安全是一切的保障

【摘要】隨著博物館信息化技術(shù)的不斷推進(jìn)，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也變得極為復(fù)雜。本文以博物館網(wǎng)絡(luò)安全技術(shù)為研究對(duì)象，就博物館網(wǎng)絡(luò)安全技術(shù)進(jìn)行了探討。

【關(guān)鍵詞】博物館；網(wǎng)絡(luò)安全；架構(gòu)體系；分層防御

【中圖分類(lèi)號(hào)】TP309 【文獻(xiàn)標(biāo)識(shí)碼】A

隨著國(guó)內(nèi)文化旅游事業(yè)的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)在博物館中的應(yīng)用越來(lái)越普遍，博物館已經(jīng)開(kāi)始從數(shù)字博物館向智慧博物館過(guò)渡，這讓博物館提高了管理效率又增強(qiáng)了觀眾體驗(yàn)，同時(shí)也產(chǎn)生了較大的網(wǎng)絡(luò)安全隱患。對(duì)此，博物館要積極加強(qiáng)信息化安全工作，從多個(gè)方面著手，加強(qiáng)對(duì)博物館網(wǎng)絡(luò)安全的防護(hù)。

總書(shū)記在2016年4月19日召開(kāi)的網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出：“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。要樹(shù)立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。” 對(duì)于博物館這種大型公共場(chǎng)所，網(wǎng)絡(luò)的安全性不容忽視。網(wǎng)絡(luò)的安全性會(huì)直接影響到博物館整個(gè)信息化系統(tǒng)的安全性，所以，如何提供安全的網(wǎng)絡(luò)運(yùn)行環(huán)境至關(guān)重要。

一、目前博物館網(wǎng)絡(luò)安全威脅

（一）網(wǎng)絡(luò)傳輸安全

博物館信息化的發(fā)展隨著科技的發(fā)展越來(lái)越受到重視，絕大多數(shù)的博物館都建立了有線(xiàn)基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)，也具備了防火墻等最為基礎(chǔ)的信息安全設(shè)備。但隨著博物館無(wú)線(xiàn)網(wǎng)絡(luò)的加入和日漸增多的應(yīng)用層業(yè)務(wù)系統(tǒng)基礎(chǔ)的疊加，新的網(wǎng)絡(luò)安全隱患隨之而來(lái)。這些新系統(tǒng)的加入大大增加了病毒和木馬侵入的風(fēng)險(xiǎn)。同時(shí)，越來(lái)越多的博物館因?yàn)橛^眾的訴求和需要，把更多應(yīng)用系統(tǒng)向觀眾開(kāi)放，但是由于一些應(yīng)用系統(tǒng)平臺(tái)自身缺乏應(yīng)用層的安全防御機(jī)制和驗(yàn)證保護(hù)，系統(tǒng)平臺(tái)中存儲(chǔ)的私密信息面臨泄露和被篡改的巨大風(fēng)險(xiǎn)。

（二）接入設(shè)備安全

博物館的日常工作研究和展覽陳列中會(huì)用到很多的終端設(shè)備，在終端的硬件上容易出現(xiàn)人為的蓄意損壞，另外，在軟件方面下載的各種文檔和軟件上可能帶有各種病毒和惡意代碼，同時(shí)，沒(méi)有及時(shí)更新的系統(tǒng)漏洞和對(duì)于各種設(shè)備的安全管理不到位引起的漏洞，都可能導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)變慢，甚至使業(yè)務(wù)系統(tǒng)不能正常運(yùn)行、敏感數(shù)據(jù)泄露。

（三）服務(wù)應(yīng)用安全

應(yīng)用系統(tǒng)是向參觀的觀眾和工作人員提供服務(wù)的，這些應(yīng)用系統(tǒng)的安全直接關(guān)系到博物館的日常運(yùn)行。這些年隨著應(yīng)用系統(tǒng)的增多及復(fù)雜性的提高，應(yīng)用系統(tǒng)的安全問(wèn)題日益凸顯，有從簡(jiǎn)單的連接網(wǎng)絡(luò)層面攻擊向復(fù)雜的服務(wù)應(yīng)用層面攻擊轉(zhuǎn)變的態(tài)勢(shì)。傳統(tǒng)的屬于連接網(wǎng)絡(luò)層的防火墻安全手段對(duì)于服務(wù)應(yīng)用層面的安全威脅無(wú)能為力。

鑒于目前博物館出現(xiàn)的各種網(wǎng)絡(luò)安全問(wèn)題，展開(kāi)博物館網(wǎng)絡(luò)系統(tǒng)內(nèi)部與外部、應(yīng)用層與網(wǎng)絡(luò)層、技術(shù)層面和管理層面的安全防范與系統(tǒng)恢復(fù)措施等信息安全技術(shù)研究，已經(jīng)成為當(dāng)前刻不容緩的一件事。就像習(xí)近平總書(shū)記在2016年4月19日召開(kāi)的網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào)的，“網(wǎng)絡(luò)的安全和發(fā)展是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。”

二、博物館網(wǎng)絡(luò)安全改造建設(shè)

目前，很多博物館都進(jìn)行的信息安全防護(hù)都是通過(guò)簡(jiǎn)單的增加防火墻等方式實(shí)現(xiàn)，屬于較為原始的階段，既不成體系又沒(méi)有先進(jìn)的方案，相對(duì)比金融、電力這些較早關(guān)注信息安全技術(shù)的行業(yè)具有很大的差距。

結(jié)合博物館本身所具有的學(xué)術(shù)性和公眾性特點(diǎn)，適應(yīng)信息化新技術(shù)帶來(lái)的新的信息化安全威脅，要根據(jù)博物館信息系統(tǒng)的網(wǎng)絡(luò)傳輸、接入設(shè)備系統(tǒng)、服務(wù)應(yīng)用的保護(hù)，使用具有針對(duì)性的技術(shù)防護(hù)措施（見(jiàn)圖1）。

（一）網(wǎng)絡(luò)傳輸安全性改造

博物館網(wǎng)絡(luò)系統(tǒng)分為內(nèi)網(wǎng)和外網(wǎng)。內(nèi)網(wǎng)是為博物館內(nèi)部提供公共信息傳輸和資源共享的平臺(tái)；外網(wǎng)主要運(yùn)營(yíng)博物館的門(mén)戶(hù)網(wǎng)站和部分業(yè)務(wù)系統(tǒng)。博物館作為大型公共場(chǎng)所，除了工作人員使用的辦公網(wǎng)絡(luò)外，博物館的大量包括觀眾服務(wù)系統(tǒng)、藏品數(shù)據(jù)系統(tǒng)等業(yè)務(wù)系統(tǒng)以及展廳內(nèi)大量終端、展示平臺(tái)、WiFi基站等都需要使用網(wǎng)絡(luò)系統(tǒng)進(jìn)行接入。網(wǎng)絡(luò)系統(tǒng)一旦受到攻擊，日常辦公、展覽均會(huì)受到影響。因此，博物館網(wǎng)絡(luò)系統(tǒng)安全既需要考慮安全防護(hù)和網(wǎng)絡(luò)一體化設(shè)計(jì)、傳輸質(zhì)量保障等能力，也需要規(guī)范博物館網(wǎng)絡(luò)系統(tǒng)的內(nèi)網(wǎng)外網(wǎng)中各系統(tǒng)訪問(wèn)控制規(guī)范和策略規(guī)則，同時(shí)規(guī)范博物館基礎(chǔ)網(wǎng)絡(luò)的接入控制和訪問(wèn)策略。

按照全面覆蓋、不重疊、原子化的原則，同時(shí)使用網(wǎng)絡(luò)虛擬化技術(shù)對(duì)于整體網(wǎng)絡(luò)架構(gòu)進(jìn)行設(shè)計(jì)。根據(jù)博物館網(wǎng)絡(luò)與各個(gè)應(yīng)用系統(tǒng)之間節(jié)點(diǎn)的結(jié)構(gòu)、應(yīng)用及相對(duì)應(yīng)的安全等級(jí)要求，通過(guò)兩個(gè)階段的分步驟實(shí)施實(shí)現(xiàn)博物館各個(gè)應(yīng)用系統(tǒng)之間相互獨(dú)立的安全域劃分。

第一階段：網(wǎng)絡(luò)安全性能優(yōu)化和安全域劃分。根據(jù)博物館網(wǎng)絡(luò)的現(xiàn)實(shí)狀況，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行冗余設(shè)計(jì)，對(duì)主干網(wǎng)核心層的網(wǎng)絡(luò)設(shè)備進(jìn)行虛擬化設(shè)計(jì)，提高網(wǎng)絡(luò)的安全性和堅(jiān)強(qiáng)性。同時(shí)按照應(yīng)用系統(tǒng)重要性和終端分布的不同，采用虛擬局域網(wǎng)（VLAN）技術(shù)進(jìn)行隔離，或者直接在應(yīng)用系統(tǒng)之間加裝防火墻設(shè)備進(jìn)行安全隔離。

第二階段：應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的分離與遷移。目前很多博物館的應(yīng)用系統(tǒng)部署之間各自為政、錯(cuò)綜復(fù)雜，存在多個(gè)應(yīng)用共用一臺(tái)服務(wù)器的狀況。在這種情況下，一個(gè)應(yīng)用系統(tǒng)發(fā)生安全問(wèn)題，就會(huì)造成大量的關(guān)聯(lián)系統(tǒng)出現(xiàn)問(wèn)題，對(duì)應(yīng)用層的安全防護(hù)難度無(wú)疑會(huì)加大很多。為了對(duì)應(yīng)用系統(tǒng)更好地進(jìn)行安全防護(hù)，考慮通過(guò)虛擬化遷移工具對(duì)運(yùn)行在物理服務(wù)器上的應(yīng)用實(shí)施虛擬化遷移，同時(shí)根據(jù)系統(tǒng)不同的安全性要求，將其用虛擬局域網(wǎng)（VLAN）技術(shù)劃分到相對(duì)應(yīng)的安全域中。伴隨著應(yīng)用系統(tǒng)的分離遷移工作，數(shù)據(jù)庫(kù)也相應(yīng)地需要進(jìn)行分離，目的是對(duì)數(shù)據(jù)庫(kù)的重要數(shù)據(jù)進(jìn)行重點(diǎn)防護(hù)。

通過(guò)網(wǎng)絡(luò)系統(tǒng)的安全改造，解決由于業(yè)務(wù)系統(tǒng)所在業(yè)務(wù)網(wǎng)絡(luò)沒(méi)有進(jìn)行安全域劃分所導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題，解決了各業(yè)務(wù)系統(tǒng)組網(wǎng)沒(méi)有統(tǒng)一原則進(jìn)行規(guī)劃組網(wǎng)隨意的問(wèn)題，還同時(shí)規(guī)范了系統(tǒng)間和系統(tǒng)內(nèi)的邊界不明晰、訪問(wèn)控制混亂的問(wèn)題。

（二）接入設(shè)備安全性改造

博物館接入網(wǎng)絡(luò)的設(shè)備我們要從硬件和軟件兩個(gè)方面進(jìn)行安全性改造，從硬件上要對(duì)設(shè)備物理安全建立專(zhuān)門(mén)規(guī)范進(jìn)行保護(hù)，保證設(shè)備的安全。從軟件上需要建立態(tài)勢(shì)感知設(shè)備，態(tài)勢(shì)感知設(shè)備旁路連接在核心層交換機(jī)上，包括配置管理終端應(yīng)用軟件管理、終端系統(tǒng)安全管理（負(fù)責(zé)終端系統(tǒng)的服務(wù)端口開(kāi)放管理與病毒情況監(jiān)控，終端系統(tǒng)的賬號(hào)口令策略的下發(fā)及監(jiān)控）、終端桌面及主機(jī)設(shè)置管理（主機(jī)名稱(chēng)，電源的設(shè)置信息收集）、終端設(shè)備的上網(wǎng)管理、終端設(shè)備外設(shè)的安全管理、終端設(shè)備的補(bǔ)丁管理等。另外，還要建立防病毒網(wǎng)關(guān)設(shè)備，架設(shè)在防火墻之后、核心層交換機(jī)之前，檢查和過(guò)濾所有進(jìn)入內(nèi)網(wǎng)的各種惡意代碼和病毒。

（三）服務(wù)應(yīng)用安全性改造

博物館作為大型公共場(chǎng)所，針對(duì)其進(jìn)行的攻擊形式越來(lái)越多， DDoS（分布式拒絕服務(wù)攻擊）、APT（高級(jí)持續(xù)性威脅）、WEB 應(yīng)用方面的攻擊漏洞都是常用的攻擊手段。DDoS（分布式拒絕服務(wù)攻擊）指借助于B/S（客戶(hù)/服務(wù)器）技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，從而成倍地提高拒絕服務(wù)攻擊的威力。對(duì)此可以在博物館的接入防火墻前面串入DDos防火墻，對(duì)外，網(wǎng)的攻擊流量進(jìn)行清洗，達(dá)到安全防護(hù)的目的；APT是對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期定向滲透和數(shù)據(jù)竊取，主要體現(xiàn)在利用0day（未知威脅）漏洞、未知滲透工具對(duì)目標(biāo)的長(zhǎng)期性、持續(xù)性的控守，直至獲取目標(biāo)資產(chǎn)和目標(biāo)數(shù)據(jù)。對(duì)此，可以在博物館主干網(wǎng)絡(luò)核心層上旁路連接針對(duì)APT的監(jiān)測(cè)系統(tǒng)就各種未知威脅活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和預(yù)警，并根據(jù)風(fēng)險(xiǎn)分布、風(fēng)險(xiǎn)來(lái)源等進(jìn)行威脅態(tài)勢(shì)呈現(xiàn)；目前，博物館對(duì)外都有門(mén)戶(hù)網(wǎng)站、觀眾系統(tǒng)等Web應(yīng)用，而這些都是網(wǎng)絡(luò)攻擊者最樂(lè)于攻擊的目標(biāo)，WAF防火墻則是專(zhuān)門(mén)針對(duì)WEB應(yīng)用攻擊的專(zhuān)用防火墻，將WAF防火墻直接串在主防火墻前面DDos防火墻之后，就可以對(duì)黑客發(fā)起的一系列WEB應(yīng)用方面的攻擊行為進(jìn)行防御，能有效抵御包含覆蓋式SQL攻擊、注入式攻擊、跨站腳本攻擊等各種攻擊類(lèi)型的WEB安全威脅，為WEB應(yīng)用提供了全方位的保護(hù)。

三、總結(jié)

博物館作為大型的公共場(chǎng)所其網(wǎng)絡(luò)安全防護(hù)已經(jīng)日漸重要，總書(shū)記在2016年4月19日召開(kāi)的網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào)，網(wǎng)絡(luò)安全是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)的穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問(wèn)題。

參考文獻(xiàn)：

[1]杜璋，陳云釗.博物館信息安全技術(shù)體系研究[J].通信技術(shù)，2017，50（8）：1826-1830.

作者簡(jiǎn)介：李涵（1983-），男，本科，文博館員，研究方向：博物館信息化建設(shè)。