數字圖書館信息安全規(guī)范化管理研究.pdf

1、自1991年數字圖書館概念被提出以來，其研究和實踐在全球范圍內蓬勃發(fā)展。然而數字圖書館廣泛依賴于計算機技術、網絡技術和數據通信技術等高科技專業(yè)技術而存在和發(fā)展，其面臨的安全風險遠遠高于傳統(tǒng)圖書館。信息安全問題成為數字圖書館研究和實踐的重大命題。美國的圖書館在經歷了技術保障、管理保障和制度保障三個發(fā)展階段后，開始嘗試建立信息安全管理體系，通過風險評估、建立預防機制和主動干預等方式應對各類突發(fā)信息安全問題。而我國圖書館在信息安全方面大多數還

2、處于技術保障階段。據調查，我國100％的數字圖書館每年至少發(fā)生一次信息安全事件，而信息安全意識薄弱、信息安全管理人員不足、缺乏信息安全管理策略等原因首當其沖。可見，貫徹“三分技術，七分管理”的黃金定律，建立信息安全管理體系對于數字圖書館信息安全保障而言勢在必行。
　　為了能夠給數字圖書館信息安全管理體系的建立提供符合國際標準與國家標準的、具有可操作性的完整解決方案，同時解決數字圖書館標準與規(guī)范建設中較少涉獵的信息安全規(guī)范化管理的關

3、鍵性問題，完善數字圖書館標準規(guī)范體系，推動數字圖書館信息安全領域的規(guī)范化、標準化，將ISO27000的基本原則與思想完整地引入數字圖書館信息安全領域，使數字圖書館信息安全規(guī)范化管理工作與先進的國際標準相接軌。本文對數字圖書館信息安全規(guī)范化管理的實施框架、方法模型和標準規(guī)范草案進行研究，解決了數字圖書館信息安全規(guī)范化管理過程中涉及的關鍵性問題，形成建議方案，為制定數字圖書館行業(yè)目標明確、體系完備、功能實用、可操作性強的信息安全管理標準規(guī)范

4、奠定基礎。具體研究內容和成果包括以下五個方面:
　　(1)數字圖書館信息安全規(guī)范化管理的實施框架研究
　　通過對ISO/IEC27001標準中涉及的PDCA過程方法、主要因素、管理流程等內容進行梳理分析，結合數字圖書館自身的需求和特點，完成了ISO/IEC27001過程模式在圖書館領域的轉化。包括:明確了數字圖書館信息安全管理的PDCA過程方法與內涵;梳理了數字圖書館信息安全管理從制定方案到風險評估再到風險控制的管理流程，以

5、及其中每個過程的實施流程;分析并確定了風險評估和風險控制的主要影響因素，其中，風險評估的主要因素包括直接因素（資產，威脅，脆弱性，控制措施）與間接因素（保密性，完整性，可用性，保密性、完整性、可用性對資產價值的重要程度，威脅發(fā)生的可能性，威脅發(fā)生后對資產的保密性、完整性、可用性產生的損失）兩種類型，風險控制的主要因素包括直接因素（實施成本和有效性）和間接因素（時間、人力、費用、難度、對每項風險的有效性等）兩種類型。
　　(2)數字

6、圖書館信息安全風險評估方法模型研究
　　從已有的信息安全風險評估方法和模型總結入手，分析了現(xiàn)有風險評估模型在平衡定量與定性關系、可操作性、結果可接受性等方面存在的問題，闡述了現(xiàn)有的風險評估方法不適用于數字圖書館信息安全風險評估的原因。進而，確定了數字圖書館信息安全風險評估方法和模型的選擇依據。最終，研究構建了具有可操作性的基于GB/T20984的數字圖書館信息安全風險評估模型、基于多因素模糊綜合評判矩陣的資產價值和威脅大小的計算模

7、型、以及基于多渠道加權平均的脆弱性大小計算模型，詳細闡述了評估模型的數據采集和分析計算策略，并通過實證研究的方式對該風險評估方法模型的可行性及實際評估效果進行了驗證。
　　(3)數字圖書館信息安全風險控制方法模型研究
　　從已有的信息安全風險控制方法和模型總結入手，分析了現(xiàn)有風險控制模型存在與風險評估環(huán)節(jié)相脫離、操作繁瑣復雜等問題，并闡述了現(xiàn)有的風險控制方法不適用于數字圖書館信息安全風險評估的原因，明確了基于ISO27000

8、、與風險評估相銜接的、半定量方法或綜合分析方法更適用于數字圖書館的信息安全風險控制?；诖饲疤?，對ISO/IEC27002:2005和ISO/IEC27002:2013中的風險控制措施進行了調研分析，最終確定了基于ISO/IEC27002的數字圖書館風險控制核心要素和參考要素集合。并以數字圖書館領域成本最低、成效最佳的風險控制要求，構建了基于線性規(guī)劃和模糊數學的風險控制決策模型，并詳細闡述了控制決策模型的數據采集和分析計算策略，確保了該

9、模型的可操作性和有效性。
　　(4)數字圖書館信息安全管理的標準規(guī)范草案研究
　　在對數字圖書館信息安全管理過程模式、風險評估和風險控制的方法模型進行研究的基礎上，結合ISO/IEC27001和ISO/IEC27002在電信、金融、醫(yī)療行業(yè)的標準轉化和應用分析，探討了在數字圖書館領域信息安全標準規(guī)范形成和實施推廣過程中還應注意的問題，包括標準確立的目的、意義、范圍、結構、流程、核心、實施障礙、推行策略等方面內容。最終，初步制

10、定并撰寫了數字圖書館信息安全管理標準的草案，為數字圖書館信息安全規(guī)范化管理提供了長效的機制保障。
　　(5)數字圖書館信息安全規(guī)范化管理的實證研究
　　選擇了國內某知名的大學城圖書館作為實證研究對象，嚴格按照數字圖書館信息安全管理標準草案中涉及的流程、方法、要求等進行了實證研究，包括該圖書館信息安全管理的目標、范圍、方法、團隊、計劃等前期準備工作，資產、威脅、脆弱性等識別、估值、計算等風險評估工作，控制措施的影響要素識別、有

11、效性計算、措施推薦等風險控制工作，并最終根據實施結果和實際訪談調研，對該數字圖書館已建立的信息安全管理體系進行審查，驗證了數字圖書館信息安全風險管理的方法流程和標準規(guī)范的合理性和有效性。
　　本文研究旨在建立通用、規(guī)范、可行、有效的數字圖書館信息安全管理的實施框架，解決數字圖書館規(guī)范化管理過程中的關鍵問題。研究成果的創(chuàng)新性體現(xiàn)在:(1)構建了可操作性強、周期可控的數字圖書館信息安全管理的實施框架。該框架不僅能夠滿足ISO27000

12、思想要求和數字圖書館的具體要求，而且能夠將在數字圖書館的調研實施周期縮短在一個月之內，節(jié)省了數字圖書館信息安全管理的時間與資金成本。(2)構建了具有可操作性和有效性的數字圖書館信息安全風險評估和風險控制的應用模型。該模型模型使得風險評估和風險控制定量化計算流程簡化有效，同時又能符合數字圖書館的信息安全管理要求和現(xiàn)狀。(3)以2013版ISO27002為依據篩選適合于數字圖書館領域的核心控制要素和參考控制要素。該要素集合為數字圖書館風險控