【摘要】随着博物馆信息化技术的不断推进，随之而来的网络安全问题也变得极为复杂。本文以博物馆网络安全技术为研究对象，就博物馆网络安全技术进行了探讨。

【关键词】博物馆；网络安全；架构体系；分层防御

【中图分类号】TP309 【文献标识码】A

随着国内文化旅游事业的不断发展，网络技术在博物馆中的应用越来越普遍，博物馆已经开始从数字博物馆向智慧博物馆过渡，这让博物馆提高了管理效率又增强了观众体验，同时也产生了较大的网络安全隐患。对此，博物馆要积极加强信息化安全工作，从多个方面着手，加强对博物馆网络安全的防护。

总书记在2016年4月19日召开的网络安全和信息化工作座谈会上指出：“安全是发展的前提，发展是安全的保障，安全和发展要同步推进。要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。” 对于博物馆这种大型公共场所，网络的安全性不容忽视。网络的安全性会直接影响到博物馆整个信息化系统的安全性，所以，如何提供安全的网络运行环境至关重要。

一、目前博物馆网络安全威胁

（一）网络传输安全

博物馆信息化的发展随着科技的发展越来越受到重视，绝大多数的博物馆都建立了有线基础网络系统，也具备了防火墙等最为基础的信息安全设备。但随着博物馆无线网络的加入和日渐增多的应用层业务系统基础的叠加，新的网络安全隐患随之而来。这些新系统的加入大大增加了病毒和木马侵入的风险。同时，越来越多的博物馆因为观众的诉求和需要，把更多应用系统向观众开放，但是由于一些应用系统平台自身缺乏应用层的安全防御机制和验证保护，系统平台中存储的私密信息面临泄露和被篡改的巨大风险。

（二）接入设备安全

博物馆的日常工作研究和展览陈列中会用到很多的终端设备，在終端的硬件上容易出现人为的蓄意损坏，另外，在软件方面下载的各种文档和软件上可能带有各种病毒和恶意代码，同时，没有及时更新的系统漏洞和对于各种设备的安全管理不到位引起的漏洞，都可能导致整个网络系统变慢，甚至使业务系统不能正常运行、敏感数据泄露。

（三）服务应用安全

应用系统是向参观的观众和工作人员提供服务的，这些应用系统的安全直接关系到博物馆的日常运行。这些年随着应用系统的增多及复杂性的提高，应用系统的安全问题日益凸显，有从简单的连接网络层面攻击向复杂的服务应用层面攻击转变的态势。传统的属于连接网络层的防火墙安全手段对于服务应用层面的安全威胁无能为力。

鉴于目前博物馆出现的各种网络安全问题，展开博物馆网络系统内部与外部、应用层与网络层、技术层面和管理层面的安全防范与系统恢复措施等信息安全技术研究，已经成为当前刻不容缓的一件事。就像习近平总书记在2016年4月19日召开的网络安全和信息化工作座谈会上强调的，“网络的安全和发展是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。”

二、博物馆网络安全改造建设

目前，很多博物馆都进行的信息安全防护都是通过简单的增加防火墙等方式实现，属于较为原始的阶段，既不成体系又没有先进的方案，相对比金融、电力这些较早关注信息安全技术的行业具有很大的差距。

结合博物馆本身所具有的学术性和公众性特点，适应信息化新技术带来的新的信息化安全威胁，要根据博物馆信息系统的网络传输、接入设备系统、服务应用的保护，使用具有针对性的技术防护措施（见图1）。

（一）网络传输安全性改造

博物馆网络系统分为内网和外网。内网是为博物馆内部提供公共信息传输和资源共享的平台；外网主要运营博物馆的门户网站和部分业务系统。博物馆作为大型公共场所，除了工作人员使用的办公网络外，博物馆的大量包括观众服务系统、藏品数据系统等业务系统以及展厅内大量终端、展示平台、WiFi基站等都需要使用网络系统进行接入。网络系统一旦受到攻击，日常办公、展览均会受到影响。因此，博物馆网络系统安全既需要考虑安全防护和网络一体化设计、传输质量保障等能力，也需要规范博物馆网络系统的内网外网中各系统访问控制规范和策略规则，同时规范博物馆基础网络的接入控制和访问策略。

按照全面覆盖、不重叠、原子化的原则，同时使用网络虚拟化技术对于整体网络架构进行设计。根据博物馆网络与各个应用系统之间节点的结构、应用及相对应的安全等级要求，通过两个阶段的分步骤实施实现博物馆各个应用系统之间相互独立的安全域划分。

第一阶段：网络安全性能优化和安全域划分。根据博物馆网络的现实状况，对网络结构进行冗余设计，对主干网核心层的网络设备进行虚拟化设计，提高网络的安全性和坚强性。同时按照应用系统重要性和终端分布的不同，采用虚拟局域网（VLAN）技术进行隔离，或者直接在应用系统之间加装防火墙设备进行安全隔离。

第二阶段：应用系统和数据库系统的分离与迁移。目前很多博物馆的应用系统部署之间各自为政、错综复杂，存在多个应用共用一台服务器的状况。在这种情况下，一个应用系统发生安全问题，就会造成大量的关联系统出现问题，对应用层的安全防护难度无疑会加大很多。为了对应用系统更好地进行安全防护，考虑通过虚拟化迁移工具对运行在物理服务器上的应用实施虚拟化迁移，同时根据系统不同的安全性要求，将其用虚拟局域网（VLAN）技术划分到相对应的安全域中。伴随着应用系统的分离迁移工作，数据库也相应地需要进行分离，目的是对数据库的重要数据进行重点防护。

通过网络系统的安全改造，解决由于业务系统所在业务网络没有进行安全域划分所导致的网络安全问题，解决了各业务系统组网没有统一原则进行规划组网随意的问题，还同时规范了系统间和系统内的边界不明晰、访问控制混乱的问题。

（二）接入设备安全性改造

博物馆接入网络的设备我们要从硬件和软件两个方面进行安全性改造，从硬件上要对设备物理安全建立专门规范进行保护，保证设备的安全。从软件上需要建立态势感知设备，态势感知设备旁路连接在核心层交换机上，包括配置管理终端应用软件管理、终端系统安全管理（负责终端系统的服务端口开放管理与病毒情况监控，终端系统的账号口令策略的下发及监控）、终端桌面及主机设置管理（主机名称，电源的设置信息收集）、终端设备的上网管理、终端设备外设的安全管理、终端设备的补丁管理等。另外，还要建立防病毒网关设备，架设在防火墙之后、核心层交换机之前，检查和过滤所有进入内网的各种恶意代码和病毒。

（三）服务应用安全性改造

博物馆作为大型公共场所，针对其进行的攻击形式越来越多， DDoS（分布式拒绝服务攻击）、APT（高级持续性威胁）、WEB 应用方面的攻击漏洞都是常用的攻击手段。DDoS（分布式拒绝服务攻击）指借助于B/S（客户/服务器）技术，将多个计算机联合起来作为攻击平台，从而成倍地提高拒绝服务攻击的威力。对此可以在博物馆的接入防火墙前面串入DDos防火墙，对外，网的攻击流量进行清洗，达到安全防护的目的；APT是对特定目标进行长期定向渗透和数据窃取，主要体现在利用0day（未知威胁）漏洞、未知渗透工具对目标的长期性、持续性的控守，直至获取目标资产和目标数据。对此，可以在博物馆主干网络核心层上旁路连接针对APT的监测系统就各种未知威胁活动进行实时监测和预警，并根据风险分布、风险来源等进行威胁态势呈现；目前，博物馆对外都有门户网站、观众系统等Web应用，而这些都是网络攻击者最乐于攻击的目标，WAF防火墙则是专门针对WEB应用攻击的专用防火墙，将WAF防火墙直接串在主防火墻前面DDos防火墙之后，就可以对黑客发起的一系列WEB应用方面的攻击行为进行防御，能有效抵御包含覆盖式SQL攻击、注入式攻击、跨站脚本攻击等各种攻击类型的WEB安全威胁，为WEB应用提供了全方位的保护。

三、总结

博物馆作为大型的公共场所其网络安全防护已经日渐重要，总书记在2016年4月19日召开的网络安全和信息化工作座谈会上强调，网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。

参考文献：

[1]杜璋，陈云钊.博物馆信息安全技术体系研究[J].通信技术，2017，50（8）：1826-1830.

作者简介：李涵（1983-），男，本科，文博馆员，研究方向：博物馆信息化建设。