李大龍，葉 蕊

(萊州市圖書館，山東 萊州 261400)

隨著科技的發(fā)展，人類社會進(jìn)入了一個嶄新的信息化時代，信息技術(shù)改變了人們的工作方式和生活習(xí)慣，為人類帶了極大的便利。但是，我們也必須看到危害信息安全的事件不斷發(fā)生，信息安全形勢異常嚴(yán)峻。信息安全已成為信息時代人類共同面臨的挑戰(zhàn)，而由于專業(yè)人才匱乏、硬件設(shè)施安全性不足、缺乏科學(xué)管理等因素導(dǎo)致的信息安全應(yīng)急管理體系的不完善，使擔(dān)負(fù)著傳承傳統(tǒng)優(yōu)秀文化和社會教育重任的圖書館及其提供的服務(wù)面臨更加嚴(yán)峻的安全威脅。基于此，筆者結(jié)合圖書館實(shí)際，提出相應(yīng)的安全應(yīng)急管理應(yīng)對措施，以期進(jìn)一步促進(jìn)圖書館信息建設(shè)的發(fā)展。

1 圖書館網(wǎng)絡(luò)信息安全現(xiàn)狀

根據(jù)中國互聯(lián)網(wǎng)信息中心(CNNIC)統(tǒng)計，截至2020年3月，我國網(wǎng)民規(guī)模已達(dá)9.04億，互聯(lián)網(wǎng)普及率達(dá)64.5%，手機(jī)網(wǎng)民規(guī)模達(dá)8.97億[1]。手機(jī)和網(wǎng)絡(luò)已逐漸成為人們工作生活中不可或缺的一部分，人與人的溝通打破了地域、空間的限制，我們可以在任何場所、任何地區(qū)、任何國家通過網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)交流，獲取知識、網(wǎng)絡(luò)購物、享受網(wǎng)絡(luò)帶來的快捷和便利。2020年初因受新冠肺炎疫情影響，全國大多數(shù)圖書館推遲開館，讀者活動紛紛改至線上，推動了圖書館線上資源規(guī)模快速增長，與此同時，圖書館服務(wù)受網(wǎng)絡(luò)安全的影響也在迅速增大。

目前，網(wǎng)絡(luò)信息安全問題已成為影響社會發(fā)展的重要因素，病毒破壞、黑客攻擊、網(wǎng)絡(luò)欺詐、數(shù)據(jù)泄露問題屢屢發(fā)生，嚴(yán)重威脅著網(wǎng)民的利益與隱私安全，因此引起了國家領(lǐng)導(dǎo)層的極大重視，2013年，中央成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，由習(xí)近平總書記親自擔(dān)任網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組的組長。由此可見，網(wǎng)絡(luò)安全和信息化已成為事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾生活的重大戰(zhàn)略問題。作為引領(lǐng)先進(jìn)文化方向的重要陣地，圖書館順應(yīng)時代潮流，建立了多種信息化系統(tǒng)，例如：門戶網(wǎng)站、圖書館集群管理系統(tǒng)、信息大數(shù)據(jù)展示系統(tǒng)、門禁系統(tǒng)、自助借還系統(tǒng)、微信公眾號和網(wǎng)上圖書館等。這也給我們圖書館的網(wǎng)絡(luò)信息安全帶了更多挑戰(zhàn)，但由于各個圖書館在人員、技術(shù)、經(jīng)驗等方面的欠缺，完善信息安全應(yīng)急管理機(jī)制亟須各個圖書館的重視。

2 圖書館常見信息安全問題

圖書館常見信息系統(tǒng)安全從縱向上可分為設(shè)備安全、數(shù)據(jù)安全、內(nèi)容安全3個方面。

2.1 設(shè)備安全

設(shè)備安全是信息系統(tǒng)安全的首要問題，其主要包含3個方面：①設(shè)備的穩(wěn)定性，即設(shè)備在一定時間內(nèi)不會出現(xiàn)問題的概率；②設(shè)備的可靠性，即設(shè)備在一定時間內(nèi)能夠正常使用的概率；③設(shè)備的可用性，即設(shè)備隨時可以正常使用的概率。

隨著圖書館信息化建設(shè)的不斷發(fā)展，越來越多電子設(shè)備被使用，這些設(shè)備的使用給圖書館工作帶來了巨大便利，同時也潛藏著各種問題，一旦設(shè)備發(fā)生穩(wěn)定性、可靠性、可用性問題，便會對圖書館的正常服務(wù)造成影響。其中，圖書館信息系統(tǒng)的設(shè)備安全是其他安全的基礎(chǔ)，如果失去了設(shè)備安全這個基礎(chǔ)，信息系統(tǒng)的安全就是一紙空談。對于設(shè)備的任何損壞都會危害到信息系統(tǒng)的安全，例如動物破壞、人為損壞、雷擊、地震、火災(zāi)、澇災(zāi)等都可能造成圖書館設(shè)備的損壞。除了硬件，軟件也可以看作是一種設(shè)備，病毒木馬、后門等都會造成操作系統(tǒng)的破壞，進(jìn)而影響圖書館系統(tǒng)的使用。因此，系統(tǒng)設(shè)備的穩(wěn)定工作是圖書館一切工作的基礎(chǔ)。

2.2 數(shù)據(jù)安全

數(shù)據(jù)安全主要包含三方面：①數(shù)據(jù)的秘密性，即數(shù)據(jù)不被未授權(quán)者知曉；②數(shù)據(jù)的完整性，即數(shù)據(jù)是正確的、真實(shí)的、未被篡改、完整無缺的；③數(shù)據(jù)的可用性，即數(shù)據(jù)可隨時正常使用。

圖書館信息系統(tǒng)包含了大量數(shù)據(jù)，既有讀者的姓名、身份證號、工作單位、聯(lián)系方式等個人信息，又有電子圖書、電子期刊、有聲資源等數(shù)字資源，加之管理人員對圖書館信息系統(tǒng)安全管理不重視，缺乏專業(yè)人員維護(hù)等因素，極易成為網(wǎng)絡(luò)黑客、病毒木馬等進(jìn)行竊取、篡改、復(fù)制、破壞的目標(biāo)。據(jù)瑞星“云安全”系統(tǒng)統(tǒng)計，2019年共截獲勒索軟件樣本174萬個，感染次數(shù)224萬次[2],部分圖書館服務(wù)器也深受其害，直接造成系統(tǒng)無法使用，讀者信息數(shù)據(jù)泄漏，圖書業(yè)務(wù)無法開展?？梢姅?shù)據(jù)安全是圖書館面臨的最常見、最嚴(yán)重的安全問題。

2.3 內(nèi)容安全

內(nèi)容安全是指在政治、法律、道德層次上的安全，即內(nèi)容在政治上是健康的、符合國家法律的，符合傳統(tǒng)優(yōu)良道德觀的。

隨著門戶網(wǎng)站系統(tǒng)和微信、微博的廣泛使用，圖書館信息發(fā)布渠道從傳統(tǒng)的館內(nèi)公告欄一躍上網(wǎng)，給讀者獲取信息帶來了極大便利，但也對圖書館的管理工作提出了新挑戰(zhàn)，如何保證發(fā)布信息不被篡改已成為圖書館管理的新課題。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)統(tǒng)計，2019年監(jiān)測發(fā)現(xiàn)我國被篡改網(wǎng)站185 573個，其中政府網(wǎng)站515個，較2018年底(216個)增長138.4%；被植入后門的網(wǎng)站數(shù)量達(dá)84 850個，較2018年底(23 608個)增長259.4%，其中政府網(wǎng)站數(shù)量達(dá)717個，較2018年底(674個)增長6.4%[1]。由此可見，政府網(wǎng)站被篡改和植入后門的數(shù)量均有較大增長。通常網(wǎng)站被篡改后會被指向到某些賭博、色情等非法網(wǎng)站，對圖書館聲譽(yù)造成重大影響，被植入木馬后門的網(wǎng)站甚至?xí)低迪螺d病毒、木馬等破壞性程序，對圖書館設(shè)備及信息系統(tǒng)造成破壞，影響圖書館服務(wù)的正常開展。

3 圖書信息安全管理應(yīng)對策略

據(jù)綠盟科技統(tǒng)計，互聯(lián)網(wǎng)攻擊入侵事件平均潛伏時間高達(dá)359 d[3]，因此想要做好信息安全系統(tǒng)的防護(hù)工作，必須要從平時抓起。

3.1 科學(xué)規(guī)劃，合理設(shè)計

一個圖書館的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是由物理布線決定的，物理布線線路一旦確定便無法改變，因此在圖書館裝修設(shè)計時就應(yīng)提前做好網(wǎng)絡(luò)規(guī)劃，做到科學(xué)、合理。①提前規(guī)劃好各個科室及設(shè)備要使用哪種網(wǎng)絡(luò)，在哪個位置接入設(shè)備，確定好拓?fù)浣Y(jié)構(gòu)，必要時要預(yù)留備用線路，以防線路損壞后影響正常工作。②合理進(jìn)行VLAN劃分，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大多數(shù)基于網(wǎng)絡(luò)偵聽的入侵。在物理網(wǎng)絡(luò)上根據(jù)用途、工作組、應(yīng)用邏輯，將不同用途網(wǎng)絡(luò)用戶劃分到不同的VLAN中，VLAN中的用戶通過交換機(jī)進(jìn)行通信，一個VLAN中的成員看不到另一個VLAN中的成員，因此可以將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，避免不同用戶之間相互影響和防止可能發(fā)生的非法偵聽。合理進(jìn)行VLAN劃分，可以確保不同類別用戶之間物理隔離，保障服務(wù)器和信息數(shù)據(jù)的安全。

3.2 定期進(jìn)行網(wǎng)絡(luò)系統(tǒng)設(shè)備安全巡檢

網(wǎng)絡(luò)系統(tǒng)設(shè)備的正常運(yùn)轉(zhuǎn)是一個圖書館能否正常運(yùn)轉(zhuǎn)的基礎(chǔ)，網(wǎng)絡(luò)設(shè)備管理的不安全可能會帶來災(zāi)難性的后果，因此要建立巡察制度，定期對設(shè)備進(jìn)行功能性、完整性、安全性檢測。定期對網(wǎng)絡(luò)機(jī)房網(wǎng)線進(jìn)行完整性檢測(檢測是否通暢，有無鼠咬痕跡)，檢查機(jī)房溫度、防火墻、路由器連接是否正常，注意各種漏洞公告，對服務(wù)器進(jìn)行漏洞掃描，及時修復(fù)高危漏洞，定期檢查網(wǎng)絡(luò)端口開放情況，禁用不必要的端口和服務(wù)，對操作系統(tǒng)進(jìn)行病毒檢測，及時發(fā)現(xiàn)解決問題。

3.3 加強(qiáng)從業(yè)人員安全意識培養(yǎng)

信息系統(tǒng)是由人來開發(fā)的，也是為人服務(wù)的。影響系統(tǒng)的安全的因素，除了少數(shù)難以預(yù)知和不可抗力的自然因素外，絕大多數(shù)的安全威脅來自人類自己。如故意對系統(tǒng)進(jìn)行破壞的黑客、病毒、木馬，以及無意識的操作失誤、瀏覽不安全網(wǎng)站、操作系統(tǒng)漏洞未及時修復(fù)、敏感信息或口令泄露等。據(jù)綠盟科技統(tǒng)計，2019年處理的安全事件中，與人和管理相關(guān)的事件合計占總數(shù)的32%[3]。多數(shù)圖書館信息安全問題都是由于人為疏忽導(dǎo)致的。因此，人是影響圖書館信息系統(tǒng)安全的最大因素，人員管理也就成了圖書館信息系統(tǒng)安全管理的關(guān)鍵，全面提高圖書館信息系統(tǒng)相關(guān)人員的技術(shù)水平、道德品質(zhì)和安全意識是圖書館信息系統(tǒng)安全的重要保證。

由于現(xiàn)階段大多數(shù)圖書館都存在工作人員老齡化、圖書館從業(yè)人員信息安全意識淡薄及其電腦系統(tǒng)知識欠缺，需要定期對圖書館工作人員進(jìn)行系統(tǒng)的信息安全知識培訓(xùn)，以減少因人員和管理造成的信息安全事故。信息安全教育和培訓(xùn)的具體內(nèi)容和要求要根據(jù)培訓(xùn)的對象不同而不同，主要包括法規(guī)教育、安全技術(shù)教育和安全意識教育等。

法規(guī)教育是信息安全教育的核心，只要和圖書館信息系統(tǒng)有關(guān)的人員都應(yīng)該接受信息安全的法規(guī)教育。信息安全技術(shù)是信息安全的技術(shù)保障，常用的安全技術(shù)包括加密技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)、備份技術(shù)、病毒防御技術(shù)和反垃圾郵件技術(shù)等。為了防止信息系統(tǒng)安全相關(guān)人員在操作系統(tǒng)時，由于誤操作導(dǎo)致對信息安全造成影響，應(yīng)當(dāng)對相關(guān)人員進(jìn)行安全技術(shù)教育和培訓(xùn)。除此之外，作為安全技術(shù)教育的一部分，還必須了解系統(tǒng)的風(fēng)險點(diǎn)和脆弱點(diǎn)，以及與此有關(guān)的風(fēng)險防范措施和技術(shù)。所有圖書館信息系統(tǒng)相關(guān)人員都需要接受信息安全意識教育。其主要包括：組織信息安全方針和控制目標(biāo)；安全責(zé)任、安全程序及安全管理規(guī)章制度；適用的法律法規(guī)；防范惡意軟件及其他與安全有關(guān)的內(nèi)容等。

同時，各省市圖書館學(xué)會應(yīng)組織成立圖書館信息安全管理聯(lián)盟，集中人員技術(shù)優(yōu)勢，分享安全經(jīng)驗，對各種信息安全問題進(jìn)行匯總分析，總結(jié)歸納，為各個基層圖書館信息安全工作提供指導(dǎo)性的意見和建議，進(jìn)行科學(xué)指導(dǎo)，提高各個基層場館的應(yīng)急處理能力和安全防范意識。

3.4 加強(qiáng)數(shù)據(jù)科學(xué)管理

大數(shù)據(jù)時代，數(shù)據(jù)本身不是隱私，但是通過對數(shù)據(jù)的采集、挖掘、分析、梳理就能夠獲得用戶的大量信息[4]。2018年，美國最大社交平臺Facebook被爆出因安全漏洞被黑客攻擊，導(dǎo)致3 000萬用戶信息泄露。其中1 400萬名用戶的敏感信息被黑客獲取，這些信息包括：姓名、聯(lián)系方式、位置信息、搜索記錄、賬號密碼等。很多人都有在不同平臺使用同一組賬號密碼，或者使用自己生日、電話等作為密碼的習(xí)慣，這些都屬于弱口令，雖然方便了使用，但是一旦其中一個平臺發(fā)生泄露事件，其他平臺賬號也將處于危險之中。弱口令是最容易被忽略也是最容易受攻擊者青睞的漏洞。

作為圖書館信息系統(tǒng)安全管理人員，應(yīng)對讀者的信息數(shù)據(jù)進(jìn)行科學(xué)管理，最大限度避免讀者信息被竊取。一方面，圖書館要加強(qiáng)對業(yè)務(wù)系統(tǒng)的口令管理，加強(qiáng)工作人員賬號的密碼強(qiáng)度，強(qiáng)制使用數(shù)字+字符+符號的高強(qiáng)度密碼，防止被黑客輕易破解，避免讀者信息泄露。另一方面，在對讀者數(shù)據(jù)進(jìn)行搜集匯總和對其他政府部門或者第三方提供讀者相關(guān)信息時，應(yīng)合理合法使用讀者信息，嚴(yán)禁采集讀者密碼等無關(guān)信息，適當(dāng)對讀者姓名、聯(lián)系方式等信息進(jìn)行加工，避免被黑客等不法人員利用。最后，應(yīng)制定行業(yè)規(guī)范，強(qiáng)化工作人員的職業(yè)道德，從而保障讀者信息數(shù)據(jù)安全。

3.5 做好系統(tǒng)數(shù)據(jù)備份

任何一種計算機(jī)系統(tǒng)都沒有十足把握避免各種天災(zāi)人禍的安全威脅。數(shù)據(jù)備份是保證數(shù)據(jù)安全最為行之有效的方法：①圖書館可以在服務(wù)器上做好獨(dú)立磁盤冗余陣列(RAID)，把相同的數(shù)據(jù)存儲在多個硬盤上，避免在服務(wù)器硬盤發(fā)生機(jī)械故障時系統(tǒng)和數(shù)據(jù)無法正常使用。②圖書館可通過NAS(Network Attached Storage：網(wǎng)絡(luò)附屬存儲)、SAN(StorageAreaNetwork：存儲區(qū)域網(wǎng)絡(luò))和云同步等方式，定期對重要數(shù)據(jù)進(jìn)行異地備份，避免在發(fā)生火災(zāi)、地震、洪水等重大災(zāi)難時用戶數(shù)據(jù)遭到破壞而產(chǎn)生的損失。③有條件的場館可以采用雙機(jī)熱備的方式備份業(yè)務(wù)系統(tǒng)，在業(yè)務(wù)系統(tǒng)受到病毒或黑客攻擊時，可以快速切換到備用系統(tǒng)，及時恢復(fù)數(shù)據(jù)，減少損失。

3.6 完善安全響應(yīng)機(jī)制

目前，大部分圖書館均已建立了完善的防火、反恐等安全預(yù)案，往往忽視了信息安全應(yīng)急響應(yīng)預(yù)案的重要性。信息安全應(yīng)急響應(yīng)預(yù)案作為圖書館提供穩(wěn)定讀者服務(wù)的前提條件和總體安全的重要一環(huán)，亟須得到重視。

圖書館應(yīng)建立完善信息安全應(yīng)急響應(yīng)機(jī)制，建立各種網(wǎng)絡(luò)安全事件的應(yīng)急預(yù)案，減少因安全事件帶來的影響和損失。①加強(qiáng)檢測，對系統(tǒng)的脆弱性、內(nèi)外部入侵、濫誤用進(jìn)行檢測，及時發(fā)現(xiàn)問題。②提高響應(yīng)，對各種安全事件及時響應(yīng)，把不安全因素消滅在萌芽中。③及時恢復(fù)，要制定好恢復(fù)計劃，在服務(wù)器遭到破壞或攻擊無法提供服務(wù)時，能及時完整恢復(fù)。

4 結(jié)束語

信息技術(shù)正在走進(jìn)人們生活的每個角落，改變?nèi)藗兊纳罘绞?，在信息時代，圖書館面臨著更多的信息安全問題。為了保障圖書館信息安全，必須做好安全巡查、提高人員意識、加強(qiáng)科學(xué)管理、做好數(shù)據(jù)備份、完善響應(yīng)機(jī)制，從而提升圖書館信息系統(tǒng)安全性，優(yōu)化讀者服務(wù)體驗，保證圖書館事業(yè)穩(wěn)定發(fā)展。