高校图书馆网站信息安全等级保护研究

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，信息安全等级保护制度早在1999年就已经被提出，并在之后不断修订和完善，所涉及的部门也从早先的公安部，扩展为公安部、国家保密局、国家密码管理局、国务院信息化办公室。

2016年11月7日，全国人民代表大会常务委员会发布《中华人民共和国网络安全法》，并于2017年6月1日起正式实施。安全法第二十一条规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改，并对具体安全保护义务作出解释说明。

2.2　校园网络安全现状分析

近年来，随着信息技术的不断发展，校园网络安全事件时有发生。由于校园网络所汇集的主体以学生

高校图书馆网站信息安全等级保护研究

袁锦波　余育仁　刘悦如

[摘　要]　信息安全等级保护是国家实行的信息安全保障体系建设的重要组成部分。实施信息安全等级保护有利于工作人员采取系统、科学、规范的管理和技术保障措施，保障图书馆信息资源和各项服务正常运行。本文介绍了同济大学图书馆网站信息安全等级保护建设，并以此分析高校图书馆目前存在的信息

安全问题并提出一些对策。[关键词]　图书馆网站　信息安全等级保护　网络安全

Research on Information Security Classified Protection in University Library Website

Yuan Jinbo,Yu Yuren,Liu Yueru

[Abstract]　Information security classified protection is an important part of the construction of the information security system implemented by the country. The implementation of the classified protection facilitates us taking systematic, scientific and standardized management, as well as technical safeguard adoptions to ensure the normal operation of library information resources and services. This study introduces the construction of Information security classified protection for the T ongji University library website, and analyzes the current problems of information security in college libraries and proposes some solutions.

[Key word]　Library website;Information security classified protection;Internet safety

1　引　言

近年来，随着高校信息化建设的不断发展，几乎所有的高校图书馆都拥有自己的门户网站，为全校师生提供资源共享和信息交流。图书馆网站的日常维护中由于安全意识薄弱、资金欠缺等因素，往往

存在重技术、轻安全、轻管理等方面的问题。随着信息技术的不断发展，网络用户的不断增长，图书馆网站所承担的角色也更加多元化，在这样的背景下，图书馆网站要有一系列专业的、有效的措施来保障信息安全。教育部办公厅曾于2009年和2011年两次发文，要求教育信息系统做好信息安全等级保护工作。本文基于同济大学图书馆网站信息安全等级保护建设工作，对高校图书馆进行信息安全等级保护工作进行研究分析，并提出高校图书馆网站安全的一些建议，希望有所借鉴。

2　信息安全等级保护工作背景及意义

2.1　国家政策法规

110技术应用

为主，这一群体受教育程度高，接受新鲜事物能力强，求知欲旺盛。同时，校园网所承载的信息包含师生的个人信息、学校重要数据资料、研究结果等，重要程度比较高，一旦遭受校园内部或外部的攻击，就容易发生校园网络安全事故发生，轻则影响校园网络正常运行，重则造成学校重要数据丢失、损坏、泄露。2.3　图书馆实施等级保护工作的实际意义

基于国家政策法规和近几年校园网络安全事件频发这一背景，校园信息系统纷纷实施信息安全等级保护建设，图书馆主页系统作为整个学校信息系统的重要一环，实施信息安全等级保护建设是很有必要的。信息安全等级保护建设工作一方面是响应国家政策，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。另一方面，在实施过程中，安全管理人员可以对照信息安全等级保护的相关标准，对自身网络系统进行查漏补缺，对信息系统的物理环境、应用安全、运维管理等方面进行全方位、细致化地检查整改，以达到信息系统数据防泄漏、页面防篡改、业务防中断的要求。图书馆主页系统做好相关的信息安全工作，对于读者来说，在使用图书馆的海量资源和优质服务时，不用担心个人的数据会泄露；对于图书馆本身来说，不仅可以保障图书馆信息业务的正常开展，也为读者在使用图书馆海量文献资源和各项优质服务的过程中保驾护航。

3　系统安全等级保护建设内容

信息安全等级保护工作分为五个阶段：定级、备案、安全建设和整改、信息安全等级测评、信息安全检查。在实际测评工作中，定级和备案主要是收集信息、填写相关材料，完成定级报告和备案表，并交由公安进行备案申请。根据实际情况，安全建设整改和安全等级测评会有多次，一般会先由被测评单位进行安全建设，随后由测评单位对系统进行安全测评，并根据测评结果提出安全整改意见，被测评单位根据整改意见对系统再次进行安全整改，直至信息安全等级测评合格。最后信息安全检查，通过之后，测评单位完成《信息系统安全等级测评报告》交由公安，公安会根据报告情况签发备案证明。

3.1　物理设施安全加固

3.1.1　机房物理设施排查

图书馆机房环境及系统所在网络环境是系统信息安全的基础，机房物理环境要求机房应选择在具有防震、防风和防雨的建筑内，同时机房应具备防盗窃、防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应设计等功能。

3.1.2　网络结构及设备情况梳理

图书馆网络结构依托于学校网络中心，属于学校网络结构下的一个子网络，因此对于网络结构及设备的安全情况，需要考虑学校整体网络安全情况。

同济大学图书馆主页系统的网络结构由三个部分组成：服务器区、核心区、外联区。同时，三个区域所在的物理位置并不相同，所以需要根据实际情况，对三个区域内的网络设备进行检查、校对，确保整个网络结构安全、有效。同时，针对各节点上的服务器进行排查，安装杀毒软件并及时进行更新维护操作，有效地保障了网络信息安全。

3.2　系统应用安全建设

3.2.1　SQL防注入处理

SQL注入是一种将SQL代码添加到输入参数中，传递到SQL服务器解析并执行的一种攻击手法。SQL注入一般通过表单提交等方式，将恶意的SQL 命令插入到表单中，并提交给服务器，最终欺骗服务器达到执行恶意SQL命令的目的。常用的SQL防注入手段一般有以下几种：严格检查输入变量的类型和格式，过滤和转义特殊字符，利用预编译机制等。

同济大学图书馆主页系统在数据库SQL防注入处理上，采取了过滤和转义特殊字符的措施，同时对登录数据库系统的用户进行身份鉴别、访问控制、安

111 Library Development

全审计等加固措施。这一系列的处理方法可以有效地保障数据库的安全，防止数据泄露、篡改。

3.2.2　HTTPS访问模式配置

HTTPS （Hyper Text Transfer Protocol over Secure Socket Layer）是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL 层，HTTPS 的安全基础是 SSL证书，因此加密的详细内容就需要 SSL。

根据信息安全等级保护要求，为保障系统信息安全，网站必须使用HTTPS访问。同济大学图书馆主页系统根据实际情况，完成了SSL证书申请、SSL 证书配置的相关工作。

3.2.3　防篡改功能设置

页面防篡改是信息安全等级保护三防（数据防泄漏、页面防篡改、业务防中断）要求之一。同济大学图书馆主页系统使用Web应用防护系统来进行页面防篡改配置。Web应用防护系统（Web Application Firewall，简称WAF），是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF的页面防篡改模块，可以将需要保护的网站目录进行镜像备份，同时对网站进行检测，一旦发现网站文件有篡改，则予以报警并恢复。

3.3 信息安全管理制度完善

目前，高校图书馆的日常信息安全工作一般由学校授权网络信息中心负责。学校制定信息安全总体方针和策略，并依据信息安全的目标、范围、原则、框架制定一系列相关的安全管理制度。

根据信息安全等级保护要求，基于学校网络中心信息安全的相关制度，图书馆完善了网络与信息安全管理制度，对信息资产、介质、设备、网络安全、系统安全、恶意代码防范、系统变更、备份恢复、安全事件处置和应急预案进行了明确的规定。同时，图书馆依据学校人事处对学校工作人员安全

管理的相关规定，完善了信息管理员的相关制度，对信息管理员的日常运维、入职、离岗等方面进行规定。

4　高校图书馆网络系统安全保障措施建议

4.1　物理设施安全建设加强

目前，大部分高校图书馆都拥有自己的机房，用于存放服务器、网络设备等硬件设备用于承载图书馆各类平台、网站、数据库等信息数据，同时配有机房空调设施、UPS等设备以保障机房基础运行。总体而言，图书馆的物理设施能够满足图书馆的日常业务需要和基本信息安全要求，但对照信息安全等级保护要求，其仍有比较大的完善空间。

4.1.1　核心设备冗余备份

由于资金欠缺、机房空间限制等问题，图书馆信息化建设无法对机房所有硬件设备进行冗余备份，但相关的核心设备应在尽可能的范围内做到冗余，如核心交换机、核心应用服务器、核心网络安全设备、核心UPS等硬件，以便在核心设备发生故障的时候，可以及时地切换，避免业务中断。

4.1.2　服务器安全监控

图书馆的系统、网站、数据库等信息资源往往都部署在机房服务器上，因此，服务器的安全尤为重要，一方面通过精密空调来实时监控机房温湿度，以确保机房物理环境恒温恒湿，另一方面服务器也需要安装杀毒防护软件等相应措施来确保服务器不受病毒、木马等恶意攻击。

4.1.3　机房消防设施配备

机房应配有专业的消防设施，内部应当配有消防感应器和灭火器等消防设备，外部应有相对应的消防通道，消防灭火等设施。同时，针对这些消防设施，应做到定期巡检，以确保消防设施安全可靠。

4.2 系统应用及网络安全防护加固

4.2.1　网站安全访问模式配置

目前，国内高校图书馆网站大部分仍采用HTTP 访问，这一访问方式由于在数据传输过程中没有进行任何的加密，故而容易被窃听、攻击。因此，信息安

112袁锦波　余育仁　刘悦如：高校图书馆网站信息安全等级保护研究

全等级保护中要求网站访问必须使用HTTPS访问。HTTPS访问模式需要在网站服务器上安装SSL证书，通过证书加密，使得用户在访问过程中，数据得以加密进行传输，大大增加了数据的隐私性和安全性。同时，网站的安全也能得到很好的保障。

4.2.2　系统数据库安全策略完善

数据库是一个系统网站用来存放关键数据的核心组成部分，数据库的安全策略直接关系到整个系统的信息安全，因此，在部署网站或者系统的过程中，要做好数据库安全策略工作。例如，强化数据库密码策略，加强用户口令长度与复杂度要求；限制可登录数据库的管理终端地址，仅允许特定的地址访问；将操作系统与数据库管理员分权管理；做好数据库备份工作，并定期进行巡检，制定数据库应急预案。

4.2.3　网站页面防篡改

网站页面防篡改是对于网站安全最基本的要求之一，稍有疏忽，很容易造成学校、图书馆形象受损，重要数据丢失、泄露等严重后果。因此，在部署网站的过程中，要做好页面防篡改的设置。目前，比较常用的是在网络安全设备中进行页面防篡改的设置，将网站内容进行镜像备份，一旦发现页面有被篡改的嫌疑，则进行报警并还原，也可以购买专业的页面防篡改系统，来对网站进行保护。

4.3　健全长效安全管理机制

没有规矩，不成方圆，高校图书馆往往重视技术的创新和发展，忽视信息安全和管理制度的重要性。一套完整的、有效的、便于实行的信息安全管理制度是保障信息安全的重要措施，信息安全管理制度应覆盖制度管理、人员及机构管理、系统建设管理、运维管理等方面。

4.3.1　安全管理制度完善

目前高校的信息安全管理制度一般由学校信息中心负责，图书馆应当严格遵守学校信息中心指定的信息安全管理制度，并根据自己的实际情况进行补充和完善，同时应该在全馆范围内进行相关工作的宣传，以确保安全管理制度能够切实有效地实施。

4.3.2　管理人员安全意识培养

维护图书馆网络安全不仅仅是信息管理员的责任，更应该是每一个图书馆馆员和读者的责任，应该加强馆员信息安全意识的培养，同时要在新生教育中加入相关的培训工作，遵守相关的信息安全管理制度，养成良好的网络行为规范，提高网络安全防范意识，制定信息安全教育和培训计划，对相关人员进行信息安全知识和岗位操作规范等培训。

5　结　论

随着信息化时代的高速发展，网络已成为人们工作、生活必不可缺的一部分，由此而引发的网络安全问题，也应当愈加引起人们的重视。作为在高校中承担文献信息保障中心的功能的图书馆，一方面要努力提高文献信息的质量和数量，以供不同学科方向的师生提供最有效的教学和科研支持，另一方面，在共享文献信息资源、存储重要科研数据的过程中，也要确保信息数据的安全、可靠，使读者能够获得最完整、最安全、最便捷的文献信息资源。为此，信息安全的建设应该刻不容缓。

刘玉燕.高校信息安全等级保护评测[J].信息技术, 2011(2):117-118,121.

王长全，艾　雰.云计算时代的数字图书馆信息安全思考

[J].图书馆建设,2010(1):50-52.

杨　柳.互联网环境下公共图书馆开展等级保护工作的探

析与研究——以省级图书馆为例[J].科技风,2019(8):254.

王　炜.高校信息安全等级保护研究[J].青年时代, 2018(23):208-209.

参考文献：

[1]

[2]

[3]

[4]

[作者简介]