圖書館信息檢索機安全配置策略

摘 要:圖書館公共信息檢索計算機在為讀者提供高效、快捷的查詢服務的同時，由于計算機系統的開放性和檢索機用戶的流動性，也面臨許多安全隱患。為了解決檢索機面臨的安全問題，針對檢索機的外部環境，采取了機柜保護、網絡隔離措施。此外，在硬件方面，采取了配置硬盤數據保護及網絡數據克隆設備的措施;在軟件方面，采取了正確的安裝、配置方式及詳細的系統安全修改、設置、備份等一系列措施。最終制定出一套較為完整的安全維護策略，以應對檢索機所面臨的各類安全隱患。關鍵詞:公共檢索機; 系統設置; 系統維護; 安全策略

中圖分類號:TN919-34文獻標識碼:A

文章編號:1004-373X(2010)18-0127-04

Security Configuration Strategy for Public Information Retrieval Systems in Libraries

WANG Li

(Xi’an University of Posts Telecommunications， Xi’an 710121， China)

Abstract:While providing efficient and convenient lookup service to the readers by the computers for public retrieval in libraries， lots of potential safety hazard are confronted because of the openness of the computer system and the mobility of the users. In order to solve these security problems， the equipment cabinet protection and network quarantine measures are adopted for the external environment of the computer for public retrieval. For the hardware， the measure of setting the equipment with data protection and data cloning is employed. For the software， the measures of correct installation， configuration mode， modify for safety and backup are adopted. Then a more comprehensive security maintenance strategy is set up to resist these hidden troubles.

Keywords: computer for public retrieval; system setting; system maintenance; safe strategy

0 引 言

隨著高校圖書館信息化的高速發展，作為重要服務設施的信息檢索設備也早已實現了自動化。其中，公共檢索機就是提供給讀者館藏資源信息查詢服務的計算機。公共檢索機通過網絡訪問借閱系統服務器數據庫，不僅能為讀者提供快捷便利的館藏資源檢索查詢，還能提供讀者信息查詢、預約借還、續借等多元化服務，大大提高了服務效率。

但是檢索機大多放置在圖書館大廳等公共場所，由于計算機系統本身具有的復雜性，加上讀者計算機水平的參差不齊，甚至有人的惡意損害，使公共檢索機面臨一系列影響服務效率的安全隱患，因此，公共檢索機的安全措施顯得尤為重要。

1 外部環境

1.1 外部保護

通常檢索機放置在圖書館大廳等公共場所，硬件被損壞已成為最大的隱患。例如，外設被隨意插拔，外部接口被隨意使用。因此，在條件允許的情況下，應為檢索配備合適的機柜，將主機等硬件全部放置柜中，僅工作人員可以打開機柜進行開機、硬件維護等操作，從而有效避免外設硬件的損害或丟失，同時避免了不當的硬件操作引起的系統崩潰、程序加載混亂等軟件問題[1-2]。

1.2 外部網絡環境

檢索機是通過網絡訪問借閱系統服務器來檢索數據庫中的信息，因此計算機網絡是實現檢索服務的必備條件。但是，眾所周知，網絡中存在多種安全隱患，尤其是互聯網絡，而檢索機只需要訪問指定的一臺服務器，不需要接入互聯網絡。因此，從外部網絡的物理連接上要避免接入互聯網絡，最直接的方法就是通過網線將所有檢索機與檢索服務器連接在同一交換機上，而該交換機同時避免接入其他可連接互聯網的終端或者局域網絡系統，或者通過該交換機設置劃分VLAN，將各類不需互聯的終端劃入不同的VLAN，并賦予不同的訪問權限，使所有檢索機終端劃分在同一VLAN中，并不能與其他VLAN進行數據溝通，從而使檢索機所在局域網形成一個物理獨立網絡。同時，對網絡設備的初始控制密碼也應進行修改或高級加密，以防止設備控制程序被侵入導致配置被惡意篡改。

2 硬件配置

由于檢索機所提供服務的主要是通過網絡來檢索的服務器數據的，因此檢索機只相當于一個終端，從程序進程上來說，其本身并不運行過多的服務程序。因此，對檢索機的硬件配置沒有過多的要求，有些圖書館甚至以從工作用機中淘汰出來的計算機作為檢索機，從而來提高設備利用率。盡管較低的硬件配置就可以滿足檢索機軟件運行的需要，但從讀者使用效率和工作人員日常維護效率的角度，并不是對硬件沒有任何要求。

2.1 從讀者使用角度

從讀者使用角度來說，處理器等硬件需要能夠保障操作系統以及檢索服務的流暢運行，能夠保障網絡設備通暢地與服務器進行數據交流是最基本的要求。由于是從服務器端讀取數據的，因此對檢索機存儲設備沒有過多的要求，但要求硬盤能滿足操作系統的安裝、檢索服務所需客戶端工具軟件的安裝、系統及軟件備份的存放，并要留足一定的冗余空間來保證緩存空間和系統運行速度，從而提高檢索服務的效率。對于網絡設備來說，是檢索機上相對要求較高的設備了，100 Mb/s網卡是提供流暢的網絡數據讀取的基本要求了。當然，這只是在條件受到限制的情況下，為提高設備的利用率而對硬件提出的最低要求，如果在條件允許的情況下，自然是配置較高的硬件能夠提供更高效的檢索服務了。

2.2 從管理維護角度

從工作人員的日常維護的角度來說，為了提高系統維護的快捷性和高效性，需要計算機具有硬盤數據保護和網絡數據克隆功能，這也是對所有工作機要求的配置。

硬盤數據保護即系統還原功能，使用該功能對計算機進行設置后，無論用戶如何修改計算機系統的數據，重新啟動計算機后，系統數據都將恢復成初始設置狀態，這是對流動用戶使用的計算機數據最有效的數據保護方法之一[3]。盡管現在有很多種軟件也可以完成此功能，例如還原精靈、冰點等等，但是現在也有很多對此類軟件進行破解的方法和工具，加上軟件本身的可編輯性，使得還原軟件容易被惡意的破解和損壞，不僅導致功能失效，甚至還破壞計算機系統的其他數據。硬件則能有效地避免此類情況?，F在此類硬件的保護卡也有很多種，并很容易購置，甚至有些品牌計算機在出廠時就集成了此類硬件，因此建議要完成數據保護功能還是選擇硬件保護卡。

網絡數據克隆功能是計算機系統所有數據通過網絡，以廣播形式發送，使局域網內所有接受端的計算機系統數據都拷貝成與發送端計算機完全一樣[4]。配置此硬件后，就可避免每臺計算機都要逐一地進行系統安裝、工具軟件安裝、數據拷貝、系統配置、軟件調試等一系列繁瑣的操作，只需對一臺作為發送端計算機進行所有的軟件操作，通過網絡克隆，就能對所有指定接受的計算機完成相同的操作。但是，這就要求所有進行同一批網絡克隆的計算機都要有與發送端計算機完全相同的硬件配置，才能完全適用相同的軟件，例如硬件驅動程序及其配置等。這就要求管理人員在分配或購置檢索計算機時要盡量選擇相同硬件配置的計算機，以便于管理。如果受到條件限制，所有檢索機無法全部統一配置，就要在配置發送端計算機時選擇相同配置最多的計算機中的一臺，數據克隆后對其他不同配置的計算機進行手動的軟件配置修改。

3 軟件設置

對于所有的計算機來說，軟件設置是整個計算機系統安全配置的重中之重。檢索機在軟件安全方面存在著更為巨大的安全隱患，需要在軟件設置上有一套較為完善的安全策略。

3.1 操作系統安裝

對任何一個完整的計算機系統來說，操作系統的完善性是整個計算機系統安全性的基礎。由于操作的簡便性，目前大多數使用的都是Windows操作系統，但由于Windows操作系統的設計復雜性，導致設計缺陷造成的安全漏洞較多，極易造成安全隱患，因此在安裝Windows操作系統時要注意幾點:首先，正確執行每個安裝步驟，避免不當操作造成系統完整性的缺陷;其次，根據各硬件設備芯片組型號正確安裝與之匹配的驅動程序，并進行合理配置，避免驅動程序安裝不當，導致日后使用過程中長期不當地加載驅動有誤的程序致使系統崩潰;同時，訪問微軟官方網站下載并安裝相關補丁、修補程序及各種升級包[5-6]，不給黑客或病毒以可乘之機。

3.2 應用程序安裝

由于大多數檢索機的配置相對不高，所以在安裝應用程序時，只選擇安裝檢索服務必要的客戶端應用程序并進行正確的配置，避免無用的應用程序進程占用有限的系統資源。大多數檢索系統沒有單獨的客戶端程序，是通過IE瀏覽器，以頁面形式顯示檢索信息的，所以不需要安裝任何檢索程序。但是由于網頁技術的發展，在打開頁面時IE也需要加載許多程序，所以為了能更好地瀏覽IE訪問檢索服務器站點，也需要對IE瀏覽器進行更新，比如安裝高版本的IE瀏覽器，并安裝所瀏覽的頁面所需的各類組件，例如DirectX插件、Adobe Flash Player 等各種ActiveX組件。

3.3 系統設置

對系統設置的方法要視操作系統而定，現階段大多數都使用Windows操作系統。根據硬件匹配原則，對于較高的硬件配置可以安裝Windows NT操作系統(即Windows 2000、Windows XP等);對于較低的硬件配置，為了減少系統進程，提高運行速率，則建議安裝相對較低的Windows98操作系統。在此將分別對兩類操作系統進行探討。

3.3.1 Windows NT系統環境

對于Window NT操作系統，以最常見的Windows XP為例，在配置檢索機的環境下，需要進行以下設置:

(1) 通過“控制面板”中“刪除/添加程序-添加/刪除Windows組件”，禁用或刪除無關的系統組件[1]，例如Indexing Sever，FrontPage2000 Server Extensions等于檢索服務無關，但系統默認安裝風險較高的組件。

(2) 通過“控制面板”中“管理工具”的“服務”，關閉檢索服務不需要但是系統在安裝完畢已經默認打開的端口(例如易受攻擊的135，137，139高危端口)、服務(例如Computer Browser，Distributed File System，PrintSpooler等 )。

(3) 在BIOS設置中，將USB Controller設置為Disabled，從而禁用USB接口[1]。

(4)設置開機啟動項，使檢索窗口在計算機系統啟動后就自動加載運行。具體方法為:

① 使用客戶端程序檢索:建立目標為客戶端系統中運行程序的快捷方式，如“C:\\Program Files\\xxx.exe”，并將該快捷方式添加入開機啟動項;

② 使用IE頁面檢索:將IE首頁設置成為檢索服務站點，再啟動IE瀏覽器的運行程序，建立快捷方式，并在該快捷方式目標字符的最后加“ -k”，即“C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE -k”，再將其添加入啟動項，使該IE窗口為全屏打開，防止人為設置或關閉IE窗口。

(5) 運行組策略。在開始處啟動gpedit.msc，運行組策略管理，將計算機配置和用戶配置中所有可修改計算機系統設置的配置選項全部禁用[1]。例如控制面板選項、網絡屬性、瀏覽器屬性、桌面圖標選項、Windows腳本配置等等，將這些配置項全部禁用，從而防止讀者自行修改檢索機系統配置。

(6) 進行用戶權限設置。將管理員用戶設置密碼，并啟用Guest用戶或創建一個用戶，權限為受限用戶，使讀者在該用戶下無法操作組策略禁用的所有設置，并無法進入組策略管理進行修改[5-7]。同時修改注冊表，在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon項中，DefaultUserName鍵值設為創建的受限用戶的用戶名，Defaultpassword鍵值為空，AutoAdminlogon鍵值設置為1，這樣就可以在Windows XP系統啟動時跳過用戶登錄界面，自動默認登錄此受限用戶[8-9]。

3.3.2 Windows 98系統環境

Windows 98操作系統在功能性和復雜性上都遠遠不及Windows NT系統的強大，但是對于檢索機的特殊性來說，這也可以算是Windows 98的優勢，在上文中Windows NT系統中需要管理人員設置禁用或限制的功能，恰好有很多是Windows 98系統不具備的功能，也就不用在設置禁用或限制了。因此在檢索系統客戶端軟件要求允許的情況下，使用Windows 98系統可以使工作人員的管理工作更加簡便。

對于Windows 98系統的設置，除過Windows NT系統下禁用USB接口、設置IE首頁外，其他功能的限制可以通過一個設置來完成所有效果，即對system.ini中啟動加載桌面項進行修改來完成[10]。具體方法是:在開始菜單中運行system.ini，以文本格式打開系統配置文件，對其進行編輯，在[boot]內容的第一行“shell=Explorer.exe”之前加“*”，即“*shell=Explorer.exe”，以此來屏蔽默認設置開機運行程序Explorer.exe。然后再在下一行添加“shell= C:\\Program Files\\xxx.exe”命令開機運行程序為檢索系統客戶端運行程序，或“shell= C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE -k”命令開機運行程序為全屏化的IE窗口，由于IE首頁已設置為檢索站點首頁，所以在開機后桌面不顯示任何程序，只顯示運行的檢索程序或全屏的IE檢索頁面。

3.4 系統備份

當所有的系統設置全部完成，經調試可以完全正常使用后，為了方便后期維護，可進行系統備份，最常見的就是GHOST備份工具了，將安裝并設置好的系統盤符(多為C盤)內所有數據，利用ghost工具備份成一個后綴為GHO的鏡像文件，存放在其他盤符。當遇到無法修復的系統問題時，用GHOST工具將該鏡像文件恢復至系統盤符，此時系統盤符C中的所有數據就會恢復到備份前的狀態了[4]。

3.5 開啟數據保護

當所有的修改和設置工作完成后，就可以開啟硬盤數據保護功能開啟，將整個計算機中所有數據狀態鎖定。這樣在修改或刪除任何硬盤數據時，只要重新啟動計算機，所有數據都將恢復至鎖定時的狀態，從而保護操作系統及計算機數據。

4 日常維護

有了上述較為完善的軟、硬件安全配置策略，檢索機的日常維護工作就能更加輕松和快捷了。由于系統除檢索服務外其他功能都被屏蔽或限制，所以讀者在檢索機上了除了進行檢索查詢外不能使用其他的功能;同時，由于數據保護功能，當系統出現小的故障時，則不需要專業維護進行修復，僅通過重新啟動計算機就可以恢復系統狀態來排除故障;如果數據保護系統也出現異常，受到保護的系統遭到破壞，并且無法利用重啟還原時，可利用備份的鏡像恢復系統來達到修復系統的目的;再有甚者，如果除系統盤符外的其他盤數據，包括GHOST鏡像，也受到破壞，則可利用網絡數據克隆功能，利用任意一臺正常工作的檢索機作為發射端，將整個硬盤及BIOS設置等所有數據全部自動克隆到數據遭破壞的這臺檢索機上，則所有數據也就被修復了。

當然，這只是有可能存在的風險，以上的維護方法只是檢索機整個安全策略中的一套修復機制，并不是會經常發生的事件，如果讀者操作得當，除了日常定時的開、關機以外，理論上就不再有額外的人工維護工作了。

5 結 語

一套完整的安全策略體系，能夠最大程度地維護公共檢索機的安全性，但是由于計算機軟件的開放性以及檢索機用戶的流動性，再嚴密的系統都有被破解的可能。要實現對公共檢索機器的安全管理，還應該輔以合理的管理制度、有效的用戶教育等手段，使讀者明白圖書館公共檢索機器的初衷和目的是為了方便讀者，使之更快捷地利用圖書館資源。所做的工作無論如何都是為了使所有讀者能公平、有效地利用圖書館提供的資源。

參考文獻

[1]蔡舜，周佳貴.高校圖書館公共檢索設備的安全管理[J].中國輕工教育，2006(1):39-40.

[2]趙志強.高校圖書館OPAC檢索機管理[J].情報探索，2009(9):90-92.

[3]董哲.關于高校圖書館電子檢索室系統維護的探討[J].實驗室科學，2009(4):177-178.

[4]薛鐵柱.GHOST多播技術在學校計算機房維護中的應用[J].黑龍江科技信息，2009(21):66-67.

[5]楊文強.Windows 2000/XP常見安全漏洞的解決辦法[J].裝備制造技術，2007(8):72-73.

[6]吳敏.Windows XP操作系統安全策略[J].電腦知識與技術，2007(10):1125-1126.

[7]袁先倫.淺談Windows XP系統的安全設置[J].網絡與信息，2007(9):47-49.

[8]王忠力.Windows XP的注冊表及安全問題[J].網絡安全技術與應用，2007(9):42-44.

[9]武金萍.修改注冊表提高計算機抗風險能力[J].新課程:教師版，2007(10):56-57.

[10]楊俊.Windows Shell編程機制分析及應用研究[J].現代計算機，2007(3):80-82.