公共图书馆网络安全等级保护工作要求及具体措施

关键词：网络系统;安全保护;等级测评;图书馆网站;图书馆业务管理系统

1背景

我国公共图书馆自20世纪90年代逐步实现了采访、编目、流通的自动化管理，2001年开始先后启动了文化信息资源共享工程、数字图书馆推广工程、电子阅览室建设工程，2019年将三大工程整合为公共数字文化服务工程，集图书馆业务管理自动化、数字图书馆、电子阅览室、总分馆等若干系统为一体的智能综合网络系统已成为图书馆业务运行的神经中枢。公共图书馆网络系统保存了大量的读者信息、图书信息、借阅信息及海量数字资源，如果受到攻击和破坏，业务将全线瘫痪，因此，网络安全已成为公共图书馆网络建设和管理的重要工作。当前，我国公共图书馆大多只在网络入口处安装了具有NAT转换功能的防火墙，而在入侵检测、防病毒、服务器防护、数据安全等方面没有制订完整的解决方案，尤其是基层公共图书馆的网络系统存在很大的安全隐患。

《中华人民共和国安全法》从国家层面提出了网络安全的总体要求，其中明确要求实行网络等级保护制度，网络运营者要履行网络安全保护义务。《信息安全等级保护管理办法》对信息安全等级保护的实施和管理提出了具体方案。公共图书馆应根据国家法律法规，结合自身特点开展信息安全等级保护工作，保证图书馆网络系统的安全稳定。

2公共图书馆的网络安全现状

随着新一轮技术革命的加速推进，公共图书馆为实现数字化、智能化服务逐步引入大数据、智能化等技术，随之而来的是越来越严峻的网络安全形势。2018年，封丘县图书馆由于未采取有效网络安全防范措施，网站遭到恶意攻击，网页被篡改，造成了恶劣的社会影响。

2.1黑客入侵技术不断升级，更加难以追踪

随着网络技术的发展，黑客入侵的手段也变得更加多样化，常见的有暴力破解、远程控制、网络钓鱼、信息监听、木马病毒等，在感染服务器主机的同时变成网络攻击者，网络安全防御总是被动应对。公共图书馆作为开放性的公共服務场所，也是黑客入侵的潜在目标，网络安全防护意识不强、安全设备配备不到位、技术更新不及时将无法应对当前形势复杂的网络入侵威胁。

2.2公共图书馆服务范围不断延伸，智能化技术不断更迭

公共图书馆的信息化建设经过20多年发展，网络化、智能化技术已经普遍应用于各个工作环节，特别是RFID自助借还、信用借阅等新型服务方式为广大读者提供了更加便捷的阅读服务。但是，当前公共图书馆的“手机+RFID”等智能化应用主要考虑其功能实现，在安全性、隐私性等方面缺乏相应的研究。为实现免押金、免办证等便民服务，公共图书馆与第三方合作开展了信用借阅服务，图书馆业务管理系统在与第三方应用系统对接过程中，数据同步与共享以及金融支付功能增大了数据泄露的风险，这对公共图书馆业务与金融功能融合的网络安全提出了更高要求。

3公共图书馆开展信息安全等级保护工作的步骤

3.1系统定级

网络安全等级保护工作的首要环节是定级[1]。网络信息系统安全等级分为五级，一级防护水平最低，最高等级为五级。公共图书馆的信息系统包括业务管理系统、网站、数字图书馆等，公共图书馆应依据《信息系统安全等级保护定级指南》分析与确定本馆信息系统的安全等级，同时提请上级主管部门审批。

3.2备案

公共图书馆确定信息系统等级后，应到所在地公安机关备案，提交信息系统基本情况说明、网络拓扑结构图等材料，公安机关审核后对符合定级要求的信息系统颁发等级保护备案证明。

3.3开展等级测评

3.4系统安全建设

3.5监督检查

4公共图书馆落实信息安全等级保护工作的具体措施

4.1技术方面

4.2管理方面

4.2.1安全管理制度。公共图书馆需制定信息系统安全总体方针和策略，建立安全管理制度及操作规程，如：按网络等级保护测评要求建立网络软硬件设备采购管理制度、机房安全管理制度、安全事件应急管理制度、中心机房管理员操作守则等各项规章制度，并在日常工作中规范组织实施。

4.2.2安全管理部门。公共图书馆的安全管理部门负责信息系统的日常安全工作，定期检查系统运行日志、漏洞、备份等，安全管理部门人员包括主管负责人、直接责任人和安全管理员。通常情况下，主管负责人是分管网络技术业务的馆长，直接责任人是技术部主任，安全管理员是技术人员。

4.2.3人员安全管理。公共图书馆可通过安全教育培训增强工作人员的安全保密意识，入职、离职人员需签订保密协议，尤其是流动频率较高的第三方派遣技术人员;按系统、级别等设置不同的管理员操作权限;与第三方技术服务商签订安全服务协议，特别是提供远程维护的服务商，做到各负其责、操作规范、有据可查。

4.2.4系统运维管理。公共图书馆需制订信息系统应急预案，每年组织一次应急演练和培训;每日定时对机房各区域环境状况及设备运行状况进行巡查，填写机房日常巡检记录，发现问题及时处理，避免因未及时发现设备故障出现业务中断、数据丢失等情况。

5结语

综上所述，开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容[2]，也是公共图书馆正常开展業务工作的基础和前提。2019年5月发布的《网络安全等级保护技术》2.0版本增加了风险评估、安全检测、通报预警、安全事件处置、漏洞风险管理等内容[3]，对网络安全等级保护工作提出了更高的要求。公共图书馆应加强网络安全机构的组织领导，重视网络安全建设工作，结合本馆实际情况开展信息安全等级保护测评工作，定期开展网络安全教育培训，提升工作人员的安全意识和技术水平，在日常管理和维护过程中做到精准分析、提前预防、措施得当，最大限度地避免发生网络安全事故。

参考文献：

[1]徐震.网络安全等级保护：从1.0到2.0[J].保密工作，2019（7）：63-64.

[2]何占博，王颖，刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全，2019（3）：9-14.

[3]徐佳瑾，刘刚.网络安全等级保护工作中的定级与备案[J].电子技术与软件工程，2019（16）：192-193.