【摘要】： 隨著當代通信和網(wǎng)絡技術、高密度存貯技術、計算機技術以及多媒體等先進技術的飛速發(fā)展,一個真正意義的信息資源空間——數(shù)字圖書館正在形成,這是21世紀世界各國圖書館發(fā)展的主旋律,也是實現(xiàn)經(jīng)濟全球一體化的必備條件之一。由于數(shù)字圖書館的信息安全直接影響到未來國家的經(jīng)濟、文化、教育、科學技術等事業(yè)的建設和發(fā)展,因此加強信息安全的研究和防范,營造信息安全氛圍和環(huán)境已經(jīng)成為數(shù)字圖書館的重中之重、當務之急。數(shù)字圖書館信息安全的管理是一個認識風險、評估風險、管理風險的過程,而風險評估則是了解數(shù)字圖書館的安全風險現(xiàn)狀,采取技術與管理措施實施安全加固的前提。然而要對其進行風險評估僅僅依靠人工完成是不現(xiàn)實的,因為評估要素隨著評估過程、溝通過程、監(jiān)視和評審過程、重復的評估過程而不斷變化,需要不斷重復地進行大量的數(shù)據(jù)處理,因此為數(shù)字圖書館的安全管理設計一套風險評估輔助工具就顯得尤為必要了。 本文首先對國內外信息安全風險評估、評估標準與評估軟件研究現(xiàn)狀進行了深入分析,并介紹了信息安全與風險評估之間的關系;然后對信息安全風險評估中的相關概念、評估流程、模型和方法以及ISO27000標準進行了介紹;接著深入研究了信息安全評估軟件在評估中的重要作用以及現(xiàn)在常用的三類風險評估軟件。在此基礎上,分析了實現(xiàn)基于ISO27000的數(shù)字圖書館風險評估軟件的必要性和可行性,并結合數(shù)字圖書館信息安全管理的特點研究了基于ISO27000的數(shù)字圖書館信息安全風險評估輔助工具的流程。最后,在此流程基礎上,設計并實現(xiàn)了基于ISO27000的數(shù)字圖書館信息安全風險評估輔助工具。 本文是首次研究并開發(fā)了基于ISO27000的數(shù)字圖書館信息安全風險評估實驗系統(tǒng),解決了以往對其進行風險評估大量繁雜的手工操作,在一定程度上提高了工作效率,減少了數(shù)字圖書館的損失。同時本系統(tǒng)中提供的模板導入/導出等操作功能方便了不同的數(shù)字圖書館之間的交流,減少了重復勞動,并為那些業(yè)務流程規(guī)范、其相關資產(chǎn)、威脅和薄弱點易于歸納的組織進行風險評估提供了接口。
【圖文】：

僻僻粼沂 沂 沂…誡頓頓 圖2一1風險及其要素之間的關系模型從圖2一1中可以看出信息系統(tǒng)面臨的風險相關的要素較多，風險評估圍繞著這些基本要素展開，在對這些要素的評估過程中，需要充分考慮到系統(tǒng)的資產(chǎn)價值、面臨的威脅、存在的脆弱性以及安全需求、安全措施、安全事件、殘余風險等基本要素。這些基本要素之間存在著較為復雜的關系，具體敘述如下:資產(chǎn)價值越大，，原則上其面臨的風險越大;風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風險越大，并可能導致安全事件;弱點越多，威脅利用脆弱性導致安全事件的可能性越大;脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)，從而形成風險;風險的存在及對風險的認識導出安全需求;安全需求可通過安全措施得以滿足

2.315027000標準信息安全標準是確保信息安全的產(chǎn)品和系統(tǒng)在設計、研發(fā)、生產(chǎn)、建設、使用、測評中解決其一致性、可靠性、可控性、先進性和符合性的技術規(guī)范、技術依據(jù)。信息安全標準是我國信息安全保障體系的重要組成部分，是政府進行宏觀管理的重要手段。信息安全保障體系的建設、應用，是一個極其龐大的復雜系統(tǒng)，沒有配套的安全標準，就不能構造出一個可用的信息安全保障體系。在眾多信息安全標準中，信息安全管理體系系列標準(Informati。nSeCuritymanagementSystemS，簡稱ISMS，即ISO/IEC27000系列標準)是目前國際標準化組織、大部分歐洲國家以及日韓新等亞洲國家在信息安全管理標準領域的重點研究對象。〔25]由于我國信息安全管理標準化工作較信息化發(fā)達國家起步較晚，因此，當前我國整體的信息安全管理標準工作處在積極學習先進、努力結合實際、力圖創(chuàng)造具有自主特色的國家標準的形勢下，有許多信
【學位授予單位】：南京農業(yè)大學
【學位級別】：碩士
【學位授予年份】：2008
【分類號】：G250.76;TP393.08

【引證文獻】

相關期刊論文 前1條

1 李永先;齊亞雙;袁淑艷;;基于PDRR模型的數(shù)字圖書館信息保障體系研究[J];情報科學;2011年07期

相關碩士學位論文 前2條

1 陳雙喜;基于ISO27000系列標準的數(shù)字圖書館信息安全風險管理數(shù)學模型研究[D];南京農業(yè)大學;2009年

2 張佳鑫;基于ISO27000的內網(wǎng)網(wǎng)絡安全信息管理系統(tǒng)[D];南京農業(yè)大學;2009年

本文編號：2675859