论文部分内容阅读
随着数字化、信息化的不断发展,借助于现代通信和数字处理等技术,数字图书馆的建设不断向前发展。由于数字图书馆运行于网络构架上,所以各类安全问题,如网络病毒、网络设备安全等成为数字图书馆面临的主要问题;同时,数字图书馆提倡的电子资源的共享性和开放性使知识产权问题和资产滥用问题也成为其信息安全关注的重点。面对数字图书馆存在的各类信息安全问题,对数字图书馆进行适当的风险评估和风险控制,即信息安全管理就显得非常有必要。为了更好地对数字图书馆展开信息安全管理,本文选取目前国际上最具代表性的信息安全管理通用标准ISO 27000系列,以该系列标准下的ISO 27001和ISO 27002所提出的风险评估方法和风险控制措施为指导,建立针对数字图书馆的信息安全风险评估和风险控制的数学模型。目前,关于信息安全风险管理有很多较为成熟的模型,如PDCA.PDRR.PADIMEE等模型;同时,针对风险评估也有很多的方法,如故障树分析法、层次分析以及风险矩阵等。其中,PDCA模型与风险矩阵方法是国际信息安全管理标准ISO/IEC27001:2005实际评估过程中常用的模型和方法。本文通过数学建模的手段,建立了基于ISO 27000系列标准的数字图书馆信息安全风险管理数学模型。该模型包括两个部分:一是基于ISO 27001标准的数字图书馆风险评估模型,该模型根据ISO 27001给出的资产、威胁和薄弱点识别的一般原则,提出了基于模糊数学、构建威胁场景、CVSS以及风险矩阵相结合的综合评价模型;另一个是基于ISO 27002标准的风险控制决策模型,该模型用风险控制过程中的投资约束和风险控制策略约束为约束条件,以控制成本最小为目标函数建立起控制决策模型,挑选出适合数字图书馆风险处理的最优的风险控制措施。最后,本文根据建立的风险评估模型对某一数字图书馆进行资产识别和资产价值评估,并以业务管理系统为例,识别并评估其面临的威胁、薄弱点,计算出该资产目前面临的各个风险值大小。对于风险值超出组织接受范围的风险,按照本文提出的风险控制决策模型挑选出最优的风险控制措施,使该资产面临的所有风险都在组织的接受范围之内。本文提出的基于ISO 27000系列标准的数字图书馆信息安全风险管理数学模型将有助于数字图书馆各业务部门展开信息安全风险自评估,为信息安全风险管理和信息安全保障体系的建立打下坚实的基础。