网络环境下图书馆信息安全管理模型的构建与应用研究.docVIP

网络环境下图书馆信息安全管理模型的构建与应用研究 　　〔摘 要〕在信息安全管理研究的基础上，根据图书馆信息所拥有的保密性、完整性、可用性的特性，构建出图书馆网络信息安全管理模型；依据该模型管理、运行与操作、人员、建筑与技术以及安全文化5个维度要求，建立信息安全管理的实践应用方案。 　　〔关键词〕图书馆；网络信息安全管理；模型 　　DOI：10.3969/j.issn.1008-0821.2014.02.016 　　〔中图分类号〕G250.7 〔文献标识码〕A 〔文章编号〕1008-0821（2014）02-0076-06 　　借助于网络高新技术的发展，新的信息资源形态和使用方式，给图书馆读者带来便利的同时也必然存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性，为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏，提供了极为方便且难以控制的可乘之机，图书馆信息服务的权益及监督得不到有效的保障；同时，由于计算机网络的脆弱性，图书馆的网络系统本身经常处于黑客的攻击之中，一旦图书馆网络出现故障，轻则信息服务得不到有效保障、数据丢失，重则整个图书馆处于瘫痪境地。因此，在信息化时代，图书馆信息安全显得尤为重要，构建图书馆网络信息安全管理模型来保证网络信息安全，使其高效运行是图书馆现代化建设中一项迫在眉睫的重要任务。 　　1 信息安全管理概述信息安全管理，是指实施和维护信息安全的原则、规划、标准和内容的综合，包括信息安全策略、信息风险评估、信息技术控制和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明，从而为组织提供全面的信息安全规划。它结合技术、程序和人员，以培养信息安全文化为目的，最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解，本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述，从而为图书馆网络信息安全管理模型的构建提供理论上的指导。 　　1.1 ISA信息安全原则为保护组织的信息资产免遭威胁，Tudor提出了一个全面灵活的信息安全架构方法（Information Security Architecture，简称ISA），这种方法提出5个关键性的信息安全原则（见表1）[1]。这些原则，可以了解组织工作的风险环境并对其实行评估和控制，从而减少这种风险；强调遵守国家信息安全法规的重要性，确保组织的机密信息受到国家的保护；涵盖信息安全技术与过程，满足组织信息安全的需要。表1 ISA信息安全原则 　　原 则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。 　　1.2 CMM信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划，McCarthy和 Campbell构建了能力成熟度模型（Capability Maturity Model，简称CMM）[2]。该模型包括7个信息安全规划内容（见表2），目标是从战略层面开始并用战略水平去指导技术等方面的工作，在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险，并在实践过程中对各解决方案集成应用与监控。表2 CMM信息安全规划 　　规 划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境控制与持续规划控制。 　　3 PROTECT信息安全标准在Eloff.J.H和Eloff.M所主持研究的“PROTECT”项目，是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写，对信息安全管理及标准进行了综合的介绍[3]。“PROTECT”项目涉及各种集成控制的方法，在确保组织的有效性和效率的基础上尽量减少风险，目的是全方面解决信息安全的问题。为实现项目目标，该项目提出了7个信息安全标准（见表3），确保信息安全规划从技术术和人文角度得到有效的实施和管理。 　　1.4 ISO/IEC 17799和ISO/IEC 27001信息安全内容国家标准组织（ISO）指出信息安全技术是实现信息安全管理的关键点，通过技术对信息系统进行安全性控制，是信息安全管理的重要内容。为了更好地实现信息安全控制，ISO提出了11个具体的信息安全控制内容（见表4），这些内容已成为国际上通用的信息安全内容的重要标准，即通常所说的ISO/IEC17799[4