数字图书馆信息安全管理PDF电子书下载

第一章 绪论 1

第二章 数字图书馆与数字图书馆信息安全 6

2.1 数字图书馆 6

2.1.1 数字图书馆的定义 6

2.1.2 数字图书馆在本书中的涵义 8

2.2 数字图书馆建设 8

2.2.1 国内外数字图书馆建设概况 8

2.2.2 国内数字图书馆建设的调查与总结 10

2.3 信息安全的概念及其发展 12

2.3.1 信息安全的概念 13

2.3.2 信息安全的几个发展阶段 14

2.3.3 信息安全技术与信息安全管理 15

2.4 数字图书馆信息安全 17

2.4.1 数字图书馆信息安全的概念 17

2.4.2 数字图书馆信息安全的技术措施 19

2.4.3 国外对数字图书馆信息安全的研究 22

2.4.4 国内对数字图书馆信息安全的研究 26

2.4.5 数字图书馆信息安全现状调查 28

2.4.6 数字图书馆信息安全的管理学解决方案 34

第三章 数字图书馆信息安全管理标准 36

3.1 信息安全管理标准及其发展 36

3.1.1 信息安全管理标准的概念与主要内容 36

3.1.2 信息安全管理标准的起源 37

3.1.3 信息安全管理标准的发展 38

3.2 国外的信息安全管理标准 39

3.2.1 GAO/AIMD—99—139风险评估指南 39

3.2.2 NIST风险管理框架 40

3.2.3 OCTAVE方法 42

3.2.4 AS/NZS 4360风险管理指南 44

3.2.5 ISO27000系列标准 45

3.2.6 国外的其他信息安全管理标准 47

3.3 国内的信息安全管理标准 51

3.3.1 信息技术安全性评估准则（GB/T18336） 52

3.3.2 计算机信息系统安全保护等级划分准则（GB17859—1999） 53

3.3.3 信息安全等级保护管理办法 53

3.3.4 ISO27000在国内的转化 54

3.4 数字图书馆信息安全管理依从标准的选定 55

3.4.1 数字图书馆信息安全管理标准遴选的原则 55

3.4.2 ISO27000对数字图书馆信息安全管理的适用性 56

3.4.3 ISO27000应用于数字图书馆信息安全管理的基本思路 59

第四章 数字图书馆信息安全管理的方法 61

4.1 术语与概念 61

4.1.1 与风险评估有关的概念 61

4.1.2 与风险控制有关的概念 64

4.1.3 概念之间的关系 66

4.2 数字图书馆信息安全管理的过程模式 67

4.2.1 过程与过程方法 67

4.2.2 ISO27001中的PDCA过程模式 69

4.2.3 PDCA模式在数字图书馆信息安全管理中的应用 70

4.3 风险评估 72

4.3.1 风险评估的步骤 72

4.3.2 资产、威胁与脆弱性的识别与估值 73

4.3.3 风险值的计算 74

4.3.4 资产、威胁、脆弱性三维坐标 74

4.4 风险控制 76

4.4.1 风险控制的步骤 76

4.4.2 ISO27002中的控制措施 77

4.4.3 资产、业务、控制措施三维坐标 78

第五章 数字图书馆风险评估与风险控制的模型 80

5.1 风险评估的方法与模型 80

5.1.1 风险评估的基本方法 80

5.1.2 几种典型的风险评估模型 81

5.1.3 数字图书馆信息安全风险评估模型的框架 85

5.2 数字图书馆的资产、威胁及脆弱性评估模型 86

5.2.1 基于模糊数学的资产价值评估模型 87

5.2.2 基于“构建威胁场景”的威胁等级评估模型 87

5.2.3 基于CVSS的脆弱性评价模型 88

5.3 数字图书馆已有控制措施确认与风险值计算 92

5.4 数字图书馆风险控制模型 93

5.4.1 数字图书馆风险控制决策的流程 93

5.4.2 数字图书馆风险控制决策模型的建立 94

第六章 数字图书馆业务流程 98

6.1 数字图书馆的功能框架 98

6.1.1 数字图书馆功能框架研究综述 98

6.1.2 文献中与数字图书馆功能有关的关键词的统计 100

6.1.3 现实中的数字图书馆功能框架 102

6.1.4 数字图书馆功能框架总结 106

6.2 数字图书馆业务流程的调查与分析 106

6.2.1 调查方案设计 107

6.2.2 调查结果分析 112

6.3 数字图书馆业务流程总结 120

第七章 数字图书馆信息安全风险评估 124

7.1 数字图书馆资产、威胁与脆弱性调查 124

7.2 数字图书馆资产识别与估值 125

7.2.1 资产识别 126

7.2.2 资产估值 129

7.3 数字图书馆威胁识别与估值 135

7.3.1 威胁识别 135

7.3.2 威胁估值 136

7.4 数字图书馆脆弱性识别与估值 138

7.4.1 脆弱性识别 138

7.4.2 脆弱性估值 139

7.5 数字图书馆信息安全风险分析 140

7.5.1 风险计算方法 140

7.5.2 风险等级划分 141

7.5.3 数字图书馆资产—威胁—脆弱性对照分析 142

第八章 数字图书馆信息安全风险控制 144

8.1 ISO27002控制要素对数字图书馆的作用调查 144

8.1.1 调查方案与调查过程 145

8.1.2 调查结果分析 145

8.2 数字图书馆信息安全控制要素的筛选 149

8.2.1 筛选的目标与方法 150

8.2.2 控制要素分析与筛选 151

8.2.3 筛选的结果 167

8.3 数字图书馆信息安全风险控制的实施 168

8.3.1 数字图书馆的信息安全风险控制目标 168

8.3.2 数字图书馆信息安全组织控制的实施 170

8.3.3 数字图书馆信息安全技术控制的实施 173

第九章 数字图书馆信息安全管理体系的实施 176

9.1 数字图书馆信息安全管理体系的实施流程 176

9.1.1 前期准备 176

9.1.2 风险评估与风险处置计划 178

9.1.3 信息安全管理体系文件的编写与审核 179

9.1.4 信息安全管理体系文件发布与运行 179

9.2 数字图书馆信息安全管理体系的软件支持 180

9.2.1 风险评估软件的类别 180

9.2.2 数字图书馆信息安全风险管理软件的设计目标 182

9.2.3 数字图书馆信息安全风险管理软件的功能结构 183

9.2.4 数字图书馆信息安全风险管理软件的开发 184

9.3 数字图书馆信息安全管理体系的认证 185

第十章 数字图书馆信息安全管理实证 187

10.1 实证研究对象简介 187

10.2 风险管理方案制定阶段 188

10.2.1 风险管理的目的 188

10.2.2 风险管理的原则 188

10.2.3 风险管理组织构建 189

10.2.4 评估及控制的模型、方法 189

10.2.5 所需数据内容及采集方法 189

10.3 数据调研采集阶段 189

10.3.1 资产识别 190

10.3.2 威胁识别及相关赋值 191

10.3.3 脆弱性识别及相关赋值 193

10.3.4 现有控制措施识别及实施程度调查 196

10.3.5 单位风险指数的资产损失值调查 198

10.3.6 控制措施的实施成本及有效性调查 201

10.4 风险评价与分析阶段 202

10.4.1 资产价值等级计算 202

10.4.2 威胁等级计算 205

10.4.3 脆弱性等级计算 207

10.4.4 风险等级计算 208

10.4.5 风险评价结果分析 209

10.5 风险控制方案的制定与实施阶段 212

10.5.1 风险控制的目标确定 212

10.5.2 控制措施的筛选与推荐 212

附录A 数字图书馆信息安全管理备查数据 217

附录A-1 安全类别及控制要素、控制措施列表 217

附录A-2 数字图书馆业务流程与资产关联表 226

附录A-3 数字图书馆威胁与脆弱性对照表 228

附录A-4 数字图书馆现存的威胁与脆弱性对照表 236

附录A-5 数字图书馆资产—威胁—脆弱性对照表 244

附录A-6 数字图书馆信息安全控制要素表 368

附录A-7 数字图书馆信息安全组织控制、技术控制与核心控制要素对照表 373

附录B N大学数字图书馆信息安全管理实证数据 374

附录B-1 脆弱性等级评价表 374

附录B-2 控制措施的实施成本及有效性列表 375

附录B-3 风险值计算列表 380

附录B-4 高风险项具体情况列表 384

附录B-5 不可接受风险的控制措施计算结果列表 389

图3-1 风险管理循环 40

图3-2 PDCA循环的基本模式 58

图4-1 风险评估与风险控制概念关系图 67

图4-2 适用于ISMS过程的PDCA模式 69

图4-3 单项资产与威胁、脆弱性对应关系图 75

图4-4 资产、威胁、脆弱性三维坐标系 75

图4-5 资产、业务、控制措施三维坐标系 78

图5-1 数字图书馆信息安全风险评估模型框架图 85

图5-2 CVSS各要素及相互关系图 89

图5-3 风险控制决策的流程 94

图5-4 软件资产-控制措施对应表 95

图6-1 数字图书馆功能结构图 99

图6-2 中国数字图书馆功能结构图 103

图6-3 中数创新数字图书馆功能结构图 104

图6-4 北京国图数字图书馆功能结构图 104

图6-5 CADLIS数字图书馆总体架构图 105

图6-6 CADLIS高校数字图书馆功能框架图 105

图6-7 数字图书馆功能框架图 106

图10-1 N大学数字图书馆各等级风险项分布情况图 211

表2-1 图书馆管理系统使用年限分布表 11

表2-2 数字图书馆技术人员数量分布表 11

表2-3 数字图书馆电子资源2008年采购经费分布表 11

表2-4 数字图书馆设备2008年采购和维护经费分布表 12

表2-5 2001—2009年数字图书馆信息安全发文数量统计表 27

表2-6 数字图书馆信息安全事件发生情况统计表 29

表2-7 信息安全事件发生原因统计表 30

表2-8 数字图书馆信息安全事件发现方式统计表 31

表2-9 数字图书馆信息安全风险处理的方式统计表 31

表2-10 数字图书馆信息安全组织建设情况表 32

表2-11 数字图书馆信息安全制度建设概况表 32

表2-12 数字图书馆机房环境指标控制情况表 32

表2-13 数字图书馆备份／恢复方案建设概况统计表 33

表3-1 TCSEC的等级划分 49

表5-1 风险价值矩阵表 82

表5-2 威胁分级法的风险计算示例 83

表5-3 威胁发生的频率值表 83

表5-4 可接受与不可接受风险矩阵 84

表5-5 实际评估所用的风险矩阵表 84

表5-6 CVSS各要素及取值范围表 89

表5-7 数字图书馆CVSS度量指标取值表 91

表6-1 数字图书馆功能分类表 100

表6-2 印本资源处理业务及说明表 108

表6-3 网络电子资源加工业务及说明表 108

表6-4 元数据标引业务及说明表 109

表6-5 异构资源整合业务及说明表 109

表6-6 数字资源管理业务及说明表 109

表6-7 硬件设备业务及说明表 110

表6-8 系统和软件的开发业务及说明表 110

表6-9 维护业务及说明表 111

表6-10 用户服务业务及说明表 111

表6-11 各馆开展业务比例分配表 113

表6-12 数字图书馆业务开展情况排名表 113

表6-13 部门名称及其他称谓对照表 115

表6-14 业务与部门对照表 117

表6-15 各类型图书馆开展业务比例列表 120

表6-16 数字图书馆业务流程表 121

表7-1 ISO27001资产分类表 126

表7-2 数字图书馆资产分类表 126

表7-3 数字图书馆资产类别列表 128

表7-4 资产保密性赋值表 130

表7-5 资产完整性赋值表 130

表7-6 资产可用性赋值表 130

表7-7 资产价值赋值表 131

表7-8 数字图书馆资产估值情况详表 132

表7-9 数字图书馆威胁列表 136

表7-10 数字图书馆威胁赋值表 136

表7-11 数字图书馆的威胁等级列表 137

表7-12 图书馆威胁与脆弱性存在比例的分布情况列表 139

表7-13 脆弱性严重性赋值表 140

表7-14 信息安全风险计算示例 141

表7-15 数字图书馆安全风险等级表 142

表8-1 ISO27002各控制要素对数字图书馆的作用排序表 146

表10-1 N大学数字图书馆资产类别列表 190

表10-2 N大学数字图书馆面临的威胁分类表 191

表10-3 N大学数字图书馆面临的威胁相关数据列表 191

表10-4 N大学数字图书馆威胁与脆弱性识别对照表 193

表10-5 N大学数字图书馆现有控制措施识别及实施程度调查表 196

表10-6 单位风险指数的资产损失值调查结果列表 199

表10-7 N大学数字图书馆所有资产的资产价值列表 202

表10-8 N大学数字图书馆所面临的威胁等级计算表 206

表10-9 “拒绝服务攻击”威胁对应的“操作系统存在漏洞”脆弱性计算列表 207

表10-10 N大学数字图书馆数据库平台风险值计算表 208

表10-11 N大学数字图书馆风险等级定义表 209

表10-12 N大学数字图书馆所有资产的风险值及风险等级分布情况统计表 209

表10-13 数据文档类“很高”风险威胁—脆弱性—控制措施对照表 213

表10-14 数据文档类“很高”风险的控制措施计算结果列表 214