薛海潮

(福建省少年兒童圖書館 福建福州 350009)

目前，世界范圍內(nèi)的網(wǎng)絡(luò)安全形勢非常嚴(yán)峻，網(wǎng)絡(luò)安全正面臨著各種各樣的新挑戰(zhàn)。同時，隨著我國信息化發(fā)展進(jìn)入新的階段，在公共圖書館的信息化建設(shè)中，5G、云計算、大數(shù)據(jù)等移動辦公室之類的新技術(shù)已經(jīng)得到了廣泛應(yīng)用。新技術(shù)的出現(xiàn)是一柄“雙刃劍”，其在推動圖書館信息化進(jìn)程的同時，也給圖書館的安全帶來了新的隱患。公共圖書館的信息化系統(tǒng)常常是面向所有互聯(lián)網(wǎng)使用者，因此不管何種原因、何種情況而產(chǎn)生的網(wǎng)絡(luò)安全問題，對各個圖書館來說都是一個巨大的挑戰(zhàn)[1-3]。

1 我國網(wǎng)絡(luò)安全等級保護(hù)的新要求

我國《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）規(guī)定，按照保護(hù)目標(biāo)在國家安全、社會秩序、公眾利益、公民、公司的法律利益的危害程序，從低到高分為5個安全防護(hù)級別，并提出相應(yīng)的防護(hù)要求和施工標(biāo)準(zhǔn)。依據(jù)公共圖書館的特點，可將其網(wǎng)絡(luò)安全分級為第二級和第三來開展保護(hù)工作。

1.1 物理層面

在物理層面上的保護(hù)，指的是對網(wǎng)絡(luò)物理環(huán)境展開相應(yīng)的保護(hù)，在機房的設(shè)計和建造方面，需要遵守國家有關(guān)的標(biāo)準(zhǔn)，其中包括物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水、防潮、溫濕度控制、供電等重要內(nèi)容[4-5]。

1.2 網(wǎng)絡(luò)層面

在網(wǎng)絡(luò)層次上，主要從網(wǎng)絡(luò)通信、接入等角度對網(wǎng)絡(luò)進(jìn)行防護(hù)。要確保網(wǎng)絡(luò)的邊界存取是可控制的，對越界存取與資料流動必須在受控的情況與監(jiān)督下進(jìn)行。應(yīng)該對啟動和運行的網(wǎng)絡(luò)裝置與系統(tǒng)的軟件進(jìn)行可靠校驗，并在受到攻擊時發(fā)出警報。

1.3 主機層面

主機級防護(hù)，主要是防護(hù)網(wǎng)絡(luò)中的服務(wù)器主機。必須安裝反病毒程序，設(shè)置安全防護(hù)策略，并且要經(jīng)常進(jìn)行更新。

1.4 應(yīng)用層面

在應(yīng)用層面上，可以對登錄網(wǎng)絡(luò)和系統(tǒng)的用戶進(jìn)行身份識別，身份識別信息應(yīng)該具備一定的復(fù)雜性，并且需要經(jīng)常進(jìn)行更新，還應(yīng)該具備登錄失敗后的處理方式。

1.5 數(shù)據(jù)層面

在數(shù)據(jù)層面上，主要是為保證網(wǎng)絡(luò)中的信息的完整性與災(zāi)難恢復(fù)。對傳送中的關(guān)鍵信息進(jìn)行驗證，確保其信息的完整，并對其進(jìn)行整體或局部的備份與還原。

2 公共圖書館的網(wǎng)絡(luò)安全現(xiàn)狀與所存在的問題

2.1 公共網(wǎng)絡(luò)圖書館網(wǎng)絡(luò)安全現(xiàn)狀

伴隨著新一輪科技革命的快速發(fā)展，公共圖書館逐漸將大數(shù)據(jù)、智能化等技術(shù)引入服務(wù)中，從而帶來日益嚴(yán)重的網(wǎng)絡(luò)安全問題。例如：封丘縣圖書館在2018年因沒有做好網(wǎng)絡(luò)安全防護(hù)工作而受到黑客的襲擊，導(dǎo)致網(wǎng)頁被篡改，對社會造成十分惡劣的影響。

2.1.1 黑客技術(shù)提升

黑客入侵技術(shù)的極大提升，對其跟蹤、防護(hù)的難度也大大增加。在網(wǎng)絡(luò)技術(shù)不斷進(jìn)步的今天，黑客的攻擊方式越來越多樣，最常用的攻擊方式有暴力破解、遠(yuǎn)程控制、釣魚、信息監(jiān)聽、木馬病毒等，一旦入侵進(jìn)入服務(wù)器，就構(gòu)成網(wǎng)絡(luò)的入侵者。公共圖書館作為一個開放性的公共服務(wù)場所，它也是一個極易受到黑客攻擊的目標(biāo)，如果沒有足夠的網(wǎng)絡(luò)安全保護(hù)意識和安全設(shè)備以及技術(shù)更新，就不能應(yīng)對目前情況下復(fù)雜的網(wǎng)絡(luò)入侵威脅。

2.1.2 公共圖書館的服務(wù)領(lǐng)域在擴大，智能技術(shù)在更新公共圖書館的信息化建設(shè)在過去的20 多年中得到廣泛應(yīng)用，尤其是RFID 自助借還、信用借閱等新的服務(wù)方式，給廣大的讀者帶來更多的便利。然而，目前在公共圖書館中，如“手機+RFID”等智能應(yīng)用大多側(cè)重于功能性的實現(xiàn)，但是對于網(wǎng)絡(luò)的安全與隱私保護(hù)問題，目前尚缺乏深入研究。為實現(xiàn)免押金、免證件的便利化，圖書館與第三方機構(gòu)進(jìn)行了協(xié)作，實行信用借書業(yè)務(wù)。在實現(xiàn)信息資源共享、財務(wù)結(jié)算等方面，存在著信息資源的泄漏等問題。在這種情況下，圖書館與金融、商業(yè)的融合面臨著更加嚴(yán)峻的挑戰(zhàn)。

2.2 公共圖書館信息化建設(shè)所存在的問題

在十多年發(fā)展過程中，在國家實施的一系列文化惠民工程的推動下，各大圖書館也開始大力發(fā)展數(shù)字資源，建設(shè)一批更高質(zhì)量發(fā)展且具有特色的地方資源，且加強館藏古籍的數(shù)字化建設(shè)，具有十分重要的社會與經(jīng)濟(jì)價值。目前，各大公共圖書館一般都配有自動化系統(tǒng)，該系統(tǒng)主要用于為讀者辦理證件、借閱、預(yù)約等各項服務(wù)業(yè)務(wù)功能，系統(tǒng)內(nèi)儲存了大量讀者的個人信息和借閱記錄。各個公共圖書館一般建設(shè)有大小不一的自建數(shù)據(jù)庫和所購買的商業(yè)數(shù)據(jù)庫。因此，在上述背景下，數(shù)據(jù)安全便成為目前保障公共文化服務(wù)平穩(wěn)運行的重要內(nèi)容。而目前公共圖書館在信息化建設(shè)中依舊存在一定的安全問題，影響著其安全運行的效果。

2.2.1 信息系統(tǒng)較為復(fù)雜

進(jìn)入21世紀(jì)，各個公共圖書館的信息化項目建設(shè)多數(shù)是以國家實施全國文化信息資源的共享工程等“三大工程”為契機大力發(fā)展起來的，這些公共圖書館的信息化建設(shè)和自建資源庫的建設(shè)有著較為良好的成效。但是這些公共圖書館多數(shù)由不同的項目負(fù)責(zé)人加以建設(shè)，不同系統(tǒng)的建設(shè)年代不同，因此導(dǎo)致其所使用的技術(shù)手段存在較大差異，在系統(tǒng)整合與數(shù)據(jù)融合上還存在較大的難度。上述這些情況也導(dǎo)致公共圖書館目前的信息系統(tǒng)十分繁雜，給更多網(wǎng)絡(luò)威脅帶來了可乘之機。

2.2.2 運維手段存在一定限制

目前，多數(shù)的公共圖書館均配備了實體服務(wù)器、虛擬服務(wù)器和網(wǎng)絡(luò)與安全設(shè)備，目的是保障圖書館的網(wǎng)絡(luò)安全。但是這些設(shè)備的運維與監(jiān)控均是由工作人員使用原始手段進(jìn)行定期實施，這樣的方法已經(jīng)和現(xiàn)代信息化運維的主流方法脫節(jié)，也難以在設(shè)備發(fā)生故障的第一時間來知曉和解決，也給整個圖書館系統(tǒng)的安全性與穩(wěn)定性帶來更多的不確定性。

2.2.3 設(shè)備存在老化嚴(yán)重的問題

隨著近些年國家在數(shù)字化建設(shè)方面的投入逐漸增大，各級圖書館的建設(shè)方向開始朝著宣傳活動和資源建設(shè)傾斜，但是各級圖書館的網(wǎng)絡(luò)和服務(wù)器等一些基礎(chǔ)設(shè)施的更新不多，難以跟上目前業(yè)務(wù)發(fā)展的實際需求。以某圖書館為例，其網(wǎng)絡(luò)交換機、服務(wù)器和存儲設(shè)備普遍都還是7～10年前的產(chǎn)品，運算能力與穩(wěn)定性已經(jīng)難以匹配目前的業(yè)務(wù)模式和要求，廠家也不再支持相關(guān)的配件更換和維修服務(wù)，更沒有相關(guān)運營資金的投入，經(jīng)常出現(xiàn)故障，十分影響該圖書館和全省資源共享工程服務(wù)的延續(xù)性。

3 公共圖書館開展信息安全等級保護(hù)工作的步驟

基于上述研究，需要結(jié)合現(xiàn)有情況和網(wǎng)絡(luò)安全保護(hù)的要求來明確如何去開展公共圖書館的網(wǎng)絡(luò)信息安全保護(hù)，本文結(jié)合相關(guān)資料總結(jié)與分析，總結(jié)出以下內(nèi)容。

3.1 定級

對網(wǎng)絡(luò)進(jìn)行定級是確保其安全性級別的第一項工作，通常情況下，將其劃分為5個級別，從1級到5級的防護(hù)級別逐步提升。公共圖書館的信息系統(tǒng)，具體包括業(yè)務(wù)統(tǒng)計系統(tǒng)、數(shù)字圖書館和網(wǎng)絡(luò)等內(nèi)容[6]，所以需要結(jié)合相關(guān)的定級保護(hù)指南對圖書館的信息系統(tǒng)安全等級進(jìn)行分析與確定，并且提請上級主管部門加以審批。

3.2 備案

在確定公共圖書館的信息系統(tǒng)的級別以后，要向當(dāng)?shù)毓膊块T進(jìn)行登記，并將信息系統(tǒng)的基礎(chǔ)資料與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖提交給公安部門，由公安部門進(jìn)行審查，對滿足定級要求的信息系統(tǒng)進(jìn)行分級防護(hù)的資料備案。

3.3 測評

在對圖書館信息系統(tǒng)進(jìn)行定級和備案之后，圖書館可以以自主購買的方式，或是以公開招標(biāo)的方式，來對其進(jìn)行等級的測評。擁有相應(yīng)資質(zhì)的測評機構(gòu)，要按國家的標(biāo)準(zhǔn)進(jìn)行現(xiàn)場測評，最后給出對該信息系統(tǒng)的安全等級測評報告和不合理之處的整改方案。其中，評定的結(jié)果分為合格、基本合格和不合格3 種情況，通常情況下，只要能滿足基本合格的條件就可以通過評定。

3.4 系統(tǒng)建設(shè)

圖書館的信息安全系統(tǒng)在經(jīng)過上述3 個步驟之后，就能根據(jù)測評結(jié)果和改進(jìn)計劃來建立自己的信息安全體系。在這段時期內(nèi)，所選用的設(shè)備應(yīng)該是以國內(nèi)著名的品牌為主，保證在產(chǎn)品安全的情況下對設(shè)備后續(xù)技術(shù)的支撐和發(fā)展，以便能夠在問題出現(xiàn)后，能夠及時提供相應(yīng)的解決辦法[7]。除此之外，在建立公共圖書館信息系統(tǒng)過程中，還應(yīng)該對警務(wù)部門提出一些建議，尤其是在實名認(rèn)證、數(shù)據(jù)實時交換等問題上，警務(wù)部門可以提出具體的技術(shù)解決辦法。

3.5 監(jiān)督檢查

在對圖書館信息安全系統(tǒng)建設(shè)相關(guān)技術(shù)問題進(jìn)行整改之后，由公安部門對其整改進(jìn)行督導(dǎo)和檢查，要求公共圖書館在協(xié)助公安部門進(jìn)行核查的過程中，必須提交有關(guān)網(wǎng)絡(luò)安全的證據(jù)。在檢查合格之后，整個信息系統(tǒng)便可投入日常運行中，隨后還需注意日常的維護(hù)和檢修，保障圖書館的信息安全系統(tǒng)能順利、長期運行。

4 基于網(wǎng)絡(luò)安全等級保護(hù)背景下公共圖書館信息化項目建設(shè)的策略

基于上述公共圖書館信息化項目建設(shè)所存在的問題，與網(wǎng)絡(luò)安全等級要求等方面的內(nèi)容分析，本文主要從技術(shù)層面進(jìn)行詳細(xì)分析。

4.1 物理安全的建設(shè)

在公共圖書館網(wǎng)絡(luò)系統(tǒng)中，中心機房是該系統(tǒng)的操作樞紐，進(jìn)出計算機室的工作人員必須進(jìn)行身份驗證。在中心機房中，除了必須配備的安全設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲備份設(shè)備、精密空調(diào)設(shè)備和UPS 設(shè)備等設(shè)備外，還必須配備滅火器、防水、防雷和溫濕度檢測功能的動力環(huán)境監(jiān)控系統(tǒng)，可以通過電話、短信和網(wǎng)絡(luò)等進(jìn)行實時報警，確保安全隱患得到及時發(fā)現(xiàn)和處理。

4.2 網(wǎng)絡(luò)安全

在圖書館網(wǎng)絡(luò)系統(tǒng)中，設(shè)置具有防火墻、IDS入侵檢測功能的設(shè)備，防火墻按照最低限度進(jìn)行設(shè)置，并對防火墻所需要的端口和服務(wù)進(jìn)行調(diào)整。例如：網(wǎng)站系統(tǒng)僅開放80 端口；將SQL 數(shù)據(jù)庫1433 端口更改為1588；關(guān)閉3389 遠(yuǎn)程連接服務(wù)；等等。利用IDSIDS 的特征圖譜，對潛在的潛在威脅進(jìn)行及時的探測，并按危險等級對特定IP進(jìn)行屏蔽，從而降低黑客攻擊的危險性[8]?？梢酝ㄟ^身份證、電話短信和微信等方式來進(jìn)行實名驗證。配置上網(wǎng)行為系統(tǒng)（網(wǎng)絡(luò)審核）裝置，對用戶的上網(wǎng)行為進(jìn)行跟蹤。

中心開關(guān)支持虛擬局域網(wǎng)，服務(wù)器、電子閱覽、無線網(wǎng)絡(luò)等將虛擬局域網(wǎng)分成多個虛擬局域網(wǎng)，各虛擬局域網(wǎng)之間建立對應(yīng)的安全存取機制。對IP 進(jìn)行嚴(yán)格的把控，避免未經(jīng)許可的用戶擅自進(jìn)入圖書館的內(nèi)網(wǎng)。與圖書館系統(tǒng)連接的外網(wǎng)，如總分館和城市街區(qū)圖書館都應(yīng)使用VPN，以避開與BIS 的直接聯(lián)系。運用云守護(hù)、云預(yù)警等智能技術(shù)和技術(shù)手段，可以實現(xiàn)24 h實時預(yù)警，并對其進(jìn)行快速響應(yīng)。同時，也可以通過大數(shù)據(jù)和專家的手動分析，來進(jìn)行高危風(fēng)險的辨識，減少檢測和反應(yīng)的時間。

4.3 主機安全

要保證圖書館網(wǎng)絡(luò)主機的安全性，就要求要配置一臺網(wǎng)絡(luò)安全堡壘機，所有用戶都要從堡壘機登錄到主機上，對每個使用者的權(quán)限進(jìn)行合理的配置，只有設(shè)定IP的特殊人員才能登錄；不允許使用某些高危險的公開網(wǎng)站登錄。此外，還可以對系統(tǒng)進(jìn)行升級，開啟主操作系統(tǒng)層次的防火墻，并將135、445 等敲詐病毒的端口全部關(guān)掉，防止病毒從本地網(wǎng)絡(luò)中侵入，安裝分布式的防木馬和病毒相關(guān)軟件。在網(wǎng)站系統(tǒng)中，應(yīng)該配置WAF等抗篡改設(shè)備或軟件，在網(wǎng)站開發(fā)的技術(shù)水平上，采用靜態(tài)的HTML頁面，以避免SQL植入漏洞的發(fā)生[9]。而TELNET 所維持的端口也需要被關(guān)掉，利用SSH密碼的方式來實現(xiàn)遠(yuǎn)程登錄。

4.4 數(shù)據(jù)安全

中央電腦應(yīng)設(shè)置資料庫稽核系統(tǒng)，以紀(jì)錄資料庫作業(yè)的每個指令，并制定數(shù)據(jù)備份策略，做好異地備份和定時備份，具備數(shù)據(jù)快速恢復(fù)能力。在實踐中，使用SECONDCOPY系統(tǒng)可以實現(xiàn)對不同地區(qū)、不同類型計算機的實時數(shù)據(jù)備份，而且開銷也很小。在信息化建設(shè)中，超級融合虛擬化服務(wù)器得到了廣泛應(yīng)用。將存儲、計算、網(wǎng)絡(luò)三者有機地結(jié)合在一起，具備主機、虛擬平臺、虛擬機三方的故障監(jiān)控和HA能力，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時會自動地向其他節(jié)點轉(zhuǎn)移，具有自動重啟、快速重建、業(yè)務(wù)連續(xù)性等特性，能夠快速地進(jìn)行系統(tǒng)的部署和數(shù)據(jù)的修復(fù)，并將對數(shù)據(jù)造成的破壞降到最低。

公共圖書館應(yīng)加強數(shù)據(jù)庫登錄用戶名和密碼的加強，圖書館業(yè)務(wù)統(tǒng)計系統(tǒng) INTERLIB數(shù)據(jù)庫在安裝時，80%的用戶名和密碼是同一的，這是一個高危的問題，因此密碼的設(shè)置應(yīng)為“大小寫字母+數(shù)字+符號”的8位以上的混合符號。為確保計算機的可持續(xù)運轉(zhuǎn)和數(shù)據(jù)的安全性，在中央計算機上設(shè)置雙機熱備系統(tǒng)進(jìn)行數(shù)據(jù)備份。在發(fā)生安全事件時，為用戶提供必要的信息修復(fù)和重構(gòu)服務(wù)。所有的網(wǎng)絡(luò)日志、數(shù)據(jù)庫日志和審核日志要保留至少半年，如果設(shè)備沒有足夠的空間，可以配置一個外部的數(shù)據(jù)中心來存儲數(shù)據(jù)。

4.5 個性化的網(wǎng)絡(luò)創(chuàng)新服務(wù)

在保證安全的基礎(chǔ)上，圖書館可構(gòu)建個性化的服務(wù)模型，使讀者能夠獲得更加方便的信息。在數(shù)字出版的資訊快速更新的前提下開展個性化的服務(wù)，圖書館能夠根據(jù)使用者的要求對資訊進(jìn)行更新，將有關(guān)資訊單元的資訊進(jìn)行搜集和整合，將經(jīng)過甄別后的高品質(zhì)資訊提供給需要者；使用者僅需透過網(wǎng)絡(luò)上的資訊平臺，即可訂購相關(guān)的信息服務(wù)。

與此同時，伴隨著智能技術(shù)的持續(xù)發(fā)展，個人化的服務(wù)還可以將其擴展到一般的用戶群體中，當(dāng)用戶在數(shù)字平臺上進(jìn)行了搜索之后，一定會有一些數(shù)據(jù)被保留下來，而檢索系統(tǒng)能夠以用戶的瀏覽數(shù)據(jù)為基礎(chǔ)，對這些數(shù)據(jù)進(jìn)行分析。對用戶所關(guān)心的信息內(nèi)容進(jìn)行理解，并適時推出與之相對應(yīng)的優(yōu)質(zhì)信息，提升了用戶的檢索體驗，并在一定程度上實現(xiàn)了智能化檢索，對加快讀者檢索信息的效率起到很好的促進(jìn)作用。

4.6 網(wǎng)絡(luò)化學(xué)習(xí)與咨詢服務(wù)

以公共圖書館館藏為依托，開展網(wǎng)絡(luò)學(xué)習(xí)與咨詢服務(wù)，可以滿足社會各方面對知識的需要。在實際的信息化建設(shè)過程中，可以采用對館藏內(nèi)容進(jìn)行優(yōu)化、制定分類學(xué)習(xí)和培訓(xùn)清單等方法，讓用戶足不出戶就能學(xué)習(xí)到相關(guān)的知識，這種模式與我國創(chuàng)建全民學(xué)習(xí)型社會的發(fā)展目標(biāo)相一致。此外，通過構(gòu)建網(wǎng)絡(luò)學(xué)習(xí)平臺，還可以擴大讀者之間的交流和學(xué)習(xí)的空間，還可以采用聘請專家的方式，解決用戶在閱讀過程中遇到的問題。其不僅可以有效地提高圖書館信息資源的利用效率，還可以使讀者更加深入地了解有關(guān)知識。

5 結(jié)語

綜上所述，在公共圖書館的信息化項目建設(shè)過程中，對公共圖書館進(jìn)行信息安全級別保護(hù)，既是公共圖書館信息安全工作的前提和基礎(chǔ)，也是公共信息安全工作的重要組成部分。在國家有關(guān)的網(wǎng)絡(luò)安全級別的防護(hù)技術(shù)中，對防護(hù)工作也有較高要求。因此，公共圖書館必須強化對網(wǎng)絡(luò)安全機構(gòu)的組織和領(lǐng)導(dǎo)能力，對網(wǎng)絡(luò)安全的開發(fā)建設(shè)給予足夠的關(guān)注，并以地方圖書館的具體需求和要求為基礎(chǔ)，對網(wǎng)絡(luò)安全級別進(jìn)行評估，保障在技術(shù)上能夠切實維護(hù)公共圖書館的信息安全。