> 硕士毕业论文 > 24332字硕士毕业论文基于ITBPM的图书馆安全风险评估研究

24332字硕士毕业论文基于ITBPM的图书馆安全风险评估研究

论文类型:硕士毕业论文
论文字数:24332字
论点:信息安全,图书馆,风险评估
论文概述:

论文以XX大学图书馆作为案例应用分析的对象,将IT基线保护手册与传统风险评估实施流程相结合,对图书馆进行基于ITBPM的信息安全风险评估分析,通过对信息资产、威胁、脆弱性的识别,进行

论文正文:

介绍
信息是企业和组织正常运行和管理不可或缺的资产。一旦泄露,将造成无法估量的损失。随着信息技术的发展,人们的工作、生活和学习方式发生了巨大的变化,随之而来的网络安全问题日益突出。任何国家、政府部门和各种行业组织的运作都越来越依赖于信息系统。信息安全问题直接关系到国家安全、经济发展、社会稳定和人民的日常生活。因此,必须充分重视信息安全问题。
1.1论文的研究背景和意义
高校图书馆作为学校信息化和社会化的重要中心,不仅是学校的信息中心、教学中心和科研中心,也是我国信息化建设的重要基地(1)。随着网络技术在高校图书馆工作中的普及和应用,读者和用户正在享受图书馆数字化建设带来的海量信息资源、多样化的娱乐方式和丰富多样的服务形式。高校图书馆属于复合图书馆的范畴,是传统图书馆和数字图书馆的结合体。网络是数字图书馆的重要基础设施,在图书馆管理、科研和对外交流中发挥着重要作用。大学图书馆通常有更先进的计算机技术应用,网络应用也很受欢迎,用户群体密集活跃。同时,高校图书馆信息化程度高。信息网络已成为高校图书馆的重要核心资产,在教学、科研和学生学习中发挥着不可或缺的重要作用。高校数字图书馆通常是校园网的重要组成部分之一,其服务建立在开放的网络系统之上。随着网络2.0等新技术在图书馆的广泛应用,图书馆业务管理、文献信息服务和开放共享网络的结合越来越紧密,对网络的依赖也越来越大。网络脆弱性、复杂性和脆弱性等一系列网络安全问题越来越严重。高校图书馆的计算机保存着重要的电子数据,如书目信息、读者借阅信息、各种专业数据库等。一旦图书馆网络发生故障或损坏,信息服务很有可能得不到保证,数据会丢失,或者整个图书馆系统将遭受验证失败甚至瘫痪。图书馆作为高校的重要支柱,担负着培养高层次人才、提供信息资源和信息服务的责任。为了保证准确的信息资源为用户服务,保证各种图书馆服务的持续稳定发展,图书馆信息安全管理变得越来越重要。信息安全已成为高校图书馆现代化的重点之一。
目前,在图书馆信息安全管理的研究领域中,大多采用IS027000系列标准来研究图书馆信息安全管理系统的建设、风险评估分析模型的建立、安全策略和措施的确定和实施。但是,在IS027000系列标准的核心控制区域,没有任何区域或控制目标的权重分配,因此在风险评估过程中,没有对127个控制项目进行加权的具体标准依据,不同评估人员得到的评估结果可能会有所不同。同时,当应用IS027000时,需要对评估人员进行一定的培训,从而增加了实施[2]安全管理的难度和成本。德国联邦安全局发布的《信息技术基线保护手册》(ITBPM)关注信息资产,分析信息资产可能面临的威胁,并提供可以采取的标准安全保护措施。因此,将信息技术业务流程管理(ITBPM)用于风险评估分析和研究可以避免因风险评估人员的信息技术知识或风险概念不足(如资产识别不足、威胁识别不足、安全控制措施选择不当等)而导致的信息安全风险识别不足。),并简化资产分类识别、威胁识别以及评估人员选择控制方法和控制措施的过程。本文要解决的问题是如何将信息技术业务流程管理的“资产-威胁-安全措施”模块与传统的风险评估方法和流程有机结合,并将其应用于图书馆的风险评估和分析过程,以验证信息技术业务流程管理在图书馆信息安全风险评估中的有效性,从而优化风险评估的实施过程。
因此,本文基于ITBPM的图书馆信息安全风险评估研究对于优化图书馆风险评估流程具有重要的现实意义。同时,由于ITBPM尚未获得国际认证,在中国的推出时间晚于IS027000系列,国内对ITBPM的理解有限,基于ITBPM的相关研究也很少。本文选择信息技术业务流程管理和信息安全风险评估的整体实施过程进行有机结合研究,试图丰富信息技术业务流程管理和风险评估的理论研究,并对信息技术业务流程管理进行介绍和推广。
1.2信息安全研究概述
信息安全源于通信领域的“保密性”。早在4000年前,人们就知道如何通过故意改变角色来保守通信秘密。后来,他们知道如何通过“转移”和“替换”字符来加密通信信息,以保持商业或军事秘密。20世纪60年代以前,没有提到“信息安全”,而只提到“保密”,如“语音保密”、“传真保密”和“电报保密”。这一时期的信息安全被称为“通信安全”(COMSEC)。政府、军事和外交是这一时期通信安全的主要关注对象。主要威胁是窃听和密码解码。防止非法人员截获信息,确保信息的完整性是这一时期需要解决的问题。加密、传输安全等技术手段主要用于保护数据的机密性和可靠性。香农在1949年发表的安全系统通信理论标志着通信安全的阶段。通信保密(communication secrecy)的目的是确保传输信息的保密性和完整性,抵御敌人的主动和被动攻击,防止敌人从截获的信号中读取有用的信息。自20世纪70年代以来,由于计算机软硬件技术的飞速发展,通信环境从点对点发展到计算机网络通信。计算机网络环境中的信息安全可以概括为信息系统的保护,即计算机参与的“计算机安全”(COMPUSEC)和“通信安全”(COMSEC),统称为“信息安全”(INFOSEC),已成为信息安全发展的重要环节。与此同时,安全的内涵已经大大扩展。“安全”不仅是为了防止信息丢失和泄露,“信息安全”还需要认真处理网络通信系统渗透、网络入侵、病毒故障、数据干扰、信息重放、系统拒绝服务等事件。
第二章信息安全风险评估……9
2.1基本概念……9
2.2风险评估的重要性……10
2.3风险评估发展概述……10
第三章图书馆信息安全问题分析……19
3.1数字图书馆信息安全的特点……19
3.2数字图书馆信息安全的主要危害……20
3.3影响数字图书馆信息安全的主要因素……20
第四章ITBPM概述……23
4.1信息技术业务流程管理简介……25
4.2 ITBPM结构……28
4.3信息技术业务流程管理的主要特征……31
摘要
以XX大学图书馆为案例应用分析对象,将信息技术基线保护手册与传统风险评估实施过程相结合,对图书馆进行基于信息技术业务流程管理的信息安全风险评估分析。通过识别信息资产、威胁和漏洞,进行风险计算和分析,以便根据《信息技术基线保护手册》的建议选择适合图书馆长期安全需求的安全措施。本文的主要工作如下:
(1)详细介绍了信息安全风险评估的概念和过程,并讨论了相关标准。
(2)分析了图书馆信息安全的现状,探讨了图书馆信息安全的特点和影响因素。
(3)详细介绍了德国信息技术基线保护手册。分析了信息技术业务流程管理的安全保护模型和“资产威胁安全保护措施”模块,并与其他信息安全标准进行了比较。
参考
[1]安玉杰。网络环境下高校图书馆信息安全体系研究[。湘潭:湘潭大学,2008。
王艳薇、王珊珊。英国标准7799与等级保护系列标准的比较研究[。图书馆理论与实践,2010(4): 34-37。
[3]信息技术基线保护手册,标准安全措施。德国,2000,10。
[4]可信计算机系统评估标准(TCSEC)。美国国防部5200.28-标准,1985年,12。
[5]信息技术安全技术中心,《技术安全评估标准信息》,http://sblunwen.com/tsgshxlw/版本1.2。欧洲共同体官方出版物办公室,1991年,6。
[6] IATF(信息保证技术框架)。美国国家安全局解决方案技术总监3.1版,2002年12月。
[7]国标17859-1999。计算机信息系统安全保护等级分类标准。北京:中国标准出版社,1999。
[8]袁梅,佘世武,周军?复合图书馆的信息安全与战略仁[。现代情报,2005(06):19-20,24。
[9]李威利。基于故障树[的图书馆信息安全风险评估研究。天津:天津财经大学,2011。
[10]朱小焕。基于[的复合图书馆信息安全风险评估理论与实证研究。南京:南京农业大学,2007。