公共圖書館網絡安全等級保護工作要求及具體措施

陳天文 高洪臻

關鍵詞：網絡系統;安全保護;等級測評;圖書館網站;圖書館業務管理系統

摘 要：文章基于公共圖書館業務管理系統和網站，簡述了公共圖書館的網絡安全現狀，闡述了開展網絡安全等級保護工作的步驟，從技術和管理兩個方面提出了保障網絡安全的具體措施，以期為公共圖書館加強網絡安全等級保護提供參考。

中圖分類號：G251文獻標識碼：A文章編號：1003-1588（2021）05-0009-03

1 背景

我國公共圖書館自20世紀90年代逐步實現了采訪、編目、流通的自動化管理，2001年開始先后啟動了文化信息資源共享工程、數字圖書館推廣工程、電子閱覽室建設工程，2019年將三大工程整合為公共數字文化服務工程，集圖書館業務管理自動化、數字圖書館、電子閱覽室、總分館等若干系統為一體的智能綜合網絡系統已成為圖書館業務運行的神經中樞。公共圖書館網絡系統保存了大量的讀者信息、圖書信息、借閱信息及海量數字資源，如果受到攻擊和破壞，業務將全線癱瘓，因此，網絡安全已成為公共圖書館網絡建設和管理的重要工作。當前，我國公共圖書館大多只在網絡入口處安裝了具有NAT轉換功能的防火墻，而在入侵檢測、防病毒、服務器防護、數據安全等方面沒有制訂完整的解決方案，尤其是基層公共圖書館的網絡系統存在很大的安全隱患。

《中華人民共和國安全法》從國家層面提出了網絡安全的總體要求，其中明確要求實行網絡等級保護制度，網絡運營者要履行網絡安全保護義務?！缎畔踩燃壉Ｗo管理辦法》對信息安全等級保護的實施和管理提出了具體方案。公共圖書館應根據國家法律法規，結合自身特點開展信息安全等級保護工作，保證圖書館網絡系統的安全穩定。

2 公共圖書館的網絡安全現狀

隨著新一輪技術革命的加速推進，公共圖書館為實現數字化、智能化服務逐步引入大數據、智能化等技術，隨之而來的是越來越嚴峻的網絡安全形勢。2018年，封丘縣圖書館由于未采取有效網絡安全防范措施，網站遭到惡意攻擊，網頁被篡改，造成了惡劣的社會影響。

2.1 黑客入侵技術不斷升級，更加難以追蹤

隨著網絡技術的發展，黑客入侵的手段也變得更加多樣化，常見的有暴力破解、遠程控制、網絡釣魚、信息監聽、木馬病毒等，在感染服務器主機的同時變成網絡攻擊者，網絡安全防御總是被動應對。公共圖書館作為開放性的公共服務場所，也是黑客入侵的潛在目標，網絡安全防護意識不強、安全設備配備不到位、技術更新不及時將無法應對當前形勢復雜的網絡入侵威脅。

2.2 公共圖書館服務范圍不斷延伸，智能化技術不斷更迭

公共圖書館的信息化建設經過20多年發展，網絡化、智能化技術已經普遍應用于各個工作環節，特別是RFID自助借還、信用借閱等新型服務方式為廣大讀者提供了更加便捷的閱讀服務。但是，當前公共圖書館的“手機+RFID”等智能化應用主要考慮其功能實現，在安全性、隱私性等方面缺乏相應的研究。為實現免押金、免辦證等便民服務，公共圖書館與第三方合作開展了信用借閱服務，圖書館業務管理系統在與第三方應用系統對接過程中，數據同步與共享以及金融支付功能增大了數據泄露的風險，這對公共圖書館業務與金融功能融合的網絡安全提出了更高要求。

3 公共圖書館開展信息安全等級保護工作的步驟

3.1 系統定級

網絡安全等級保護工作的首要環節是定級[1]。網絡信息系統安全等級分為五級，一級防護水平最低，最高等級為五級。公共圖書館的信息系統包括業務管理系統、網站、數字圖書館等，公共圖書館應依據《信息系統安全等級保護定級指南》分析與確定本館信息系統的安全等級，同時提請上級主管部門審批。

3.2 備案

公共圖書館確定信息系統等級后，應到所在地公安機關備案，提交信息系統基本情況說明、網絡拓撲結構圖等材料，公安機關審核后對符合定級要求的信息系統頒發等級保護備案證明。

3.3 開展等級測評

公共圖書館通過招標、自主采購等方式開展等級測評工作，具有相關資質的測評機構按國家標準進行實地測評，最終出具信息系統安全等級測評報告和整改方案。等級測評結論包括符合、基本符合、不符合三種，達到基本符合標準要求即通過等級測評。

3.4 系統安全建設

公共圖書館依據測評報告和整改方案建設信息安全系統，信息安全設備應優先選擇國產知名品牌，在產品安全的前提下保障設備的后續技術支持，以便出現問題時能夠第一時間予以解決。此外，公共圖書館在信息系統建設過程中還應特別重視公安部門的意見和建議，尤其是在實名認證、數據實時交換等方面，公安部門能夠提供詳細的技術方案。

3.5 監督檢查

公共圖書館完成信息系統整改后，公安機關會對安全整改情況進行檢查和監督，公共圖書館在接受公安機關安全檢查指導的同時，還應根據要求提供相關的網絡安全材料。

4 公共圖書館落實信息安全等級保護工作的具體措施

4.1 技術方面

4.1.1 物理安全。中心機房是公共圖書館網絡管理系統的中樞，需做好機房出入人員登記工作。中心機房除需配備安全設備、網絡設備、存儲備份設備、UPS設備、精密空調外，還需配備具有防火、防水、防雷以及溫濕度檢測功能的動力環境監控系統，能夠通過電話、短信、網絡等實時報警，保證及時發現和處理安全隱患。

4.1.2 網絡安全。網絡邊界需部署具有防火墻、IDS入侵檢測功能的設備，防火墻遵循最小化安裝規則，只開放業務需要的端口及服務并修改缺省端口，如：網站系統只開放80端口、SQL數據庫1433端口改為1588、關閉3389遠程連接服務等;通過IDS入侵檢測系統的識別特征庫實時檢測可能的入侵風險，并根據風險程度封鎖指定IP連接，可以有效減少被暴力破解的風險;公用無線網絡接入實現實名認證，可以通過身份證、電話短信以及微信實現實名認證;配備上網行為管理（網絡審計）設備，追溯用戶的上網行為，做到事后可查;核心交換機啟用VLAN，服務器、電子閱覽、無線網絡等劃分不同的VLAN，不同VLAN間設置相應的安全訪問策略;規范IP管理，防止未授權設備私自接入內部網絡;與圖書館網絡系統聯網的外部網絡，如總分館、城市街區圖書館采用VPN連接，避免業務信息系統直接通過互聯網連接;部署云守護、云預警等智能技術，依靠技術手段實現24小時實時預警，快速響應，同時依托大數據分析和專家人工分析識別高危風險，縮短入侵事件的發現和響應時間。

4.1.3 主機安全。保障主機安全需配備網絡安全堡壘機，所有管理員必須通過堡壘機登錄主機設備;合理分配用戶權限，只允許指定IP的管理員登錄，禁止通過風險較大的公用網絡登錄;及時更新系統補丁，在主機操作系統層面啟用防火墻，關閉135、445等勒索病毒端口，防止通過局域網入侵，安裝分布式防病毒、防木馬軟件;網站系統應部署WAF等防篡改設備或軟件，在網站開發技術層面采用靜態HTML頁面，避免出現SQL注入漏洞;關閉TELNET維護端口，使用SSH加密方式進行遠程登錄。

4.1.4 數據安全。中心機房要配備數據庫審計功能，記錄數據庫操作的每一個命令;科學規劃數據的備份策略，做好異地備份、定時備份并具備數據快速恢復能力，在實踐中可通過SECONDCOPY軟件低成本實現異地異機的實時備份。超融合虛擬化服務器在信息系統建設中已被普通應用，超融合一體機集存儲、計算、網絡于一體，具有主機、虛擬平臺、虛擬機多方故障監測和HA功能，宕機后自動遷移到其他節點，具有自動重啟、快速重建、業務連續性等特點，可以快速實現系統部署與數據恢復，最大限度減少數據的損壞。公共圖書館應加強數據庫登錄用戶名和密碼管理，圖書館業務管理系統INTERLIB數據庫在安裝過程中有80%的用戶名和密碼相同，存在高危風險，密碼設置應為“大小寫字母+數字+符號”的8位以上的混合符號。中心機房還應部署雙機熱備系統，保證系統的可持續運行及數據安全;購買網絡安全保險以應對出現安全事故后數據的恢復與重建;所有網絡、數據庫日志與審計日志留存不少于六個月，若設備空間不足，可部署一臺服務器安裝外置數據中心保存數據。

4.2 管理方面

4.2.1 安全管理制度。公共圖書館需制定信息系統安全總體方針和策略，建立安全管理制度及操作規程，如：按網絡等級保護測評要求建立網絡軟硬件設備采購管理制度、機房安全管理制度、安全事件應急管理制度、中心機房管理員操作守則等各項規章制度，并在日常工作中規范組織實施。

4.2.2 安全管理部門。公共圖書館的安全管理部門負責信息系統的日常安全工作，定期檢查系統運行日志、漏洞、備份等，安全管理部門人員包括主管負責人、直接責任人和安全管理員。通常情況下，主管負責人是分管網絡技術業務的館長，直接責任人是技術部主任，安全管理員是技術人員。

4.2.3 人員安全管理。公共圖書館可通過安全教育培訓增強工作人員的安全保密意識，入職、離職人員需簽訂保密協議，尤其是流動頻率較高的第三方派遣技術人員;按系統、級別等設置不同的管理員操作權限;與第三方技術服務商簽訂安全服務協議，特別是提供遠程維護的服務商，做到各負其責、操作規范、有據可查。

4.2.4 系統運維管理。公共圖書館需制訂信息系統應急預案，每年組織一次應急演練和培訓;每日定時對機房各區域環境狀況及設備運行狀況進行巡查，填寫機房日常巡檢記錄，發現問題及時處理，避免因未及時發現設備故障出現業務中斷、數據丟失等情況。

5 結語

綜上所述，開展信息安全等級保護工作不僅是加強國家信息安全保障工作的重要內容[2]，也是公共圖書館正常開展業務工作的基礎和前提。2019年5月發布的《網絡安全等級保護技術》2.0版本增加了風險評估、安全檢測、通報預警、安全事件處置、漏洞風險管理等內容[3]，對網絡安全等級保護工作提出了更高的要求。公共圖書館應加強網絡安全機構的組織領導，重視網絡安全建設工作，結合本館實際情況開展信息安全等級保護測評工作，定期開展網絡安全教育培訓，提升工作人員的安全意識和技術水平，在日常管理和維護過程中做到精準分析、提前預防、措施得當，最大限度地避免發生網絡安全事故。

參考文獻：

[1] 徐震.網絡安全等級保護：從1.0到2.0[J].保密工作，2019（7）：63-64.

[2] 何占博，王穎，劉軍.我國網絡安全等級保護現狀與2.0標準體系研究[J].信息技術與網絡安全，2019（3）：9-14.

[3] 徐佳瑾，劉剛.網絡安全等級保護工作中的定級與備案[J].電子技術與軟件工程，2019（16）：192-193.

（編校：徐黎娟）