公共图书馆网络安全等级保护工作要求及具体措施

收稿日期:2021-04-02

作者简介：陈天文(1980 ㊀)，潍坊市图书馆副研究馆员；高洪臻(1977 ㊀)，潍坊市图书馆馆员㊂

陈天文，高洪臻

(潍坊市图书馆，山东潍坊㊀261061)

关键词：网络系统；安全保护；等级测评；图书馆网站；图书馆业务管理系统

摘㊀要：文章基于公共图书馆业务管理系统和网站，简述了公共图书馆的网络安全现状，阐述了开展网络安全等级保护工作的步骤，从技术和管理两个方面提出了保障网络安全的具体措施，以期为公共图书馆加强网络安全等级保护提供参考㊂中图分类号:G251

文献标识码:A

文章编号:1003-1588(2021)05-0009-03

1㊀背景

㊀㊀我国公共图书馆自20世纪90年代逐步实现了采访㊁编目㊁流通的自动化管理,2001年开始先后启动了文化信息资源共享工程㊁数字图书馆推广工程㊁电子阅览室建设工程,2019年将三大工程整合为公共数字文化服务工程，集图书馆业务管理自动化㊁数字图书馆㊁电子阅览室㊁总分馆等若干系统为一体的智能综合网络系统已成为图书馆业务运行的神经中枢㊂公共图书馆网络系统保存了大量的读者信息㊁图书信息㊁借阅信息及海量数字资源，如果受到攻击和破坏，业务将全线瘫痪，因此，网络安全已成为公共图书馆网络建设和管理的重要工作㊂当前，我国公共图书馆大多只在网络入口处安装了具有NAT 转换功能的防火墙，而在入侵检测㊁防病毒㊁服务器防护㊁数据安全等方面没有制订完整的解决方案，尤其是基层公共图书馆的网络系统存在很大的安全隐患㊂

㊀㊀‘中华人民共和国安全法“从国家层面提出了网络安全的总体要求，其中明确要求实行网络等级保护制度，网络运营者要履行网络安全保护义务㊂‘信息安全等级保护管理办法“对信息安全等级保护的实施和管理提出了具体方案㊂公共图书馆应根据国家法律法规，结合自身特点开展信息安全等级保护工作，保证图书馆网络系统的安全稳定㊂2㊀公共图书馆的网络安全现状

㊀㊀随着新一轮技术革命的加速推进，公共图书馆为实现数字化㊁智能化服务逐步引入大数据㊁智能化等技术，随之而来的是越来越严峻的网络安全形势㊂2018年，封丘县图书馆由于未采取有效网络安全防范措施，网站遭到恶意攻击，网页被篡改，造成了恶劣的社会影响㊂

2.1㊀黑客入侵技术不断升级，更加难以追踪㊀㊀随着网络技术的发展，黑客入侵的手段也变得更加多样化，常见的有暴力破解㊁远程控制㊁网络钓鱼㊁信息监听㊁木马病毒等，在感染服务器主机的同时变成网络攻击者，网络安全防御总是被动应对㊂公共图书馆作为开放性的公共服务场所，也是黑客入侵的潜在目标，网络安全防护意识不强㊁安全设备配备不到位㊁技术更新不及时将无法应对当前形势复杂的网络入侵威胁㊂

2.2㊀公共图书馆服务范围不断延伸，智能化技术不断更迭

㊀㊀公共图书馆的信息化建设经过20多年发展，网络化㊁智能化技术已经普遍应用于各个工作环节，特别是RFID 自助借还㊁信用借阅等新型服务方式为广大读者提供了更加便捷的阅读服务㊂但是，当前公共图书馆的手机+RFID 等智能化应用主要考虑其功能实现，在安全性㊁隐私性等方面缺乏相应的研

第41卷第5期河南图书馆学刊2021年5月

㊀

究㊂为实现免押金㊁免办证等便民服务，公共图书馆与第三方合作开展了信用借阅服务，图书馆业务管理系统在与第三方应用系统对接过程中，数据同步与共享以及金融支付功能增大了数据泄露的风险，这对公共图书馆业务与金融功能融合的网络安全提出了更高要求㊂

3㊀公共图书馆开展信息安全等级保护工作的步骤

3.1㊀系统定级

㊀㊀网络安全等级保护工作的首要环节是定级[1]㊂网络信息系统安全等级分为五级，一级防护水平最低，最高等级为五级㊂公共图书馆的信息系统包括业务管理系统㊁网站㊁数字图书馆等，公共图书馆应依据‘信息系统安全等级保护定级指南“分析与确定本馆信息系统的安全等级，同时提请上级主管部门审批㊂

3.2㊀备案

㊀㊀公共图书馆确定信息系统等级后，应到所在地公安机关备案，提交信息系统基本情况说明㊁网络拓扑结构图等材料，公安机关审核后对符合定级要求的信息系统颁发等级保护备案证明㊂

3.3㊀开展等级测评

㊀㊀公共图书馆通过招标㊁自主采购等方式开展等级测评工作，具有相关资质的测评机构按国家标准进行实地测评，最终出具信息系统安全等级测评报告和整改方案㊂等级测评结论包括符合㊁基本符合㊁不符合三种，达到基本符合标准要求即通过等级测评㊂3.4㊀系统安全建设

㊀㊀公共图书馆依据测评报告和整改方案建设信息安全系统，信息安全设备应优先选择国产知名品牌，在产品安全的前提下保障设备的后续技术支持，以便出现问题时能够第一时间予以解决㊂此外，公共图书馆在信息系统建设过程中还应特别重视公安部门的意见和建议，尤其是在实名认证㊁数据实时交换等方面，公安部门能够提供详细的技术方案㊂

3.5㊀监督检查

㊀㊀公共图书馆完成信息系统整改后，公安机关会对安全整改情况进行检查和监督，公共图书馆在接受公安机关安全检查指导的同时，还应根据要求提供相关的网络安全材料㊂

4㊀公共图书馆落实信息安全等级保护工作的具体措施

4.1㊀技术方面㊀

4.1.1㊀物理安全㊂中心机房是公共图书馆网络管理系统的中枢，需做好机房出入人员登记工作㊂中心机房除需配备安全设备㊁网络设备㊁存储备份设备㊁UPS设备㊁精密空调外，还需配备具有防火㊁防

水㊁防雷以及温湿度检测功能的动力环境监控系统，能够通过电话㊁短信㊁网络等实时报警，保证及时发现和处理安全隐患㊂

4.1.2㊀网络安全㊂网络边界需部署具有防火墙㊁IDS入侵检测功能的设备，防火墙遵循最小化安装规则，只开放业务需要的端口及服务并修改缺省端口，如：网站系统只开放80端口㊁SQL数据库1433端口改为1588㊁关闭3389远程连接服务等；通过IDS入侵检测系统的识别特征库实时检测可能的入侵风险，并根据风险程度封锁指定IP连接，可以有效减少被暴力破解的风险；公用无线网络接入实现实名认证，可以通过身份证㊁电话短信以及微信实现实名认证；配备上网行为管理(网络审计)设备，追溯用户的上网行为，做到事后可查；核心交换机启用VLAN，服务器㊁电子阅览㊁无线网络等划分不同的VLAN，不同VLAN间设置相应的安全访问策略；规范IP管理，防止未授权设备私自接入内部网络；与图书馆网络系统联网的外部网络，如总分馆㊁城市街区图书馆采用VPN连接，避免业务信息系统直接通过互联网连接；部署云守护㊁云预警等智能技术，依靠技术手段实现24小时实时预警，快速响应，同时依托大数据分析和专家人工分析识别高危风险，缩短入侵事件的发现和响应时间㊂

4.1.3㊀主机安全㊂保障主机安全需配备网络安全堡垒机，所有管理员必须通过堡垒机登录主机设备；合理分配用户权限，只允许指定IP的管理员登录，禁止通过风险较大的公用网络登录；及时更新系统补丁，在主机操作系统层面启用防火墙，关闭

陈天文，高洪臻：公共图书馆网络安全等级保护工作要求及具体措施

135㊁445等勒索病毒端口，防止通过局域网入侵，安装分布式防病毒㊁防木马软件；网站系统应部署WAF 等防篡改设备或软件，在网站开发技术层面

采用静态HTML 页面，避免出现SQL 注入漏洞；关闭TELNET 维护端口，使用SSH 加密方式进行远程登录㊂

4.1.4㊀数据安全㊂中心机房要配备数据库审计功能，记录数据库操作的每一个命令；科学规划数

据的备份策略，做好异地备份㊁定时备份并具备数据快速恢复能力，在实践中可通过SECONDCOPY 软件低成本实现异地异机的实时备份㊂超融合虚拟化服务器在信息系统建设中已被普通应用，超融合一体机集存储㊁计算㊁网络于一体，具有主机㊁虚拟平台㊁虚拟机多方故障监测和HA 功能，宕机后自动迁移到其他节点，具有自动重启㊁快速重建㊁业务连续性等特点，可以快速实现系统部署与数据恢复，最大限度减少数据的损坏㊂公共图书馆应加强数据库登录用户名和密码管理，图书馆业务管理

系统INTERLIB 数据库在安装过程中有80%的用户名和密码相同，存在高危风险，密码设置应为大小写字母+数字+符号的8位以上的混合符号㊂中心机房还应部署双机热备系统，保证系统的可持续运行及数据安全；购买网络安全保险以应对出现安全事故后数据的恢复与重建；所有网络㊁数据库日志与审计日志留存不少于六个月，若设备空间不足，可部署一台服务器安装外置数据中心保存数据㊂4.2㊀管理方面㊀

4.2.1㊀安全管理制度㊂公共图书馆需制定信息系统安全总体方针和策略，建立安全管理制度及操作规程，如：按网络等级保护测评要求建立网络软硬件设备采购管理制度㊁机房安全管理制度㊁安全事件应急管理制度㊁中心机房管理员操作守则等各项规章制度，并在日常工作中规范组织实施㊂

4.2.2㊀安全管理部门㊂公共图书馆的安全管理部门负责信息系统的日常安全工作，定期检查系统运行日志㊁漏洞㊁备份等，安全管理部门人员包括主管负责人㊁直接责任人和安全管理员㊂通常情况下，主管负责人是分管网络技术业务的馆长，直接责任人是技术部主任，安全管理员是技术人员㊂

4.2.3㊀人员安全管理㊂公共图书馆可通过安全教育培训增强工作人员的安全保密意识，入职㊁离职人员需签订保密协议，尤其是流动频率较高的第三方派遣技术人员；按系统㊁级别等设置不同的管理员操作权限；与第三方技术服务商签订安全服务协议，特别是提供远程维护的服务商，做到各负其责㊁操作规范㊁有据可查㊂

4.2.4㊀系统运维管理㊂公共图书馆需制订信息系统应急预案，每年组织一次应急演练和培训；每日定时对机房各区域环境状况及设备运行状况进行巡查，填写机房日常巡检记录，发现问题及时处理，避免因未及时发现设备故障出现业务中断㊁数据丢失等情况㊂

5㊀结语

㊀㊀综上所述，开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容[2]，也是公共图书馆正常开展业务工作的基础和前提㊂2019年5月发布的‘网络安全等级保护技术“2.0版本增加了风险评估㊁安全检测㊁通报预警㊁安全事件处置㊁漏洞风险管理等内容[3]，对网络安全等级保护工作提出了更高的要求㊂公共图书馆应加强网络安全机构的组织领导，重视网络安全建设工作，结合本馆实际情况开展信息安全等级保护测评工作，定期开展网络安全教育培训，提升工作人员的安全意识和技术水平，在日常管理和维护过程中做到精准分析㊁提前预防㊁措施得当，最大限度地避免发生网络安全事故㊂参考文献:

[1]㊀徐震.网络安全等级保护：从1.0到2.0[J ].保密工

作,2019(7):63-64.

[2]㊀何占博，王颖，刘军.我国网络安全等级保护现状与

2.0标准体系研究[J ].信息技术与网络安全,2019

(3):9-14.

[3]㊀徐佳瑾，刘刚.网络安全等级保护工作中的定级与备

案[J ].电子技术与软件工程,2019(16):192-193.

(编校：徐黎娟)

1陈天文，高洪臻：公共图书馆网络安全等级保护工作要求及具体措施

更多推荐

图书馆,网络,工作