◆梁愛梅

基于等級保護的公共圖書館網(wǎng)絡(luò)安全實施建議

◆梁愛梅

（國家圖書館 北京 100081）

公共圖書館實現(xiàn)數(shù)字化、網(wǎng)絡(luò)化的同時帶來網(wǎng)絡(luò)安全問題，結(jié)合目前我國網(wǎng)絡(luò)安全等級保護制度發(fā)展現(xiàn)狀，淺析網(wǎng)絡(luò)安全等級保護對公共圖書館的重要意義，闡述在此基礎(chǔ)上公共圖書館的網(wǎng)絡(luò)安全工作實施建議。

公共圖書館；網(wǎng)絡(luò)安全；等級保護

信息技術(shù)的飛速發(fā)展，使人類快步進入一個前所未有的數(shù)字化社會，圖書館作為公共文化服務(wù)的重要陣地，信息資源的存儲與傳播中心，具有高度的開放性。隨著我國相繼推出的全國文化信息資源共享工程、數(shù)字圖書館推廣工程、公共電子閱覽室建設(shè)等三大惠民工程，公共圖書館已實現(xiàn)數(shù)字化、網(wǎng)絡(luò)化，給讀者帶來更多便利的同時，也存在著網(wǎng)絡(luò)安全問題。我國出臺一系列網(wǎng)絡(luò)安全等級保護相關(guān)的法律法規(guī)、政策規(guī)范及標(biāo)準(zhǔn)體系，不斷加強等級保護建設(shè)。公共圖書館開展等級保護是網(wǎng)絡(luò)安全工作的重要內(nèi)容，也是加強網(wǎng)絡(luò)安全的重要手段。

1 網(wǎng)絡(luò)安全等級保護介紹

1.1 等級保護基本概念

等級保護的思想可以追溯到20世紀(jì)60年代美國軍方文件保密制度[1]，美國國防部為適應(yīng)軍事信息系統(tǒng)保密要求提出了《可信計算機系統(tǒng)評估標(biāo)準(zhǔn)》。2004年，我國公安部發(fā)布文件《關(guān)于信息安全等級保護工作的實施意見》，給出了信息安全等級保護的概念，即對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

1.2 我國網(wǎng)絡(luò)安全等級保護發(fā)展歷程

1994年，以國務(wù)院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》為開端，確定了我國計算機信息系統(tǒng)實行安全等級保護。2007年，公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室頒布《信息系統(tǒng)等級保護管理辦法》，明確了等級保護工作的具體內(nèi)容，即定級、備案、等級測評、安全建設(shè)整改以及監(jiān)督檢查，并對各項工作的實施提供了一系列參考的政策文件及標(biāo)準(zhǔn)等，推動了等保工作的貫徹落實。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，第21條明確指出國家實行網(wǎng)絡(luò)安全等級保護制度，等級保護制度是網(wǎng)絡(luò)安全領(lǐng)域的基本政策、基本制度，是各行業(yè)及企事業(yè)單位開展網(wǎng)絡(luò)安全保障工作的基本方法，對于維護國家安全、社會秩序和公共利益具有重要保障意義。為配合網(wǎng)絡(luò)安全法，適應(yīng)云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護工作的開展，等保制度2.0應(yīng)運而生?！缎畔⑾到y(tǒng)等級保護管理辦法》從部門規(guī)章提升為法律要求《網(wǎng)絡(luò)安全等級保護條例》，作為等保工作的總要求，將構(gòu)造全新的等級保護基本制度體系。目前，《網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）等一系列標(biāo)準(zhǔn)也相繼出臺并逐步正式執(zhí)行。在保護對象、保護范圍也都根據(jù)現(xiàn)狀做了調(diào)整，更注重全方位主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護，實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護對象全覆蓋，以及除個人及家庭自建網(wǎng)絡(luò)之外的領(lǐng)域全覆蓋。網(wǎng)絡(luò)安全等級保護制度2.0國家標(biāo)準(zhǔn)的發(fā)布，對加強我國網(wǎng)絡(luò)安全保障工作，提升網(wǎng)絡(luò)安全保護能力具有重要意義。

2 公共圖書館的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全

公共圖書館作為公共文化服務(wù)的重要陣地，信息資源的存儲與傳播中心，具有高度的開放性。隨著數(shù)字圖書館工程、數(shù)字圖書館推廣工程等重大國家級工程的實施，公共圖書館大力推進信息化建設(shè)。以省級館為例，貴州省圖書館建立完善的網(wǎng)絡(luò)環(huán)境，館內(nèi)信息點500個，接入500M光纖專線，建成40余個數(shù)據(jù)庫，資源總量超過150TB[2]。截至2018年12月，廣西壯族自治區(qū)圖書館網(wǎng)絡(luò)帶寬達705M，讀者計算機終端420臺，數(shù)字資源近212.4TB[3]。

當(dāng)今的公共圖書館已經(jīng)實現(xiàn)網(wǎng)絡(luò)化、信息化、數(shù)字化，隨之而來的安全風(fēng)險及隱患也不斷增加，目前公共圖書館已經(jīng)意識到網(wǎng)絡(luò)安全問題的重要性，但網(wǎng)絡(luò)安全建設(shè)存在一些主要問題。

（1）網(wǎng)絡(luò)安全建設(shè)的滯后性。各單位重視網(wǎng)絡(luò)及信息系統(tǒng)的建設(shè)，往往對于安全問題考慮不周，在系統(tǒng)建設(shè)之初未將網(wǎng)絡(luò)安全建設(shè)作為重要工作，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)運行之后出現(xiàn)設(shè)計漏洞、安全風(fēng)險等問題。但因系統(tǒng)已正常運行，如果修復(fù)漏洞或做安全限制往往存在系統(tǒng)無法正常運行的風(fēng)險，對于發(fā)現(xiàn)的漏洞處理往往投鼠忌器。

（2）制度不健全，落實不徹底。對于網(wǎng)絡(luò)安全日常管理工作，如計算機機房出入管理、安全設(shè)備管理及信息系統(tǒng)運維等，沒有形成完善的工作制度，或者有制度不能依制執(zhí)行，責(zé)任落實不到位。

（3）硬件設(shè)備、人員技術(shù)水平有限。各館在網(wǎng)絡(luò)結(jié)構(gòu)中部署了防火墻、入侵防御系統(tǒng)等安全設(shè)備，具備了基礎(chǔ)的防護手段，但隨著攻擊手段的不斷變化，傳統(tǒng)的安全防護設(shè)備無法應(yīng)對新型攻擊。在安全設(shè)備在上架之后，管理人員長期不做配置變更、軟件庫不做更新，且管理人員技術(shù)水平有限，在運維管理工作中無法及時應(yīng)對各種問題。

3 公共圖書館的網(wǎng)絡(luò)安全實施建議

公共圖書館開展等級保護工作是網(wǎng)絡(luò)安全工作的重要內(nèi)容，也是加強網(wǎng)絡(luò)安全的重要手段。依據(jù)對網(wǎng)絡(luò)安全等級保護制度及目前公共圖書館網(wǎng)絡(luò)安全的現(xiàn)狀，對網(wǎng)絡(luò)安全工作的實施提出以下建議。

3.1 統(tǒng)籌網(wǎng)絡(luò)安全規(guī)劃，制定貫徹落實方案

網(wǎng)絡(luò)安全等級保護基本要求中，對第一級到第四級的保護對象做了較為全面的要求，涵蓋網(wǎng)絡(luò)安全工作的管理層面和技術(shù)層面。公共圖書館在建立信息系統(tǒng)或其他等保對象體系時，應(yīng)將網(wǎng)絡(luò)安全同步建設(shè)、同步規(guī)劃，在合理定級之后，按照各級的具體要求，制定符合各館實際情況的方案。

3.2 加強對網(wǎng)絡(luò)安全的重視程度，加強機構(gòu)、人員、經(jīng)費、裝備等的投入

網(wǎng)絡(luò)安全符合“木桶規(guī)則”，最薄弱的環(huán)節(jié)決定了整體的信息安全防護能力。等級保護制度也體現(xiàn)了該思想，在測評之后，有針對性地對不合規(guī)的點進行整改。因此，加強公共圖書館的網(wǎng)絡(luò)安全，需要采取從硬件到軟件、從制度到人員的全方位有效措施，包括對相關(guān)軟硬件設(shè)備進行保護，保障基礎(chǔ)設(shè)施不受破壞，保證數(shù)據(jù)信息的完整性、保密性，確保網(wǎng)絡(luò)及信息系統(tǒng)安全穩(wěn)定運行，網(wǎng)絡(luò)信息服務(wù)不中斷等，加強網(wǎng)絡(luò)安全考核評價、責(zé)任落實和工作措施的落實，最終保障圖書館業(yè)務(wù)的順利開展。

3.3 積極開展合作，共同提升網(wǎng)絡(luò)安全水平

各公共圖書館的網(wǎng)絡(luò)及信息系統(tǒng)建設(shè)具有一定的共性，應(yīng)積極加強各館之間的溝通，建立一套公共圖書館網(wǎng)絡(luò)實際現(xiàn)狀的安全運行管理體系。國家網(wǎng)絡(luò)安全等級保護工作協(xié)調(diào)小組辦公室對等級保護測評機構(gòu)進行推薦，安全技術(shù)公司也會提供全生命周期的等級保護解決方案。公共圖書館應(yīng)加強與公安機關(guān)、科研機構(gòu)、安全公司的合作，積極關(guān)注實時網(wǎng)絡(luò)安全技術(shù)，尋求更先進的技術(shù)支持。

3.4 確保網(wǎng)絡(luò)安全工作的持續(xù)性

網(wǎng)絡(luò)安全是一個動態(tài)持續(xù)改進的循環(huán)過程，是一項長期的工作。等級保護制度也對保護對象的測評有周期性的要求，如第三級以上系統(tǒng)要求每年開展一次測評。公共圖書館在完成系統(tǒng)測評之后應(yīng)正視差距的存在，積極應(yīng)對整改，持續(xù)提升網(wǎng)絡(luò)安全防護能力。

4 結(jié)語

網(wǎng)絡(luò)安全問題關(guān)系到圖書館能否提供有效安全的公眾文化服務(wù)，關(guān)系到廣大讀者的利益，關(guān)系到民族文化的傳承。公共圖書館網(wǎng)絡(luò)安全是現(xiàn)代圖書館面臨的重大挑戰(zhàn)，做好圖書館網(wǎng)絡(luò)安全工作，是當(dāng)代圖書館人肩負(fù)的重要責(zé)任，具有重要意義。公共圖書館應(yīng)以網(wǎng)絡(luò)安全法、等級保護制度2.0為契機，以網(wǎng)絡(luò)安全等級保護制度為抓手，整合資源，推動網(wǎng)絡(luò)安全更上一個新臺階。

[1]何占博，王穎，劉軍.我國網(wǎng)絡(luò)安全等級保護現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究.[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019（3）：9-14.

[2]http://www.gzlib.com.cn/about.asp?id=179.

[3]http://www.gxlib.org.cn/upload/201908/20/201908201456204223.pdf.