◆梁爱梅

(国家图书馆 北京 100081)

计算机终端是指供个人日常办公使用的、能独立进行数据处理及提供网络服务访问的台式微型计算机系统、便携微型计算机系统、瘦客户机系统或虚拟终端系统等，不包含智能移动终端（如掌上电脑、智能移动电话等）[1]。随着公共图书馆全面信息化建设，计算机深入到日常办公及读者服务之中，从办公自动化、财务管理、人事管理到图书借还、出入门禁、读者办证，大大提高了图书馆员的工作效率，但同时给公共图书馆计算机网络系统带来了网络安全风险。当前，公共图书馆在建设网络系统时，更多地考虑了信息系统的安全防护，对于计算机终端的安全管理较弱，计算机终端安全是网络安全的一个薄弱环节。

1 公共图书馆计算机终端分类

多年以来，公共图书馆的信息化进程加速，计算机终端数量剧增，并且渗入到图书馆业务的各个方面。据2019年的《中国统计年鉴》数据显示，截至2018年，全国有公共图书馆3176个，计算机 223521台[2]。根据计算机终端的使用者以及承载的业务来区分，计算机终端主要分为以下几类：

（1）员工用机。这类计算机终端的使用者是图书馆员，数量一般与图书馆人员数量正相关，物理位置分布于图书馆的各个区域，一般用于日常办公，少量用于对读者服务，例如办证处、咨询台等。

（2）驻馆公司人员用机。由于数据加工、信息系统建设与维护等业务需要，会有外部公司人员在馆内办公，这类计算机终端可能是图书馆资产，也可能是外部人员自带的计算机终端设备，使用场景一般在办公区。

（3）阅览室读者用机。图书馆购买大量数字资源，部分数据库数字资源只在图书馆内网具有访问权限，为给读者提供更便利的数字资源查询服务，图书馆会在读者阅览区、电子阅览室部署读者用机，提供数字资源的查询、检索、下载等服务。这类计算机终端资产物理位置固定，但使用者有很大的流动性。

（4）读者计算机终端。图书馆为读者提供无线网络服务，读者通过自带的笔记本电脑，可以连接无线网络接入图书馆网络系统，该类计算机终端的流动性较强。

（5）读者展示设备及其他智能设备终端。为丰富读者阅读方式，图书馆会提供触摸屏、展示屏、朗读亭等终端设备，使读者更直观的体验图书馆数字化服务。另外随着人工智能等技术的普及，智能机器人、人脸识别设备等也进入了图书馆。

由于图书馆计算机终端品类功能繁多，使用人员多样，物理位置分布分散，因此网络安全管理人员在进行终端管理时也面临诸多困难。

2 公共图书馆计算机终端风险分析

公共图书馆的网络与其他局域网的建设具有共性，同时因其公益性也有自身特点，其面临的安全威胁也多种多样，以下是几种重要的安全风险。

2.1 计算机病毒

病毒是通过感染计算机文件进行传播，以破坏或篡改用户数据，影响系统正常运行为主要目的的恶意代码，具有不可估量的威胁性和破坏力。近年来，由于互联网的普及，病毒的传播更加简单。根据国家互联网应急中心对于网络病毒的监测数据显示，2020年2月，境内感染网络病毒的终端数为132万余个。由于数字图书馆工程、数字图书馆推广工程的实施，公共图书馆数字化、网络化、信息化不断加强，计算机终端作为网络体系中重要的组成部分，计算机终端的病毒防范是网络安全建设中的重要一环。病毒的来源可能是网络，也可能是外界存储介质，一旦内网中出现感染的计算机终端，也将是内网中的一大安全威胁。

2.2 操作系统安全漏洞

目前，在桌面终端使用数量最多的仍是Windows操作系统，由于本身的技术缺陷存在系统漏洞，近年来更是漏洞频出。漏洞可能会导致攻击者在未授权的情况下访问或破坏系统，导致计算机终端面临安全风险。例如“永恒之蓝”漏洞自2017年爆发以来，洗劫全球150多个国家，至今由其演变的Wannacry勒索病毒仍不断变种，并对存在漏洞的计算机进行攻击。

公共图书馆的局域网中如果存在具有漏洞的计算机终端，且未采取任何防护措施，黑客很容易攻破，由此造成的损失难以估算。一旦黑客掌控了内网的计算机终端，很可能会造成信息泄露、信息系统被攻击、数据丢失等。

2.3 数字资源非法占用

公共图书馆往往会购买或自建大量数字资源，对于外购资源，数据库商往往根据IP地址进行权限配置，即只有特定IP地址有使用权限，这些数字资源是为方便读者到馆查阅资料。但也存在一些不法分子，借图书馆权限非法大量下载数字资源，而数据库商往往对这种大量访问或下载的 IP地址进行限制，进而影响有需求的读者使用。

3 计算机终端安全管理措施

3.1 加强硬件安全管理

根据前文对公共图书馆计算机终端的分类分析可知，其网络系统中的计算机终端除读者自带笔记本外，都属于图书馆资产或可溯源资产，加强对资产的管理对于计算机终端安全防护具有重要意义。资产管理是终端管理的基础，将终端的信息进行实名登记，通过记录计算机终端的相关信息进行有针对性的防护。

公共图书馆中有些离线计算机终端完成工作任务，例如财务系统以及部分加工工作，对于此类应用场景，数据的导入导出需要通过移动存储介质。外接存储介质很可能带来病毒，对于存储设备的管理也有其重要。目前有些安全产品会提供对于外接存储介质的管理功能，对于存储介质的使用环境进行限制，可以细化到存储介质的文件的权限配置，也可以记录操作日志，从而将其对计算机终端的安全风险降低。

3.2 系统及软件层面防护

（1）安装正版操作系统及软件

公共图书馆的计算机终端资产，一般会统一购买操作系统，对于驻馆公司人员也应在正版化方面做要求，对计算机终端用户使用的办公软件也应要求必须安装正版。

（2）安装防病毒软件

防病毒是终端安全管理的最基本方式，对于接入到网络中的计算机终端进行病毒查杀，杀毒后对已感染的病毒进行分析，有利于了解病毒类型及感染数，从而分析病毒趋势。

（3）补丁管理

公共图书馆可以利用补丁管理技术，对计算机终端的操作系统及软件的补丁进行集中管理，可以自动下发及安装，通过及时修复操作系统或软件的漏洞，保障计算机终端不被利用漏洞而遭受攻击。

（4）系统自动还原

对于电子阅览室的读者用机，往往不需要保留读者的文件，因此可以对该部分计算机终端进行重启后自动还原的设置，进而避免因读者使用不当带来的安全风险。

（5）计算机终端配置安全

通过对计算机终端的操作系统、应用软件、浏览器及防病毒软件等的适当配置，设定关键的安全参数，是提高计算机终端的有效方法。对于计算机终端的配置需要有针对进行管理，例如对用户权限、共享资源、远程登录等进行限制，禁止一些高危端口的访问，加强对于口令强度及使用时限的管理。

3.3 准入控制技术

非授权计算机终端连接到内部网络，往往带来内部信息泄露、对内部信息系统攻击以及病毒传播等风险。目前主要存在三种准入控制技术：纯软件方式准入控制、与网络设备联动准入控制、基于第三方应用设备准入控制[3]。通过准入控制技术，避免非授权计算机终端的风险。

4 结语

公共图书馆信息化发展日新月异，云计算、物联网、人工智能等新技术不断涌现，新技术的应用也给安全管理工作带来新的挑战。计算机终端安全是网络安全及其重要的组成部分，在未来，公共图书馆的网络安全管理人员如何做好终端安全的管理工作，需要进一步的研究和思考。