数字图书馆信息安全风险控制

引用本文

黄水清, 任妮. 数字图书馆信息安全风险控制. 现代图书情报技术, 2010, 26(7-8): 39-44
Huang Shuiqing, Ren Ni. Control of Information Security Risk in Digital Libraries. New Technology of Library and Information Service, 2010, 26(7-8): 39-44 复制到剪切板

Permissions

This article is the open access journal literature, in the following situations are free to use: academic research and academic exchanges, scientific research and teaching, etc., but don't allow for commercial purposes.

数字图书馆信息安全风险控制

黄水清, 任妮

南京农业大学信息科学技术学院南京 210095

基金:*本文系国家社会科学基金项目“数字图书馆信息安全管理与评价”(项目编号:07BTQ005)的研究成果之一;

摘要

根据数字图书馆自身的特点和现实需要,以ISO27002的通用准则为标准,总结适合于数字图书馆信息安全管理的控制措施,筛选出数字图书馆信息安全核心控制要素与参考控制要素,从组织控制和技术控制两个方面对数字图书馆进行风险控制。

关键词: 数字图书馆; 信息安全; 风险控制

中图分类号:G251

Control of Information Security Risk in Digital Libraries

Huang Shuiqing, Ren Ni

College of Information Science and Technology,Nanjing Agricultural University, Nanjing 210095,China

Abstract

According to characteristics and the realistic need of digital library, the paper takes the common criteria of ISO27002 as a standard, summarizes some control measures for information security management of digital library. Then it screens out the core control elements and referenced control elements about information security in digital library, and carries out risk control on digital library from organization control and technology control.

Keyword: Digital library; Information security; Risk control

Show Figures

风险控制是根据风险评估的结果选择和实施合适的安全措施,其基本目标是将风险始终控制在组织可以接受的范围内,以减少信息安全意外事件的发生或者降低意外事件发生后的影响^{[ 1]}。信息安全管理国际标准ISO27000系列分别在ISO27001的附录A和ISO27002的正文中给出了风险控制的11个控制域、39个安全类别、133个控制要素(对应于133项控制措施)的描述^{[ 2, 3]}。这些控制要素尽可能地覆盖了各种组织类型的风险控制行为,其最大特点是周全,这也是ISO27002的设计目标。但在具体应用于某个或某一特定类型的组织时,周全往往成为繁琐、工作量巨大的代名词。数字图书馆的信息安全风险控制有必要从ISO27002的133个控制要素中筛选出与数字图书馆关系更为密切、作用更大的核心控制要素,以利于数字图书馆的选择,减轻数字图书馆信息安全管理体系构建的难度。本文将根据数字图书馆自身的特点和现实需要,以ISO27002为通用准则,总结适合于数字图书馆信息安全管理的控制措施,即数字图书馆信息安全核心控制要素,并给出数字图书馆信息安全风险控制的实施方法。

1 ISO27002控制要素对数字图书馆的作用调查

选择合适的信息安全控制措施是对组织或系统进行信息安全保护的前提。数字图书馆是一个集纸质、数字、人员、系统为一体的信息系统集合,实施信息安全风险控制非常必要,但是如何选择合适的控制措施以保证其安全,在数字图书馆的研究领域尚为空白。ISO27000系列标准是国际性的通则,全面性是其追求的目标。因此,ISO27002共给出了133个信息安全风险管理的控制要素,这些控制要素涵盖了各种组织的政策、法律、人员、技术、管理等各个方面。数字图书馆只是各种类型组织中的一种,ISO27002中的所有控制要素在数字图书馆中并不一定都能找到对应的位置。为此,笔者组织了有关调查,以调查数据为依据对133个控制要素进行分析,从而得到适合于数字图书馆信息安全管理的核心控制要素。

1.1 调查方案

本次调查涉及的所有控制要素皆来源于ISO 27002,它们是适用于各种类型组织的通用措施,调查对象则是国内30家已建设有数字图书馆的公共图书馆或高校图书馆,调查的目的是为筛选数字图书馆核心控制要素提供数据支持。具体调查过程可参见本系列文章中的《我国数字图书馆信息安全管理现状》。

调查过程中的问题完全按照ISO27002标准中的11个控制域、39个安全类别、133个控制要素展开。关于每个控制要素,每个被调查的数字图书馆根据自身的情况可能有三种不同的选择:

(1)有助于保障数字图书馆的信息安全,必须要实施,不实施会对数字图书馆的信息安全产生重大影响。

(2)对保障数字图书馆信息安全作用不大,既可以实施也可以不实施,实施则更能保证数字图书馆的信息安全,不实施也不会有太大影响。

(3)对保障数字图书馆信息安全毫无用处,没有实施的必要。

为了方便数据处理,采用三级赋值法对每个答案都赋于一定的分值。必须要实施的控制要素得5分,既可以实施也可以不实施的控制要素得3分,没有必要实施的控制要素得1分。

1.2 调查结果

将133个控制要素(即133项控制措施)的得分累加后计算平均值,得到该控制要素对数字图书馆信息安全风险管理的适用性分值。

表1是将ISO27000的133个控制要素根据调查的得分按降序排列得到的结果(得分相同的控制要素按在ISO27002中的先后顺序排列),表中同时标出了它们的序号及对应控制措施的类别。

表1 ISO27002各控制要素对数字图书馆的作用排序表

排序	控制要素	组织控制	技术控制	得分
1	网络控制	*		5
2	信息访问限制	*	*	5
3	布缆安全	*		4.92
4	设备维护	*		4.92
5	用户口令管理	*		4.92
6	使用网络服务的策略	*		4.92
7	外部连接的用户鉴别	*	*	4.92
8	安全登录规程	*	*	4.92
9	用户标识和鉴别	*	*	4.92
10	信息安全协调	*		4.84
11	资产清单	*		4.84
12	网络服务安全	*		4.84
13	访问控制策略	*		4.84
14	网络连接控制	*	*	4.84
15	对信息安全事件的总结	*		4.84
16	知识产权(IPR)	*		4.84
17	数据保护和个人信息的隐私	*		4.84
18	资产责任人	*		4.76
19	管理职责	*		4.76
20	信息安全意识、教育和培训	*		4.76
21	撤销访问权	*	*	4.76
22	设备的安全处置与再利用	*		4.76
23	信息备份	*	*	4.76
24	日志信息的保护	*	*	4.76
25	口令使用	*		4.76
26	口令管理系统	*	*	4.76
27	输入数据确认	*	*	4.76
28	信息泄漏	*	*	4.76
29	报告信息安全事态	*		4.76
30	技术符合性核查	*	*	4.76
31	信息安全方针文件	*		4.68
32	信息安全职责的分配	*		4.68
33	办公室、房间和设施的安全保护	*		4.68
34	支持性设施	*	*	4.68
35	系统验收	*		4.68
36	控制恶意代码	*	*	4.68
37	交换协议	*		4.68
38	运输中的物理介质	*		4.68
39	管理员和操作员日志	*		4.68
40	网络路由控制	*	*	4.68
41	报告安全弱点	*		4.68
42	证据的收集	*		4.68
43	特殊权限管理	*	*	4.64
44	信息处理设施的授权过程	*		4.6
45	资产的归还	*		4.6
46	设备安置和保护	*	*	4.6
47	审计记录	*	*	4.6
48	故障日志	*		4.6
49	内部处理的控制	*	*	4.6
50	消息完整性		*	4.6
51	保护组织的记录	*		4.6
52	监视系统的使用	*	*	4.56
53	终止职责	*		4.52
54	资产转移	*		4.52
55	服务交付	*		4.52
56	容量管理	*		4.52
57	信息交换策略和规程	*		4.52
58	用户访问权的复查	*		4.52
59	远程诊断和配置端口的保护		*	4.52
60	网络隔离	*	*	4.52
61	安全要求分析和说明	*		4.52
62	使用密码控制的策略	*	*	4.52
63	职责和规程	*		4.52
64	在业务连续性管理过程中的包含信息安全	*		4.52
65	符合安全策略和标准	*		4.52
66	信息安全的管理承诺	*		4.44
67	物理安全周边	*		4.44
68	物理进入控制	*	*	4.44
69	控制移动代码	*	*	4.44
70	可移动介质的管理	*		4.44
71	网络上设备的标识		*	4.44
72	系统实用工具的使用	*	*	4.44
73	远程工作	*		4.44
74	输出数据确认	*	*	4.44
75	对程序源代码的访问控制	*	*	4.44
76	防止滥用信息处理设施	*		4.44
77	密码控制措施的规则	*		4.44
78	信息系统审计控制措施	*		4.44
79	组织场所外的设备安全	*		4.36
80	文件化的操作规程	*		4.36
81	变更管理	*	*	4.36
82	信息处理规程	*		4.36
83	敏感系统隔离	*	*	4.36
84	外包软件开发	*		4.36
85	可用法律的识别	*		4.36
86	用户注册	*		4.32
87	外部和环境的安全保护	*		4.28
88	第三方服务的变更管理	*		4.28
89	系统文件安全	*		4.28
90	业务信息系统	*		4.28
91	移动计算和通信	*		4.28
92	密钥管理	*	*	4.28
93	运行软件的控制	*	*	4.28
94	处理第三方协议中的安全问题	*		4.2
95	资产的可接受使用	*		4.2
96	分类指南	*		4.2
97	公共访问、交付区安全	*		4.2
98	第三方服务的监视和评审	*		4.2
99	无人值守的用户设备	*		4.2
100	联机时间的限定	*	*	4.2
101	变更控制规程	*		4.2
102	操作系统变更后应用的技术评审	*		4.2
103	制定和实施包含信息安全的连续性计划	*		4.2
104	信息安全方针的评审	*		4.12
105	纪律处理过程	*		4.12
106	在安全区域工作	*		4.12
107	信息系统审计工具的保护	*	*	4.12
108	技术脆弱性的控制	*		4.08
109	处理与顾客有关的安全问题	*		4.04
110	雇佣条款和条件	*		4.04
111	业务连续性和风险评估	*		4.04
112	业务连续性计划框架	*		4.04
113	保密性协议	*		3.96
114	信息的标记和处理	*		3.96
115	审查	*		3.96
116	责任分割	*		3.96
117	开发、测试和运行设施分离	*	*	3.96
118	会话超时	*	*	3.96
119	角色和职责	*		3.88
120	电子消息发送	*		3.88
121	时钟同步		*	3.88
122	与外部各方相关风险的识别	*		3.84
123	软件包变更的限制	*		3.8
124	介质的外置	*		3.72
125	公共可用信息	*		3.72
126	清空桌面和屏幕策略	*		3.72
127	测试与维护和再评估业务连续性计划	*		3.72
128	信息安全的独立评审	*		3.6
129	系统测试数据的保护	*	*	3.56
130	与特定利益集团的联系	*		3.4
131	与政府部门的联系	*		3.24
132	电子商务	*		2.92
133	在线交易	*	*	2.76

表1 ISO27002各控制要素对数字图书馆的作用排序表

ISO27006《信息安全管理体系审核认证机构的要求》把ISO27002标准中的控制措施分为“组织控制”和“技术控制”两种类型(有许多控制措施既属于组织控制又属于技术控制)^{[ 4]}。目的是针对不同类型的控制措施,可以实施不同的检查方法。ISO27006对ISO27002中的全部133项控制措施(即表1中的全部控制要素)进行了归类,其中,属于组织控制的措施有129项,属于技术控制的措施有41项,其中又有37项控制措施既属于组织控制又属于技术控制。由表1可见,除了电子商务和在线交易两项结果得分较低外,其他131项控制要素的得分都在3分以上。得分较高的前85项控制要素中,属于组织控制的措施有83项,占全部组织控制措施的64.3%,属于技术控制的措施有32项,占全部技术控制措施的78%。

2 数字图书馆信息安全控制要素的筛选

通过调查获得的133个控制要素对数字图书馆的作用得分值,逐一分析这133个控制要素对数字图书馆的作用,并予以区分归入不同类别。

2.1 筛选的目标与方法

ISO27002中所有的控制要素依据其对数字图书馆信息安全重要性的大小可分为三类。第一类为非常重要,作用很大,可称为核心控制要素;第二类为重要性一般,有时会有一定作用,可称之为参考控制要素;第三类为不起作用或没有应用场所的控制要素。显然,这三种类型与上文调查数据中的三级赋值是对应的。数字图书馆控制要素筛选的目标就是区分这三类控制要素,得到核心控制要素与参考控制要素。

从表1可以看出,大多数控制要素的得分差异较小,可采用黄金分割与专家访谈、分析比较相结合的方法筛选核心控制要素。

根据黄金分割法的定义,适用于数字图书馆的控制要素与全部控制要素整体的最佳配比是0.618:1。其中全部控制措施有133项,即:

X:133=0.618:1

求得X=82。因此,数字图书馆信息安全风险控制的核心控制要素大约应为82项,表1中得分排在前82位左右的控制要素初步考虑可作为数字图书馆的核心控制要素。

数字图书馆核心控制要素的筛选,就是结合控制要素在表1中的排序、黄金分割法的划分、专家访谈的意见、ISO27002标准的规定和数字图书馆的业务要求,对各控制要素逐一进行分析,决定该项控制要素的归属。

2.2 控制要素分析与筛选

ISO27002中的各控制域、安全类别、控制要素应逐一加以分析,得到筛选结果。下面以“人力资源”控制域为例,介绍各安全类别、控制要素的分析过程。

“人力资源”安全控制域在ISO27002中有任用之前、任用中、任用的终止或变更三个安全类别。

(1)“任用之前”安全类别有角色和职责、审查、雇佣条款和条件三项控制要素,在表1中它们的序号分别为119、115、110,分值都不高。这三项控制要素都不适用于数字图书馆的信息安全控制,因为任用前的人力资源安全主要是通过对聘用人员的安全责任要求、选拔、签订安全保证协议来降低设施被盗窃、欺诈或误用的风险。数字图书馆对馆员的要求主要有专业素质、道德修养及其他综合素质方面,类似独立的身份调查、签署安全保障条款等形式的选拔和协议不适合数字图书馆。

(2)“任用中”安全类别包括三项控制要素,分别为:管理职责,信息安全意识、教育和培训,纪律处理过程。前两项在表1中的排位为19、20,非常靠前,第三项则排在105位。馆员被聘用期间,应该知道信息安全威胁和利害关系、自身的职责和义务,在其正常工作过程中支持组织的安全方针,减少人为错误的风险。要实现这个目标,首先管理者要明确管理职责,要求和鼓励馆员遵守数字图书馆的安全方针,强化馆员的安全责任意识;所有的馆员都应该接受适当的安全意识培训,包括安全要求、法规职责、业务控制及信息处理设施的正确使用等。对数字图书馆而言,免职、驱逐出场所等纪律处罚不太适用。但对造成图书馆重大损失的情况,可以参考“纪律处理过程”控制要素的相关要求执行。因此,管理职责与信息安全意识、教育和培训应该作为数字图书馆信息安全管理的核心控制措施,惩戒过程可以作为数字图书馆信息安全管理的参考控制要素。

(3)“任用的终止或变更”安全类别包括终止职责、资产的归还、撤销访问权三项控制要素,在表1中的序号分别为53、45、21。这三项控制要素都应该作为数字图书馆信息安全管理的核心控制要素,因为聘用终止或变更时,管理者应该及时终止该馆员的原有职责,并将职责重新定义和分配。另外,终止过程还应该包括馆员及时归还所有前期发放的软件、文件及设备等。同时,聘用终止时,馆员对于信息系统和服务相关资产的访问权也应该重新考虑,如撤销或改变包括物理和逻辑访问、钥匙、识别卡、信息处理设施等的访问权。

2.3 筛选的结果

通过调查统计、黄金分割法划定初筛结果及核心控制要素大致数量、专家访谈结果、数字图书馆业务及安全要求与ISO27002标准比对分析,最终筛选得到的数字图书馆信息安全风险控制的核心控制要素共有87项,比黄金分割法确定的82项略有增加,参考控制要素共有34项。另外,还有12项ISO27002标准中的控制要素不适用于数字图书馆的信息安全管理。

数字图书馆信息安全管理的87项核心控制要素分布于11个控制域的33个安全类别,外部组织、信息分类、任用之前、电子商务服务、移动计算和远程工作、密码控制6个安全类别中不含任何核心控制要素。数字图书馆信息安全管理的34项参考控制要素分布于10个控制域的22个安全类别,信息安全事件管理控制域不含任何参考控制要素,对资产负责、任用之前、任用终止或变更、系统规划和验收、防范恶意和移动代码、备份、网络安全管理、电子商务服务、监视、访问控制的业务要求、用户访问管理、应用和信息访问控制、信息系统的安全要求、技术脆弱性管理、报告信息安全事态和弱点、信息安全事件改进的管理、符合安全策略和标准以及技术符合性17个安全类别不含任何参考控制要素。其中,任用之前、电子商务服务两个安全类别既不含核心控制要素也不含参考控制要素。最后筛选得到了数字图书馆信息安全风险管理核心控制要素与参考控制要素列表。

按ISO27002对控制要素的分类方法,对数字图书馆信息安全风险管理的核心要素进行编号。控制域对应于一级编号,安全类别对应于二级编号,控制要素对应于三级编号。数字图书馆信息安全风险控制的核心控制要素及对应编号为:1.1.1信息安全方针文件、2.1.1信息安全的管理承诺、2.1.2信息安全协调、2.1.3信息安全职责的分配、2.1.4信息处理设施的授权过程、2.1.5与政府部门的联系、3.1.1资产清单、3.1.2资产责任人、3.1.3资产的可接受使用、4.1.1管理职责、4.1.2信息安全意识与教育培训、4.2.1终止职责、4.2.2资产的归还、4.2.3撤销访问权、5.1.1物理安全周边、5.1.2物理入口控制、5.1.3外部和环境威胁的安全防护、5.2.1设备安置和保护、5.2.2支持性设施、5.2.3布缆安全、5.2.4设备维护、5.2.5设备的安全处置与再利用、5.2.6资产的移动、6.1.1文件化的操作规程、6.1.2变更管理、6.2.1服务交付、6.3.1容量管理、6.3.2系统验收、6.4.1控制恶意代码、6.4.2控制移动代码、6.5.1信息备份、6.6.1网络控制、6.6.2网络服务安全、6.7.1信息处理规程、6.7.2系统文件安全、6.8.1信息交换策略和规程、6.8.2交换协议、6.8.3业务信息系统、6.9.1审计记录、6.9.2监视系统的使用、6.9.3日志信息的保护、6.9.4管理员和操作员日志、6.9.5故障日志、7.1.1访问控制策略、7.2.1用户注册、7.2.2特殊权限管理、7.2.3用户口令管理、7.2.4用户访问权的复查、7.3.1口令使用、7.3.2无人值守的用户设备、7.4.1使用网络服务的策略、7.4.2外部连接的用户鉴别、7.4.3远程诊断和配置端口的保护、7.4.4网络隔离、7.4.5网络连接控制、7.4.6网络路由控制、7.5.1安全登录规程、7.5.2用户标识和鉴别、7.5.3口令管理系统、7.5.4系统实用工具的使用、7.6.1信息访问限制、7.6.2敏感系统隔离、8.1.1安全要求分析和说明、8.2.1输入数据确认、8.2.2内部处理的控制、8.2.3消息完整性、8.3.1运行软件的控制、8.3.2对程序源代码的访问控制、8.4.1信息泄露、8.4.2外包软件开发、8.5.1技术脆弱性的控制、9.1.1报告信息安全事态、9.1.2报告安全弱点、9.2.1职责和规程、9.2.2对信息安全事件的总结、9.2.3证据的收集、10.1.1在业务连续性管理过程中包含信息安全、10.1.2业务连续性和风险评估、10.1.3制定和实施包含信息安全的连续性计划、11.1.1可用法律的识别、11.1.2知识产权(IPR)、11.1.3保护组织的记录、11.1.4数据保护和个人信息的隐私、11.1.5密码控制措施的规则、11.2.1符合安全策略和标准、11.2.2技术符合性核查、11.3.1信息系统审计控制措施。

3 数字图书馆信息安全风险控制的实施

在筛选出数字图书馆核心控制要素的基础上,以ISO27002提供的通用规则为指导,根据数字图书馆的信息安全要求和环境、技术等特点,结合数字图书馆特定的业务流程、部门设置等,从组织控制和技术控制两个方面对数字图书馆进行风险控制。

3.1 数字图书馆信息安全组织控制的实施

数字图书馆信息安全仅靠数字图书馆技术部门的防御是无法得到保证的。因此,ISO27000标准要求建立风险管理的机构、完善管理制度、建立有效的人员管理机制。数字图书馆信息安全的组织控制可以从组织、人员、策略与制度、标准与法律法规4方面入手,具体可选措施如表2所示:

表2 数字图书馆信息安全组织控制与核心控制措施对照表

表2中部分控制措施的编号只有两级,表示这个编号对应的安全类别中的所有核心控制措施均可在此实施。

有效的信息安全组织建设是任何组织信息安全管理的基础,数字图书馆也是如此。数字图书馆的信息安全管理组织应该由最高管理层、与信息安全管理有关的部门负责人和管理技术人员组成,数字图书馆的信息安全组织应该有明确的职能导向和职责划分等,对组织资产的可用性、完整性和保密性进行保护,确保数字图书馆业务的连续性。

数字图书馆由人来管理和维护,并且是以用户为中心进行服务。数字图书馆的安全威胁绝大多数来自内外人员,包括有意的破坏和无意的操作失误等。因此,人员的管理是数字图书馆风险控制的关键。

数字图书馆信息安全管理的策略和制度建设是规范馆员及相关方操作的前提。信息安全策略主要指数字图书馆信息安全总方针,应该由管理层根据组织的环境、安全需求、技术条件、人员情况和法律条件等制定。信息安全制度主要针对资产和安全事件而言。数字图书馆的资产种类繁多,其特点和安全要求各不相同,相应的数字图书馆的安全制度种类也很多,主要包括机房管理制度、资产管理制度、系统管理制度、网络管理制度、安全事件处理准则、应急响应计划等。其目的是通过建立健全各种与安全相关的规章制度和操作规范,使得数字图书馆信息安全管理各环节有章可循。

标准与法律是数字图书馆采用安全技术和安全管理的保障。它是针对信息安全所采用的一种强制限制,包括与数字图书馆信息安全相关的各种法律法规和标准。

3.2 数字图书馆信息安全技术控制的实施

数字图书馆信息安全技术控制可以分为环境及实体安全、系统及数据库安全、网络及通信安全三大类,具体分类情况如表3所示:

表3 数字图书馆信息安全技术控制与核心控制措施对照表

环境与实体的安全管理是为了保证信息系统安全、可靠地运行,确保系统在对信息进行采集、传输、存储、处理、显示、分发和利用的过程中,不会受到人为的或自然因素的危害而使信息丢失、泄露和破坏,对安全区域、信息系统环境、设备以及存储媒介等所进行的管理^{[ 5]}。

信息系统及数据库是数字图书馆重要的软件资产,其安全控制包括获取、运行、操作、审计与监控等方面。

数字图书馆的整个业务流程都需要网络和通信的支持,数字图书馆的信息安全很大程度体现为网络和通信安全。

4 结语

本文通过调查与分析ISO27000系列标准中的133个控制要素,从中筛选出数字图书馆信息安全管理的87项核心控制要素和34项参考控制要素,并依据ISO27006的组织控制与技术控制的划分将控制行为对应于核心控制要素的选取,将数字图书馆信息安全风险控制的实施变成从表项中选择对应措施,大幅度降低了数字图书馆信息安全管理体系构建的难度。

为验证风险控制方法的有效性,笔者选择了一所教育部直属的“211工程”高校的图书馆实施了风险控制过程。针对风险评估阶段得到的该数字图书馆的5项“很高”和92项“高”风险,确定了对应的、合适的控制措施。实施风险控制后,各项风险值将处于可接受的范围内。

参考文献

View Option

[1]	北京知识安全工程中心. 信息安全风险评估——概论、方法和实践[M]. 北京: 中国标准出版社, 2007: 40-43. [本文引用:1]
[2]	I SO/IEC 27001: 2005, Information Technology—Security Techniques—Information Security Management Systems—Requirements[S]. Geneva: International Organization for Stand ardization, 2005. [本文引用:1]
[3]	I SO/IEC 27002: 2005, Information Technology-Security Techniques-Code of Practice for Information Security Management[S]. Geneva: International Organization for Stand ardization, 2005. [本文引用:1]
[4]	I SO/IEC 27006: 2007, Information Technology—Security Techniques—Requirements for Bodies Providing Audit and Certification of Information Security Management Systems[S]. Geneva: International Organization for Stand ardization, 2007. [本文引用:1]
[5]	张红旗, 王新昌, 杨英杰, 等. 信息安全管理[M]. 北京: 人民邮电出版社, 2007: 98-116. [本文引用:1]