圖書館信息安全風險及應(yīng)對措施研究

［摘要］研究安全漏洞特征及漏洞引發(fā)的風險有助于制訂防范對策。文章從安全漏洞演進態(tài)勢、暴露面、風險面與影響面分析圖書館系統(tǒng)安全漏洞特征和引發(fā)的風險，并提出應(yīng)對措施。研究表明，圖書館中高危險漏洞逐年遞增，未修復漏洞、易攻擊漏洞、可遠程攻擊漏洞占比長期處于高位，直接引發(fā)圖書館服務(wù)、資源、經(jīng)濟三重安全風險。未來，圖書館應(yīng)重點提升系統(tǒng)安全漏洞的綜合管控能力，強化圖書館服務(wù)與數(shù)字資源保障能力。

［關(guān)鍵詞］圖書館信息安全；數(shù)據(jù)安全；網(wǎng)絡(luò)攻擊；風險威脅；安全漏洞

［中圖分類號］G250.72"［文獻標志碼］B"［文章編號］1005-6041（2024）01-0067-08

1引言

近年來，互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能等信息技術(shù)改變了圖書館原有的技術(shù)架構(gòu)、服務(wù)體系、運營模式。但信息技術(shù)在圖書館的廣泛深度應(yīng)用也不可避免地帶來了一系列信息安全問題，使圖書館網(wǎng)絡(luò)和信息安全受到不同程度的安全威脅"［1-4］"。根據(jù)鄭德俊等"［5］30"、周秀霞等"［6］7"的調(diào)研可知，圖書館普遍存在不同程度的信息安全問題，安全漏洞攻擊、數(shù)據(jù)泄露、拒絕服務(wù)、篡改網(wǎng)頁、網(wǎng)絡(luò)釣魚、木馬植入、端口掃描等惡意信息安全事件時有發(fā)生，且呈現(xiàn)明顯增長的態(tài)勢。系統(tǒng)安全漏洞是指硬件、軟件存在的弱點或者缺陷，在一定條件下可被攻擊者利用產(chǎn)生危害，是信息安全風險的主要來源，是引發(fā)信息安全事件的主要內(nèi)因"［7-9］"。根據(jù)國家信息安全漏洞共享平臺（CNVD）披露的數(shù)據(jù)顯示，信息安全漏洞在圖書館各軟硬件系統(tǒng)中廣泛存在。截至2021年12月，圖書館領(lǐng)域存在的安全漏洞共191枚，其中高危漏洞與中危漏洞總占比高達96"%"，涉及圖書館重要的軟硬件信息系統(tǒng)。基于上述背景，部分研究者重點圍繞漏洞檢測、風險分析與評估、信息安全防護等方向開展了一系列工作"［10-13］"，形成了較為豐富的研究成果，但整體而言，學者比較關(guān)注圖書館特定信息系統(tǒng)的安全漏洞監(jiān)測、分析與防護或依據(jù)等級保護、ISO27001等行業(yè)標準將漏洞作為特定風險項納入研究框架下"［10-11］"。專門針對安全漏洞引發(fā)的圖書館信息安全風險問題尚未得到學術(shù)界的普遍關(guān)注，對圖書館信息安全漏洞的特征、趨勢、防護等研究較為少見。基于此，文章分析圖書館系統(tǒng)安全漏洞特征，探討引發(fā)的信息安全風險，分析形成原因，有針對性地提出應(yīng)對措施。

2研究現(xiàn)狀分析

2.1 圖書館信息安全漏洞的研究

系統(tǒng)安全漏洞未及時發(fā)現(xiàn)、未進行有效封堵是信息安全事件的主要原因，為確保圖書館信息服務(wù)的連續(xù)性與穩(wěn)定性，部分研究者針對圖書館信息安全漏洞進行深入研究。例如，丁嵐"［14］"指出信息安全漏洞是網(wǎng)絡(luò)病毒廣泛傳播、黑客攻擊的根本原因。其研究通過對圖書館信息安全漏洞分析，提出漏洞檢索對照法、系統(tǒng)瘦身法、模擬攻擊法等安全漏洞檢測方法，并結(jié)合圖書館特點制訂安全防護措施。朱蘭芳"［15］"指出“緩沖區(qū)溢出漏洞”引發(fā)的攻擊不斷增加，給圖書館帶來潛在安全風險。其研究對緩沖區(qū)溢出進行技術(shù)性分析并提出針對性解決措施。此外，楊成杰"［16］"針對圖書館數(shù)據(jù)安全漏洞進行分析并提出應(yīng)對措施。白莉娜"［17］"分析TCP/IP網(wǎng)絡(luò)協(xié)議漏洞并提出解決措施與防范方法。

2.2 圖書館信息安全風險的研究

部分研究者更多地將信息安全漏洞作為特定風險項納入風險分析框架，開展系統(tǒng)性分析，提出綜合性防護措施。主要從兩方面展開，一是圖書館自身風險分析，重點分析圖書館面臨的信息安全具體風險。例如，張元俊"［12］129-130"指出高校圖書館存在數(shù)字資產(chǎn)存儲量龐大、系統(tǒng)網(wǎng)絡(luò)復雜、應(yīng)用系統(tǒng)來源廣泛、網(wǎng)絡(luò)安全技術(shù)儲備不足以及安全能力建設(shè)不統(tǒng)一、安全薄弱環(huán)節(jié)多等問題。鄭德俊等"［5］31"指出我國圖書館普遍存在未修補漏洞、網(wǎng)絡(luò)或軟件配置錯誤、登錄密碼過于簡單或未修改、缺少訪問控制、內(nèi)部網(wǎng)絡(luò)違規(guī)連接互聯(lián)網(wǎng)等信息安全風險。周秀霞等"［6］8"指出圖書館普遍存在不同程度的病毒攻擊、木馬植入、網(wǎng)絡(luò)釣魚、篡改網(wǎng)頁、系統(tǒng)漏洞、垃圾郵件等安全風險。孫戈等"［18］"結(jié)合公共圖書館系統(tǒng)開放性、資源共享性和網(wǎng)絡(luò)公用性等特點分析其安全風險并提出防范措施，從環(huán)境因素、硬件因素、軟件因素、病毒及黑客入侵、網(wǎng)絡(luò)因素、制度及人員因素等6個方面較為全面地分析影響公共圖書館信息安全的因素。多數(shù)依照標準風險分析的研究結(jié)合環(huán)境因素、硬件因素、軟件因素、病毒及黑客入侵、網(wǎng)絡(luò)因素、制度及人員，提出圖書館信息安全風險評估模型或開展風險評估。例如，為加強圖書館風險評估的客觀性，減少人為評估帶來的主觀性。黃水清等"［11］44"在信息安全管理國際標準ISO27001基礎(chǔ)上，提出一種基于模糊數(shù)學、構(gòu)建威脅場景、CVSS以及風險矩陣相結(jié)合的綜合評估模型。袁錦波等"［19-21］"依照等級保護標準、國內(nèi)外安全管理標準、圖書館信息安全管理標準等開展信息安全風險分析框架建設(shè)。隨著圖書館深度應(yīng)用云計算、大數(shù)據(jù)、人工智能等技術(shù)，衍生了新型安全風險"［22-26］"。

例如，云計算的引入為圖書館提供高性能、低成本以及彈性持續(xù)計算、存儲的空間，但云計算被非法利用時也容易產(chǎn)生個人信息泄露、無法統(tǒng)一安全標準、信息受控于人的安全風險"［9，22-23］"。大數(shù)據(jù)在給圖書館帶來巨大價值的同時，也帶來了數(shù)據(jù)安全、隱私安全等問題"［24-25］"。人工智能以智能化的方式與技術(shù)降低了其工作的復雜程度，提升了生產(chǎn)效率，但也帶來了數(shù)據(jù)泄露、開源軟件、程序錯誤等風險"［26］"。

2.3 小結(jié)

通過上述研究可以看出，圖書館信息安全風險分析受到越來越多的關(guān)注，推動圖書館信息安全風險評估、分析取得了很大進展，

部分學者針對圖書館信息安全漏洞進行詳細分析與總結(jié)。但總體而言，學者較為關(guān)注圖書館特定信息系統(tǒng)的安全漏洞監(jiān)測、分析與防護或依據(jù)等級保護、ISO27001等行業(yè)標準將漏洞作為特定風險項納入研究框架，專門針對安全漏洞引發(fā)的圖書館信息安全風險問題尚未得到學術(shù)界的普遍關(guān)注，對圖書館信息安全漏洞的特征、趨勢、防護等研究較少，與其他行業(yè)在漏洞研究方面形成了一定差距。

3研究設(shè)計

3.1 數(shù)據(jù)來源

國家信息安全漏洞共享平臺（CNVD）是由中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室直屬單位國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國家網(wǎng)絡(luò)安全漏洞庫，是各領(lǐng)域研究人員開展研究的重要數(shù)據(jù)來源。"文章采用CNVD為研究數(shù)據(jù)源，采用高級檢索與人工判斷的方式獲取與圖書館直接相關(guān)的漏洞信息。首先，進入CNVD高級檢索，設(shè)置檢索詞為圖書，設(shè)置截止日期為2021年12月31日"①，獲取初步漏洞數(shù)據(jù)集；其次，通過人工篩選，去除重復的、與圖書館軟硬系統(tǒng)無關(guān)的漏洞；再次，根據(jù)漏洞的唯一編號（CVND號）"獲取漏洞標題、危害級別、點擊數(shù)、是否提供漏洞解決方案、攻擊復雜度等共19個字段，用于漏洞特征分析。經(jīng)篩選，共獲得191枚圖書館信息安全漏洞，其中，低危漏洞7枚，中危漏洞110枚，高危漏洞74枚。

3.2 研究框架與研究設(shè)計

文章從圖書館領(lǐng)域存在的信息安全漏洞與典型網(wǎng)絡(luò)攻擊事件出發(fā)，采用定性與定量相結(jié)合的分析方法，沿著圖書館信息安全漏洞數(shù)據(jù)采集、漏洞分析、風險分析以及應(yīng)對措施的研究路徑展開。首先，從CNVD漏洞庫獲取漏洞標題、類型、報送時間、危害、趨勢、等級等信息；其次，從漏洞趨勢、暴露面、供應(yīng)鏈以及漏洞影響等4個方面進行風險分析；再次，從管理與技術(shù)2個維度，從頂層設(shè)計、供應(yīng)鏈安全、運行機制等方面提出應(yīng)對安全漏洞引發(fā)的圖書館信息安全風險的具體舉措，形成如下研究框架與具體設(shè)計（見圖1）。

4信息安全漏洞特征及其引發(fā)的圖書館信息安全風險分析

本節(jié)從圖書館涉及的軟硬件系統(tǒng)的漏洞趨勢、修復程度、漏洞類型、攻擊方式、危害級別、解決程度、攻擊難易程度等出發(fā)，結(jié)合圖書館典型的信息安全事件，分析信息安全漏洞特征及其引發(fā)的信息安全風險問題。

4.1 圖書館信息安全漏洞發(fā)展態(tài)勢分析

信息安全漏洞隨時間的變化可反映其整體發(fā)展態(tài)勢。文章統(tǒng)計了我國圖書館年度漏洞暴露總量、低攻擊復雜度漏洞數(shù)量與未修復漏洞數(shù)量（見圖2）。從圖2可以看出，我國圖書館信息安全漏洞數(shù)量呈現(xiàn)逐年遞增趨勢，易攻擊漏洞、未修復漏洞數(shù)量同步增長，普遍存在可造成數(shù)據(jù)泄露、遠程攻擊、非法訪問的漏洞。結(jié)合圖書館信息化建設(shè)實踐，對其安全風險形勢進一步分析可以看出：1）圖書館信息系統(tǒng)普遍存在脆弱點，總體安全風險形勢嚴峻。隨著數(shù)字圖書館、智慧圖書館等的建設(shè)，圖書館軟硬件信息系統(tǒng)的采購、開發(fā)數(shù)量逐漸增加，圖書館采購、咨詢、借閱等業(yè)務(wù)基本進入全面信息化階段，數(shù)字化、智能化水平快速提高。但國內(nèi)圖書館信息系統(tǒng)漏洞逐年增長，系統(tǒng)普遍存在脆弱性，安全問題突出，截至2021年12月，圖書館信息安全漏洞共191枚，其中高危漏洞與中危漏洞總占比高達96"%"，這與圖書館開放性、泛在化、智能化的建設(shè)目標相疊加，增加了帶有安全漏洞的圖書館信息化資產(chǎn)在互聯(lián)網(wǎng)上的暴露程度，帶來了更嚴峻的信息安全風險挑戰(zhàn)。2）圖書館信息系統(tǒng)開發(fā)安全基因設(shè)計不足。信息安全漏洞通常在發(fā)布初期較多，隨著軟件版本不斷更新而減少。但圖書館信息系統(tǒng)漏洞數(shù)量整體逐年上漲，且低攻擊復雜度漏洞、高危漏洞占比較高，說明圖書館信息系統(tǒng)安全性設(shè)計和測試處于初級階段，信息安全漏洞的危害及影響未在圖書館系統(tǒng)開發(fā)中得到充分重視。此外，傳統(tǒng)圖書館信息系統(tǒng)多運營在封閉環(huán)境中，設(shè)計時較多考慮功能性、可靠性，較少考慮安全性，而在逐漸開放的背景下，傳統(tǒng)圖書館軟件開發(fā)“重研發(fā)、輕安全”的發(fā)展路徑仍未發(fā)生實質(zhì)性轉(zhuǎn)變，圖書館信息安全能力未與其信息系統(tǒng)開發(fā)同步規(guī)劃、同步建設(shè)、同步實施。

4.2 圖書館信息安全軟硬件供應(yīng)鏈安全分析

圖書館通常涉及大量的軟硬件采購工作，供應(yīng)鏈涉及面廣、管理復雜，既有核心數(shù)據(jù)庫鏡像資源，又有自助借還書系統(tǒng)、視頻監(jiān)控系統(tǒng)、人臉識別系統(tǒng)等管理系統(tǒng)，既涵蓋第三方采購、研發(fā)又涉及自主研發(fā)，其供應(yīng)鏈任何環(huán)節(jié)的信息安全漏洞都會直接給圖書館帶來信息安全風險。信息安全漏洞修復是反映供應(yīng)鏈安全的重要標準，指軟件系統(tǒng)、硬件設(shè)備供應(yīng)商對發(fā)現(xiàn)漏洞提交解決方案并提出有效的修復方式。文章統(tǒng)計高危漏洞、中危漏洞、低危漏洞的修復情況并結(jié)合攻擊復雜度，探究圖書館軟硬件供應(yīng)鏈導致的信息安全風險（見圖3）。綜合圖3和表1內(nèi)容可以發(fā)現(xiàn)，圖書館存在大量長期未修復的信息安全漏洞。

據(jù)統(tǒng)計，圖書館高危漏洞的修復率為18.92"%"，中危漏洞的修復率為40.91"%"，低危漏洞的修復率為57.14"%"，整體修復率為32.98"%"。其中，高危未修復漏洞遠遠高于低危未修復漏洞，且74個高危漏洞中存在62個低攻擊復雜度的漏洞，占高危漏洞比83.78"%"。這可以看出，這些長期大量未修復的信息安全漏洞成為圖書館的薄弱環(huán)節(jié)，極易被攻擊者入侵形成重大安全事件。

4.3 圖書館信息安全脆弱性分析

圖書館信息安全漏洞類型可反映圖書館信息系統(tǒng)的脆弱點與被攻擊手段。文章根據(jù)漏洞標題、漏洞內(nèi)容、危害級別等信息綜合判斷，參考對漏洞的分類標注漏洞的類型，從而對漏洞的脆弱性進行分析（見表1）。從表1可以看出，圖書館信息安全漏洞類型多樣復雜，危害嚴重，主要包括注入漏洞、跨站腳本漏洞、任意文件操作漏洞、數(shù)據(jù)泄露漏洞、鏈接重定向漏洞、邏輯缺陷漏洞、認證繞過漏洞、拒絕服務(wù)漏洞8種類型。安全漏洞對圖書館的影響主要來自兩方面：一是通過獲取權(quán)限、數(shù)據(jù)庫攻擊等手段竊取、變更圖書館數(shù)字資源；二是通過模擬可信身份認證破壞系統(tǒng)的可持續(xù)服務(wù)，中止圖書館業(yè)務(wù)系統(tǒng)運行。

數(shù)據(jù)泄露、更改成為圖書館信息系統(tǒng)最大的脆弱點。從表1可看出，注入漏洞、跨站腳本漏洞、任意文件操作漏洞、數(shù)據(jù)泄露漏洞等導致數(shù)據(jù)更改與泄露的信息安全漏洞點比例較高，存在數(shù)量較多，分別占到總漏洞數(shù)量的46.60"%"、17.28"%"、14.14"%"、7.85"%"。注入漏洞可直接導致圖書館網(wǎng)頁被非法篡改、數(shù)據(jù)更改等，攻擊者可利用應(yīng)用系統(tǒng)開發(fā)者未對輸入的特殊字符進行過濾或校驗而注入HTML、SQL代碼以獲取服務(wù)器數(shù)據(jù)，容易導致數(shù)據(jù)被竊取、更改、刪除。此類漏洞是圖書館常見的漏洞類型，占比最大，達到46.60"%"。跨站腳本漏洞占比低于注入漏洞，占17.28"%"，跨站腳本漏洞可通過嵌入Script等代碼更改頁面與服務(wù)器的交互方式，使數(shù)據(jù)被篡改。任意文件操作漏洞、數(shù)據(jù)泄露漏洞相對占比較小，分別為14.14"%"、7.85"%"，其主要通過獲取權(quán)限進行非法操作，直接獲取圖書館敏感信息。此類漏洞雖占比小，但多因開發(fā)者不規(guī)范操作導致，多存在于數(shù)據(jù)庫或軟件后臺等服務(wù)器端系統(tǒng)中，考慮到調(diào)試成本、系統(tǒng)運行成本、系統(tǒng)穩(wěn)定性等因素，修復難度較大，修復時間長，一旦受到攻擊，產(chǎn)生的影響大。

4.4 圖書館信息安全事件分析

信息安全事件是指攻擊者通過存在的軟硬件漏洞、缺陷，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害的事件。近年來，針對圖書館的網(wǎng)絡(luò)攻擊事件層出不窮，給圖書館信息服務(wù)的連續(xù)性與可用性造成嚴重影響。文章調(diào)研了目前圖書館領(lǐng)域公開的信息安全事件（見表2），從中可以看出，圖書館信息安全事件可歸納為網(wǎng)頁非法篡改、勒索軟件攻擊、數(shù)據(jù)泄露攻擊等類型。其中，網(wǎng)頁非法篡改是利用信息系統(tǒng)原生的脆弱性，如存在注入漏洞、代碼邏輯錯誤漏洞等問題，對相關(guān)網(wǎng)頁內(nèi)容進行非法篡改，在圖書館相關(guān)網(wǎng)站上展示不恰當文字，以達到宣傳負面信息，引導輿論的作用；勒索軟件攻擊是攻擊者通過釣魚郵件傳播、網(wǎng)頁木馬傳播、漏洞傳播等方式，通過加密用戶數(shù)據(jù)與鎖死用戶文件來劫持用戶資產(chǎn)，[JP+1]并以此為條件要求獲取用戶贖金。數(shù)據(jù)泄漏攻擊是通過非法手段獲取圖書館數(shù)字化知識產(chǎn)權(quán)作品、珍貴古籍資料、學位論文、讀者個人隱私信息等珍貴數(shù)據(jù)。

從攻擊目的來看，圖書館網(wǎng)絡(luò)安全事件與社會活動、經(jīng)濟利益密切相關(guān)，具有較強的針對性與目的性：1）宣傳負面輿論。在舉辦重大活動時期實施網(wǎng)頁篡改，展示不恰當文字，以引導宣傳負面輿論，影響社會活動正常進行；2）獲取經(jīng)濟利益。嵌入勒索軟件獲取圖書館服務(wù)器權(quán)限，鎖死圖書館數(shù)據(jù)及電腦文件以獲取贖金；3）竊取重要數(shù)據(jù)。通過任意文件操作漏洞、數(shù)據(jù)泄露漏洞等非法手段獲取圖書館珍貴古籍資料等高價值數(shù)據(jù)。

從引發(fā)原因來看，圖書館信息安全事件的發(fā)生既有內(nèi)部管理缺失又有外部環(huán)境影響。從內(nèi)部管理來看，內(nèi)部安全管理缺失，未全面部署有效防護措施成為安全事件的直接原因。圖書館相關(guān)漏洞數(shù)量持續(xù)增加，且未得到及時有效的封堵，部分圖書館未對安全漏洞充分重視，未加強安全能力部署，導致安全管理空白。例如，2018年某圖書館網(wǎng)站遭到黑客攻擊，致使網(wǎng)頁被篡改。通過相關(guān)部門認定，其因未采取防范網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，最終導致網(wǎng)頁非法篡改事件。從外部環(huán)境來看，圖書館的開放性、泛在化、智能化使越來越多的信息化資產(chǎn)暴露在互聯(lián)網(wǎng)上，攻擊者僅通過遠程、攻擊跳板等方式便可實施攻擊。

5安全漏洞引發(fā)的圖書館信息安全風險應(yīng)對措施

圖書館信息安全存在漏洞量逐年上升、未及時有效封堵、高危漏洞易攻擊等問題，且網(wǎng)絡(luò)攻擊越來越具有針對性和經(jīng)濟性。文章從圖書館信息安全漏洞的主要特征出發(fā)，結(jié)合圖書館信息安全事件特點，提出信息安全漏洞引發(fā)的圖書館信息安全風險削減框架（見圖4）。

5.1 優(yōu)化圖書館信息安全頂層設(shè)計

近年來，圖書館信息安全漏洞數(shù)量呈現(xiàn)爆發(fā)式增長趨勢，且未修復漏洞、易攻擊漏洞占比較高，導致圖書館信息系統(tǒng)的資產(chǎn)暴露面、攻擊面與脆弱面逐漸擴大。為進一步提高圖書館信息安全風險防范能力，應(yīng)加強圖書館信息安全工作的組織領(lǐng)導、制度約束，明確圖書館信息安全總體目標，形成自上而下的工作推進機制。一是強化組織領(lǐng)導。進一步優(yōu)化圖書館信息安全組織架構(gòu)，設(shè)置專人負責圖書館信息安全漏洞的收集、監(jiān)測、發(fā)現(xiàn)、研判、采集、驗證、評估、修復以及風險分析等工作，構(gòu)建與圖書館軟硬件供應(yīng)商、安全設(shè)備供應(yīng)商常態(tài)化聯(lián)系機制，第一時間獲取漏洞情報。二是優(yōu)化信息安全管理制度。將圖書館信息化資產(chǎn)排查、漏洞發(fā)現(xiàn)、漏洞評估、漏洞管理、整改、復查等機制納入圖書館信息安全管理制度，并形成可落實、可檢查、可考核的具體保障措施。同時，組織圖書館建設(shè)領(lǐng)域漏洞庫，與CNVD、教育系統(tǒng)的漏洞庫充分對接，及時發(fā)現(xiàn)、封堵存在的漏洞。三是強化信息安全技術(shù)人員的漏洞意識。將培訓教育納入信息安全管理制度，通過專題講座、攻防演練、技術(shù)培訓等方式，使信息安全技術(shù)人員了解圖書館信息安全常見漏洞以及防護方法，提高信息安全漏洞的管理。

5.2 強化圖書館軟硬件系統(tǒng)供應(yīng)鏈安全

圖書館供應(yīng)鏈涉及面廣、管理難度大，即涵蓋第三方采購、研發(fā)，又涉及自主研發(fā)，在供應(yīng)鏈任何環(huán)節(jié)的信息安全漏洞都會傳導至圖書館信息系統(tǒng)，直接給圖書館帶來信息安全風險。根據(jù)統(tǒng)計可知，圖書館存在大量長期、未修復、易攻擊的高危漏洞，給圖書館帶來潛在的信息安全風險。在后續(xù)工作中，應(yīng)通過供應(yīng)商考核管理、項目驗收管理、系統(tǒng)測評等方式進一步加強圖書館軟硬件產(chǎn)品供應(yīng)鏈管理，削減供應(yīng)鏈引發(fā)的信息安全風險。一是加強項目績效考核與驗收。將網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全納入項目建設(shè)目標，與開發(fā)工作同步設(shè)計、同步實施、同步驗收。與供應(yīng)商簽訂信息安全開發(fā)協(xié)議，明確圖書館建設(shè)系統(tǒng)信息安全驗收標準，明確安全漏洞的修復、運維要求。二是強化供應(yīng)商監(jiān)管。加強圖書館軟硬件系統(tǒng)的開發(fā)過程監(jiān)管，將代碼安全融入軟件的開發(fā)過程，從源頭削減圖書館信息安全風險；同時，加強安全性、系統(tǒng)健壯性測試，并要求出具第三方測試報告，響應(yīng)合同的建設(shè)指標。三是建立圖書館軟硬件設(shè)備資產(chǎn)臺賬。摸清現(xiàn)有系統(tǒng)互聯(lián)網(wǎng)開放情況、漏洞情況，了解其脆弱點、風險點，綜合安全需求，制訂統(tǒng)一的漏洞管理策略，將圖書館對外開放服務(wù)系統(tǒng)作為重點約束供應(yīng)商。

5.3 構(gòu)建統(tǒng)一安全防護平臺

快速發(fā)現(xiàn)漏洞并在第一時間處置漏洞是保障圖書館信息系統(tǒng)的關(guān)鍵。密歇根大學研究表明，存在漏洞的服務(wù)器進入網(wǎng)絡(luò)后，在23分鐘內(nèi)就會被攻擊者掃描，在56分鐘內(nèi)開始被漏洞探測，第一次被徹底入侵的平均時間是19小時。為及時有效發(fā)現(xiàn)、封堵漏洞，圖書館應(yīng)在充分考慮信息系統(tǒng)建設(shè)現(xiàn)狀的基礎(chǔ)上，加強技術(shù)能力建設(shè)，構(gòu)建統(tǒng)一圖書館安全風險管理平臺。一般來講，圖書館包括服務(wù)器、交換機等硬件資產(chǎn)，也包括采購系統(tǒng)、人臉識別系統(tǒng)、檢索系統(tǒng)等軟件形態(tài)系統(tǒng)，圖書館建設(shè)信息化初期，信息系統(tǒng)多面向業(yè)務(wù)單獨建設(shè)，導致安全能力零散、不統(tǒng)一，未形成統(tǒng)一有效的綜合防護體系。為此，應(yīng)整合圖書館各軟硬件信息系統(tǒng)的安全需求，建設(shè)統(tǒng)一漏洞管理平臺，降低因漏洞修補不及時、不全面而導致的風險，同時重點建設(shè)以下能力：一是構(gòu)建漏洞監(jiān)測能力。加強暴露面監(jiān)測，重點建設(shè)互聯(lián)網(wǎng)暴露資產(chǎn)監(jiān)測能力，有效發(fā)現(xiàn)互聯(lián)網(wǎng)資產(chǎn)漏洞，對互聯(lián)網(wǎng)資產(chǎn)進行針對性防護。同時，構(gòu)建開放端口監(jiān)測能力，實時監(jiān)測開放端口，及時關(guān)閉非必要開放的端口、非必要的功能。二是構(gòu)建主動防御能力。通過主動監(jiān)測、監(jiān)測預警、被動誘捕、關(guān)聯(lián)分析等手段，開展漏洞、風險關(guān)聯(lián)分析，實時監(jiān)控漏洞利用情況，并開展預警工作。

5.4 健全漏洞閉環(huán)管理機制

除了信息安全漏洞技術(shù)手段，還要匹配相關(guān)的漏洞處置機制，形成漏洞采集、研判、分發(fā)、修復、反饋的閉環(huán)管理機制。圖書館應(yīng)組織相關(guān)安全技術(shù)人員、安全運維人員以及系統(tǒng)負責人員形成信息安全漏洞處置工作機制，做到及時收集、發(fā)現(xiàn)、研判、封堵、修復圖書館信息安全漏洞。1）漏洞收集。與國家信息安全漏洞庫CNVD充分對接，及時獲取最新發(fā)布的信息安全漏洞；與圖書館軟硬件系統(tǒng)供應(yīng)商積極對接，獲取信息安全漏洞的修復策略、修復方法，同時，常態(tài)化應(yīng)用入侵監(jiān)測系統(tǒng)、漏洞掃描平臺，獲取系統(tǒng)存在的安全漏洞，同步開展信息安全漏洞等級定級與影響資產(chǎn)界定。2）漏洞研判與分發(fā)。組織相關(guān)技術(shù)員根據(jù)漏洞所涉及的業(yè)務(wù)系統(tǒng)等進行風險評估、影響范圍，并通過系統(tǒng)負責人進行系統(tǒng)加固。3）漏洞修復。對漏洞進行驗證與風險確認，系統(tǒng)負責人聯(lián)合安全技術(shù)人員、系統(tǒng)供應(yīng)商以及漏洞修復系統(tǒng)根據(jù)漏洞的影響范圍、涉及系統(tǒng)與嚴重程度，設(shè)定修復時間，進行修復與處置，并向信息安全領(lǐng)導機構(gòu)反饋漏洞處置與修復情況。

6結(jié)語

安全漏洞是信息安全工作的重點，受到各領(lǐng)域研究者的關(guān)注。信息技術(shù)改變了圖書館原有的技術(shù)架構(gòu)、服務(wù)體系、運營模式，帶來了開放式、泛在化、智能化、便捷化的圖書館信息服務(wù)，但開放復雜的信息系統(tǒng)也不可避免地帶來了一系列信息安全問題，使圖書館業(yè)務(wù)系統(tǒng)、數(shù)據(jù)安全、個人信息受到不同程度的安全威脅。文章在深入分析圖書館領(lǐng)域信息安全漏洞特征及引發(fā)風險的基礎(chǔ)上，構(gòu)建信息安全風險應(yīng)對機制，提出圖書館信息安全風險應(yīng)對措施。在后續(xù)工作中，筆者將進一步加強圖書館領(lǐng)域信息安全漏洞的特征分析，拓展分析其深度與廣度，以反映安全漏洞引發(fā)的圖書館信息安全風險現(xiàn)狀。

［參考文獻］

［1］王彤.大數(shù)據(jù)時代下的圖書館跨界服務(wù)信息安全技術(shù)問題及對策［J］.圖書館理論與實踐，2016（6）：99-103.

［2］茆意宏，黃水清.數(shù)字圖書館信息安全管理依從標準的選擇［J］.中國圖書館學報，2010，36（4）：54-60.

［3］李媛.近五年來數(shù)字圖書館信息安全問題研究綜述［J］.圖書館學研究，2005（12）：10-15.

［4］劉杰，王志成，王薇.淺談數(shù)字圖書館的網(wǎng)絡(luò)信息安全［J］.現(xiàn)代情報，2005（12）：87-88，92.

［5］鄭德俊，任妮，熊健，等.我國數(shù)字圖書館信息安全管理現(xiàn)狀［J］.現(xiàn)代圖書情報技術(shù)，2010（Z1）：27-32.

［6］周秀霞，張立新.吉林省高校圖書館信息安全問題及對策研究［J］.圖書館學研究，2016（3）：7-10，63.

［7］宋超臣，黃俊強，王大萌，等.計算機安全漏洞檢測技術(shù)綜述［J］.信息網(wǎng)絡(luò)安全，2012（1）：77-79.

［8］吳世忠.信息安全漏洞分析回顧與展望［J］.清華大學學報（自然科學版），2009，49（S2）：2065-2072.

［9］文偉平，吳興麗，蔣建春.軟件安全漏洞挖掘的研究思路及發(fā)展趨勢［J］.信息網(wǎng)絡(luò)安全，2009（10）：78-80.

［10］黃水清，任妮.數(shù)字圖書館信息安全風險評估的方法與模型［J］.圖書情報工作，2014，58（2）：14-20.

［11］黃水清，朱曉歡.基于ISO27001的數(shù)字圖書館信息資產(chǎn)風險評估［J］.圖書情報工作，2006（11）：79-82，120.

［12］張元俊.高校圖書館網(wǎng)絡(luò)信息安全體系建設(shè)［C］∥中國高科技產(chǎn)業(yè)化研究會智能信息處理產(chǎn)業(yè)化分會.第十五屆全國信號和智能信息處理與應(yīng)用學術(shù)會議論文集.出版社，2022：138-143.

［13］黃國彬，鄭霞，王婷.云服務(wù)協(xié)議引發(fā)的信息安全風險及圖情機構(gòu)的應(yīng)對措施［J］.圖書情報工作，2020，64（12）：38-48.

［14］丁嵐.高等院校圖書館計算機網(wǎng)絡(luò)安全與防范：TCP/IP網(wǎng)絡(luò)協(xié)議漏洞分析及解決途徑［J］.黑龍江科技信息，2016（16）：161-162.

［15］朱蘭芳.圖書館數(shù)據(jù)安全漏洞分析［J］.網(wǎng)絡(luò)財富，2009（1）：125-127.

［16］楊成杰.安全漏洞檢測方法與圖書館網(wǎng)絡(luò)安全防護［J］.高校圖書館工作，2006（4）：35-37，61.

［17］白莉娜.圖書館檢索機系統(tǒng)漏洞與安全解決方案［J］.科技信息，2006（6）：173.

［18］孫戈.公共圖書館網(wǎng)絡(luò)信息安全風險與防范策略［J］.圖書館理論與實踐，2018（11）：19-22.

［19］袁錦波，余育仁，劉悅?cè)?高校圖書館網(wǎng)站信息安全等級保護研究［J］.圖書館建設(shè)，2020（S1）：110-113.

［20］陳慶標，李風.基于ITBPM模型的圖書館信息安全風險評估［J］.農(nóng)業(yè)圖書情報學刊，2016，28（11）：42-45.

［21］任妮，黃水清.新版ISO 27000要求下的數(shù)字圖書館信息安全管理［J］.圖書與情報，2015（6）：38-46.

［22］陳臣.大數(shù)據(jù)環(huán)境下數(shù)字圖書館安全威脅與對策研究［J］.圖書館工作與研究，2014（11）：34-38.

［23］李鵬，楊紅玲.云計算環(huán)境下的圖書館信息資源安全問題思考［J］.新世紀圖書館，2011（4）：41-42，61.

［24］程羅德.大數(shù)據(jù)環(huán)境下數(shù)字圖書館信息安全策略研究［J］.圖書館學刊，2020，42（1）：74-79.

［25］吳蛟鵬.大數(shù)據(jù)時代圖書館信息安全問題探討［J］.圖書館研究與工作，2017（8）：44-46.

［26］曾子明，孫守強.智慧圖書館人工智能風險分析與防控［J］.圖書館學研究，2020（17）：28-34，15.

［收稿日期］2023-04-20

［作者簡介］王秋云（1986—），女，碩士，館員，湖南圖書館。