1、收稿日期:2023-02-06作者简介:冯红娟(1983),国家图书馆副研究馆员。试论图书馆的网络信息安全冯红娟(国家图书馆,北京 100081)摘 要:随着数字图书馆、智慧图书馆的持续建设和发展,图书馆面临越来越多网络信息安全方面的挑战。文章从落实等级保护、提升硬件安全、确保系统安全、加强数据安全、制定管理制度、重视人才培养等角度对图书馆的网络信息安全展开了深入分析,提出了图书馆加强网络信息安全的策略。关键词:图书馆;网络安全;安全策略;等级保护中图分类号:G250.7 文献标识码:A 文章编号:1003-1588(2023)03-0063-03 人工智能、物联网、大数据、云计算、区块链等信
2、息技术的快速发展,在促进社会进步的同时,也给网络信息安全带来了更多挑战。加强网络信息安全旨在保护信息系统的硬件、软件及数据不受偶然因素或恶意因素破坏、篡改和泄露,确保系统稳定运行,正常提供服务1。在智能技术驱动下,图书馆正经历从物理图书馆、数字图书馆到智慧图书馆的转型发展2,应用系统在为读者提供更便捷、更人性化的信息服务、知识服务和智慧服务的同时,如何避免网络安全事件发生,亟须图书馆深入研究。1 网络信息安全法律法规 近年来,随着网络及信息技术的发展和应用,我国先后出台了多项网络信息安全法律法规,如:2016年通过了中华人民共和国网络安全法,该法是我国首部全面规范网络安全和信息安全的基础性法律
3、,对确立我国网络安全基本管理制度具有里程碑式的重要意义;2019 年发布了网络安全等级保护制度 2.0 标准,同年通过了中华人民共和国密码法;2021 年通过了中华人民共和国数据安全法和中华人民共和国个人信息保护法。上述一系列法律法规和标准的出台标志着我国网络安全法律体系的进一步完善,有助于全面提升网络安全保障能力、加强个人信息保护、增强网络安全意识。这些法律法规对图书馆的网络信息安全工作具有重要的指导作用。2 图书馆网络信息安全存在的风险因素 图书馆的网络信息安全风险因素有以下几点:一是硬件故障导致数据丢失风险。服务器、存储设备、网络设备等硬件出现故障会造成数据丢失和系统无法正常运行。二是系
4、统漏洞带来的网络安全风险。系统漏洞可能来自系统设计和编码的缺陷,也可能来自业务流程的不规范,还有可能来自运维管理的不严格,系统漏洞会导致黑客攻击、数据外泄或被篡改等风险,常见的漏洞有 SQL注入漏洞、跨站脚本漏洞等。三是计算机病毒造成的安全风险。计算机病毒具有破坏性、隐蔽性、潜伏性和传染性等特点,可根据黑客意图发起攻击,破坏或删除文件、窃取密码或重要文件等。四是工作人员安全意识薄弱导致安全问题。工作人员的网络安全意识薄弱也会导致网络信息出现安全风险,如因系统账号、密码等重要信息疏于管理从而产生数据外泄。3 图书馆网络信息安全策略3.1 落实等级保护要求,加强安全防护 中华人民共和国网络安全法第
5、二十一条规定国家实行网络安全等级保护制度,明确了网络安全等级保护制度的法律地位。网络安全等级保护制度是36第 43 卷第 3 期河南图书馆学刊2023 年 3 月根据我国网络信息基本情况实行的一套较为成熟的网络安全保护机制,是落实中华人民共和国网络安全法、保障系统网络安全的有效途径3,4。2019 年5月,网络安全等级保护制度 2.0 标准正式发布,该标准更加注重全方位主动防御、动态防御、整体防控和精准防护,可扩展到云计算、物联网、移动互联和工控领域信息系统的等级保护工作,覆盖面更广。网络安全等级保护工作包括信息系统的定级、备案、安全建设和整改、信息安全等级测评、信息安全监督检查等环节。对信息
6、系统定级,并按等级保护要求进行防护是图书馆加强信息系统安全的有效途径之一5。通过系统定级,图书馆可将有限的财力、物力、人力投入更重要的信息系统保护当中,变被动防御为主动保障,有利于加强重要信息系统的安全防护6。目前,我国的信息系统等级保护共有五个等级,详见表 1。表 1 信息系统等级保护的五个级别系统等级保护对象监督管理强度系统破坏时所侵害的客体及侵害程度第一级一般系统自主保护级对公民、法人和其他组织的合法权益造成一般损害第二级一般系统指导保护级对公民、法人和其他组织的合法权益造成严重损害或对社会秩序、公共利益造成一般损害第三级重要系统监督保护级对公民、法人和其他组织的合法权益造成特别严重损害
7、或对社会秩序、公共利益造成严重损害,或对国家安全造成一般损害第四级重要系统强制保护级对社会秩序、公共利益造成特别严重损害或对国家安全造成严重损害第五级极端重要系统专控保护级对国家安全造成特别严重损害3.2 定期进行设备管理维护,提升硬件安全 图书馆部署信息系统所使用的服务器、存储设备、网络设备等,是保障网络信息安全的基础和前提。服务器部署需根据项目需求选定适宜的 RAID机制,常用的 RAID 级别有 RAID5、RAID1,有条件的图书馆还可考虑负载均衡、备用机等安全机制。系统设备出现故障会出现响应速度变慢、数据丢失甚至系统瘫痪等情况,因此系统管理人员需定期对设备进行巡检和维护7。3.3 及
8、时修复漏洞、加强监测,确保系统安全3.3.1 基线配置的合规性管理。对服务器各项配置信息进行合规设置可有效控制因系统配置不当引发的业务中断及信息外泄风险,加强信息系统的安全保障。常用的基线配置包含以下几点:一是设置系统配置口令的相关策略,如启用密码复杂度要求、设置密码长度的最小值、密码最长使用期限等。二是设置账号锁定策略,对账户锁定时间、账户锁定阈值、重置账户锁定计数器等进行设置,避免账户密码被恶意破解。三是开启系统屏保并设置密码。四是安装防病毒软件并定期升级其功能,使其具备最新防护能力。五是加强账户管理,禁用来宾账户,及时处理长期不用账号等。3.3.2 漏洞检测及修复。图书馆要定期对服务器进
9、行漏洞扫描、木马检测、渗透测试等安全检测,并基于检测结果进行安全加固,关停不必要的应用和服务,如:针对操作系统漏洞可通过更新版本或打补丁的方式防护,针对应用程序漏洞可通过打补丁、更新程序版本或安装其他类似功能的应用程序提升系统安全性,自开发的应用系统可通过修改源代码的方式修复漏洞8-10。3.3.3 防火墙管理。设置严格的防火墙也是网络信息系统抵御病毒入侵的有效方式之一,图书馆可根据系统功能需求设置防火墙,遵循非必要不开放的最小化原则对开放端口进行管理,以减少安全隐患,提升系统安全性,如:针对 Linux 系统常见的远程桌面访问 OpenSSH 漏洞,图书馆可对 22 端口进46冯红娟:试论图
10、书馆的网络信息安全行限制,只允许合法的 IP 进行远程访问。3.4 加强数据安全防护,避免数据外泄风险 数据是社会生产经营活动的核心生产要素之一,是重要的战略资源,随着数字经济的发展,数据安全问题日益受到重视。2021 年 9 月 1 日,中华人民共和国数据安全法正式实施,为数据安全管理提供了法律依据。信息安全技术个人信息安全规范(GB/T352732020),将个人信息分为一般个人信息和个人敏感信息,个人敏感信息包括个人财产信息(如银行账号、存款信息、交易和消费记录等)、个人健康生理信息(如检验报告、手术及麻醉记录等)、个人生物识别信息(如个人基因、指纹、面部识别特征等)、个人身份信息(如身
11、份证、社保卡等),以及其他信息(如婚史、宗教信仰等),个人敏感信息是应被重点保护的一类信息。该规范还特别强调,通常情况下 14 岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。为保护用户信息、保障用户知情权,图书馆的信息系统在收集用户个人信息时,需将信息使用目的、方式和范围等告知用户并获得许可11,12。加强数据安全防护,尤其是用户敏感数据,图书馆需做好安全管理和定期备份工作,可通过数据加密等方式增强其安全性,确保数据的可用性、完整性和保密性。3.5 制定有效的规章制度,不断更新完善 为保障网络信息安全,图书馆需在贯彻执行各项网络安全法律法规的基础上,根据本馆信息系统具体情况
12、制定合理有效的规章制度,明确网络安全责任分工,并根据信息系统建设情况对规章制度进行更新和完善。就机房安全而言,工作人员进出机房要有规范的管理流程和记录,未经许可工作人员不得随意进出机房,服务器和信息系统的管理需权责到人,明确的责任分工有利于做好服务器及信息系统的运行监测、漏洞自查修复、重要数据备份、软硬件故障排查、配件维修更换等日常运维工作,确保信息系统平稳运行。此外,图书馆还需根据信息系统的保护级别和实际运行情况制定网络安全应急预案,提升应急处置能力,以应对突发的网络安全事件。3.6 重视人才培养,提升员工网络安全意识 图书馆的网络信息安全贯穿其数字资源建设和服务的全流程,从项目立项、信息系
13、统建设到数据加工、系统维护、读者服务等,各环节都需要充分考虑网络安全问题。一方面,图书馆信息系统的网络管理、防火墙设置、漏洞修复,以及数据库建设等工作都需要具备相关专业知识的人才才能完成;另一方面,计算机信息技术在不断升级迭代,因此,图书馆亟须通过技术培训、业务交流、自主学习等多种方式加强人才培养,提升馆员的网络安全防护意识和业务技能以为图书馆的网络信息安全工作提供人才支持。参考文献:1 彭珺,高珺.计算机网络信息安全及防护策略研究J.计算机与数字工程,2011(1):121-124,178.2 初景利,段美珍.智慧图书馆与智慧服务J.图书馆建设,2018(4):85-90,95.3 李劲,张
14、再武,陈佳阳.网络安全等级保护2.0 定级、测评、实施与运维M.北京:人民邮电出版社,2021:2-9.4 郭巍,关兴卓.浅谈网络安全等级保护制度在网络安全法作用下的发展J.网络安全技术与应用,2019(5):18-20.5 刘欣慧,刘坤峰.法律视角下的图书馆信息安全问题研究J.法制与社会,2021(7):93-94.6 张赛男,王瑜,刘恩涛,等.高校图书馆网络安全管理策略研究J.图书馆学刊,2020(8):95-99.7 刘晓辉.网络服务器搭建与管理(第 3 版)M.北京:电子工业出版社,2012:447.8 什么是服务器漏洞?如何发现服务器的漏洞EB/OL.2022-12-21.https:/ 张国锋,段西强,冯斌,等.漏洞扫描与防护:入门与实践M.青岛:中国石油大学出版社,2021:131-133.10 郭锡泉,陈香锡.Web 安全漏洞及代码审计(微课版)M.北京:电子工业出版社,2021:115-120.11 丁振赣.网络安全与个人信息保护法律实务M.深圳:海天出版社,2021:36-38.12 陆康,刘慧,任贝贝,等.智慧图书馆用户数据隐私保护研究:基于中华人民共和国网络安全法和一般数据保护条例的文本启示J.图书馆理论与实践,2020(3):17-21.(编校:徐黎娟)56冯红娟:试论图书馆的网络信息安全
浙ICP备2021020529号-1 | 浙B2-20240490 
