丘柏林

〔摘 要〕在信息安全管理研究的基礎(chǔ)上，根據(jù)圖書館信息所擁有的保密性、完整性、可用性的特性，構(gòu)建出圖書館網(wǎng)絡(luò)信息安全管理模型；依據(jù)該模型管理、運行與操作、人員、建筑與技術(shù)以及安全文化5個維度要求，建立信息安全管理的實踐應(yīng)用方案。

〔關(guān)鍵詞〕圖書館；網(wǎng)絡(luò)信息安全管理；模型

DOI：10.3969/j.issn.1008-0821.2014.02.016

〔中圖分類號〕G250.7 〔文獻標識碼〕A 〔文章編號〕1008-0821（2014）02-0076-06

借助于網(wǎng)絡(luò)高新技術(shù)的發(fā)展，新的信息資源形態(tài)和使用方式，給圖書館讀者帶來便利的同時也必然存在許多隱患。計算機網(wǎng)絡(luò)分布的廣域性、開放性和信息資源的共享性，為信息的竊取、盜用、非法的增刪、修改及種種擾亂破壞，提供了極為方便且難以控制的可乘之機，圖書館信息服務(wù)的權(quán)益及監(jiān)督得不到有效的保障；同時，由于計算機網(wǎng)絡(luò)的脆弱性，圖書館的網(wǎng)絡(luò)系統(tǒng)本身經(jīng)常處于黑客的攻擊之中，一旦圖書館網(wǎng)絡(luò)出現(xiàn)故障，輕則信息服務(wù)得不到有效保障、數(shù)據(jù)丟失，重則整個圖書館處于癱瘓境地。因此，在信息化時代，圖書館信息安全顯得尤為重要，構(gòu)建圖書館網(wǎng)絡(luò)信息安全管理模型來保證網(wǎng)絡(luò)信息安全，使其高效運行是圖書館現(xiàn)代化建設(shè)中一項迫在眉睫的重要任務(wù)。

1 信息安全管理概述信息安全管理，是指實施和維護信息安全的原則、規(guī)劃、標準和內(nèi)容的綜合，包括信息安全策略、信息風險評估、信息技術(shù)控制和信息安全意識等。這些內(nèi)容在一個信息安全治理框架下相互協(xié)調(diào)、相互說明，從而為組織提供全面的信息安全規(guī)劃。它結(jié)合技術(shù)、程序和人員，以培養(yǎng)信息安全文化為目的，最終實現(xiàn)信息資產(chǎn)風險的最小化。為對信息安全內(nèi)容有一個全面深入的了解，本文從信息安全原則、信息安全規(guī)劃、信息安全標準和信息安全內(nèi)容4個方面進行詳細的論述，從而為圖書館網(wǎng)絡(luò)信息安全管理模型的構(gòu)建提供理論上的指導。

1.1 ISA信息安全原則為保護組織的信息資產(chǎn)免遭威脅，Tudor提出了一個全面靈活的信息安全架構(gòu)方法（Information Security Architecture，簡稱ISA），這種方法提出5個關(guān)鍵性的信息安全原則（見表1）[1]。這些原則，可以了解組織工作的風險環(huán)境并對其實行評估和控制，從而減少這種風險；強調(diào)遵守國家信息安全法規(guī)的重要性，確保組織的機密信息受到國家的保護；涵蓋信息安全技術(shù)與過程，滿足組織信息安全的需要。表1 ISA信息安全原則

原 則含義或目標1安全組織和基礎(chǔ)設(shè)施確定角色、職責和執(zhí)行贊助。2安全政策、標準和程序制定政策、標準和程序。3安全規(guī)劃風險管理納入安全規(guī)劃。4安全文化意識和培訓通過用戶培訓提高安全意識。建立用戶、管理和第三方之間的信任。5監(jiān)控規(guī)范監(jiān)控內(nèi)外部的信息安全。

1.2 CMM信息安全規(guī)劃為給組織提供一整套信息資產(chǎn)免受未經(jīng)授權(quán)的訪問、修改或銷毀的信息安全整體規(guī)劃，McCarthy和 Campbell構(gòu)建了能力成熟度模型（Capability Maturity Model，簡稱CMM）[2]。該模型包括7個信息安全規(guī)劃內(nèi)容（見表2），目標是從戰(zhàn)略層面開始并用戰(zhàn)略水平去指導技術(shù)等方面的工作，在評估當前信息安全風險的基礎(chǔ)上構(gòu)建合適的解決方案以減輕風險，并在實踐過程中對各解決方案集成應(yīng)用與監(jiān)控。表2 CMM信息安全規(guī)劃

規(guī) 劃含義或目標1安全領(lǐng)導安全贊助、安全策略以及投資回報。2安全規(guī)劃安全規(guī)劃程序、資源和技能。3安全政策安全政策、標準和程序。4安全管理安全操作、監(jiān)控和隱私。5用戶管理用戶安全管理和意識。6信息資產(chǎn)安全應(yīng)用程序的安全、數(shù)據(jù)庫/元數(shù)據(jù)的安全、主機安全、內(nèi)外部網(wǎng)絡(luò)安全、殺毒及系統(tǒng)開發(fā)。7技術(shù)保護與持續(xù)性物理和環(huán)境控制與持續(xù)規(guī)劃控制。

3 PROTECT信息安全標準在Eloff.J.H和Eloff.M所主持研究的“PROTECT”項目，是政策、風險、目標、技術(shù)、執(zhí)行、合規(guī)性和團隊的英文首字母的縮寫，對信息安全管理及標準進行了綜合的介紹[3]。“PROTECT”項目涉及各種集成控制的方法，在確保組織的有效性和效率的基礎(chǔ)上盡量減少風險，目的是全方面解決信息安全的問題。為實現(xiàn)項目目標，該項目提出了7個信息安全標準（見表3），確保信息安全規(guī)劃從技術(shù)術(shù)和人文角度得到有效的實施和管理。

1.4 ISO/IEC 17799和ISO/IEC 27001信息安全內(nèi)容國家標準組織（ISO）指出信息安全技術(shù)是實現(xiàn)信息安全管理的關(guān)鍵點，通過技術(shù)對信息系統(tǒng)進行安全性控制，是信息安全管理的重要內(nèi)容。為了更好地實現(xiàn)信息安全控制，ISO提出了11個具體的信息安全控制內(nèi)容（見表4），這些內(nèi)容已成為國際上通用的信息安全內(nèi)容的重要標準，即通常所說的ISO/IEC17799[4]。而ISO/IEC 27001是ISO/IEC 17799的第二部分，提出了包括操作、監(jiān)控、審查、維護和提高等一系列持續(xù)改進信息安全管理系統(tǒng)的方法與過程[5]。表4 2 圖書館網(wǎng)絡(luò)信息安全內(nèi)容的選取與管理模型的構(gòu)建 前文所述的信息安全管理的原則、規(guī)劃、標準及內(nèi)容是基于整個信息社會行業(yè)而言的，具有一定概括性且4個方面之間存在著重復性，為了構(gòu)建出更具針對性的圖書館網(wǎng)絡(luò)信息安全管理模型，筆者根據(jù)圖書館的特性對信息安全管理的原則、規(guī)劃、標準和內(nèi)容進行選取與整合，構(gòu)建出符合圖書館應(yīng)用要求的信息安全管理模型。

2.1 圖書館網(wǎng)絡(luò)信息安全內(nèi)容的選取圖書館網(wǎng)絡(luò)信息是對外開放并以支持教學和科研為目的。在這種情況下，網(wǎng)絡(luò)信息安全是指讀者未經(jīng)授權(quán)無權(quán)使用、移動、修改和破壞圖書館信息。在對圖書館信息采取安全保護措施時必須確保其具有以下屬性：①保密性：確保圖書館隱私信息的安全。此類信息必須嚴格控制讀者訪問量，只能授權(quán)一定級別的讀者訪問；同時，有權(quán)限訪問圖書館隱私信息的讀者也不能向公眾透露相關(guān)的隱私信息。②完整性：確保圖書館信息是準確、完整并具有持久性。因此，圖書館信息安全管理要確保圖書館信息內(nèi)容不是殘缺不全的、失蹤的、腐朽的、任意放置的，外借、故意或意外變化不會邊緣化，在盜竊或破壞中具有安全性。③可用性：讀者在授權(quán)時間內(nèi)能無限制地訪問并獲取圖書館信息。圖書館必須有一個安全穩(wěn)定的信息管理（網(wǎng)絡(luò)）系統(tǒng)來支撐圖書館的運行，確保圖書館信息能及時傳遞而不會被延誤。在維護圖書館信息安全的同時確保圖書館信息的保密性、完整性及可用性不缺失，這就要求在構(gòu)建圖書館網(wǎng)絡(luò)信息安全管理模型時對信息安全內(nèi)容的確定帶有一定的甄別性，不能將信息行業(yè)安全管理的所有原則、規(guī)劃、標準及內(nèi)容全部應(yīng)用于圖書館安全管理。根據(jù)圖書館信息的特性，本文從管理、運行與操作、人員、建筑與技術(shù)及安全文化5個維度對圖書館信息安全的內(nèi)容進行了選取，這5個維度的具體內(nèi)容在圖書館網(wǎng)絡(luò)信息安全管理模型中將會詳細論述。endprint

2.2 圖書館網(wǎng)絡(luò)信息安全管理模型的構(gòu)建圖書館網(wǎng)絡(luò)信息安全管理目標是為圖書館網(wǎng)絡(luò)信息安全保護提供整體性方案，結(jié)合管理、運作流程、人文、建筑與文化氛圍來保證圖書館信息安全管理達到一個合理水平，從而保證圖書館信息風險最小化。為實現(xiàn)這一目標，Abashe Atiku Maidabino和Zainab在滿足圖書館信息的特性上，將Da Veiga和Eloff構(gòu)建的“房屋模型”[6]加以簡化與融合，構(gòu)建出圖書館網(wǎng)絡(luò)信息安全管理模型[7]，見圖1。該模型將所有信息安全因素集合，確保圖書館信息能夠得到充分保護，同時為圖書館提供一個全面的方法和工具來實施和評估信息安全管理。模型內(nèi)容主要集中于5個維度：（1）管理維度：正確的領(lǐng)導，政策與程序到位；（2）流程和操作維度：包括實施過程、政策；（3）人員維度：讀者/館員信息安全意識和圖書館信息安全項目培訓；（4）建筑和技術(shù)維度：支持館藏信息安全項目；（5）安全文化維度：將圖書館館藏信息安全理念有意識地植入館員日常工作中[8]。圖1 圖書館網(wǎng)絡(luò)信息安全管理模型

管理維度是指一組角色的規(guī)定，信息安全政策制定與管理由負責制定目標和政策的安全管理團隊成員行使，從而確保目標和政策的實現(xiàn)，信息風險的評估與管理。圖書館的安全管理團隊由圖書館各部門高級管理人員和安全部門的人員組成。這些成員應(yīng)具備必要的信息應(yīng)用和安全管理方面的經(jīng)驗和知識，這些成員被授權(quán)管理時能夠遵守信息安全政策。信息安全管理責任是模型中管理維度的重要部分，這就要求圖書館應(yīng)規(guī)劃與制定精確的信息安全管理策略，明確風險管理的目標和方向。信息安全風險評估在圖書館各級安全規(guī)劃風險設(shè)置中處于優(yōu)先級別。館藏信息定期風險評估規(guī)則的編制涉及圖書館資產(chǎn)類型、收藏價值、識別可能出現(xiàn)風險的威脅、漏洞和成本分析等詳細的情況。信息安全漏洞可以通過會議、問卷、觀察和報告來確定。通過信息安全漏洞的監(jiān)測和風險評估過程的完善可以降低圖書館信息安全的風險，并能緩解圖書館的一些過度的承諾。管理維度強調(diào)要為圖書館信息管理、記錄、維護、審查、更新風險管理政策和程序編寫報告，通過快訊、交互式網(wǎng)頁及其他內(nèi)部刊物在館員與讀者之間廣泛宣傳館藏信息安全管理的必要性，將信息安全意識植入館員與讀者腦袋。這一維度有利于為圖書館提供良好的館藏安全管理信息。流程與操作維度是指信息安全管理團隊為圖書館各相關(guān)部門制定信息安全管理運行方案的過程。分別是：（a）采訪部：參與接收，標記并建立可用于識別丟失、錯放地方和費用的庫存清單，以便于圖書館備份和恢復；（b）流通部：創(chuàng)建手工或計算機系統(tǒng)對圖書館紙質(zhì)信息進行丟失、被盜、錯位、濫用、損壞等方面進行盤點，通過訪問控制和信息的記錄與跟蹤，確保圖書館信息安全系統(tǒng)的修理與維護；（c）編目、技術(shù)部：通過圖書館OPAC系統(tǒng)對館藏信息集合進行處理，應(yīng)用圖書館識別標記建立和驗證館藏信息所有權(quán)，標識未經(jīng)處理的信息并進行訪問控制；（d）特藏部：對有價值的館藏信息載體進行保護與保存，授權(quán)訪問與監(jiān)控。人員維度是指讀者和執(zhí)行安全管理政策與程序的館員的安全意識。它規(guī)定圖書館需要闡明信息安全管理人員的角色和責任，對館員進行有效的安全意識培訓，幫助他們獲得處理安全事件、準備可靠實用安全報告的知識。建筑與技術(shù)維度涉及信息安全管理所需要的建筑與技術(shù)氛圍。建筑氛圍是指信息安全管理措施應(yīng)與圖書館建筑的物理結(jié)構(gòu)和藏書空間融為一體：控制圖書館出入口；需要ID卡身份識別進入圖書館特別是特別館藏區(qū)域；制定保安巡邏圖書館的時間表。技術(shù)氛圍包括技術(shù)實踐和嵌入到館藏安全應(yīng)用規(guī)劃中的各種程序。它強調(diào)使用電子安全系統(tǒng)等技術(shù)設(shè)備來處理館藏應(yīng)用過程，控制安全漏洞，并在圖書館出入口點安裝安全系統(tǒng)。這就意味著圖書館需要安裝電子反盜竊設(shè)備、可視化相機、煙感探測及出入口、閱覽區(qū)報警系統(tǒng)等安全設(shè)備。這將有助于防止圖書館藏書的丟失和對閱讀區(qū)、參考咨詢區(qū)及書庫進行可行性監(jiān)控和讀者流量的檢測。安全文化維度作為圖書館網(wǎng)絡(luò)信息安全管理模型構(gòu)成基礎(chǔ)的安全文化，包括讀者和館員對圖書館信息重要性的態(tài)度、信息保護存在的安全漏洞、信息相關(guān)事件的意識、阻礙或限制信息安全管理系統(tǒng)有效性的意識。意識是一個看不見但可以通過行為來證明的元素，如（a）圖書館館員的館藏信息安全政策和管理過程的認識水平；（b）館員對安全政策和程序重要性的態(tài)度；（c）安全漏洞和安全驗收責任的意識[9]。圖書館網(wǎng)絡(luò)信息安全管理模型中的安全文化是一種安全責任相互共享的文化，安全人員能夠相互提供信息和工具來應(yīng)對各種安全情況。這種態(tài)度與意識能夠確保圖書館信息安全治理、管理和運行的有效性。圖書館網(wǎng)絡(luò)信息安全管理系統(tǒng)在權(quán)重一致的5個維度的相互作用下，在館藏信息得到安全管理的同時還能確保其在保密性、完整性和可用性上維持在一個合理的水平。

3 圖書館網(wǎng)絡(luò)信息安全管理模型應(yīng)用方案目前，在圖書館的計算機網(wǎng)絡(luò)上有館藏書目信息、讀者信息、各種電子文獻數(shù)據(jù)庫、光盤數(shù)據(jù)庫檢索系統(tǒng)、圖書管理系統(tǒng)、特藏數(shù)據(jù)庫等內(nèi)容[10]。這些電子資源信息如果受到破壞，那么損失將會非常慘重，很可能會造成整個圖書館系統(tǒng)癱瘓。就目前的狀況來看，圖書館所面臨的網(wǎng)絡(luò)信息安全問題主要有黑客攻擊、計算機病毒、網(wǎng)絡(luò)物理設(shè)備安全隱患、網(wǎng)絡(luò)設(shè)備配置安全與人員造成的安全隱患等方面。為了預(yù)防與應(yīng)對上述隱患對圖書館可能會帶來的網(wǎng)絡(luò)信息安全故障，圖書館應(yīng)按照網(wǎng)絡(luò)信息管理模型5維度的要求，建立起科學、規(guī)范、有效的網(wǎng)絡(luò)信息安全管理流程（見圖2），將網(wǎng)絡(luò)信息安全隱患處理于萌芽之中。圖2 圖書館網(wǎng)絡(luò)信息安全管理流程

應(yīng)用圖書館網(wǎng)絡(luò)信息安全模型處理網(wǎng)絡(luò)信息安全故障，其管理流程可分為3個階段：故障初排階段、故障處理階段與評估階段。在故障初排階段，圖書館工作人員或讀者在應(yīng)用圖書館的過程中，如果發(fā)現(xiàn)信息安全故障，應(yīng)及時進行隱患初排并上報技術(shù)部，由技術(shù)部工作人員對該事件進行了解，并請求技術(shù)部主管上報給以館領(lǐng)導為主的信息安全管理團隊；在故障處理階段，技術(shù)部工作人員根據(jù)事件了解進行安全故障檢查并調(diào)查影響范圍，從而形成第一次進程報告，并將其上報給館領(lǐng)導，由館領(lǐng)導進行資源調(diào)度后，技術(shù)部應(yīng)急搶修；技術(shù)部附上應(yīng)急搶修進程報告上報給館領(lǐng)導形成第二次進程報告，然后結(jié)案、審核并歸檔；在評估階段，各部門對此次信息安全故障事件進行評估總結(jié)。圖書館網(wǎng)絡(luò)信息安全管理模型是以人為核心的信息安全保障體系，它強調(diào)的不是技術(shù)問題，而是管理的問題。圖書館網(wǎng)絡(luò)信息安全在以館領(lǐng)導為核心的安全管理團隊的領(lǐng)導下，在工作人員、讀者的共同配合下，依靠科學的管理流程，定能將圖書館網(wǎng)絡(luò)信息安全管理達到一個全新的層次。endprint

4 結(jié)束語構(gòu)建一個適應(yīng)計算機網(wǎng)絡(luò)普遍應(yīng)用的圖書館網(wǎng)絡(luò)信息安全管理模型，不僅是適應(yīng)新形勢的需要，也是圖書館信息數(shù)字化建設(shè)的重要組成部分。隨著圖書館社交網(wǎng)絡(luò)應(yīng)用的普及，圖書館信息將面臨更大的開放性和更多的安全方面的挑戰(zhàn)。圖書館網(wǎng)絡(luò)信息安全管理模型是一個包括技術(shù)、管理、人員和安全文化等多個環(huán)節(jié)整體性很強的體系，不能孤立或靜止地看待和解決問題，網(wǎng)絡(luò)信息安全性的提高依賴于不斷的技術(shù)進步和應(yīng)用，依賴于管理的逐步完善和人員素質(zhì)的全面提升。相關(guān)人員應(yīng)根據(jù)網(wǎng)絡(luò)信息的特點和需求，進行有針對性的系統(tǒng)設(shè)計，不斷地改進和完善網(wǎng)絡(luò)技術(shù)的安全工作，更好地推動圖書館網(wǎng)絡(luò)事業(yè)健康發(fā)展。

參考文獻

[1]J.K.Tudor.Information Security Architecture—An integrated approach to security in an organization[M].Boca Raton，F(xiàn)L：Auerbach.

[2]McCarthy M.P，Campbell S.Security Transformation[M].McGraw-Hill：New York.

[3]Eloff J.H，Eloff M.Integrated Information Security Architecture[J].Computer Fraud and Security，2005，（11）：10-16.

[4]ISO/IEC 17799（BS 7799-1）.Information technology，Security techniques[S].Code of practice for information security management，Britain.

[5]ISO/IEC 27001（BS 7799-2）.Information technology，Security techniques[S].Code of practice for information security management，Britain.

[6]A.Da Veiga，J.H.Eloff.An Information Security Governance Framework[J].Information Systems Managenment，2007，（4）：361-372.

[7]Abashe Maidabino，A.N.Zainab.A holistic approach to collection security implementation in university libraries[J].Library Collection，Acquisitions & Technical Services，2012，（36）：107-120.

[8]Sipone M.T.Five dimensions of information security awareness[J].Computer and Society，2000，（6）：24-29.

[9]Holt G.E.Theft by library staff[J].The Bottom line：Managing Library Finances，2007，（2）：85-92.

[10]周永忠，黎霞，胡武民.圖書館網(wǎng)絡(luò)信息安全隱患與對策研究[J].科技廣場，2009，（9）：98-100.

（本文責任編輯：馬 卓）endprint