◆梁愛梅

(國家圖書館 北京 100081)

計算機終端是指供個人日常辦公使用的、能獨立進行數(shù)據(jù)處理及提供網(wǎng)絡服務訪問的臺式微型計算機系統(tǒng)、便攜微型計算機系統(tǒng)、瘦客戶機系統(tǒng)或虛擬終端系統(tǒng)等，不包含智能移動終端（如掌上電腦、智能移動電話等）[1]。隨著公共圖書館全面信息化建設，計算機深入到日常辦公及讀者服務之中，從辦公自動化、財務管理、人事管理到圖書借還、出入門禁、讀者辦證，大大提高了圖書館員的工作效率，但同時給公共圖書館計算機網(wǎng)絡系統(tǒng)帶來了網(wǎng)絡安全風險。當前，公共圖書館在建設網(wǎng)絡系統(tǒng)時，更多地考慮了信息系統(tǒng)的安全防護，對于計算機終端的安全管理較弱，計算機終端安全是網(wǎng)絡安全的一個薄弱環(huán)節(jié)。

1 公共圖書館計算機終端分類

多年以來，公共圖書館的信息化進程加速，計算機終端數(shù)量劇增，并且滲入到圖書館業(yè)務的各個方面。據(jù)2019年的《中國統(tǒng)計年鑒》數(shù)據(jù)顯示，截至2018年，全國有公共圖書館3176個，計算機 223521臺[2]。根據(jù)計算機終端的使用者以及承載的業(yè)務來區(qū)分，計算機終端主要分為以下幾類：

（1）員工用機。這類計算機終端的使用者是圖書館員，數(shù)量一般與圖書館人員數(shù)量正相關(guān)，物理位置分布于圖書館的各個區(qū)域，一般用于日常辦公，少量用于對讀者服務，例如辦證處、咨詢臺等。

（2）駐館公司人員用機。由于數(shù)據(jù)加工、信息系統(tǒng)建設與維護等業(yè)務需要，會有外部公司人員在館內(nèi)辦公，這類計算機終端可能是圖書館資產(chǎn)，也可能是外部人員自帶的計算機終端設備，使用場景一般在辦公區(qū)。

（3）閱覽室讀者用機。圖書館購買大量數(shù)字資源，部分數(shù)據(jù)庫數(shù)字資源只在圖書館內(nèi)網(wǎng)具有訪問權(quán)限，為給讀者提供更便利的數(shù)字資源查詢服務，圖書館會在讀者閱覽區(qū)、電子閱覽室部署讀者用機，提供數(shù)字資源的查詢、檢索、下載等服務。這類計算機終端資產(chǎn)物理位置固定，但使用者有很大的流動性。

（4）讀者計算機終端。圖書館為讀者提供無線網(wǎng)絡服務，讀者通過自帶的筆記本電腦，可以連接無線網(wǎng)絡接入圖書館網(wǎng)絡系統(tǒng)，該類計算機終端的流動性較強。

（5）讀者展示設備及其他智能設備終端。為豐富讀者閱讀方式，圖書館會提供觸摸屏、展示屏、朗讀亭等終端設備，使讀者更直觀的體驗圖書館數(shù)字化服務。另外隨著人工智能等技術(shù)的普及，智能機器人、人臉識別設備等也進入了圖書館。

由于圖書館計算機終端品類功能繁多，使用人員多樣，物理位置分布分散，因此網(wǎng)絡安全管理人員在進行終端管理時也面臨諸多困難。

2 公共圖書館計算機終端風險分析

公共圖書館的網(wǎng)絡與其他局域網(wǎng)的建設具有共性，同時因其公益性也有自身特點，其面臨的安全威脅也多種多樣，以下是幾種重要的安全風險。

2.1 計算機病毒

病毒是通過感染計算機文件進行傳播，以破壞或篡改用戶數(shù)據(jù)，影響系統(tǒng)正常運行為主要目的的惡意代碼，具有不可估量的威脅性和破壞力。近年來，由于互聯(lián)網(wǎng)的普及，病毒的傳播更加簡單。根據(jù)國家互聯(lián)網(wǎng)應急中心對于網(wǎng)絡病毒的監(jiān)測數(shù)據(jù)顯示，2020年2月，境內(nèi)感染網(wǎng)絡病毒的終端數(shù)為132萬余個。由于數(shù)字圖書館工程、數(shù)字圖書館推廣工程的實施，公共圖書館數(shù)字化、網(wǎng)絡化、信息化不斷加強，計算機終端作為網(wǎng)絡體系中重要的組成部分，計算機終端的病毒防范是網(wǎng)絡安全建設中的重要一環(huán)。病毒的來源可能是網(wǎng)絡，也可能是外界存儲介質(zhì)，一旦內(nèi)網(wǎng)中出現(xiàn)感染的計算機終端，也將是內(nèi)網(wǎng)中的一大安全威脅。

2.2 操作系統(tǒng)安全漏洞

目前，在桌面終端使用數(shù)量最多的仍是Windows操作系統(tǒng)，由于本身的技術(shù)缺陷存在系統(tǒng)漏洞，近年來更是漏洞頻出。漏洞可能會導致攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng)，導致計算機終端面臨安全風險。例如“永恒之藍”漏洞自2017年爆發(fā)以來，洗劫全球150多個國家，至今由其演變的Wannacry勒索病毒仍不斷變種，并對存在漏洞的計算機進行攻擊。

公共圖書館的局域網(wǎng)中如果存在具有漏洞的計算機終端，且未采取任何防護措施，黑客很容易攻破，由此造成的損失難以估算。一旦黑客掌控了內(nèi)網(wǎng)的計算機終端，很可能會造成信息泄露、信息系統(tǒng)被攻擊、數(shù)據(jù)丟失等。

2.3 數(shù)字資源非法占用

公共圖書館往往會購買或自建大量數(shù)字資源，對于外購資源，數(shù)據(jù)庫商往往根據(jù)IP地址進行權(quán)限配置，即只有特定IP地址有使用權(quán)限，這些數(shù)字資源是為方便讀者到館查閱資料。但也存在一些不法分子，借圖書館權(quán)限非法大量下載數(shù)字資源，而數(shù)據(jù)庫商往往對這種大量訪問或下載的 IP地址進行限制，進而影響有需求的讀者使用。

3 計算機終端安全管理措施

3.1 加強硬件安全管理

根據(jù)前文對公共圖書館計算機終端的分類分析可知，其網(wǎng)絡系統(tǒng)中的計算機終端除讀者自帶筆記本外，都屬于圖書館資產(chǎn)或可溯源資產(chǎn)，加強對資產(chǎn)的管理對于計算機終端安全防護具有重要意義。資產(chǎn)管理是終端管理的基礎(chǔ)，將終端的信息進行實名登記，通過記錄計算機終端的相關(guān)信息進行有針對性的防護。

公共圖書館中有些離線計算機終端完成工作任務，例如財務系統(tǒng)以及部分加工工作，對于此類應用場景，數(shù)據(jù)的導入導出需要通過移動存儲介質(zhì)。外接存儲介質(zhì)很可能帶來病毒，對于存儲設備的管理也有其重要。目前有些安全產(chǎn)品會提供對于外接存儲介質(zhì)的管理功能，對于存儲介質(zhì)的使用環(huán)境進行限制，可以細化到存儲介質(zhì)的文件的權(quán)限配置，也可以記錄操作日志，從而將其對計算機終端的安全風險降低。

3.2 系統(tǒng)及軟件層面防護

（1）安裝正版操作系統(tǒng)及軟件

公共圖書館的計算機終端資產(chǎn)，一般會統(tǒng)一購買操作系統(tǒng)，對于駐館公司人員也應在正版化方面做要求，對計算機終端用戶使用的辦公軟件也應要求必須安裝正版。

（2）安裝防病毒軟件

防病毒是終端安全管理的最基本方式，對于接入到網(wǎng)絡中的計算機終端進行病毒查殺，殺毒后對已感染的病毒進行分析，有利于了解病毒類型及感染數(shù)，從而分析病毒趨勢。

（3）補丁管理

公共圖書館可以利用補丁管理技術(shù)，對計算機終端的操作系統(tǒng)及軟件的補丁進行集中管理，可以自動下發(fā)及安裝，通過及時修復操作系統(tǒng)或軟件的漏洞，保障計算機終端不被利用漏洞而遭受攻擊。

（4）系統(tǒng)自動還原

對于電子閱覽室的讀者用機，往往不需要保留讀者的文件，因此可以對該部分計算機終端進行重啟后自動還原的設置，進而避免因讀者使用不當帶來的安全風險。

（5）計算機終端配置安全

通過對計算機終端的操作系統(tǒng)、應用軟件、瀏覽器及防病毒軟件等的適當配置，設定關(guān)鍵的安全參數(shù)，是提高計算機終端的有效方法。對于計算機終端的配置需要有針對進行管理，例如對用戶權(quán)限、共享資源、遠程登錄等進行限制，禁止一些高危端口的訪問，加強對于口令強度及使用時限的管理。

3.3 準入控制技術(shù)

非授權(quán)計算機終端連接到內(nèi)部網(wǎng)絡，往往帶來內(nèi)部信息泄露、對內(nèi)部信息系統(tǒng)攻擊以及病毒傳播等風險。目前主要存在三種準入控制技術(shù)：純軟件方式準入控制、與網(wǎng)絡設備聯(lián)動準入控制、基于第三方應用設備準入控制[3]。通過準入控制技術(shù)，避免非授權(quán)計算機終端的風險。

4 結(jié)語

公共圖書館信息化發(fā)展日新月異，云計算、物聯(lián)網(wǎng)、人工智能等新技術(shù)不斷涌現(xiàn)，新技術(shù)的應用也給安全管理工作帶來新的挑戰(zhàn)。計算機終端安全是網(wǎng)絡安全及其重要的組成部分，在未來，公共圖書館的網(wǎng)絡安全管理人員如何做好終端安全的管理工作，需要進一步的研究和思考。