公共圖書館網站安全策略研究

黃俊霖

(云南省圖書館網絡技術數字服務中心，云南 昆明 650031)

在新時代背景下，圖書館要想獲得持續穩定的發展，就必須加強創新，而構建網站就是圖書館創新發展的必然趨勢。構建圖書館網站既可以為公共圖書館整體運轉、發展帶來便利，同時還可以為讀者帶來更加多元、全面、高效的服務。目前我國大多數公共圖書館都構建了相應的網站。圖書館網站在為公共圖書館運轉、服務帶來便利的同時，基于圖書館網站信息化、網絡化、虛擬化的特點，也要面對較為突出的網絡安全問題。2018年1月12日，新鄉市封丘縣圖書館網站就遭到黑客攻擊，致使網頁被篡改。這對圖書館的影響是最直接的，同時也會威脅到讀者的信息安全。因此，面對日益復雜的網絡安全形勢，圖書館在構建和運轉網站的過程中，必須重視網絡安全風險問題，采取切實、有效的措施和策略保證網站安全。只有保障了圖書館網站安全，圖書館的作用和價值才能得到最大限度的發揮。

1 公共圖書館網站建設的意義及安全防護的必要性

構建圖書館網站需要以現代網絡技術、信息技術、大數據技術等作支撐。所構建的圖書館網站作為一個線上平臺，可以為公共圖書館提供諸多便利，包括幫助圖書館更好地宣傳自身形象，開展網絡閱覽、檢索、資訊等服務，同時讀者也可以在網站中對圖書館藏書、服務等發表意見和建議，促進圖書館與讀者之間的溝通。網站可以說是圖書館在網絡環境下的一個自我展示窗口、線上服務窗口。網站在推動公共圖書館改革，提升公共圖書館整體運營水平和服務水平，提高讀者滿意度方面發揮著重要的作用。公共圖書館在網站構建過程中，不僅需要注重網站內容、框架、功能方面的設計，還需要注重對網站網絡安全的保護。2016年11月7日，十二屆全國人大常委會經表決，高票通過了《中華人民共和國網絡安全法》，該法于2017年6月1日正式施行。該法作為我國的網絡安全基本法，可以從側面說明在構建圖書館網站中加強安全防護的重要性和必要性。

2 公共圖書館網站應用中存在的安全問題

公共圖書館網站作為一個開放性的線上平臺，在應用過程中難免會面對各種網絡安全風險，若沒有做好網絡安全防護工作，還會導致各種安全問題的發生。目前，很多公共圖書館雖然構建了網站，但網站的整體安全水平還不算高，因此容易出現各種網絡安全問題。

2.1 數據安全問題

公共圖書館網站應用中較為突出的一個網絡安全問題即數據安全問題。網站作為一個線上數據系統，讀者在應用過程中往往需要注冊才可以使用，注冊過程中需要讀者輸入自己的個人信息，其中包括姓名、身份證號碼、電話號碼、家庭住址等。這些個人信息對于讀者而言屬于私密信息，如果他們在使用圖書館網站過程中，這些數據信息發生安全問題，就會對讀者造成不利影響。很多不法分子常常會攻擊圖書館網站竊取讀者信息，從而導致其隱私信息泄露。

2.2 操作系統安全問題

公共圖書館網站屬于一個大型的網絡系統，如果網絡管理員在操作過程中存在問題，就會導致系統出現安全隱患。例如，網絡管理員對操作系統補丁修復不及時，就容易導致區域內服務器受到病毒感染，病毒感染后則容易發生數據泄露、網頁篡改等情況，最終威脅網站的安全運行。

2.3 網絡攻擊問題

圖書館網站一般長期對讀者開放，讀者可以通過電子閱覽室網絡接入圖書館有線網，并通過Wi-Fi接入無線網，讀者就可以對圖書館數字資源進行訪問。圖書館網站的開放性也使網站很容易遭受網絡攻擊，如：不法分子會利用攻擊工具尋找信息系統的漏洞，從而對圖書館網站的運行造成破壞和影響，這對圖書館工作的正常運行以及數據的安全都構成較大的威脅。

3 公共圖書館網站安全策略

3.1 從網絡端口加強對網站安全的防護

公共圖書館網站是一個龐大的網絡系統，要想保證網站安全，圖書館就要重視從源頭進行安全防護，如：從網絡端口加強對網站安全的防護就可以有效降低安全問題的發生率。在具體實踐中，圖書館應該嚴格控制面向互聯網開放的端口，加強對防火墻規則的檢查，對圖書館網站所有地址網段進行掃描，這些措施都可以有效保證網站網絡安全。圖書館還可以通過劃分關鍵區域保證網站安全，劃分關鍵區域的目的就在于更好地劃分權限、設置限制，如對關鍵網絡點可以配置防火墻、訪問控制列表等，以此減少安全問題的發生。

3.2 針對網頁加強應用防護設備

公共圖書館網站運行過程中，網頁出現網絡安全問題的概率較高，對此，圖書館就需要提高對網頁安全防護的重視。在具體實踐中，圖書館可以針對網頁加強對防護設備的應用，以此來保證網頁安全。例如，圖書館可以使用網絡防火墻對跨越網絡邊界的通信進行訪問控制、地址轉換等，在網站前部署防火墻對常規網頁掃描行為進行阻斷，這些措施都可以起到保護網頁的作用。此外，圖書館還可以針對網頁部署防DDos設備，該設備可以在發生DDos攻擊時，對訪問信息系統的流量進行牽引流量清洗，進而準確攔截攻擊流量。部署入侵防御設備也可以實現對流量的分析，進而發現惡意訪問行為，并實施攻擊阻斷。

3.3 做好數據安全防護工作

公共圖書館網站安全防護中數據安全防護是重中之重，圖書館相關管理人員必須提高重視程度，采用先進的技術、措施保證網站數據安全。在具體工作實踐中，圖書室可以使用HTTPS協議對數據傳輸進行加密，保證數據在傳輸過程中的安全性。在用戶登錄方面，圖書館可以采取限制用戶錯誤登錄次數、登錄配合驗證碼使用等措施，這對降低用戶信息泄露問題的發生具有重要的意義，同時也可以有效防止黑客破解用戶密碼，盜取用戶信息。圖書館網站在儲存用戶個人信息中也需要特別注意，對用戶個人信息進行脫敏處理、去標識化處理，這對提高用戶管理系統的整體水平十分重要。另外，為了保證網站數據信息安全，公共圖書館還需要建立比較完備的數據備份體系，即使網絡系統受到病毒侵害和黑客攻擊，其數據信息也可以通過相應的技術進行還原，避免數據丟失問題的發生。目前常用的備份架構方式主要有三種，即基于局域網的LAN-Base結構、基于儲存區域網絡的Server-Free結構和LAN-Free結構。相比基于局域網的LAN-Base結構，基于儲存區域網絡的Server-Free結構和LAN-Free結構在數據備份方面具有明顯優勢，這類結構具有數據備份統一管理、備份速度快、網絡傳輸壓力小的優勢。公共圖書館在構建數據備份體系時就可以采取這類備份架構。

3.4 強化網站安全管理工作

為了保證網站安全，公共圖書館不僅需要從技術層面加強安全防護，同時還需要從管理層面加強安全防護。圖書館可以成立專門的網站管理委員會，由網站管理委員會負責對網站的日常運營管理、安全管理等工作。針對網站管理委員會，圖書館需要明確其管理責任、管理目標，對于各安全管理人員需要落實責任到人制度。網站管理委員會需要組織安全管理人員做好對網站的定期安全監測工作，如：可以應用互聯網云監測平臺對網站進行24小時云監測，實時監測有利于及時發現問題、漏洞，進而快速反應，避免安全問題的發生。網站管理委員會必須有多名專業的技術人員作支撐，技術人員需要嚴格做好網站維護、管理、監測等工作。對于圖書館網站的各項硬件設施，相關管理人員需要做好定期維護工作，在經濟條件允許的情況下應選擇可用性、可拓展性較高的先進服務器，并由專業技術人員進行系統維護，保證設備的正常運行，進而保障網站能正常為讀者提供服務。同時，公共圖書館還需要針對網站安全建立網站安全制度體系，包括明確網站管理制度、安全策略、操作規程等，這對降低網絡安全問題的發生率具有重要的意義。網絡安全問題具有突發性的特點，因此圖書館還需要完善相應的突發事件應急工作機制，包括明確應急處置流程、形成操作文檔、制定應急保障措施等。

4 結語

保證公共圖書館網站安全是目前公共圖書館信息化發展過程中需要高度重視的問題。公共圖書館網站不僅包含大量的館藏數據，同時還包含讀者的個人信息，這些信息若出現泄漏、被竊取和篡改等問題，必然會帶來不好的影響。因此，公共圖書館在構建、應用網站時，必須對面臨的網絡安全風險進行深入分析，基于網絡安全需求做好網站安全防護工作。