数字图书馆信息安全策略.docVIP

数字图书馆信息安全策略 所谓信息安全就是采取技术、管理等综合配套的安全保护措施，保护信息网络系统能够连续正常运行，保护各种信息资源不因自然或人为的因素而遭到破坏、更改、泄露或非法占用。 所谓数字图书馆，就是具有内容丰富的数字化信息资源、利用先进的信息技术，能为用户提供集成化的信息服务和知识服务，满足用户深层次的信息需求的服务机构，它是网络环境下图书馆进入高级发展阶段的新的形态。 安全策略描述的是组织为保护信息系统要实现的安全目标，以及实现这些安全目标所运用的手段、采用的途径，保护对象的安全优先级等方面的内容。安全策略制定的目的在于减少信息安全事故的发生，将信息安全事故的影响与损失降到最低。 1、信息安全策略的构成 信息安全策略包括信息安全内容等级、目标、任务和限制四个主要部分，其中安全内容等级描述保护对象的安全优先级，目标描述的是未来的安全状态；任务定义的是与信息安全有关的活动，限制定义了在执行任务所规定的活动时为保证信息安全必须遵守的规则圈。 2、信息安全的目标 数字图书馆安全保障的最终目标是要达到数字图书馆信息安全三个层次上的六个安全需求即：信息的必威体育官网网址性、完整性、可靠性、可用性、可控性和不可否认性。 3、信息安全的任务 信息安全的任务应该包括实现信息安全目标所运用的手段、采用的途径。本文拟构建以财力、物力、人力资源作为支撑后盾，以技术体系和管理体系为主体保障，以标准、法律规章为依据，全面、细致考虑每种因素与每个环节，从综合的角度出发，构建体系化的数字图书馆信息安全保障模型。 数字图书馆安全策略制定的原则 数字图书馆安全策略的制定要根据图书馆本身的安全需求，不仅要考虑数字图书馆的各项业务，还要考虑以后增加的新业务需要，因此，在制定数字图书馆安全策略的过程中，除了要遵循相应的标准和法律法规以外，还要遵循以下原则： (一) 网络安全的木桶原则 在数字图书馆的网络安全体系建设中，一定要系统、全面、完整的考虑到各种漏洞和安全威胁，提高可能存在的网络系统中薄弱点的安全性能。 (二) 技术先进性原则 数字图书馆网络安全系统的设计和实现应尽量采用先进的安全体系或技术模型进行结构性设计，选用先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。 (三) 安全性评价与平衡原则 对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。数字图书馆网络安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。 (四) 经济性和可扩充性原则 在满足需求的条件下，优先选择性能高、规模扩展性强的网络安全设备，将网络安全的设计采用开放性的体系结构等，以便将网络安全轻易的扩展升级。 (五) 技术与管理相结合原则 安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，在建立数字图书馆网络安全体系时必须充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则。 (六) 标准性原则 数字图书馆网络安全体系的设计、实施以及产品的选择以相关国际安全管理、安全控制、安全规程为参考依据。如ISO 17799／BS7799、CVE、0PSEC等。 (七) 易操作性原则 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性，其次，采用的措施不能影响系统正常运行。 数字图书馆安全策略 数字图书馆系统的安全是一项复杂的系统工程，依据《信息安全技术信息系统安全等级保护基本要求》的规定，我们可以把数字图书馆的信息内容分为必威体育官网网址信息、内部信息和公开信息三种。根据三种信息的安全需求，并依据《信息安全技术信息系统安全保护等级定级指南》，分别把必威体育官网网址信息定为第四级，内部信息定为二级，公开信息定为第一级。针对以上等级保护的划分，数字图书馆重新调整的安全策略具体应分为以下几个方面： (一) 物理安全策略 物理安全策略是对物理基础设施、物理设备安全和物理访问的控制。数字图书馆的出入人员必须得到网管中心的批准才能进入，机房内要安装自动防盗报警装置和监控摄像。不应在主机房安装暖气，但要预留积水的地下排泄口，防止水灾。机房的温湿度应有恒温恒湿的机房专用精密空调了调节，同时要配有UPS不间断电源，为服务器在断电的情况下提供电源。机房附近要有足够的灭火设备，有条件要安装自动火灾报警系统。图书馆建筑外要设有避雷装置，有条件的要安有专业的防浪涌系统，避免雷击造成计算机设备的损坏。 (二)网络安全策略 数字图书馆应根据自身的业务需求，选择能够满足业务高峰处理能力的大品牌的核心级的网络交换设备，