法治环境下公共图书馆网站信息安全防护实证策略研究

(江西省图书馆，江西 南昌 330046)

习近平总书记在中央网络安全和信息化领导小组第一次会议上强调，要抓紧制订立法规划，完善互联网信息内容管理、关键信息基础设施保护等法律法规，依法治理网络空间，维护公民合法权益[1]。网站信息安全既涉及网站所属单位或集体的重要数据信息，又在一定程度上影响其对外的公众名誉和形象。公共图书馆网站作为拥有读者隐私身份信息与文化遗产的公共访问平台，包含重要数据资源，做好公共图书馆网站信息安全的防护尤为重要。

1 公共图书馆网站信息安全的法治大环境

公共图书馆网站信息安全的法治大环境主要有3个，分别是《中华人民共和国公共文化服务保障法》《中华人民共和国网络安全法》和《中华人民共和国公共图书馆法》。《中华人民共和国公共文化服务保障法》第二十二条规定，要依法配备安全保护设备和人员，保障公共文化设施和公众活动安全[2]。《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度，要按照网络安全等级保护制度的要求，履行包含制定安全制度、确定安全责任人、保留网络日志、数据备份和加密要求等在内的安全保护义务；第二十五条规定，网络运营者应当制订网络安全事件应急预案，及时处置各类安全风险，建立应急预案机制，采取补救措施；第五十九条规定，对违反以上条款的运营单位的直接负责人给予警告和罚款处罚[3]。《中华人民共和国公共图书馆法》第二十九条规定,公共图书馆应当定期对其设施设备进行检查维护，确保正常运行；第四十三条规定,公共图书馆应当妥善保护读者的个人借阅隐私信息；第五十条规定，如有违反以上条款，直接责任人和直接负责的主管人员均要受到相应处罚，情节严重的还要追究刑事责任[4]。

2 网站信息安全案例分析

表1展示了部分省直事业单位网站信息安全的相关违法案例，其违法内容主要涉及SQL注入、XSS跨站脚本、webshell网页后门等高危漏洞，未对网站进行等级保护备案、网络日志留存时间不达标等。

表1 部分省直事业单位网站信息安全违法案例

经过分析，不难发现，以上案例的法律依据主要来源于《中华人民共和国网络安全法》第二十一条和第五十九条。根据《中华人民共和国网络安全法》第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月；(四)采取数据分类、重要数据备份和加密等措施；(五)法律、行政法规规定的其他义务。根据《中华人民共和国网络安全法》第五十九条第一款规定，对于构成未按规定履行网络安全等级测评义务的，依法对该单位给予警告处罚并责令其改正。

3 公共图书馆网站信息安全防护存在的问题思考

根据前文提到的网站信息安全违法案例，结合公共图书馆行业网站信息安全的服务现状，笔者提出公共图书馆网站信息安全防护存在的问题和不足。

3.1 传统低成本的违法处罚思想根深蒂固

许多公共图书馆主体理所应当地认为公共图书馆作为公益性服务机构，网站安全不过是件皮毛小事，即使出了问题，也不会存在特别严重的处罚。这种侥幸思想的存在已有将近一百年时光，殊不知，随着我国法律法规的不断健全和完善，公共图书馆的各项管理与服务都将步入正轨。

3.2 网站信息安全防护意识不强

公共图书馆网站就是该馆的一张网络名片，一旦遭到黑客攻击并出现类似于数据篡改、数据泄漏等事件，将严重影响公共图书馆的形象和声誉，更有甚者造成该馆数以万计的读者身份信息数据的泄漏，后果将不堪设想。

3.3 传统网站信息安全防护策略捉襟见肘

随着科学信息技术的不断发展，黑客领域的攻击手段和途径也在不断演变和升级，黑客攻击方式由传统的DDOS攻击、网页SQL注入、web跨站脚本攻击、局域网ARP攻击变为新型的缓冲区溢出攻击、0day漏洞攻击、网页挖矿木马等，传统网站信息安全防护策略已经难以抵御全新的黑客攻击方式。

3.4 网站信息安全防护人才匮乏

笔者通过电话访问与网络问卷的方式调查分析了2018年上半年某省域公共图书馆的网站信息安全管理现状，发现所有被调查的11家市级基层公共图书馆中，有10家配备至少1名网站信息安全维护人员，有1家配备的网站信息安全维护人员只负责联系相关技术公司进行维护。所有被调查的县级公共图书馆中，有80%的基层公共图书馆没有配备专门的网站信息安全维护人员，20%的基层图书馆虽有配备人员，但其网站信息安全防护能力极为薄弱。

3.5 网站信息安全预警感知能力滞后

网站信息安全预警是指公共图书馆在本馆网站即将遭到黑客入侵或攻击前的警告，预警感知能力的强度高低决定了它是否能有效阻断黑客继续入侵并进一步获取图书馆相关敏感数据信息。笔者通过问卷调查发现某省市级公共图书馆在2018年上半年网站信息安全事件共有35起，安全事件类别主要有网站存在SQL注入漏洞、网站被黑客植入恶意代码、网站被植入挖矿木马，资源耗尽导致页面无响应、网站安全策略被篡改等。在所有网站信息安全事件中，有11起事件由图书馆技术负责部门检测发现，有18起事件由读者或其他部门馆员发现，有6起事件由省公安厅网络安全部门或省网络与信息化安全指挥应急指挥中心检测发现。

3.6 过度依赖公有云数据安全平台

近年来，公有云服务凭借着数据安全可靠、性价比高的特征属性在企业、政府以及地方事业单位等各大行业中得到广泛应用。用户将原本架设在本地的关键或非关键业务服务“上云”，通过“云端”最专业的团队来帮助管理和运维系统，实现业务价值管理的最大化效益。例如，目前我国已经有多家公共图书馆将本馆的网站从本地迁移到公有云上，并通过公有云发布互联网服务。随着时间的推移，公有云平台数据的绝对安全被提出质疑。2018年北京一家从微信公众号起家的“前沿数控”公司因腾讯云硬盘数据意外丢失导致网站停运向腾讯云索赔千万，并通过官方微博发布文章“腾讯云给一家创业公司带来的灾难”。

4 法治环境下公共图书馆网站信息安全防护策略

针对网站信息安全存在的诸多问题，笔者从建立网站信息安全管理制度，构建网站信息安全人员组织体系，开展等级保护定级备案，构建基于攻击检测、攻击防护和攻击溯源的网站信息安全攻防体系，培养网站信息安全人才，建立基于大数据分析的网站信息安全态势感知平台和培养网站信息安全人才等方面提出应对防护策略。

4.1 建立和完善网站信息安全管理相关制度

公共图书馆网站信息安全需要建立制度来保障与其相关的各项工作顺利开展[5]。表2列举了公共图书馆网站信息安全管理的相关制度，主要有网站信息安全责任追究制度、网站信息数据安全管理制度、网站信息安全应急预案响应制度、网站信息安全宣传培训制度、网站信息安全等级保护年度考核制度、网站信息安全工作经费预算保障制度、网站信息安全设备产品安全可控制度等。

建立并完善公共图书馆网站信息安全管理的制度能够极大改变传统网站无章可循、模棱两可的管理模式，在网站信息安全防护上，实行有法可依、有法必依的法治化格局，严格按照公共图书馆网站信息安全各项制度行事，保障公共图书馆网站的服务器设备安全、各类文化数字遗产资源安全和读者敏感数据安全。

表2 公共图书馆网站信息安全管理制度名称及其功能

4.2 构建网站信息安全人员组织体系

公共图书馆网站信息安全的管理，归根结底是人员的管理。通过设立公共图书馆网站信息安全领导小组(领导人员决策层)、网站信息安全信息化办公室(中层干部协调层)、网站信息安全技术支持中心(技术馆员落实层)的三层架构，构建公共图书馆网站信息安全防护的人员组织体系[7]。明确各层级的职责和功能，建立网站信息安全责任处罚奖惩制度，责任到人，做到“谁管理，谁负责”。增加网站信息安全事件处罚成本，切实提高公共图书馆网站信息安全防护工作落实的效率。

在职责分工上，公共图书馆网站信息安全领导小组负责公共图书馆网站信息安全工作的领导和重大事项的决策；网站信息安全信息化办公室负责统筹安排网站信息安全工作的任务，对网站信息安全的管理与组织进行沟通协调，并向上级领导汇报和负责；网站信息安全技术支持中心作为公共图书馆网站信息安全的技术支持，直接执行网站信息安全信息化办公室分配的任务，并向上级领导汇报和负责。详细人员分配见图1所示。

图1 公共图书馆网站信息安全人员组织体系架构

4.3 开展网站等级保护定级备案工作

定级和备案是网站安全等级保护工作的初始环节，也是网络运营者开展等级保护工作的基础，更是网络运营者履行等级保护义务的直接体现[8]。在前述事业单位存在网站管理上的违法案例中，有的遭到黑客的入侵，有的甚至丢失了重要数据信息。一定程度上是由于没有重视开展网站信息安全系统等级保护的定级备案工作。对于没有进行网站备案定级工作的单位，因无法出具定级备案证明，公安机关无法判定该网络系统是否属于重要信息系统、关键信息基础设施的情况，一方面给公安机关立案侦查带来不便，另一方面也导致网络运营者因未履行安全管理义务而被追责。

公共图书馆应当按照《计算机信息系统安全保护条例》和《互联网信息服务管理办法》《信息安全等级保护管理办法》等现行法律法规，落实网站等级保护备案工作，选择正规的第三方网站信息安全等级测评机构，定期对网站信息安全系统安全等级状况开展等级测评。第三方测评机构应当出具测评报告，并出具测评结果通知书，明示网站信息系统安全等级及测评结果。图2显示了网站信息安全等级保护定级备案与测评的工作流程。

图2 网站信息安全等级保护定级备案与测评工作流程

4.4 构建基于攻击检测、攻击防护与攻击溯源的网站信息安全攻防体系

(1)攻击检测。网站安全攻击检测的项目内容主要有SQL注入、XSS跨站脚本、网页植入木马、缓冲区溢出、文件上传漏洞、隐藏目录泄露、数据库泄露、弱口令、后台管理地址泄露等。攻击检测途径主要有两种方式：一种是通过在线网站安全检测。常见在线网站安全检测网站有“网站安全狗在线检测”“EeSafe网站安全联盟在线检测”“站长工具在线网站安全检测”。另一种则是通过网站安全防护软件工具检测。常见的有：“WebShellkiller网站后门检测工具”、“Netsparker网站安全扫描工具”(它能够有效检测SQL注入和跨脚本访问类型的安全漏洞)。

(2)攻击防护。通过建立基于硬件设备防护和软件安全策略防御，实现网站信息安全防护壁垒。网站安全硬件设备防护。常见的硬件固件级防护设备主要有：防火墙设备、安全路由器设备、IDS类设备(入侵检测系统)、IPS类设备(入侵防御系统)、WAF设备(网站应用防火墙)、DDOS防御设备(分布式拒绝服务)、DBSS类设备(数据库安全服务设备)[9]。防火墙设备是网站防护的第一道防线，所有从计算机流入和流出的网络通信数据包都要经过防火墙，防火墙通过访问控制列表、验证工具、包过滤和应用网关保护公共图书馆内网用户免受外界非法入侵；IDS类设备部署在网络边界旁路用于提供安全报告和事后监督；IPS类设备解决了IDS不能阻断网络访问的问题，同时也解决了传统防火墙只能工作在OSI四层以下的问题，常被串联至主干路上，对内外网异常流量进行监督处理；WAF类设备工作在应用层，可用于解决诸如防火墙类传统设备束手无策的Web应用安全问题；DDOS防御设备用于对网络流量的清洗，它能实现对正常流量的放行和对攻击流量的有效拦截。图3为网站信息安全硬件基础防护设备拓扑图，表3是常见的网站信息安全软件防护策略。

图3 网站信息安全硬件基础防护设备拓扑图

名称软件安全策略网站后台/服务器口令设置拒绝采用基于弱口令的密码认证管理0day漏洞定期修复web服务器安全漏洞和其他网站信息安全漏洞数据泄露通过VPN隧道加密技术实现读者用户身份信息数据加密传输CC攻击禁止网站代理访问,尽量将网站做成静态页面,限制连接数量,修改最大超时时间等端口扫描设置web服务器防火墙放行策略,仅对需要使用的端口放行,或在实体防火墙上做端口映射SQL注入/XSS跨站脚本优化页面代码,通过正则表达式进行非法字符过滤网页挂马通过服务器安全狗以及网站安全狗相关软件进行主动防御

(3)攻击溯源。《中华人民共和国网络安全法》第二十一条明确规定，网站运营主体应当采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月。公共图书馆可以通过防火墙、高性能路由器以及windows系统下IIS(Internet信息服务)自带的日志保存功能对网站信息安全相关日志进行保存，通过上网行为管理以及堡垒机等网络安全设备对用户与维护人员的操作日志进行审计，便于日后协助公安部门开展故障排查与责任追究工作。

4.5 建立基于大数据的网站信息安全态势感知平台

越来越多的实践案例表明，在没有网站态势感知防护手段的情况下，攻击从发生到治理完成平均需要32天，如果不能提前感知并且及时预防，产生的损失将不可估量。公共图书馆网站可以根据网站实时安全、历史安全、网站环境和攻击风险多个维度建立网站安全威胁指标体系[10]。利用关联分析、数据挖掘、机器学习和威胁情报技术，融合分析设备告警日志、服务器系统日志、网络流量日志，形成公共图书馆网站信息安全的大数据。充分利用公共图书馆网站的大数据，从硬件防护、软件防护、数据采集、大数据分析、数据挖掘、风险评估以及可视化展示等多个维度共同构成网站信息安全态势感知平台(如图4所示)。

图4 基于大数据的网站信息安全态势感知平台图

4.6 培养网站信息安全人才

公共图书馆网站信息安全防护人才的建设，关键在于培养。每一个具有良好网站管理的机构背后都有一批能够解决实际网站安全问题的技术型人才。在网站信息安全技术人才培养上，一要加强公共图书馆网站安全管理的职业培训。通过定期组织和参加最新的网络安全、网站安全、信息安全以及信息管理知识的培训，进一步提高图书馆网站工作人员独立建设网站、管理网站和维护网站的能力。二要强化技术支撑保障工作。密切联系专业的网站安全公司或者地方网络与信息化安全事件应急指挥中心以及信息安全测评中心，申请网站信息安全专业人员进行技术指导，协助完成图书馆网站安全漏洞的修复与整改，进一步增强本馆网站信息安全人员的实践经验。三要完善网站安全专业人才的职称认定。建议政府部门对网站安全人才颁发初级、中级和高级的职称认证书，通过专业测试对网络安全人才进行必要的评价，从而充分调动提高网站安全人才专业学习的积极性。