公共圖書館網絡安全保障機制探索與思考

摘要：網絡安全保障是公共圖書館建設、發展以及穩定運行的必要條件。通過對公共圖書館網絡安全問題的分析，提出了可通過建立網絡安全管理機制、動態技術防御機制以及政策保障機制等，來提升公共圖書館網絡安全的管理水平。

關鍵詞：公共圖書館；網絡安全；保障機制

中圖分類號：G250.7"" 文獻標識碼：A

DOI：10.13897/j.cnki.hbkjty.2023.0047

隨著公共圖書館在智慧化轉型上逐步探索與實踐，云計算、大數據、人工智能、物聯網、區塊鏈等新興技術與圖書館業務的融合日益緊密，新技術、新業態的出現，提升了公共圖書館的服務能力，卻也帶來了網絡安全風險。在《中華人民共和國網絡安全法》《中華人民共和國公共圖書館法》實施的背景下，網絡安全是公共圖書館建設、發展以及穩定運行的必要條件［1］。將網絡安全保障機制作為公共圖書館的底層架構加以研究與利用，對于持續開展圖書館信息化建設，確保信息系統、網站安全穩定運行以及更好地提供公共文化服務具有重要的意義。

1 公共圖書館網絡安全問題分析

筆者以中國知網數據庫為數據來源，發表時間截至2022年12月31日，主題為“公共圖書館+網絡安全”進行檢索，得到相關文獻95篇，對這些文獻進行研究分析，歸納出公共圖書館普遍存在的網絡安全問題。

1.1 網絡安全管理措施有待提升

孫戈［2］分析了影響公共圖書館網絡安全的各個因素，其中制度是影響因素之一，很多公共圖書館存在“重技術，輕管理”的現象，在公共圖書館發生的網絡安全事故中，很大一部分都是由于制度的缺失造成的。黃珣［3］等通過調查問卷、電話訪談和現場走訪相結合的方式，對江西省17家數字圖書館安全管理現狀進行了調研分析，顯示網絡安全制度建立不完善、管理寬嚴不一，在網絡安全防范方面處于被動狀態。由此可見，公共圖書館網絡安全的管理措施有待提升，應加強對安全管理機制的構建，有針對性地采取管理措施，有效杜絕因管理不到位帶來的網絡安全風險。

1.2 網絡安全技術防御思路有待轉變

宋欣［4］等人提到圖書館網絡規模日益擴大，拓撲結構日益復雜，安全問題也日益突出；吳玉靈［5］通過調查發現，我國許多公共圖書館存在網絡安全防護防御手段單一、風險感知滯后、缺乏聯動部署機制、缺乏可視化展示等問題。因此，公共圖書館的網絡安全防御思路需要進行轉變，強化動態防御的概念，尤其考慮安全預警、監測及防護機制，規避網絡安全風險滯后等問題。

1.3 網絡安全業內政策保障有待完善

張立新［6］等研究了圖書館信息安全存在的問題，提到相關部門不夠重視是其中的問題之一；車盈［7］提到，圖書館存在人員能力不足的問題，圖書館專業人才短缺現象明顯，導致圖書館總體技術防御能力不足；黃珣［3］等論述了資金投入不足是影響江西省圖書館信息安全的因素之一。由此可見，完善公共圖書館的網絡安全業內政策保障機制對于維護圖書館的安全穩定運行具有重要作用。

2 公共圖書館網絡安全保障機制設計

基于公共圖書館網絡安全問題分析，筆者圍繞網絡安全等級保護2.0制度體系，結合多年國家圖書館網絡安全工作經驗，設計了公共圖書館網絡安全保障機制框架圖（見圖1）。首先，公共圖書館應確立網絡安全總體目標；其次，可通過建立安全管理機制、動態技術防御機制以及政策保障機制等，保障公共圖書館的信息化業務在合法合規的前提下，形成動態、持續的網絡安全防護體系。

2.1 安全管理機制

為了有效實施網絡安全管理，公共圖書館需要建立完善的網絡安全管理機制，在此基礎上，將各項網絡安全工作落到實處。安全管理機制包括完善網絡安全規范建設、成立網絡安全組織機構、開展網絡安全監督檢查，并由此建立持續改進的網絡安全管理體系，以降低公共圖書館面臨的網絡安全風險，保障公共圖書館業務正常有序地運作。

2.1.1 健全網絡安全規范建設

標準規范建設是公共圖書館安全管理機制的基石，需要結合圖書館發展的實際情況，制定安全保障體系，使各館在進行信息化建設時能依照現有標準體系進行，同時能按照標準體系開展網絡安全風險評估。公共圖書館的網絡安全規范建設應按照網絡安全等級保護2.0制度體系，各圖書館應對本館現有網絡安全規范進行梳理，查漏補缺，做好建設工作。如制定信息系統賬號密碼管理辦法、備份管理辦法、第三方安全管理辦法等，對圖書館所建信息系統進行規范管理；制定用戶管理辦法、論壇管理辦法等，加強對用戶行為的管理；制定防病毒管理辦法、桌面行為管理辦法等，規范對計算機等終端設備的安全管理。

2.1.2 明確網絡安全組織機構及職責

根據我國網絡安全管理的要求，公共圖書館可

明確網絡安全組織機構及職責，成立網絡安全領導小組，負責指揮、協調、決策圖書館建設中遇到的重大網絡安全工作。定期組織召開網絡安全工作會議，對反映的網絡安全問題進行交流，還可以形成網絡安全專報報送制度，進行內部通告。

2.1.3 實施網絡安全監督檢查

網絡安全監督檢查機制是公共圖書館信息化建設發現問題、解決問題的有效途徑與手段。可重點針對查關鍵時間節點、查關鍵系統網站、查日常工作落實等三個方面建立相關機制。比如，在國家重大活動前夕，開展圖書館的網絡安全監督檢查工作，查找問題及時整改；將互聯網網站、存有讀者信息數據的系統以及電子大屏顯示系統作為重點檢查節點，重點檢查注入漏洞、木馬后門等惡意問題，堅決杜絕網站被篡改的可能；對日常圖書館網絡安全機制運行情況、責任制落實情況、網絡安全應急預案、各系統的網絡安全措施落實情況等進行檢查，不斷提升公共圖書館的網絡安全防護意識和綜合防護水平。

2.1.4 建立持續改進的網絡安全管理體系

國家法律政策、體系，是持續修訂與完善的，因此，公共圖書館網絡安全管理體系建設應是一個持續改進的過程，應根據法律、政策、標準規范，并結合公共圖書館自身業務適時調整已建立的網絡安全管理體系。同時梳理公共圖書館網絡安全的不適用項，進行整改與完善，以期達到一個持續符合國家要求的網絡安全管理體系。

2.2 動態技術防御機制

公共圖書館的信息化建設不是一勞永逸的，因此，在網絡安全防護過程中要時刻關注新型安全問題，形成網絡安全動態技術防御機制，包括安全預警機制、安全監測機制、技術防護機制等。

2.2.1 安全預警機制

安全預警機制的建立可及時針對可能出現的網絡安全問題進行預判，可有效防范網絡安全事件發生。通常可根據預警的內容，分為漏洞預警、攻擊預警、行為預警等，針對操作系統、中間件、軟件應用的風險以及用戶不安全行為進行提前通知，使得公共圖書館信息化管理做到“早發現、早預防”，以便根據發現的問題及時整改，從容地應對可能出現的網絡安全問題。

2.2.2 安全監測機制

在建立安全監測機制前，需要完成公共圖書館信息化資產的梳理工作，建立信息系統、網站、終端、多媒體顯示屏、新媒體小程序等多種信息資產臺賬，根據網絡安全等級保護要求，結合公共圖書館系統服務范圍、數據特點等進行安全等級排序，通過對重點信息化業務的7*24小時監測，預防信息化業務被攻擊、入侵的情況。安全監測一般可分為實時網絡連通性監測、頁面完整性監測、系統日志監測等內容。通過建立圖書館網絡安全集中管理中心，可收集流量特征以及服務、平臺的日志，對信息化資產以及數據流向進行全流程監控，動態感知安全威脅。安全監測機制有利于提升網絡安全事件的響應速度，做到“及時發現、及時處置”，可有效保障公共圖書館信息化業務的安全性。

2.2.3 技術防護機制

網絡安全技術防護應根據公共圖書館信息化的持續建設而動態制定防護策略，包括安全策略優化、訪問控制細化等。在物理安全層面，可通過門禁、機房監控報警系統解決安全威脅問題；在系統安全層面，可通過審計、訪問控制等策略，采取漏掃掃描、滲透測試等技術手段，對操作系統、中間件、用戶、應用等方面進行優化；在數據安全層面，通過加密、信息保護手段，對數據的接入、傳輸、使用、提取、訪問、共享、存儲等方面進行防護，規避數據的非授權訪問；在通信安全層面，通過邊界完整性檢查等措施，防止非法外聯，在一定程度上解決非法攻擊、病毒傳播等問題；在應用安全方面，通過風險評估等方式，進行安全加固，提高應用的可靠性（見表1）。

2.3 政策保障機制

根據我國網絡安全法律法規、標準規范的要求，建立完善的公共圖書館網絡安全政策保障機制，制定省、市、縣等不同等級的網絡安全政策。

建立跨部門協調機制，建立技術規范，形成公共圖書館網絡安全聯合保障網絡，著力解決管理多樣化、運行多元化、技術均衡化等多方面的問題，提升公共圖書館網絡安全整體保障水平。

2.3.1 協同合作機制

協同合作機制是指公共圖書館的網絡安全保障應與各圖書館上級網絡安全主管部門以及第三方專業網絡安全公司形成良好的互相促進、互相配合的工作機制。上級網絡安全主管部門對政策把握更準確，可對公共圖書館網絡安全保障進行良好的指導；第三方專業網絡安全公司有技術防控優勢，可實時掌握最新攻擊手段與方式，提前預警，為公共圖書館信息化建設保駕護航。

2.3.2 專業人員培養機制

專業的網絡安全技術人員是公共圖書館的網絡安全建設的主力軍，充分發揮其技術優勢對于網絡安全管理能力的提升具有積極意義。為建立切實有效的專業人員培養機制，需在人員選拔、培訓、考核等方面不斷深入、完善，力爭使專業技術人員的工作能力充分施展。在人員選拔方面，可以采取持證上崗制度，力爭有針對性地選拔專業技術人才，同時不拘泥于人員引進形式，對于技術精湛的館外專業技術人士可采取“客座專家”等方式，對公共圖書館網絡安全建設提供專業意見建議。

在人員培訓方面，在開展網絡安全基礎知識及技能培訓的基礎上，根據圖書館的發展階段，提供與之相適應的先進技術培訓，注重技術能力培養的同時，也注重提升職業操守和職業素養，打造高素質的圖書館專業網絡安全技術人才。在崗位管理及考核方面，建立有效的崗位管理制度，科學設置專業技術崗位，細化崗位職責，確定考核內容，有針對性地對人員的技術能力進行評定，對于素質高的人員給予激勵，提升人員的工作熱情。

2.3.3 經費保障機制

現在的網絡安全、數據安全已經成為國家安全、文化安全的重要內容。做好網絡安全需要不斷進行技術更迭、設備更新，這些都需要經費的支持。網絡安全建設不是一項一勞永逸的工作，網絡安全新型攻擊、0day漏洞會不斷出現。整體來看，網絡安全建設將是一個長期、動態的過程，需要不停地去完善，同時，可通過加強對預算的管理力度，將預算精細化管理，減少突發情況對預算執行的影響，提高預算資金的有效使用。適時對經費進行績效評價，確定績效評價指標，確保項目成果。

3 結語

在公共圖書館智慧化轉型發展的浪潮中，層出不窮的新技術逐步在圖書館得到應用。在當前嚴峻的網絡安全形勢下，公共圖書館網絡安全問題關系到圖書館能否提供有效安全的公共文化服務，關系到廣大讀者的切身利益，關系到數字文化資源的安全。本文設計了公共圖書館網絡安全保障機制，在確立網絡安全總體目標的基礎上，通過健全網絡安全規范、明確網絡安全組織機構及職責、實施網絡安全監督檢查及建立持續改進的網絡安全管理體系等網絡安全管理機制；通過建立安全預警、監測、防護等動態技術防御機制，以及通過協同合作、人員培養、經費保障等政策保障機制，為公共圖書館建立全面、持續、動態的網絡安全體系提供了思路。

參考文獻

［1］馬海群.《中華人民共和國公共圖書館法》的安全觀［J］.圖書館建設，2018（1）：37-43.

［2］孫戈.公共圖書館網絡信息安全風險與防范策略［J］.圖書館理論與實踐，2018（11）：19-22.

［3］黃珣等.基于硬件底層防御與軟件應用層防護的信息安全實證研究——以江西省數字圖書館為例［J］.企業經濟，2017，36（9）：157-162.

［4］宋欣，劉娜，蘇葉.基于態勢感知的智慧圖書館網絡安全防護體系構建［J］.中華醫學圖書情報雜志，2022，31（3）：70-75.

［5］吳玉靈.智慧圖書館網絡安全態勢感知平臺建設研究［J］.圖書館研究，2022，52（3）：93-100.

［6］張立新，周秀霞，李巍，等.我國數字圖書館信息安全研究綜述［J］.新世紀圖書館，2018（11）：89-93.

［7］車盈.圖書館網絡信息安全防護研究［J］.電子產品可靠性與環境試驗，2022，40（6）：114-116.

作者簡介：路龍惠（1983），女，碩士，國家圖書館副研究館員。研究方向：網絡安全、智慧圖書館。

（收稿日期：2023-02-01 責任編輯：張長安）

Exploration and Thinking of Network Security Guarantee

Mechanism of Smart Library

Lu Long-hui

Abstract：

Network security guarantee is a necessary condition for the construction， development， and stable operation of smart libraries. By analyzing the current situation and problems of network security in smart libraries， it is proposed that the management level of network security in smart libraries can be improved by establishing dynamic defense mechanisms， security management mechanisms， and policy guarantee mechanisms for network security.

Keywords：Smart Library；Network Security；Guarantee Mechanism