博物館智慧化建設中的安全思考

◆詹偉

（云南省博物館 云南 650200）

近年來，基于大數據、云計算、互聯(lián)網、智能AI、移動互聯(lián)等新技術的發(fā)展，不少博物館都在實現從數字博物館到智慧博物館的轉型。信息技術與網絡技術在博物館智慧管理、智慧保護、智慧服務方面的應用也越來越多，新技術的發(fā)展使得博物館除了能在傳統(tǒng)收藏、保護、展示、研究、教育的基礎上，還能使得很多社會職能能更好發(fā)揮出來，如教育第二課堂的現場互動、文物鑒賞、教育共享等。“以數字為中心”的數字博物館向“以人為中心"的智慧博物館的發(fā)展，拉近了與社會公眾的距離。智慧博物館通過創(chuàng)新博物館服務、保護和管理的理念，充分配置并整合博物館相關資源，以服務于社會公眾、博物館和政府，形成了髙效、可持續(xù)發(fā)展的新型博物館形態(tài)。互聯(lián)網技術應用不斷模糊物理世界和虛擬世界界限，對整個經濟社會發(fā)展的融合、滲透、驅動作用日益明顯，但隨之帶來的風險挑戰(zhàn)也不斷增大，網絡空間的威脅和風險日益增多。比較突出的問題表現在DDoS攻擊高發(fā)頻發(fā)且攻擊組織性與目的性較之前更加凸顯；APT 攻擊逐步向各重要行業(yè)領域滲透，在重大活動和敏感時期更加猖獗；事件型漏洞和高危零日漏洞數量上升，信息系統(tǒng)面臨的漏洞威脅形勢更加嚴峻；數據安全防護意識依然薄弱，大規(guī)模數據泄露事件更加頻發(fā)；“灰色”應用程序大量出現，針對重要行業(yè)安全威脅更加明顯；網絡黑產活動專業(yè)化、自動化程度不斷提升，技術對抗更加激烈；工業(yè)控制系統(tǒng)產品安全問題依然突出，新技術應用帶來的新安全隱患更加嚴峻。

黨的十八大以來，習近平總書記就網絡安全和信息化工作提出了一系列新理念新思想新戰(zhàn)略，系統(tǒng)闡述了事關網信事業(yè)發(fā)展的一系列重大理論和實踐問題，形成了關于網絡強國的重要思想。總書記在2016年4月19日召開的網絡安全和信息化工作座談會上指出：“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態(tài)勢，增強網絡安全防御能力和威懾能力。”2019年，我國網絡安全頂層設計不斷完善，《中華人民共和國密碼法》、《信息安全技術網絡安全等級保護基本要求》（網絡安全等級保護 2.0）等多項網絡安全相關法律法規(guī)、配套制度及有關標準陸續(xù)向社會發(fā)布。中央網信辦、工業(yè)和信息化部、公安部等多部門開展了檢驗網站安全、App 違法違規(guī)收集使用個人信息、電信和互聯(lián)網行業(yè)提升網絡數據安全保護能力、“凈網 2019”等專項行動，切實維護了網絡空間秩序，網絡安全綜合治理能力水平不斷提升。

據國家互聯(lián)網應急中心（以下簡稱“CNCERT”）報道，2019年我國黨政機關等重要單位面臨著大量的DDoS攻擊、APT 攻擊、漏洞威脅、數據安全隱患、移動互聯(lián)網惡意程序、網絡黑灰產業(yè)、工業(yè)控制系統(tǒng)的安全威脅，網絡攻擊呈現出許多新的特點，對于博物館這種大型公共場所，網絡的安全性不容忽視。網絡的安全性會直接影響到博物館整個信息化系統(tǒng)的安全性，所以，如何向博物館提供安全的網絡運行環(huán)境至關重要。

智慧化博物館的建設往往涉及眾多系統(tǒng)，包括服務基礎支撐平臺、博物館智慧協(xié)同管理平臺、資源管理平臺、藏品預防性保護平臺、智慧服務平臺、智慧運營平臺，運用于博物館各方面的管理、服務與運營等。系統(tǒng)使用者面向觀眾和工作人員，這些應用系統(tǒng)的安全直接關系到博物館的日常運行。隨著這些年應用系統(tǒng)的增多及復雜性的提高，應用系統(tǒng)的安全問題日益凸顯。

1 目前博物館智慧建設中信息安全現狀

1.1 應用系統(tǒng)安全分析

很多博物館目前在智慧化系統(tǒng)建設中都存在著“煙囪現狀”的問題，即很多館的系統(tǒng)建設往往不是一個部門完成的，工作中缺少統(tǒng)一規(guī)劃，建設過程中系統(tǒng)只考慮縱向的問題，一個部門的系統(tǒng)往往只涉及部門的工作職能，缺少橫向的聯(lián)動。該問題一方面會導致在往后的智慧化進程中實現橫向聯(lián)動、縱向貫通的時候容易造成重復建設、資金浪費的問題；另一方面是各系統(tǒng)后期兼容存在的安全問題，SDK、中間件都會存在安全隱患。應用系統(tǒng)還存在一個比較重要的問題就是“分層思想”的問題，早期系統(tǒng)由各個部門自行招標建設，建設過程中，缺乏專業(yè)的總體考慮，往往只看系統(tǒng)是否能用，功能是否都實現了，但很少考慮程序源碼本身是否安全、穩(wěn)定、兼容等，導致程序不穩(wěn)定而被攻擊。

1.2 網絡架構存在的問題

目前很多博物館網絡都是由外網進入后只有一個簡單的邊界防火墻，在內部通過多臺接入交換機將各服務器和終端接入到了網絡中，總體核心網關位于核心交換機上，在服務器前端部署WAF 設備等。這些都屬于比較簡單的階段，并沒有系統(tǒng)的防護體系。并且很多館都未部署終端安全管控系統(tǒng)，互聯(lián)網辦公終端及服務器設備未安裝企業(yè)級殺毒軟件且未及時更新最新系統(tǒng)補丁，缺乏終端安全防護能力，不能對主機層面的惡意代碼事件進行檢測和阻斷；大多缺乏態(tài)勢感知設備，無法對新型的病毒進行檢測；另外大多設備都存在老化的問題，但受制資金等多方面也無法及時迭代。大多數館缺乏對DDoS（分布式拒絕服務攻擊）、APT（高級持續(xù)性威脅）、WEB 應用漏洞防護等的防護能力，一旦被惡意攻擊，網絡很容易癱瘓從而導致業(yè)務系統(tǒng)宕機。

1.3 人員管理存在的問題

智慧化系統(tǒng)建設中，除了網絡以及系統(tǒng)等存在風險，還有一個很重要的方面就是人員方面存在的風險。很多博物館尤其是一些縣級博物館，隨著社會的發(fā)展開始逐步建設智慧化場館，但沒有設立專門負責智慧化建設的部門或者是沒有相關專業(yè)的人員，導致系統(tǒng)過了維保期后無法及時發(fā)現并處理系統(tǒng)故障和安全隱患，因此致使風險持續(xù)存在，很容易導致系統(tǒng)被滲透以及數據被竊取的危險。很多館對普通工作人員沒有組織相應的系統(tǒng)使用及網絡安全方面的培訓，通常普通工作人員也缺乏相應的網絡安全防范意識，在使用網絡過程中不注重相關個人信息的保護，隨時在互聯(lián)網上下載軟件安裝，使得員工電腦經常容易被惡意插件和病毒攻擊，造成電腦文件、個人銀行賬戶、密碼泄露等等。內網電腦中毒以后，因為很多館對內部網絡橫向防御能力較弱，內部終端通常沒有加固，使得木馬、病毒從內網開始爆發(fā)的風險較大。

2 智慧化建設中的安全原則

智慧化建設中，在物聯(lián)網、大數據、云計算等各種新技術的結合運用的過程當中，在信息安全方面應該考慮幾個原則：

2.1 重視信息網絡、提升全員安全處置能力原則

博物館應設立相關專業(yè)部門或者是聘請相關專業(yè)人士定期進行信息安全培訓，提升全員信息技術水平，增強數據安全防范意識以及信息安全處置能力。

2.2 堅持主動防護的原則

在部署的相關專業(yè)防護硬件上，應該定期查看相關安全日志，分析過去的安全環(huán)境、當前的安全現狀，綜合感知未來的安全風險點。站在攻擊者的視角換位思考，由館方定期組織相關專業(yè)人員進行攻擊、滲透測試，定期進行巡檢、漏掃以提前發(fā)現隱患并及時進行處置將被動式防御改成主動式防御。結合實際，針對每一種安全威脅、安全風險和每一個具體環(huán)節(jié)提前制定網絡安全應急處置方案。

2.3 資金投入與安全防范能力平衡原則

應該說沒有任何一個絕對安全的系統(tǒng)，系統(tǒng)的安全都是相對的。

資金投入多少以及安全設備的投入只能在一定程度上提升系統(tǒng)防護的能力，安全本身也是一個不斷變化的過程，不可能一勞永逸，這是一個持續(xù)完善、建設、更新、迭代的過程。所以應在相關安全系統(tǒng)建設時首先了解清楚館內現有的網絡架構、軟硬件設備、系統(tǒng)應用的使用情況，制定明確的安全防范需求，評估風險，從而在安全、應用、資金投入中找到一個平衡點，采用最適合的技術防范策略和防范措施，想方設法地提高系統(tǒng)的安全保密強度。

2.4 統(tǒng)一規(guī)劃與分步實施的原則

智慧化總體建設的一個基本原則就是統(tǒng)一規(guī)劃、分步實施，在信息安全體系的構建上同樣適用。任何一個館的資金都是有限的，信息安全體系不可能不計成本的一次性建成。所以在構建信息系統(tǒng)安全時要從整體考慮、統(tǒng)一要求、統(tǒng)籌安排，強調整體性、完整性和一致性。規(guī)劃的實施要根據應用實際，分步實施，一項一項地完成上線，采取分階段實施的方式來逐步建設安全體系。

3 總結

新技術、新應用在提升博物館服務、管理效率、增強用戶體驗的同時，我們也應在好好思考其同時帶來的信息安全保障的問題。在智慧化建設帶來便利的同時也應意識到信息安全的動態(tài)變化特性，設備的更新、操作系統(tǒng)或者應用系統(tǒng)的升級、系統(tǒng)設置的變化、業(yè)務的變化等要素都可能導致新的安全風險的出現，一個信息系統(tǒng)的安全水平也取決于防御最薄弱的環(huán)節(jié)。在智慧化建設過程中應全面提高網絡安全防護能力，重點保障基礎信息網絡和重要信息系統(tǒng)的安全，創(chuàng)建安全健康的網絡環(huán)境，保障業(yè)務系統(tǒng)的穩(wěn)定運行，提高博物館網絡安保能力。