李 继

（中国信息安全研究院有限公司 北京 102209）

内容提要：智慧博物馆的建设在促进博物馆信息化的同时也给博物馆信息系统安全带来挑战。博物馆信息系统安全包括网络安全和信息安全。网络安全需在系统应用层、传输层、互联网层、网络接口层各环节设置，信息安全需从身份鉴别、访问控制、密码保护、安全审计、操作系统安全、数据库安全、边界安全、应用系统安全几个方面加以强化。博物馆信息系统建设和安全体系建设应同步规划、同步建设、同步发展；同时应完善管理制度，只有“技管并重”才能真正保障信息系统安全。

2014年2月27日中央网络安全和信息化领导小组宣告成立，由习近平总书记兼任组长。中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过《中华人民共和国网络安全法》，该法令自2017年6月1日起施行。这既反映了目前我国对于信息安全的重视程度，也说明了我国当前信息安全面临的严峻性、迫切性挑战。“没有网络安全就没有国家安全，没有信息化就没有现代化。”[1]习近平总书记的这一重要论述把网络安全上升到了国家安全的层面，为推动我国建立网络安全体系、树立正确网络安全观指明了方向。网络安全和信息化是相辅相成的，安全是信息化发展的前提，信息化发展是安全的保障，网络安全和信息化发展要同步推进。

2012年国家文物局组织的重点课题“中国智慧博物馆建设可行性研究”提出了我国智慧博物馆建设的基本内容和发展思路。2014年4月在成都召开的“智慧博物馆试点工作推进会”标志着我国智慧博物馆建设工作正式启动。经过近几年的试点建设和宣传推广，越来越多的博物馆加入到智慧化建设的行列中。智慧博物馆的建设一方面促进了博物馆的信息化，另一方面也给信息系统带来安全威胁。构建完整有效的信息系统安全防范体系，是智慧博物馆建设不可或缺的重要基础性工作。

一、智慧博物馆的信息系统基本结构

有关资料显示，目前各地博物馆智慧化建设进度差异明显，大中型博物馆已经基本拥有不同复杂程度的信息系统，但大多数县级/小型博物馆则仅有简单的办公设备和基础的藏品管理系统。从敦煌研究院[2]、湖北省博物馆、上海科技馆、苏州博物馆[3]和广东省博物馆[4]等建成的网络系统架构可以发现，大型博物馆的网络系统较为复杂，而多数市级博物馆等中型博物馆网络系统相对简约。但无论网络体量及结构复杂程度差异多大，都可以将博物馆网络系统从功能的角度分为安防网络、设备网络和信息网络三个部分。安防网络由视频监控、电子门禁和红外报警等维护馆内公共安全的子系统构成；设备网络主要面向建筑自动化设备，用于建筑内温控、照明和电梯等机电设备的自动监测和自动控制；信息网络承载着博物馆的各类业务应用系统，如藏品管理信息系统、文物保护信息系统和观众服务系统等，是智慧博物馆信息系统的核心部分，很容易成为攻击目标。信息系统的安全可以分为网络安全和信息安全两个方面。网络安全主要针对信息网络，涉及信息网络结构的安全设置和防护；信息安全则包括安防网络、设备网络和信息网络中的信息交换、传输、存储和利用过程中的安全策略配置。下文将分别从网络安全防护和信息安全防护的角度对智慧博物馆信息系统安全防范体系进行分析。

二、智慧博物馆网络安全防护

对信息网络的保护是智慧博物馆网络安全防护的主要内容。讨论网络安全不仅涉及网络本身，而且宜从TCP/IP四层网络模型的角度进行分析（TCP/IP即传输控制协议/网际协议，TCP/IP网络模型各层包含了实现不同功能的各种网络协议，模型以其中最有代表性的TCP/IP协议命名）。

（一）TCP/IP网络模型分层及各层安全隐患

TCP/IP网络模型的分层实际是对各类网络协议的分层，具体可分为应用层、传输层、互联网层和网络接口层。

应用层是最靠近用户的一层，可以理解为各应用系统使用约定的统一规则（即协议）进行通信。其中如TFTP（简单文件传输协议）、SMTP（简单邮件传输协议）等协议没有任何安全措施，Telnet（远程终端协议）、FTP（文件传输协议）等协议则只提供简单的口令防护措施，应用系统或操作系统使用此类协议会有很大的安全隐患，攻击者在截获数据包后就能轻易获得用户的口令密码和其他传输的内容。

传输层实现的是端到端通信，也就是从一台计算机的端口到另一台计算机的端口，每个端口后面连接着某个应用的一个服务。很多常见的应用服务和系统服务都约定俗成地使用了固定的端口，让攻击者有了可乘之机。如著名的MS08-067漏洞就是利用操作系统SMB（服务信息块）服务连接的445端口入侵计算机，获得计算机的控制权。

互联网层是我们常说的IP（网际互连协议）协议层，负责建立网络中两个节点间的连接，博物馆本地网络与外界网络之间的通信就发生在这一层。通过IP地址寻找连接对象的过程是由多台路由器层层转发实现的，其中的风险来自两个方面：一是IP协议本身的设计缺陷带来的安全隐患，导致网络窥探、IP源地址欺骗等入侵方式；二是利用如ICMP（互联网控制报文协议）和弱口令漏洞等对博物馆出口处的路由器发起攻击，引起路由器CPU过载，导致博物馆面向公众的服务中断。

网络接口层用于网络中的物理设备间建立连接，分为有线和无线两种方式。在博物馆内有线方式主要靠交换机实现。由于涉及设备物理地址和网络地址的转换，基于此产生的ARP（地址解析协议）攻击和VLAN（虚拟局域网）攻击是比较常见的风险来源。无线方式主要靠分布在馆内的无线AP（无线访问接入点）实现，无线AP由于本身特点，面临的安全威胁比有线方式更广泛，常见的攻击方式有通过伪造基站非法获取连接者信息、发起DoS（拒绝服务）攻击阻塞无线信道等。

（二）网络安全防护措施

1.应用层防护措施

由于博物馆使用的业务应用数量众多，其复杂性导致应用层不能只对某一类资源或协议进行单独的保护。智慧博物馆中常见的解决方案是把门户系统作为整个系统的入口，在门户系统对用户进行统一的身份认证后，再跳转到其他的应用系统，所以门户系统的安全性是整个应用层安全的基础。博物馆在开发门户系统的用户登录模块时，应确保口令的传输和用户登录凭证的安全，登录状态不能被盗用；同时，博物馆应严格按照包括所有内部用户和外部用户在内的不同角色分配访问权限，通过固定的接口访问应用系统资源，保证应用层的安全。

2.传输层防护措施

对传输层的保护实际就是对端口的保护，比较常见的手段是在博物馆的不同网络区域间设置防火墙，限制不同区域间的端口连接。容易被忽视的一点是网络中的服务器和办公电脑本身也开放了很多端口，如果有来自内部的攻击，或有内部的设备被攻破成为跳板，就能绕过防火墙发起攻击，所以博物馆内服务器或办公电脑在启用后应及时关闭暂不使用的端口。

3.互联网层防护措施

互联网层的安全主要是针对IP协议和路由器，为了隐藏博物馆内设备的真实地址，可以在互联网出口配置一台反向代理服务器，并关闭路由器上不安全的远程连接方式，开启路由器上的禁用ICMP重定向、禁用IP源路径等安全策略。

4.网络接口层防护措施

网络接口层的防护分为有线和无线两类。有线网络接口层防护主要靠交换机策略配置实现，博物馆本地所有使用中的交换机端口应绑定IP和MAC（硬件设备标识）地址，除干路端口外其余端口均配置为Access（接入型链路）工作模式，关闭端口的DTP（动态中继协议）功能，将暂不使用的端口逻辑关闭并划分到同一备用VLAN。另外，规模较小的博物馆可以禁用交换机的远程登录，规模较大的博物馆则要避免使用Telnet等不安全的方式远程登录交换机。无线网络接口层防护主要是对无线AP的防护，首先，需确保博物馆内无线AP采用WPA/WPA2（Wi-Fi访问保护）安全加密机制；然后，在馆内的无线基站部署WIDS（无线入侵检测系统），防范入侵者的监听和拒绝服务攻击。

三、智慧博物馆信息安全防护

智慧博物馆的信息安全防护主要是对安防网络、设备网络和信息网络运行过程的安全评估、监测、审计、利用、存储等策略进行设置，提升信息系统发现和预防违规行为的能力，可以归纳为八个方面的要求。

1.身份鉴别

身份鉴别包括进入计算机操作系统、数据库、视频监控系统、交换机管理和路由器管理等各种馆内系统和设备时的口令要求，包括口令的长度、复杂度、更换周期、超时重鉴别时间、连续失败锁定次数和锁定时长等策略。安防网络应根据《文物系统博物馆风险等级和安全防护级别的规定（GA27-2002）》[5]设置身份鉴别策略，其他网络应根据《信息安全技术网络安全等级保护基本要求（GBT22239-2019）》[6]第二级基本要求设置身份鉴别策略。

2.访问控制

访问控制遵循最小授权原则，分为物理层面和网络层面。物理层面要把博物馆的关键信息设备集中存放在独立封闭的设备间，设备间安装电子门禁，对进出的人员进行鉴别和审计。网络层面要根据博物馆员工的实际业务需求分配员工可以访问的系统资源，通过划分VLAN和ACL（访问控制列表），确保员工只能访问到自己权限内的信息。

3.密码保护

密码保护分为数据传输加密和数据存储加密。数据传输加密主要是防止在互联网传输的密码等信息被窃取，通过对博物馆门户网站的登录过程使用SSL（安全套接字协议）加密来实现。数据存储加密针对的是博物馆中各应用系统的后台数据，服务器上的后台数据应使用密文存储或保存在加密的数据库中，防止博物馆的运维人员或外部维修人员从后台非授权获取业务信息。

4.安全审计

安全审计分为数据库审计、服务器审计、终端审计、应用系统审计和网络审计。其中数据库审计、服务器审计和终端审计使用操作系统自带审计功能；应用系统审计要求博物馆开发的应用系统具备日志记录功能，将用户登录、访问业务数据和应用系统内的关键操作等记入日志，是博物馆审查和分析员工可疑行为和违规操作的途径。

5.操作系统安全

操作系统厂商会定期公布新的操作系统漏洞，已知的操作系统漏洞很容易被攻击者用来获取操作系统权限。博物馆应定期为馆内所有办公电脑、服务器和其他智能终端设备安装操作系统补丁，确保不存在已知漏洞。

6.数据库安全

数据库安全分两点：一是与操作系统相同，数据库也存在漏洞，应定期为博物馆的数据库系统安装补丁；二是应完善数据库策略，通过关闭数据库远程登录、封存数据库根账号和加强扩展存储过程管理等方式确保数据库安全。

7.边界安全

边界安全指信息系统的逻辑边界安全，可分为三个方面：一是在博物馆的互联网出口设置反向代理服务器，既保护内部服务器，而且后续也能在该服务器上安装入侵防御、WEB应用（使用浏览器通过互联网访问的应用程序）防火墙等服务；二是在反向代理服务器后设置边界防火墙，实现面向互联网的访问控制和安全审计；三是使用交换机把博物馆内部的信息系统按照职能和权限范围划分不同区域，控制区域间的访问行为。

8.应用系统安全

博物馆使用的应用系统除满足以上几条要求外，还要在投入使用前进行代码安全分析，特别是门户系统、票务系统和智慧导览系统等面向公众的应用系统[7]。这些应用系统能够从互联网上直接访问，是攻击者的首选目标，应用系统本身存在缺陷和漏洞就是对攻击者敞开大门。

四、智慧博物馆信息系统安全防范体系发展建议

通过对网络安全与信息安全的安全防护手段进行分析，可以确定智慧博物馆信息系统建设中需遵循的安全原则，但具体实施中仍会遇到一些实际问题，本文尝试对其中三个问题提出相关建议。

1.应用系统建设

大型综合性博物馆往往开展信息化建设较早，由于建设时缺乏长远规划，多数应用系统仅满足了建设时的基础业务需求，未实现应用接口标准化。在智慧博物馆建设过程中，这些旧有应用会被逐步改造替换，但应用系统设计和开发过程中，应用系统的安全防护要求或未得到应有的重视。以上海某博物馆为例（出于博物馆信息系统安全考虑，文中省略了具体馆名），在其现有的智慧博物馆建设设计方案中，涉及包括门户网站、售票系统和协同办公系统等大量应用系统的升级改造，该智慧博物馆的设计方案仅从功能模块设计和业务流程设计方面对应用系统提出要求，缺乏应用系统安全方面的考量。为避免这类问题，智慧博物馆的设计者在对应用系统进行设计开发前，应当从发展的角度分析业务需求，在方案中加入应用系统的安全保障相关内容，具体可从身份鉴别、访问控制、管理员账号管理、数据库安全、安全审计、信息加密和代码审查等方面做出安排。

2.安全防护设备配置

随着时间的推移，攻击者入侵信息系统的手段必然会越来越多样化，而目前很多博物馆的安全防护手段已经难以应对。以湖南省某博物馆为例，该馆在智慧博物馆建设中采购了大量信息设备，新建机房采购服务器搭建一套本地私有云环境，将原有机房改建为灾备机房，新增存储阵列和UPS（不间断电源）等设备，达到了较高的信息化水平。但是，在博物馆的互联网出口仅靠传统防火墙防护，采用的防护策略是限制不同区域间的服务和端口通信，防火墙自身也只能阻止泛洪类攻击。这样的信息系统在遭遇WEB应用攻击和现今极具威胁的APT（持续定向威胁）攻击时防护能力已经不能满足需求。如果博物馆仅依靠自身力量解决这个问题，不仅需要购买APT防火墙、WAF（WEB应用防火墙）和态势感知设备等安全防护设备，也需要维持一支实时关注黑客技术发展的信息化团队，这会带来高昂的成本。一个可选的方案是博物馆根据应用系统的用户群体将信息系统分割为内部和外部两个部分，将外部信息系统搭建在租用的云平台上，云平台与博物馆本地网络间通过VPN加密连接，用这种方式将安全风险转移给云服务提供商，依靠云服务提供商的专业安全团队防御来自互联网的安全威胁。

3.中小型博物馆的信息系统安全防范体系建设

我国目前大量的中小型博物馆仅有一台或少量服务器，防火墙薄弱甚至没有防火墙，部分小型博物馆的日常办公还在依靠QQ和微信等通信手段。中小型博物馆受客观条件限制，难以独立承担智慧博物馆建设，更无法保证信息系统安全。对于这个问题，吉林省数字博物馆在线服务平台的建设提供了一种解决思路[8]。吉林省博物院牵头建设了吉林省数字博物馆在线服务平台，为省内数十家中小型博物馆提供了集中展示和在线办公的环境。这种方式由省级博物馆带动地方博物馆，由发展成熟的博物馆带动资源匮乏的博物馆，构建区域型智慧博物馆体系，在推动中小型博物馆智慧博物馆建设的同时也能有足够的资源保证信息系统安全。

五、结语

博物馆在探索信息化技术创新的同时，应重视信息系统的网络安全与信息安全，保证信息系统与安全防范体系两者同步规划、同步建设、同步发展。在此基础上，博物馆应根据自身情况制定完善的管理制度和安全策略文档，因为信息系统的安全离不开安全管理体系的建设，只有“技管并重”才能真正保障信息系统安全。此外，智慧博物馆在设计方案中采用云计算、云存储和物联网等新技术前，设计人员应全面分析这些技术带来的安全隐患，并形成安全防范体系的迭代提升机制以应对信息技术的迭代更新[9]。我国的智慧博物馆还处在初步发展阶段，任重而道远，智慧博物馆的建设尚缺乏统一的标准和规范，需要加强国家层面的顶层设计和统筹规划，推动智慧博物馆的标准化规范化建设。在这一过程中，还应注意新技术的层出不穷在给智慧博物馆带来新机遇的同时也会带来新挑战。