數(shù)字出版安全治理，是指數(shù)字出版企業(yè)圍繞維護(hù)安全、鞏固安全、增強(qiáng)安全所采取的一系列理念、制度和實(shí)踐的總和。其中，數(shù)字出版意識(shí)形態(tài)安全治理是根本，數(shù)字出版文化安全治理是靈魂，數(shù)字出版經(jīng)濟(jì)安全治理是基礎(chǔ)，而數(shù)字出版技術(shù)安全治理是核心。數(shù)字出版技術(shù)安全治理可從基本理念、頂層設(shè)計(jì)、實(shí)踐路徑三個(gè)方面展開。

1．堅(jiān)持統(tǒng)籌發(fā)展和安全的基本理念

數(shù)字出版高質(zhì)量發(fā)展要確立安全發(fā)展的理念。數(shù)字出版發(fā)展首先是安全的發(fā)展，數(shù)字出版新發(fā)展格局的構(gòu)建要實(shí)現(xiàn)更為安全的發(fā)展，安全發(fā)展是數(shù)字出版高質(zhì)量發(fā)展的題中應(yīng)有之義、基本底線和重要保障。

圍繞安全發(fā)展的理念，數(shù)字出版高質(zhì)量發(fā)展要堅(jiān)持統(tǒng)籌兼顧，實(shí)現(xiàn)數(shù)字出版全過(guò)程各領(lǐng)域各環(huán)節(jié)協(xié)同高效的發(fā)展，實(shí)現(xiàn)發(fā)展質(zhì)量、效益、結(jié)構(gòu)、規(guī)模、速度和安全相統(tǒng)一。數(shù)字出版高質(zhì)量發(fā)展，要實(shí)現(xiàn)數(shù)字出版數(shù)據(jù)開發(fā)共享應(yīng)用水平提升，實(shí)現(xiàn)出版業(yè)信息、數(shù)據(jù)和網(wǎng)絡(luò)安全水平顯著提升，實(shí)現(xiàn)行業(yè)發(fā)展安全保障能力提升。數(shù)字出版高質(zhì)量發(fā)展，要加快建構(gòu)技術(shù)先進(jìn)安全的產(chǎn)業(yè)體系和市場(chǎng)體系，提高先進(jìn)技術(shù)的應(yīng)用能力和應(yīng)用水平。

2．優(yōu)化數(shù)字出版技術(shù)安全頂層設(shè)計(jì)

數(shù)字出版技術(shù)安全要堅(jiān)持總體安全觀，以意識(shí)形態(tài)安全為根本，以文化安全為靈魂，以經(jīng)濟(jì)安全為基礎(chǔ)，以技術(shù)安全為核心。數(shù)字出版技術(shù)安全的頂層設(shè)計(jì)要具備全局性、決定性、關(guān)聯(lián)性、可操作性特征：就全局性而言，數(shù)字出版技術(shù)安全頂層設(shè)計(jì)要涵蓋數(shù)字出版產(chǎn)品、技術(shù)、運(yùn)維等產(chǎn)業(yè)鏈基本環(huán)節(jié)，要有效統(tǒng)籌涉及數(shù)字出版技術(shù)安全的人力、物力、財(cái)力和智力要素，要正確處理好數(shù)字出版安全和數(shù)字出版調(diào)節(jié)、數(shù)字出版治理之間的相互關(guān)系；就決定性而言，技術(shù)安全的戰(zhàn)略布局、模式設(shè)計(jì)、運(yùn)行體系要堅(jiān)持頂層決定底層、高端決定低端的基本原則；就關(guān)聯(lián)性而言，數(shù)字出版技術(shù)編輯、數(shù)字出版技術(shù)安全資金投入、數(shù)字出版技術(shù)安全設(shè)備、數(shù)字出版技術(shù)安全智庫(kù)建議等是相互聯(lián)系、相互作用的有機(jī)統(tǒng)一整體，須相得益彰；就可操作性而言，數(shù)字出版技術(shù)安全頂層設(shè)計(jì)要綜合采取物理安全措施和技術(shù)安全措施，明確專門機(jī)構(gòu)、專門負(fù)責(zé)人、完整的運(yùn)行體系以及定期的反饋迭代機(jī)制，確保數(shù)字出版技術(shù)習(xí)得、采納、應(yīng)用、反饋、運(yùn)維、迭代等各環(huán)節(jié)的安全。

3．增強(qiáng)數(shù)字出版技術(shù)安全的實(shí)踐路徑

數(shù)字出版技術(shù)安全的實(shí)踐路徑有很多，主要包括以下幾個(gè)方面。

第一，積極推動(dòng)數(shù)字安全技術(shù)升級(jí)。隨著前述自動(dòng)化攻擊越來(lái)越肆虐，對(duì)數(shù)字出版數(shù)據(jù)安全、正常業(yè)務(wù)開展構(gòu)成日益嚴(yán)重的威脅，以“動(dòng)態(tài)防御”為基本理念的數(shù)字安全技術(shù)將成為出版機(jī)構(gòu)安全防護(hù)的首選。具體可在動(dòng)態(tài)封裝、動(dòng)態(tài)驗(yàn)證、動(dòng)態(tài)混淆和動(dòng)態(tài)令牌四個(gè)方面進(jìn)行部署（見圖1）。其一，動(dòng)態(tài)封裝技術(shù)對(duì)網(wǎng)頁(yè)底層代碼進(jìn)行封裝，隱藏攻擊入口，使攻擊者無(wú)法預(yù)測(cè)服務(wù)器行為。其二，動(dòng)態(tài)驗(yàn)證技術(shù)在網(wǎng)頁(yè)內(nèi)插入對(duì)客戶端環(huán)境的動(dòng)態(tài)檢查代碼，且每次均隨機(jī)選取檢測(cè)項(xiàng)目與數(shù)量，以增加應(yīng)用的不可預(yù)測(cè)性，以及攻擊者或自動(dòng)化工具假冒合法客戶端的難度。其三，動(dòng)態(tài)混淆技術(shù)對(duì)網(wǎng)頁(yè)上敏感的傳輸數(shù)據(jù)進(jìn)行動(dòng)態(tài)混淆，將敏感的用戶名和密碼等信息全部混淆，防止通過(guò)中間人攻擊等行為進(jìn)行偽造請(qǐng)求、惡意代碼注入、竊聽或篡改交易內(nèi)容。其四，動(dòng)態(tài)令牌技術(shù)通過(guò)對(duì)合法請(qǐng)求授予一次性令牌，保障業(yè)務(wù)邏輯的正確執(zhí)行，且有效防御惡意爬蟲、網(wǎng)頁(yè)后門、APT攻擊與應(yīng)用層 DDoS等自動(dòng)化攻擊行為。

第二，科學(xué)進(jìn)行出版數(shù)據(jù)分層治理。在出版數(shù)據(jù)治理方面，為確保核心業(yè)務(wù)數(shù)據(jù)和高價(jià)值內(nèi)部數(shù)據(jù)的安全性，首先須將內(nèi)部數(shù)據(jù)和外部數(shù)據(jù)安全防護(hù)進(jìn)行分層治理。對(duì)出版社資產(chǎn)數(shù)據(jù)、管理數(shù)據(jù)、流程數(shù)據(jù)等高度保密的內(nèi)部數(shù)據(jù)，宜進(jìn)行內(nèi)外網(wǎng)隔離，嚴(yán)禁內(nèi)部員工以外的人訪問(wèn)和使用；對(duì)數(shù)字出版產(chǎn)品服務(wù)的內(nèi)容數(shù)據(jù)、交互數(shù)據(jù)和用戶數(shù)據(jù)等核心業(yè)務(wù)數(shù)據(jù)，宜通過(guò)“線下+線上”“本地存儲(chǔ)+云存儲(chǔ)”等多樣化方式進(jìn)行保護(hù)，確保數(shù)據(jù)處于正常使用和運(yùn)營(yíng)狀態(tài)。在實(shí)踐中，越來(lái)越多出版社選擇將業(yè)務(wù)數(shù)據(jù)通過(guò)公共云、私有云等方式進(jìn)行云端部署，以防止雞蛋放在一個(gè)籃子的悲劇出現(xiàn)；資金、技術(shù)實(shí)力較為雄厚的出版機(jī)構(gòu)甚至采取異地機(jī)房部署的方式，以確保高價(jià)值數(shù)據(jù)的“雙線下”安全防護(hù)。

第三，加大技術(shù)安全標(biāo)準(zhǔn)研制宣傳貫徹力度。出版機(jī)構(gòu)應(yīng)圍繞數(shù)字出版技術(shù)安全應(yīng)用，因地制宜、因時(shí)制宜、因社制宜地研制、宣傳和落實(shí)企業(yè)標(biāo)準(zhǔn)，將安全意識(shí)、安全理念傳達(dá)至每一位員工。數(shù)字出版行業(yè)標(biāo)準(zhǔn)研制也應(yīng)考慮信息安全、數(shù)據(jù)安全、內(nèi)容安全等方面的標(biāo)準(zhǔn)數(shù)量和比例，及時(shí)將成功企業(yè)的成熟做法升級(jí)為共同經(jīng)驗(yàn)，為出版業(yè)安全發(fā)展提供標(biāo)準(zhǔn)保障和依據(jù)。

第四，建立健全數(shù)字出版技術(shù)編輯隊(duì)伍。數(shù)字出版編輯主要承擔(dān)數(shù)字出版技術(shù)習(xí)得、采納、應(yīng)用、運(yùn)維、反饋和迭代等工作任務(wù)。數(shù)字出版技術(shù)編輯的專業(yè)化分工、精細(xì)化發(fā)展，推動(dòng)和促進(jìn)自身分離出數(shù)字出版技術(shù)安全編輯這一角色類型。負(fù)責(zé)技術(shù)安全的數(shù)字出版編輯的規(guī)模、質(zhì)量和比例應(yīng)隨著數(shù)字出版發(fā)展階段、發(fā)展程度的提升而不斷增加，從而為數(shù)字出版的安全發(fā)展、高質(zhì)發(fā)展提供源源不斷的人力資源和主體動(dòng)力。

隨著中國(guó)特色數(shù)字出版發(fā)展步入提質(zhì)增效的關(guān)鍵階段，對(duì)數(shù)字出版安全再怎么強(qiáng)調(diào)都不為過(guò)。只有從基本理念、頂層設(shè)計(jì)、體制機(jī)制、實(shí)踐路徑等方面不斷強(qiáng)化數(shù)字出版安全能力建設(shè)，不斷提升數(shù)字出版安全水平，不斷推進(jìn)數(shù)字出版安全治理體系健全，才能切實(shí)維護(hù)和鞏固數(shù)字出版安全，真正實(shí)現(xiàn)數(shù)字出版的高質(zhì)量發(fā)展、可持續(xù)發(fā)展。

｜參考文獻(xiàn)｜

［1］張新新，鐘慧婷. 出版業(yè)高質(zhì)量發(fā)展的戰(zhàn)略協(xié)同機(jī)制思考：基于協(xié)同論的視角［J］. 出版廣角，2022（9）：60-66.

［2］詳情公布！西北工業(yè)大學(xué)遭美國(guó)國(guó)家安全局網(wǎng)絡(luò)攻擊［EB/OL］. （2022-09-05）［2022-12-09］. https：//baijiahao.baidu.com/s？id=1743105570480063357&wfr=spider&for=pc.

［3］CHEN Ping， HU Zhisheng， XU Jun， et al. Feedback control can make data structure layout randomization more cost-effective under zero-day attacks［J］. Cybersecurity， 2018（1）：13.

［4］張新新. 基于出版業(yè)數(shù)字化戰(zhàn)略視角的“十四

五”數(shù)字出版發(fā)展芻議［J］. 科技與出版，2021（1）：65-76.

［5］趙金樓，許馳. 網(wǎng)絡(luò)出版的安全技術(shù)研究與實(shí)現(xiàn)［J］. 編輯之友，2007（6）：67-69.

［6］鄭陽(yáng)平，衡軍山. 數(shù)字出版安全網(wǎng)絡(luò)的研究與實(shí)踐［J］. 出版廣角，2013（22）：23-25.

［7］劉愛民. 圖書出版業(yè)RFID電子標(biāo)識(shí)技術(shù)的數(shù)據(jù)安全性研究［J］. 科技與出版，2017（4）：82-84.

［8］楊皖寧. 應(yīng)建構(gòu)數(shù)字出版的文化安全觀［J］. 科技與出版，2020（5）：121-125.

［9］劉錦宏，羅金毅，宋明珍. 統(tǒng)籌安全與發(fā)展：基于國(guó)家網(wǎng)信戰(zhàn)略的出版質(zhì)量提升策略［J］. 出版廣角，2022（5）：29-32.

［10］張新新. 數(shù)字出版價(jià)值論（上）：價(jià)值認(rèn)知到價(jià)值建構(gòu)［J］. 出版科學(xué)，2022（1）：5-14.