对于网络环境下图书馆信息安全管理模型构建与应用
最后更新时间:2024-04-12
作者:用户投稿
本站原创
点赞:22473
浏览:97083
本站原创
点赞:22473
浏览:97083
论文导读:
〔摘 要〕在信息安全管理研究的基础上,根据图书馆信息所拥有的保密性、完整性、可用性的特性,构建出图书馆网络信息安全管理模型;依据该模型管理、运转与操作、人员、建筑与技术以及安全文化5个维度要求,建立信息安全管理的实践应用方案。
〔关键词〕图书馆;网络信息安全管理;模型
DOI:10.3969/j.issn.1008-082
借助于网络高新技术的发展,新的信息资源形态和使用方式,给图书馆读者带来便利的同时也必定存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性,为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏,提供了极为方便且难以制约的可乘之机,图书馆信息服务的权益及监督得不到有效的保障;同时,由于计算机网络的脆弱性,图书馆的网络系统本身经常处于的攻击之中,一旦图书馆网络出现故障,轻则信息服务得不到有效保障、数据丢失,重则整个图书馆处于瘫痪境地。因此,在信息化时代,图书馆信息安全显得尤为重要,构建图书馆网络信息安全管理模型来保证网络信息安全,使其高效运转是图书馆现代化建设中一项迫在眉睫的重要任务。
1 信息安全管理概述信息安全管理,是指实施和维护信息安全的原则、规划、标准和内容的综合,包括信息安全策略、信息风险评估、信息技术制约和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明,从而为组织提供全面的信息安全规划。它结合技术、程序和人员,以培养信息安全文化为目的,最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解,本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述,从而为图书馆网络信息安全管理模型的构建提供理论上的指导。
1.1 ISA信息安全原则为保护组织的信息资产免遭威胁,Tudor提出了一个全面灵活的信息安全架构策略(Information Security Architecture,简称ISA),这种策略提出5个关键性的信息安全原则(见表1)[1]。这些原则,可以了解组织工作的风险环境并对其实行评估和制约,从而减少这种风险;强调遵守国家信息安全法规的重要性,确保组织的机密信息受到国家的保护;涵盖信息安全技术与过程,满足组织信息安全的需要。表1 ISA信息安全原则
原 则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。
1.2 CMM信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划,McCarthy和 Campbell构建了能力成熟度模型(Capability Maturity Model,简称CMM)[2]。该模型包括7个信息安全规划内容(见表2),目标是从战略层面开始并用战略水平去指导技术等方面的工作,在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险,并在实践过程中对各解决方案集成应用与监控。表2 CMM信息安全规划
规 划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境制约与持续规划制约。
3 PROTECT信息安全标准在Eloff.J.H和Eloff.M所主持研究的“PROTECT”项目,是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写,对信息安全管理及标准进行了综合的介绍[3]。“PROTECT”项目涉及各种集成制约的策略,在确保组织的有效性和效率的基础上尽量减少风险,目的是全方面解决信息安全的理由。为实现项目目标,该项目提出了7个信息安全标准(见表3),确保信息安全规划从技术术和人文角度得到有效的实施和管理。
1.4 ISO/IEC 17799和ISO/IEC 27001信息安全内容国家标准组织(ISO)指出信息安全技术是实现信息安全管理的关键点,通过技术对信息系统进行安全性制约,是信息安全管理的重要内容。为了更好地实现信息安全制约,ISO提出了11个具体的信息安全制约内容(见表4),这些内容已成为国际上通用的信息安全内容的重要标准,即通常所说的ISO/IEC17799[4]。而ISO/IEC 27001是ISO/IEC 17799的第二部分,提出了包括操作、监控、审查、维护和提高等一系列持续改善信息安全管理系统的策略与过程[5]。表4 2 图书馆网络信息安全内容的选取与管理模型的构建 前文所述的信息安全管理的原则、规划、标准及内容是基于整个信息社会行业而言的,具有一定概括性且4个方面之间存在着重复性,为了构建出更具针对性的图书馆网络信息安全管理模型,笔者根据图书馆的特性对信息安全管理的原则、规划、标准和内容进行选取与整合,构建出符合图书馆应用要求的信息安全管理模型。
2.1 图书馆网络信息安全内容的选取图书馆网络信息是对外开放并以支持教学和科研为目的。在这种情况下,网络信息安全是指读者未经授权无权使用、移动、修改和破坏图书馆信息。在对图书馆信息采取安全保护措施时必须确保其具有以下属性:①保密性:确保图书馆隐私信息的安全。此类信息必须严格制约读者访问量,只能授权一定级别的读者访问;同时,有权限访问图书馆隐私信息的读者也不能向公众透露相关的隐私信息。②完整性:确保图书馆信息是准确、完整并具有持久性。因此,图书馆信息安全管理要确保图书馆信息内容不是残缺不建全的、失踪的、腐朽的、任意放置的,外借、故意或意外变化不会边缘化,在盗窃或破坏中具有安全性。③可用性:读者在授权时间内能无限制地访问并获取论文导读:
图书馆信息。图书馆必须有一个安全稳定的信息管理(网络)系统来支撑图书馆的运转,确保图书馆信息能及时传递而不会被延误。在维护图书馆信息安全的同时确保图书馆信息的保密性、完整性及可用性不缺失,这就要求在构建图书馆网络信息安全管理模型时对信息安全内容的确定带有一定的甄别性,不能将信息行业安全管理的所有原则、规划、标准及内容全部应用于图书馆安全管理。根据图书馆信息的特性,本文从管理、运转与操作、人员、建筑与技术及安全文化5个维度对图书馆信息安全的内容进行了选取,这5个维度的具体内容在图书馆网络信息安全管理模型中将会详细论述。4 结束语构建一个适应计算机网络普遍应用的图书馆网络信息安全管理模型,不仅是适应新形势的需要,也是图书馆信息数字化建设的重要组成部分。随着图书馆社交网络应用的普及,图书馆信息将面对更大的开放性和更多的安全方面的挑战。图书馆网络信息安全管理模型是一个包括技术、管理、人员和安全文化等多个环节整体性很强的体系,不能孤立或静止地看待和解决理由,网络信息安全性的提高依赖于不断的技术进步和应用,依赖于管理的逐步完善和人员素质的全面提升。相关人员应根据网络信息的特点和需求,进行有针对性的系统设计,不断地改善和完善网络技术的安全工作,更好地推动图书馆网络事业健康发展。
参考文献
[1]J.K.Tudor.Information Security Architecture—An integrated approach to security in an organization[M].Boca Raton,FL:Auerbach.
[2]McCarthy M.P,Campbell S.Security Tranormation[M].McGraw-Hill:New York.
[3]Eloff J.H,Eloff M.Integrated Information Security Architecture[J].Computer Fraud and Security,2005,(11):10-16.
[4]ISO/IEC 17799(BS 7799-1).Information technology,Security techniques[S].Code of practice for information security management,Britain.
[5]ISO/IEC 27001(BS 7799-2).Information technology,Security techniques[S].Code of practice for information security management,Britain.
[6]A.Da Veiga,J.H.Eloff.An Information Security Governance Framework[J].Information Systems Managenment,2007,(4):361-372.
[7]Abashe Maidabino,A.N.Zainab.A holistic approach to collection security implementation in university libraries[J].Library Collection,Acquisitions & Technical Services,2012,(36):107-120.
[8]Sipone M.T.Five dimensions of information security awareness[J].Computer and Society,2000,(6):24-29.
[9]Holt G.E.Theft by library staff[J].The Bottom line:Managing Library Finances,2007,(2):85-92.
[10]周永忠,黎霞,胡武民.图书馆网络信息安全隐患与策略研究[J].科技广场,2009,(9):98-100.
(本文责任编辑:马 卓)
〔摘 要〕在信息安全管理研究的基础上,根据图书馆信息所拥有的保密性、完整性、可用性的特性,构建出图书馆网络信息安全管理模型;依据该模型管理、运转与操作、人员、建筑与技术以及安全文化5个维度要求,建立信息安全管理的实践应用方案。
〔关键词〕图书馆;网络信息安全管理;模型
DOI:10.3969/j.issn.1008-082
1.2014.02.016
〔〕A 〔文章编号〕1008-0821(2014)02-0076-06借助于网络高新技术的发展,新的信息资源形态和使用方式,给图书馆读者带来便利的同时也必定存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性,为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏,提供了极为方便且难以制约的可乘之机,图书馆信息服务的权益及监督得不到有效的保障;同时,由于计算机网络的脆弱性,图书馆的网络系统本身经常处于的攻击之中,一旦图书馆网络出现故障,轻则信息服务得不到有效保障、数据丢失,重则整个图书馆处于瘫痪境地。因此,在信息化时代,图书馆信息安全显得尤为重要,构建图书馆网络信息安全管理模型来保证网络信息安全,使其高效运转是图书馆现代化建设中一项迫在眉睫的重要任务。
1 信息安全管理概述信息安全管理,是指实施和维护信息安全的原则、规划、标准和内容的综合,包括信息安全策略、信息风险评估、信息技术制约和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明,从而为组织提供全面的信息安全规划。它结合技术、程序和人员,以培养信息安全文化为目的,最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解,本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述,从而为图书馆网络信息安全管理模型的构建提供理论上的指导。
1.1 ISA信息安全原则为保护组织的信息资产免遭威胁,Tudor提出了一个全面灵活的信息安全架构策略(Information Security Architecture,简称ISA),这种策略提出5个关键性的信息安全原则(见表1)[1]。这些原则,可以了解组织工作的风险环境并对其实行评估和制约,从而减少这种风险;强调遵守国家信息安全法规的重要性,确保组织的机密信息受到国家的保护;涵盖信息安全技术与过程,满足组织信息安全的需要。表1 ISA信息安全原则
原 则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。
1.2 CMM信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划,McCarthy和 Campbell构建了能力成熟度模型(Capability Maturity Model,简称CMM)[2]。该模型包括7个信息安全规划内容(见表2),目标是从战略层面开始并用战略水平去指导技术等方面的工作,在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险,并在实践过程中对各解决方案集成应用与监控。表2 CMM信息安全规划
规 划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境制约与持续规划制约。
3 PROTECT信息安全标准在Eloff.J.H和Eloff.M所主持研究的“PROTECT”项目,是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写,对信息安全管理及标准进行了综合的介绍[3]。“PROTECT”项目涉及各种集成制约的策略,在确保组织的有效性和效率的基础上尽量减少风险,目的是全方面解决信息安全的理由。为实现项目目标,该项目提出了7个信息安全标准(见表3),确保信息安全规划从技术术和人文角度得到有效的实施和管理。
1.4 ISO/IEC 17799和ISO/IEC 27001信息安全内容国家标准组织(ISO)指出信息安全技术是实现信息安全管理的关键点,通过技术对信息系统进行安全性制约,是信息安全管理的重要内容。为了更好地实现信息安全制约,ISO提出了11个具体的信息安全制约内容(见表4),这些内容已成为国际上通用的信息安全内容的重要标准,即通常所说的ISO/IEC17799[4]。而ISO/IEC 27001是ISO/IEC 17799的第二部分,提出了包括操作、监控、审查、维护和提高等一系列持续改善信息安全管理系统的策略与过程[5]。表4 2 图书馆网络信息安全内容的选取与管理模型的构建 前文所述的信息安全管理的原则、规划、标准及内容是基于整个信息社会行业而言的,具有一定概括性且4个方面之间存在着重复性,为了构建出更具针对性的图书馆网络信息安全管理模型,笔者根据图书馆的特性对信息安全管理的原则、规划、标准和内容进行选取与整合,构建出符合图书馆应用要求的信息安全管理模型。
2.1 图书馆网络信息安全内容的选取图书馆网络信息是对外开放并以支持教学和科研为目的。在这种情况下,网络信息安全是指读者未经授权无权使用、移动、修改和破坏图书馆信息。在对图书馆信息采取安全保护措施时必须确保其具有以下属性:①保密性:确保图书馆隐私信息的安全。此类信息必须严格制约读者访问量,只能授权一定级别的读者访问;同时,有权限访问图书馆隐私信息的读者也不能向公众透露相关的隐私信息。②完整性:确保图书馆信息是准确、完整并具有持久性。因此,图书馆信息安全管理要确保图书馆信息内容不是残缺不建全的、失踪的、腐朽的、任意放置的,外借、故意或意外变化不会边缘化,在盗窃或破坏中具有安全性。③可用性:读者在授权时间内能无限制地访问并获取论文导读:
图书馆信息。图书馆必须有一个安全稳定的信息管理(网络)系统来支撑图书馆的运转,确保图书馆信息能及时传递而不会被延误。在维护图书馆信息安全的同时确保图书馆信息的保密性、完整性及可用性不缺失,这就要求在构建图书馆网络信息安全管理模型时对信息安全内容的确定带有一定的甄别性,不能将信息行业安全管理的所有原则、规划、标准及内容全部应用于图书馆安全管理。根据图书馆信息的特性,本文从管理、运转与操作、人员、建筑与技术及安全文化5个维度对图书馆信息安全的内容进行了选取,这5个维度的具体内容在图书馆网络信息安全管理模型中将会详细论述。4 结束语构建一个适应计算机网络普遍应用的图书馆网络信息安全管理模型,不仅是适应新形势的需要,也是图书馆信息数字化建设的重要组成部分。随着图书馆社交网络应用的普及,图书馆信息将面对更大的开放性和更多的安全方面的挑战。图书馆网络信息安全管理模型是一个包括技术、管理、人员和安全文化等多个环节整体性很强的体系,不能孤立或静止地看待和解决理由,网络信息安全性的提高依赖于不断的技术进步和应用,依赖于管理的逐步完善和人员素质的全面提升。相关人员应根据网络信息的特点和需求,进行有针对性的系统设计,不断地改善和完善网络技术的安全工作,更好地推动图书馆网络事业健康发展。
参考文献
[1]J.K.Tudor.Information Security Architecture—An integrated approach to security in an organization[M].Boca Raton,FL:Auerbach.
[2]McCarthy M.P,Campbell S.Security Tranormation[M].McGraw-Hill:New York.
[3]Eloff J.H,Eloff M.Integrated Information Security Architecture[J].Computer Fraud and Security,2005,(11):10-16.
[4]ISO/IEC 17799(BS 7799-1).Information technology,Security techniques[S].Code of practice for information security management,Britain.
[5]ISO/IEC 27001(BS 7799-2).Information technology,Security techniques[S].Code of practice for information security management,Britain.
[6]A.Da Veiga,J.H.Eloff.An Information Security Governance Framework[J].Information Systems Managenment,2007,(4):361-372.
[7]Abashe Maidabino,A.N.Zainab.A holistic approach to collection security implementation in university libraries[J].Library Collection,Acquisitions & Technical Services,2012,(36):107-120.
[8]Sipone M.T.Five dimensions of information security awareness[J].Computer and Society,2000,(6):24-29.
[9]Holt G.E.Theft by library staff[J].The Bottom line:Managing Library Finances,2007,(2):85-92.
[10]周永忠,黎霞,胡武民.图书馆网络信息安全隐患与策略研究[J].科技广场,2009,(9):98-100.
(本文责任编辑:马 卓)