国际图联关于网络安全的声明

2022年2月，国际图书馆协会与机构联合会（International Federation of Library Associations and Institutions，IFLA）管理委员会批准通过了一项有关网络安全的新声明。这一声明由IFLA总部和信息技术部门共同起草完成，探讨了网络安全在图书馆工作中的重要意义，阐述了图书馆领域有关网络安全的关键概念和原则，并就图书馆、政府、图书馆协会和教育工作者如何帮助图书馆用户和员工建立一个更安全的数字环境提出了建议。

网络安全及其对图书馆的重要性

网络安全的定义聚焦于保护网络、设备和数据免受未经授权的访问和/或使用。与之密切相关的是确保信息的保密性、完整性和可用性。更广泛的数字安全概念超越了技术或者犯罪的范畴，考虑了更多经济和社会方面的因素。网络安全的标准以信息系统的组件为中心：

·关键应用程序

·支持应用程序的服务器和设备（数据中心等）

·支持系统的网络的安全性

·软件开发、变更控制和部署的安全性

·“最终用户”或客户端环境

以上都与图书馆的网络安全息息相关，尽管不是所有的图书馆都对他们所使用系统的组件拥有相同水平的控制能力。图书馆位于不同的制度环境中，其网络安全政策通常由管理机构的总体政策决定。

例如，图书馆通常在基础设施运营管理方面作用有限，主要涉及最终用户或客户端环境，同时在图书馆系统和服务提供的选择、执行、培训和管理方面发挥关键作用。

图书馆参与或宣传的关键领域

图书馆通过自身的行动或影响他人的行动，希望在以下领域促进网络安全：

·保护图书馆系统免受网络安全风险和威胁，以便持续提供服务

·确保图书馆用户在使用图书馆系统时免受互联网威胁

·保护用户信息隐私

图书馆在提供互联网访问时，有法律或其他方面的义务，确保这一访问不会被用来伤害他人。同样的，图书馆也需要采取措施保证用户不会使用图书馆系统或资源参与网络犯罪活动，遵从图书馆许可的使用政策。

更积极的意义在于，鉴于用户同样会使用图书馆以外的互联网接入其他信息系统，因此有机会通过数字扫盲计划促进更广泛的安全使用服务行为和协议。

在网络安全和保护隐私之间寻找平衡

当然，促进网络安全并非没有争议。识别潜在风险的行为可能会与保护图书馆用户和他人隐私的行为发生冲突。

例如，图书馆可能需要通过技术手段来强制执行一些被认可的使用政策，或者与更广泛的互联网用户共同接受政府安全部门的监管。在这种情况下，重要的是要保持现有规则和工具的透明，以便为用户提供合理选择的机会。

当然，在另外一些方面，网络安全策略和保护隐私的目标也可以结合在一起。例如，如果图书馆一开始就不存储不必要的个人数据，并确保对存储的数据进行适当的加密，则可以将通过网络攻击丢失个人数据的风险降至最低。

对可采取行动的建议

因此，IFLA提出以下建议。

如果图书馆对自己的信息系统负有（部分或全部）责任，图书馆应该：

·以最小化原则收集和保存数据，包括在规定的时间段后删除使用历史记录。

·在用户使用图书馆系统时使用可用工具保护用户，包括信息安全标准措施、加密网络服务、有效密码和网络会话控制，或应用最小权限原则，同时确保最大程度地保护用户隐私。

·在所有图书馆工作站和服务器上实施端点安全控制。

·在实施工具以监控不当使用或无意威胁的情况时，应以提供最大透明度和尊重隐私的方式进行。

如果图书馆是一个更大机构的组成部分（因此无法控制信息系统的关键组件）或依赖第三方供应商，图书馆应该：

·倡导主办机构采取有效的网络安全措施，同时维护隐私原则，包括促进围绕数据收集和保存的隐私友好型实践。

·鼓励图书馆的第三方供应商实施有意义的网络安全措施，以确保用户在使用图书馆服务时可以规避不可接受的风险。

所有图书馆都应该：

·独立或与主办机构合作（视情况而定）开展以下工作：

◎为使用互联网和其他信息系统制定和发布可接受的使用政策。

◎制定和发布隐私政策，定义收集信息的地点和内容以及信息的使用方式，描述在违规情况下会发生什么。

◎制定并发布网络安全和信息安全政策，定义用于保护图书馆系统并在发生故障时具有复原力的原则和实践。这应该遵循图书馆领域的行业政策和流程规范。

◎确保所有图书馆员工都能够掌握与各自任务相关的网络安全基础知识并予以实施（例如良好的密码策略等）。

◎探索建立用户数字素养的可能性，包括了解如何规避网络风险。

图书馆协会和其他支持组织应该：

·适时提供有关图书馆工作中网络安全的更新和信息，并在可能的情况下提供培训或其他资源的链接。

·考虑与其他参与人员合作，确保人们在线安全。

各国政府应该：

·确保图书馆拥有能够最大限度地提高网络安全的资源和培训能力，投资（包括通过图书馆的）数字扫盲计划，促进在线安全。

·确保更广泛的网络安全政策能够将有效性与对人的尊重（包括个人隐私）结合起来。