（公共管理专业论文）某高校图书馆信息安全管理研究.pdf

， ， i 一 r ， c l a s s i f i e di n d e x u d c i i l l lli l t l li ii i i i q l l l l lli i i y 18 0 7 9 8 8 ad is s e r t a ti o nf o rt h ed e g r e eo fm p a c e r t a i n u n i v e r s i t yl i b r a r y i n f o r m a t i o ns e c u r i t ym a n a g e m e n t r e s e a r c h c a n d i d a t e s u p e r v i s o r a c a d e m i cd e g r e ea p p l i e df o r s p e c i a l i t y d a t eo fs u b m i s s i o n d a t eo f o r a le x a m i n a t i o n u n i v e r s i t y ：z o u l i a n g ：p r o f s u nd e m e i ：m a s t e ro fp u b l i ca d m i n i s t r a t i o n ：m a s t e ro fp u b l i ca d m i n i s t r a t i o n ：a p r i l ，2 0 1 0 ：j u n e ，2 0 1 0 ：h a r b i ne n g i n e e r i n gu n i v e r s i t y ， 哈尔滨工程大学 学位论文原创性：声明 本人郑重声明：本论文的所有工作，是在导师的指导下，由 作者本人独立完成的。有关观点、方法、数据和文献的引用已在 文中指出，并与参考文献相对应。除文中己注明引用的内容外， 本论文不包含任何其他个人或集体已经公开发表的作品成果。对 本文的研究做出重要贡献的个人和集体，均己在文中以明确方式 标明。本人完全意识到本声明的法律结果由本人承担。 作者( 签字) ：刍j 5 历、 日期：力胗年彩月殷日 哈尔滨工程大学 学位论文授权使用声明 本人完全了解学校保护知识产权的有关规定，即研究生在校 攻读学位期间论文工作的知识产权属于哈尔滨工程大学。哈尔滨 工程大学有权保留并向国家有关部门或机构送交论文的复印件。 本人允许哈尔滨工程大学将论文的部分或全部内容编入有关数据 库进行检索，可采用影印、缩印或扫描等复制手段保存和汇编本 学位论文，可以公布论文的全部内容。同时本人保证毕业后结合 学位论文研究课题再撰写的论文一律注明作者第一署名单位为哈 尔滨工程大学。涉密学位论文待解密后适用本声明。 本论文( 目在授予学位后即可口在授予学位1 2 个月后口 解密后) 由哈尔滨工程大学送交有关部门进行保存、汇编等。 作者( 签字) ：绛亮 日期：2 跏年月伽 导师( 签字) ：砂 批年乡月胡 ；钆上， k q 某高校图书馆信 摘 随着现代信息技术的发展，信息资源得到了最大程度的共享，但是我们 必须看到，紧随信息化发展而来的信息安全问题日益突出，信息安全问题已 经成为信息化社会的一个焦点问题，而图书馆是高校的三大重要支柱之一， 担负着为培养高级人才提供信息资源与信息服务的重任，因此图书馆的信息 安全问题就显得尤为重要。以往的信息安全管理措施已经不足以应对新环境 下的信息安全问题，如果这一问题不能很好得到解决，就不能保证图书馆业 务的持续开展以及信息资产的安全，因此探讨和研究适合于高校图书馆的信 息安全管理体系具有重要的现实意义。 本文首先论述了信息安全管理的定义、重要性、目标和原则，并对国际 知名的信息安全管理体系标准i s o i e c2 7 0 0 2 进行了简介，然后通过对 某高校图书馆信息安全管理工作进行深入的探讨和调查，分析了了信息安全 管理工作中出现的问题，并结合该馆实际情况应用国际上通用的信息安全管 理实用规则i s o i e c2 7 0 0 2 来建设适用于高校图书馆的信息安全管理体系， 最后对该校图书馆信息安全管理体系进行了改进分析和未来展望。 关键词：信息安全；安全管理；管理体系；高校图书馆 k l r l l。_二， a b s t r a c t w i t ht h e d e v e l o p m e n to fm o d e mi n f o r m a t i o nt e c h n o l o g y ，i n f o r m a t i o n r e s o u r c e sa r es h a r e dm a x i m u m l y b u ta tt h es a m et i m e ，w es h o u l da l s on o t i c et h a t t h ed e v e l o p m e n tc o m e sw i t hm a n yp r o b l e m so fi n f o r m a t i o ns e c u r i t yw h i c hh a s b e e naf o c a lp o i n ti nt h i si n f o r m a t i o ns o c i e t y l i b r a r yi so n eo fi m p o r t a n ts u p p o r t so fu n i v e r s i t ya n di s i nc h a r g eo f a f f o r d i n gi n f o r m a t i o nr e s o u r c e sa n ds e r v i c eh e l p i n gt oe d u c a t ea d v a n c e dh u m a n r e s o u r c e s w i t ht h ed e v e l o p m e n to fs o c i e t y ，s o m ea d m i n i s t r a t i n gm e a s u r e so f i n f o r m a t i o ns e c u r i t yh a v eb e e no u to fd a t ei nt h en e we n v i r o n m e n t t h e r e f o r e ，i t i sv e r ys i g n i f i c a n tt or e s e a r c ht h er e l e v a n ta d m i n i s t r a t i n gs y s t e mo fi n f o r m a t i o n s e c u r i t yf o ru n i v e r s i t yl i b r a r yi no r d e rt oe n s u r et h es m o o t ho fl i b r a r yb u s i n e s sa n d s e c u r i t yo fi n f o r m a t i o na s s e t t h ep a p e rf i r s t l yd i s s e r t e dt h ec o n c e p t ，i m p o r t a n c e ，o b j e c t i v e sa n dp r i n c i p l e s o fi n f o r m a t i o ns e c u r i t ym a n a g e m e n t ，a n dg a v eab r i e fi n t r o d u c t i o no fi n t e r n a t i o n a l f a m o u si n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e ms t a n d a r d ，i s o i e c2 7 0 0 2 t h e n ， t h ep a p e r a n a l y z e dp r o b l e m so fi n f o r m a t i o ns e c u r i t ym a n a g e m e n tb yd e e p l y d i s c u s s i n ga n dr e s e a r c h i n gw o r ko fi n f o r m a t i o ns e c u r i t ym a n a g e m e n ti nc e r t a i n c o l l e g el i b r a r y u n d e rt h ea c t u a ls i t u a t i o no ft h el i b r a r y ，t h ea u t h o rd i s c u s s e dh o w t ou s et h e i n t e r n a t i o n a l l ya c c e p t e di n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e m s t a n d a r d ，i s o i e c2 7 0 0 2 ，t ob u i l da ni n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e m f o rc o l l e g el i b r a r y f i n a l l y ，t h ep a p e rm a d es o m ei m p r o v e da n a l y s i sa n df u t u r e p r o s p e c t sf o r t h ei n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e mo ft h a tu n i v e r s i t y l i b r a r y k e yw o r d s ：i n f o r m a t i o ns e c u r i t y ；s e c u r i t ym a n a g e m e n t ；m a n a g e m e n ts y s t e m ； u n i v e r s i t yl i b r a r y hl，l11j 某高校图书馆信息安全管理研究 目录 第1 章绪论1 1 1 论文写作的背景、目的及意义1 1 2 信息安全管理概论4 1 3 国内外信息安全管理的发展与应用现状7 1 4 论文的总体思路、研究方法和基本内容1 0 1 - 5 论文的创新之处1 2 第2 章某高校图书馆信息安全管理的现状分析一1 3 2 1 某高校图书馆信息安全管理现状1 3 2 2 某高校图书馆信息安全管理中存在问题1 4 2 2 1 信息安全管理意识仍需加强一1 4 2 2 2 信息安全管理机制还不够健全1 4 2 2 3 缺乏信息安全管理人才1 5 2 2 4 缺乏综合性的安全解决方案1 5 2 3 存在问题的原因分析1 6 第3 章某高校图书馆信息安全管理体系的设计”1 8 3 i 对信息安全管理标准i s o i e c2 7 0 0 2 的理解和认识1 8 3 2 高校图书馆引入i s o i e c2 7 0 0 2 的益处2 0 3 3 高校图书馆信息安全管理体系构建的原则2 1 3 4 高校图书馆信息安全管理体系的架构设计2 3 3 5 体系内各部分的建设要点2 5 3 6 体系建设中的关键因素分析3 0 第4 章某高校图书馆信息安全管理体系的实施及展望3 2 4 i 图书馆信息安全管理体系的前期准备工作3 2 4 2 体系的具体实施方法与形式3 2 4 3 图书馆信息安全管理体系的未来展望4 2 哈尔滨工程大学公共管理硕上学位论文 论4 4 考文献4 5 读硕士学位期间发表的论文和取得的科研成果4 9 谢5 0 人简历5 1 录5 2 2 、i，11卅 第1 章绪论 第1 章绪论 1 1 论文写作的背景、目的及意义 1 1 1 写作背景 来自中国互联网络信息中心( 洲c ) 的第2 4 次中国互联网络发展 状况统计报告显示，我国网民规模已达3 3 8 亿，仍然稳居世界第一，互联 网普及率稳步提升。同时c n n i c 的这份报告也指出，半年内有1 9 5 亿网民 上网时遇到过病毒和木马的攻击，1 1 亿网民遇到过账号或密码被盗的问题。 网络安全隐患使网民对互联网的信任度下降，仅有2 9 2 的网民认为网上交 易是安全的。随着我国互联网基础建设的日趋完善，用户网龄的逐渐增长， 网络技术的创新发展，人们的工作、学习和生活方式正在发生巨大变化，工 作效率大为提高，信息资源也得到了最大程度的共享。但必须看到，紧随信 息化发展而来的网络安全问题日渐凸出，如果不能很好地解决这个问题，必 将阻碍网络信息化发展的进程。信息安全问题已经成为信息化社会的一个焦 点问题，而图书馆是高校的三大重要支柱之一，担负着为培养高级人才提供 信息资源与信息服务的重任，因此图书馆的信息安全问题就显得尤为重要。 【l 】 高校图书馆一般都是先进计算机技术应用比较多的地方，网络的应用也 很普及，用户群密集而且活跃，而且高校图书馆的信息化程度也很高，信息 网络已经成为高校图书馆的重要核心资产，对学校的教学、科研以及学生的 学习都起着不可缺少的重要作用。高校图书馆由于自身的特点，也是安全问 题比较突出的地方，信息安全管理也比较复杂、困难。乜3 现在，高校图书馆 正在面临以下几个方面的威胁： 1 计算机病毒和木马 哈尔滨t 程大学公共管理硕七学位论文 如今，计算机病毒出现了传播快、范围广、破坏力强的特点，大量的病 毒和木马以网页挂马、电子邮件、主动扫描、移动存储或即时通信等方式传 播和扩散，对图书馆的网络造成了很大的影响。d 1 特别是最近这两年，被挂 马的网站已经成为了计算机病毒和木马地主要传播源，用户在访问了植入病 毒和木马的网页后，如果没有安装相应的实时网页主动防御软件，计算机就 会中毒并被植入大量木马，用户的网银帐号、密码和其它有价值的信息就会 传送给黑客。现在，已经有很多高校图书馆的网站被挂马了，相当多的学生 受到病毒和木马攻击，当然这些图书馆的形象也受到了影响，因此高校图书 馆的网络安全形势仍然相当严峻。 2 系统漏洞 目前各高校图书馆主要采用微软公司的w i n d o w s 系列操作系统， w i n d o w s 操作系统虽然具有操作方便、配置简单等优点，但是它的漏洞却非 常多，虽然微软为此发布了许多的安全补丁，但是仍然不断有新安全漏洞被 发现并利用，而现在很多的病毒和黑客攻击正是根据操作系统的漏洞进行的。 还有i n t e m e t 的基础协议t c p i p 协议，本身的漏洞就很多，通过p 欺骗、 拒绝服务、数据监听等手段都可以使网络的信息安全出问题。2 0 0 6 年8 月某 高校图书馆就遭到过a r p 欺骗的攻击，此次攻击造成该馆大部分业务暂停一 天。 3 黑客攻击 黑客攻击对高校图书馆网络的破坏主要体现在利用黑客工具侵入服务器 后台程序，对网站内容进行修改，发布不良信息，造成恶劣影响。尤其是当 前黑客软件的大量出现，黑客的门槛降低，图书馆的信息网络往往会成为最 直接的试验场所。 2 0 0 8 年1 2 月，某高校图书馆主页遭到黑客攻击，主页程序和后台数据 库被删除，导致图书馆主页服务暂停1 天半，后经整理调试后恢复。 2 第1 章绪论 4 工作制度和管理因素 “没有好的管理策略方针、没有有效的管理规范、没有认真负责的管理 人员就没有真正的信息安全。”h 1 图书馆网络系统是一项复杂的计算机网络工 程，如果缺乏科学的安全管理和行之有效的应急措施，那么这方面出现的问 题对图书馆信息系统的造成危害远远大于其他方面造成的危害，这也是整个 系统不安全因素中最重要的因素。很多单位的现有的管理模式仍然是传统的 管理模式，即出了问题才去解决的静态的管理办法，这并不是建立在以信息 安全风险评估为基础而进行的持续的动态改进的管理方法。1 有统计表明， 组织内部的安全事件大约有七到八成是由于组织内部的管理不到位造成的。 正所谓“三分技术，七分管理 ，由于图书馆的网络系统没有建立完整有效的 信息安全管理制度，从而导致图书馆的安全体系和安全控制措施不能充分地、 有效地发挥效能，使业务活动中存在疏漏，从而造成不必要的信息泄漏，给 攻击者可乘之机。 正是因为这些因素已经严重影响到了高校图书馆业务的正常运行，因此， 探讨和研究适合高校图书馆信息安全管理方面的解决方案具有重要的现实意 义。 1 1 2 写作目的及意义 本文写作的目的就是能通过对国内外信息安全管理发展与应用现状的研 究和某高校图书馆信息安全管理的现状分析，结合国际上通用的信息安全管 理标准i s o c2 7 0 0 2 ：2 0 0 7 建设适合于该校图书馆的信息安全管理体系， 使该校图书馆信息安全管理工作能够在日益复杂的网络环境下顺利进行取得 最佳的解决方案，也希望能够为其他高校同行们实施有效的信息安全管理工 作提供有价值的参考。 高校图书馆信息安全管理是一套系统体系，是保证图书馆业务系统有效 3 哈尔滨工程大学公共管理硕十学位论文 运行并对信息提供适当的保密性、完整性的手段。对信息安全管理及其国际 标准进行充分研究，并将其应用在高校图书馆的信息安全管理中，建立这个 信息安全管理体系对高校图书馆信息安全管理工作的有效开展运行和图书馆 的发展意义重大。 首先，此体系的建立将提高馆员的信息安全管理意识，提升图书馆信息 安全管理水平。 其次，此体系将增强图书馆抵御灾难性事件的能力，是图书馆信息化建 设的重要环节。 最后，此体系将大大提高信息安全管理工作的可靠性，使其更好地保障 图书馆业务正常运行，保证图书馆信息系统中重要数据的完整。 1 2 信息安全管理概论 1 2 1 信息安全管理的定义 要想理解信息安全管理，首先要从“信息安全”的概念入手。 信息安全是一个涉及管理学、计算机科学、安全科学、通信工程和密码 学等多学科的综合性交叉学科。国内外的组织和相关学者对于信息安全所做 的定义很多，以下就列出几个有代表性的定义： 国际标准化组织( i s o ) 对信息安全的定义是：“在技术上和管理上为数 据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意 的原因而遭到破坏、更改和泄漏。 嘲 英国的信息安全管理标准b s 7 7 9 9 对信息安全的描述是：“信息安全是指 通过计算机软硬件等技术安全技术和各种组织管理措施，来保护信息的机密 性、完整性和可用性不被破坏。 忉 我国信息安全方面的学者沈昌祥院士将信息安全定义为：“保护信息和信 息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统 4 第1 章绪论 提供保密性、完整性、可用性、可控性和不可否认性。 嘲 综上所述，信息安全就是指不断地维护信息的保密性、完整性和可用性。 信息安全管理是随着信息安全的发展而发展的，因此，信息安全管理的 概念也是一个动态发展的概念，由于国内学者对于信息安全管理的研究相对 国外起步较晚，所以对信息安全管理的概念和内涵阐述的较为片面和模糊。 国内学者对于信息安全管理的内涵理解概括起来有以下几种： 1 信息安全技术观。认为信息安全管理就是运用信息安全技术来保障信 息安全，大多数从事信息安全和网络技术的人持这种观点。 2 信息安全管理战略观。持这种观点的学者认为信息安全管理就是组织 内信息安全战略的实现。 3 信息安全管理活动观。认为信息安全管理是一种保障信息安全的活动。 4 信息安全管理体系观。这种观点认为信息安全管理是一套体系，是通 过计划、组织、领导和控制等措施来实现组织信息安全目标的一套体系集合。 前两种观点相对比较片面，第三种和第四种观点相对较为合理，通过借 鉴这些学者的研究成果，并结合管理科学的相关知识，给出信息安全管理的 定义：组织为实现信息安全目标，运用信息安全技术和管理的相关措施对涉 及信息安全的非技术因素进行系统管理的活动。这个定义揭示了信息安全管 理中的主体、客体和目的三个主要因素，强调了信息安全技术和管理相关措 施的运用和信息安全管理的活动过程。四1 信息安全管理涉及到组织的发展战略方针、组织的现行制度规范、组织 的业务运行、组织的技术应用等方面，哪个方面的单方面的安全管理措施都 不能全面保障系统的安全，因此，信息安全管理的问题应该以系统工程的角 度来思考。n 们 5 哈尔滨工程大学公共管理硕士学位论文 2 2 信息安全管理的重要性 近几年来，国内出现了很多的信息安全事故，如：广东省工商银行由于 统故障，导致省内所有业务停办一个多小时；南京火车站因票务系统出现 障，导致车站的售票处完全处于瘫痪状态；首都机场因为服务器故障，致 i 0 0 多架次航班延误，6 0 0 0 多人滞留在机场等等。n 妇如果这些组织在遭 攻击后增加了硬件安全设备、更新了病毒库或者安装了入侵检测系统等等， 仅仅用技术来解决信息安全事故，那么这个组织的信息系统也不是安全的， 为信息安全方面出现的问题不是技术就能够解决的，更重要的是解决管理 面的问题。再安全的网络设备也需要人，再好的安全策略最终也需要靠人 实现，因此信息安全管理是信息系统安全运行中最重要的。n 幻 以前在解决信息安全问题的时候多是采用偏重技术的解决方案，但是光 先进的安全技术是远远不够的，单纯地使用技术的解决方案是不能一劳永 地消除所有的信息安全风险因素的，正所谓“三分技术，七分管理”，技术 关键，管理是核心，信息安全管理必须同时兼顾管理与技术，重视管理在 息安全管理体系中的核心作用，因此在组织中建立有效的信息安全管理体 可以将信息安全技术有效地转化为信息安全保障能力，也可以弥补组织在 技术上解决方案的不足。n 3 1 1 2 3 信息安全管理的目的和原则 在网络环境下，信息安全管理的目的总的来说包括： 1 保护计算机服务器、网络和存储等相关的硬件，避免其遭到火灾、地 震等事故的破坏。 2 保证信息系统的处理信息的运行安全。 3 防止信息被未授权的用户更改、泄露和破坏，保证信息的保密性、完 整性和可用性。 6 第1 章绪论 4 通过组织信息安全管理的制度规范和体系来保证业务系统信息的运 行与管理安全。 在信息安全管理的设计、规划、实施和运行的过程中都应该遵守统一的 原则： 1 系统化原则：组织的信息安全管理应该根据安全工程的要求多层次、 多角度来制定信息系统的安全策略。 2 动态改进的原则：信息安全管理是随着信息安全环境的变化与信息技 术的发展而不断更新变化的，所以在信息安全管理的各阶段都应该坚持动态 改进的原则。 3 全员广泛参与的原则：强化组织内全体员工的信息安全意识，使其成 为一种全员行为。n 钔 4 风险评估的原则：根据实践对组织的信息安全管理体系进行风险评估 来改善体系的安全状况。 5 预防控制为主的原则：信息安全管理以预防控制为主，n 司要求组织成 员要有一定的信息安全管理超前意识，能够预防大多数的安全事件。 6 规范化原则：遵照信息安全管理的标准规范，并结合组织的信息安全 管理要求来制定信息安全策略、制度和规范指南。 1 3 国内外信息安全管理的发展与应用现状 1 3 1 国外信息安全管理的发展与应用现状 近几年，美、俄、日国家都已经或正在制订自己的信息安全发展战略和 发展计划，确保信息安全沿着正确的方向发展。2 0 0 0 年初，美国出台了“电 脑空间安全计划 ，旨在加强关键基础设施、计算机系统和网络免受威胁的 防御能力。同时这些国家还加强信息安全立法，实现统一和规范管理。 7 哈尔滨t 程大学公共管理硕十学位论文 在2 0 世纪9 0 年代之前，信息安全主要依靠安全技术手段与不成体系的 管理规章来实现，自从上个世纪9 0 年代以来，人们开始意识到管理在解决信 息安全问题中的作用，而且随着t s o9 0 0 0 质量管理标准的出现及其随后在全 世界的推广应用，系统管理的思想也在其他管理领域也被借鉴与采用。1 9 9 3 年，英国贸工部( d t i ) 组织了许多企业参与编写了信息安全管理实用规则， 这是信息安全管理方面最早出现的规范之一，在1 9 9 5 年，在这个实用规则的 基础上，英国最先提出了信息安全管理标准b s 7 7 9 9 ：1 9 9 5 ，1 9 9 9 年英国又对 这个标准进行了修订，然后发布了b s 7 7 9 9 ：1 9 9 9n 引，该标准于2 0 0 0 年被国 际标准化组织认可为国际标准，即i s 0 i e c l 7 7 9 9 ：2 0 0 0 信息技术一信息安 全管理实施细则n 7 1 ，2 0 0 5 年6 月，该标准被修订发布为i s 0 i e c l 7 7 9 9 ：2 0 0 5 ， 2 0 0 7 年4 月正式更名为i s o i e c 2 7 0 0 2 。i s 0 i e c 2 7 0 0 2 为组织实施信息安全 管理提供建议，这个标准适用于各个领域、不同类型、不同规模的组织，参 照该标准，组织可以开发自己的信息安全准则和有效的信息安全管理方法。 现在该标准经过发展，已引起许多国家与地区的重视，在一些国家已经开始 推广与应用。组织贯彻实施该标准可以对信息安全风险进行全面系统的管理， 从而实现组织信息安全。 与此同时，这些国家也逐步重视信息安全管理的重要性，不断将信息安 全管理工作制度化和规范化。美国建立了信息安全管理的完整的组织体系， 包括保护关键基础设施办公室、国家安全委员会、国家基础设施防护中心等。 其中前两者是有关信息安全事务的最高协调机构，负责协调1 0 个信息委员会 和2 3 个联邦部委办的信息安全工作，这些工作涉及到州和地方政府及私营部 门信息安全保护协调、事故协调与危机响应、基础设施相互依存、信息共享、 行政部门信息系统安全、研究与开发、国际信息基础设施保护、执法协调、 国家安全的电信安全方面。2 0 0 0 年，俄罗斯总统普金批准了国家信息安全 学说，该学说明确了联邦信息安全建设的目的、原则和主要内容。 8 第1 章绪论 1 3 2 国内信息安全管理的发展与应用现状 我国的信息安全管理虽然起步比较晚，但是我国政府主管部门以及各行 各业已经认识到了信息安全管理的重要性。我国政府主管部门十分重视信息 安全管理国家标准的制定，引进了当时国际上著名的i s o 正c1 7 7 9 9 ：2 0 0 0 ： 信息安全管理实施准则、b s7 7 9 9 2 ：2 0 0 2 ：信息安全管理体系实施规范 等一系列信息安全管理标准。2 0 0 2 年，我国的信息安全标准化技术委员会成 立，它在成立后设置了1 0 个工作组，其中的第七工作组( 信息安全管理工作 组，w g 7 ) 自创立之初就开始i s o i e c l 7 7 9 9 的研究和制标工作，它的主要任 务就是负责对信息安全的行政、技术和人员等的管理提出相应的规范要求和 指南，它包括信息安全管理的实施规范、信息安全管理的策略与实施指南、 信息安全相关人员的教育培训等等。n 8 1 2 0 0 5 年6 月，我国发布了国家标准 g b t 1 9 7 1 6 2 0 0 5 信息安全管理实用规则，修改采用i s o i e c1 7 7 9 9 ：2 0 0 0 。 2 0 0 8 年6 月，国家标准委发布公告决定，国家标准g b 厂r2 2 0 8 1 2 0 0 8 信息 技术安全技术信息安全管理实用规则于2 0 0 8 年1 1 月1 日起实施，国家 标准g b 厂r2 2 0 8 1 2 0 0 8 采用了国际标准i s o i e c2 7 0 0 2 ：2 0 0 5 。我国通过学习 和研究国际信息安全管理标准的先进性和科学性，通过在不同的部门组织试 用这些标准，并进行意见跟踪，逐步形成了具有我国管理特色的信息安全管 理体系国家标准。n 们 现在，我国国内研究信息安全方面的资料相对来说还是比较多的，但是 对于信息安全管理研究方面的文献却很少，很多对信息安全管理方面的研究 大多散见于信息安全的相关文献中，专业的或者直接的文献相对很少。其 中，在高校信息安全管理研究领域，周铜和宋海军论述了当前高校信息安全 管理的现状，文章对信息安全管理制度、信息安全意识，信息安全管理机构， 管理人员的管理水平和技术水平这四个方面进行了论述并探讨了一些解决办 法，文章提出了：信息安全管理既要有行政方面的管理手段，又要有技术方 9 哈尔滨工程大学公共管理硕十学位论文 面的管理措施，同时要加强整个组织在信息安全管理方面的学习，提高管理 意识，注重培养信息安全管理方面的人才，逐步建立和加强完善组织在信息 安全管理方面的规章制度。毕毅敏在浅谈高校图书馆计算机网络信息安全 管理这篇文章中分析了高校图书馆网络信息的特点和目前所面临的各种威 胁，针对加强组织的信息安全管理工作，提高组织成员的信息安全管理意识、 完善组织在信息安全管理方面的规章制度等方面都提出了自己独到的见解。 瞳1 总的来说，国内在信息安全管理方面的研究，有的偏重对策研究的，有的 偏重技术应用的，但是他们的研究和分析也不是很全面，找不到一个可以直 接应用于高校图书馆的信息安全管理体系。 1 4 论文的总体思路、研究方法和基本内容 1 4 1 论文的总体思路 论文的总体思路是以高校图书馆信息安全面临的多种威胁为背景，通过 对信息安全管理及其国际标准的介绍，明确了信息安全管理的重要性以及高 校图书馆引入i s o c2 7 0 0 2 ：2 0 0 7 的益处，然后通过对某高校图书馆信息 安全方面存在的问题进行了分析，并结合i s o i e c2 7 0 0 2 ：2 0 0 7 和该馆的实 际情况建设适合于高校图书馆的信息安全管理体系，最后对该校图书馆信息 安全管理体系进行了未来展望。 1 4 2 论文的研究方法 论文主要采用系统分析法、案例分析法和调查问卷法。 系统分析法，本文分析了信息安全管理既不是简单的技术问题，也不是 单纯的管理问题，而是一项系统工程，不仅需要人和物，还需要先进的技术 和科学的管理。 案例分析法，本文列举了某高校图书馆近几年发生的信息安全问题，通 1 0 第1 章绪论 过案例反映出了高校图书馆信息安全方面的现实问题。 调查问卷法，本文通过对某高校图书馆的馆员及用户发放的调查问卷并 进行统计结果分析，同时结合对某馆信息安全管理工作的实际调查，分析了 某馆在信息安全管理方面存在的问题。 1 4 3 论文的基本内容 本文通过对某高校图书馆信息安全管理工作进行深入的探讨和调查，分 析了了信息安全管理工作中出现的问题，并结合该馆实际情况应用国际上通 用的信息安全管理实用标准i s o i e c2 7 0 0 2 来建设适用于高校图书馆的信息 安全管理体系。本文共分四章： 第1 章绪论。以高校图书馆信息安全面临的多种威胁为背景，论述了高 校图书馆进行规范化信息安全管理工作的目的和意义，并阐述了信息安全管 理方面的相关概念以及国际和国内的信息安全管理的发展和应用现状。 第2 章某高校图书馆信息安全管理的现状分析。通过调查，从信息安全 管理意识、管理体制、管理人才和安全解决方案四个方面揭示了该校图书馆 在信息安全管理上存在的问题并进行了原因分析。 第3 章某高校图书馆信息安全管理体系的设计构建。通过对信息安全管 理国际标准i s o i e c2 7 0 0 2 的理解和认识，论述了高校图书馆引入i s o i e c 2 7 0 0 2 的益处，依据该标准的建议措施确定了该校图书馆信息安全管理体系 的构建原则，然后建立了相应的信息安全管理体系，提出相应的建设要点， 并对所要注意的关键因素进行了分析。 第4 章某高校图书馆信息安全管理体系的实施及展望。结合体系的主要 内容，从前期的准备工作入手，按照图书馆现阶段实际情况和未来管理的要 求逐层建设具体的实施措施，并对图书馆信息安全管理体系的未来做出了展 望。 哈尔滨工程大学公共管理硕：l ! 学位论文 1 5 论文的创新之处 1 高校图书馆可以参照国际上通用的信息安全管理标准i s o i e c2 7 0 0 2 建立适合于高校图书馆的信息安全管理体系。 2 论文的研究内容和体系能为其他高校图书馆实施有效的信息安全管理 工作提供有价值的参考。 1 2 第2 章某高校图书馆信息安全管理的现状分析 第2 章某高校图书馆信息安全管理的现状分析 2 1 某高校图书馆信息安全管理现状 信息技术在给我们带来方便的同时，也带来了信息安全问题，除了应用 新的安全技术，越来越多的高校图书馆在建设数字图书馆资源的时候也不得 不考虑信息安全管理方面的问题，某高校图书馆也在近几年制订了一系列的 制度和措施来加强图书馆的信息安全管理工作，如2 0 0 6 制定的图书馆计算 机使用管理制度、2 0 0 7 年制定的中心机房安全管理规定、图书馆突发 事件应急预案和2 0 0 8 年制定的图书馆信息系统安全保护规定，这些管 理规章制度都从不同方面规定了图书馆信息系统的物理安全要求、人员要求、 访问控制、应急响应和职责设置等内容，在一定程度上确实提高了图书馆的 信息安全保障的能力，改善了该馆的信息安全管理环境，比较有效地防范了 信息安全事件的发生，促进了图书馆正常业务的可持续性健康发展。 然而，近几年来信息安全风险仍不时地在该馆的实际业务中表现出来。 2 0 0 6 年8 月某该馆就遭到过a r p 病毒攻击，此次攻击造成该馆的流通、期 刊、采编等多个业务部门业务停顿，读者无法办理任何借阅手续，同时也对 服务器区域造成了一定的影响，影响了数字资源的使用，对图书馆造成了不 良影响。2 0 0 8 年1 2 月，某馆的主页服务器也遭到了黑客的攻击，主页程序 和后台数据被删除，此次攻击导致主页服务暂停1 天半，后经技术部门全力 调试整理后恢复正常。2 0 0 9 年4 月的一个凌晨，由于学校停电后馆内门卫没 有及时通知技术部门停电的消息，导致u p s 在电量耗尽后多台服务器系统宕 机，加电后不能正常工作，在一定程度上影响了信息业务系统的安全的稳定 性。 某馆的信息业务系统相继出现的黑客入侵系统、a r p 病毒攻击所导致的 网络瘫痪以及维护不当所导致的系统宕机等信息安全事件，这些信息安全事 1 3 哈尔滨t 程大学公共管理硕 j 学位论文 件都给我们留下了深刻的教训和反思。 2 2 某高校图书馆信息安全管理中存在问题 本节是通过对某高校图书馆的馆员及用户发放的调查问卷的统计分析， 并结合对该馆信息安全管理工作的实际调查，以及对近年来发生在高校图书 馆的信息安全事件的收集与反思，本文认为某高校图书馆在信息安全管理方 面存在的问题主要涉及以下四个方面。 2 2 1 信息安全管理意识仍需加强 调查问卷以本馆馆员、本校学生和教工为主，共发出问卷8 3 份，其中有 效问卷8 0 份。具体分布如下： 表3 1 调查问卷对象分布 调鱼珂冢情况馆员学生教工 人数 6 21 35 比例 7 7 5 1 6 2 5 6 2 5 在对“您对信息安全管理的认识如何 这个问题的调查结果来看，选择 “了解一点的人比较多，比例为7 3 7 5 ，从这个结果可以看出很多用户的 信息安全管理的意识不强。 表3 2 关于对信息安全管理的认识情况 认识情况比较了解了解一点完全不了解 人数 24 92 9 比例 2 5 6 1 2 5 3 6 2 5 2 2 2 信息安全管理机制还不够健全 信息安全的最大隐患在于管理，分析大量受黑客攻击的网站情况可以看 1 4 第2 苹某高校图书馆信息安全管理的现状分析 i i 出，并非黑客攻击的技术、手段有多高明，主要问题出在管理上存在大量的 漏洞。目前，某高校图书馆信息安全管理中条块分割、相互隔离的现象还比 较严重，技术、物业等部门都对信息安全负有责任，但所担负的责任却没有 一个比较明确、权威的界定，相互间也缺乏充分沟通和协调，影响了信息安 全管理相关策略的贯彻执行，使信息安全管理作用的效果还不明显。 2 2 3 缺乏信息安全管理人才 在对“您认为本馆需要信息安全管理的人才吗? 和“您认为需要进行 信息安全管理方面的培训或宣传吗? ”这个两个问题的调查结果来看，很多 用户的对信息安全管理人才还是非常认可的，并且大家也都认同信息安全管 理方面的培训或宣传。 表3 3 关于图书馆是否需要信息安全管理人才的调查 调查情况非常需要需要可以没有无所谓 人数 4 7 213 比例 5 9 0 1 2 5 3 7 5 表3 4 关于是否需要进行信息安全管理方面培训或宣传的调查 调查情况非常需要需要可以没有无所谓 人数 1 85 52 5 比例 2 2 5 6 8 7 5 2 5 6 2 5 2 2 4 缺乏综合性的安全解决方案 在实际使用中，安全产品简单的大量的堆砌不能解决安全问题，单纯地 使用硬件防火墙、入侵监测系统和杀毒软件更不能长期保证系统安全。根据 调查，某馆在信息安全管理方面就缺乏综合性的解决方案，虽然也有各种信 哈尔滨t 程大学公共管理硕士学位论文 息安全管理规章制度和某些解决方案，但没有一个系统来组织这些规章制度 和解决方案。 2 3 存在问题的原因分析 2 3 1 信息安全管理意识方面的原因分析 图书馆馆员由于平时忙于相关业务和学习，对信息安全管理方面的学习 和了解并不多，图书馆对信息安全管理方面的教育也是少之又少，大家平时 都普遍相信安全产品，认为馆内只要配备了防火墙、漏洞检测系统和杀毒软 件就已经很安全了，从而忽视了信息安全管理中的一个重要问题安全意 识问题，而在信息安全管理的过程中，很多时候靠的就是这种意识。在社会 工程学攻击的成功案例中，大多都是因为人们的信息安全意识淡薄才造成了 损失。乜2 1 高校图书馆注重的是数字图书馆的建设和对教师学生的信息服务，在信 息安全管理方面的投入还不能满足安全防范的要求，信息安全管理工作处于 被动状态，全馆没有形成主动防范、积极应对的意识，当然没有办法从根本 上提高对信息安全事件和风险的防护、响应和恢复能力。1 因此，某图书馆 馆员的信息安全意识仍然需要加强。 2 3 2 信息安全管理机制方面的原因分析 虽然许多图书馆对信息安全问题做了大量的工作，制定了相应的规章和 制度，但是他们目前的信息安全管理基本上还处于一种局部的、突击式和事 后纠正式的管理方式，最终不能从根本上避免和降低各类风险，也无法减少 信息安全故障导致的综合损失。胁1 一些安全性要求较高的信息系统的安全性 问题，不仅需要借助技术的手段来实现，而且必须要有相应的管理机制来支 持。 2 5 1 1 6 但真正在高校图书馆从事信息安全管理工作的专业人才却很少。高校图书馆 从事信息安全工作的人员多为网管人员，平时研究的多是计算机应用和网络 方面的知识，对信息安全管理问题没有投入足够的精力，很少接受对信息安 全管理方面的专业培训和宣传教育，缺乏对信息安全事件的应急处理能力和 经验，并且馆内也缺乏对信息安全责任相关的惩罚和奖励机制，在实际的管 理工作中，信息管理人员并没有实际的安全管理权限，很多管理工作也需要 领导来推动实施，当然图书馆的信息安全管理工作就不能登上新台阶。 2 3 4 安全解决方案方面的原因分析 某高校图书馆在信息安全管理方面缺乏综合性的整体安全解决方案。信 息安全技术日新月异，这让信息安全管理有着很大的不确定性。再严密的信 息安全管理措施也不能保证信息安全的万无一失，乜嗣因此图书馆必须将各种 信息安全事件的处理的程序化、标准化，提供一个综合性的信息安全解决方 案，面对各种信息安全事件，能够采取有效的处理措施，所有馆员积极参与， 将信息安全问题所造成的损失减少到最小。 1 7 哈尔滨t 程大学公共管理硕士学位论文 第3 章某高校图书馆信息安全管理体系的设计 3 1 对信息安全管理标准ls o ie c2 7 0 0 2 的理解和认识 i s o i e c2 7 0 0 2 是一个很详细的、容易操作的并且文件化的信息安全管理 标准，自从该标准发布以来，受到了世界上许多国家和组织的广泛关注，目 前，已经有很多国家引入该标准并修改成自己国家的国家标准，我国在2 0 0 8 年实施的国家标准g b t2 2 0 8 1 2 0 0 8 信息技术一安全技术一信息安全管理 实用规则就是采用了该国际标准，还有很多像金融、安全机构、政府、电 信等组织也纷纷采用了该标准进行信息安全管理，收到了不错的效果。 i s o i e c2 7 0 0 2 提供了一系列的综合的、由信息安全管理的最佳实施惯例所组 成的安全实施措施与规则，对于各种类型的组织都适用，该标准包括1 1 个管 理大类，3 9 个管理目标与控制要点，1 3 3 项具体的控制措施，包含了现在信 息安全管理所考虑的各个方面的主要因素。 标准所涉及的1 1 个管理大类概述如下： 1 安全策略一主要阐述管理层制定的信息安全管理的目的和方针，为 信息安全