薛海潮
(福建省少年儿童图书馆 福建福州 350009)
目前,世界范围内的网络安全形势非常严峻,网络安全正面临着各种各样的新挑战。同时,随着我国信息化发展进入新的阶段,在公共图书馆的信息化建设中,5G、云计算、大数据等移动办公室之类的新技术已经得到了广泛应用。新技术的出现是一柄“双刃剑”,其在推动图书馆信息化进程的同时,也给图书馆的安全带来了新的隐患。公共图书馆的信息化系统常常是面向所有互联网使用者,因此不管何种原因、何种情况而产生的网络安全问题,对各个图书馆来说都是一个巨大的挑战[1-3]。
我国《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)规定,按照保护目标在国家安全、社会秩序、公众利益、公民、公司的法律利益的危害程序,从低到高分为5个安全防护级别,并提出相应的防护要求和施工标准。依据公共图书馆的特点,可将其网络安全分级为第二级和第三来开展保护工作。
在物理层面上的保护,指的是对网络物理环境展开相应的保护,在机房的设计和建造方面,需要遵守国家有关的标准,其中包括物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、温湿度控制、供电等重要内容[4-5]。
在网络层次上,主要从网络通信、接入等角度对网络进行防护。要确保网络的边界存取是可控制的,对越界存取与资料流动必须在受控的情况与监督下进行。应该对启动和运行的网络装置与系统的软件进行可靠校验,并在受到攻击时发出警报。
主机级防护,主要是防护网络中的服务器主机。必须安装反病毒程序,设置安全防护策略,并且要经常进行更新。
在应用层面上,可以对登录网络和系统的用户进行身份识别,身份识别信息应该具备一定的复杂性,并且需要经常进行更新,还应该具备登录失败后的处理方式。
在数据层面上,主要是为保证网络中的信息的完整性与灾难恢复。对传送中的关键信息进行验证,确保其信息的完整,并对其进行整体或局部的备份与还原。
伴随着新一轮科技革命的快速发展,公共图书馆逐渐将大数据、智能化等技术引入服务中,从而带来日益严重的网络安全问题。例如:封丘县图书馆在2018年因没有做好网络安全防护工作而受到黑客的袭击,导致网页被篡改,对社会造成十分恶劣的影响。
2.1.1 黑客技术提升
黑客入侵技术的极大提升,对其跟踪、防护的难度也大大增加。在网络技术不断进步的今天,黑客的攻击方式越来越多样,最常用的攻击方式有暴力破解、远程控制、钓鱼、信息监听、木马病毒等,一旦入侵进入服务器,就构成网络的入侵者。公共图书馆作为一个开放性的公共服务场所,它也是一个极易受到黑客攻击的目标,如果没有足够的网络安全保护意识和安全设备以及技术更新,就不能应对目前情况下复杂的网络入侵威胁。
2.1.2 公共图书馆的服务领域在扩大,智能技术在更新公共图书馆的信息化建设在过去的20 多年中得到广泛应用,尤其是RFID 自助借还、信用借阅等新的服务方式,给广大的读者带来更多的便利。然而,目前在公共图书馆中,如“手机+RFID”等智能应用大多侧重于功能性的实现,但是对于网络的安全与隐私保护问题,目前尚缺乏深入研究。为实现免押金、免证件的便利化,图书馆与第三方机构进行了协作,实行信用借书业务。在实现信息资源共享、财务结算等方面,存在着信息资源的泄漏等问题。在这种情况下,图书馆与金融、商业的融合面临着更加严峻的挑战。
在十多年发展过程中,在国家实施的一系列文化惠民工程的推动下,各大图书馆也开始大力发展数字资源,建设一批更高质量发展且具有特色的地方资源,且加强馆藏古籍的数字化建设,具有十分重要的社会与经济价值。目前,各大公共图书馆一般都配有自动化系统,该系统主要用于为读者办理证件、借阅、预约等各项服务业务功能,系统内储存了大量读者的个人信息和借阅记录。各个公共图书馆一般建设有大小不一的自建数据库和所购买的商业数据库。因此,在上述背景下,数据安全便成为目前保障公共文化服务平稳运行的重要内容。而目前公共图书馆在信息化建设中依旧存在一定的安全问题,影响着其安全运行的效果。
2.2.1 信息系统较为复杂
进入21世纪,各个公共图书馆的信息化项目建设多数是以国家实施全国文化信息资源的共享工程等“三大工程”为契机大力发展起来的,这些公共图书馆的信息化建设和自建资源库的建设有着较为良好的成效。但是这些公共图书馆多数由不同的项目负责人加以建设,不同系统的建设年代不同,因此导致其所使用的技术手段存在较大差异,在系统整合与数据融合上还存在较大的难度。上述这些情况也导致公共图书馆目前的信息系统十分繁杂,给更多网络威胁带来了可乘之机。
2.2.2 运维手段存在一定限制
目前,多数的公共图书馆均配备了实体服务器、虚拟服务器和网络与安全设备,目的是保障图书馆的网络安全。但是这些设备的运维与监控均是由工作人员使用原始手段进行定期实施,这样的方法已经和现代信息化运维的主流方法脱节,也难以在设备发生故障的第一时间来知晓和解决,也给整个图书馆系统的安全性与稳定性带来更多的不确定性。
2.2.3 设备存在老化严重的问题
随着近些年国家在数字化建设方面的投入逐渐增大,各级图书馆的建设方向开始朝着宣传活动和资源建设倾斜,但是各级图书馆的网络和服务器等一些基础设施的更新不多,难以跟上目前业务发展的实际需求。以某图书馆为例,其网络交换机、服务器和存储设备普遍都还是7~10年前的产品,运算能力与稳定性已经难以匹配目前的业务模式和要求,厂家也不再支持相关的配件更换和维修服务,更没有相关运营资金的投入,经常出现故障,十分影响该图书馆和全省资源共享工程服务的延续性。
基于上述研究,需要结合现有情况和网络安全保护的要求来明确如何去开展公共图书馆的网络信息安全保护,本文结合相关资料总结与分析,总结出以下内容。
对网络进行定级是确保其安全性级别的第一项工作,通常情况下,将其划分为5个级别,从1级到5级的防护级别逐步提升。公共图书馆的信息系统,具体包括业务统计系统、数字图书馆和网络等内容[6],所以需要结合相关的定级保护指南对图书馆的信息系统安全等级进行分析与确定,并且提请上级主管部门加以审批。
在确定公共图书馆的信息系统的级别以后,要向当地公安部门进行登记,并将信息系统的基础资料与网络拓扑结构图提交给公安部门,由公安部门进行审查,对满足定级要求的信息系统进行分级防护的资料备案。
在对图书馆信息系统进行定级和备案之后,图书馆可以以自主购买的方式,或是以公开招标的方式,来对其进行等级的测评。拥有相应资质的测评机构,要按国家的标准进行现场测评,最后给出对该信息系统的安全等级测评报告和不合理之处的整改方案。其中,评定的结果分为合格、基本合格和不合格3 种情况,通常情况下,只要能满足基本合格的条件就可以通过评定。
图书馆的信息安全系统在经过上述3 个步骤之后,就能根据测评结果和改进计划来建立自己的信息安全体系。在这段时期内,所选用的设备应该是以国内著名的品牌为主,保证在产品安全的情况下对设备后续技术的支撑和发展,以便能够在问题出现后,能够及时提供相应的解决办法[7]。除此之外,在建立公共图书馆信息系统过程中,还应该对警务部门提出一些建议,尤其是在实名认证、数据实时交换等问题上,警务部门可以提出具体的技术解决办法。
在对图书馆信息安全系统建设相关技术问题进行整改之后,由公安部门对其整改进行督导和检查,要求公共图书馆在协助公安部门进行核查的过程中,必须提交有关网络安全的证据。在检查合格之后,整个信息系统便可投入日常运行中,随后还需注意日常的维护和检修,保障图书馆的信息安全系统能顺利、长期运行。
基于上述公共图书馆信息化项目建设所存在的问题,与网络安全等级要求等方面的内容分析,本文主要从技术层面进行详细分析。
在公共图书馆网络系统中,中心机房是该系统的操作枢纽,进出计算机室的工作人员必须进行身份验证。在中心机房中,除了必须配备的安全设备、网络设备和存储备份设备、精密空调设备和UPS 设备等设备外,还必须配备灭火器、防水、防雷和温湿度检测功能的动力环境监控系统,可以通过电话、短信和网络等进行实时报警,确保安全隐患得到及时发现和处理。
在图书馆网络系统中,设置具有防火墙、IDS入侵检测功能的设备,防火墙按照最低限度进行设置,并对防火墙所需要的端口和服务进行调整。例如:网站系统仅开放80 端口;将SQL 数据库1433 端口更改为1588;关闭3389 远程连接服务;等等。利用IDSIDS 的特征图谱,对潜在的潜在威胁进行及时的探测,并按危险等级对特定IP进行屏蔽,从而降低黑客攻击的危险性[8]。可以通过身份证、电话短信和微信等方式来进行实名验证。配置上网行为系统(网络审核)装置,对用户的上网行为进行跟踪。
中心开关支持虚拟局域网,服务器、电子阅览、无线网络等将虚拟局域网分成多个虚拟局域网,各虚拟局域网之间建立对应的安全存取机制。对IP 进行严格的把控,避免未经许可的用户擅自进入图书馆的内网。与图书馆系统连接的外网,如总分馆和城市街区图书馆都应使用VPN,以避开与BIS 的直接联系。运用云守护、云预警等智能技术和技术手段,可以实现24 h实时预警,并对其进行快速响应。同时,也可以通过大数据和专家的手动分析,来进行高危风险的辨识,减少检测和反应的时间。
要保证图书馆网络主机的安全性,就要求要配置一台网络安全堡垒机,所有用户都要从堡垒机登录到主机上,对每个使用者的权限进行合理的配置,只有设定IP的特殊人员才能登录;不允许使用某些高危险的公开网站登录。此外,还可以对系统进行升级,开启主操作系统层次的防火墙,并将135、445 等敲诈病毒的端口全部关掉,防止病毒从本地网络中侵入,安装分布式的防木马和病毒相关软件。在网站系统中,应该配置WAF等抗篡改设备或软件,在网站开发的技术水平上,采用静态的HTML页面,以避免SQL植入漏洞的发生[9]。而TELNET 所维持的端口也需要被关掉,利用SSH密码的方式来实现远程登录。
中央电脑应设置资料库稽核系统,以纪录资料库作业的每个指令,并制定数据备份策略,做好异地备份和定时备份,具备数据快速恢复能力。在实践中,使用SECONDCOPY系统可以实现对不同地区、不同类型计算机的实时数据备份,而且开销也很小。在信息化建设中,超级融合虚拟化服务器得到了广泛应用。将存储、计算、网络三者有机地结合在一起,具备主机、虚拟平台、虚拟机三方的故障监控和HA能力,当网络出现故障时会自动地向其他节点转移,具有自动重启、快速重建、业务连续性等特性,能够快速地进行系统的部署和数据的修复,并将对数据造成的破坏降到最低。
公共图书馆应加强数据库登录用户名和密码的加强,图书馆业务统计系统 INTERLIB数据库在安装时,80%的用户名和密码是同一的,这是一个高危的问题,因此密码的设置应为“大小写字母+数字+符号”的8位以上的混合符号。为确保计算机的可持续运转和数据的安全性,在中央计算机上设置双机热备系统进行数据备份。在发生安全事件时,为用户提供必要的信息修复和重构服务。所有的网络日志、数据库日志和审核日志要保留至少半年,如果设备没有足够的空间,可以配置一个外部的数据中心来存储数据。
在保证安全的基础上,图书馆可构建个性化的服务模型,使读者能够获得更加方便的信息。在数字出版的资讯快速更新的前提下开展个性化的服务,图书馆能够根据使用者的要求对资讯进行更新,将有关资讯单元的资讯进行搜集和整合,将经过甄别后的高品质资讯提供给需要者;使用者仅需透过网络上的资讯平台,即可订购相关的信息服务。
与此同时,伴随着智能技术的持续发展,个人化的服务还可以将其扩展到一般的用户群体中,当用户在数字平台上进行了搜索之后,一定会有一些数据被保留下来,而检索系统能够以用户的浏览数据为基础,对这些数据进行分析。对用户所关心的信息内容进行理解,并适时推出与之相对应的优质信息,提升了用户的检索体验,并在一定程度上实现了智能化检索,对加快读者检索信息的效率起到很好的促进作用。
以公共图书馆馆藏为依托,开展网络学习与咨询服务,可以满足社会各方面对知识的需要。在实际的信息化建设过程中,可以采用对馆藏内容进行优化、制定分类学习和培训清单等方法,让用户足不出户就能学习到相关的知识,这种模式与我国创建全民学习型社会的发展目标相一致。此外,通过构建网络学习平台,还可以扩大读者之间的交流和学习的空间,还可以采用聘请专家的方式,解决用户在阅读过程中遇到的问题。其不仅可以有效地提高图书馆信息资源的利用效率,还可以使读者更加深入地了解有关知识。
综上所述,在公共图书馆的信息化项目建设过程中,对公共图书馆进行信息安全级别保护,既是公共图书馆信息安全工作的前提和基础,也是公共信息安全工作的重要组成部分。在国家有关的网络安全级别的防护技术中,对防护工作也有较高要求。因此,公共图书馆必须强化对网络安全机构的组织和领导能力,对网络安全的开发建设给予足够的关注,并以地方图书馆的具体需求和要求为基础,对网络安全级别进行评估,保障在技术上能够切实维护公共图书馆的信息安全。