智慧博物館信息系統安全防范體系分析

李 繼

（中國信息安全研究院有限公司 北京 102209）

內容提要：智慧博物館的建設在促進博物館信息化的同時也給博物館信息系統安全帶來挑戰。博物館信息系統安全包括網絡安全和信息安全。網絡安全需在系統應用層、傳輸層、互聯網層、網絡接口層各環節設置，信息安全需從身份鑒別、訪問控制、密碼保護、安全審計、操作系統安全、數據庫安全、邊界安全、應用系統安全幾個方面加以強化。博物館信息系統建設和安全體系建設應同步規劃、同步建設、同步發展；同時應完善管理制度，只有“技管并重”才能真正保障信息系統安全。

2014年2月27日中央網絡安全和信息化領導小組宣告成立，由習近平總書記兼任組長。中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議于2016年11月7日通過《中華人民共和國網絡安全法》，該法令自2017年6月1日起施行。這既反映了目前我國對于信息安全的重視程度，也說明了我國當前信息安全面臨的嚴峻性、迫切性挑戰。“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。”[1]習近平總書記的這一重要論述把網絡安全上升到了國家安全的層面，為推動我國建立網絡安全體系、樹立正確網絡安全觀指明了方向。網絡安全和信息化是相輔相成的，安全是信息化發展的前提，信息化發展是安全的保障，網絡安全和信息化發展要同步推進。

2012年國家文物局組織的重點課題“中國智慧博物館建設可行性研究”提出了我國智慧博物館建設的基本內容和發展思路。2014年4月在成都召開的“智慧博物館試點工作推進會”標志著我國智慧博物館建設工作正式啟動。經過近幾年的試點建設和宣傳推廣，越來越多的博物館加入到智慧化建設的行列中。智慧博物館的建設一方面促進了博物館的信息化，另一方面也給信息系統帶來安全威脅。構建完整有效的信息系統安全防范體系，是智慧博物館建設不可或缺的重要基礎性工作。

一、智慧博物館的信息系統基本結構

有關資料顯示，目前各地博物館智慧化建設進度差異明顯，大中型博物館已經基本擁有不同復雜程度的信息系統，但大多數縣級/小型博物館則僅有簡單的辦公設備和基礎的藏品管理系統。從敦煌研究院[2]、湖北省博物館、上海科技館、蘇州博物館[3]和廣東省博物館[4]等建成的網絡系統架構可以發現，大型博物館的網絡系統較為復雜，而多數市級博物館等中型博物館網絡系統相對簡約。但無論網絡體量及結構復雜程度差異多大，都可以將博物館網絡系統從功能的角度分為安防網絡、設備網絡和信息網絡三個部分。安防網絡由視頻監控、電子門禁和紅外報警等維護館內公共安全的子系統構成；設備網絡主要面向建筑自動化設備，用于建筑內溫控、照明和電梯等機電設備的自動監測和自動控制；信息網絡承載著博物館的各類業務應用系統，如藏品管理信息系統、文物保護信息系統和觀眾服務系統等，是智慧博物館信息系統的核心部分，很容易成為攻擊目標。信息系統的安全可以分為網絡安全和信息安全兩個方面。網絡安全主要針對信息網絡，涉及信息網絡結構的安全設置和防護；信息安全則包括安防網絡、設備網絡和信息網絡中的信息交換、傳輸、存儲和利用過程中的安全策略配置。下文將分別從網絡安全防護和信息安全防護的角度對智慧博物館信息系統安全防范體系進行分析。

二、智慧博物館網絡安全防護

對信息網絡的保護是智慧博物館網絡安全防護的主要內容。討論網絡安全不僅涉及網絡本身，而且宜從TCP/IP四層網絡模型的角度進行分析（TCP/IP即傳輸控制協議/網際協議，TCP/IP網絡模型各層包含了實現不同功能的各種網絡協議，模型以其中最有代表性的TCP/IP協議命名）。

（一）TCP/IP網絡模型分層及各層安全隱患

TCP/IP網絡模型的分層實際是對各類網絡協議的分層，具體可分為應用層、傳輸層、互聯網層和網絡接口層。

應用層是最靠近用戶的一層，可以理解為各應用系統使用約定的統一規則（即協議）進行通信。其中如TFTP（簡單文件傳輸協議）、SMTP（簡單郵件傳輸協議）等協議沒有任何安全措施，Telnet（遠程終端協議）、FTP（文件傳輸協議）等協議則只提供簡單的口令防護措施，應用系統或操作系統使用此類協議會有很大的安全隱患，攻擊者在截獲數據包后就能輕易獲得用戶的口令密碼和其他傳輸的內容。

傳輸層實現的是端到端通信，也就是從一臺計算機的端口到另一臺計算機的端口，每個端口后面連接著某個應用的一個服務。很多常見的應用服務和系統服務都約定俗成地使用了固定的端口，讓攻擊者有了可乘之機。如著名的MS08-067漏洞就是利用操作系統SMB（服務信息塊）服務連接的445端口入侵計算機，獲得計算機的控制權。

互聯網層是我們常說的IP（網際互連協議）協議層，負責建立網絡中兩個節點間的連接，博物館本地網絡與外界網絡之間的通信就發生在這一層。通過IP地址尋找連接對象的過程是由多臺路由器層層轉發實現的，其中的風險來自兩個方面：一是IP協議本身的設計缺陷帶來的安全隱患，導致網絡窺探、IP源地址欺騙等入侵方式；二是利用如ICMP（互聯網控制報文協議）和弱口令漏洞等對博物館出口處的路由器發起攻擊，引起路由器CPU過載，導致博物館面向公眾的服務中斷。

網絡接口層用于網絡中的物理設備間建立連接，分為有線和無線兩種方式。在博物館內有線方式主要靠交換機實現。由于涉及設備物理地址和網絡地址的轉換，基于此產生的ARP（地址解析協議）攻擊和VLAN（虛擬局域網）攻擊是比較常見的風險來源。無線方式主要靠分布在館內的無線AP（無線訪問接入點）實現，無線AP由于本身特點，面臨的安全威脅比有線方式更廣泛，常見的攻擊方式有通過偽造基站非法獲取連接者信息、發起DoS（拒絕服務）攻擊阻塞無線信道等。

（二）網絡安全防護措施

1.應用層防護措施

由于博物館使用的業務應用數量眾多，其復雜性導致應用層不能只對某一類資源或協議進行單獨的保護。智慧博物館中常見的解決方案是把門戶系統作為整個系統的入口，在門戶系統對用戶進行統一的身份認證后，再跳轉到其他的應用系統，所以門戶系統的安全性是整個應用層安全的基礎。博物館在開發門戶系統的用戶登錄模塊時，應確保口令的傳輸和用戶登錄憑證的安全，登錄狀態不能被盜用；同時，博物館應嚴格按照包括所有內部用戶和外部用戶在內的不同角色分配訪問權限，通過固定的接口訪問應用系統資源，保證應用層的安全。

2.傳輸層防護措施

對傳輸層的保護實際就是對端口的保護，比較常見的手段是在博物館的不同網絡區域間設置防火墻，限制不同區域間的端口連接。容易被忽視的一點是網絡中的服務器和辦公電腦本身也開放了很多端口，如果有來自內部的攻擊，或有內部的設備被攻破成為跳板，就能繞過防火墻發起攻擊，所以博物館內服務器或辦公電腦在啟用后應及時關閉暫不使用的端口。

3.互聯網層防護措施

互聯網層的安全主要是針對IP協議和路由器，為了隱藏博物館內設備的真實地址，可以在互聯網出口配置一臺反向代理服務器，并關閉路由器上不安全的遠程連接方式，開啟路由器上的禁用ICMP重定向、禁用IP源路徑等安全策略。

4.網絡接口層防護措施

網絡接口層的防護分為有線和無線兩類。有線網絡接口層防護主要靠交換機策略配置實現，博物館本地所有使用中的交換機端口應綁定IP和MAC（硬件設備標識）地址，除干路端口外其余端口均配置為Access（接入型鏈路）工作模式，關閉端口的DTP（動態中繼協議）功能，將暫不使用的端口邏輯關閉并劃分到同一備用VLAN。另外，規模較小的博物館可以禁用交換機的遠程登錄，規模較大的博物館則要避免使用Telnet等不安全的方式遠程登錄交換機。無線網絡接口層防護主要是對無線AP的防護，首先，需確保博物館內無線AP采用WPA/WPA2（Wi-Fi訪問保護）安全加密機制；然后，在館內的無線基站部署WIDS（無線入侵檢測系統），防范入侵者的監聽和拒絕服務攻擊。

三、智慧博物館信息安全防護

智慧博物館的信息安全防護主要是對安防網絡、設備網絡和信息網絡運行過程的安全評估、監測、審計、利用、存儲等策略進行設置，提升信息系統發現和預防違規行為的能力，可以歸納為八個方面的要求。

1.身份鑒別

身份鑒別包括進入計算機操作系統、數據庫、視頻監控系統、交換機管理和路由器管理等各種館內系統和設備時的口令要求，包括口令的長度、復雜度、更換周期、超時重鑒別時間、連續失敗鎖定次數和鎖定時長等策略。安防網絡應根據《文物系統博物館風險等級和安全防護級別的規定（GA27-2002）》[5]設置身份鑒別策略，其他網絡應根據《信息安全技術網絡安全等級保護基本要求（GBT22239-2019）》[6]第二級基本要求設置身份鑒別策略。

2.訪問控制

訪問控制遵循最小授權原則，分為物理層面和網絡層面。物理層面要把博物館的關鍵信息設備集中存放在獨立封閉的設備間，設備間安裝電子門禁，對進出的人員進行鑒別和審計。網絡層面要根據博物館員工的實際業務需求分配員工可以訪問的系統資源，通過劃分VLAN和ACL（訪問控制列表），確保員工只能訪問到自己權限內的信息。

3.密碼保護

密碼保護分為數據傳輸加密和數據存儲加密。數據傳輸加密主要是防止在互聯網傳輸的密碼等信息被竊取，通過對博物館門戶網站的登錄過程使用SSL（安全套接字協議）加密來實現。數據存儲加密針對的是博物館中各應用系統的后臺數據，服務器上的后臺數據應使用密文存儲或保存在加密的數據庫中，防止博物館的運維人員或外部維修人員從后臺非授權獲取業務信息。

4.安全審計

安全審計分為數據庫審計、服務器審計、終端審計、應用系統審計和網絡審計。其中數據庫審計、服務器審計和終端審計使用操作系統自帶審計功能；應用系統審計要求博物館開發的應用系統具備日志記錄功能，將用戶登錄、訪問業務數據和應用系統內的關鍵操作等記入日志，是博物館審查和分析員工可疑行為和違規操作的途徑。

5.操作系統安全

操作系統廠商會定期公布新的操作系統漏洞，已知的操作系統漏洞很容易被攻擊者用來獲取操作系統權限。博物館應定期為館內所有辦公電腦、服務器和其他智能終端設備安裝操作系統補丁，確保不存在已知漏洞。

6.數據庫安全

數據庫安全分兩點：一是與操作系統相同，數據庫也存在漏洞，應定期為博物館的數據庫系統安裝補丁；二是應完善數據庫策略，通過關閉數據庫遠程登錄、封存數據庫根賬號和加強擴展存儲過程管理等方式確保數據庫安全。

7.邊界安全

邊界安全指信息系統的邏輯邊界安全，可分為三個方面：一是在博物館的互聯網出口設置反向代理服務器，既保護內部服務器，而且后續也能在該服務器上安裝入侵防御、WEB應用（使用瀏覽器通過互聯網訪問的應用程序）防火墻等服務；二是在反向代理服務器后設置邊界防火墻，實現面向互聯網的訪問控制和安全審計；三是使用交換機把博物館內部的信息系統按照職能和權限范圍劃分不同區域，控制區域間的訪問行為。

8.應用系統安全

博物館使用的應用系統除滿足以上幾條要求外，還要在投入使用前進行代碼安全分析，特別是門戶系統、票務系統和智慧導覽系統等面向公眾的應用系統[7]。這些應用系統能夠從互聯網上直接訪問，是攻擊者的首選目標，應用系統本身存在缺陷和漏洞就是對攻擊者敞開大門。

四、智慧博物館信息系統安全防范體系發展建議

通過對網絡安全與信息安全的安全防護手段進行分析，可以確定智慧博物館信息系統建設中需遵循的安全原則，但具體實施中仍會遇到一些實際問題，本文嘗試對其中三個問題提出相關建議。

1.應用系統建設

大型綜合性博物館往往開展信息化建設較早，由于建設時缺乏長遠規劃，多數應用系統僅滿足了建設時的基礎業務需求，未實現應用接口標準化。在智慧博物館建設過程中，這些舊有應用會被逐步改造替換，但應用系統設計和開發過程中，應用系統的安全防護要求或未得到應有的重視。以上海某博物館為例（出于博物館信息系統安全考慮，文中省略了具體館名），在其現有的智慧博物館建設設計方案中，涉及包括門戶網站、售票系統和協同辦公系統等大量應用系統的升級改造，該智慧博物館的設計方案僅從功能模塊設計和業務流程設計方面對應用系統提出要求，缺乏應用系統安全方面的考量。為避免這類問題，智慧博物館的設計者在對應用系統進行設計開發前，應當從發展的角度分析業務需求，在方案中加入應用系統的安全保障相關內容，具體可從身份鑒別、訪問控制、管理員賬號管理、數據庫安全、安全審計、信息加密和代碼審查等方面做出安排。

2.安全防護設備配置

隨著時間的推移，攻擊者入侵信息系統的手段必然會越來越多樣化，而目前很多博物館的安全防護手段已經難以應對。以湖南省某博物館為例，該館在智慧博物館建設中采購了大量信息設備，新建機房采購服務器搭建一套本地私有云環境，將原有機房改建為災備機房，新增存儲陣列和UPS（不間斷電源）等設備，達到了較高的信息化水平。但是，在博物館的互聯網出口僅靠傳統防火墻防護，采用的防護策略是限制不同區域間的服務和端口通信，防火墻自身也只能阻止泛洪類攻擊。這樣的信息系統在遭遇WEB應用攻擊和現今極具威脅的APT（持續定向威脅）攻擊時防護能力已經不能滿足需求。如果博物館僅依靠自身力量解決這個問題，不僅需要購買APT防火墻、WAF（WEB應用防火墻）和態勢感知設備等安全防護設備，也需要維持一支實時關注黑客技術發展的信息化團隊，這會帶來高昂的成本。一個可選的方案是博物館根據應用系統的用戶群體將信息系統分割為內部和外部兩個部分，將外部信息系統搭建在租用的云平臺上，云平臺與博物館本地網絡間通過VPN加密連接，用這種方式將安全風險轉移給云服務提供商，依靠云服務提供商的專業安全團隊防御來自互聯網的安全威脅。

3.中小型博物館的信息系統安全防范體系建設

我國目前大量的中小型博物館僅有一臺或少量服務器，防火墻薄弱甚至沒有防火墻，部分小型博物館的日常辦公還在依靠QQ和微信等通信手段。中小型博物館受客觀條件限制，難以獨立承擔智慧博物館建設，更無法保證信息系統安全。對于這個問題，吉林省數字博物館在線服務平臺的建設提供了一種解決思路[8]。吉林省博物院牽頭建設了吉林省數字博物館在線服務平臺，為省內數十家中小型博物館提供了集中展示和在線辦公的環境。這種方式由省級博物館帶動地方博物館，由發展成熟的博物館帶動資源匱乏的博物館，構建區域型智慧博物館體系，在推動中小型博物館智慧博物館建設的同時也能有足夠的資源保證信息系統安全。

五、結語

博物館在探索信息化技術創新的同時，應重視信息系統的網絡安全與信息安全，保證信息系統與安全防范體系兩者同步規劃、同步建設、同步發展。在此基礎上，博物館應根據自身情況制定完善的管理制度和安全策略文檔，因為信息系統的安全離不開安全管理體系的建設，只有“技管并重”才能真正保障信息系統安全。此外，智慧博物館在設計方案中采用云計算、云存儲和物聯網等新技術前，設計人員應全面分析這些技術帶來的安全隱患，并形成安全防范體系的迭代提升機制以應對信息技術的迭代更新[9]。我國的智慧博物館還處在初步發展階段，任重而道遠，智慧博物館的建設尚缺乏統一的標準和規范，需要加強國家層面的頂層設計和統籌規劃，推動智慧博物館的標準化規范化建設。在這一過程中，還應注意新技術的層出不窮在給智慧博物館帶來新機遇的同時也會帶來新挑戰。