公共图书馆网络安全等级保护工作要求及具体措施
陈天文 高洪臻
关键词:网络系统;安全保护;等级测评;图书馆网站;图书馆业务管理系统
摘 要:文章基于公共图书馆业务管理系统和网站,简述了公共图书馆的网络安全现状,阐述了开展网络安全等级保护工作的步骤,从技术和管理两个方面提出了保障网络安全的具体措施,以期为公共图书馆加强网络安全等级保护提供参考。
中图分类号:G251文献标识码:A文章编号:1003-1588(2021)05-0009-03
1 背景
我国公共图书馆自20世纪90年代逐步实现了采访、编目、流通的自动化管理,2001年开始先后启动了文化信息资源共享工程、数字图书馆推广工程、电子阅览室建设工程,2019年将三大工程整合为公共数字文化服务工程,集图书馆业务管理自动化、数字图书馆、电子阅览室、总分馆等若干系统为一体的智能综合网络系统已成为图书馆业务运行的神经中枢。公共图书馆网络系统保存了大量的读者信息、图书信息、借阅信息及海量数字资源,如果受到攻击和破坏,业务将全线瘫痪,因此,网络安全已成为公共图书馆网络建设和管理的重要工作。当前,我国公共图书馆大多只在网络入口处安装了具有NAT转换功能的防火墙,而在入侵检测、防病毒、服务器防护、数据安全等方面没有制订完整的解决方案,尤其是基层公共图书馆的网络系统存在很大的安全隐患。
《中华人民共和国安全法》从国家层面提出了网络安全的总体要求,其中明确要求实行网络等级保护制度,网络运营者要履行网络安全保护义务。《信息安全等级保护管理办法》对信息安全等级保护的实施和管理提出了具体方案。公共图书馆应根据国家法律法规,结合自身特点开展信息安全等级保护工作,保证图书馆网络系统的安全稳定。
2 公共图书馆的网络安全现状
随着新一轮技术革命的加速推进,公共图书馆为实现数字化、智能化服务逐步引入大数据、智能化等技术,随之而来的是越来越严峻的网络安全形势。2018年,封丘县图书馆由于未采取有效网络安全防范措施,网站遭到恶意攻击,网页被篡改,造成了恶劣的社会影响。
2.1 黑客入侵技术不断升级,更加难以追踪
随着网络技术的发展,黑客入侵的手段也变得更加多样化,常见的有暴力破解、远程控制、网络钓鱼、信息监听、木马病毒等,在感染服务器主机的同时变成网络攻击者,网络安全防御总是被动应对。公共图书馆作为开放性的公共服務场所,也是黑客入侵的潜在目标,网络安全防护意识不强、安全设备配备不到位、技术更新不及时将无法应对当前形势复杂的网络入侵威胁。
2.2 公共图书馆服务范围不断延伸,智能化技术不断更迭
公共图书馆的信息化建设经过20多年发展,网络化、智能化技术已经普遍应用于各个工作环节,特别是RFID自助借还、信用借阅等新型服务方式为广大读者提供了更加便捷的阅读服务。但是,当前公共图书馆的“手机+RFID”等智能化应用主要考虑其功能实现,在安全性、隐私性等方面缺乏相应的研究。为实现免押金、免办证等便民服务,公共图书馆与第三方合作开展了信用借阅服务,图书馆业务管理系统在与第三方应用系统对接过程中,数据同步与共享以及金融支付功能增大了数据泄露的风险,这对公共图书馆业务与金融功能融合的网络安全提出了更高要求。
3 公共图书馆开展信息安全等级保护工作的步骤
3.1 系统定级
网络安全等级保护工作的首要环节是定级[1]。网络信息系统安全等级分为五级,一级防护水平最低,最高等级为五级。公共图书馆的信息系统包括业务管理系统、网站、数字图书馆等,公共图书馆应依据《信息系统安全等级保护定级指南》分析与确定本馆信息系统的安全等级,同时提请上级主管部门审批。
3.2 备案
公共图书馆确定信息系统等级后,应到所在地公安机关备案,提交信息系统基本情况说明、网络拓扑结构图等材料,公安机关审核后对符合定级要求的信息系统颁发等级保护备案证明。
3.3 开展等级测评
公共图书馆通过招标、自主采购等方式开展等级测评工作,具有相关资质的测评机构按国家标准进行实地测评,最终出具信息系统安全等级测评报告和整改方案。等级测评结论包括符合、基本符合、不符合三种,达到基本符合标准要求即通过等级测评。
3.4 系统安全建设
公共图书馆依据测评报告和整改方案建设信息安全系统,信息安全设备应优先选择国产知名品牌,在产品安全的前提下保障设备的后续技术支持,以便出现问题时能够第一时间予以解决。此外,公共图书馆在信息系统建设过程中还应特别重视公安部门的意见和建议,尤其是在实名认证、数据实时交换等方面,公安部门能够提供详细的技术方案。
3.5 监督检查
公共图书馆完成信息系统整改后,公安机关会对安全整改情况进行检查和监督,公共图书馆在接受公安机关安全检查指导的同时,还应根据要求提供相关的网络安全材料。
4 公共图书馆落实信息安全等级保护工作的具体措施
4.1 技术方面
4.1.1 物理安全。中心机房是公共图书馆网络管理系统的中枢,需做好机房出入人员登记工作。中心机房除需配备安全设备、网络设备、存储备份设备、UPS设备、精密空调外,还需配备具有防火、防水、防雷以及温湿度检测功能的动力环境监控系统,能够通过电话、短信、网络等实时报警,保证及时发现和处理安全隐患。
4.1.2 网络安全。网络边界需部署具有防火墙、IDS入侵检测功能的设备,防火墙遵循最小化安装规则,只开放业务需要的端口及服务并修改缺省端口,如:网站系统只开放80端口、SQL数据库1433端口改为1588、关闭3389远程连接服务等;通过IDS入侵检测系统的识别特征库实时检测可能的入侵风险,并根据风险程度封锁指定IP连接,可以有效减少被暴力破解的风险;公用无线网络接入实现实名认证,可以通过身份证、电话短信以及微信实现实名认证;配备上网行为管理(网络审计)设备,追溯用户的上网行为,做到事后可查;核心交换机启用VLAN,服务器、电子阅览、无线网络等划分不同的VLAN,不同VLAN间设置相应的安全访问策略;规范IP管理,防止未授权设备私自接入内部网络;与图书馆网络系统联网的外部网络,如总分馆、城市街区图书馆采用VPN连接,避免业务信息系统直接通过互联网连接;部署云守护、云预警等智能技术,依靠技术手段实现24小时实时预警,快速响应,同时依托大数据分析和专家人工分析识别高危风险,缩短入侵事件的发现和响应时间。
4.1.3 主机安全。保障主机安全需配备网络安全堡垒机,所有管理员必须通过堡垒机登录主机设备;合理分配用户权限,只允许指定IP的管理员登录,禁止通过风险较大的公用网络登录;及时更新系统补丁,在主机操作系统层面启用防火墙,关闭135、445等勒索病毒端口,防止通过局域网入侵,安装分布式防病毒、防木马软件;网站系统应部署WAF等防篡改设备或软件,在网站开发技术层面采用静态HTML页面,避免出现SQL注入漏洞;关闭TELNET维护端口,使用SSH加密方式进行远程登录。
4.1.4 数据安全。中心机房要配备数据库审计功能,记录数据库操作的每一个命令;科学规划数据的备份策略,做好异地备份、定时备份并具备数据快速恢复能力,在实践中可通过SECONDCOPY软件低成本实现异地异机的实时备份。超融合虚拟化服务器在信息系统建设中已被普通应用,超融合一体机集存储、计算、网络于一体,具有主机、虚拟平台、虚拟机多方故障监测和HA功能,宕机后自动迁移到其他节点,具有自动重启、快速重建、业务连续性等特点,可以快速实现系统部署与数据恢复,最大限度减少数据的损坏。公共图书馆应加强数据库登录用户名和密码管理,图书馆业务管理系统INTERLIB数据库在安装过程中有80%的用户名和密码相同,存在高危风险,密码设置应为“大小写字母+数字+符号”的8位以上的混合符号。中心机房还应部署双机热备系统,保证系统的可持续运行及数据安全;购买网络安全保险以应对出现安全事故后数据的恢复与重建;所有网络、数据库日志与审计日志留存不少于六个月,若设备空间不足,可部署一台服务器安装外置数据中心保存数据。
4.2 管理方面
4.2.1 安全管理制度。公共图书馆需制定信息系统安全总体方针和策略,建立安全管理制度及操作规程,如:按网络等级保护测评要求建立网络软硬件设备采购管理制度、机房安全管理制度、安全事件应急管理制度、中心机房管理员操作守则等各项规章制度,并在日常工作中规范组织实施。
4.2.2 安全管理部门。公共图书馆的安全管理部门负责信息系统的日常安全工作,定期检查系统运行日志、漏洞、备份等,安全管理部门人员包括主管负责人、直接责任人和安全管理员。通常情况下,主管负责人是分管网络技术业务的馆长,直接责任人是技术部主任,安全管理员是技术人员。
4.2.3 人员安全管理。公共图书馆可通过安全教育培训增强工作人员的安全保密意识,入职、离职人员需签订保密协议,尤其是流动频率较高的第三方派遣技术人员;按系统、级别等设置不同的管理员操作权限;与第三方技术服务商签订安全服务协议,特别是提供远程维护的服务商,做到各负其责、操作规范、有据可查。
4.2.4 系统运维管理。公共图书馆需制订信息系统应急预案,每年组织一次应急演练和培训;每日定时对机房各区域环境状况及设备运行状况进行巡查,填写机房日常巡检记录,发现问题及时处理,避免因未及时发现设备故障出现业务中断、数据丢失等情况。
5 结语
综上所述,开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容[2],也是公共图书馆正常开展業务工作的基础和前提。2019年5月发布的《网络安全等级保护技术》2.0版本增加了风险评估、安全检测、通报预警、安全事件处置、漏洞风险管理等内容[3],对网络安全等级保护工作提出了更高的要求。公共图书馆应加强网络安全机构的组织领导,重视网络安全建设工作,结合本馆实际情况开展信息安全等级保护测评工作,定期开展网络安全教育培训,提升工作人员的安全意识和技术水平,在日常管理和维护过程中做到精准分析、提前预防、措施得当,最大限度地避免发生网络安全事故。
参考文献:
[1] 徐震.网络安全等级保护:从1.0到2.0[J].保密工作,2019(7):63-64.
[2] 何占博,王颖,刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全,2019(3):9-14.
[3] 徐佳瑾,刘刚.网络安全等级保护工作中的定级与备案[J].电子技术与软件工程,2019(16):192-193.
(编校:徐黎娟)
猜你喜欢 安全保护网络系统 汽车网络系统故障诊断与检修中存在的问题青年生活(2020年18期)2020-07-10土压平衡盾构机机电安全保护应用分析智富时代(2019年6期)2019-07-24土压平衡盾构机机电安全保护应用分析智富时代(2019年6期)2019-07-24探讨数字图书馆网络系统安全及数据安全问题卷宗(2019年18期)2019-07-11电梯检验中的危险源与安全保护措施中文信息(2019年2期)2019-03-18非标自动化设备的结构选择与安全科技创新与应用(2018年26期)2018-10-20计算机网络系统应用的安全维护分析魅力中国(2016年41期)2017-04-21FTTH光纤到户网络日常维护有效措施研究中国新通信(2017年2期)2017-03-09
