广州教育学会中学图书管理专业委员会第二届年会论文集        · 2003年11月 ·
----------------------------------------------------------------------
              电子阅览室的安全建设

            华南师范大学附属中学    唐黎明

[摘要]   本文从用户权限、人身安全、财产安全、防潮、防病毒等方面论述了电子阅览室的安全建设。
[关键词]  电子阅览室；安全管理；建设

     美国麻省理工学院教授及媒体实验室（Media Lab）创办人尼葛洛庞帝（Negroponte）先生在《数字化生存》一书中预计，至2003年整个互联网络的用户数将超过全球人口数。可见，互联网的飞速发展，已经改变了许多人的生存方式。作为信息用户数字化生活基地的电子阅览室，发挥着无法替代的重要作用。
多媒体电子阅览室是以数字技术为基础，融合通讯技术、音频技术、视频技术、图象技术、多媒体标准化和计算机技术，是数字、文字、声音、图象一体化的阅览室。它是用户数字化生活的一个重要基地，也是用户与外界交流的窗口，乃至是必不可少的窗口和进行数字化生活的乐园。在这里，用户可以以最快捷的方式，将胸怀投向世界，可以快乐地学习，进行网上“寻宝”，在玩中学，在学中玩......电子阅览室如同摇滚乐，其精神和吸引力已经超越了国界。在这一乐园中，如何搞好安全建设，是一个刻不容缓的问题。
1   用户权利的规划
   用户权利的规划是电子阅览室安全建设的软件，是最重要和最核心的问题。用户权利的规划包括权利指派和应用管理模板。
1．1  指派用户权利
    所谓用户权利指的是可做某种操作的能力，例如能不能设置系统的时间，能不能删除系统文件，能不能登录某一台计算机或能不能备份文件，权利影响的区域是整台计算机。Windows2000内部组有一些事先设置好的权利，而权利的规划是其局域网安全管理的核心内容。管理者可以将权利指派给用户或用户组，但为了管理方便，应将权利指派给用户组。
    在Windows2000 Server  端，利用组策略，可以在域中指派/删除某个组（或用户）的权利。例如，要在域控制器上测试某个只属于Dmain users  组的帐户能否登录，由于系统默认不允许Dmain  users  组登录到域控制器，此时，就必须将本地登录指派给该帐户或Domain  users组，该帐户才能登录到域控制器。
    在Windows  2000  server  端，指派用户权利的步骤是：开始→程序→管理工具→Active Directory用户和计算机→Domain Controllers(击右键)→属性→组策略→编辑→Windows设置→安全设置→本地策略→用户权利指派（双击）
    当双击了“用户权利指派”后，在右边会有一组菜单弹出，可以看到总共有34项权利可以指派给用户。例如：要把“本地登录”的权利指派给Users组，只需双击“本地登录”，然后点击“添加”，再选择“Users”就完成任务了。以此类推，可以用同样的办法把其他权利指派给用户。
1．2  管理模板
   除了对用户进行权利的指派，还可以利用管理模板中的策略，在服务器端对用户的权限进行配置：Windows  2000  的管理模板（Administrative  Template）,可以用来定义系统中所有涉及到注册数据（REGISTRY）的设置。例如，隐藏开始菜单的命令、隐藏桌面的图标、停用光盘驱动器的自动播放、以及停用控制台等。简而言之，管理模板用来隐藏、停用或是限制用户更改某些设置，以协助系统管理员有效地管理整个域。
    在计算机配置和用户配置这两个主要节点下，都存有管理模板子节点，两者的差异在于计算机配置/管理模板的设置会写入域中的所有计算机注册数据库的HKEY—LOCAL—MACHINE（HKLM）部分，而用户配置/管理模板的设置则会写入所有计算机注册数据库的HKEY—CURRENT—USER（HKCU）部分。
当管理模板子节点展开时，可以看到节点下面包含各式各样的策略，应用这些策略，可以对用户终端进行有效的控制，具体办法如下：
    在Windows  2000  server  端，策略应用的步骤是：开始→程序→管理工具→Active Directory用户和计算机→Library(击右键,对Library域的所有用户配置策略)→属性→组策略→编辑→用户配置→管理模板。
进入管理模板后，可以看到它下面包含六个节点：Windows 组件、任务栏和「开始」菜单、桌面、控制面板、网络、系统。
    控制面板节点包含添加/删除程序、显示、打印机以及区域选项，分别用来限制控制面板中相对应的功能，例如，通过设置添加/删除程序策略，可以防止用户从添加/删除程序中安装/删除软件。设置显示策略，可以防止用户任意改变显示器的设置等，例如，要禁止用户使用控制面板中的“添加/删除程序”项，可按如下步骤：用户配置→管理模板→控制面板→添加/删除程序（双击此键），这时，可以看到，添加/删除程序节点下包含十项策略，这些策略都有具体的用途。例如，禁止用户使用“添加/删除程序”的步骤是： 添加/删除程序（双击）→启用→确定，当点击“启用”之后，终端机的用户将不能安装或删除任何程序了。
    同理，利用Windows组件节点中的策略能够对IE、Netmeeting资源管理器、Windows安装程序以及任务计划程序做所有的限制。此外，在系统节点下可以设置硬盘配额策略、设置登录/注销处理方式、限制用户只能启动某些程序、停用命令提示符，以及停止自动播放等，最特别的是能够设置一个策略来控制在某种情况下（例如每隔几分钟或计算机间以低速连接时），是否要更新其他组的策略。任务栏和“开始”菜单节点包含所有能限制开始菜单与工具栏的策略，包含禁用和删除“关机”命令，在“开始”菜单中删除“运行”菜单、禁用个性化菜单等策略。
    通过以上策略的应用，计算机网络管理可谓是安全了许多，称心如意了许多。Windows 2000出色的安全性能，减少了许多工作中的麻烦，甚至不用安装任何保护卡或还原卡，就可以使计算机持久安全的运行。
2 与用户人身安全有关的建设
2．1消防设施
    以人为本，人的安全胜于一切。为了加强消防管理工作，保护广大用户和管理人员的人身安全，电子阅览室应根据《中华人民共和国消防条例》，结合本地政府的有关文件的精神、结合实际，安装消防设备。某些单位安装了总线制多功能火灾自动报警系统和气体灭火系统。并建立火灾安全责任制，把责任落实到人。同时，电子阅览室的管理员应是义务消防员，应定期参加有关消防知识的培训和学习。采取措施，禁止烟火进入室内，力保在源头上消灭火灾。
2．2显示器
    为了保证广大用户的用眼安全，图书馆应购入质量较好的显示器，统一设置，刷新率设置为800×600象素，桌面颜色为彩色（32位），刷新速度为85hz。这样做，可为用户的用眼卫生提供有利条件。
3    设备安全
3．1  警报系统
    为了保护电脑设备的安全，为网络系统的正常运行做好后盾，加强防盗工作是必要的。可以充分利用高科技手，如，在电子阅览室安装KL-802防盗报警系统。它的主机是采用微电脑控制、高可靠性、8防区显示的防盗报警系统。采用7安时的电瓶作为后备电源，确保了交流电源被人破坏或停电时能正常使用。
    通过安装警报系统，电子阅览室的安全系数大大提高了，保证了电脑设备的安全。
3．2  防潮、防尘、防静电
    潮湿对电脑主板和CPU的危害很大，当电脑主板或CPU电路接点表面因吸附水分大于20%RH时，会导致电脑运行不良率的提高，产生短路现象，严重时甚至烧毁主板和CPU，使整部机器崩溃，后果难以想象。在电子阅览室设计初期，应考虑到潮湿季节较长的南方地区的防潮问题，电子阅览室要安装空调设备。空调调温迅速，抽湿效果好，可达到防潮目的。此外，还应当保持显示器和室内清洁卫生，以减少灰尘和静电对电脑的危害。
4  防火墙技术
    所谓“防火墙”，是指一种将内部网和公众网（如Internet）分开的技术，实际上是一种隔离技术。防火墙是在两个网络通迅时执行的一种访问控制尺度，它能允许 “同意”的人和数据进入你的网络，同时将 “不同意”的人和数据拒之门外，阻止黑客入侵网络，防止他们更改、拷贝、毁坏重要信息。
电子阅览室的管理人员，应加强网络安全知识的学习，认识网络安全的重要性。终端机须做好安全防范措施，必要时在每一个计算机终端都安装病毒防火墙，以有效地抵御网络病毒的侵袭，确保网络安全。
    此外，在日常工作中，还应严格管理，有效控制本地网与外界进行的数据交换，并坚决抵制盗版软件进入，禁止使用不干净的软盘。

主要参考文献：
1． (美)尼葛洛庞帝著;胡泳,范海燕译 . 数字化生存 .海南出版社，1997，2  
2.. 石菊君. 电子阅览室安全管理中读者因素的防范与控制. 图书馆论坛，2001，（2）
3.  王琏嘉，李小梅. 对高校图书馆电子阅览室的调查与设想. 2001.(1)



.