公共圖書館網(wǎng)站安全策略研究

◆許蕗

（國家圖書館 北京 100089）

圖書館一向是信息化、自動(dòng)化的前沿陣地，圖書館的網(wǎng)絡(luò)與信息化建設(shè)不僅與采購、編目、流通等圖書館傳統(tǒng)業(yè)務(wù)息息相關(guān)，更與網(wǎng)絡(luò)、硬件、存儲(chǔ)介質(zhì)等軟、硬件基礎(chǔ)設(shè)施有著緊密的聯(lián)系，《中華人民共和國公共圖書館法》也要求公共圖書館提供數(shù)字資源服務(wù)、網(wǎng)絡(luò)服務(wù)，通過圖書館網(wǎng)站等發(fā)布服務(wù)公告，并妥善保管讀者個(gè)人信息[1]。

然而，隨著圖書館信息化水平的不斷提高，跨部門、跨系統(tǒng)、跨地域的業(yè)務(wù)、數(shù)據(jù)、技術(shù)進(jìn)一步融合，網(wǎng)絡(luò)安全也增加了諸多的不確定因素。習(xí)近平總書記在關(guān)于網(wǎng)絡(luò)安全和信息化的重要論述中多次指出，“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民，維護(hù)網(wǎng)絡(luò)安全是全社會(huì)共同責(zé)任”[2]、“網(wǎng)信事業(yè)代表著新的生產(chǎn)力和新的發(fā)展方向”[3]。圖書館作為網(wǎng)絡(luò)管理者、網(wǎng)絡(luò)服務(wù)提供者，需要按照法律、行政法規(guī)開展互聯(lián)網(wǎng)信息服務(wù)，并保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，采取網(wǎng)絡(luò)安全防護(hù)措施，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性[4]。圖書館還應(yīng)按照網(wǎng)絡(luò)安全等級保護(hù)的要求，履行網(wǎng)絡(luò)安全等級保護(hù)義務(wù)，避免館藏?cái)?shù)據(jù)、個(gè)人信息、數(shù)字資源等數(shù)據(jù)出現(xiàn)泄露、竊取、篡改的情況。

面對日益復(fù)雜的網(wǎng)絡(luò)安全形勢，本文將對圖書館網(wǎng)站所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行分析，并提出圖書館網(wǎng)站安全防護(hù)策略。

1 圖書館網(wǎng)站的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

圖書館網(wǎng)站通常部署于圖書館機(jī)房或云計(jì)算平臺(tái)，除了需要應(yīng)對互聯(lián)網(wǎng)攻擊和滿足合法合規(guī)的要求以外，更存在著與其他互聯(lián)網(wǎng)網(wǎng)站不同的復(fù)雜性特點(diǎn)。當(dāng)網(wǎng)站部署于本地時(shí)，由于圖書館需要為到館讀者提供互聯(lián)網(wǎng)服務(wù)，因而利用圖書館網(wǎng)絡(luò)的不僅是內(nèi)部員工，還包括到館讀者、駐館公司等外來人員。

1.1 內(nèi)部網(wǎng)絡(luò)攻擊

圖書館的電子閱覽室常年對公眾開放，讀者可通過電子閱覽室網(wǎng)絡(luò)接入圖書館有線網(wǎng)，通過讀者WIFI 接入無線網(wǎng)，同時(shí)訪問互聯(lián)網(wǎng)和館內(nèi)數(shù)字資源。部分來館讀者可能會(huì)把圖書館網(wǎng)絡(luò)當(dāng)做實(shí)驗(yàn)對象，利用攻擊工具尋找信息系統(tǒng)或網(wǎng)站的漏洞，威脅到圖書館業(yè)務(wù)的正常運(yùn)行和數(shù)據(jù)的安全存儲(chǔ)。

1.2 應(yīng)用安全問題

圖書館常見互聯(lián)網(wǎng)Web 應(yīng)用包括門戶網(wǎng)站、圖書館聯(lián)機(jī)目錄、自建數(shù)據(jù)庫等，由于對互聯(lián)網(wǎng)開放了端口，因此常被掃描器惡意掃描，如存在高風(fēng)險(xiǎn)的Web 應(yīng)用、中間件漏洞，容易被黑客利用進(jìn)行提權(quán)、遠(yuǎn)程代碼執(zhí)行、Webshell 文件上傳等操作，造成網(wǎng)站被惡意篡改。

由于圖書館的網(wǎng)絡(luò)與信息化相關(guān)管理人員、技術(shù)人員流動(dòng)性往往較大，如果沒有長期維護(hù)的網(wǎng)絡(luò)、網(wǎng)絡(luò)安全策略文檔，在人員交接過程中，容易出現(xiàn)部分網(wǎng)站已經(jīng)建設(shè)并在互聯(lián)網(wǎng)發(fā)布，卻長期無人維護(hù)，極容易被黑客篡改的情況。2018 年一項(xiàng)對某省11 家縣級公共圖書館的調(diào)查表明，80%的圖書館沒有配備網(wǎng)站信息安全維護(hù)人員，其余圖書館雖然配備了管理員，但是網(wǎng)站信息安全防護(hù)能力十分薄弱[5]。圖書館網(wǎng)站建設(shè)通常采用軟件外包的方式進(jìn)行，館內(nèi)鏡像數(shù)據(jù)庫則由數(shù)據(jù)商進(jìn)行部署，但在維保服務(wù)期結(jié)束后，網(wǎng)站管理員無法自行完成網(wǎng)站維護(hù)工作，而外包公司人員流動(dòng)性大，程序員離職后公司也無法對程序進(jìn)行修改，久而久之，就存在各種Web 應(yīng)用漏洞無法修復(fù)。

此外，對于有一定技術(shù)力量的圖書館，其網(wǎng)站的應(yīng)用安全風(fēng)險(xiǎn)主要存在于一些灰色地帶，包括：

（1）無管理員專人維護(hù)的網(wǎng)站。這種網(wǎng)站往往是測試站點(diǎn)、臨時(shí)站點(diǎn)、外包公司所使用的網(wǎng)站或由于項(xiàng)目結(jié)束無人使用也沒有下線的網(wǎng)站等，這種網(wǎng)站盡管已經(jīng)無人使用，但仍未回收互聯(lián)網(wǎng)地址、未停止域名解析，管理員卻不再進(jìn)行安全監(jiān)測和維護(hù)，對Web 應(yīng)用所使用的框架、中間件也停止更新。

（2）管理員后臺(tái)直接對互聯(lián)網(wǎng)開放、測試時(shí)對外開放的高危端口未進(jìn)行訪問限制或忘記關(guān)閉、文件上傳功能未進(jìn)行文件類型限制等等。

（3）網(wǎng)站對用戶登錄過程未設(shè)置防暴力破解機(jī)制，使網(wǎng)站存在受到暴力破解或撞庫的風(fēng)險(xiǎn)。

1.3 操作系統(tǒng)安全問題

系統(tǒng)管理員對操作系統(tǒng)的補(bǔ)丁修復(fù)不及時(shí)，容易導(dǎo)致該區(qū)域內(nèi)其他服務(wù)器也被病毒感染，造成病毒肆虐。例如近年來利用微軟MS17-010 漏洞的“永恒之藍(lán)”工具，造成了大量電腦文件被加密、勒索，或者被利用成為礦機(jī)。各種弱口令，包括系統(tǒng)弱口令、應(yīng)用弱口令、用戶弱口令等，帶來了50%的安全問題[6]。操作系統(tǒng)、數(shù)據(jù)庫或其他系統(tǒng)管理協(xié)議的賬號若存在弱口令或默認(rèn)匿名賬號，將極易被黑客破解，進(jìn)而獲得相應(yīng)權(quán)限，造成數(shù)據(jù)泄露、網(wǎng)頁篡改等嚴(yán)重后果。

1.4 數(shù)據(jù)安全問題

用戶在注冊圖書館讀者卡時(shí)一般都需要使用實(shí)名信息，包括姓名、身份證件號碼、住址、聯(lián)系方式等個(gè)人信息甚至是個(gè)人敏感信息，這些數(shù)據(jù)與用戶的人身和財(cái)產(chǎn)安全息息相關(guān)。此外，在使用圖書館各個(gè)網(wǎng)站提供的互聯(lián)網(wǎng)服務(wù)的同時(shí)，會(huì)在交互過程中產(chǎn)生瀏覽信息和借閱信息等等，這些數(shù)據(jù)都可能造成用戶隱私泄漏。

此外，部分圖書館會(huì)將資源通過自建數(shù)據(jù)庫或館內(nèi)鏡像數(shù)據(jù)庫的方式提供給讀者遠(yuǎn)程、到館使用，部分用戶使用圖書館賬號過量下載數(shù)據(jù)庫資源，使數(shù)據(jù)庫服務(wù)器的系統(tǒng)資源、網(wǎng)絡(luò)資源被消耗，數(shù)據(jù)目錄和數(shù)字資源被惡意下載，影響圖書館正常提供服務(wù)或電子資源版權(quán)受到侵犯。

1.5 硬件維護(hù)問題

傳統(tǒng)架構(gòu)的公共圖書館網(wǎng)站均部署于圖書館機(jī)房，但機(jī)房的物理?xiàng)l件差距較大，需要滿足防水、防潮、防靜電、防雷擊等要求，并且對技術(shù)人員的硬件維護(hù)、數(shù)據(jù)恢復(fù)能力要求較高，圖書館還需要自行負(fù)責(zé)通信網(wǎng)絡(luò)安全。近年來，圖書館服務(wù)上云在政策的推動(dòng)下成了趨勢。公有云平臺(tái)性價(jià)比高，合規(guī)性強(qiáng)，配置簡單，也成了中小型圖書館較好的選擇，省級公共圖書館也可以選擇部署私有云或者混合云。

1.6 外包人員管理問題

外包運(yùn)維人員權(quán)限較高，但流動(dòng)性大，出現(xiàn)問題難以追溯，如果沒有限制外包運(yùn)維的權(quán)限范圍，對其操作審核不嚴(yán)，未與外包運(yùn)維人員簽訂保密協(xié)議或責(zé)任書，也有可能從內(nèi)部造成網(wǎng)站出現(xiàn)安全隱患。

1.7 法律法規(guī)風(fēng)險(xiǎn)

據(jù)網(wǎng)絡(luò)可查資料，圖書館因不符合《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)的要求受到行政處罰的案例全部與網(wǎng)站有關(guān)，包括：2018年，封丘縣圖書館沒有采取計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊的防護(hù)措施，造成網(wǎng)站頁面被篡改，受到被河南新鄉(xiāng)市公安機(jī)關(guān)行政處罰[7]；2019 年，宜賓學(xué)院因“移動(dòng)圖書館館藏書目查詢平臺(tái)”的頁面被攻擊篡改，受到宜賓市翠屏區(qū)公安分局網(wǎng)安大隊(duì)的罰款處罰[8]，該平臺(tái)也未履行備案職責(zé)。

2 公共圖書館網(wǎng)站安全策略

雖然國內(nèi)公共圖書館在信息化建設(shè)水平、經(jīng)費(fèi)投入力度上差距較大，圖書館技術(shù)人員水平也有所差異，但是都需要配置圖書館網(wǎng)站技術(shù)和管理安全策略，才能給讀者提供穩(wěn)定、可靠、安全的Web 服務(wù)。

2.1 網(wǎng)絡(luò)安全技術(shù)策略

2.1.1 管控網(wǎng)絡(luò)端口，劃分關(guān)鍵區(qū)域

嚴(yán)格管控面向互聯(lián)網(wǎng)開放的端口，檢查防火墻規(guī)則，從互聯(lián)網(wǎng)對圖書館所有實(shí)地址網(wǎng)段進(jìn)行掃描，杜絕出現(xiàn)無管理員維護(hù)的網(wǎng)站對互聯(lián)網(wǎng)開放的現(xiàn)象。在圖書館內(nèi)網(wǎng)將服務(wù)器單獨(dú)劃分一個(gè)區(qū)域，通過在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)配置防火墻或者訪問控制列表等方式對各個(gè)部門、外包人員能夠訪問的服務(wù)器范圍進(jìn)行限制，指定只有管理員的VLAN 才可以對系統(tǒng)進(jìn)行運(yùn)維操作。盡量設(shè)置DMZ 區(qū)域，隔離發(fā)布服務(wù)器與內(nèi)網(wǎng)服務(wù)器，減少發(fā)布服務(wù)器出現(xiàn)安全問題時(shí)對內(nèi)網(wǎng)安全造成的影響。當(dāng)讀者到館通過實(shí)名認(rèn)證登錄讀者WIFI 后，應(yīng)通過無線控制器對讀者的訪問行為進(jìn)行控制，其訪問權(quán)限也應(yīng)僅限于互聯(lián)網(wǎng)和館內(nèi)主要網(wǎng)站與數(shù)據(jù)庫。

2.1.2 配備Web 應(yīng)用防護(hù)設(shè)備

使用網(wǎng)絡(luò)防火墻對跨越網(wǎng)絡(luò)邊界的通信進(jìn)行邏輯隔離、訪問控制與地址轉(zhuǎn)換。在網(wǎng)站前部署Web 應(yīng)用防火墻對常規(guī)的Web 掃描行為進(jìn)行阻斷。部署防DDoS 設(shè)備，在發(fā)生DDoS 攻擊時(shí)對訪問信息系統(tǒng)的流量進(jìn)行牽引流量清洗，攔截攻擊流量，放行正常訪問流量。部署入侵防御（IPS）設(shè)備，通過對流量的分析發(fā)現(xiàn)惡意訪問行為，對數(shù)據(jù)流信息進(jìn)行實(shí)時(shí)檢測及應(yīng)用層攻擊阻斷。

近年來由于各地加強(qiáng)了政務(wù)云平臺(tái)建設(shè)，圖書館也根據(jù)本級財(cái)政要求將互聯(lián)網(wǎng)網(wǎng)站及信息系統(tǒng)、數(shù)據(jù)遷移到云服務(wù)平臺(tái)上[9]，在選擇云服務(wù)平臺(tái)時(shí)，需要對云服務(wù)商進(jìn)行篩選，選擇通過云計(jì)算服務(wù)安全評估的云平臺(tái)，降低使用云計(jì)算服務(wù)的安全風(fēng)險(xiǎn)。

針對圖書館門戶網(wǎng)站等以靜態(tài)頁面為主的網(wǎng)站，可以通過防篡改系統(tǒng)保護(hù)網(wǎng)站內(nèi)容安全，使得軟件監(jiān)控到網(wǎng)站發(fā)生篡改事件時(shí)，能夠第一時(shí)間發(fā)現(xiàn)并進(jìn)行內(nèi)容恢復(fù)。

2.1.3 加強(qiáng)數(shù)據(jù)安全防護(hù)

使用HTTPS 協(xié)議進(jìn)行數(shù)據(jù)傳輸加密，確保通信過程中數(shù)據(jù)的完整性、保密性和可校驗(yàn)性。對用戶登錄時(shí)的用戶名、密碼進(jìn)行加密后再傳輸，限制用戶錯(cuò)誤登錄次數(shù)，在登錄的同時(shí)校驗(yàn)用戶的驗(yàn)證碼，在一定程度上可以防范用戶信息泄露事件，防止黑客大批量破解用戶密碼。

圖書館在用戶管理系統(tǒng)中會(huì)存儲(chǔ)個(gè)人信息，在存儲(chǔ)以及傳輸、展示時(shí)，均要注意對個(gè)人信息的脫敏、去標(biāo)識化。除了用戶個(gè)人信息，互聯(lián)網(wǎng)上還存在大量圖書館行業(yè)信息，如書目數(shù)據(jù)、電子資源等，容易被爬蟲抓取，造成數(shù)據(jù)泄露。大量爬蟲行為還給網(wǎng)站服務(wù)器帶來了額外的負(fù)載，對正常服務(wù)造成影響。管理員需定期檢查網(wǎng)站訪問日志，當(dāng)出現(xiàn)有規(guī)律的大量下載行為時(shí)采取訪問限制和反爬蟲措施，減少爬蟲對網(wǎng)站的不良影響。

2.1.4 集中審計(jì)管控

啟用操作系統(tǒng)、應(yīng)用、中間件的審計(jì)功能，對用戶行為和重要安全事件進(jìn)行記錄，審計(jì)記錄需要保存180 天以上以達(dá)到合規(guī)要求。建立日志備份系統(tǒng)，通過syslog 等日志服務(wù)對審計(jì)記錄進(jìn)行備份，防止其受到意外刪除、修改、覆蓋。

2.1.5 定期進(jìn)行脆弱性檢測和安全加固

脆弱性檢測主要采用工具掃描、人工檢查的方式對配置缺陷、漏洞等進(jìn)行檢查，以發(fā)現(xiàn)在主機(jī)系統(tǒng)和應(yīng)用等層面存在的安全隱患，分析漏洞和配置缺失，并評估漏洞風(fēng)險(xiǎn)程度和系統(tǒng)的脆弱性，如是否存在可提權(quán)或遠(yuǎn)程命令執(zhí)行類的漏洞。圖書館可購買漏洞掃描設(shè)備，也可使用IBM Appscan 等開源掃描器以節(jié)省成本，或者使用安全監(jiān)控平臺(tái)的應(yīng)用級漏洞掃描服務(wù)。

圖書館應(yīng)定期對所有網(wǎng)站、信息系統(tǒng)進(jìn)行漏洞掃描，跟蹤高危風(fēng)險(xiǎn)的0day 漏洞，及時(shí)自查并處置相關(guān)漏洞威脅。可進(jìn)行遠(yuǎn)程滲透測試，了解網(wǎng)站是否存在跨站腳本漏洞、SQL 注入漏洞、系統(tǒng)信息泄露、弱口令等安全隱患，評估網(wǎng)站的抗攻擊能力。滲透測試工作應(yīng)在網(wǎng)站進(jìn)行上線或升級改版前進(jìn)行，可以幫助圖書館提前發(fā)現(xiàn)源代碼缺陷所引起的安全漏洞、安全隱患。

系統(tǒng)管理員在日常維護(hù)中，需要根據(jù)安全基線對服務(wù)器進(jìn)行最基本的安全加固；定期檢查系統(tǒng)日志、應(yīng)用日志、安全日志、錯(cuò)誤日志，及時(shí)發(fā)現(xiàn)系統(tǒng)異常并盡快解決。

2.2 圖書館網(wǎng)站安全管理策略

2.2.1 建立網(wǎng)站管理委員會(huì)或領(lǐng)導(dǎo)小組

圖書館需要成立負(fù)責(zé)網(wǎng)絡(luò)安全管理的委員會(huì)或領(lǐng)導(dǎo)小組，其領(lǐng)導(dǎo)職位最好由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)。除此之外，還需要建立網(wǎng)絡(luò)安全責(zé)任制，明確圖書館網(wǎng)站安全責(zé)任人的職責(zé)。

2.2.2 加強(qiáng)網(wǎng)站安全監(jiān)測

互聯(lián)網(wǎng)云監(jiān)測平臺(tái)可為網(wǎng)站提供24 小時(shí)的云監(jiān)測服務(wù)，包括網(wǎng)站可用性檢測、域名解析檢測以及網(wǎng)站掛馬、篡改、暗鏈等完整性檢測，部分平臺(tái)也有提供脆弱性檢測或Web 應(yīng)用漏洞檢測；互聯(lián)網(wǎng)云防護(hù)服務(wù)可為用戶提供云端的WAF 防護(hù)。圖書館可以適當(dāng)購買互聯(lián)網(wǎng)云監(jiān)測平臺(tái)、云防護(hù)服務(wù)，而不再需要去購買和維護(hù)Web 應(yīng)用防護(hù)設(shè)備，既降低了防護(hù)設(shè)備的使用門檻、減少了運(yùn)維經(jīng)費(fèi)，還可以增強(qiáng)系統(tǒng)應(yīng)對風(fēng)險(xiǎn)和快速反應(yīng)的能力。

2.2.3 建立網(wǎng)站安全制度體系

圖書館信息技術(shù)人員流動(dòng)較快，應(yīng)建立起以管理制度、安全策略、操作規(guī)程、相關(guān)人員協(xié)議、記錄表單等構(gòu)成的網(wǎng)絡(luò)安全制度體系。設(shè)立針對重要操作、資產(chǎn)變更等事項(xiàng)的審批程序，并按實(shí)際情況更新需授權(quán)和審批的項(xiàng)目。根據(jù)員工崗位職責(zé)，制定不同的培訓(xùn)計(jì)劃，定期針對安全基礎(chǔ)知識、崗位操作規(guī)程等對員工進(jìn)行培訓(xùn)。

2.2.4 開展網(wǎng)絡(luò)安全等級保護(hù)工作和網(wǎng)站、域名備案工作

受到網(wǎng)絡(luò)安全意識和技術(shù)水平、經(jīng)費(fèi)等的制約，一部分圖書館也存在不符合網(wǎng)絡(luò)安全相關(guān)法律法規(guī)要求的現(xiàn)象。圖書館應(yīng)對信息系統(tǒng)、網(wǎng)站進(jìn)行摸底排查，確保管理員掌握所有在線的互聯(lián)網(wǎng)網(wǎng)站，形成資產(chǎn)清單，避免出現(xiàn)無人管理的網(wǎng)站或信息系統(tǒng)。全面開展網(wǎng)站的網(wǎng)絡(luò)安全等級保護(hù)工作，對網(wǎng)站、信息系統(tǒng)進(jìn)行自主定級，并按定級級別進(jìn)行建設(shè)，二級及以上的系統(tǒng)在公安機(jī)關(guān)進(jìn)行備案，每年對已定級的系統(tǒng)對照《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》進(jìn)行自查與整改，定期梳理、掌握信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)。

對于互聯(lián)網(wǎng)網(wǎng)站，根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法（公安部令第33 號）》，圖書館應(yīng)在擬對互聯(lián)網(wǎng)提供信息服務(wù)前在省、自治區(qū)、直轄市電信管理機(jī)構(gòu)進(jìn)行ICP 備案和域名信息備案，30 日內(nèi)到所在地公安機(jī)關(guān)指定的受理機(jī)關(guān)完成公安機(jī)關(guān)聯(lián)網(wǎng)備案，接受公安機(jī)關(guān)的監(jiān)督。

2.2.5 完善網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急工作機(jī)制

圖書館應(yīng)根據(jù)實(shí)際情況制定應(yīng)急預(yù)案，完善應(yīng)急處置流程，定期對工作人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)與演練，將應(yīng)急處置流程細(xì)化，并形成操作文檔。應(yīng)急預(yù)案一般包括網(wǎng)絡(luò)安全突發(fā)事件組織機(jī)構(gòu)與職責(zé)、應(yīng)急響應(yīng)程序與保障措施、網(wǎng)絡(luò)安全突發(fā)事件級別及各級別事件應(yīng)急處置流程。

3 結(jié)語

伴隨著人工智能、5G、云計(jì)算等新技術(shù)的發(fā)展以及智慧圖書館的建設(shè)，圖書館網(wǎng)絡(luò)安全也不斷面臨新的挑戰(zhàn)。只要圖書館對外通過互聯(lián)網(wǎng)提供Web 應(yīng)用服務(wù)，就必然需要面對網(wǎng)站等Web 應(yīng)用的網(wǎng)絡(luò)安全問題。圖書館應(yīng)化被動(dòng)為主動(dòng)，細(xì)化、完善網(wǎng)站的網(wǎng)絡(luò)安全策略，做到合法合規(guī)，整體提升網(wǎng)站的綜合防護(hù)能力。