数字图书馆信息安全风险评估辅助工具的开发与设计

发布时间：2020-05-22 10:26

【摘要】： 随着当代通信和网络技术、高密度存贮技术、计算机技术以及多媒体等先进技术的飞速发展,一个真正意义的信息资源空间——数字图书馆正在形成,这是21世纪世界各国图书馆发展的主旋律,也是实现经济全球一体化的必备条件之一。由于数字图书馆的信息安全直接影响到未来国家的经济、文化、教育、科学技术等事业的建设和发展,因此加强信息安全的研究和防范,营造信息安全氛围和环境已经成为数字图书馆的重中之重、当务之急。数字图书馆信息安全的管理是一个认识风险、评估风险、管理风险的过程,而风险评估则是了解数字图书馆的安全风险现状,采取技术与管理措施实施安全加固的前提。然而要对其进行风险评估仅仅依靠人工完成是不现实的,因为评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化,需要不断重复地进行大量的数据处理,因此为数字图书馆的安全管理设计一套风险评估辅助工具就显得尤为必要了。 本文首先对国内外信息安全风险评估、评估标准与评估软件研究现状进行了深入分析,并介绍了信息安全与风险评估之间的关系;然后对信息安全风险评估中的相关概念、评估流程、模型和方法以及ISO27000标准进行了介绍;接着深入研究了信息安全评估软件在评估中的重要作用以及现在常用的三类风险评估软件。在此基础上,分析了实现基于ISO27000的数字图书馆风险评估软件的必要性和可行性,并结合数字图书馆信息安全管理的特点研究了基于ISO27000的数字图书馆信息安全风险评估辅助工具的流程。最后,在此流程基础上,设计并实现了基于ISO27000的数字图书馆信息安全风险评估辅助工具。 本文是首次研究并开发了基于ISO27000的数字图书馆信息安全风险评估实验系统,解决了以往对其进行风险评估大量繁杂的手工操作,在一定程度上提高了工作效率,减少了数字图书馆的损失。同时本系统中提供的模板导入/导出等操作功能方便了不同的数字图书馆之间的交流,减少了重复劳动,并为那些业务流程规范、其相关资产、威胁和薄弱点易于归纳的组织进行风险评估提供了接口。
【图文】：

僻僻粼沂 沂 沂…诫顿顿 图2一1风险及其要素之间的关系模型从图2一1中可以看出信息系统面临的风险相关的要素较多，风险评估围绕着这些基本要素展开，在对这些要素的评估过程中，需要充分考虑到系统的资产价值、面临的威胁、存在的脆弱性以及安全需求、安全措施、安全事件、残余风险等基本要素。这些基本要素之间存在着较为复杂的关系，具体叙述如下:资产价值越大，，原则上其面临的风险越大;风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能导致安全事件;弱点越多，威胁利用脆弱性导致安全事件的可能性越大;脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产，从而形成风险;风险的存在及对风险的认识导出安全需求;安全需求可通过安全措施得以满足

2.315027000标准信息安全标准是确保信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要手段。信息安全保障体系的建设、应用，是一个极其庞大的复杂系统，没有配套的安全标准，就不能构造出一个可用的信息安全保障体系。在众多信息安全标准中，信息安全管理体系系列标准(Informati。nSeCuritymanagementSystemS，简称ISMS，即ISO/IEC27000系列标准)是目前国际标准化组织、大部分欧洲国家以及日韩新等亚洲国家在信息安全管理标准领域的重点研究对象。〔25]由于我国信息安全管理标准化工作较信息化发达国家起步较晚，因此，当前我国整体的信息安全管理标准工作处在积极学习先进、努力结合实际、力图创造具有自主特色的国家标准的形势下，有许多信
【学位授予单位】：南京农业大学
【学位级别】：硕士
【学位授予年份】：2008
【分类号】：G250.76;TP393.08

【引证文献】

相关期刊论文 前1条

1 李永先;齐亚双;袁淑艳;;基于PDRR模型的数字图书馆信息保障体系研究[J];情报科学;2011年07期

相关硕士学位论文 前2条

1 陈双喜;基于ISO27000系列标准的数字图书馆信息安全风险管理数学模型研究[D];南京农业大学;2009年

2 张佳鑫;基于ISO27000的内网网络安全信息管理系统[D];南京农业大学;2009年

本文编号：2675859