試論圖書館的網絡信息安全

馮紅娟

摘 要：隨著數字圖書館、智慧圖書館的持續建設和發展，圖書館面臨越來越多網絡信息安全方面的挑戰。文章從落實等級保護、提升硬件安全、確保系統安全、加強數據安全、制定管理制度、重視人才培養等角度對圖書館的網絡信息安全展開了深入分析，提出了圖書館加強網絡信息安全的策略。

關鍵詞：圖書館；網絡安全；安全策略；等級保護

中圖分類號：G250.7?? 文獻標識碼：A?? 文章編號：1003-1588（2023）03-0063-03

人工智能、物聯網、大數據、云計算、區塊鏈等信息技術的快速發展，在促進社會進步的同時，也給網絡信息安全帶來了更多挑戰。加強網絡信息安全旨在保護信息系統的硬件、軟件及數據不受偶然因素或惡意因素破壞、篡改和泄露，確保系統穩定運行，正常提供服務［1］。在智能技術驅動下，圖書館正經歷從物理圖書館、數字圖書館到智慧圖書館的轉型發展［2］，應用系統在為讀者提供更便捷、更人性化的信息服務、知識服務和智慧服務的同時，如何避免網絡安全事件發生，亟須圖書館深入研究。

1 網絡信息安全法律法規

近年來，隨著網絡及信息技術的發展和應用，我國先后出臺了多項網絡信息安全法律法規，如：2016年通過了《中華人民共和國網絡安全法》，該法是我國首部全面規范網絡安全和信息安全的基礎性法律，對確立我國網絡安全基本管理制度具有里程碑式的重要意義；2019年發布了網絡安全等級保護制度2.0標準，同年通過了《中華人民共和國密碼法》；2021年通過了《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》。上述一系列法律法規和標準的出臺標志著我國網絡安全法律體系的進一步完善，有助于全面提升網絡安全保障能力、加強個人信息保護、增強網絡安全意識。這些法律法規對圖書館的網絡信息安全工作具有重要的指導作用。

2 圖書館網絡信息安全存在的風險因素

圖書館的網絡信息安全風險因素有以下幾點：一是硬件故障導致數據丟失風險。服務器、存儲設備、網絡設備等硬件出現故障會造成數據丟失和系統無法正常運行。二是系統漏洞帶來的網絡安全風險。系統漏洞可能來自系統設計和編碼的缺陷，也可能來自業務流程的不規范，還有可能來自運維管理的不嚴格，系統漏洞會導致黑客攻擊、數據外泄或被篡改等風險，常見的漏洞有SQL注入漏洞、跨站腳本漏洞等。三是計算機病毒造成的安全風險。計算機病毒具有破壞性、隱蔽性、潛伏性和傳染性等特點，可根據黑客意圖發起攻擊，破壞或刪除文件、竊取密碼或重要文件等。四是工作人員安全意識薄弱導致安全問題。工作人員的網絡安全意識薄弱也會導致網絡信息出現安全風險，如因系統賬號、密碼等重要信息疏于管理從而產生數據外泄。

3 圖書館網絡信息安全策略

3.1 落實等級保護要求，加強安全防護

《中華人民共和國網絡安全法》第二十一條規定國家實行網絡安全等級保護制度，明確了網絡安全等級保護制度的法律地位。網絡安全等級保護制度是根據我國網絡信息基本情況實行的一套較為成熟的網絡安全保護機制，是落實《中華人民共和國網絡安全法》、保障系統網絡安全的有效途徑［3，4］。2019年5月，網絡安全等級保護制度2.0標準正式發布，該標準更加注重全方位主動防御、動態防御、整體防控和精準防護，可擴展到云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作，覆蓋面更廣。

網絡安全等級保護工作包括信息系統的定級、備案、安全建設和整改、信息安全等級測評、信息安全監督檢查等環節。對信息系統定級，并按等級保護要求進行防護是圖書館加強信息系統安全的有效途徑之一［5］。通過系統定級，圖書館可將有限的財力、物力、人力投入更重要的信息系統保護當中，變被動防御為主動保障，有利于加強重要信息系統的安全防護［6］。目前，我國的信息系統等級保護共有五個等級，詳見表1。

3.2 定期進行設備管理維護，提升硬件安全

圖書館部署信息系統所使用的服務器、存儲設備、網絡設備等，是保障網絡信息安全的基礎和前提。服務器部署需根據項目需求選定適宜的RAID機制，常用的RAID級別有RAID5、RAID1，有條件的圖書館還可考慮負載均衡、備用機等安全機制。系統設備出現故障會出現響應速度變慢、數據丟失甚至系統癱瘓等情況，因此系統管理人員需定期對設備進行巡檢和維護［7］。

3.3 及時修復漏洞、加強監測，確保系統安全

3.3.1 基線配置的合規性管理。對服務器各項配置信息進行合規設置可有效控制因系統配置不當引發的業務中斷及信息外泄風險，加強信息系統的安全保障。常用的基線配置包含以下幾點：一是設置系統配置口令的相關策略，如啟用密碼復雜度要求、設置密碼長度的最小值、密碼最長使用期限等。二是設置賬號鎖定策略，對賬戶鎖定時間、賬戶鎖定閾值、重置賬戶鎖定計數器等進行設置，避免賬戶密碼被惡意破解。三是開啟系統屏保并設置密碼。四是安裝防病毒軟件并定期升級其功能，使其具備最新防護能力。五是加強賬戶管理，禁用來賓賬戶，及時處理長期不用賬號等。

3.3.2 漏洞檢測及修復。圖書館要定期對服務器進行漏洞掃描、木馬檢測、滲透測試等安全檢測，并基于檢測結果進行安全加固，關停不必要的應用和服務，如：針對操作系統漏洞可通過更新版本或打補丁的方式防護，針對應用程序漏洞可通過打補丁、更新程序版本或安裝其他類似功能的應用程序提升系統安全性，自開發的應用系統可通過修改源代碼的方式修復漏洞［8-10］。

3.3.3 防火墻管理。設置嚴格的防火墻也是網絡信息系統抵御病毒入侵的有效方式之一，圖書館可根據系統功能需求設置防火墻，遵循非必要不開放的最小化原則對開放端口進行管理，以減少安全隱患，提升系統安全性，如：針對Linux系統常見的遠程桌面訪問OpenSSH漏洞，圖書館可對22端口進行限制，只允許合法的IP進行遠程訪問。

3.4 加強數據安全防護，避免數據外泄風險

數據是社會生產經營活動的核心生產要素之一，是重要的戰略資源，隨著數字經濟的發展，數據安全問題日益受到重視。2021年9月1日，《中華人民共和國數據安全法》正式實施，為數據安全管理提供了法律依據。《信息安全技術—個人信息安全規范》（GB/T35273—2020），將個人信息分為一般個人信息和個人敏感信息，個人敏感信息包括個人財產信息（如銀行賬號、存款信息、交易和消費記錄等）、個人健康生理信息（如檢驗報告、手術及麻醉記錄等）、個人生物識別信息（如個人基因、指紋、面部識別特征等）、個人身份信息（如身份證、社保卡等），以及其他信息（如婚史、宗教信仰等），個人敏感信息是應被重點保護的一類信息。該規范還特別強調，通常情況下14歲以下（含）兒童的個人信息和涉及自然人隱私的信息屬于個人敏感信息。為保護用戶信息、保障用戶知情權，圖書館的信息系統在收集用戶個人信息時，需將信息使用目的、方式和范圍等告知用戶并獲得許可［11，12］。加強數據安全防護，尤其是用戶敏感數據，圖書館需做好安全管理和定期備份工作，可通過數據加密等方式增強其安全性，確保數據的可用性、完整性和保密性。

3.5 制定有效的規章制度，不斷更新完善

為保障網絡信息安全，圖書館需在貫徹執行各項網絡安全法律法規的基礎上，根據本館信息系統具體情況制定合理有效的規章制度，明確網絡安全責任分工，并根據信息系統建設情況對規章制度進行更新和完善。就機房安全而言，工作人員進出機房要有規范的管理流程和記錄，未經許可工作人員不得隨意進出機房，服務器和信息系統的管理需權責到人，明確的責任分工有利于做好服務器及信息系統的運行監測、漏洞自查修復、重要數據備份、軟硬件故障排查、配件維修更換等日常運維工作，確保信息系統平穩運行。此外，圖書館還需根據信息系統的保護級別和實際運行情況制定網絡安全應急預案，提升應急處置能力，以應對突發的網絡安全事件。

3.6 重視人才培養，提升員工網絡安全意識

圖書館的網絡信息安全貫穿其數字資源建設和服務的全流程，從項目立項、信息系統建設到數據加工、系統維護、讀者服務等，各環節都需要充分考慮網絡安全問題。一方面，圖書館信息系統的網絡管理、防火墻設置、漏洞修復，以及數據庫建設等工作都需要具備相關專業知識的人才才能完成；另一方面，計算機信息技術在不斷升級迭代，因此，圖書館亟須通過技術培訓、業務交流、自主學習等多種方式加強人才培養，提升館員的網絡安全防護意識和業務技能以為圖書館的網絡信息安全工作提供人才支持。

參考文獻：

［1］ 彭珺，高珺.計算機網絡信息安全及防護策略研究［J］.計算機與數字工程，2011（1）：121-124，178.

［2］ 初景利，段美珍.智慧圖書館與智慧服務［J］.圖書館建設，2018（4）：85-90，95.

［3］ 李勁，張再武，陳佳陽.網絡安全等級保護2.0定級、測評、實施與運維［M］.北京：人民郵電出版社，2021：2-9.

［4］ 郭巍，關興卓.淺談網絡安全等級保護制度在《網絡安全法》作用下的發展［J］.網絡安全技術與應用，2019（5）：18-20.

［5］ 劉欣慧，劉坤峰.法律視角下的圖書館信息安全問題研究［J］.法制與社會，2021（7）：93-94.

［6］ 張賽男，王瑜，劉恩濤，等.高校圖書館網絡安全管理策略研究［J］.圖書館學刊，2020（8）：95-99.

［7］ 劉曉輝.網絡服務器搭建與管理（第3版）［M］.北京：電子工業出版社，2012：447.

［8］ 什么是服務器漏洞？如何發現服務器的漏洞［EB/OL］.［2022-12-21］.https：//www.safedog.cn/news.html？id=4281.

［9］ 張國鋒，段西強，馮斌，等.漏洞掃描與防護：入門與實踐［M］.青島：中國石油大學出版社，2021：131-133.

［10］ 郭錫泉，陳香錫.Web安全漏洞及代碼審計（微課版）［M］.北京：電子工業出版社，2021：115-120.

［11］ 丁振贛.網絡安全與個人信息保護法律實務［M］.深圳：海天出版社，2021：36-38.

［12］ 陸康，劉慧，任貝貝，等.智慧圖書館用戶數據隱私保護研究：基于《中華人民共和國網絡安全法》和《一般數據保護條例》的文本啟示［J］.圖書館理論與實踐，2020（3）：17-21.

（編校：徐黎娟）