公共圖書館網(wǎng)絡(luò)安全保障機(jī)制探索與思考

摘要：網(wǎng)絡(luò)安全保障是公共圖書館建設(shè)、發(fā)展以及穩(wěn)定運(yùn)行的必要條件。通過對(duì)公共圖書館網(wǎng)絡(luò)安全問題的分析，提出了可通過建立網(wǎng)絡(luò)安全管理機(jī)制、動(dòng)態(tài)技術(shù)防御機(jī)制以及政策保障機(jī)制等，來(lái)提升公共圖書館網(wǎng)絡(luò)安全的管理水平。

關(guān)鍵詞：公共圖書館；網(wǎng)絡(luò)安全；保障機(jī)制

中圖分類號(hào)：G250.7"" 文獻(xiàn)標(biāo)識(shí)碼：A

DOI：10.13897/j.cnki.hbkjty.2023.0047

隨著公共圖書館在智慧化轉(zhuǎn)型上逐步探索與實(shí)踐，云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等新興技術(shù)與圖書館業(yè)務(wù)的融合日益緊密，新技術(shù)、新業(yè)態(tài)的出現(xiàn)，提升了公共圖書館的服務(wù)能力，卻也帶來(lái)了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)公共圖書館法》實(shí)施的背景下，網(wǎng)絡(luò)安全是公共圖書館建設(shè)、發(fā)展以及穩(wěn)定運(yùn)行的必要條件［1］。將網(wǎng)絡(luò)安全保障機(jī)制作為公共圖書館的底層架構(gòu)加以研究與利用，對(duì)于持續(xù)開展圖書館信息化建設(shè)，確保信息系統(tǒng)、網(wǎng)站安全穩(wěn)定運(yùn)行以及更好地提供公共文化服務(wù)具有重要的意義。

1 公共圖書館網(wǎng)絡(luò)安全問題分析

筆者以中國(guó)知網(wǎng)數(shù)據(jù)庫(kù)為數(shù)據(jù)來(lái)源，發(fā)表時(shí)間截至2022年12月31日，主題為“公共圖書館+網(wǎng)絡(luò)安全”進(jìn)行檢索，得到相關(guān)文獻(xiàn)95篇，對(duì)這些文獻(xiàn)進(jìn)行研究分析，歸納出公共圖書館普遍存在的網(wǎng)絡(luò)安全問題。

1.1 網(wǎng)絡(luò)安全管理措施有待提升

孫戈［2］分析了影響公共圖書館網(wǎng)絡(luò)安全的各個(gè)因素，其中制度是影響因素之一，很多公共圖書館存在“重技術(shù)，輕管理”的現(xiàn)象，在公共圖書館發(fā)生的網(wǎng)絡(luò)安全事故中，很大一部分都是由于制度的缺失造成的。黃珣［3］等通過調(diào)查問卷、電話訪談和現(xiàn)場(chǎng)走訪相結(jié)合的方式，對(duì)江西省17家數(shù)字圖書館安全管理現(xiàn)狀進(jìn)行了調(diào)研分析，顯示網(wǎng)絡(luò)安全制度建立不完善、管理寬嚴(yán)不一，在網(wǎng)絡(luò)安全防范方面處于被動(dòng)狀態(tài)。由此可見，公共圖書館網(wǎng)絡(luò)安全的管理措施有待提升，應(yīng)加強(qiáng)對(duì)安全管理機(jī)制的構(gòu)建，有針對(duì)性地采取管理措施，有效杜絕因管理不到位帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1.2 網(wǎng)絡(luò)安全技術(shù)防御思路有待轉(zhuǎn)變

宋欣［4］等人提到圖書館網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，拓?fù)浣Y(jié)構(gòu)日益復(fù)雜，安全問題也日益突出；吳玉靈［5］通過調(diào)查發(fā)現(xiàn)，我國(guó)許多公共圖書館存在網(wǎng)絡(luò)安全防護(hù)防御手段單一、風(fēng)險(xiǎn)感知滯后、缺乏聯(lián)動(dòng)部署機(jī)制、缺乏可視化展示等問題。因此，公共圖書館的網(wǎng)絡(luò)安全防御思路需要進(jìn)行轉(zhuǎn)變，強(qiáng)化動(dòng)態(tài)防御的概念，尤其考慮安全預(yù)警、監(jiān)測(cè)及防護(hù)機(jī)制，規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)滯后等問題。

1.3 網(wǎng)絡(luò)安全業(yè)內(nèi)政策保障有待完善

張立新［6］等研究了圖書館信息安全存在的問題，提到相關(guān)部門不夠重視是其中的問題之一；車盈［7］提到，圖書館存在人員能力不足的問題，圖書館專業(yè)人才短缺現(xiàn)象明顯，導(dǎo)致圖書館總體技術(shù)防御能力不足；黃珣［3］等論述了資金投入不足是影響江西省圖書館信息安全的因素之一。由此可見，完善公共圖書館的網(wǎng)絡(luò)安全業(yè)內(nèi)政策保障機(jī)制對(duì)于維護(hù)圖書館的安全穩(wěn)定運(yùn)行具有重要作用。

2 公共圖書館網(wǎng)絡(luò)安全保障機(jī)制設(shè)計(jì)

基于公共圖書館網(wǎng)絡(luò)安全問題分析，筆者圍繞網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度體系，結(jié)合多年國(guó)家圖書館網(wǎng)絡(luò)安全工作經(jīng)驗(yàn)，設(shè)計(jì)了公共圖書館網(wǎng)絡(luò)安全保障機(jī)制框架圖（見圖1）。首先，公共圖書館應(yīng)確立網(wǎng)絡(luò)安全總體目標(biāo)；其次，可通過建立安全管理機(jī)制、動(dòng)態(tài)技術(shù)防御機(jī)制以及政策保障機(jī)制等，保障公共圖書館的信息化業(yè)務(wù)在合法合規(guī)的前提下，形成動(dòng)態(tài)、持續(xù)的網(wǎng)絡(luò)安全防護(hù)體系。

2.1 安全管理機(jī)制

為了有效實(shí)施網(wǎng)絡(luò)安全管理，公共圖書館需要建立完善的網(wǎng)絡(luò)安全管理機(jī)制，在此基礎(chǔ)上，將各項(xiàng)網(wǎng)絡(luò)安全工作落到實(shí)處。安全管理機(jī)制包括完善網(wǎng)絡(luò)安全規(guī)范建設(shè)、成立網(wǎng)絡(luò)安全組織機(jī)構(gòu)、開展網(wǎng)絡(luò)安全監(jiān)督檢查，并由此建立持續(xù)改進(jìn)的網(wǎng)絡(luò)安全管理體系，以降低公共圖書館面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障公共圖書館業(yè)務(wù)正常有序地運(yùn)作。

2.1.1 健全網(wǎng)絡(luò)安全規(guī)范建設(shè)

標(biāo)準(zhǔn)規(guī)范建設(shè)是公共圖書館安全管理機(jī)制的基石，需要結(jié)合圖書館發(fā)展的實(shí)際情況，制定安全保障體系，使各館在進(jìn)行信息化建設(shè)時(shí)能依照現(xiàn)有標(biāo)準(zhǔn)體系進(jìn)行，同時(shí)能按照標(biāo)準(zhǔn)體系開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。公共圖書館的網(wǎng)絡(luò)安全規(guī)范建設(shè)應(yīng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度體系，各圖書館應(yīng)對(duì)本館現(xiàn)有網(wǎng)絡(luò)安全規(guī)范進(jìn)行梳理，查漏補(bǔ)缺，做好建設(shè)工作。如制定信息系統(tǒng)賬號(hào)密碼管理辦法、備份管理辦法、第三方安全管理辦法等，對(duì)圖書館所建信息系統(tǒng)進(jìn)行規(guī)范管理；制定用戶管理辦法、論壇管理辦法等，加強(qiáng)對(duì)用戶行為的管理；制定防病毒管理辦法、桌面行為管理辦法等，規(guī)范對(duì)計(jì)算機(jī)等終端設(shè)備的安全管理。

2.1.2 明確網(wǎng)絡(luò)安全組織機(jī)構(gòu)及職責(zé)

根據(jù)我國(guó)網(wǎng)絡(luò)安全管理的要求，公共圖書館可

明確網(wǎng)絡(luò)安全組織機(jī)構(gòu)及職責(zé)，成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，負(fù)責(zé)指揮、協(xié)調(diào)、決策圖書館建設(shè)中遇到的重大網(wǎng)絡(luò)安全工作。定期組織召開網(wǎng)絡(luò)安全工作會(huì)議，對(duì)反映的網(wǎng)絡(luò)安全問題進(jìn)行交流，還可以形成網(wǎng)絡(luò)安全專報(bào)報(bào)送制度，進(jìn)行內(nèi)部通告。

2.1.3 實(shí)施網(wǎng)絡(luò)安全監(jiān)督檢查

網(wǎng)絡(luò)安全監(jiān)督檢查機(jī)制是公共圖書館信息化建設(shè)發(fā)現(xiàn)問題、解決問題的有效途徑與手段?？芍攸c(diǎn)針對(duì)查關(guān)鍵時(shí)間節(jié)點(diǎn)、查關(guān)鍵系統(tǒng)網(wǎng)站、查日常工作落實(shí)等三個(gè)方面建立相關(guān)機(jī)制。比如，在國(guó)家重大活動(dòng)前夕，開展圖書館的網(wǎng)絡(luò)安全監(jiān)督檢查工作，查找問題及時(shí)整改；將互聯(lián)網(wǎng)網(wǎng)站、存有讀者信息數(shù)據(jù)的系統(tǒng)以及電子大屏顯示系統(tǒng)作為重點(diǎn)檢查節(jié)點(diǎn)，重點(diǎn)檢查注入漏洞、木馬后門等惡意問題，堅(jiān)決杜絕網(wǎng)站被篡改的可能；對(duì)日常圖書館網(wǎng)絡(luò)安全機(jī)制運(yùn)行情況、責(zé)任制落實(shí)情況、網(wǎng)絡(luò)安全應(yīng)急預(yù)案、各系統(tǒng)的網(wǎng)絡(luò)安全措施落實(shí)情況等進(jìn)行檢查，不斷提升公共圖書館的網(wǎng)絡(luò)安全防護(hù)意識(shí)和綜合防護(hù)水平。

2.1.4 建立持續(xù)改進(jìn)的網(wǎng)絡(luò)安全管理體系

國(guó)家法律政策、體系，是持續(xù)修訂與完善的，因此，公共圖書館網(wǎng)絡(luò)安全管理體系建設(shè)應(yīng)是一個(gè)持續(xù)改進(jìn)的過程，應(yīng)根據(jù)法律、政策、標(biāo)準(zhǔn)規(guī)范，并結(jié)合公共圖書館自身業(yè)務(wù)適時(shí)調(diào)整已建立的網(wǎng)絡(luò)安全管理體系。同時(shí)梳理公共圖書館網(wǎng)絡(luò)安全的不適用項(xiàng)，進(jìn)行整改與完善，以期達(dá)到一個(gè)持續(xù)符合國(guó)家要求的網(wǎng)絡(luò)安全管理體系。

2.2 動(dòng)態(tài)技術(shù)防御機(jī)制

公共圖書館的信息化建設(shè)不是一勞永逸的，因此，在網(wǎng)絡(luò)安全防護(hù)過程中要時(shí)刻關(guān)注新型安全問題，形成網(wǎng)絡(luò)安全動(dòng)態(tài)技術(shù)防御機(jī)制，包括安全預(yù)警機(jī)制、安全監(jiān)測(cè)機(jī)制、技術(shù)防護(hù)機(jī)制等。

2.2.1 安全預(yù)警機(jī)制

安全預(yù)警機(jī)制的建立可及時(shí)針對(duì)可能出現(xiàn)的網(wǎng)絡(luò)安全問題進(jìn)行預(yù)判，可有效防范網(wǎng)絡(luò)安全事件發(fā)生。通?？筛鶕?jù)預(yù)警的內(nèi)容，分為漏洞預(yù)警、攻擊預(yù)警、行為預(yù)警等，針對(duì)操作系統(tǒng)、中間件、軟件應(yīng)用的風(fēng)險(xiǎn)以及用戶不安全行為進(jìn)行提前通知，使得公共圖書館信息化管理做到“早發(fā)現(xiàn)、早預(yù)防”，以便根據(jù)發(fā)現(xiàn)的問題及時(shí)整改，從容地應(yīng)對(duì)可能出現(xiàn)的網(wǎng)絡(luò)安全問題。

2.2.2 安全監(jiān)測(cè)機(jī)制

在建立安全監(jiān)測(cè)機(jī)制前，需要完成公共圖書館信息化資產(chǎn)的梳理工作，建立信息系統(tǒng)、網(wǎng)站、終端、多媒體顯示屏、新媒體小程序等多種信息資產(chǎn)臺(tái)賬，根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，結(jié)合公共圖書館系統(tǒng)服務(wù)范圍、數(shù)據(jù)特點(diǎn)等進(jìn)行安全等級(jí)排序，通過對(duì)重點(diǎn)信息化業(yè)務(wù)的7*24小時(shí)監(jiān)測(cè)，預(yù)防信息化業(yè)務(wù)被攻擊、入侵的情況。安全監(jiān)測(cè)一般可分為實(shí)時(shí)網(wǎng)絡(luò)連通性監(jiān)測(cè)、頁(yè)面完整性監(jiān)測(cè)、系統(tǒng)日志監(jiān)測(cè)等內(nèi)容。通過建立圖書館網(wǎng)絡(luò)安全集中管理中心，可收集流量特征以及服務(wù)、平臺(tái)的日志，對(duì)信息化資產(chǎn)以及數(shù)據(jù)流向進(jìn)行全流程監(jiān)控，動(dòng)態(tài)感知安全威脅。安全監(jiān)測(cè)機(jī)制有利于提升網(wǎng)絡(luò)安全事件的響應(yīng)速度，做到“及時(shí)發(fā)現(xiàn)、及時(shí)處置”，可有效保障公共圖書館信息化業(yè)務(wù)的安全性。

2.2.3 技術(shù)防護(hù)機(jī)制

網(wǎng)絡(luò)安全技術(shù)防護(hù)應(yīng)根據(jù)公共圖書館信息化的持續(xù)建設(shè)而動(dòng)態(tài)制定防護(hù)策略，包括安全策略優(yōu)化、訪問控制細(xì)化等。在物理安全層面，可通過門禁、機(jī)房監(jiān)控報(bào)警系統(tǒng)解決安全威脅問題；在系統(tǒng)安全層面，可通過審計(jì)、訪問控制等策略，采取漏掃掃描、滲透測(cè)試等技術(shù)手段，對(duì)操作系統(tǒng)、中間件、用戶、應(yīng)用等方面進(jìn)行優(yōu)化；在數(shù)據(jù)安全層面，通過加密、信息保護(hù)手段，對(duì)數(shù)據(jù)的接入、傳輸、使用、提取、訪問、共享、存儲(chǔ)等方面進(jìn)行防護(hù)，規(guī)避數(shù)據(jù)的非授權(quán)訪問；在通信安全層面，通過邊界完整性檢查等措施，防止非法外聯(lián)，在一定程度上解決非法攻擊、病毒傳播等問題；在應(yīng)用安全方面，通過風(fēng)險(xiǎn)評(píng)估等方式，進(jìn)行安全加固，提高應(yīng)用的可靠性（見表1）。

2.3 政策保障機(jī)制

根據(jù)我國(guó)網(wǎng)絡(luò)安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求，建立完善的公共圖書館網(wǎng)絡(luò)安全政策保障機(jī)制，制定省、市、縣等不同等級(jí)的網(wǎng)絡(luò)安全政策。

建立跨部門協(xié)調(diào)機(jī)制，建立技術(shù)規(guī)范，形成公共圖書館網(wǎng)絡(luò)安全聯(lián)合保障網(wǎng)絡(luò)，著力解決管理多樣化、運(yùn)行多元化、技術(shù)均衡化等多方面的問題，提升公共圖書館網(wǎng)絡(luò)安全整體保障水平。

2.3.1 協(xié)同合作機(jī)制

協(xié)同合作機(jī)制是指公共圖書館的網(wǎng)絡(luò)安全保障應(yīng)與各圖書館上級(jí)網(wǎng)絡(luò)安全主管部門以及第三方專業(yè)網(wǎng)絡(luò)安全公司形成良好的互相促進(jìn)、互相配合的工作機(jī)制。上級(jí)網(wǎng)絡(luò)安全主管部門對(duì)政策把握更準(zhǔn)確，可對(duì)公共圖書館網(wǎng)絡(luò)安全保障進(jìn)行良好的指導(dǎo)；第三方專業(yè)網(wǎng)絡(luò)安全公司有技術(shù)防控優(yōu)勢(shì)，可實(shí)時(shí)掌握最新攻擊手段與方式，提前預(yù)警，為公共圖書館信息化建設(shè)保駕護(hù)航。

2.3.2 專業(yè)人員培養(yǎng)機(jī)制

專業(yè)的網(wǎng)絡(luò)安全技術(shù)人員是公共圖書館的網(wǎng)絡(luò)安全建設(shè)的主力軍，充分發(fā)揮其技術(shù)優(yōu)勢(shì)對(duì)于網(wǎng)絡(luò)安全管理能力的提升具有積極意義。為建立切實(shí)有效的專業(yè)人員培養(yǎng)機(jī)制，需在人員選拔、培訓(xùn)、考核等方面不斷深入、完善，力爭(zhēng)使專業(yè)技術(shù)人員的工作能力充分施展。在人員選拔方面，可以采取持證上崗制度，力爭(zhēng)有針對(duì)性地選拔專業(yè)技術(shù)人才，同時(shí)不拘泥于人員引進(jìn)形式，對(duì)于技術(shù)精湛的館外專業(yè)技術(shù)人士可采取“客座專家”等方式，對(duì)公共圖書館網(wǎng)絡(luò)安全建設(shè)提供專業(yè)意見建議。

在人員培訓(xùn)方面，在開展網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)及技能培訓(xùn)的基礎(chǔ)上，根據(jù)圖書館的發(fā)展階段，提供與之相適應(yīng)的先進(jìn)技術(shù)培訓(xùn)，注重技術(shù)能力培養(yǎng)的同時(shí)，也注重提升職業(yè)操守和職業(yè)素養(yǎng)，打造高素質(zhì)的圖書館專業(yè)網(wǎng)絡(luò)安全技術(shù)人才。在崗位管理及考核方面，建立有效的崗位管理制度，科學(xué)設(shè)置專業(yè)技術(shù)崗位，細(xì)化崗位職責(zé)，確定考核內(nèi)容，有針對(duì)性地對(duì)人員的技術(shù)能力進(jìn)行評(píng)定，對(duì)于素質(zhì)高的人員給予激勵(lì)，提升人員的工作熱情。

2.3.3 經(jīng)費(fèi)保障機(jī)制

現(xiàn)在的網(wǎng)絡(luò)安全、數(shù)據(jù)安全已經(jīng)成為國(guó)家安全、文化安全的重要內(nèi)容。做好網(wǎng)絡(luò)安全需要不斷進(jìn)行技術(shù)更迭、設(shè)備更新，這些都需要經(jīng)費(fèi)的支持。網(wǎng)絡(luò)安全建設(shè)不是一項(xiàng)一勞永逸的工作，網(wǎng)絡(luò)安全新型攻擊、0day漏洞會(huì)不斷出現(xiàn)。整體來(lái)看，網(wǎng)絡(luò)安全建設(shè)將是一個(gè)長(zhǎng)期、動(dòng)態(tài)的過程，需要不停地去完善，同時(shí)，可通過加強(qiáng)對(duì)預(yù)算的管理力度，將預(yù)算精細(xì)化管理，減少突發(fā)情況對(duì)預(yù)算執(zhí)行的影響，提高預(yù)算資金的有效使用。適時(shí)對(duì)經(jīng)費(fèi)進(jìn)行績(jī)效評(píng)價(jià)，確定績(jī)效評(píng)價(jià)指標(biāo)，確保項(xiàng)目成果。

3 結(jié)語(yǔ)

在公共圖書館智慧化轉(zhuǎn)型發(fā)展的浪潮中，層出不窮的新技術(shù)逐步在圖書館得到應(yīng)用。在當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下，公共圖書館網(wǎng)絡(luò)安全問題關(guān)系到圖書館能否提供有效安全的公共文化服務(wù)，關(guān)系到廣大讀者的切身利益，關(guān)系到數(shù)字文化資源的安全。本文設(shè)計(jì)了公共圖書館網(wǎng)絡(luò)安全保障機(jī)制，在確立網(wǎng)絡(luò)安全總體目標(biāo)的基礎(chǔ)上，通過健全網(wǎng)絡(luò)安全規(guī)范、明確網(wǎng)絡(luò)安全組織機(jī)構(gòu)及職責(zé)、實(shí)施網(wǎng)絡(luò)安全監(jiān)督檢查及建立持續(xù)改進(jìn)的網(wǎng)絡(luò)安全管理體系等網(wǎng)絡(luò)安全管理機(jī)制；通過建立安全預(yù)警、監(jiān)測(cè)、防護(hù)等動(dòng)態(tài)技術(shù)防御機(jī)制，以及通過協(xié)同合作、人員培養(yǎng)、經(jīng)費(fèi)保障等政策保障機(jī)制，為公共圖書館建立全面、持續(xù)、動(dòng)態(tài)的網(wǎng)絡(luò)安全體系提供了思路。

參考文獻(xiàn)

［1］馬海群.《中華人民共和國(guó)公共圖書館法》的安全觀［J］.圖書館建設(shè)，2018（1）：37-43.

［2］孫戈.公共圖書館網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)與防范策略［J］.圖書館理論與實(shí)踐，2018（11）：19-22.

［3］黃珣等.基于硬件底層防御與軟件應(yīng)用層防護(hù)的信息安全實(shí)證研究——以江西省數(shù)字圖書館為例［J］.企業(yè)經(jīng)濟(jì)，2017，36（9）：157-162.

［4］宋欣，劉娜，蘇葉.基于態(tài)勢(shì)感知的智慧圖書館網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建［J］.中華醫(yī)學(xué)圖書情報(bào)雜志，2022，31（3）：70-75.

［5］吳玉靈.智慧圖書館網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)建設(shè)研究［J］.圖書館研究，2022，52（3）：93-100.

［6］張立新，周秀霞，李巍，等.我國(guó)數(shù)字圖書館信息安全研究綜述［J］.新世紀(jì)圖書館，2018（11）：89-93.

［7］車盈.圖書館網(wǎng)絡(luò)信息安全防護(hù)研究［J］.電子產(chǎn)品可靠性與環(huán)境試驗(yàn)，2022，40（6）：114-116.

作者簡(jiǎn)介：路龍惠（1983），女，碩士，國(guó)家圖書館副研究館員。研究方向：網(wǎng)絡(luò)安全、智慧圖書館。

（收稿日期：2023-02-01 責(zé)任編輯：張長(zhǎng)安）

Exploration and Thinking of Network Security Guarantee

Mechanism of Smart Library

Lu Long-hui

Abstract：

Network security guarantee is a necessary condition for the construction， development， and stable operation of smart libraries. By analyzing the current situation and problems of network security in smart libraries， it is proposed that the management level of network security in smart libraries can be improved by establishing dynamic defense mechanisms， security management mechanisms， and policy guarantee mechanisms for network security.

Keywords：Smart Library；Network Security；Guarantee Mechanism