基于等级保护的公共图书馆网络安全实施建议

◆梁爱梅

基于等级保护的公共图书馆网络安全实施建议

◆梁爱梅

（国家图书馆 北京 100081）

公共图书馆实现数字化、网络化的同时带来网络安全问题，结合目前我国网络安全等级保护制度发展现状，浅析网络安全等级保护对公共图书馆的重要意义，阐述在此基础上公共图书馆的网络安全工作实施建议。

公共图书馆；网络安全；等级保护

信息技术的飞速发展，使人类快步进入一个前所未有的数字化社会，图书馆作为公共文化服务的重要阵地，信息资源的存储与传播中心，具有高度的开放性。随着我国相继推出的全国文化信息资源共享工程、数字图书馆推广工程、公共电子阅览室建设等三大惠民工程，公共图书馆已实现数字化、网络化，给读者带来更多便利的同时，也存在着网络安全问题。我国出台一系列网络安全等级保护相关的法律法规、政策规范及标准体系，不断加强等级保护建设。公共图书馆开展等级保护是网络安全工作的重要内容，也是加强网络安全的重要手段。

1 网络安全等级保护介绍

1.1 等级保护基本概念

等级保护的思想可以追溯到20世纪60年代美国军方文件保密制度[1]，美国国防部为适应军事信息系统保密要求提出了《可信计算机系统评估标准》。2004年，我国公安部发布文件《关于信息安全等级保护工作的实施意见》，给出了信息安全等级保护的概念，即对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

1.2 我国网络安全等级保护发展历程

1994年，以国务院颁布的《中华人民共和国计算机信息系统安全保护条例》为开端，确定了我国计算机信息系统实行安全等级保护。2007年，公安部、国家保密局、国家密码管理局、国务院信息工作办公室颁布《信息系统等级保护管理办法》，明确了等级保护工作的具体内容，即定级、备案、等级测评、安全建设整改以及监督检查，并对各项工作的实施提供了一系列参考的政策文件及标准等，推动了等保工作的贯彻落实。

2017年6月1日，《中华人民共和国网络安全法》正式实施，第21条明确指出国家实行网络安全等级保护制度，等级保护制度是网络安全领域的基本政策、基本制度，是各行业及企事业单位开展网络安全保障工作的基本方法，对于维护国家安全、社会秩序和公共利益具有重要保障意义。为配合网络安全法，适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展，等保制度2.0应运而生。《信息系统等级保护管理办法》从部门规章提升为法律要求《网络安全等级保护条例》，作为等保工作的总要求，将构造全新的等级保护基本制度体系。目前，《网络安全等级保护基本要求》（GB/T22239-2019）等一系列标准也相继出台并逐步正式执行。在保护对象、保护范围也都根据现状做了调整，更注重全方位主动防御、动态防御、整体防控和精准防护，实现了对云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象全覆盖，以及除个人及家庭自建网络之外的领域全覆盖。网络安全等级保护制度2.0国家标准的发布，对加强我国网络安全保障工作，提升网络安全保护能力具有重要意义。

2 公共图书馆的网络及网络安全

公共图书馆作为公共文化服务的重要阵地，信息资源的存储与传播中心，具有高度的开放性。随着数字图书馆工程、数字图书馆推广工程等重大国家级工程的实施，公共图书馆大力推进信息化建设。以省级馆为例，贵州省图书馆建立完善的网络环境，馆内信息点500个，接入500M光纤专线，建成40余个数据库，资源总量超过150TB[2]。截至2018年12月，广西壮族自治区图书馆网络带宽达705M，读者计算机终端420台，数字资源近212.4TB[3]。

当今的公共图书馆已经实现网络化、信息化、数字化，随之而来的安全风险及隐患也不断增加，目前公共图书馆已经意识到网络安全问题的重要性，但网络安全建设存在一些主要问题。

（1）网络安全建设的滞后性。各单位重视网络及信息系统的建设，往往对于安全问题考虑不周，在系统建设之初未将网络安全建设作为重要工作，导致网络或系统运行之后出现设计漏洞、安全风险等问题。但因系统已正常运行，如果修复漏洞或做安全限制往往存在系统无法正常运行的风险，对于发现的漏洞处理往往投鼠忌器。

（2）制度不健全，落实不彻底。对于网络安全日常管理工作，如计算机机房出入管理、安全设备管理及信息系统运维等，没有形成完善的工作制度，或者有制度不能依制执行，责任落实不到位。

（3）硬件设备、人员技术水平有限。各馆在网络结构中部署了防火墙、入侵防御系统等安全设备，具备了基础的防护手段，但随着攻击手段的不断变化，传统的安全防护设备无法应对新型攻击。在安全设备在上架之后，管理人员长期不做配置变更、软件库不做更新，且管理人员技术水平有限，在运维管理工作中无法及时应对各种问题。

3 公共图书馆的网络安全实施建议

公共图书馆开展等级保护工作是网络安全工作的重要内容，也是加强网络安全的重要手段。依据对网络安全等级保护制度及目前公共图书馆网络安全的现状，对网络安全工作的实施提出以下建议。

3.1 统筹网络安全规划，制定贯彻落实方案

网络安全等级保护基本要求中，对第一级到第四级的保护对象做了较为全面的要求，涵盖网络安全工作的管理层面和技术层面。公共图书馆在建立信息系统或其他等保对象体系时，应将网络安全同步建设、同步规划，在合理定级之后，按照各级的具体要求，制定符合各馆实际情况的方案。

3.2 加强对网络安全的重视程度，加强机构、人员、经费、装备等的投入

网络安全符合“木桶规则”，最薄弱的环节决定了整体的信息安全防护能力。等级保护制度也体现了该思想，在测评之后，有针对性地对不合规的点进行整改。因此，加强公共图书馆的网络安全，需要采取从硬件到软件、从制度到人员的全方位有效措施，包括对相关软硬件设备进行保护，保障基础设施不受破坏，保证数据信息的完整性、保密性，确保网络及信息系统安全稳定运行，网络信息服务不中断等，加强网络安全考核评价、责任落实和工作措施的落实，最终保障图书馆业务的顺利开展。

3.3 积极开展合作，共同提升网络安全水平

各公共图书馆的网络及信息系统建设具有一定的共性，应积极加强各馆之间的沟通，建立一套公共图书馆网络实际现状的安全运行管理体系。国家网络安全等级保护工作协调小组办公室对等级保护测评机构进行推荐，安全技术公司也会提供全生命周期的等级保护解决方案。公共图书馆应加强与公安机关、科研机构、安全公司的合作，积极关注实时网络安全技术，寻求更先进的技术支持。

3.4 确保网络安全工作的持续性

网络安全是一个动态持续改进的循环过程，是一项长期的工作。等级保护制度也对保护对象的测评有周期性的要求，如第三级以上系统要求每年开展一次测评。公共图书馆在完成系统测评之后应正视差距的存在，积极应对整改，持续提升网络安全防护能力。

4 结语

网络安全问题关系到图书馆能否提供有效安全的公众文化服务，关系到广大读者的利益，关系到民族文化的传承。公共图书馆网络安全是现代图书馆面临的重大挑战，做好图书馆网络安全工作，是当代图书馆人肩负的重要责任，具有重要意义。公共图书馆应以网络安全法、等级保护制度2.0为契机，以网络安全等级保护制度为抓手，整合资源，推动网络安全更上一个新台阶。

[1]何占博，王颖，刘军.我国网络安全等级保护现状与2.0标准体系研究.[J].信息技术与网络安全，2019（3）：9-14.

[2]http://www.gzlib.com.cn/about.asp?id=179.

[3]http://www.gxlib.org.cn/upload/201908/20/201908201456204223.pdf.