数字图书馆信息安全规范化管理研究

摘要

自1991年数字图书馆概念被提出以来，其研究和实践在全球范围内蓬勃发展。然而数字图书馆广泛依赖于计算机技术、网络技术和数据通信技术等高科技专业技术而存在和发展，其面临的安全风险远远高于传统图书馆。信息安全问题成为数字图书馆研究和实践的重大命题。美国的图书馆在经历了技术保障、管理保障和制度保障三个发展阶段后，开始尝试建立信息安全管理体系，通过风险评估、建立预防机制和主动干预等方式应对各类突发信息安全问题。而我国图书馆在信息安全方面大多数还处于技术保障阶段。据调查，我国100％的数字图书馆每年至少发生一次信息安全事件，而信息安全意识薄弱、信息安全管理人员不足、缺乏信息安全管理策略等原因首当其冲。可见，贯彻“三分技术，七分管理”的黄金定律，建立信息安全管理体系对于数字图书馆信息安全保障而言势在必行。
　　为了能够给数字图书馆信息安全管理体系的建立提供符合国际标准与国家标准的、具有可操作性的完整解决方案，同时解决数字图书馆标准与规范建设中较少涉猎的信息安全规范化管理的关键性问题，完善数字图书馆标准规范体系，推动数字图书馆信息安全领域的规范化、标准化，将ISO27000的基本原则与思想完整地引入数字图书馆信息安全领域，使数字图书馆信息安全规范化管理工作与先进的国际标准相接轨。本文对数字图书馆信息安全规范化管理的实施框架、方法模型和标准规范草案进行研究，解决了数字图书馆信息安全规范化管理过程中涉及的关键性问题，形成建议方案，为制定数字图书馆行业目标明确、体系完备、功能实用、可操作性强的信息安全管理标准规范奠定基础。具体研究内容和成果包括以下五个方面:
　　(1)数字图书馆信息安全规范化管理的实施框架研究
　　通过对ISO/IEC27001标准中涉及的PDCA过程方法、主要因素、管理流程等内容进行梳理分析，结合数字图书馆自身的需求和特点，完成了ISO/IEC27001过程模式在图书馆领域的转化。包括:明确了数字图书馆信息安全管理的PDCA过程方法与内涵;梳理了数字图书馆信息安全管理从制定方案到风险评估再到风险控制的管理流程，以及其中每个过程的实施流程;分析并确定了风险评估和风险控制的主要影响因素，其中，风险评估的主要因素包括直接因素（资产，威胁，脆弱性，控制措施）与间接因素（保密性，完整性，可用性，保密性、完整性、可用性对资产价值的重要程度，威胁发生的可能性，威胁发生后对资产的保密性、完整性、可用性产生的损失）两种类型，风险控制的主要因素包括直接因素（实施成本和有效性）和间接因素（时间、人力、费用、难度、对每项风险的有效性等）两种类型。
　　(2)数字图书馆信息安全风险评估方法模型研究
　　从已有的信息安全风险评估方法和模型总结入手，分析了现有风险评估模型在平衡定量与定性关系、可操作性、结果可接受性等方面存在的问题，阐述了现有的风险评估方法不适用于数字图书馆信息安全风险评估的原因。进而，确定了数字图书馆信息安全风险评估方法和模型的选择依据。最终，研究构建了具有可操作性的基于GB/T20984的数字图书馆信息安全风险评估模型、基于多因素模糊综合评判矩阵的资产价值和威胁大小的计算模型、以及基于多渠道加权平均的脆弱性大小计算模型，详细阐述了评估模型的数据采集和分析计算策略，并通过实证研究的方式对该风险评估方法模型的可行性及实际评估效果进行了验证。
　　(3)数字图书馆信息安全风险控制方法模型研究
　　从已有的信息安全风险控制方法和模型总结入手，分析了现有风险控制模型存在与风险评估环节相脱离、操作繁琐复杂等问题，并阐述了现有的风险控制方法不适用于数字图书馆信息安全风险评估的原因，明确了基于ISO27000、与风险评估相衔接的、半定量方法或综合分析方法更适用于数字图书馆的信息安全风险控制。基于此前提，对ISO/IEC27002:2005和ISO/IEC27002:2013中的风险控制措施进行了调研分析，最终确定了基于ISO/IEC27002的数字图书馆风险控制核心要素和参考要素集合。并以数字图书馆领域成本最低、成效最佳的风险控制要求，构建了基于线性规划和模糊数学的风险控制决策模型，并详细阐述了控制决策模型的数据采集和分析计算策略，确保了该模型的可操作性和有效性。
　　(4)数字图书馆信息安全管理的标准规范草案研究
　　在对数字图书馆信息安全管理过程模式、风险评估和风险控制的方法模型进行研究的基础上，结合ISO/IEC27001和ISO/IEC27002在电信、金融、医疗行业的标准转化和应用分析，探讨了在数字图书馆领域信息安全标准规范形成和实施推广过程中还应注意的问题，包括标准确立的目的、意义、范围、结构、流程、核心、实施障碍、推行策略等方面内容。最终，初步制定并撰写了数字图书馆信息安全管理标准的草案，为数字图书馆信息安全规范化管理提供了长效的机制保障。
　　(5)数字图书馆信息安全规范化管理的实证研究
　　选择了国内某知名的大学城图书馆作为实证研究对象，严格按照数字图书馆信息安全管理标准草案中涉及的流程、方法、要求等进行了实证研究，包括该图书馆信息安全管理的目标、范围、方法、团队、计划等前期准备工作，资产、威胁、脆弱性等识别、估值、计算等风险评估工作，控制措施的影响要素识别、有效性计算、措施推荐等风险控制工作，并最终根据实施结果和实际访谈调研，对该数字图书馆已建立的信息安全管理体系进行审查，验证了数字图书馆信息安全风险管理的方法流程和标准规范的合理性和有效性。
　　本文研究旨在建立通用、规范、可行、有效的数字图书馆信息安全管理的实施框架，解决数字图书馆规范化管理过程中的关键问题。研究成果的创新性体现在:(1)构建了可操作性强、周期可控的数字图书馆信息安全管理的实施框架。该框架不仅能够满足ISO27000思想要求和数字图书馆的具体要求，而且能够将在数字图书馆的调研实施周期缩短在一个月之内，节省了数字图书馆信息安全管理的时间与资金成本。(2)构建了具有可操作性和有效性的数字图书馆信息安全风险评估和风险控制的应用模型。该模型模型使得风险评估和风险控制定量化计算流程简化有效，同时又能符合数字图书馆的信息安全管理要求和现状。(3)以2013版ISO27002为依据筛选适合于数字图书馆领域的核心控制要素和参考控制要素。该要素集合为数字图书馆风险控制措施的决策实施提供了基础和依据。(4)设计了一套既遵守ISO27000基本原则与思想、又照顾到数字图书馆行业特点的标准规范草案。该草案为数字图书馆信息安全管理标准与规范的制定打下了基础，能够用于指导数字图书馆信息安全规范化管理的实践。另外，本文所研究的方法、模型以及各种清单、模板还可以为其它行业研究利用ISO27000系列标准进行信息安全规范化管理提供一定的参考和思路。

目录

声明

摘要

第1章 引言

1．1 选题背景

1．1．1 网络安全的宏观需求

1．1．2 数字图书馆行业的微观需求

1．1．3 数字图书馆对信息安全规范化管理的需求

1．2 研究目的和意义

1．3 研究思路与方法

1．4 研究内容与创新性

1．4．1 研究内容

1．4．2 篇章结构

1．4．3 可能的创新点

第2章 数字图书馆及信息安全规范化管理研究述评

2．1 概念界定

2．1．1 数字图书馆信息安全

2．1．2 规范化管理

2．1．3 数字图书馆信息安全规范化管理

2．2 数字图书馆行业的标准规范研究

2．2．1 国外数字图书馆的标准规范

2．2．2 国内数字图书馆的标准规范

2．3 信息安全领域的标准规范研究

2．3．1 ISO 27000系列标准

2．3．2 国外其它重要的信息安全标准

2．3．3 国内重要的信息安全标准

2．4 数字图书馆的信息安全规范化管理研究

2．4．1 数字图书馆信息安全的管理问题研究

2．4．2 数字图书馆信息安全管理的规范化研究

2．4．3 已有相关研究成果和问题分析

2．5 本章小结

第3章 数字图书馆信息安全规范化管理的实施框架

3．1 数字图书馆信息安全管理的过程模式

3．1．1 ISO 27000与PDCA

3．1．2 数字图书馆信息安全管理的PDCA过程模式

3．2 数字图书馆信息安全规范化管理的主要因素

3．2．1 信息安全规范化管理的常见因素

3．2．2 数字图书馆信息安全风险评估的主要因素

3．2．3 数字图书馆信息安全风险控制的主要因素

3．3 数字图书馆信息安全规范化管理的流程

3．3．1 信息安全规范化管理的一般流程

3．3．2 数字图书馆行业的管理流程

3．4 数字图书馆信息安全规范化管理的实施框架图

3．5 本章小结

第4章 数字图书馆信息安全风险评估的应用模型

4．1 新版ISO 27001对风险评估的要求

4．2 现有风险评估方法模型对数字图书馆的适用性研究

4．2．1 信息安全风险评估的方法

4．2．2 信息安全风险总值的计算模型

4．2．3 信息安全风险评估各要素的计算模型

4．3 数字图书馆信息安全风险评估的模型

4．3．1 数字图书馆信息安全风险总值的计算

4．3．2 数字图书馆信息安全风险评估要素的计算

4．3．3 模型的效果检验

4．4 本章小结

第5章 数字图书馆信息安全风险控制的应用模型

5．1 数字图书馆信息安全风险控制要素筛选

5．1．1 2005与2013版ISO／IEC 27002的对比分析

5．1．2 基于ISO／IEO 27002：2013的控制要素筛选

5．1．3 新老标准中的数字图书馆风险控制要素对比分析

5．2 现有风险控制方法模型对数字图书馆的适用性研究

5．2．1 信息安全风险控制的方法

5．2．2 信息安全风险控制的模型

5．3 数字图书馆信息安全风险控制的决策

5．3．1 基于模糊数学的控制措施实施成本的计算

5．3．2 基于风险项的控制措施有效性的计算

5．3．3 基于线性规划的控制措施决策

5．4 本章小结

第6章 数字图书馆信息安全管理的标准规范设计

6．1 基于ISO 27000的行业标准分析

6．1．1 电信行业的ISO／IEC 27011

6．1．2 金融行业的ISO／IEC 27015

6．1．3 医疗行业的ISO／IEC 27799

6．2 数字图书馆信息安全标准规范设计的关键问题

6．2．1 目的与意义

6．2．2 范围与结构

6．2．3 主要流程

6．2．4 核心内容

6．2．5 标准规范草案

6．3 数字图书馆信息安全标准规范实施的关键问题

6．3．1 实施障碍

6．3．2 推行策略

6．4 本章小结

第7章 数字图书馆信息安全规范化管理的实证研究

7．1 实证研究对象介绍

7．2 制定S图书馆的信息安全管理方案

7．2．1 S图书馆信息安全管理的目标

7．2．2 S图书馆信息安全管理的原则

7．2．3 S图书馆信息安全管理的范围

7．2．6 S图书馆信息安全管理的实施计划

7．3 S图书馆的信息安全风险评估

7．3．1 S图书馆资产价值的计算

7．3．2 S图书馆威胁大小的计算

7．3．3 S图书馆脆弱性大小的计算

7．3．4 S图书馆风险等级的计算

7．3．5 风险评估结果分析

7．4 S图书馆的信息安全风险控制

7．4．1 S图书馆控制措施的识别

7．4．2 S图书馆控制措施的实施成本计算

7．4．3 S图书馆控制措施的有效性计算

7．5 审查与评价

7．6 本章小结

第8章 总结与展望

8．1 主要工作

8．2 创新之处

8．3 不足与展望

参考文献

致谢

攻读学位期间发表的学术论文目录

附录