绪论
信息是企业和组织进行正常运作和管理不可或缺的资产,一旦泄露将会造成无法估量的损失。信息化技术的发展使得人们工作、生活及学习的方式发生了巨大的变化,随之而来的网络安全问题也愈加凸显。任何国家、政府部门以及各行业组织的运作越来越依赖于信息系统,信息安全问题与国家安全、经济发展、社会稳定及人们日常生活有着直接紧密的关系,因此必须充分重视信息安全问题。
1.1论文研究背景和意义
高校图书馆作为学校信息化与社会化的重要中心,既是学校的信息中心、教学中心与科研中心,又是我国信息化建设的重要基地⑴。随着网络技术在高校图书馆工作中的普及应用,读者用户享受着图书馆数字化建设带来的海量信息资源、多样化娱乐方式和丰富多样的服务形式。高校图书馆属于复合图书馆的范畴,是传统图书馆与数字图书馆的结合。网络是数字图书馆的重要基础设施,在图书馆的管理、科研以及对外交流中担任重要角色。高校图书馆一般有比较多的先进计算机技术应用,网络应用也十分普及,其用户群密集而且活跃,同时高校图书馆信息化程度高,信息网络已经成为了高校图书馆的重要核心资产,对高校的教学、科研及学生的学习都起着不可或缺的重要作用。高校的数字图书馆通常是校园网的重要组成部分之一,其服务建立在开放性的网络系统上。随着诸如Web2.0等新型技术在图书馆的广泛应用,图书馆的业务管理、文献信息服务与具有开放性、共享性的网络结合越来越紧密,而且对网络的依赖性越来越大,网络脆弱性、复杂性及易受攻击的可能性等一系列网络安全问题也日益严重。高校图书馆的计算机上保存着图书馆的书目信息、读者借阅信息、各种专业数据库等重要电子数据,一旦图书馆网络出现故障或者受到破坏,很可能出现轻则信息服务得不到保障,数据丢失,重则整个图书馆系统出现验证故障乃至擁痪的后果。作为高校重要支柱的图书馆,担负着培养高级人才以及提供信息资源与信息服务的重任,为了确保信息资源准确无误的为用户服务且确保图书馆各项业务持续稳定的开展,图书馆信息安全管理显得愈加重要,信息安全成为了高校图书馆现代化建设的重点之一。
目前在图书馆信息安全管理研究领域中,大多数运用IS027000系列标准对建设图书馆信息安全管理体系、建立风险评估分析模型、确定和实施安全策略及措施等问题进行研究。但是在IS027000系列标准的核心控制领域中,并没有对任何领域或控制目标进行权重的分配,使得在进行风险评估时,没有具体的标准依据对127项控制项进行加权,而不同评估人员得出的评估结果也可能不尽相同;同时,在应用IS027000时需要对评估人员进行一定的培训,从而增加了实施安全管理的难度和成本[2]。德国联邦安全局发布的《信息技术基线保护手册》(ITBPM)以信息资产为主轴,分析信息资产可能遭遇的威胁,并提供可以采取的标准安全防护措施。因此,利用ITBPM进行风险评估分析研究可以避免由于风险评估人员IT知识或风险概念不足等原因导致的信息安全风险识别不足等情况(如资产识别不足、威胁识别不足、安全控制措施选择不当等),简化了评估人员进行资产分类识别、威胁识别以及控制方式与控制措施选择的过程。本文拟要解决的问题是如何将ITBPM的“资产-威胁-安全措施”模块与传统风险评估方法流程进行有机结合,并应用到图书馆的风险评估分析过程中,验证ITBPM用于图书馆信息安全风险评估的有效性,以实现风险评估实施流程的优化。
因此本文进行基于ITBPM的图书馆信息安全风险评估研究对优化图书馆风险评估过程有着重要的实践意义。同时,由于ITBPM并没有取得国际认证,且引进我国的时间比IS027000系列晚,国内对于ITBPM 了解有限,基于ITBPM的相关研究很少。本文选择ITBPM与信息安全风险评估整体实施流程进行有机结合研究,试图丰富有关ITBPM及风险评估的学术理论研究,并对ITBPM进行介绍与推广。
1.2信息安全研究概况
信息安全起源于通信领域的“保密”。早在4000年前,人们就懂得通过对文字的有意变形来保守通信秘密,后来则懂得通过文字的“移位”和“替代”两种方法对通信信息进行加密,以保住商业或军事秘密。20世纪60年代以前,没有提“信息安全”的,而只是讲“保密”,例如“话音保密”、“传真保密”、“电报保密”等,这一时期的信息保密叫“通信保密”(COMSEC)。政府、军事以及外交是这个时期通信安全的主要关心对象,其主要威胁则是搭线窃听和密码破译,防止非法人员截获信息及确保信息完整性是这个时期需要解决的问题,多采用加密、发射传输保密等技术手段对数据的机密性及可靠性加以保护。1949年香农(Shannon)发表的《保密系统的通信理论》是通信保密阶段的标志。通信保密的目的就是确保传输信息的机密性和完整性,对抗敌方的主动攻击和被动攻击,防止敌方从截获的信号中读取有用信息。20世纪70年代以后,由于计算机软硬件技术快速发展,通信环境从点对点发展到计算机网络通信。在计算机网络环境下的信息安全可归纳为对信息系统的保护,也就是把计算机参与的“计算机安全”(COMPUSEC)与“通信保密”(COMSEC )一起合称为“信息安全”(INFOSEC),成为信息安全发展过程中的重要一环,同时安全的内涵有了很大扩充。“安全”不仅是防止信息丢失、泄密,“信息安全”还需要认真对付网络通信系统渗透、网络入侵、病毒作祟、数据捣乱、信息重放、系统拒绝服务等事件。
第2章信息安全风险评估............. 9
2.1基本概念 .............9
2.2风险评估意义 .............10
2.3风险评估发展概况 .............10
第3章图书馆信息安全问题分析............. 19
3.1数字图书馆信息安全的特点 .............19
3.2数字图书馆信息安全面临的主要危害 .............20
3.3数字图书馆信息安全的主要影响因素 .............20
第4章ITBPM概述............. 23
4.1 ITBPM 简介............. 25
4.2 ITBPM 结构 .............28
4.3 ITBPM的主要特点 .............31
总结
论文以XX大学图书馆作为案例应用分析的对象,将IT基线保护手册与传统风险评估实施流程相结合,对图书馆进行基于ITBPM的信息安全风险评估分析,通过对信息资产、威胁、脆弱性的识别,进行风险计算及分析,从而可以根据IT基线保护手册的建议选取适合图书馆长期安全需求的安全措施。论文主要完成了以下工作:
(1)详细介绍了信息安全风险评估相关概念、过程等内容,并对有关标准进行了论述。
(2)分析了目前图书馆信息安全现状,并对图书馆信息安全特点及影响因素进行了探究.
(3)详细介绍了德国IT基线保护手册(ITBPM),分析了 ITBPM的安全防护模型、“资产_威胁-安全保护措施”模块,并与其他信息安全标准作了对比研究分析。
参考文献
[1]安玉洁.网络环境下高校图书馆信息安全保障体系研究[D].湘潭:湘潭大学,2008.
[2]王艳玮,王闪闪.BS7799与等级保护系列标准对比研究[J].图书馆理论与实践,2010(4): 34-37.
[3] IT Baseline Protection Manual,Standard Security Measures.Germany, 2000,10.
[4] Trusted Computer System Evaluation Criteria (TCSEC).US DoD 5200.28—STD,1985, 12.
[5] ITSEC,Information on Technology Security Evaluation Criteria, http://sblunwen.com/tsgshxlw/ Version 1.2.Office for Official Publications of European Communities, 1991,6.
[6] IATF(Information Assurance Technical Framework). National Security Agency IASolutions Technical Directors Release 3.1, 2002,12.
[7] GB/T 17859-1999.计算机信息系统安全保护等级划分准则.北京:中国标准出版社,1999.
[8]袁梅,佘诗武,周军?复合型图书馆信息安全及策略仁[J].现代情报,2005(06):19-20,24.
[9]李伟丽.基于故障树的图书馆信息安全风险评估研究[D].天津:天津财经大学,2011.
[10]朱晓欢.基于IS027000的复合图书馆信息安全风险评估理论与实证研究[D].南京:南京农业大学,2007.