2022年2月,國際圖書館協會與機構聯合會(International Federation of Library Associations and Institutions,IFLA)管理委員會批準通過了一項有關網絡安全的新聲明。這一聲明由IFLA總部和信息技術部門共同起草完成,探討了網絡安全在圖書館工作中的重要意義,闡述了圖書館領域有關網絡安全的關鍵概念和原則,并就圖書館、政府、圖書館協會和教育工作者如何幫助圖書館用戶和員工建立一個更安全的數字環境提出了建議。
網絡安全的定義聚焦于保護網絡、設備和數據免受未經授權的訪問和/或使用。與之密切相關的是確保信息的保密性、完整性和可用性。更廣泛的數字安全概念超越了技術或者犯罪的范疇,考慮了更多經濟和社會方面的因素。網絡安全的標準以信息系統的組件為中心:
·關鍵應用程序
·支持應用程序的服務器和設備(數據中心等)
·支持系統的網絡的安全性
·軟件開發、變更控制和部署的安全性
·“最終用戶”或客戶端環境
以上都與圖書館的網絡安全息息相關,盡管不是所有的圖書館都對他們所使用系統的組件擁有相同水平的控制能力。圖書館位于不同的制度環境中,其網絡安全政策通常由管理機構的總體政策決定。
例如,圖書館通常在基礎設施運營管理方面作用有限,主要涉及最終用戶或客戶端環境,同時在圖書館系統和服務提供的選擇、執行、培訓和管理方面發揮關鍵作用。
圖書館通過自身的行動或影響他人的行動,希望在以下領域促進網絡安全:
·保護圖書館系統免受網絡安全風險和威脅,以便持續提供服務
·確保圖書館用戶在使用圖書館系統時免受互聯網威脅
·保護用戶信息隱私
圖書館在提供互聯網訪問時,有法律或其他方面的義務,確保這一訪問不會被用來傷害他人。同樣的,圖書館也需要采取措施保證用戶不會使用圖書館系統或資源參與網絡犯罪活動,遵從圖書館許可的使用政策。
更積極的意義在于,鑒于用戶同樣會使用圖書館以外的互聯網接入其他信息系統,因此有機會通過數字掃盲計劃促進更廣泛的安全使用服務行為和協議。
當然,促進網絡安全并非沒有爭議。識別潛在風險的行為可能會與保護圖書館用戶和他人隱私的行為發生沖突。
例如,圖書館可能需要通過技術手段來強制執行一些被認可的使用政策,或者與更廣泛的互聯網用戶共同接受政府安全部門的監管。在這種情況下,重要的是要保持現有規則和工具的透明,以便為用戶提供合理選擇的機會。
當然,在另外一些方面,網絡安全策略和保護隱私的目標也可以結合在一起。例如,如果圖書館一開始就不存儲不必要的個人數據,并確保對存儲的數據進行適當的加密,則可以將通過網絡攻擊丟失個人數據的風險降至最低。
因此,IFLA提出以下建議。
如果圖書館對自己的信息系統負有(部分或全部)責任,圖書館應該:
·以最小化原則收集和保存數據,包括在規定的時間段后刪除使用歷史記錄。
·在用戶使用圖書館系統時使用可用工具保護用戶,包括信息安全標準措施、加密網絡服務、有效密碼和網絡會話控制,或應用最小權限原則,同時確保最大程度地保護用戶隱私。
·在所有圖書館工作站和服務器上實施端點安全控制。
·在實施工具以監控不當使用或無意威脅的情況時,應以提供最大透明度和尊重隱私的方式進行。
如果圖書館是一個更大機構的組成部分(因此無法控制信息系統的關鍵組件)或依賴第三方供應商,圖書館應該:
·倡導主辦機構采取有效的網絡安全措施,同時維護隱私原則,包括促進圍繞數據收集和保存的隱私友好型實踐。
·鼓勵圖書館的第三方供應商實施有意義的網絡安全措施,以確保用戶在使用圖書館服務時可以規避不可接受的風險。
所有圖書館都應該:
·獨立或與主辦機構合作(視情況而定)開展以下工作:
◎為使用互聯網和其他信息系統制定和發布可接受的使用政策。
◎制定和發布隱私政策,定義收集信息的地點和內容以及信息的使用方式,描述在違規情況下會發生什么。
◎制定并發布網絡安全和信息安全政策,定義用于保護圖書館系統并在發生故障時具有復原力的原則和實踐。這應該遵循圖書館領域的行業政策和流程規范。
◎確保所有圖書館員工都能夠掌握與各自任務相關的網絡安全基礎知識并予以實施(例如良好的密碼策略等)。
◎探索建立用戶數字素養的可能性,包括了解如何規避網絡風險。
圖書館協會和其他支持組織應該:
·適時提供有關圖書館工作中網絡安全的更新和信息,并在可能的情況下提供培訓或其他資源的鏈接。
·考慮與其他參與人員合作,確保人們在線安全。
各國政府應該:
·確保圖書館擁有能夠最大限度地提高網絡安全的資源和培訓能力,投資(包括通過圖書館的)數字掃盲計劃,促進在線安全。
·確保更廣泛的網絡安全政策能夠將有效性與對人的尊重(包括個人隱私)結合起來。