(江西省圖書館,江西 南昌 330046)
習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上強調(diào),要抓緊制訂立法規(guī)劃,完善互聯(lián)網(wǎng)信息內(nèi)容管理、關(guān)鍵信息基礎(chǔ)設(shè)施保護等法律法規(guī),依法治理網(wǎng)絡(luò)空間,維護公民合法權(quán)益[1]。網(wǎng)站信息安全既涉及網(wǎng)站所屬單位或集體的重要數(shù)據(jù)信息,又在一定程度上影響其對外的公眾名譽和形象。公共圖書館網(wǎng)站作為擁有讀者隱私身份信息與文化遺產(chǎn)的公共訪問平臺,包含重要數(shù)據(jù)資源,做好公共圖書館網(wǎng)站信息安全的防護尤為重要。
公共圖書館網(wǎng)站信息安全的法治大環(huán)境主要有3個,分別是《中華人民共和國公共文化服務(wù)保障法》《中華人民共和國網(wǎng)絡(luò)安全法》和《中華人民共和國公共圖書館法》?!吨腥A人民共和國公共文化服務(wù)保障法》第二十二條規(guī)定,要依法配備安全保護設(shè)備和人員,保障公共文化設(shè)施和公眾活動安全[2]。《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定,國家實行網(wǎng)絡(luò)安全等級保護制度,要按照網(wǎng)絡(luò)安全等級保護制度的要求,履行包含制定安全制度、確定安全責(zé)任人、保留網(wǎng)絡(luò)日志、數(shù)據(jù)備份和加密要求等在內(nèi)的安全保護義務(wù);第二十五條規(guī)定,網(wǎng)絡(luò)運營者應(yīng)當(dāng)制訂網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置各類安全風(fēng)險,建立應(yīng)急預(yù)案機制,采取補救措施;第五十九條規(guī)定,對違反以上條款的運營單位的直接負(fù)責(zé)人給予警告和罰款處罰[3]?!吨腥A人民共和國公共圖書館法》第二十九條規(guī)定,公共圖書館應(yīng)當(dāng)定期對其設(shè)施設(shè)備進行檢查維護,確保正常運行;第四十三條規(guī)定,公共圖書館應(yīng)當(dāng)妥善保護讀者的個人借閱隱私信息;第五十條規(guī)定,如有違反以上條款,直接責(zé)任人和直接負(fù)責(zé)的主管人員均要受到相應(yīng)處罰,情節(jié)嚴(yán)重的還要追究刑事責(zé)任[4]。
表1展示了部分省直事業(yè)單位網(wǎng)站信息安全的相關(guān)違法案例,其違法內(nèi)容主要涉及SQL注入、XSS跨站腳本、webshell網(wǎng)頁后門等高危漏洞,未對網(wǎng)站進行等級保護備案、網(wǎng)絡(luò)日志留存時間不達(dá)標(biāo)等。
表1 部分省直事業(yè)單位網(wǎng)站信息安全違法案例
經(jīng)過分析,不難發(fā)現(xiàn),以上案例的法律依據(jù)主要來源于《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條和第五十九條。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定:國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求,履行下列安全保護義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實網(wǎng)絡(luò)安全保護責(zé)任;(二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個月;(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條第一款規(guī)定,對于構(gòu)成未按規(guī)定履行網(wǎng)絡(luò)安全等級測評義務(wù)的,依法對該單位給予警告處罰并責(zé)令其改正。
根據(jù)前文提到的網(wǎng)站信息安全違法案例,結(jié)合公共圖書館行業(yè)網(wǎng)站信息安全的服務(wù)現(xiàn)狀,筆者提出公共圖書館網(wǎng)站信息安全防護存在的問題和不足。
許多公共圖書館主體理所應(yīng)當(dāng)?shù)卣J(rèn)為公共圖書館作為公益性服務(wù)機構(gòu),網(wǎng)站安全不過是件皮毛小事,即使出了問題,也不會存在特別嚴(yán)重的處罰。這種僥幸思想的存在已有將近一百年時光,殊不知,隨著我國法律法規(guī)的不斷健全和完善,公共圖書館的各項管理與服務(wù)都將步入正軌。
公共圖書館網(wǎng)站就是該館的一張網(wǎng)絡(luò)名片,一旦遭到黑客攻擊并出現(xiàn)類似于數(shù)據(jù)篡改、數(shù)據(jù)泄漏等事件,將嚴(yán)重影響公共圖書館的形象和聲譽,更有甚者造成該館數(shù)以萬計的讀者身份信息數(shù)據(jù)的泄漏,后果將不堪設(shè)想。
隨著科學(xué)信息技術(shù)的不斷發(fā)展,黑客領(lǐng)域的攻擊手段和途徑也在不斷演變和升級,黑客攻擊方式由傳統(tǒng)的DDOS攻擊、網(wǎng)頁SQL注入、web跨站腳本攻擊、局域網(wǎng)ARP攻擊變?yōu)樾滦偷木彌_區(qū)溢出攻擊、0day漏洞攻擊、網(wǎng)頁挖礦木馬等,傳統(tǒng)網(wǎng)站信息安全防護策略已經(jīng)難以抵御全新的黑客攻擊方式。
筆者通過電話訪問與網(wǎng)絡(luò)問卷的方式調(diào)查分析了2018年上半年某省域公共圖書館的網(wǎng)站信息安全管理現(xiàn)狀,發(fā)現(xiàn)所有被調(diào)查的11家市級基層公共圖書館中,有10家配備至少1名網(wǎng)站信息安全維護人員,有1家配備的網(wǎng)站信息安全維護人員只負(fù)責(zé)聯(lián)系相關(guān)技術(shù)公司進行維護。所有被調(diào)查的縣級公共圖書館中,有80%的基層公共圖書館沒有配備專門的網(wǎng)站信息安全維護人員,20%的基層圖書館雖有配備人員,但其網(wǎng)站信息安全防護能力極為薄弱。
網(wǎng)站信息安全預(yù)警是指公共圖書館在本館網(wǎng)站即將遭到黑客入侵或攻擊前的警告,預(yù)警感知能力的強度高低決定了它是否能有效阻斷黑客繼續(xù)入侵并進一步獲取圖書館相關(guān)敏感數(shù)據(jù)信息。筆者通過問卷調(diào)查發(fā)現(xiàn)某省市級公共圖書館在2018年上半年網(wǎng)站信息安全事件共有35起,安全事件類別主要有網(wǎng)站存在SQL注入漏洞、網(wǎng)站被黑客植入惡意代碼、網(wǎng)站被植入挖礦木馬,資源耗盡導(dǎo)致頁面無響應(yīng)、網(wǎng)站安全策略被篡改等。在所有網(wǎng)站信息安全事件中,有11起事件由圖書館技術(shù)負(fù)責(zé)部門檢測發(fā)現(xiàn),有18起事件由讀者或其他部門館員發(fā)現(xiàn),有6起事件由省公安廳網(wǎng)絡(luò)安全部門或省網(wǎng)絡(luò)與信息化安全指揮應(yīng)急指揮中心檢測發(fā)現(xiàn)。
近年來,公有云服務(wù)憑借著數(shù)據(jù)安全可靠、性價比高的特征屬性在企業(yè)、政府以及地方事業(yè)單位等各大行業(yè)中得到廣泛應(yīng)用。用戶將原本架設(shè)在本地的關(guān)鍵或非關(guān)鍵業(yè)務(wù)服務(wù)“上云”,通過“云端”最專業(yè)的團隊來幫助管理和運維系統(tǒng),實現(xiàn)業(yè)務(wù)價值管理的最大化效益。例如,目前我國已經(jīng)有多家公共圖書館將本館的網(wǎng)站從本地遷移到公有云上,并通過公有云發(fā)布互聯(lián)網(wǎng)服務(wù)。隨著時間的推移,公有云平臺數(shù)據(jù)的絕對安全被提出質(zhì)疑。2018年北京一家從微信公眾號起家的“前沿數(shù)控”公司因騰訊云硬盤數(shù)據(jù)意外丟失導(dǎo)致網(wǎng)站停運向騰訊云索賠千萬,并通過官方微博發(fā)布文章“騰訊云給一家創(chuàng)業(yè)公司帶來的災(zāi)難”。
針對網(wǎng)站信息安全存在的諸多問題,筆者從建立網(wǎng)站信息安全管理制度,構(gòu)建網(wǎng)站信息安全人員組織體系,開展等級保護定級備案,構(gòu)建基于攻擊檢測、攻擊防護和攻擊溯源的網(wǎng)站信息安全攻防體系,培養(yǎng)網(wǎng)站信息安全人才,建立基于大數(shù)據(jù)分析的網(wǎng)站信息安全態(tài)勢感知平臺和培養(yǎng)網(wǎng)站信息安全人才等方面提出應(yīng)對防護策略。
公共圖書館網(wǎng)站信息安全需要建立制度來保障與其相關(guān)的各項工作順利開展[5]。表2列舉了公共圖書館網(wǎng)站信息安全管理的相關(guān)制度,主要有網(wǎng)站信息安全責(zé)任追究制度、網(wǎng)站信息數(shù)據(jù)安全管理制度、網(wǎng)站信息安全應(yīng)急預(yù)案響應(yīng)制度、網(wǎng)站信息安全宣傳培訓(xùn)制度、網(wǎng)站信息安全等級保護年度考核制度、網(wǎng)站信息安全工作經(jīng)費預(yù)算保障制度、網(wǎng)站信息安全設(shè)備產(chǎn)品安全可控制度等。
建立并完善公共圖書館網(wǎng)站信息安全管理的制度能夠極大改變傳統(tǒng)網(wǎng)站無章可循、模棱兩可的管理模式,在網(wǎng)站信息安全防護上,實行有法可依、有法必依的法治化格局,嚴(yán)格按照公共圖書館網(wǎng)站信息安全各項制度行事,保障公共圖書館網(wǎng)站的服務(wù)器設(shè)備安全、各類文化數(shù)字遺產(chǎn)資源安全和讀者敏感數(shù)據(jù)安全。
表2 公共圖書館網(wǎng)站信息安全管理制度名稱及其功能
公共圖書館網(wǎng)站信息安全的管理,歸根結(jié)底是人員的管理。通過設(shè)立公共圖書館網(wǎng)站信息安全領(lǐng)導(dǎo)小組(領(lǐng)導(dǎo)人員決策層)、網(wǎng)站信息安全信息化辦公室(中層干部協(xié)調(diào)層)、網(wǎng)站信息安全技術(shù)支持中心(技術(shù)館員落實層)的三層架構(gòu),構(gòu)建公共圖書館網(wǎng)站信息安全防護的人員組織體系[7]。明確各層級的職責(zé)和功能,建立網(wǎng)站信息安全責(zé)任處罰獎懲制度,責(zé)任到人,做到“誰管理,誰負(fù)責(zé)”。增加網(wǎng)站信息安全事件處罰成本,切實提高公共圖書館網(wǎng)站信息安全防護工作落實的效率。
在職責(zé)分工上,公共圖書館網(wǎng)站信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)公共圖書館網(wǎng)站信息安全工作的領(lǐng)導(dǎo)和重大事項的決策;網(wǎng)站信息安全信息化辦公室負(fù)責(zé)統(tǒng)籌安排網(wǎng)站信息安全工作的任務(wù),對網(wǎng)站信息安全的管理與組織進行溝通協(xié)調(diào),并向上級領(lǐng)導(dǎo)匯報和負(fù)責(zé);網(wǎng)站信息安全技術(shù)支持中心作為公共圖書館網(wǎng)站信息安全的技術(shù)支持,直接執(zhí)行網(wǎng)站信息安全信息化辦公室分配的任務(wù),并向上級領(lǐng)導(dǎo)匯報和負(fù)責(zé)。詳細(xì)人員分配見圖1所示。
圖1 公共圖書館網(wǎng)站信息安全人員組織體系架構(gòu)
定級和備案是網(wǎng)站安全等級保護工作的初始環(huán)節(jié),也是網(wǎng)絡(luò)運營者開展等級保護工作的基礎(chǔ),更是網(wǎng)絡(luò)運營者履行等級保護義務(wù)的直接體現(xiàn)[8]。在前述事業(yè)單位存在網(wǎng)站管理上的違法案例中,有的遭到黑客的入侵,有的甚至丟失了重要數(shù)據(jù)信息。一定程度上是由于沒有重視開展網(wǎng)站信息安全系統(tǒng)等級保護的定級備案工作。對于沒有進行網(wǎng)站備案定級工作的單位,因無法出具定級備案證明,公安機關(guān)無法判定該網(wǎng)絡(luò)系統(tǒng)是否屬于重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施的情況,一方面給公安機關(guān)立案偵查帶來不便,另一方面也導(dǎo)致網(wǎng)絡(luò)運營者因未履行安全管理義務(wù)而被追責(zé)。
公共圖書館應(yīng)當(dāng)按照《計算機信息系統(tǒng)安全保護條例》和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《信息安全等級保護管理辦法》等現(xiàn)行法律法規(guī),落實網(wǎng)站等級保護備案工作,選擇正規(guī)的第三方網(wǎng)站信息安全等級測評機構(gòu),定期對網(wǎng)站信息安全系統(tǒng)安全等級狀況開展等級測評。第三方測評機構(gòu)應(yīng)當(dāng)出具測評報告,并出具測評結(jié)果通知書,明示網(wǎng)站信息系統(tǒng)安全等級及測評結(jié)果。圖2顯示了網(wǎng)站信息安全等級保護定級備案與測評的工作流程。
圖2 網(wǎng)站信息安全等級保護定級備案與測評工作流程
(1)攻擊檢測。網(wǎng)站安全攻擊檢測的項目內(nèi)容主要有SQL注入、XSS跨站腳本、網(wǎng)頁植入木馬、緩沖區(qū)溢出、文件上傳漏洞、隱藏目錄泄露、數(shù)據(jù)庫泄露、弱口令、后臺管理地址泄露等。攻擊檢測途徑主要有兩種方式:一種是通過在線網(wǎng)站安全檢測。常見在線網(wǎng)站安全檢測網(wǎng)站有“網(wǎng)站安全狗在線檢測”“EeSafe網(wǎng)站安全聯(lián)盟在線檢測”“站長工具在線網(wǎng)站安全檢測”。另一種則是通過網(wǎng)站安全防護軟件工具檢測。常見的有:“WebShellkiller網(wǎng)站后門檢測工具”、“Netsparker網(wǎng)站安全掃描工具”(它能夠有效檢測SQL注入和跨腳本訪問類型的安全漏洞)。
(2)攻擊防護。通過建立基于硬件設(shè)備防護和軟件安全策略防御,實現(xiàn)網(wǎng)站信息安全防護壁壘。網(wǎng)站安全硬件設(shè)備防護。常見的硬件固件級防護設(shè)備主要有:防火墻設(shè)備、安全路由器設(shè)備、IDS類設(shè)備(入侵檢測系統(tǒng))、IPS類設(shè)備(入侵防御系統(tǒng))、WAF設(shè)備(網(wǎng)站應(yīng)用防火墻)、DDOS防御設(shè)備(分布式拒絕服務(wù))、DBSS類設(shè)備(數(shù)據(jù)庫安全服務(wù)設(shè)備)[9]。防火墻設(shè)備是網(wǎng)站防護的第一道防線,所有從計算機流入和流出的網(wǎng)絡(luò)通信數(shù)據(jù)包都要經(jīng)過防火墻,防火墻通過訪問控制列表、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)保護公共圖書館內(nèi)網(wǎng)用戶免受外界非法入侵;IDS類設(shè)備部署在網(wǎng)絡(luò)邊界旁路用于提供安全報告和事后監(jiān)督;IPS類設(shè)備解決了IDS不能阻斷網(wǎng)絡(luò)訪問的問題,同時也解決了傳統(tǒng)防火墻只能工作在OSI四層以下的問題,常被串聯(lián)至主干路上,對內(nèi)外網(wǎng)異常流量進行監(jiān)督處理;WAF類設(shè)備工作在應(yīng)用層,可用于解決諸如防火墻類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題;DDOS防御設(shè)備用于對網(wǎng)絡(luò)流量的清洗,它能實現(xiàn)對正常流量的放行和對攻擊流量的有效攔截。圖3為網(wǎng)站信息安全硬件基礎(chǔ)防護設(shè)備拓?fù)鋱D,表3是常見的網(wǎng)站信息安全軟件防護策略。
圖3 網(wǎng)站信息安全硬件基礎(chǔ)防護設(shè)備拓?fù)鋱D
名稱軟件安全策略網(wǎng)站后臺/服務(wù)器口令設(shè)置拒絕采用基于弱口令的密碼認(rèn)證管理0day漏洞定期修復(fù)web服務(wù)器安全漏洞和其他網(wǎng)站信息安全漏洞數(shù)據(jù)泄露通過VPN隧道加密技術(shù)實現(xiàn)讀者用戶身份信息數(shù)據(jù)加密傳輸CC攻擊禁止網(wǎng)站代理訪問,盡量將網(wǎng)站做成靜態(tài)頁面,限制連接數(shù)量,修改最大超時時間等端口掃描設(shè)置web服務(wù)器防火墻放行策略,僅對需要使用的端口放行,或在實體防火墻上做端口映射SQL注入/XSS跨站腳本優(yōu)化頁面代碼,通過正則表達(dá)式進行非法字符過濾網(wǎng)頁掛馬通過服務(wù)器安全狗以及網(wǎng)站安全狗相關(guān)軟件進行主動防御
(3)攻擊溯源。《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定,網(wǎng)站運營主體應(yīng)當(dāng)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個月。公共圖書館可以通過防火墻、高性能路由器以及windows系統(tǒng)下IIS(Internet信息服務(wù))自帶的日志保存功能對網(wǎng)站信息安全相關(guān)日志進行保存,通過上網(wǎng)行為管理以及堡壘機等網(wǎng)絡(luò)安全設(shè)備對用戶與維護人員的操作日志進行審計,便于日后協(xié)助公安部門開展故障排查與責(zé)任追究工作。
越來越多的實踐案例表明,在沒有網(wǎng)站態(tài)勢感知防護手段的情況下,攻擊從發(fā)生到治理完成平均需要32天,如果不能提前感知并且及時預(yù)防,產(chǎn)生的損失將不可估量。公共圖書館網(wǎng)站可以根據(jù)網(wǎng)站實時安全、歷史安全、網(wǎng)站環(huán)境和攻擊風(fēng)險多個維度建立網(wǎng)站安全威脅指標(biāo)體系[10]。利用關(guān)聯(lián)分析、數(shù)據(jù)挖掘、機器學(xué)習(xí)和威脅情報技術(shù),融合分析設(shè)備告警日志、服務(wù)器系統(tǒng)日志、網(wǎng)絡(luò)流量日志,形成公共圖書館網(wǎng)站信息安全的大數(shù)據(jù)。充分利用公共圖書館網(wǎng)站的大數(shù)據(jù),從硬件防護、軟件防護、數(shù)據(jù)采集、大數(shù)據(jù)分析、數(shù)據(jù)挖掘、風(fēng)險評估以及可視化展示等多個維度共同構(gòu)成網(wǎng)站信息安全態(tài)勢感知平臺(如圖4所示)。
圖4 基于大數(shù)據(jù)的網(wǎng)站信息安全態(tài)勢感知平臺圖
公共圖書館網(wǎng)站信息安全防護人才的建設(shè),關(guān)鍵在于培養(yǎng)。每一個具有良好網(wǎng)站管理的機構(gòu)背后都有一批能夠解決實際網(wǎng)站安全問題的技術(shù)型人才。在網(wǎng)站信息安全技術(shù)人才培養(yǎng)上,一要加強公共圖書館網(wǎng)站安全管理的職業(yè)培訓(xùn)。通過定期組織和參加最新的網(wǎng)絡(luò)安全、網(wǎng)站安全、信息安全以及信息管理知識的培訓(xùn),進一步提高圖書館網(wǎng)站工作人員獨立建設(shè)網(wǎng)站、管理網(wǎng)站和維護網(wǎng)站的能力。二要強化技術(shù)支撐保障工作。密切聯(lián)系專業(yè)的網(wǎng)站安全公司或者地方網(wǎng)絡(luò)與信息化安全事件應(yīng)急指揮中心以及信息安全測評中心,申請網(wǎng)站信息安全專業(yè)人員進行技術(shù)指導(dǎo),協(xié)助完成圖書館網(wǎng)站安全漏洞的修復(fù)與整改,進一步增強本館網(wǎng)站信息安全人員的實踐經(jīng)驗。三要完善網(wǎng)站安全專業(yè)人才的職稱認(rèn)定。建議政府部門對網(wǎng)站安全人才頒發(fā)初級、中級和高級的職稱認(rèn)證書,通過專業(yè)測試對網(wǎng)絡(luò)安全人才進行必要的評價,從而充分調(diào)動提高網(wǎng)站安全人才專業(yè)學(xué)習(xí)的積極性。