基于ISO27001的數(shù)字圖書館信息安全風(fēng)險評估探析

李陽

摘 要：? 本文基于ISO27001標(biāo)準(zhǔn)，針對數(shù)字圖書館信息安全風(fēng)險進(jìn)行評估研究，建立了數(shù)字圖書館價值、威脅因素、薄弱運(yùn)營內(nèi)容判斷模型，最終提出了保障數(shù)字圖書館信息安全管理的可行性措施，希望能夠?yàn)橄嚓P(guān)的單位提供參考借鑒。

關(guān)鍵詞：? ISO27001;數(shù)字圖書館信息;安全風(fēng)險;評估探析

【中圖分類號】TP393? ? ?【文獻(xiàn)標(biāo)識碼】A? ? ?【文章編號】1674-3733（2020）06-0189-01

作為當(dāng)代信息研究和分析的重要內(nèi)容。信息安全風(fēng)險評估是分析資產(chǎn)估值、分析威脅因素的關(guān)鍵體系。通過ISO27001標(biāo)準(zhǔn)參考對比，可建立一個科學(xué)、方便操作的評估策略，以此來分析數(shù)字圖書館建設(shè)存在的信息安全問題，為保證其建設(shè)業(yè)務(wù)連貫性奠定基礎(chǔ)。

1 分析當(dāng)前常見的信息安全風(fēng)險評估技術(shù)

針對當(dāng)前常見的信息安全管理技術(shù)，目前我國主流的信息風(fēng)險評估技術(shù)有PDCA循環(huán)分析法、樹狀矩陣分析法、層次分析法等，其中ISO27001可以實(shí)現(xiàn)資產(chǎn)風(fēng)險識別等任務(wù)。但是沒有針對風(fēng)險進(jìn)行分級既定。現(xiàn)針對ISO27001的流程和運(yùn)用要求，針對數(shù)字圖書館的應(yīng)用進(jìn)行了研究分析，最終提出了一種基于模糊計算的風(fēng)險評估模型體系，進(jìn)一步為數(shù)字圖書館的規(guī)范運(yùn)用保駕護(hù)航。

2 ISO27001原則簡介

ISO27001屬于國家信息技術(shù)、安全技術(shù)、信息安全管理體系的標(biāo)準(zhǔn)規(guī)范要求，于2005年正式發(fā)布。其主要的信息安全評估步驟如下：

2.1 定義方法。

按照風(fēng)險管理對象以及其內(nèi)容，選用合理的業(yè)務(wù)識別等任務(wù)，可以完成相應(yīng)的法律界定、信息監(jiān)督和數(shù)據(jù)流管理。

2.2 風(fēng)險識別。

ISO27001可以實(shí)現(xiàn)數(shù)據(jù)風(fēng)險研究和定義，可針對ISMS控制范圍所有資產(chǎn)進(jìn)行排查研究，并分析其中可能存在的一些風(fēng)險問題，控制數(shù)據(jù)的薄弱點(diǎn)，最終全滿提升和優(yōu)化整個系統(tǒng)的保密性和穩(wěn)定性。

2.3 評價風(fēng)險。

評估風(fēng)險不當(dāng)可能造成業(yè)務(wù)開展不當(dāng)，風(fēng)險處理不及時等問題。針對此，該階段應(yīng)當(dāng)加強(qiáng)控制資產(chǎn)保密性和信息完整性，接惡化資產(chǎn)的主要威脅和薄弱信息點(diǎn)，建立可供實(shí)施的安全控制因素，進(jìn)而評估安全失效過程中可能發(fā)生的問題，最終評價風(fēng)險的等級，且在現(xiàn)有的標(biāo)準(zhǔn)下建立更為完善的優(yōu)化或接受方案。

3 基于 ISO2700體系下數(shù)字圖書資源風(fēng)險評估體系模型建設(shè)

ISO2700實(shí)現(xiàn)了數(shù)據(jù)研究和風(fēng)險評估，界定了具體的數(shù)據(jù)處理方法，但是沒有界定具體的參數(shù)指標(biāo)值，對此設(shè)計人員應(yīng)當(dāng)針對資產(chǎn)識別、威脅識別、薄弱點(diǎn)識別等內(nèi)容進(jìn)行建模分析，可建立如圖1所示的風(fēng)險評估框架流程。

具體而言，數(shù)字圖書館在實(shí)現(xiàn)以上流程時候，分別涉及處理以下工作內(nèi)容。首先，資產(chǎn)識別處理過程完成了數(shù)字圖書館的業(yè)務(wù)流程梳理，實(shí)現(xiàn)了電子信息檔案、軟件資產(chǎn)、人員服務(wù)資產(chǎn)等內(nèi)容資產(chǎn)匯總，可將得到的資產(chǎn)清單賦值估值，判斷資源的合理性和實(shí)用性。其次，威脅識別分析控制，該過程中，系統(tǒng)的環(huán)境、人員以及自然等因素構(gòu)成了資產(chǎn)威脅清單，可在此階段設(shè)置威脅發(fā)生頻率分析等級并判斷威脅程度。再者，識別薄弱點(diǎn)，針對資產(chǎn)以及薄弱內(nèi)容進(jìn)行研究，并針對結(jié)合技術(shù)以及管理等角度數(shù)字圖書體系建設(shè)的特點(diǎn)，最終形成一個綜合的建設(shè)體系。最后，可以設(shè)計危險等級控制系統(tǒng)，分析系統(tǒng)的薄弱點(diǎn)，可設(shè)計通用弱電評價體系，分析威脅強(qiáng)度以及威脅發(fā)生的表現(xiàn)，進(jìn)而構(gòu)建一個專業(yè)性的數(shù)字圖書分析系統(tǒng)。全面評估分析薄弱點(diǎn)等級內(nèi)容。且最終可以資產(chǎn)價值、威脅等級以及薄弱等級幾項內(nèi)容構(gòu)建風(fēng)險矩陣，分別計算出每一類問題可能存在的風(fēng)險值。

4 基于數(shù)字圖書館信息安全模型評估建設(shè)

基于以上幾點(diǎn)流程，擬采用風(fēng)險矩陣的處理方式連接模糊數(shù)學(xué)、威脅場景、CVSS資產(chǎn)價值評估模型。

4.1 資產(chǎn)價值評估體系。

該體系按照 ISO27000規(guī)定的組織資產(chǎn)完整性、保密性和可用性屬性，按照人為賦值可能帶來的影響，在運(yùn)用模糊數(shù)學(xué)處理方式，減少客觀影響。

4.2 威脅等級識別模型。

針對威脅事件的發(fā)生頻率和影響因素，分為了系統(tǒng)、自然環(huán)境、人員因素、環(huán)境因素幾個內(nèi)容，最終得到一個1-5級的控制值。

4.3 薄弱點(diǎn)識別控制。

結(jié)合薄弱點(diǎn)的大小以及被利用程度，擬選用的等級評估的方式完成參數(shù)賦值。

4.4 風(fēng)險矩陣表。

結(jié)合以上幾點(diǎn)模型，最終針對 ISO27000得出了數(shù)字圖書信息管理的風(fēng)險矩陣表（如圖2所示）。

5 結(jié)語

綜上所述， ISO27001標(biāo)準(zhǔn)屬于我國產(chǎn)業(yè)風(fēng)險評估的重要指標(biāo)，本文以數(shù)字圖書館為研究對象，分析 ISO27001標(biāo)準(zhǔn)在其風(fēng)險管理和資產(chǎn)評估方面的應(yīng)用，希望能夠?yàn)橄嚓P(guān)單位提供參考借鑒。

參考文獻(xiàn)

[1] 任妮，黃水清.新版ISO 27000要求下的數(shù)字圖書館信息安全管理[J].圖書與情報，2015（06）：38-46.

[2] 劉萬國，周秀霞，霍明月.基于ISO/IEC 27001：2013的高校圖書館信息安全管理體系構(gòu)建研究[J].現(xiàn)代情報，2017，37（04）：3-8+32.

[3] 孟猛，朱慶華，袁勤儉，朱學(xué)芳.基于非線性規(guī)劃的數(shù)字圖書館信息安全風(fēng)險組合評估研究[J].情報雜志，2017，36（06）：128-133+180.

[4] 李嬋，張文德，藍(lán)以信.數(shù)字圖書館信息系統(tǒng)安全動態(tài)風(fēng)險評估模型[J].情報科學(xué)，2015，33（05）：76-80.

[5] 黃水清，陳雙喜，任妮.基于ISO27001的數(shù)字圖書館信息安全風(fēng)險評估模型研究[J].現(xiàn)代圖書情報技術(shù)，2009（06）：44-49.