法治環境下公共圖書館網站信息安全防護實證策略研究

(江西省圖書館，江西 南昌 330046)

習近平總書記在中央網絡安全和信息化領導小組第一次會議上強調，要抓緊制訂立法規劃，完善互聯網信息內容管理、關鍵信息基礎設施保護等法律法規，依法治理網絡空間，維護公民合法權益[1]。網站信息安全既涉及網站所屬單位或集體的重要數據信息，又在一定程度上影響其對外的公眾名譽和形象。公共圖書館網站作為擁有讀者隱私身份信息與文化遺產的公共訪問平臺，包含重要數據資源，做好公共圖書館網站信息安全的防護尤為重要。

1 公共圖書館網站信息安全的法治大環境

公共圖書館網站信息安全的法治大環境主要有3個，分別是《中華人民共和國公共文化服務保障法》《中華人民共和國網絡安全法》和《中華人民共和國公共圖書館法》。《中華人民共和國公共文化服務保障法》第二十二條規定，要依法配備安全保護設備和人員，保障公共文化設施和公眾活動安全[2]。《中華人民共和國網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度，要按照網絡安全等級保護制度的要求，履行包含制定安全制度、確定安全責任人、保留網絡日志、數據備份和加密要求等在內的安全保護義務；第二十五條規定，網絡運營者應當制訂網絡安全事件應急預案，及時處置各類安全風險，建立應急預案機制，采取補救措施；第五十九條規定，對違反以上條款的運營單位的直接負責人給予警告和罰款處罰[3]。《中華人民共和國公共圖書館法》第二十九條規定,公共圖書館應當定期對其設施設備進行檢查維護，確保正常運行；第四十三條規定,公共圖書館應當妥善保護讀者的個人借閱隱私信息；第五十條規定，如有違反以上條款，直接責任人和直接負責的主管人員均要受到相應處罰，情節嚴重的還要追究刑事責任[4]。

2 網站信息安全案例分析

表1展示了部分省直事業單位網站信息安全的相關違法案例，其違法內容主要涉及SQL注入、XSS跨站腳本、webshell網頁后門等高危漏洞，未對網站進行等級保護備案、網絡日志留存時間不達標等。

表1 部分省直事業單位網站信息安全違法案例

經過分析，不難發現，以上案例的法律依據主要來源于《中華人民共和國網絡安全法》第二十一條和第五十九條。根據《中華人民共和國網絡安全法》第二十一條規定:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：(一)制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于6個月；(四)采取數據分類、重要數據備份和加密等措施；(五)法律、行政法規規定的其他義務。根據《中華人民共和國網絡安全法》第五十九條第一款規定，對于構成未按規定履行網絡安全等級測評義務的，依法對該單位給予警告處罰并責令其改正。

3 公共圖書館網站信息安全防護存在的問題思考

根據前文提到的網站信息安全違法案例，結合公共圖書館行業網站信息安全的服務現狀，筆者提出公共圖書館網站信息安全防護存在的問題和不足。

3.1 傳統低成本的違法處罰思想根深蒂固

許多公共圖書館主體理所應當地認為公共圖書館作為公益性服務機構，網站安全不過是件皮毛小事，即使出了問題，也不會存在特別嚴重的處罰。這種僥幸思想的存在已有將近一百年時光，殊不知，隨著我國法律法規的不斷健全和完善，公共圖書館的各項管理與服務都將步入正軌。

3.2 網站信息安全防護意識不強

公共圖書館網站就是該館的一張網絡名片，一旦遭到黑客攻擊并出現類似于數據篡改、數據泄漏等事件，將嚴重影響公共圖書館的形象和聲譽，更有甚者造成該館數以萬計的讀者身份信息數據的泄漏，后果將不堪設想。

3.3 傳統網站信息安全防護策略捉襟見肘

隨著科學信息技術的不斷發展，黑客領域的攻擊手段和途徑也在不斷演變和升級，黑客攻擊方式由傳統的DDOS攻擊、網頁SQL注入、web跨站腳本攻擊、局域網ARP攻擊變為新型的緩沖區溢出攻擊、0day漏洞攻擊、網頁挖礦木馬等，傳統網站信息安全防護策略已經難以抵御全新的黑客攻擊方式。

3.4 網站信息安全防護人才匱乏

筆者通過電話訪問與網絡問卷的方式調查分析了2018年上半年某省域公共圖書館的網站信息安全管理現狀，發現所有被調查的11家市級基層公共圖書館中，有10家配備至少1名網站信息安全維護人員，有1家配備的網站信息安全維護人員只負責聯系相關技術公司進行維護。所有被調查的縣級公共圖書館中，有80%的基層公共圖書館沒有配備專門的網站信息安全維護人員，20%的基層圖書館雖有配備人員，但其網站信息安全防護能力極為薄弱。

3.5 網站信息安全預警感知能力滯后

網站信息安全預警是指公共圖書館在本館網站即將遭到黑客入侵或攻擊前的警告，預警感知能力的強度高低決定了它是否能有效阻斷黑客繼續入侵并進一步獲取圖書館相關敏感數據信息。筆者通過問卷調查發現某省市級公共圖書館在2018年上半年網站信息安全事件共有35起，安全事件類別主要有網站存在SQL注入漏洞、網站被黑客植入惡意代碼、網站被植入挖礦木馬，資源耗盡導致頁面無響應、網站安全策略被篡改等。在所有網站信息安全事件中，有11起事件由圖書館技術負責部門檢測發現，有18起事件由讀者或其他部門館員發現，有6起事件由省公安廳網絡安全部門或省網絡與信息化安全指揮應急指揮中心檢測發現。

3.6 過度依賴公有云數據安全平臺

近年來，公有云服務憑借著數據安全可靠、性價比高的特征屬性在企業、政府以及地方事業單位等各大行業中得到廣泛應用。用戶將原本架設在本地的關鍵或非關鍵業務服務“上云”，通過“云端”最專業的團隊來幫助管理和運維系統，實現業務價值管理的最大化效益。例如，目前我國已經有多家公共圖書館將本館的網站從本地遷移到公有云上，并通過公有云發布互聯網服務。隨著時間的推移，公有云平臺數據的絕對安全被提出質疑。2018年北京一家從微信公眾號起家的“前沿數控”公司因騰訊云硬盤數據意外丟失導致網站停運向騰訊云索賠千萬，并通過官方微博發布文章“騰訊云給一家創業公司帶來的災難”。

4 法治環境下公共圖書館網站信息安全防護策略

針對網站信息安全存在的諸多問題，筆者從建立網站信息安全管理制度，構建網站信息安全人員組織體系，開展等級保護定級備案，構建基于攻擊檢測、攻擊防護和攻擊溯源的網站信息安全攻防體系，培養網站信息安全人才，建立基于大數據分析的網站信息安全態勢感知平臺和培養網站信息安全人才等方面提出應對防護策略。

4.1 建立和完善網站信息安全管理相關制度

公共圖書館網站信息安全需要建立制度來保障與其相關的各項工作順利開展[5]。表2列舉了公共圖書館網站信息安全管理的相關制度，主要有網站信息安全責任追究制度、網站信息數據安全管理制度、網站信息安全應急預案響應制度、網站信息安全宣傳培訓制度、網站信息安全等級保護年度考核制度、網站信息安全工作經費預算保障制度、網站信息安全設備產品安全可控制度等。

建立并完善公共圖書館網站信息安全管理的制度能夠極大改變傳統網站無章可循、模棱兩可的管理模式，在網站信息安全防護上，實行有法可依、有法必依的法治化格局，嚴格按照公共圖書館網站信息安全各項制度行事，保障公共圖書館網站的服務器設備安全、各類文化數字遺產資源安全和讀者敏感數據安全。

表2 公共圖書館網站信息安全管理制度名稱及其功能

4.2 構建網站信息安全人員組織體系

公共圖書館網站信息安全的管理，歸根結底是人員的管理。通過設立公共圖書館網站信息安全領導小組(領導人員決策層)、網站信息安全信息化辦公室(中層干部協調層)、網站信息安全技術支持中心(技術館員落實層)的三層架構，構建公共圖書館網站信息安全防護的人員組織體系[7]。明確各層級的職責和功能，建立網站信息安全責任處罰獎懲制度，責任到人，做到“誰管理，誰負責”。增加網站信息安全事件處罰成本，切實提高公共圖書館網站信息安全防護工作落實的效率。

在職責分工上，公共圖書館網站信息安全領導小組負責公共圖書館網站信息安全工作的領導和重大事項的決策；網站信息安全信息化辦公室負責統籌安排網站信息安全工作的任務，對網站信息安全的管理與組織進行溝通協調，并向上級領導匯報和負責；網站信息安全技術支持中心作為公共圖書館網站信息安全的技術支持，直接執行網站信息安全信息化辦公室分配的任務，并向上級領導匯報和負責。詳細人員分配見圖1所示。

圖1 公共圖書館網站信息安全人員組織體系架構

4.3 開展網站等級保護定級備案工作

定級和備案是網站安全等級保護工作的初始環節，也是網絡運營者開展等級保護工作的基礎，更是網絡運營者履行等級保護義務的直接體現[8]。在前述事業單位存在網站管理上的違法案例中，有的遭到黑客的入侵，有的甚至丟失了重要數據信息。一定程度上是由于沒有重視開展網站信息安全系統等級保護的定級備案工作。對于沒有進行網站備案定級工作的單位，因無法出具定級備案證明，公安機關無法判定該網絡系統是否屬于重要信息系統、關鍵信息基礎設施的情況，一方面給公安機關立案偵查帶來不便，另一方面也導致網絡運營者因未履行安全管理義務而被追責。

公共圖書館應當按照《計算機信息系統安全保護條例》和《互聯網信息服務管理辦法》《信息安全等級保護管理辦法》等現行法律法規，落實網站等級保護備案工作，選擇正規的第三方網站信息安全等級測評機構，定期對網站信息安全系統安全等級狀況開展等級測評。第三方測評機構應當出具測評報告，并出具測評結果通知書，明示網站信息系統安全等級及測評結果。圖2顯示了網站信息安全等級保護定級備案與測評的工作流程。

圖2 網站信息安全等級保護定級備案與測評工作流程

4.4 構建基于攻擊檢測、攻擊防護與攻擊溯源的網站信息安全攻防體系

(1)攻擊檢測。網站安全攻擊檢測的項目內容主要有SQL注入、XSS跨站腳本、網頁植入木馬、緩沖區溢出、文件上傳漏洞、隱藏目錄泄露、數據庫泄露、弱口令、后臺管理地址泄露等。攻擊檢測途徑主要有兩種方式：一種是通過在線網站安全檢測。常見在線網站安全檢測網站有“網站安全狗在線檢測”“EeSafe網站安全聯盟在線檢測”“站長工具在線網站安全檢測”。另一種則是通過網站安全防護軟件工具檢測。常見的有：“WebShellkiller網站后門檢測工具”、“Netsparker網站安全掃描工具”(它能夠有效檢測SQL注入和跨腳本訪問類型的安全漏洞)。

(2)攻擊防護。通過建立基于硬件設備防護和軟件安全策略防御，實現網站信息安全防護壁壘。網站安全硬件設備防護。常見的硬件固件級防護設備主要有：防火墻設備、安全路由器設備、IDS類設備(入侵檢測系統)、IPS類設備(入侵防御系統)、WAF設備(網站應用防火墻)、DDOS防御設備(分布式拒絕服務)、DBSS類設備(數據庫安全服務設備)[9]。防火墻設備是網站防護的第一道防線，所有從計算機流入和流出的網絡通信數據包都要經過防火墻，防火墻通過訪問控制列表、驗證工具、包過濾和應用網關保護公共圖書館內網用戶免受外界非法入侵；IDS類設備部署在網絡邊界旁路用于提供安全報告和事后監督；IPS類設備解決了IDS不能阻斷網絡訪問的問題，同時也解決了傳統防火墻只能工作在OSI四層以下的問題，常被串聯至主干路上，對內外網異常流量進行監督處理；WAF類設備工作在應用層，可用于解決諸如防火墻類傳統設備束手無策的Web應用安全問題；DDOS防御設備用于對網絡流量的清洗，它能實現對正常流量的放行和對攻擊流量的有效攔截。圖3為網站信息安全硬件基礎防護設備拓撲圖，表3是常見的網站信息安全軟件防護策略。

圖3 網站信息安全硬件基礎防護設備拓撲圖

名稱軟件安全策略網站后臺/服務器口令設置拒絕采用基于弱口令的密碼認證管理0day漏洞定期修復web服務器安全漏洞和其他網站信息安全漏洞數據泄露通過VPN隧道加密技術實現讀者用戶身份信息數據加密傳輸CC攻擊禁止網站代理訪問,盡量將網站做成靜態頁面,限制連接數量,修改最大超時時間等端口掃描設置web服務器防火墻放行策略,僅對需要使用的端口放行,或在實體防火墻上做端口映射SQL注入/XSS跨站腳本優化頁面代碼,通過正則表達式進行非法字符過濾網頁掛馬通過服務器安全狗以及網站安全狗相關軟件進行主動防御

(3)攻擊溯源。《中華人民共和國網絡安全法》第二十一條明確規定，網站運營主體應當采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于6個月。公共圖書館可以通過防火墻、高性能路由器以及windows系統下IIS(Internet信息服務)自帶的日志保存功能對網站信息安全相關日志進行保存，通過上網行為管理以及堡壘機等網絡安全設備對用戶與維護人員的操作日志進行審計，便于日后協助公安部門開展故障排查與責任追究工作。

4.5 建立基于大數據的網站信息安全態勢感知平臺

越來越多的實踐案例表明，在沒有網站態勢感知防護手段的情況下，攻擊從發生到治理完成平均需要32天，如果不能提前感知并且及時預防，產生的損失將不可估量。公共圖書館網站可以根據網站實時安全、歷史安全、網站環境和攻擊風險多個維度建立網站安全威脅指標體系[10]。利用關聯分析、數據挖掘、機器學習和威脅情報技術，融合分析設備告警日志、服務器系統日志、網絡流量日志，形成公共圖書館網站信息安全的大數據。充分利用公共圖書館網站的大數據，從硬件防護、軟件防護、數據采集、大數據分析、數據挖掘、風險評估以及可視化展示等多個維度共同構成網站信息安全態勢感知平臺(如圖4所示)。

圖4 基于大數據的網站信息安全態勢感知平臺圖

4.6 培養網站信息安全人才

公共圖書館網站信息安全防護人才的建設，關鍵在于培養。每一個具有良好網站管理的機構背后都有一批能夠解決實際網站安全問題的技術型人才。在網站信息安全技術人才培養上，一要加強公共圖書館網站安全管理的職業培訓。通過定期組織和參加最新的網絡安全、網站安全、信息安全以及信息管理知識的培訓，進一步提高圖書館網站工作人員獨立建設網站、管理網站和維護網站的能力。二要強化技術支撐保障工作。密切聯系專業的網站安全公司或者地方網絡與信息化安全事件應急指揮中心以及信息安全測評中心，申請網站信息安全專業人員進行技術指導，協助完成圖書館網站安全漏洞的修復與整改，進一步增強本館網站信息安全人員的實踐經驗。三要完善網站安全專業人才的職稱認定。建議政府部門對網站安全人才頒發初級、中級和高級的職稱認證書，通過專業測試對網絡安全人才進行必要的評價，從而充分調動提高網站安全人才專業學習的積極性。